TW200939115A - Representation change of a point on an elliptic curve - Google Patents

Description

200939115 六、發明說明： 【發明所屬之技術領域】 本申請案之標的-般係關於橢圓曲線密碼編譯學 (ECC) 〇 【先前技術】 ECC系統在器件執行密碼編譯演算法時經受”側通道"攻 擊(例如電力分析攻擊、差動電力分析），其使用茂漏至器

❹ 件之操作環境内的資I例如，駭客可監視藉由器件⑽ 如智慧卡）消耗之電力或藉由其發射之電磁輻射，同時其 實行私有密鑰運算，例如解密及簽名產生。駭客亦可測量 其實行密碼編譯操作所花之時間，或者分析密碼編譯器件 在遇到特定錯誤時如何反應。對侧通道攻擊之某些傳統對 策插入"虛設"密碼編譯操作（例如加倍、加法），使得當例 如在電力跡線上檢視時無法將運算彼此區分。然而，插入 額外”虛設"運算減緩總體密碼編譯程序，其對特定應用可 能不可接受。 ‘ 【發明内容】 在橢圓曲線密碼編譯系統令，將點座標從第一座標系統 變換為第二座標系統。藉由已修改以在變換點座標上運算 的體運算處理變換座標。在某些實施方案中，針對射影座 標利用非隨機值將點座標從仿射座標系統變換為射影座標 系統。在某些實施方案中’非隨機值可係基於計算之最佳 化的預疋值’丨用於將點座標從第—座標系統變換為第二 137730.doc 200939115 在某些實施方案中，點之變換射影表現法可從射影座標 内之點的第一表現法改變為射影座標内之點之第二表現 法’其十用於表現法改變之射影座標係隨機值。 揭示橢圓曲線上之點的表現法改變之其他實施方案，包 括針對系統、方法、程序、裝置及電腦可讀取媒體的實施 方案。 【實施方式】 範例密碼編譯系統及程序 ® 圖1係公用密鑰密碼編譯系統100之實施方案的方塊圖》 系統100包括器件1 〇2("器件A”）及器件1 〇4(”器件B”）。在所 示Ιε例中，器件102可在不安全通道110及介面113上與器 件104通信。例如，器件1〇2可在不安全通道u〇上發送訊 息或數位簽名至器件104 ^器件102及1〇4可係能夠實行密 瑪編譯程序之任何器件’包括但不限於：個人電腦行動 電話、電子郵件器件、遊戲主控台、個人數位助理 φ (PDA)、媒體播放器、儲存器件等。不安全通道11〇可係任 何通信媒體，包括但不限於：射頻（RF)載波、光學路徑、 電路路徑、網路（例如網際網路）等。 在某些實施方案中，器件102包括加密引擎1〇6及亂數產 生器112。亂數產生器112可產生真實亂數（例如從實體程 序產生）或偽亂數（例如從演算法產生在其他實施方案 中，透過介面113接收亂數或將其儲存於器件1〇2上（例如 記憶體中）。 在某些實施方案中，器件104包括用於解密透過介面ιΐ5 137730.doc 200939115 從器件1〇2接收之密文或數位簽名的解密引擎108。器件 及1〇4可包括用於雙向通信之加密及解密引擎1〇6、 在斤示範例中，器件1〇2、1〇4可實行各種密碼編譯 程序包括但不限於：橢圓曲線加密/解密、橢圓曲線數 &簽名產生及鐘認等。儘管本文所說明之密碼編譯程序係 Μ於橢圓曲線’所揭不實施方案可用於實行體運算的任何 密碼編譯程序，其中需要遮蔽可從分析體運算之操作環境 導出的機密材料。 在某二實施方案中’藉由器件i 〇2、i 〇4兩者共用相同域 參數（例如選定曲線、群組項次等）。 在某些實施方案中，器件102可係處於對器件104鐘認其 持有者之程序中的智慧卡，例如，器件ι〇4可係位於銀行 之主機電腦。智慧卡亦可稱為晶片卡或積體電路卡 (ICC)’ 一般係口袋型卡（例如信用卡型卡），其可包括保持 及/或處理資訊之嵌人式積體電路。智慧卡亦可包括特定 Ο 2全邏輯。儲存及/或處理之資訊可係對其持有者特定之 女全·貝訊（例如銀行帳號），其可用於處理使用者所請求之 交易（例如從其銀行帳號提款）。安全邏輯可用於保護使用 者特定資訊在器件102與器件丨04之間的傳輸。 在某些情形中，駭客可藉由在不安全通道110上偷聽監 視器件102與器件104之間的通信。駭客可具有讀取在通道 上傳送之所有資料的能力，以修改傳送之資料及為了其自 身利益將其他資料注入至傳輸_。例如，駭客可嘗試讀取 從發送器件1〇2至接收器件1〇4之訊息，以獲得關於訊息之 137730.doc 200939115 的個人資訊（例如銀行帳號、信用卡號碼等）。骇客 …賴仿通信通道内之器件1〇2或器件iG4以實行 :動;其將由任一器件請求或實行(例如從銀行帳號提 狀，利用信用卡訂購商品等）。 