TWI386818B

TWI386818B - 密碼安全模多項式簡化方法及執行該方法之計算硬體

Info

Publication number: TWI386818B
Application number: TW095116180A
Authority: TW
Inventors: Dupaquis Vincent; Douguet Michel
Original assignee: Inside Secure
Priority date: 2005-05-12
Filing date: 2006-05-08
Publication date: 2013-02-21
Also published as: JP2008541166A; TW200703037A; JP4875700B2; FR2885711A1; US7805480B2; US20110016167A1; CN101194457A; US20100023572A1; CN101194457B; FR2885711B1

Description

密碼安全模多項式簡化方法及執行該方法之計算硬體

本發明係有關於算術處理及計算系統及電腦執行方法，其特別是使用在密碼應用程式中。本發明特別是有關於餘數算術，其包含在一有限場GF(2ⁿ )中之多項式的模簡化，特別是從Barrett簡化方法所獲得之計算。

許多密碼演算法使用大整數乘法(或指數運算)及將乘積化簡至一餘數值，該餘數值在一有關於密碼鑰之特定模數下係同餘的。一些密碼演算法(包括AES/Rijndael區塊加密以及以離散對數及橢圓曲線為基礎之加密)在一有限場(例如：二進位場GF(2ⁿ ))中對多項式實施算術運算，包括對此等多項式之乘法(或指數運算)及模簡化運算。密碼系統所實施之數學計算可能易受電力分析及時序攻擊之影響。因此，保全電腦以便無法獲得有關該鑰之資訊係重要的。

同時，這些計算要快速且精確是重要的。無論是對大整數或對在一有限場中之多項式運算，乘法及簡化係一密碼演算法之最密集計算部分。已針對有效模簡化發展出數個不同計算技術，其包括已知之Quiaquater方法、Barrett方法及Montgomery方法以及涉及預計算及查表之修改。在習知技藝中已描述及比較這些已知技術。例如：見(1)A.Bosselaers等人，「三個模簡化函數之比較」，高級密碼學/密碼機，93，LNCS 773，Springer－Verlag出版社，1994年，第175－186頁。(2)Jean Francois Dhem，「用於RISC智慧卡之有效公開金鑰密碼庫的設計」，魯汶大學(Universitcatholique de Louvain)，新魯汶市(Louvain－la－Neuve)，比利時，1998年5月。(3)C.H.Lim等人，「具有預計算之快速模簡化」，預印出版品，1999(可從CiteSeer科學文獻數位圖書館citeseer.nj.nec.com/109504.html取得)。(4)Hollmann等人,「用以經由計算標準化模指數運算來執行解密機制以便阻撓時序攻擊之方法及裝置」，美國專利第6,366,673 B1號，2002年4月2日(根據1998年9月15日所提出之申請案)。

本發明之一目的在於提供一種Barrett模簡化方法及對應計算裝置之改善(特別是應用至多項式)，其對於密碼分析攻擊更為安全，同時仍然提供快速且精確結果。

本發明之另一目的在於提供前述改善方法及裝置，其加速用於多項式之模簡化的商數估計。

藉由一種用於在一二進位有限場GF(2ⁿ )中之多項式的模簡化之電腦執行方法來符合這些目的，其中使用該多項式模數之預計算調整倒數做為乘數來估計一用於該簡化計算之多項式商數(至至少該正確多項式次方)。從該簡化所獲得之多項式餘項相對於該特定不可約多項式模數n總是與對應部分乘積同餘，然而通常(在多項式次方方面)大於最小餘數值及在每一執行之隨機方式中係不同的。因為刻意使該估計誤差隨機化，所以該方法對於密碼分析更為安全。並且，該等中間結果在數學上係相等的(與該等真實結果一致)，以及可以藉由處理一最後嚴格簡化而無需隨機化以獲得一最後結果，因而達成密碼運算之可逆性所需的精確度。

用以執行本發明之方法步驟的硬體包括一隨機數產生器以將隨機誤差引入該商數估計中。一具有記憶體存取之計算單元在一運算定序器之控制下操作，藉以執行韌體以實施多字元多項式乘法及模簡化之寬字元乘法－累加步驟。該計算單元可以包括專屬於有限場多項式運算之乘法－累加硬體，或者可以選擇性地實施自然或多項式算術。

