TW526450B - Cryptographic processor - Google Patents

Description

526450 A7 _______B7 五、發明説明（1 ) 本發明係關於密碼處理器，且尤指使用於密碼應用之密 碼處理程序。 藉由不付現金通信、通過公共網路之資料傳送、通過公 共網路之信用卡數量之交換及一般而言，用於付款、識別 或存取目的之所謂智慧卡使用之增加趨勢，有建立用於密 碼技術之一非常增加之需求。一方面，密碼技術包含密碼 程序及，另一方面，適用之處理器解決執行係藉由密碼程 序要求之計算。與以前之時代比較，在一般用途電腦上執 行密碼程序時，成本、需要之計算時脈及備有相應於一大 量多種之攻擊之安全性係不如今日之這種重大意義，其中 在晶片卡或其係以特定需求為條件之特定電路ICs上增加 執行密碼程序。例如，這種智慧卡一方面必須可以以如它 們係大置生產之低成本使用，但是在另方面必須指示相應 於如它們係完全在潛伏之攻擊者之電力中之外部攻擊之高 度安全性。 另外，密碼程序必須提供大量計算容量，尤其如許多密 碼程序之安全性，例如係根據使用之鍵值之長度決定已知 之RSA程序。換言之，這意謂備有增加處理之數量之長度， 如同增加安全性’因為根據所有可能性之嘗試之一攻擊者 係不可能為計算時脈之理由而放棄。 以數字值之格式表達，這意謂密碼處理器必須係可以管 理整數，即具有可以係1〇24位元、2048位元或可以係更多 位元之一長度之完整數量。在備有其之比較中，在一習知 電腦中之處理器係處理32位元或64位元整數。然而，僅在 I_ 丄 本紙張尺度適财國國家標準(CNS) A4規格(21GX 297公董) 526450 A7 B7 五、發明説明（2 ) 計算使用橢圓曲線之情形中，用於在1 60位置之範圍中之較 低數值之位置之數量僅係明顯在習知PCs中之位置之數量 上。 然而，在相同時脈之高計算消耗意謂長計算時脈，如此 在相同時脈之密瑪處理器係提供不用佔據許多分鐘完成例 如對一建立、一付款交易或一信用卡傳送之一識別、存取 之高計算輸出量之基本需求，如此其用於市場承兒將係非 常有決定性。 因此，可以概述密碼處理器必須安全、快速及因而格外 有效。 一種通過包含一中央處理單元備有一或更多以並聯方式 操作之協同處理器之一處理器增加輸出量之可能性，如係 例如在現代PCs或同樣現代圖形卡之情形。在圖7中說明這 一種背景。圖7揭示具有配置於其上之一 CPU 802、一運作 記憶體（RAM) 804、一第一協同處理器806、一第二協同處 理器808如同一第三協同處理器81〇之一印刷電路電腦板 800。CPU 802係通過一匯流排812連接於三個協同處理器 806、808、810。此外，其係可以提供用於各協同處理器之 一別記憶體，其用於服務特定協同處理器僅，即一記憶體工 814、用於協同處理器2之一記憶體2 816以及用於協同處理 器3之一記憶體3 818之操作。 除此之外，圖7所示配置於電腦板8〇〇上之各晶片係備有 用於在個別元件内之電子元件通過一別電力或電壓源終端 之1^到18之功能需要之電力供電。如一變換型式，僅在通過 -6 - 本紙張尺度適用中國國豕標準(CNS) A4規格(21〇X 297公爱) 526450 A7 B7 發明説明 該板子配置於在該板子上之個別晶片時，可以備有提供印 刷電路板一單一電源。然而，對一攻擊者將可以使用到晶 片之供應線。 用於圖7所示之通常電腦應用之觀念因為一些原因係適 用於密碼處理器。一方面，設計所有元件用於短整數程序 ’然而密碼處理器必須執行長實數程序操作。 另外’在電腦板800上之各晶片具有其之特有之一電流或 電力存取，其係可以容易藉由用於在時脈上之電力構型或 電流構型搭線之一攻擊者存取。在時脈上之電力構型之搭 線係高效率之攻擊者對抗密碼處理器之一相乘之基礎。在 20 00年6月13到15日，歐洲智慧安全性討論會，Hess等人之 "對抗資訊洩漏攻擊之密碼程序及反制措施之智慧卡執行，， 中給定多種攻擊者對抗密碼處理器之額外背景資訊及一詳 細說明。建議之反制措施係根據不同操作永遠佔據相同時 脈之事實之執行，如此用於在電力構型之基礎上之一攻擊 者係不可能瞭解是否密碼處理器已經執行一多種應用、一 相加或任何其它應用。 2000年6月13到15日歐洲智慧安全性討論會，Hess等人 之用於公共鍵值程序之長整數算術單元之設計”論文，討 論一些密碼處理器必須可以執行之程序操作。產生尤其模 組化相乘之參考，模組化換算如同在德國專利DE 36 31 992 C2中揭示之所謂ZDN程序之方法。 ZDN程序係根據使用用於其可以並聯方式執行之相乘及 模組化換算之預測程序之一串聯/並聯配置，為轉換一相乘 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) y