在其他情形中，.骇客可試圖分析器件102及104之操作環 ^決錢密鍵控材料。該等攻擊通常稱為"側通道”攻 或罢Γ通道攻擊之某些範例包括電力分析攻擊（例如簡單 或差動）及電磁分析攻擊。 A電力分析攻擊測4密碼編譯器件之電力消耗，例如從外 由;^任m取電力的智慧卡。機密鍵控材料可直接藉 從卓一機密密瑜運算檢驗電力跡線決定。因為用於相加 及加倍點之公式可具有可與其他運算區分之電力跡線擴 圓曲線點乘法演算法特別易受該等類型之攻擊。 Φ 電磁分析攻擊測量藉由穿過CMOS器件之電流引起的電 磁⑽)信號，其可藉由在器件正在實行密碼編譯操作時靠 以件放置感測器加以控制。可分析腹信號以決定正在 執订哪些指令以及決定資料暫存器之内容。 因此，可需要器件1〇2與器件1〇4之間的安全通信以及 =護器件102及1〇4之操作環境。可利用已知加密技術對抗 别者。可獨立使用或與指數遮蔽及加法指數分解技術組合 地利用橢圓曲線點變換對抗後者，如參考圖⑴所說明。 橢圓曲線密输產生 在某一實施方案中，形成加法交換群之橢圓曲線群的循 群可用於實施基於離散對數問題之公用密餘密碼編譯 137730.doc 200939115 系統100。在此實施方案中，可在有限整數體尽上定義橢 圓曲線五。五(6)内之點P可具有質數項次”。藉由點户產生 之五(心）的循環子群可藉由以下方程式定義： (P) = { Ο,Ρ, 2Λ 3Ρ, .···. {η-\)Ρ}, 其中（9係位於無窮遠之點及識別元素。 ❿ 在此實施方案中，質數户、橢圓曲線五之方程式（例如方 程式/= /切X 4内的α及6之值）、點尸及項次η可係公用域 參數。私有密鑰d可係選自間隔[丨，〜〗]之隨機整數並且 可將對應公用密料計算為：卜#，其中利用_曲線 點乘法（可藉由運算子表示）將點Ρ乘以私有密鑰d，其係 一整數。例如，令A係橢圓曲線上之點。可將整數）與點」 相乘，以獲得相同橢圓曲線上之另一點5。點乘法可藉由 方程式表示：S 在某些實施方案中，可利用點加法 及點加倍重複地實行點乘法以找到結果。例如若戶U， ，其中志_社▲ ' 1 衣不整數乘 法。 若給定域參數（p、五、户及„)及公用密鑰Q，決定私有密 鑰d之問題稱為橢圓曲線離散對數問題（ECDLp)。 擴圓曲線密碼編譯程序之範例 現在說明用於在眾所周知的橢圓曲線密碼編譯程序内實 行橢圓曲線點變換之技術。但該等技術可用於其中需要遮 蔽機密鍵控材料之任何密碼編譯程序或應用中。 ”'

ElGamal密瑪編譯程序 在某些實施方案中’公用密鑰密碼編譯以議可利用 137730.doc 200939115

ElGamal加密及解密程序之橢圓曲線類比。例如，公用密 输2可係器件104(接收器件）之公用密鑰。器件1〇2(^送器 件）可在鑑認通道116上從器件104獲取公用密鑰0。純文字 訊息w在有限整數體五(心）内可表示為點舨。加密引擎⑺6可 利用以下方程式計算密文C;，其中係五(心）上一點：

Ci = k.P, 其中灸係藉由器件102從間隔[1，（„_ι)]選擇之亂數而户係 E(Fp)内一點並且係域參數。 φ 加密引擎106亦可利用以下方程式計算密文Q，其中^ 係E(Fp)內一點： C2 = M + k.Q, 其中Μ係純文字訊息m之點表現法，无係藉由器件ι〇2從間 隔Π，（心1)]選擇之亂數’並且0係用於器件1〇4之公用密鑰 的點表現法，其中0在五(Fp)内。 可在不安全通道110上藉由器件1〇2將點密文對（C/、 φ 傳送至器件104。利用解密引擎108及其私有密鑰j之器件 104可利用以下方程式從點密文對（c;、恢復純文字訊息 m ’· M = C2 - d.C\^ 其中Μ係純文字訊息w之點表現法，j係器件1 〇4之私有密 鑰，並且可從从擷取純文字訊息所。 因為乂C/=Ar C’分析器件1〇2、104之操作環境的駭客將 需要計算免.0。從域參數（例如P、五、尸、”）、公用密鑰0及 C;=免.户計算之任務可稱為Diffie_Hellman問題之橢圓曲 137730.doc 200939115 線類比。由於2係公用域參數，駭客僅需要從操作環境決 定指數λ：以恢復純文字訊息w。因此，需要保護指數免免受 側通道攻擊。 概圓曲線點運算 橢圓曲線密碼編譯學内之主要運算之一係點乘法。如先 前所說明，可利用點加法及點加倍運算重複地實行點乘法 運算以找到結果。每一點加法及點加倍運算可包括乘法逆 運算。在某些實施方案中，逆運算可具有慢於加法或乘法 運算之執行速度量值等級。在某些實施方案中，射影座標 系統内之表現點可消除點加法及點加倍運算中之乘法逆運 算的利用。