參考圖1，計算硬體包括一計算單元10，該計算單元10能對從記憶體(RAM)12及工作暫存器14所擷取之多項式運算元實施寬字元有限場乘法及乘法－累加步驟。暫存器14可以是負責在標準整數運算中之進位引入的相同硬體暫存器。一運算定序器16包括用以依據該組運算用之韌體或軟體指令來控制該計算單元10以使用一不可約多項式基底實施該多字元有限場多項式乘法(或指數運算)及該模簡化之邏輯電路。在暫存器中所儲存之可由該運算定序器16所取得的運算參數18在於使該運算定序器能找到在該RAM12中之運算元以及有關於該等運算元之長度(字元之數目)及該等中間結果之目的位址的資訊之指標。

如至目前為止所述，該裝置實質上相似於適合多字元多項式算術運算之其它可獲得硬體。在該二進位有限場GF(2ⁿ )中所實施之多項式算術在進位之忽略方面及在加法與減法之等效方面係不同於自然算術。該計算單元可以包括專屬於有限場多項式運算之乘法－累加硬體，或者可以是雙用途自然/多項式算術硬體，其可選擇實施自然或多項式算術。除下面所將描述之簡化步驟的細節之外，該等韌體或軟體指令亦相似於用以在寬字元區段中執行有效多字元多項式乘法或指數運算之習知程式。

不像此型態之習知硬體，圖1中之硬體亦包括一隨機數產生器20，其例如可以是任何已知虛擬隨機數產生器電路。該隨機數產生器實施一計算及輸出一隨機數，該隨機數之位元被解釋成為在本方法中所使用之一隨機多項式的二進位係數。在此，當依據實施本發明之方法的程式指令被該運算定序器16所指示時，該隨機數產生器20可由該計算單元10使用，以便引入該隨機誤差數量至如以下所述之商數估計中。

參考圖2，本發明之方法係該Barrett模簡化技術之改善，其提供較快速商數估計及對密碼攻擊之抵抗，以及本發明之方法將該模簡化技術應用至在該二進位有限場GF(2ⁿ )中之多項式。該方法係藉由圖1中之硬體來執行的。

雖然將此延伸至一二進位有限場GF(2ⁿ )中之多項式需要對該基本運算有某些修改，但是多項式之模算術在某些方面係相似於整數之模算術。首先介紹在一場中之多項式。可將x之(m－1)次方的多項式與一場F之構成部分的任何倍數(a_m ^－ ¹ ,…a₁ ,a₀ )相結合：a_m _－ ₁ x^m ^－ ¹ ＋…a₁ x¹ ＋a₀ x⁰ 。在任何二進位有限場之情況中，該場之構成部分為{0,1}及因而該多項式係數a_i 同樣為0或1。，因為每一位元可以解釋成為一有限場元素，所以此觀念特別適合於在本質上為二進制之電腦硬體。例如：可將每一二進位位元組值[a₇ a₆ a₅ a₄ a₃ a₂ a₁ a₀ ]與7次方(或更小)之GF(2ⁿ )中的一對應多項式結合：a₇ x⁷ ＋a₆ x⁶ ＋a₅ x⁵ ＋a₄ x⁴ ＋a₃ x³ ＋a₂ x² ＋a₁ x＋a₀ 。因此，例如：將該位元組值[01100011]解釋成為該二進位多項式x⁶ ＋x⁵ ＋x＋1。假設在該二進位有限場GF(2ⁿ )中該多項式次方(m－1)小於n以便使該多項式屬於該場，則可以將較長多位元組序列解釋成為較高次方之多項式。(注意：當比較多項式之相對大小時，開始於x之最大次方的多項式係數以一個次方接一個次方地實施該比較。)以分別相加或相減每一次方之係數的常用方式來實施在一場中之多項式的加法及減法，

