TWI448963B - 用於密碼系統之以中國餘數定理為基礎之計算方法 - Google Patents

Description

用於密碼系統之以中國餘數定理為基礎之計算方法

本發明係關於在具有相關軟體之電子處理硬體中實行之密碼學方法。尤其，本發明係關於以此種電子處理硬體執行之密碼計算，其包括有限場、餘數或同餘運算，以及特別地使用以中國餘數定理為基礎之技術的模取冪計算，其著重於防止密碼分析之變化。

許多密碼演算法係以m≡c^d (mod n)類型之模取冪計算為基礎，其中c及m可對應於各種資料(明文及密文訊息、簽章、訊息摘要、鑑別碼等等)，且其中d及n可對應於在運算該資料時之公鑰或私鑰的成分。該模數n通常為兩個極大質數p及q之乘積，其中p及q係保密。RSA演算法為使用模取冪之一加密系統(以及相關之數位簽章方案)的一範例。Diffie－Hellman密鑰一致性協定為另一範例。

在該RSA演算法中，提供一公鑰{e,n}及一對應私鑰{d,p,q}來加密及解密，其中d.e≡1(mod Φ(n))，n＝p．q，Φ(n)＝(p－1)(q－1)，以及其中整數e及Φ(n)為互質。或者，一函數λ(n)＝LCM(p－1,q－1)常用來代替該原始Φ(n)。(RSA PKCS#1 v.2.1)欲進行加密，可根據該關係式c＝m^e (mod n)使用該公鑰{e,n}自一明文訊息m獲得一密文c。該公鑰指數e通常為一小值(例如，3、5、35、或2¹⁶ ＋1＝65537)，其根據加密之容易度及速度選擇。欲進行解密，該明文訊息m可根據該關係式m≡c^d (mod(p．q))使用該私 鑰{d,p,q}自該密文c還原。

該中國餘數定理(CRT)通常用來加速包含在該解密的該模取冪計算，因為在其他方法中保密之質因數p及q為該使用者已知。該定理一般來說係陳述當給予一組聯立同餘式x＝a_i (mod n_i )，其中i＝1至r，且其中該模數n_i 為成對互質時，該解答為x≡[Σ_i a_i ．b_i (N/n_i )](mod N)，其中N＝n₁ ．n₂ ．^… n_r ，且該b_i 自b_i (N/n_i )≡1(mod n_i )求得。對於兩個互質正整數p及q及兩個整數a及b(即，以r＝2為例)，其存在一整數m可唯一解得模數p．q，使得m≡a(mod p)≡b(mod q)。即，當GCD(p,q)＝1時，每對餘數類模數p及q對應於一簡單之餘數類模數p．q。該解答發現m≡[a．(q^－1 mod p)．q＋b．(p^－1 mod q)．p](mod p．q)。(以z為模數對一整數x^－1 定義一模反數，使得x．x^－1 ≡1(mod z)。對於一質數模數，非該模數之一倍數的每一非零整數具有一反數。)

如下所述該RSA演算法的CRT實施方案計算該模取冪m：＝c^d (mod (p．q))。首先將一對私鑰導出指數定義為d₁ ：＝d(mod(p－1))及d₂ ：＝d(mod (q－1))。之後，計算(mod p)及(mod q)。最後，m＝CRT(m₁ ,m₂ )：＝m₁ ＋p．{[(m₂ －m₁ )．R](mod q)}，其中R＝p^－1 (mod q)。

該CRT實施方案的最後公式(即m＝CRT(m₁ ,m₂ ))具有許多變量。該等變量之三個範例為：CRT₂ (m₁ ,m₂ )：＝(m₁ ．R₁ ．q＋m₂ ．R₂ ．p)(mod p．q)，其中R₁ ≡q^－1 (mod p)及R₂ ≡p^－1 (mod q)；CRT₃ (m₁ ,m₂ )：＝{[(m₁ ．R₁ )(mod p)]．q＋[(m₂ ．R₂ )(mod q)]．p}(mod p．q)，同樣地其中R₁ ＝q^－1 (mod p)及R₂ ≡p^－1 (mod q)；以及CRT₄ (m₁ ,m₂ )：＝(q．{[(m₁ －m₂ )．R₄ ](mod p)}＋m₂ )(mod p．q)，其中R₄ ＝p^－1 (mod q)。