裝 訂

526450 A7 B7 五、發明说明（4 ) 之二個二進位數字成為用於相乘及模組化換算之預測參數 之一重複之3運鼻域相加。最後，衰減模組化相乘成為部分 結果之一串聯計算。在重複之開始處，為取得一中間結果 ，產生二個部分結果及然後以模組化相乘之考慮向上增加 。之後，產生另外部分結果及再次以模組化相乘之考慮增 加到該中間結果。繼續本重複直到已經處理過倍增器之所 有位置。用於一三運算域相加，一密碼處理器包含其在一 目前重複步驟中’對前面重複步驟之中間結果執行一新部 分結果之總和之一加法器。 因此，為了以並聯方式執行一些模組化相乘，增加用於 特定應用之輸出量’可以備有其之特有之一 ZDN單元提供於 圖7之各協同處理器。然而，此解決方式再次失效，因為一 攻擊者可以發現各個別晶片之電流構型，如此已經確實完 成在輸出量中之一增加，然而密碼電腦之安全性所費不貲。 文件W0 99/39475揭示一種密碼系統包含一連接器，一匯 流排界面及具有在其上配置一密碼處理器、適用於重新配 置之一協同處理器、二個密碼 、二個密碼協同處理器、一 RAM記憶體及

處理板上之密碼處理器。

暴露之配置係在次微米之範圍中之整合已經取得用 於鍵值 -8 - 526450

管理之安全性。另外，有提供為刺探信號聚集在晶片表面 上製圖之一保護掩護。 本發明之一目的在提供可使用一快速及安全密碼處理 器。 此目的可藉由申請專利範圍第丨項之一密碼處理器以 足之。 ' 本發明係根據一必須從執行並聯密碼操作之習知方法分 離之發現在曰曰片上執行根據本發明之密碼處理器。複 數協同處理器係通過一匯流排連接於一中央處理單元，備 有所有具有從一共1¾ t源、終端#應t源到纟之協同處理器 。然後其僅係允許備有用於一攻擊者之非常高困難度，或 即使不客氣，藉由在電源終端之一電力構型之方式"竊聽" ，由個別協同處理器之操作。用於增加密碼處理器之輸出 量，協同處理器係以並聯方式通過匯流排連接於中央處理 單元’如此可以藉由中央處理單元配置—操作程序於個別 協同處理器。 較佳地，有一些在單一晶片上瞽人夕 日日乃上正〇之不同類型之協同處 理器，如此可以使用密碼處理器如多功能密碼處理器。这 意謂換言之個別設計用於不對稱加密程序，例如，rsa程序 之-協同處理器或-組協同處理器。再次提供其它加密協 同處理器執行其係必要，例如，用於DES加密程序之程序操 作。另外協同處理器或一些額外協同處理 呆 %狂15組成例如可以 執行對稱加密程序之一 AES模組，然而仍右货—^ ^ 有其它協同處理器 組成例如為計算Hash數值之一Hash模纽。* 士叫 、 仕本裝置中，取