此可導致點乘法運算之效率的增加。 橢圓曲線體 可將橢圓曲線群定義於質數體（尽）、二元體或擴張 體（心"1)上。在橢圓曲線群中，整數p可係質數，且心可表 示整數模/7之鱧，其中Fp = {〇, 1, 2, .......，/?·1}。 ❹ 在某些實施方案中，橢圓曲線可在質數體（體上之五) 上’並且可藉由以下橢圓曲線方程式定義： y2 = X3 ax b 其中α、6 0 滿足以下方程式： 4α3 + 2762 Θ0 (mod p). 若少）可用於解決橢圓曲線方程式，一對，乂)可係橢圓 曲線五上一點户之座標’其中X及少兩者均係心之元素。位於 無窮遠之點（9亦可位於橢圓曲線五上。橢圓曲線Ε上之所有 點的集合可表示為五(Fp)。 137730.doc -10· 200939115 在某些實施方案中，橢圓曲線之方程式可在二元體斤 上。該方程式可藉由橢圓曲線方程式定義： _y2 +砂=? +似2 +办，其中办□ 〇 在此實施方案中，有限體（finite 之元素可係具有至 . 多所個位元之長度的整數。可將元素視為階次w _ 2之二進 冑多項式。多項式算術可用於加法、乘法、除法及減法運 算。 ❹ m在某些實施方案中’橢圓曲線之方程式可位於擴張趙 尸P上，其中w >= 2且^係質數。 橢圓曲線密碼編譯學内之座標系統 橢圓曲線可相對於一個以上座標系統表示。在某些實施 方案中’擴圓曲線上之點可在仿射座標系統内表示。在某 些實施方案中’橢圓曲線上之點可在射影座標系統内表 不，下文將予以詳細說明。在某些實施方案中，擴圓曲線 上之點可在冗餘座標系統内表示其中額外座標可與仿射 Φ 或射影座標系統内之點座標包括在一起。 橢圓曲線上之點户可在仿射座標内表示（例如P == (X, ·)0)在某些實施方案令，點p亦可在射影座標内表示其 方射點户一（X，少）可採用次方C及d表示，其可定義等價類 J例如’類別（x:少:z) = {(0*1，（ad)*y，a*z}。在某些實 施方案中，點p亦可在冗餘座標内表示，例如chudn〇vsky 射影座標’其中點p可藉由座標(：c,凡表示。 例如，可將藉由仿射座標（例如文人表示的橢圓曲線P 上點轉換為射影座標系統内之射影座標（例如χ人火厂 137730.doc 200939115 η)。如上所說明，可對點卩實行點乘法運算，包括多個點 加法運算’而t完成_，可將點P轉換回至仿射座標。 射影座標內之二元體内一點的表現法 在某些實施方案中，二元體π，）上的橢圓曲線上之點可 藉由標準射影座標表示。在此實施方案中可將定義等價 類別之次方c及C?設定成c =丨且d = i。例如，射影座標内之 點k凡约可對應於仿射座標内之點（χ/Ζ , y/2)。用於在標準 ❹ 射影座標内表示的二元體上之橢圓曲線的方程式可為： y2z + xyz = χ3 + ax2z + bz3. 例如，對於點乘法運算，可將仿射座標内之點k力轉 換為射影座標内之點（X，凡ζ)。在點乘法運算後，可將結果 Ο，凡Ζ)作為（X/Z，轉換回至仿射座標，其中ζ不等於 零。若ζ = 〇，則可將點視為位於無窮遠之點 在某些實施方案中，二元體（^m)上的橢圓曲線上之點可 藉由Jacobian射影座標表示。在此實施方案中，可將定義 ❹ 等價類別之次方e及^設定成c = 2且3 = 3。例如，射影座標 内之點&，凡Ο可對應於仿射座標内之點〇/ζ2, γ/ζ3)。用於 在Jacobian射影座標内表示的二元體上之橢圓曲線的方程 式可為： y2^ + Xyz = + αχ2ζ2 + bz6 例如’對於點乘法運算，可將仿射座標内之點（χ，力轉 換為射影座標内之點（χ,凡勾。在點乘法運算後，可將結果 (’少，ζ)作為（义/2 ’少/2 )轉換回至仿射座標，其中2不等於 零。若2 = 〇,則可將點視為位於無窮遠之點〇。 137730.doc •12· 200939115 在某些實施方案中，二元體（F，）上的橢圓曲線上之點可 藉由L0pez-Dahab (LD)射影座標表示。在此實施方案中， 可將定義等價類別之次方c及d設定成c = 1且J = 2。例如， 射影座標内之點（x,夂z)可對應於仿射座標内之點（一^ 少々2)。用於在LD射影座標内表示的二元鱧上之橢圓曲線的 方程式可為： y2 + xyz = χ3ζ + ax2z2 + bz4. ❹ 例如’對於點乘法運算’可將仿射座標内之點（jc,少）轉 換為射影座標内之點（x,凡幻。在點乘法運算後，可將結果 (A兄勾作為〇/z,少/z2)轉換回至仿射座標，其中z不等於 零。若z = 〇 ’則可將點視為位於無窮遠之點〇。 