變量CRT實施方案以設計來防止密碼分析的方式進行該模取冪計算，特別係代幣(例如，智慧卡)之情況，其中一攻擊者可存取該硬體執行該密碼計算。一攻擊者可於計算程序中對一裝置之電磁發射、功率消耗，或其他可存取之參數做非侵入性測量及計時分析，以擷取有關該等私鑰的有用資訊。該變量實施方案一般在該密碼演算法的不同階段中使用虛擬隨機變數，以在不影響該最終結果下遮蔽其下面之數學運算。

例如，在模取冪之CRT實施方案中，一些變量係將該訊息變數m或其CRT成分m₁ 及m₂ 於該計算程序之某早期階段中藉由乘上一隨機值轉換，然後在一較後來的階段將該訊息變數除以該同一隨機值或自該隨機值導出之一相關值以獲得該真實結果。其他變量可藉由加上(p－1)或(q－1)之一隨機倍數來轉換該私鑰指數d或其CRT成分d₁ 及d₂ ，以獲得關於該私鑰成分之該同餘類的另一(隨機)部件。同樣地可使用分別對應之(p－1)及(q－1)之隨機倍數的模數來約化該私鑰指數d成轉換之CRT成分d₁ '及d₂ '。在所有該等例子中，該等轉換之設計係經選擇以獲得一真實最終結果，然而其中間計算則利用同餘算術中之等值方式作隨機改變。不幸地，該等變量中有許多可能係相當複雜且計算繁重的。

本發明係一電腦硬體實施之密碼學方法，其使用中國餘數定理(CRT)執行模運算，其中用於該等計算之一模數經轉換以遮蔽中間結果的密碼分析觀察。尤其對於一模取冪運算m＝c^d (mod p．q)，一轉換因數s係用來將該等互質因數p及q轉換成p'＝s．p及q'＝s．q。該等CRT步驟之應用係使用該等轉換模數p'及q'。在獲得一中間結果m'後，該最終結果m以一最終約化模數p．q來復原。該轉換因數s可能係一隨機值、一自預先選擇之固定值之一有限集合中的隨機選擇，或者，若在一已給定環境下，安全不是問題時，甚至可以為一固定值。該方法係相對地簡單且與許多其他變量相比計算較不繁重，但其實質上仍然可安全地防止密碼分析。因此，其適合使用在智慧卡或其他密碼代幣之應用。其可配合依賴具CRT實施方案之模取冪的任何密碼演算法使用。

該方法可在資料處理硬體(例如智慧卡或其他代幣)中以一密碼程式實施，其包含一密碼處理器單元、該處理器單元可存取之資料儲存器、以及提供該隨機因數的虛擬亂數產生電路。

參考圖1，本發明之密碼方法可在廣泛變化之數位處理系統、邏輯電路或電子硬體中實施，或藉由在一資料處理器或電腦中執行一同等之韌體或軟體程式來實施。為了對提供之資料執行數值運算(包括模取冪)，根據本發明之示 範性計算處理器硬體可包括一算術邏輯單元(ALU)10，或包含一硬體乘法器之類似的計算電路。該ALU 10一般而言具有對一記憶體(RAM)12及各種工作暫存器14之存取能力。一運算定序器16包含用來控制該ALU之邏輯電路，其包括資料轉移至該記憶體12及暫存器14與從該記憶體12及暫存器14轉移資料，此係根據用於一密碼演算法之該運算集合的韌體或軟體指令。運算定序器16可存取以指標形式儲存在暫存器中之運算參數18，其致使該運算定序器16可定位在該RAM 12中之一運算元，以及其他控制資訊及中間結果之該等目的地位址。該硬體也可包括一虛擬亂數產生器(PRNG)電路20，其執行計算並輸出一隨機數值。此亂數產生器20可根據該密碼演算法以及特別係其中之模取冪步驟，由該運算定序器指示用該ALU 10存取。