裝

k -9-

526450 A7

得其在包含一相應數量之加密 許多不同密碼程序之一安全多 功月b役碼處理器尤其用於在飼 路中係優異於一可以執行許多 應0 協同處理器時，可以使用於 功能达、碼處理器。這一種多 服器應用中，例如在網際網 不同加密作業之伺服器之效 然而，多功能性係用於智慧卡之優點如同，尤其如有义 種可以並聯或變成㈣増加之方式制之加密觀念。因二 ’如果其可以執行許多不同功能，一智慧卡將在市場中成 力如比較於備有用於許多不同操作之許多不同智慧卡之 -觀念’因為一智慧卡持有者僅僅需要在其之公事包中僅 攜帶一片單一智慧卡及非，例如，用於10種不同應用之10 個不同智慧卡。 另外，不僅提供根據本發明之密碼處理器用於多功能性 ,，，也有較高安全性。可以說，較高安全性係多功能性之一 "無用結果”，如多種具有不同操作及因此不同之電力構型 之密碼程序。即使僅有—加_同處理器在—時脈執行一 類型之程序及其它加密協同處理器因為已經不定址它們而 係靜止，有出現用於一攻擊者之一額外阻礙，在他可以分 析個別電力構型之前，對第一必須找出那個特定程序係在 那個時脈活動之相同效應。如果有二個密碼協同處理器類 型以並聯方式操作，然後如二個完全不同類型之程序之電 力構呈係在共同電源終端上互相重疊，可以考慮狀態變得 更困難用於攻擊者。 原則上即使僅疋址一單一其它加密協同處理器，可以 -10-

526450 A7

之加密協同處理器執行所謂-”虛擬"計算如此 以加㈣同處理器時在所有時脈取得本背景。如 機率選擇"虛擬"加密協同處理 3 密協同處理器程序之參數之一攻擊者有用，，加 考將變成仍然較困難， 如，、不知道’即使在所有時脈執行相同有用程序，盆中立 它模組係在特定時脈操作。因此備有在密碼處理器晶片上 之不同加密類型協同處理器之數量增加安全性。 在備有參考於附圖之細節中將說明本發明之較佳實施例 ，其中 圖1揭示在一單一晶片上整合之本發明密碼處理器； 圖2揭示藉由一 c p u控制之複數個別協同處理器之詳細說 明； 圖3揭示適用於三運算域相加之一算術單元之詳細說明； 圖4a揭示用於在串聯/並聯之裝置上執行模組化相乘之 一概略流程圖； 圖4b揭示用於說明一算術單元藉由一相乘之方式之串聯 /並聯操作之一數字實例； 圖5揭示分割一模組化取冪到一些模組化相乘之一實例，· 圖6揭示分割一模組化取冪到多重協同處理器之另一實 例；及 圖7揭示備有多樣性個別供電元件之一電腦板。 在產生對個別圖式之更詳細參考前，其將在下面指出為何 藉由一些其係配置於一晶片上及藉由配置於相同晶片上之 一控制單元控制之協同處理器之並聯連接取得較高安全性。 -11 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐)

裝

% 526450

裝 使用密碼處理器用於決定性之安全之應用，例如用於數 位簽名、認證或加密作業。一攻擊者，例如，為因此破壞 雄碼配置試圖發現秘密鍵值。例如，在其如其中已經指出 包各用於一合法義務之電子簽名或也用於使用一行動電話 之家庭銀行業務或付款等等之智慧卡、簽名卡之一晶片卡 中使用密碼處理器。如一變換型式，此密碼處理器亦用在 電月尚及伺服器中做為安全Z c，以利實施一認證或可以執行 編密工作，例如包含在俗稱之SSL程序（SSL =安全界面程式 層）中經由網際網路之安全付費，.即信用卡數字之安全傳 送0 通常實體攻擊者測量電力消.（SPA、DPA、時脈攻擊）或 電磁輻射。用於較準確之攻擊之說明，對初始指示之資料 來源產生參考。 訂

由於備有目前半導體技術取得在通常低於或等於25〇毫 微米之範圍中之配置之事實，攻擊者備有非常大之困難僅 可以執行本地電流測量，一攻擊通常涉及全部晶片卡包含 CPU及協同處理器之電力消耗之測量，其包含，例如，CPU 、RAM、一 ROM、一 E2PR0M、一快閃記憶體、一時脈控制單 元、一隨機數字產生器（RNG)，一 DES模組及加密協同處理 器之個別電力消耗之總和。 由於加密協同處理器通常涉及最高電力消耗之事實，在 個別加密協同處理器開始計算時一攻擊者係可以看到如^ 個別備有供電於個別協同處理器。為避免這種情形，目： 將係其在時脈上完全係固定之一電力消耗。然後如—^ -12- 526450