藉由射影座標之質數體內一點的表現法 在某些實施方案中，質數體（Fp)内的橢圓曲線上之點可 藉由標準射影座標表示。在此實施方案中，可將定義等價 類別之次方C及ί/設定成c = 1且d = i。例如，射影座標内之 Φ 點O, y，勾可對應於仿射座標内之點y/z)。用於在標準 射影座標内表示的質數體上之橢圓曲線的方程式可為： = . 3.x2z + bz\ 例如’對於點乘法運算，可將仿射座標内之點力轉 換為標準射影座標内之點（χ，凡z)。在點乘法後可將結果 “，儿幻作為〇r/z,少/2)轉換回至仿射座標，其中z不等於 零。若z = 〇’則可將點視為位於無窮遠之點 在某些實施方案中，質數體（jPp)内的橢圓曲線上之點可 藉由Jacobian射影座標表示。在此實施方案中，可將定義 137730.doc -13- 200939115 等價類別之次方C及d設定成C = 2且d = 3。例如，Jac〇bian 射影座標内之點（x,少，2)可對應於仿射座標内之點（x/z2 ）。用於在Jacobian射影座標内表示的質數體上之橢圓 曲線的方程式可為： y2 = x3z - 3.xz4 + bz6. 例如’對於點乘法運算，可將仿射座標内之點（χ, W轉 換為Jacobian射影座標内之點（；c,又z)。在點乘法後，可將 結果〇,凡z)作為（x/z2, 轉換回至仿射座標，其中z不等 於零。若z = 〇，則可將點視為位於無窮遠之點〇。 在某些實施方案中’質數體（尽）内的橢圓曲線上之點可 藉由几餘座標表示。例如’ Chudnovsky射影座標内之點（χ, _y，a ζ，ζ3)可對應於仿射座標内之點jac〇bian 射影座標點（A少，z)亦可藉由冗餘表現法内 之 Chudnovsky 座“表示。因此，用於在Chudnovsky射影座標内表示的質 數體上之橢圓曲線的方程式可為： y2 = x3z - 3.XZ4 + bz6. 例如’對於點乘法運算’可將仿射座標内之點（χ, 轉 換為Chudnovsky射影座標内之點（Λ：,凡ζ)。在點乘法運算 後’可將結果（X, ζ)作為（ΛΓ/ζ2, y/z3)轉換回至仿射座標， 其中2不等於零。若2 = 〇，則可將點視為位於無窮遠之點 Ο。 橢圓曲線點變換程序 圖2係用於橢圓曲線上一點之變換及表現法改變程序2〇〇 的實施方案之流程圖。程序2〇〇可將橢圓曲線上一點從仿 137730.doc 200939115 射變換為射影座標，並且在實行點運算時改變點之射影座 標表現法，其可包括但不限於點乘法、點加法及點加 可對質數體(〜)、二元體阶及擴張體上之橢圓曲線 實行程序200。

❹ 當將一點從仿射座標變換為射影座標時，可發生點變 換。該等變換之範例在上文針對質數體及二元體内之點予 以說明。現在在射影座標内之變換點接著可經歷表現法改 變，其可將，點改變為另—射影座標表現法。纟現法改變可 在點運算期間改變用於點户之中間射影座標。根據實施方 案，可將表現法改變與從仿射座標至射影座標之點户之變 換或從仿射座標至冗餘座標之點p之變換組合。 變換及表現法改變程序200可在點運算期間實行（例如點 乘法運算，其可包括點加法及點加倍）^程序2〇〇可在點運 算中的特定步驟變換及改變輸入點户之座標的表現法。至 射影座標之點變換及至另一射影座標表現法的點之表現法 改變可修改用於點運算内之計算。因此，若使用，可修改 點運算以產生射影或冗餘座標内之正確結果。 在某些實施方案中，可將質數體（心）内的點4變換至 Jacobian射影座標内。可將仿射座標内之點變換為 射影點d丫:t’，〆，，其中： x, = x*zftxed2, y'=y *Zflxed3, z, = Zfi^ 以及z/ixed可等於不等於零的任何非隨機值。在某些實施方 137730.doc 15 200939115 案中’可為了便於計算選擇^。例如，㈣可等於卜 變換點作，少，"可係將Z/_設定為等於！的结果。在另一 範例中’如可等於-卜變換點作，兄…可係將2細設定 為等於·！的結果。在某些實施方案中，㈣值可係小於或 大於一之正或負值。 、在某些實施方案中，變換點作勹可改變其表現 法例如，變換為Jacobian射影座標從而導致點的仿射 點d可將其射影座標表現法改變為另―射影座標表現法， 其導致點4"。可將仿射座標内之點」表示為（\力^可將

