TWI403144B

TWI403144B - 隨機化模數減化方法及其硬體

Info

Publication number: TWI403144B
Application number: TW093134209A
Authority: TW
Inventors: Dupaquis Vincent; Douguet Michel
Original assignee: Inside Secure
Priority date: 2003-11-18
Filing date: 2004-11-10
Publication date: 2013-07-21
Also published as: US7809133B2; EP1687930A1; CN1883155A; US20050105723A1; FR2862454A1; CN1883155B; WO2005050905A1; TW200520498A; EP1687930A4; EP1687930B1

Description

隨機化模數減化方法及其硬體

本發明係有關於特別使用於密碼應用之算術處理及計算。本發明特別係有關於涉及模數減化之剩餘算術，特別是由Barrett減化方法(reduction method)所導出之計算。

大多數加密演算法使用大整數乘法(或乘方法)及減化乘積成一與一特定模數同餘之剩餘值，其中該特定模數係有關於一加密鑰。此計算結果易受電力分析及時序攻擊(timing attack)影響。因此，重要的是保全計算結果，以使無法獲得有關該鑰之資料。

同時，重要的是這些計算結果必須是快速且準確的。通常該大整數乘法及減化係一加密演算法在計算時最強調的部分。針對有效模數減化已發展出幾種不同計算技術(包括已知之Quisquater方法、Barrett方法及Montgomery方法)以及包括預先計算及對照表之修正。這些所熟知之技術係描述及比較於習知技藝中。例如見：(1)A.Bosselaers等人，「三個模數減化函數之比較」，高等密碼學/密碼’93，LNCS 773，Springer-Verlag出版社，1994年，第175-186頁。(2)Jean Francois Dhem，「RISC為主智慧卡之有效公開金鑰加密程式庫的設計」，博士論文，天主教法語魯汶大學，新魯汶，比利時，1998年5月。(3)C.H.Lim等人，「使用預先計算之快速模數減化」，預印本，1999年(可自CiteSeer科學文學數位圖書館， citeseer.nj.nec.com/109504.html獲得)。(4)Hollmann等人，「經由計算一標準化模數乘方以執行解密機構來阻撓時序攻擊之方法及裝置」，美國專利第6,366,673 B1,2002年4月2日(依據1998年9月15日所提出之申請案)。

本發明之一目的在於提供一種Barrett模數減化方法及其計算裝置之改良，其可更安全地抵制密碼分析攻擊，同時仍然可提供快速且準確之結果。

本發明之另一目的在於提供上述改良方法及裝置，其可加速商數的估算。

可藉由一電腦實施之模數減化方法以符合這些目的，而在該方法中一用於計算之商數係有系統地因幾個位元之隨機化誤差(例如：少於一半字元)而被低估。雖然所得餘數經常與有關特定模數之對應中間乘積同餘，但其大於剩餘值且在每次執行時之隨機方式係不同的。因為只需近似商數，所以其估算會較快。因為故意地隨機化該估算誤差，所以該方法可更安全地抵制密碼分析。中間結果在數學上係相等的(與真實結果同餘)，以及最後結果(在減除該模數之最後一組之後)確實是相同的，因此可完成加密操作之可逆性的準確度。

用以執行本發明之方法步驟的硬體包括一亂數產生器，其用以將隨機誤差加入商數估算中。一具有記憶體存取及進位加入之計算單元在一執行韌體之運算定序器的控制下操作，以實施大整數乘法及模數減化之字寬乘法-累積步驟。

參考圖1，計算硬體包括一計算單元10，其能對從記憶體(RAM)12所擷取之運算元及來自暫存器14之進位項實施字寬乘法及乘法-累積步驟。一運算定序器16包含邏輯電路，其用以針對該組之操作依據韌體或軟體指令控制該計算單元10，以實施大整數乘法(或乘方法)及模數減化。可由該運算定序器16存取之儲存在暫存器18中的操作參數構成指標，其能使該運算定序器在該RAM12中找到一運算元以及有關於該等運算元之長度(字元數目)資訊、進位加入控制資訊及中間結果之目的地位址。至目前為止，該裝置大致上相同於其它適合於大整數算術運算之可用硬體。除下面所要描述之減化步驟的細節之外，韌體或軟體指令亦相同於習知用以在字寬區段中執行有效大整數乘法或乘方法之程式。