者在一加密協同處理器開始計算時將不再瞭解。不可以完 成本理想目標，但是在根據本發明之協同處理器之並聯連 接，及結果，一盡可能一致之"雜訊"大約一平均數值。 例如在CMOS技術中執行之一晶片之電力消耗，根據在從 0到一 ’’ Γ上之切換改變。因此電力消耗係附屬資料如 同附屬於藉由CPU及加密協同處理器使用之指令上。 - 如果以並聯方式連接一些協同處理器及導致這些處理器 處理一些操作或並聯之部分操作，或如指出，如果分割一 操作到一些協同處理器，藉由資料及指令之程序產生之電 流構型係互相重疊。 並聯運作之協同處理器之數量越大，其變得越困難產生 如個別對在個別協同處理器中及在控制單元中之資料及指 令之決定，因為在各協同處理器中之資料及指令通常將係 不同，然而，攻擊者僅瞭解不同之重疊，但是並非具有在 個別指令中之它們之起源之電流構型。 圖1說明根據本發明之一密碼處理器，用於執行用於密碼 應用之操作。密碼處理器係在一單一晶片100上執行及包含 一中央處理單元（CPU) 102及複數協同處理器1〇4a、1〇4b 、l〇4c。如中央處理單元1〇2，在相同晶片上配置如在圖i 中所不之協同處理器。複數協同處理器之各協同處理器包 含其之特有之一算術單元。較佳，各協同處理器1〇乜、1〇“ 、104c除鼻術單元外，各協同處理器為可以儲存中間結果 也備有圖2之參考說明之至少一暫存器（RjgQ)。 一典:型猎碼處理器包含連接於如同CPU 1〇2之外部終端 -13- 本紙張尺度適用中ϋ ®家標準(CNS) A4規格(21GX 297公爱) 一 一 —-- 526450 A7 —---— —_B7 五、發明説~ " ---— ，分別用於資料輸入及資料輸出之一輸入界面114及一輪出 界面116 CPU 102通常具有相關外加之其之特有之一記恒 體118 ’其係在圖}中指示之RAM。密碼處理器除了別的以外 ，可以包含不在圖1中所示之一時鐘產生器12〇、另外記憶 體、隨機數字產生器等等。 〜 其係指出在備有一單一電源終端i 22供電之一單一晶片 上執行圖1所示之所有元件。晶片1〇〇具有通往圖丨中所示之 所有元件之内電源線，然而因為上述理由而不可以個 竊聽。 在對其之比較中，其係容易允許竊聽電流源終端122。相 對於在圖7所示之印刷電路板，‘其中可以非常容易竊聽所有 個別元件之電源終端及因此具有非常”明顯，，電流構型，在 電源終端122出現之電流構型幾乎係固定及需要如盡可能 大約一固定數值之均質雜訊。此係由於協同處理器1〇牦二 l〇4b、104c大部分配置在互相獨立於根據其中相應之控制 或相應之執行之例如從，，〇，’到”Γ上切換之電流消耗中，及 因此消耗在不相關之裝置中之電流之事實。 個別協同處理器之並聯另外具有可以增加密碼處理器輸 出量之效應，如此在晶片上之一記憶體之執行之情形中， 由於用於記憶體及程序邏輯單元之不同技術產生在速度方 面可以多於補償之附加損失。 如上所示，圖1之密碼處理器包含一 cpu 1〇2通過一匯流 排101連接於複數加密協同處理器104a、104b、1〇4c。根據 本發明，已經藉由二個共同個別、獨立加密協同處理器^4a -14-

526450

及l〇4b完成在共同電力供給終端122之電力構型之均質化 。如果二個加密協同處理器1〇切及1〇仆係不同之設計增加 安王性，即任何一係可以執行一程序操作之不同部分操作 或具有用於多種密碼程序，例如用於不對稱加密程序（例如 RSA)、對稱加密程序（例如DES、3DES或AES)，用於計算 數值之Hash模組及類似程序之程序邏輯單元。如果以用於 每種程序類型之並聯方式連接複數加密協同處理器增加輪 出量。圖1 ，例如，揭示以並聯方式連接之⑴加密協同^ 理器，其係執行全部來執行例如在RSA程序中出現之操作。 圖1之第二協同處理器線揭示以完整、獨立加密協同處理器 ，其係執行全部來執行例如用於DES程序需要之程序操作。 最後，在圖1中之第三協同處理器線說明以獨立加密協同處 理器，其係執行全部來執行用於，例如，用於Hash計算需 要之操作。因此其係允許取得個別用於不同密碼程序及操 作之在輸出量方面之一重要增加，其係需要用於相同目的 ，如果可以配置藉由密碼程序設定之這些操作或作業於並 聯、獨立程序邏輯單元。 也可以使用此一包含用於不同運作之複數加密協同處理 器之夕功能岔碼處理器，有助於如果密碼處理器必須處理 僅一密碼程序如此控制在圖1中說明例如在一智慧卡上執 行之密碼處理器。另外，在此情形中，如此執行cpu，其驅 動一主動靜止加密處理器產生相同程序執行”虛擬"計算， 如此一攻擊者在電源輸入終端122瞭解至少二個重疊之電 力構型。在隨機裝置中有助於選擇加密處理器類型執行虛 -15- 本紙蒗尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 526450 A7