Jac〇blan射影座標變換點表示為作，，/ ^，並且可將改 變點表示為A"(X”，y"，z")。 如上所說明’在某些實施方案中，可利用用於MW之非 隨機值將質數體（Fp)内之仿射點A變換至以⑺^抓射影座標 内，從而導致點少。可將射影座標點A，改變為另一射影座 標表現法，從而導致點，丫JC",少"，，其中： X，* ZmMd〇m 2 ==X*ZfiXed2=X* Zrand〇m 2 * Zfixed\ ZS * ζ~3=y *Zrandom3 *z—3 ==Z，*Z^om=Z*zrand〇n*Zftxed} ' 了等於不等於零的任何隨機值。例如，可藉由 圖1之亂數產生器U2產生w⑽。 將射影座標點之射影表現法從第—表現法改變為第二表 現法可為，，側通道"攻擊提供對策，其可使㈣漏至實行橋 圓曲：密碼編譯演算法之器件的操作環境内之資訊。例 如’當實行多個射影座標變換及表現法改變以及在表現法 137730.doc -16- 200939115 改變程序内使用亂數時，監視器件之密碼編譯操作的駭客 可具有將運算彼此區分的困難。 在某些實施方案中，可將質數體（Fp)内的點A變換至 Jacobian射影座標内。可將仿射座標内之點y變換為 射影點，(V,，，β，其中： X' = X* Zflxed\ y'=y^^fixed\ Z — ^flxed· φ 在某些實施方案中，射影座標點A可將其表現法改變為另 一射影座標表現法，從而導致點y〃，，其中： — * ^INVfixed ~ X * ^fixed * ^INVfixed > y" ~y' * ZlNVfixed 3 = y* Ζβχβά 3 * Z^vfixed 3, ^ _ Z * ZjNVfixed _ ^ ^fixed ^ ^INVfixed't 以及ZINVfixed可等於不等於零的任何非隨機值。射影座標點 A”之表現法可將其表現法再次改變為另一射影座標表現 法，從而導致點Α·’·（χ·Μ，y"·，z”1)，其中： X — X * ^random — ^ * ^INVfixed * ^random _ ^ * ^fixed * ^INVfixed ^random > y - y * ^random ~ y * ^INVflxed * ^random - y * ^fixed * ^INVfixed ^random > ^ ~ ^ * ^random _ ^ * ^JNVfixed * ^random ~ ^ ^fixed ^INVfixed ^random > 以及'“⑽可等於不等於零的任何隨機值。例如，可藉由 圖1之亂數產生器112產生 。在某些實施*方案中， ~肝/bed可等於 Z/i.jced之反轉值（例如 xe ，）。 在某些實施方案中，Z/www可等於之反轉值（例如 z/WK/i;cerf=(Y/z/iJcerf)=Z/i;ceflrO。例如’可選擇用於z/iJcee/之值以 減少決定ZINVfixed之數學複雜性。減少點變換之數學複雜性 137730.doc -17- 200939115 可減少實行點運算所佔用之時間，其可 編譯程序所佔用之時間。在某些實施方案中，^ 瑪 1。在其他實施方案中 _^ flxed荨於 、中可等於-1。選擇該等值之一 可簡化決定⑽細所需要之計算。在其他實施方案 可選擇1或-1之同餘。 ’ 在某些實施方案中，可將質數體(〜)内的點A變換至

Jacobian射影座標^可將仿射座標内之點雄力

射影點4，其中： 一 x' = x, y'=y*-i, zf = -l. 射影座標點水可將其表現法改變為另一射影座標表現 法，從而導致點d "(V，，〆，，z，y，其中： X，，= Xf*Zrand〇m2 = X*Zrand〇m2, y"=y'*zrandom3 =y*Zrand〇m^ * _h Z” = Z’* zrandom = z * Zrandom * -1， 參以及Zra/J£/(m可等於不等於零的任何隨機值。例如可藉由 圖1之亂數產生器112產生心“⑽。 上文所說明之實施方案亦可用於可變換至不同類型之射 影座標内的點。在某些實施方案中，可將質數體（心）内的 點A變換至標準射影座標内，其表現法接著可加以改變。 在某些實施方案辛’可將質數體（心）内的點d變換至 Jacobian射影座標内，其可利用Chudnovsky座標以冗餘表 示。表示於Chudnovsky座標内之變換點接著可經歷表現法 改變。 137730.doc -18 - 200939115 ，在某些實施方案中，點A可在二元體（'，内。點A至點 之變換及點J至點j "之表現法改變以及點』"至點，，之表 現法改變可如用於質數體内之點的先前實施方案加以實 行。在某些實施方案中’可將二元體（Am)内的點A變換至 #準射影座標内’其表現法接著可加以改變。在某些實施 方案中，可將二元體（厂2™)内的點A變換至LD射影座標内， 其表現法接著可加以改變。 ❹ 再次參考圖2，變換及表現法改變程序200可藉由獲得輸 入開始，其可指定用於欲實行之點運算的點座標（步驟 202)。例如，點加倍運算可利用點加倍運算將點加入自 身’其包括作為輸入之單一點及其座標。在另一範例中， 可利用包括作為輸入之兩點及其座標的點加法運算將兩個 不同點相加在一起。該（等）輸入點可在質數體（丨）、二元 體或擴張體（/Tpm)内之仿射座標内。 可將該（等）輸入點變換至射影座標内（步驟2〇4) ^在上文 Ο 說明之實施方案中’將點d變換成點，。可將輸入點P變換 至射影座標内，從而以類似方式導致點厂。亦可相似地變 換其他輸入點。 可對該（等）變換輸入點之每一者實行表現法改變（步称 2〇6) »此係顯示於以上實施方案中，其中表現法改變至點 J，從而導致點J 〃。可對點P,實行類似表現法改變。例 如，可利用已經歷變換及表現法改變的所得點實行點加 法。視需要，點户"可經歷另一表現法改變，從而導致點 户…（步驟208)。接下來，從變換及表現法改變獲得的點座 137730.doc -19· 200939115 才不可予以輸出以用於（例如）其他點運算中（步驟210)。例 如’可輸出射影點座標值並且併入至其後點運算内。 利用點變換之橢圓曲線加密程序 圖3 A係利用已經歷如程序2〇〇内所說明的變換及表現法 改變之點的橢圓曲線加密程序300之實施方案的流程圖。 程序300以發送方在發送方與接收方間的鑑認通道上從 接收方獲得公用密鑰0開始（步驟301)。發送方可將其純文 ❹ 字訊息w表示為橢圓曲線丑上之點Μ，例如，其可定義於有 限質數體上，其中户係質數。橢圓曲線五上之所有點的集 合可表示為，其定義項次《之質數子群（步驟302)。發 送方接著可從間隔[1，（„·〇]選擇一亂數W步驟3〇4) ^ 如參考圖2所說明，可將仿射座標系統内之輸入點p變換 為射影座標系統内之點户，。變換點户，可經歷從第一表現法 至第二表現法之表現法改變，從而導致點尸"（步驟3〇6)。 視需要，點P，可經歷從第二表現法至第三表現法之表現法 ❹ 改變，從而導致點户"，。發送方接著可利用以下方程式計 算密文點C!"(步驟308): 其中&係藉由發送方從間隔Π，（„_!)]選擇之亂數，並且乃係 藉由五定義之質數子群的項次。 點射及公用密鑰0(亦係一點）亦可經歷變換及表現法改 變，如參考圖2所說明，從而導致點M"及ρ"(步驟31〇)。 發送方可利用以下方程式計算密文點^"(步驟312): 137730.doc •20- 200939115 C2n = M" + k.Qn, 其中《係藉由定義之質數子群的項次。 可將逆變換及表現法改變程序應用於點Ci"及C2"，以取 得點C〗及C：2之密文對（步驟3 14)。此逆程序可在發送方得知 固定及隨機值時實行，其用於對點實行變換及表現法改變 以計算"及CV’，以及用於點之變換的射影座標系統。 發送方可在發送方與接收方之間的不安全通道上將點 (c^，CO之密文對傳送至接收方（步驟316)〇程序3〇〇結束。 ❿ 圖3A之實施方案可與在仿射座標、射影座標及冗餘座標 内表示之點同用。圖3A之實施方案亦可與質數體（心）、二 元體（F，）或擴張體上之橢圓曲線同用。利用:文所 說明之實施方案及範例，可利用任何橢圓曲線上之點表現 法實行點變換。 橢圓曲線解密程序 圖3B係利用已經歷如程序2〇〇内所說明的變換及表現法 ❹ 改變之點的橢圓曲線解密程序330之實施方案的流程圖。 程序330可用作與橢圓曲線加密程序3〇〇同用之解密程序。 當接收方於接收方與發送方之間的不安全通道上從發送 方接收點（C!，C2)之密文對時，程序33〇開始（步驟318) ^接 收方接著將變換及表現法改變應用於點之每一者， 以取得CV’及C2’’(步驟320)。接收方接著利用以下方程式計 算純文字訊息之點AT (步驟322): M" = C2n- d.Cx^ 其中ΛΤ係純文字訊息w之點表現法，其係藉由變換及表現 137730.doc •21 · 200939115 法改變射影座標表示’並且d係接收方器件之私有密輪。 接收方知道變換點CV，及Cz"之射影座標空間，以及點對 之表現法改變，因此知道可應用於點从(其係純文字訊息w 之點表現法）之變換及表現法改變程序，以導致點M"。接 收方可對點Μ〃應用逆變換及表現法改變程序，以獲得點 Μ(步驟324)。此程序等效於以上針對點户"說明之逆變換及 表現法程序❶知道Λ/後，接收方接著可從其點表現法从掏 取純文字訊息m(步驟326)。程序330結束。 前述程序在ECC系統内實施點變換。