不像此型之習知硬體，圖1中之硬體亦包括一亂數產生器20，其可以是，例如，任何已知偽亂數產生器電路。該亂數產生器實施一計算及輸出一使用於該方法中之亂數。在此，當運算定序器16依據實施本發明之方法的程式指令的指示時，該亂數產生器20可被計算單元10來存取，以便將隨機化誤差量加入商數估算中(如以下所述)。

參考圖2，本發明之方法係Barrett模數減化技術之改良，其可提供較快商數估算及抗拒密碼分析攻擊。該方法係藉由圖1之硬體來執行。

模數減化通常要解出R≡X mod M≡X-X/MM，其中R為剩餘值，發現在模數M之下R與X同餘，以及符號a表示地板函數(floor function)(a之最大整數)，故X/M對應於一整數除法。所要減化之數值X典型上係兩個大整數(通常是質數)之乘積，X=A．B，亦即該等整數A及B中之一或兩者屬於多字元大小(例如：每一個A及B可以是1024位元，亦即32個32位元字元長度)。在任何情況中，在任何模數減化方法中之主要問題在於要針對大(多字元)數值X及M以有效方式來估算商數q=X/M。在本發明中，一額外問題在於以能在加密應用中免遭電力分析攻擊之方式來實施減化。

Barrett之方法包含預先計算及儲存模數之倒數U的一縮比估算(scaled estimate)以及以乘法及字元位移(除以b)來取代長除法，以便估算商數。由於參數之適當選擇，該商數估算中之誤差最多兩位。本發明只藉由以較少精確度但具有較快速估算來驅近該商數及藉由刻意地在計算餘數前將一隨機誤差加入該商數中來改善Barrett之方法。所得餘數稍微大於剩餘值，但是與該剩餘值同餘。

讓w代表字元大小(例如：對於32位元處理器而言，w=32)，b=2^w 代表基數，n係模數M之字元長度，其中M=Σ_i=0 ^n-1 m_i bⁱ ，0<m_n-1 <b，0m_i <b，其中i=0至n-2，b^n-1 M<bⁿ ，以及X係所要減化之數值，其可高達2n+1個字元長度，亦即，其中X=Σ_i=0 ²ⁿ x_i bⁱ ，0x_i <b，其中i=0至2n，0X<b²ⁿ⁺¹ (或者在某些情況中MX<b²ⁿ⁺¹ )

先預先計算及儲存(圖2中之步驟30)一代表模數M之縮比倒數的常數U：

然後，在此特定模數M下之所有減化運算中使用此儲存值。對於每個並非是b之次方的模數M，U恆為n+1個字元長。

為了實施X之模數減化，使用該儲存值U來估算一商數q(步驟32)：

該計算只需要乘法及字元大小位移。雖然該商數之估算偶而是精確的，但是地板函數傾向確保一直低估(絕不超估)該商數q。如果需要低估，則可包括扣減1之補充運算。該常數U及該商數估算與Barrett之差異在於對每一字元之額外位移。(Barrett使用U=b²ⁿ /M及q=(X/b^n-1 ．U)/bⁿ⁺¹ 。)此估算商數q0之最大值為n+1字元長度。

在此階段，較佳是將一隨機誤差E加入該所計算之商數(步驟36)，以獲得一隨機化商數，q’=q-E。在此情況中，必須使M．2^w/2 X<b²ⁿ⁺¹ ，以避免有負數。亦可藉由任何已知亂數或偽亂數產生器(硬體或軟體)來產生該隨機誤差E(步驟34)。唯一限制是該誤差落在一特定範圍內，例如：

除了該商數估算本身所造成之任何誤差外，此將該亂數產生器所提供之潛在誤差(potential error)限制在一特定數目之位元，例如：半個字元。

接下來，計算餘數R’(步驟38)，其(在模數M下)與該剩餘值R同餘：R’=X-q’M

因為該商數q被低估，以及引入一隨機誤差E，所以餘數R’R，亦即，該所計算之餘數將大於或等於該剩餘值達部分該模數M之小的隨機倍數。

可將隨機化餘數R’使用於進一步計算中(步驟48)，例如：與另一餘數R"(已隨機化或未隨機化)相乘或相加，如需要的話，可再次減化(回到步驟32)，以符合一致性。(該誤差維持原有限制。)

另外，如果不需要隨機化，則可選擇保留該近似商數q(步驟44)。在此情況中，可使0Xb²ⁿ⁺¹ 。維持該近似商數將允許獲得真正的餘數(步驟46及40)。

最後，依據特定應用之需求，可藉由從餘數R’減除模數M來計算剩餘值R(步驟40)，直到數值小於M為止。然後，回傳該最後減除後之剩餘值R(等於R’)，以便使用於加密系統之餘數中(步驟42)。