裝

526450

以因此共同連接。

一：一變換型式 '然而其也允許配置一協同處理器一些在 ::用裝置中之暫存器，其係運算域係充分用於一此部分 例如’模組相乘或模組取幕之這—種範i用於避 邱’然後在隨機裝置巾係可以重置切使係混合 2操作’其係在圖2㈣〇可特，為因此取得電流構型之 步遮掩。這將尤其有助於，例如，分別係僅提供二個 協同處理器或在操作中係僅二個協同處理器時然而一密 碼處理器之其它協同處理器係在特定時間靜止。 裝 訂

Λ根據本發明之一較佳實施例，控制單元105包含在圖2中 有揭不之另外-裝置，分別用於恢復之協同處理器或協 同處理器之暫存器，在不需要這些裝置時，其可以尤其有 助於用於減少全部電路之電流消耗之電池電力之應用。 C/0S元件僅在轉換期間需要電流到一重要範圍係真實，但 是它們也具有其可以係如果限制可用電力之關聯之一靜止 狀態電流消耗。 如上所述’一密碼處理器，由於藉由相同方式處理之長 整數具有可特部分操作，例如備有對圖乜及讣之參考說明 之串聯/並聯相乘之特性，需要一相當長之時脈。較佳為其 可以獨立執行此一部分操作以設計協同處理器，在控制單 元已提出需要之指令到程序邏輯單元之後，沒有控制單元 105之干擾。最後，各協同處理器之程序需要用於儲存中間 解決之暫存器。 由於在用於一相關長週期之時脈之操作中沒有藉由 -17-

526450 A7

102輸广一協同處理器之事實，即cpu 1〇2可以成功施加需 要之才曰7於可以說在串聯裝置中之重複之個別協同處理器 、此以並聯方式’但是以稍微互相涉及之時脈移位裝置 方式操作所有協同處理器。 例如’在一可特時脈中啟動第一協同處理器，CPU 102 已疋成第一協同處理器之活動時，其在第一協同處理器係 已在操作中時將立刻執行第二協同處理器之活動。根據第 一協同處理器之活動之完成啟動第三協同處理器。這意謂 ’在第三協同處理器之之活動期間，第一及第二協同處理 器係已經計算。在用於所有η協同處理器執行這程序時，所 有協同處理器係在時脈移位裝置中之操作中。如果所有協 同處理器係操作，如此它們之部分操作具有相同週期，將 已第一完成第一協同處理器。 現在CPU將取得來自第一協同處理器之結果及較佳在已 完成第二協同處理器之前已完成本程序。可以因此主要增 加輸出量’也備有完成CPU 1〇2之計算容量之一最佳開發Q 躍然所有協同處理器執行相同操作，然而有建立如所有協 同處理器在一時脈移位裝置中操作之一高度模糊電流構型 。如果在相同時脈藉由CPU啟動所有協同處理器及以一方式 在完全同步之裝置中運作，狀態將困難。這將導致一不模 糊電流構型及一相同加強之電流構型。因此協同處理器之 串聯操作係也將有助於注意密碼處理器之安全性。 在後文中，圖3說明用於執行如在圖3中之右方之一方程 式之一二運算域相加之一裝置。在圖3中之右方之一方程式 -18- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐） 526450 15 發明説明（ 說月相同執行相加及相減，如為達到一相減僅必須藉由係 數，，〜1 " 〜ί相乘之一運算域。藉由沒有繼續存在之總和運作， 即一半加法器，及備有繼續存在之總和運作，即其係一全 加法器之一向下位元流二位元加法器之一三位元加法器之 裝置執行二運鼻域相加。另外，也可以有僅運算域Ν、僅運 域Ρ或元全;又有係增加之運算域，或減之格式、運算域ζ 之凊形。這係藉由在加/減號之下之"零"在圖3中象徵性指 不及藉由在各互動步驟中重新計算其之所謂預測參數⑴、 a2之方式在圖4中指示。 —圖3說明此一加法器之一所謂位元分割。用於備有三個數 字之相加，例如，1 024二進位位置，在圖3中說明之配置方 式將在用於完成並聯操作之一程序邏輯單元1〇6之算術單 元中出現1 024次。 在本發明之一較佳實施例中，配置各協同處理器1〇6到 112(圖1)來執行使用在DE 36 31 9犯C2中提出之預測程序 之一模組相乘。 藉由圖4b之方式說明其令需要之一模組相乘，此作業係 令二進位數字”m"及"101"相乘。就此而言，此相乘係實 施於一協同處理器内，相似於依據習知"教學數學"之二個 數字之乘法，然而備有係以二進位之格式代表之數字。用 於說明之簡化’在下面考慮之情形並不有助於一預測程序 ，或一模組相減。在執行本程序中，第一產生一第一部分 結果"111"。然後往左移位用於其、之重懸之考慮之本部 分結果-位置。可以瞭解第―、左移部分結果如一第一互 -19-