其他程序也可能， 包括具有更多或更少步驟之程序（例如數位簽名產生及/或 鑑認程序程序之步驟不需要以所示順序連續實行。可 將程序分成藉由一或多個處理器核心及/或平行處理器運 行的多個處理執行緒。 系統架構 圖4係用於實施圖2、3A及3B之程序之系統的實施方案 之方塊圖。例如，系統400可係包括於參考圖1所說明之器 件102及/或器件1〇4内。系統400包括處理器410、記憶趙 420、儲存器件430及輸入/輸出器件440 »利用系統匯流排 450互連組件410、420、430及440之每一者。處理器410能 夠處理用於在系統400内執行之指令。在某些實施方案 中’處理器410係單一線程處理器》在另一實施方案中， 處理器410係一多線程處理器。處理器41〇能夠處理儲存於 記憶體420内或儲存器件430上之指令，以便將一使用者介 面之圖形資訊顯示於輸入/輸出器件440上。 137730.doc -22- 200939115 ,己憶體420儲存系統構内之資訊。在某些實施 §己憶體420係電腦可讀取媒體。在其他實施方案中，、 體㈣係一揮發性記憶體單元。在其他實施方案中，二‘: 體420係一非揮發性記憶體單元。 §

儲存器件430能夠為系統提供大量儲存器。在某些實 施方案中’儲存器件430係電腦可讀取媒體。在各種不同 實施方案中，儲存器件430可為一軟碟器件、一硬碟器 件、一光碟器件，或一磁帶器件。 輸入/輸出器件440為系統400提供輸入/輸出操作。在某 一實施方案中，輸入/輸出器件44〇包含一鍵盤及/或指向器 件在另一實施方案中，該輸入/輸出器件44〇包含用 示圖形使用者介面之一顯示單元。 用於顯 可將描述之特徵實施於數位電子電路中，或者電腦硬 體、韌體、軟體或其組合中。特徵可實施於一電腦程式產 品内，其有形地體現於一資訊載體内，例如在一機器可讀 取儲存器件内或在一傳播信號内，以供一可程式化處理器 執行，且若干方法步驟可藉由一可程式化處理器來實行， 该可程式化處理器執行一指令程式以藉由運算輸入資料並 產生輸出來實行所說明具體實施方案之若干功能。可將描 述之特徵有利地實施於一或多個電腦程式中，其可執行於 一可程式化系統上，其中包括至少一可程式化處理器，其 經輕合以接收來自一資料儲存系統、至少一輸入器件及至 少—輸出器件之資料及指令，以及傳送資料及指令至其。 一電腦程式係一組指令，其可直接地或間接地用於一電腦 137730.doc -23- 200939115 中’以實行某-活動或引起某一結果。一電腦 含已編譯或已解譯語言之程式化語言之任 ^ 寫’而且其可以任何形式(包含如-單獨程式：：：： 組、組件、次常式，或者適合用 —一模 元）加以部署。 指環境之其他單 ❹ 藉由範例，用於執行一指令程式之適合處理器包含一般 及特殊用途微處理器兩者，及任何種類之電腦之單 器或夕個處理器之一。一般而言，一處理器將接收來自— 唯讀記憶體或-隨機存取記憶體或兩者之指令及資料。— 電腦之基本元件係-用於執行指令之處理器，及一 用於儲存指令與資料之記憶體。一般而言，一電腦亦將包 含或者操作性搞合以與用於儲存資料播案之一或多個大量 儲存器件進行通信；此類器件包含例如内部硬碟與可移式 碟之磁碟；磁光碟；及光碟。可適合用於有形地體現電腦 程式指令及資料之儲存器件包含所有形式之非揮發性記憶 體’藉由範例，其包含例如EPR⑽、eepr〇m及快閃記^ 體器件之半導體δ己憶體器件；例如内部硬碟及可移式碟之 磁碟；磁光碟，·及CD-R0M與DVD_R〇_。該處理器及 該記憶體可以ASIC(特定應用積體電路）補充或併入其中。 藉此提供輸入給該電腦 <為了提供與一使用者之互動，可將該等特徵實施於—電 腦上其具有例如一 CRT(陰極射線管）或LCD(液晶顯示器） 監視器之一顯示器件，用於將資訊顯示給該使用者及一 鍵盤與例如-滑鼠或一軌跡球之一指向器件，該使用者可 137730.doc .24· 200939115 該等特徵可實施於—電腦系統内，該電腦系統包括一後 端組件’諸如一資料伺服器；或包括一中間軟趙組件，諸 如應肖a式伺服器或一網際網路伺服器；或包括一前端 組件，諸如一用戶端電腦，其具有一圖形使用者介面或一 、網際網路割覽^或其任__組合^該系統之組件可藉由數位 . 資料通信的任一形式或媒體來連接，諸如一通信網路。通 信網路之範例包含例如一LAN、一 WAN，及形成網際網路 之電腦與網路。 該電腦系統可包含用戶端及伺服器。用戶端及伺服器一 般係彼此遠離而且通常透過一通信網路來相互作用。用戶 端與伺服器之關係憑藉運行於各別電腦上並且彼此具有一 主從關係之電腦程式而出現。 已說明若干實施方案。