然而，至於任何二進位場，該等構成部分為{0,1}，以便在模2下實施該等場元素之加法及減法(0±0＝0，0±1＝1±0＝1，1±1＝0)。注意到，在此情況中，相減等同於相加。在電腦硬體中，以對該等位元之陣列之一邏輯XOR運算來實施模2加法/減法。例如：(x⁶ ＋x⁴ ＋x² ＋x＋1)＋(x⁷ ＋x＋1)＝(x⁷ ＋x⁶ ＋x⁴ ＋x² )；或者在二進位符號中[01010111]⊕[10000011]＝[11010100]。(對於無限場而言)通常以下面式子來定義多項式乘法運算：，其中該係數c_k 係由下面迴旋所產生：。(再者，在二進位場中，在模2下實施加總)。然而，在一有限場中，必須修改此定義，以便確保該乘積亦屬於該場。特別地，在一般多項式乘法運算後為使用n次方之模數m(x)的模簡化(其中n為在GF(2ⁿ )中之有限場的大小)。最好選擇該模數m(x)為一不可約多項式(一質數之多項式相似物，亦即，無法被分解成為在該相同場中之非顯然多項式的多項式)。例如：在AES/Ri jndael對稱區塊加密中，當實施多項式乘法運算時，使用該特定不可約多項式m(x)＝x⁸ ＋x⁴ ＋x³ ＋x＋1做為模簡化之選擇基底以對在該二進位有限場GF(2ⁿ )中之位元組(7或更小次方之多項式)實施運算。使用AES所指定之特定m(x)之在一二進位有限場中的多項式乘法運算的一範例為：(x⁶ ＋x⁴ ＋x² ＋x＋1)．(x⁷ ＋x＋1)＝(x¹ ³ ＋x¹ ¹ ＋x⁹ ＋x⁸ ＋x⁶ ＋x⁵ ＋x⁴ ＋x³ ＋1)，其在簡化後產生(x⁷ ＋x⁶ ＋1)。

設F[x]為多項式之集合，所有多項式係數為一場F之構成部分。如果該模數m(x)為在F[x]中之d次方的多項式，然後對於多項式p(x)及r(x)F[x]而言，若且唯若m(x)整除多項式p(x)－r(x)之情況下，換句話說，p(x)－r(x)為m(x)之多項式倍數，亦即，對於某一多項式q(x)F[x]而言，p(x)－r(x)＝q(x)．m(x)，吾人說在模m(x)下p(x)與r(x)同餘，其可寫成p(x)≡r(x)(mod m(x))。

同等地，p(x)及r(x)在被m(x)除時具有相同餘項。一多項式p(x)之模簡化包括要獲得一多項式商數q(x)，以便該餘項或餘數r(x)係一具有小於m(x)之次方的多項式，亦即，deg(r(x))<d，其中該多項式p(x)之模簡化可以是在F[x]中之多項式a(x)及b(x)之一般乘積，亦即，p(x)＝a(x)．b(x)。該多項式餘數r(x)(與p(x)同餘)係最後所需要之多項式數值。在該二進位有限場GF(2ⁿ )中，m(x)係一n次方之不可約多項式及該所要獲得之剩餘多項式r(x)係小於n次方；然而，p(x)可以是及因而q(x)亦可以是任何次方，以及例如當p(x)係一乘積時，至少所要簡化之多項式p(x)經常是大於m之次方。在任何情況中，任何模簡化方法中之基本問題在於有效地獲得一商數，特別是針對大次方之多項式p(x)及m(x)。在密碼應用程式之脈絡中，一額外問題在於以免受電力分析攻擊之方式在計算硬體中實施該簡化運算。

Barrett方法(通常係針對整數簡化運算所設計)包括預計算及儲存該模數之倒數U的調整估計及以乘法及字元或位元移位來取代長除法(被x除)以便估計該商數。使用適當選擇之參數，該商數估計中之誤差最多是2。本發明使Barrett方法適用於在一二進位有限場中之多項式的簡化且亦以較快商數之估計及藉由在計算該餘項前刻意引用一隨機誤差至該商數中來改善Barrett方法。該結果隨機餘項(在多項式次方方面)稍微大於該餘數值，然而與該餘數值同餘。