參考圖2，藉由該前述之硬體並根據本發明，一示範性以CRT為基礎之模取冪計算M：＝c^d (mod(p．q))一般開始於將該私鑰值{d,p,q}載入進資料儲存器(步驟10)，例如載入進圖1之RAM 12，該處理硬體可存取該資料儲存器。由此，該等值可視需要轉移至工作暫存器14以藉由該ALU 10之使用。例如圖1之該PRNG電路20的一亂數產生器，其產生用於該轉換因數s的一隨機值(步驟11)，之後該轉換因數s藉由乘法轉換用於隨機化該私鑰模數值p及q(步驟12)：p'：＝p．s；q'：＝q．s。

藉由該處理硬體計算一反數值R'：＝(p')^－1 mod q，其方法 類似於已知之以CRT為基礎之模取冪之先前版本的反數之計算R： p^－1 (mod q)。

該等轉換值p'與q'以及該反數R'將用在之後的步驟。使用該等私鑰值{d,p,q}之每一解密對話將包含一不同之隨機值s，以及因而衍生之該等模數p'與q'以及該反數R'之不同的隨機值，因此防護包含該模取冪的密碼運算避免遭受密碼分析。(注意：該隨機值s必須與該原始模數p及q互質，因此有關互質之一標準可除性測試應為該隨機產生步驟11的一部分以除去任何不適用之隨機值。)若有需要時，該隨機值s之大小可選擇自一指定範圍內，因此該等值p'、q'、d₁ 及d₂ 將實質上具有相等的大小。

或者，該轉換因數s可以係一來自預先選擇固定值之一有限集合的隨機選擇，而非對每一對話從頭開始隨機產生。這可節省大量的處理時間，特別係若p'、q'及R'也對在該集合內s之每一可能的選擇預先計算過。若為了任何理由，密碼安全在一已給環境中不是一議題時，該因數s之選擇以及相關之p'、q'及R'可為一固定值。

CRT指數d₁ 及d₂ 係計算自私鑰指數d(步驟14)，其方式與已知之以CRT為基礎之模取冪的先前版本相同，即：d₁ ：＝d(mod(p－1))；d₂ ：＝d(mod(q－1))。

若有需要，此步驟也可方便地放置於p及q之隨機化之前，即步驟12之前。的確，因為該CRT指數d₁ 及d₂ 僅直接相關於該私鑰值d、p及q，其可經預先計算並載入該硬體資料 儲存器中，以代替私鑰指數d(步驟10)，步驟16可自該對話計算中消除。

關於該模取冪之該變數C係載入進資料儲存器(步驟18)中，即載入進圖1之該RAM 12，該資料儲存器可由該處理硬體存取。由此處，該變數可視需要轉移至工作暫存器14以由該ALU 10使用，其通常根據一密碼程式，以已知大小之區塊的形式轉移。該變數C一般表現為欲解密之一密文訊息，但可表現成其他密碼資料，例如一數位簽章。如同該CRT指數d₁ 及d₂ 之計算，本步驟發生於該程式序列中之該特別位置可改變，只要其在步驟20中需要時可以取得即可。

使用該轉換模數p'與q'以及轉換反數R'來應用該等CRT步驟(步驟20及22)，因此可獲得一中間訊息結果M'。尤其是在步驟20中，CRT訊息成分M₁ '及M₂ '藉由該處理硬體計算，其方式類似於已知之先前以CRT為基礎的模取冪運算，但使用p'與q'作為模數以代替該原始之私鑰模數值p及q。即，；及。

接著藉由該處理硬體，使用中國餘數定理，自該CRT訊息成分M₁ '及M₂ '(步驟22)計算該中間訊息結果M'：M'：＝M₁ '＋p'．{[(M₂ '－M₁ ')．R'](mod q')}。

注意由於p'及q'在每一解密對話中隨機化，該等值M₁ '、M₂ '及M'同樣地在每一對話隨機化，其可防止藉由已知之文字 攻擊(例如，一攻擊者重複使用之一已知值C)及其他的密碼分析技術，該等密碼分析技術可能係依賴竊聽硬體發射之參數(EM發射、時間相依之功率消耗等等)。該等計算每一次以一隨機方式而有不同，但仍不像直接應用以CRT為基礎之模取冪般計算繁重。