526450 A7 一 _ B7 五、發明説明（16 ) 動步驟之第一中間結果，然後在一第二互動步驟中具有增 加到其中之第二部分結果” 000"。再次往左移位本相加之結 果一位置。然後本相加之移位結果係更新之中間結果。然 後本更新之中間結果具有最後部分結果” 1 1 1"增加到其中 。然後取得之結果係相乘之最後結果。注意到分割相乘成 為二個相加及二個移位操作。 _ 另請注思’如果相乘器之主要位置係一二進位"1 ”，被乘 數Μ代表部分結果。與其比較，如果相乘器之主要位置係一 一進位0 ’部分結果係〇。另外，由於個別移位操作，部 分結果之位置或重要性係納入考慮。在圖4b中這係藉由部 分結果之移位之平面圖之方式揭示。如注意硬體，圖处之 相加需要二個暫存器1及22。可以儲存第一部分結果於暫存 器Z!中及然後在本暫存器中往左移位一位元。可以儲存第 二部分結果於暫存器Z2中。然後再次儲存小計於暫存器Ζι 中及然後再次往左移位一位元。第三部分結果將再次儲存 於暫存器Z2中。然後在暫存器Zl中將包含最後結果。 一概略流程圖4a用於在圖4b中說明之程序。在一步驟sl〇 中，第一初始在一協同處理器中出現之暫存器。在一步驟 S12中，在初始後，為計算第一部分結果執行一三運算域相 加。其係指出，用於在圖4b中給定之其係沒有模組操作之 一相乘之簡單實例，在步驟S12中指示之相等式將僅包含z 、。可以參考ai如第—預測參數。在其之最簡單之格 式中，如果相乘器〇之値別位置係一 1，" a"具有"i "之一數 值。如果相乘器之個別位置係一零，"a"係零。 -20-