隨機化模數減化可提供安全性，以防遭受不同密碼分析攻擊，該等密碼分析攻擊依賴電力使用之一致性以決定模數。在此，以M為模數之X的減化在每次執行中係隨機變化，然而仍產生一同餘之中間餘數R’。在最後產生一最後剩餘值R時所減除之數值在每次執行中亦是隨機變化。可從各種不同算術運算(包括乘法、平方、乘方、加法等)求得在此方式中所減化之數值X。同樣地，能夠以加密中所最經常使用之各種方式從一金鑰求出所使用之模數M。本發明之隨機化模數減化方法可使用於許多依據此減化之加密演算法中，包括大質數(例如：RSA)及橢圓曲線為主之公開金鑰加密系統。

10‧‧‧計算單元

12‧‧‧記憶體

14‧‧‧暫存器

16‧‧‧運算定序器

18‧‧‧暫存器

20‧‧‧亂數產生器

圖1係依據本發明之計算硬體(包括一亂數產生器單元)的示意平面圖，其用以執行本發明之模數減化方法。

圖2係描述在該模數減化方法中之一般步驟的流程圖。

Claims

一種加密保全之以電腦硬體實施的模數減化方法，包含：預先計算及儲存代表一模數M之位元縮比倒數(bit-scaled reciprocal)的一常數U於記憶體中；在以M為模數下針對所要減化之一數值X計算一估算商數值q，其中藉由乘法、該常數U以及X之位元位移及該乘法之位移在一計算單元中對X執行該計算；在一亂數產生器中產生一隨機誤差值E；將該所產生的隨機誤差值E應用至該估算商數值q，以獲得一隨機化商數q’=q-E，其中該亂數產生器具有半個字元之一特定誤差限制，藉此0E<(2^w/2 -1)，w係以位元表示之該計算單元的字元大小；以及在該計算單元中計算一餘數R’=X-q’M，該餘數R’大於該模數M，然而在以M為模數下與X同餘。
如申請專利範圍第1項之方法，其中，依據方程式，來實施該常數U之預先計算，其中b=2^w ，w係以位元表示之該計算單元的字元大小。
如申請專利範圍第2項之方法，其中，依據方程式，由該計算單元實施該近似商數q之估算。
如申請專利範圍第3項之方法，其中，將扣減1之補充運算包括於該商數估算中。
如申請專利範圍第1項之方法，其中，X之模數減化係以一電腦硬體實施之加密程式的部分。
如申請專利範圍第1項之方法，其中，提供另一計算路徑，其中可選擇性地省略產生及應用一誤差值至該近似商數的步驟。
一種用以執行一加密保全模數減化方法之計算硬體，該硬體包含：一計算單元，其適合於對自一記憶體所擷取之運算元及來自一組暫存器之進位項實施字寬乘法及累積步驟；一亂數產生器，其用以產生一隨機誤差值E，其中該亂數產生器具有半個字元之一特定誤差限制，藉此0E<(2^w/2 -1)，w係以位元表示之該計算單元的字元大小；一運算定序器，其包含邏輯電路，用以依據程式指令控制該計算單元及亂數產生器，以便相對於一模數M實施一數值X的模數減化，該模數M至少包含從代表該模數之一位元縮比倒數的一預先儲存常數U計算一估算商數值q、以該隨機誤差值E來隨機化該估算商數值q以獲得一隨機化商數q’=q-E以及計算一餘數值R’=X-q’M。
如申請專利範圍第7項之計算硬體，其中，進一步包含該運算定序器可存取之運算參數暫存器，該等暫存器含有下列任何一項或多項：(a)用以在該記憶體中定位運算元之指標；(b)有關於運算元之長度的資訊；(c)進位項暫存器用之進位加入控制資訊；以及(d)運算步驟之中間結果用之目的位址資訊。
如申請專利範圍第7項之計算硬體，其中，在該記憶體中之預先儲存常數U係依據方程式之一預先計算所獲得，其中b=2^w ，w係以位元表示之該計算單元的字元大小。
如申請專利範圍第9項之計算硬體，其中，在執行程式指令之該運算定序器的控制下，藉由該計算單元所實施之該近似商數q的估算係依據方程式來完成。
如申請專利範圍第10項之計算硬體，其中，藉由該計算單元所實施之商數估算包括扣減1之補充運算。