藉由應用一調適之CRT公式CRT(M₁ ',M₂ ')可獲得該中間結果M'。若與該合適之轉換調適，其他變量CRT公式可代替應用之(例如在先前技術章節中提供之該等三個範例)。為轉換一初始CRT公式，該通用規則為永遠設定p'：＝p．s及q'：＝q．s。關於該公式的所有部分，例如R₁ ：＝q^－1 (mod p)及R₂ ：＝p^－1 (mod q)，吾人轉換成R₁ '：＝(q')^－1 (mod p)及R₂ '：＝(p')^－1 (mod q)。若p或q在該公式中顯現為一倍數因數，將其分別改成p'或q'。若p或q顯現為一模數(mod p)或(mod q)，吾人將其改成(mod p')或(mod q')。例如，該CRT指數d₁ 及d₂ 永遠為d₁ ：＝d(mod(p－1))及d₂ ：＝d(mod q－1)。然而根據本發明，該CRT訊息成分M₁ '及M₂ '永遠使用p'及s作為模數來轉換，如以上所述。因此，對於該三個示範性變量，吾人得到：M'＝CRT₂ '(m₁ ',m₂ ')：＝(m₁ '．R₁ '．q'＋m₂ '．R₂ '．p')(mod p'．q')，M'＝CRT₃ '(m₁ ',m₂ ')：＝{[(m₁ '．R₁ ')(mod p')]．q'＋[(m₂ '．R₂ ')(mod q')]．p'}(mod p'．q')，M'＝CRT₄ '(m₁ ',m₂ ')：＝q'．{[(m₁ '－m₂ ')．R₄ '](mod p')}＋m₂ '。

一旦獲得該中間訊息結果M'，可藉由一基本模約化運算輕易將其約化為該最終訊息M(步驟24)： M：＝M'(mod(p．q))：＝M'(mod n)。

此最終約化模數p．q應用於全部變量。注意該乘積p．q已預先計算作為密鑰產生的部分，且其簡單地為所有集團可取得之該公鑰模數n。因此，若n也已載入可為該硬體處理器使用之資料儲存器中(例如相關於先前之步驟10)，其不需要再計算。此外，由於該公鑰模數n之使用並不顯示有關該等私鑰的任何資訊，該最終約化可不經過隨機轉換來計算而仍可安全防止密碼分析。該最終訊息M亦相同，即使p'、q'、M'等為隨機的，因為使用一轉換模數(其為該原始模數的一隨機倍數s)產生中間結果，其雖為隨機，但仍然屬於與使用未轉換模數所求得者相同的同餘類。

10‧‧‧算術邏輯單元(ALU)

12‧‧‧記憶體(RAM)

14‧‧‧工作暫存器

16‧‧‧運算定序器

18‧‧‧運算參數

20‧‧‧虛擬亂數產生器(PRNG)電路

圖1係根據本發明用來執行一密碼學方法之示範性處理器硬體的一示意平面圖，其包括以CRT為基礎的模取冪。

圖2係根據本發明之一示範性具體實施例的一流程圖，其說明關於模取冪之該等一般步驟。

10‧‧‧算術邏輯單元(ALU)

12‧‧‧記憶體(RAM)

14‧‧‧工作暫存器

16‧‧‧運算定序器

18‧‧‧運算參數

20‧‧‧虛擬亂數產生器(PRNG)電路

Claims (20)