假設k為該多項式模數m(x)之次方的大小，其中，具有對於k－1i0而言，m_k ＝1，m_i {0,1}以及假設p(x)為所要簡化之高達l 次方的多項式，其中，具有對於1j0而言，p_j {0,1}

以預計算及儲存(圖2中之步驟30)一表示該模數m(x)之調整倒數的常數多項式u(x)來開始，其中u(x)＝x² ^k ^＋ ¹ /m(x)

隨後在所有多項式簡化運算中將此儲存值使用於此特定模數m(x)。對於不是x之簡單次方的每一模數m(x)而言，u(x)經常是k次方。

要實施p(x)之模簡化，使用該儲存值u(x)來估計一多項式商數q(x)：q(x)＝((p(x)/x^k ^－ ¹ )．u(x))/x^k ^＋ ²

對於一具有高次方之模數m(x)(多字元)而言，可使用字元移位而非位元移位來實施該運算。使用一字元大小w，可定義u(x)＝x² ^k ^＋ ^w /m(x)及估計一商數q(x)＝((p(x)/x^k ^－ ^w )．u(x))/x^k ^＋ ² ^w 。在此情況中，該多項式p(x)可具有稍微較大次方：deg(p(x))2.k＋w。此簡化在該計算硬體中之多項式數量的處理。此計算只需要二進位有限場多項式乘法運算(沒有簡化)及多項式次方之移位。

在此階段(步驟36)中，將一隨機多項式誤差E(x)引入該已計算多項式商數以獲得一隨機商數q’(x)＝q(x)＋E(x)。可以藉由任何已知隨機或偽隨機數產生器(硬體或軟體)以產生該隨機多項式誤差E(x)(步驟34)，其中以上面所已述之方式將所產生之二進位值解釋為一多項式。唯一限制在於該誤差之多項式次方落在一特定範圍內，例如：

對於一具有高次方之模數m(x)(多字元)而言，該誤差應該限制為少數幾個位元，例如：小於一字元之一半，亦即，deg(E(x))<w/2。除該商數估計所造成的任何誤差之外，此還限制該隨機產生器所提供之可能誤差至一特定數目之位元，例如：一字元之一半。

接下來，計算(步驟38)該餘項r’(x)，該r’(x)(在模m(x)下)將與該餘數值r(x)同餘：r’(x)＝p(x)＋q’(x)．m(x)因為將一隨機多項式誤差E引入該多項式商數q(x)，所以該已計算餘項r’(x)之次方將稍微大於該模數m(x)。

可在進一步計算中使用該餘項r’(x)，如需要的話，可以再次簡化該計算之結果。(該誤差維持有界限的。)

在另一情況中，根據該特定應用程式之需求，可藉由應用一般GF(2ⁿ )多項式簡化於該模數m(x)以獲得一小於m(x)之多項式數值來從該餘項r’(x)計算該餘數值r(x)。

該模簡化之隨機化提供反制各種密碼攻擊之安全性，其中該等密碼攻擊依賴電力使用之一致性來決定該模數。在此，在模m(x)下之p(x)的二進位場多項式簡化隨機地從一執行變化至下一執行，同時仍然產生一同餘之中間餘項r’(x)。最後產生一最後餘數值r(x)之二進位場多項式簡化的順序亦隨機地從一執行變化至下一執行，因為其對不同餘項r’(x)操作。可從各種不同算術運算(包括乘法、平方、指數、加法等等)獲得以此方式簡化之多項式p(x)。同樣地，可以各種方式(在密碼方式中通常的是從一金鑰)獲得所使用之模數m(x)。本發明之隨機模簡化方法在許多密碼演算法中係有用的，該等密碼演算法依賴此等二進位場GF(2ⁿ )多項式簡化，其包括Rijndael/AES對稱區塊加密以及離散對數公鑰密碼系統。