>26450 A7 B7 五 發明説明 以用於全部例如1〇24位元之计脚+ 1 ^ aB』 位兀之並聯方式執行在區塊S12中 說月之操作。之後’在一步驟S14中，為納入第二部分结果 =最兩位元係配置於-低於第—部分結果之最高位元之位 少 置之移位标作之最簡單情形中有 在右進位。如果相乘器0之一些連續位元具有一零經過一 些位置往右之一移位將取代。最後，在一步驟S16中，再次 使用例如在圖3指#之加法器電路執行並聯2運算域相加。 持續本程序直到已經向上增加所有例如1〇24部分結果。 串聯/並聯意謂在區塊S12或S16中並聯執行之裝置，及串聯 程序成功組合所有互相備有之部分結果。 在後文中，為一些實例如一操作可以如何分割成為特定 部分操作將對圖5到7產生參考。圖5說明操作xd模式N。用 於中斷本模組取冪，以二進位格式代表指數d。如在圖5中 所不，這導致模組相乘之一電路，也如在圖5中所示，可以 配置各模組相乘操作於每一協同處理器，如此藉由在圖1 中所示之岔碼處理器以並聯方式執行所有模組相乘。然後 取得中間結果，在已經以並聯方式確定之後，然後為取得 結果而互相備有相乘。CPU 1 02控制分割到個別協同處理器 CPi到CPk及然後互相備有中間結果之最後相乘。 圖6說明分割一操作（a*b)模式◦成為複數模組操作之另 外實例。協同處理器〇?1可以再次確定一第一中間結果。之 後協同處理器CP2到CPn也計算中間結果，在取得中間結果之 後，CPU 102控制互相備有中間結果之相乘。CPU控制向上 總和例如如此其選擇一協同處理器，然後其係備有用於向 -21 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公董) 526450 五、發明説明（18 和：同結果之’間結果來供電。也在此 成為一些互相獨立之部分操作。 刼作 其指出有許多分#卜或其它操作成為部 ，僅提供在圖㈣給定之實例說明分割一或其：：：】 ^數部分操作之可能性，1中甚至可以相關於可取之功 能之更^可用之分割之類型。因A，其不係在實例中必要 之處理器之功能，但是出現分割如此各協同處理器執行一 獨立之crP刀操作，及為在往晶片之電力輸入取得一盡可能 模糊之電流構型，藉由一中央處理單元控制複數協同處理 器。 參考數字之承丨_

100晶片 101匯流排 102 CPU 104a協同處理器 104b協同處理器 104c協同處理器 106a算術單元AU1 l〇6b暫存器1 l〇6c暫存器2 106d暫存器3 106e控制單元 108a算術單元AU2 108b暫存器1 -22- 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐） 526450 A7 B7 五、發明説明（19 ) 108c 暫存器2 108d 暫存器3 108e 控制單元 114 輸入界面 116 輸出界面 118 RAM 120 時鐘產生器 122 電源終端 200 用於改變程序之裝置 202 用於控制虛擬計算之裝置 800 印刷電路電腦板 802 CPU 804 RAM 806 第一協同處理器 808 第二協同處理器 810 第三協同處理器 812 匯流排 814 記憶體1 816 記憶體2 818 記憶體3 h到 I 8電源終端 -23- 本紙張尺度適用中國國家標準(CNS) A4規格(210 x 297公釐）

Claims (1)