雖然如此，但應明白可進行各種 修改。例如，可組合、刪除、修改或補充一或多個實施方 案之元素以形成進一步實施方案。圖式中描述之邏輯流程 ❹ 不要求所示之特定順序或循序順序，以實現所需結果。此 外，可提供其他步驟，或從描述之流程去除步驟，而且可 新增其他組件至所描述之系統或從其移除其他組件。因 此，其他實施方案係在下列申請專利範圍的範_内。 【圖式簡單說明】 圖1係公用密鑰密碼編譯系統之實施方案的方塊圖。 圖2係用於橢圓曲線上之一點之變換及表現法改變程序 的實施方案之流程圖。 圖3A係利用已經歷變換及表現法改變之點的橢圓曲線加 137730.doc 25- 200939115 密程序之實施方案的流程圖。 圖3B係利用已經歷變換及表現法改變之點的橢圓曲線解 密程序之實施方案的流程圖。 圖4係用於實施圖2、3A及3B之程序之系統的實施方案 之方塊圖。

【主要元件符號說明】 100 公用密鑰密碼編譯系統 102 器件 104 器件 106 加密引擎 108 解密引擎 110 不安全通道 112 亂數產生器 113 介面 115 介面 116 鑑認通道 400 系統 410 處理器 420 記憶體 430 儲存器件 440 輸入/輸出器件 450 系統匯流排 137730.doc -26-

Claims (1)

1. 200939115 七 、申請專利範圍·· 1. 一種方法，其包含： 獲得指定一或多個點座標之輪入； 將一橢圓曲線上之至少一點庙俨仰 地 也也 點座標從一第一座標系統變 換為一第二座標系統； 女將該第二座標系統内之該變換點從-第一表現法改變 為一第二表現法；以及 艾 冑該變換點之該第二表現法實行-或多個體運算。 2.如請求項1之方法，其中利用射影座標實行該變換。 3·如請求項!之方法，其中該第二座標系統具有比該第一 座標系統更多之座標。 4 Πί項1之方法，其中該第二座標系統比該第-座標 系統多一額外座標。 5· ^求項4之方法’其中該第二座標系統之該額外座標 係一非隨機值。 ❹如請求項5之方法，其中該非隨機值等於一。 7’如μ求項5之方法’其中該非隨機值等於負一。 8.如請求項1 $ 士、+ 法，其中利用具有一隨機值之一射影座 標實行該改變。 9· 如請求項1夕 疋方法’其中將該第二表現法内之該變換點 改變為-第三表現法。 10·如請求項1之古、+ 法，其進一步包含實行一橢圓曲線加密 或解密運算。 11.如請求項1 <不法，其中該方法係用於一橢圓曲線數位 137730.doc 200939115 簽名產生或驗證運算中。 12. —種方法，其包含： 獲得指定一第一座標系統内之一橢圓曲線上的一或多 個點座標之輸入； 將該一或多個點座標變換為一第二座標系統上之射影 座標； 利用一隨機值將該等射影座標從一第一表現法改變為 一第二表現法；以及 ❿ 對該變換點之該第二表現法實行體運算。 13. 如請求項12之方法，其中該第二座標系統具有多於該第 一座標系統之額外座標。 14. 如請求項13之方法，其中該第二座標系統之該等額外座 標係非隨機值〃 15. 如請求項13之方法，其中該等非隨機值等於一。 16. 如請求項13之方法，其中該等非隨機值等於負一。 ❿ 如°月求項12之方法，其進-步包含實行-橢圓曲線加密 或解密運算。 一橢圓曲線數位 18·如請求項12之方法，其中該方法係用於 簽名產生或驗證運算中。 19· 一種裝置，其包含： 介面*可操作用於獲得一或多個點座標；以及 一加密引擎，其_合至該介面並且可操作用於將_ 橢圓曲線上之至少一朴十β , .座標從一第一座標系統變換為_ 第二座標系統内之一射影赴 耵影點並且利用一隨機值將該4 i37730.doc 200939115 影點從一第一表現法變換為一第二表現法，以及用於對 S亥射影點座標實行一或多個體運算。 20. 如請求項19之裝置，其中該第二座標系統具有比該第一 座標系統更多之額外座標。 21. 如請求項20之裝置，其中該等額外座標係非隨機值。 22. 如請求項19之裝置’其中該變換係一橢圓曲線加密或解 密運算之部分。 ©23.如請求項19之裝置，其中該變換係一橢圓曲線數位簽名 產生或驗證運算之部分。 24. —種儲存於電腦可讀媒體中及包含可由一處理器件執行 之指令的軟體，其在此類執行時使該處理器件實行以下 操作： 獲得指定一或多個點座標之輸入； 將一橢圓曲線上之至少一點座標從一第一座標系綠變 換為一第二座標系統； ❹ 將該第二座標系統内之該變換點從一第一表現法改變 為一第二表現法；以及 對該變換點之該第二表現法實行一或多個體運算。 137730.doc