10．．．計算單元

12．．．記憶體

14．．．工作暫存器

16．．．運算定序器

18．．．運算參數

20．．．隨機數產生器

圖1係依據本發明之計算硬體(包括一隨機數產生器單元)的示意平面圖，該計算硬體用於本發明之模簡化方法。

圖2係描述在該模簡化方法中之一般步驟的流程圖。

Claims

一種二進位有限場(binary finite field)GF(2ⁿ )之密碼安全電腦硬體執行模多項式簡化方法(modular polynomial reduction method)，包括：預計算及在一記憶體中儲存一多項式常數u(x)，該多項式常數u(x)表示一多項式模數m(x)之一位元調整(bit-scaled)倒數；在模m(x)下針對所要簡化之一多項式p(x)估計一近似多項式(approximate polynomial)商數q(x)，其中藉由與該常數u(x)在GF(2ⁿ )中之多項式相乘及藉由位元移位以在一計算單元中對p(x)執行該估計；在一隨機數產生器中產生一隨機多項式誤差值E(x)及應用該多項式誤差值至該近似多項式商數以獲得一隨機多項式商數q'(x)=q(x)+E(x)；以及在該計算單元中計算一多項式餘項r'(x)=p(x)+q'(x)．m(x)，該餘項r'(x)之次方高於該模m(x)，但在模m(x)下與p(x)同餘及其中p(x)之次方小於或等於2k+1，其中k為該多項式模數m(x)之次方的大小。
如申請專利範圍第1項之方法，其中依據方程式u(x)=x^2k+w /m(x)實施該多項式常數u(x)之預計算，w係該計算單元之字元大小的位元。
如申請專利範圍第2項之方法，其中依據方程式q(x)=((p(x)/x^k-1 )．u(x))/x^k+2 以該計算單元實施該商數q(x)之估計。
如申請專利範圍第1項之方法，其中該等位元移位係字元大小移位，該多項式常數被預計算成u(x)=x^2k+w /m(x)及該商數被估計成q(x)=((p(x)/x^k-w )．u(x))/x^k+2w ，其中w係該字元大小之位元，以及其中p(x)之次方小於或等於2k+w，w係該計算單元之字元大小的位元。
如申請專利範圍第4項之方法，其中該隨機數產生器具有一半字元之特定誤差限制，因而0deg(E(x))<w/2。
如申請專利範圍第1項之方法，其中p(x)之模簡化係電腦硬體執行密碼程式之部分。
一種計算硬體，用於二進位有限場GF(2ⁿ )中執行密碼安全多項式模簡化方法，該硬體包括：一計算單元，適用以對從一記憶體所擷取之多項式運算元及從一組工作暫存器所擷取之多項式係數中間結果實施寬字元(word-wide)有限場乘法及累加步驟；一隨機數產生器，用以產生一隨機多項式誤差值E(x)；一運算定序器，其包括邏輯電路，係依據程式指令控制該計算單元及該隨機數產生器，以便在二進位有限場GF(2ⁿ )中相對於一模m(x)實施一數p(x)之多項式模簡化，該多項式模簡化至少包含從表示該模數之位元調整倒數之預儲存多項式常數u(x)估計一多項式商數q(x)，以該隨機多項式誤差值E(x)隨機化該近似多項式商數以獲得一隨機多項式商數q'(x)=q(x)+E(x)，以及計算一多項式餘數值r'(x)=p(x)+q'(x)．m(x)。
如申請專利範圍第7項之計算硬體，其進一步包括可由該運算定序器存取之運算參數暫存器，該等暫存器包含以下任何一個或多個：(a)用以在該記憶體或工作暫存器中定位多項式運算元之字元大小係數的指標，(b)有關於多項式運算元之字元長度的資訊，及(c)運算步驟之中間結果的目的位址資訊。
如申請專利範圍第7項之計算硬體，其中從依據方程式u(x)=x^2k+w /m(x)之預計算獲得在該記憶體中之預儲存多項式常數u(x)，w係該計算單元之字元大小的位元，其中k為該多項式模數m(x)之次方的大小。
如申請專利範圍第9項之計算硬體，其中在該實施程式指令之運算定序器的控制下，以該計算單元實施的該近似多項式商數q之估計係依據下列方程式來進行：q'(x)=((p(x)．x^k-w )．u(x))/x^k+2w ，w係該計算單元之字元大小的位元。
如申請專利範圍第10項之計算硬體，其中該隨機數產生器具有一半字元之特定誤差限制，因而0deg(E(x))<w/2。