1. 526450 A B c D 六、申請專利範圍 1· 一種用於執行用於密碼應用之操作之密碼處理器，其包 含： 複數協同處理器（l〇4a、104b、104c)，各協同處理器 具有一控制單元（l〇6e、108e)及一算術單元（l〇6a、 108a)； 一中央處理單元（102)，用於控制該複數協同處理器 (104a、104b、l〇4c);及 一匯流排（101)，用於連接各協同處理器到該中央處理 單元， 該中央處理單元、該複數協同處理器及該匯流排係在 一單一晶片（100)上整合， 及該聶片具有一共同電源終端（122)，以供電至該複數 協同處理器。 2·如申請專利範圍第1項之密碼處理器， 其中提供該複數協同處理器之各協同處理器〇 〇4a、 104b、104c)用於其特有之一類型密碼演繹程序，因此密 碼處理器係以用於複數密碼演繹程序之硬體項目執行。 3·如申請專利範圍第1項之密碼處理器， 其中該複數協同處理器包含個別群組之協同處理器且 以並聯連接，該群組協同處理器各提供用於其本身之一 密碼演繹型式，使密碼處理器適用於複數密碼演繹程序。 4·如申請專利範圍第2項之密碼處理器， 其中該類型之密碼演繹程序係從具有下面元件之一群 組選擇： -24- 本紙張尺度適用中國國家標準(CNS) A4規格(21〇 χ 297公釐） 526450 A B c D 1 ——-—— 六、申請專利範圍 一 DES演繹程序、AES演繹程序用於對稱加密程序、rsa 廣繹程序用於對稱加密程序及演繹程序用於計算 Hash數值。 5♦如申請專利範圍前述第1項之密碼處理器， 其中7密碼操作可以分割成為複數部分操作，配置中 央處理單兀來配置該複數部分操作到該複數協同處理器 之個別協同處理器（104a、1〇4b、1〇4〇。 6·如申請專利範圍第1項之密碼處理器， 其中該複數協同處理器互相係不同，如此協同處理器 可以硬體之項目執行之不同數學操作之數量係至少等於 協同處理器之數量。 7·如申請專利範圍第1項之密碼處理器， 其甲用於密碼應用之該操作包含模組取冪及/或模組 相乘及/或模組相加/相減。 8·如申請專利範圍第1項之密碼處理器， 其中各協同處理器係配置於處理具有至少16〇位置及 較佳至少1 024或2048位置之二進位數字。 9·如申請專利範圍第1項之密碼處理器， 進一步包含僅一記憶體（118)連接於該中央處理單元 (102) 〇 10·如申請專利範圍第1項之密碼處理器， 進一步包含一時鐘產生器裝置（120)用於傳送一時鐘 到該處理單元（102)及該複數協同處理器，該時鐘產生器 裝置也係在該單一晶片上整合。 -25- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) D8 六、申請專利範圍 11 ·如申請專利範圍第1項之密碼處理器， 其中各協同處理器進一步包含複數暫存器（106b、106c 、106d、108b、l〇8c、108d)，係僅配置於該個別協同處 理器之該算術單元（l〇6a、108a)。 12·如申請專利範圍第η項之密碼處理器， 其中連接於一協同處理器之該複數暫存器之長度（Ll、_ L〇如同連接於互相係不同之另外協同處理器之該複數 暫存器之長度如此該協同處理器係可以執行備有各不同 長度之數字之程序計算。 13·如申請專利範圍第η項之密碼處理器， 其中連接於一協同處理器之暫存器之該數量係足以處 理運算域用於至少二個部分操作，如此用於至少二個部 分操作其係不需要在該協同處理器（104a、l〇4b、104c) 及該中央處理單元（102)之間傳送運算域。 14·如申請專利範圍第丨3項之密碼處理器， 其中該中央處理單元（102)進一步包含一裝置（2〇〇)， 用於該至少二個部分操作之時脈控制，如此係可以調整 該至少二個部分操作之程序，其操作係儲存於一協同處 理器之該暫存器中。 15·如申請專利範圍第丨丨項之密碼處理器， 進一步包含一裝置用於如果該中央處理單元決定沒有 出現部分操作用於該協同處理器靜止一協同處理器，為 減少該密碼處理器之電力消耗。 16·如申請專利範圍第1項之密碼處理器， -26- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 526450 A B c D 々、申請專利範圍 其中該中央處理單元（102)係配置於連接至少二個協 同處理器到一組件，因此一部分操作係配置於該組件如 此一部分操作可以藉由該組件之協同處理器共同執行。 17·如申請專利範圍第丨丨項之密碼處理器， 其中各協同處理器具有一字元長度其係藉由該個別算 術單元（10 6a、108a )之數字長度決定，及其中該中央處-理單兀（102)係配置於共同連接至少二個協同處理器如 此該共同連接之協同處理器係可以使用其係等於該共同 連接之協同處理器之數字寬度之總和之字元長度之數字 計算。 18·如申請專利範圍第1項之密瑪處理器， 其中至少一協同處理器之該算術單元具有一串聯/並 聯算術邏輯單元其係設計如此一些計算可以在一週期中 以並聯方式執行，該數量係等於在該計算中使用之一數 字之該位置，及在另外方面，程序週期，該相同計算如 在該第一週期中係在串聯裝置中執行，使用該一週期之 結果。 19.如申請專利範圍第18項之密碼處理器， 其中一協同處理器係設計用於模組相乘，在一週期中 ，為增加一部分結果到一先前週期之_結果，及在一額 外週期中’為增加該最後週期之結果到一後續部分結果。 20·如申請專利範圍第19項之密碼處理器， 其中該算術單元包含一三運算域 升為加去器用於模組相乘 ，供一處理之數字之各位置包含： -27- 526450 A B c D •、申請專利範圍 一半加法器’用於沒有總和繼續存在之相加，呈有二 個輸入及二個輸出；及 一隨後全加法器，具有二個輸入及一輸出。 21. 如申請專利範圍第1項之密碼處理器， 其中該中央處理單元（102)包含一裝置以控制一加密 協同處理器執行一虛擬計算。 22. 如申請專利範圍第18項之密碼處理器， 其中該用於控制虛擬計算之裝置（202)係配置於隨機 選擇該密碼處理器執行一虛擬計算。 -28 本紙張尺度適用中國國家標準(CNS) A4規格(210 x 297公釐) 裝 t