1. 一種密碼學方法，其在一電子處理系統中實施以執行模取冪計算，其包含：載入私鑰值，包括至少一私鑰指數及兩個私鑰模數，至可為電子處理硬體存取之一資料儲存器；藉由該電子處理硬體選擇一預模取冪轉換因數s以保全利用密碼分析之模取冪的密碼學操作；藉由該電子處理硬體將該私鑰模數乘上該轉換因數以產生轉換模數；在執行模取冪前的任何時間點，將一第一資料值載入進該資料儲存器；藉由該電子處理硬體對該第一資料值執行一模取冪，使用該至少一私鑰指數及該轉換模數來獲得一中間資料值；及藉由該電子處理硬體約化該中間資料值，以該兩個私鑰模數之一乘積為模數以獲得一最終資料值。
2. 如請求項1之方法，其中該轉換因數為一不同之隨機值，其在該方法之每一次執行時，於一隨機產生電路中產生，且其中該方法進一步包含有關該轉換因數s與該私鑰模數互質之一可除性測試。
3. 如請求項1之方法，其中該轉換因數係隨機選自預先選擇之固定值之一有限集合，該固定值之該有限集合係與該私鑰模數互質。
4. 如請求項1之方法，其中該選擇之轉換因數為一固定 值，該固定值係與該私鑰模數互質。
5. 如請求項1之方法，其中執行模取冪係使用一中國餘數定理(CRT)來執行該中間資料值的計算。
6. 如請求項5之方法，其中一對CRT指數係計算自一單一私鑰指數作為執行該模取冪的部分。
7. 如請求項5之方法，其中一對CRT指數係預先計算自一單一私鑰指數，該對CRT指數係載入該資料儲存器中作為私鑰指數。
8. 如請求項1之方法，其中該兩個私鑰模數之該乘積經預先計算作為一公鑰模數，該公鑰模數亦係載入至該資料儲存器中，以供在該中間資料值約化時的後續使用。
9. 如請求項1之方法，其中該第一資料值表示一密文訊息，在該電子處理硬體中執行該模取冪作為一密碼程式的部分，且該最終資料值表示一解密明文訊息。
10. 一種密碼學方法，其在一電子處理系統中實施以執行模取冪計算，其包括：將至少一私鑰指數d及兩個私鑰模數p及q載入一資料儲存器中，電子處理硬體可存取該資料儲存器；藉由該電子處理硬體選擇一預模取冪轉換因數s以保全利用密碼分析之模取冪的密碼學操作；藉由該電子處理硬體將該私鑰模數乘上該轉換因數以產生轉換模數p'：=p．s及q'：=q．s；藉由該電子處理硬體計算一反數值R'：=(p')^-1 (mod q)； 在執行模取冪前的任何時間點，將一第一資料值C載入該資料儲存器中；對該第一資料值C執行一模取冪，其使用該至少一私鑰指數d及該轉換模數p'及q'以獲得一中間資料值M'，其中執行模取冪係由該電子處理硬體使用一中國餘數定理(CRT)來執行該中間資料值的計算，其包含：(a)計算CRT指數d₁ ：=d(mod p-1)及d₂ ：=d(mod q-1)，(b)計算CRT訊息成分M₁ '：=(mod p')與M₂ '：=(mod q')，以及(c)自該CRT訊息成分M₁ '及M₂ '計算一中間資料值M'；以及藉由該電子處理硬體約化該中間資料值M'，以該等兩個私鑰模數之一乘積n=p．q為模數以獲得一最終資料值M：=M'(mod n)。
11. 如請求項10之方法，其中該轉換因數s係一不同之隨機值，其在該方法的每一次執行中產生，且其中該方法進一步包含有關該轉換因數s與該私鑰模數p及q互質之一可除性測試。
12. 如請求項10之方法，其中該轉換因數s係隨機選自預先選擇之固定值之一有限集合，該固定值之該有限集合與該私鑰模數p及q互質。
13. 如請求項10之方法，其中該選擇之轉換因數s係與該私鑰模數p及q互質之一固定值。
14. 如請求項10之方法，其中該CRT指數係預先計算自該私 鑰指數d，並以一對私鑰指數d₁ 及d₂ 載入進該資料儲存器。
15. 如請求項10之方法，其中M'：=M₁ '+p'．{[(M₂ '-M₁ ')．R'](mod q')}及R'：=(p')^-1 (mod q)。
16. 如請求項10之方法，其中M'：=(m₁ '．R₁ '．q'+m₂ '．R₂ '．p')(mod p'．q')，R₁ '：=(q')^-1 (mod p)及R₂ '：=(p')^-1 (mod q)。
17. 如請求項10之方法，其中M'：={[(m₁ '．R₁ ')(mod p')]．q'+[(m₂ '．R₂ ')(mod q')]．p'}(mod p'．q')，R₁ '：=(q')^-1 (mod p)及R₂ '：=(p')^-1 (mod q)。
18. 如請求項10之方法，其中M'：=q'．{[(m₁ '-m₂ ')．R₄ '](mod p')}+m₂ '及R₄ '：=(p')^-1 (mod q)。
19. 如請求項10之方法，其中該乘積n=p．q係預先計算並載入該資料儲存器中，以供在該中間資料值約化期間之後續使用。
20. 如請求項10之方法，其中該第一資料值表示一密文訊息，在該電子處理硬體中執行該模取冪作為一密文程式的部分，且該最終資料值表示一解密明文訊息。