TWI602119B

TWI602119B - 用於蒙哥馬利域的計算方法、計算裝置和電腦軟體產品

Info

Publication number: TWI602119B
Application number: TW105106050A
Authority: TW
Inventors: 卡路茲尼厄瑞
Original assignee: 華邦電子股份有限公司
Priority date: 2015-07-22
Filing date: 2016-03-01
Publication date: 2017-10-11
Also published as: US20170026178A1; US10057064B2; CN106371803A; EP3121710A1; KR101835065B1; ES2696530T3; CN106371803B; KR20170012147A; TW201704988A; EP3121710B1

Description

用於蒙哥馬利域的計算方法、計算裝置和電腦軟體產品

本發明是有關於計算電路和方法，且特別是有關於高效模數的計算。

在橢圓曲線密碼學（Elliptic Curve Cryptography，ECC）中，對所選擇的橢圓曲線上的點執行算數運算。這些點可以標準的、正規的形式表示為滿足指定方程式的一對數字（x,y ）。在大多數情況下，此方程式可以簡短的威爾斯特拉斯方程（Weierstrass）形式編寫為y² =x³ +A*x+B，其中A和B是定義橢圓曲線的常數。數字A、B、x和y從固定有限域（例如具有模數M的整數域）獲得，其中M為大質數，並且在此域上執行對數字的運算。

一般來說，ECC演算法包括在所選擇的橢圓曲線的點上執行的兩個運算：點相加：(x₁ ,y₁ )+(x₂ ,y₂ )=(x₃ ,y₃ ) 點加倍：2(x₁ ,y₁ ) =(x₃ ,y₃ ) 這些運算的簡單明瞭的定義包括模除（Modular Division），其為繁重的、耗時的運算。

因此，常見的做法是以替代的座標表示橢圓曲線上的點，所述座標允許點相加和點加倍運算執行為一連串模加（modular addition）和模乘（modular multiplication）。亞可比行列式（Jacobian）座標廣泛用於此目的，其中橢圓曲線上的每個點（x,y ）表示為三個數字(X,Y,Z )，其經選擇使得原始橢圓座標x和y可以表達為的替代座標X 、Y 和Z 的冪（powers）的商（quotients）：可以類似方式使用以提高在橢圓曲線上的計算效率的其他表示包含投影座標（其中x = X/Z且y = Y/Z）；W12座標（x = X/Z，y = Y/Z² ）；XYZZ座標（x = X/ZZ，y = Y/ZZZ且ZZ³ = ZZZ² ）；以及XZ座標（x = X/Z）。此種表示在本發明描述中以及在申請專利範圍中被稱為“基於商的表示”（quotient-based representations），因為橢圓座標x和y中的每一者表示為替代座標的某些冪的商。在hyperelliptic.org網站上可獲得關於此類表示以及其在橢圓曲線計算中的使用的其他資訊。

然而，即使在亞可比行列式座標中，橢圓曲線計算也是耗時的。計算模數的產品的經典方法涉及首先倍增運算元為非模數的整數並且隨後獲取結果的模數，被稱作“模約簡（modular reduction）”。模約簡本身是計算上昂貴的，相當於長除法（long division）。點加倍和點相加包括許多此類運算。

由於這個原因，加密計算通常使用已知為蒙哥馬利模乘（或簡單地，蒙哥馬利乘法）的更高效的方法。為了執行蒙哥馬利乘法，使用已知為蒙哥馬利約簡的演算法將運算元轉換成專門的蒙哥馬利形式。蒙哥馬利形式中的運算元的倍增避免了對在常規算術中所需的模約簡的需要。蒙哥馬利約簡和乘法演算法例如由梅內塞斯（Menezes）等人描述於“應用密碼學手冊（Handbook of Applied Cryptography）”（1996）的章節14.3.2、第600到603頁中，其以引用的方式併入本文中。

簡要概述，給定兩個大整數A 和B ，蒙哥馬利乘法產生A ⊙B = A*B*R ^-1 %M ，而不是計算A *B ，其中R 是取決於模數M 的長度的常數。（符號“%”在本發明描述和圖式中用以表示“模數”。）為此目的，輸入運算元首先經過預處理（被稱為將運算元轉換成蒙哥馬利域或轉換成蒙哥馬利形式），使得每個輸入X 被轉換成X '=X *R %M 。隨後將蒙哥馬利形式運算元相乘如下：A '⊙B '= A*R*B*R *R ^-1 %M =(A *B )' %M 。

可以此方式在蒙哥馬利域中執行一連串的計算。隨後使用蒙哥馬利乘法乘以1將最終結果Res '轉換回為整數形式：Res '⊙1=Res *R *R ^-1 %M =Res 。

下文中描述的本發明的實施例提供適用於簡化並提高蒙哥馬利域中的運算效率的方法和設備。

因此，根據本發明的實施例提供一種用於計算的方法，所述方法包含在蒙哥馬利乘法器電路中接收指定橢圓曲線上呈正規形式的點的一對輸入座標（x,y ）。通過以選定轉換因數執行輸入座標的第一蒙哥馬利乘法，將所述對輸入座標轉換成包含呈蒙哥馬利形式的三個替代座標（X',Y',Z' ）的基於商的表示。通過對呈蒙哥馬利形式的替代座標應用第二蒙哥馬利乘法來實施一個或多個橢圓曲線運算。

在所公開的實施例中，替代座標包含亞可比行列式座標。

通常，執行第一蒙哥馬利乘法包含在計算替代座標中的至少一個替代座標時乘以1來應用蒙哥馬利乘法。在所公開的實施例中，執行第一蒙哥馬利乘法包含選擇轉換因數ω、α和β，其中α和β是ω的冪，並且將替代座標計算為α和β與輸入座標的蒙哥馬利乘積，使得X'=α⊙x, Y'=(β⊙y)⊙1且Z'=ω，其中符號“⊙”表示蒙哥馬利乘法。在一個實施例中，ω是隨機整數，α=ω² 且β=ω³ 。

在所公開的實施例中，實施一個或多個橢圓曲線運算包含：計算在基於商的表示中表達的呈蒙哥馬利形式的結果；並且應用第二蒙哥馬利乘法中的至少一個以將所述結果恢復到正規形式。

根據本發明的實施例還提供一種計算裝置，所述裝置包含輸入，所述輸入經配置以接收指定橢圓曲線上呈正規形式的點的一對輸入座標（x,y ）。蒙哥馬利乘法器電路經配置以：通過以選定轉換因數執行輸入座標的第一蒙哥馬利乘法，將所述對輸入座標轉換成包含呈蒙哥馬利形式的三個替代座標（X',Y',Z' ）的基於商的表示；並且通過對呈蒙哥馬利形式的替代座標應用第二蒙哥馬利乘法來實施一個或多個橢圓曲線運算。

根據本發明的實施例另外提供一種電腦軟體產品，其包含其中儲存程式指令的非暫時性電腦可讀媒體，所述指令當通過可程式設計處理器讀取時致使所述處理器接收指定橢圓曲線上呈正規形式的點的一對輸入座標（x,y ）。所述指令致使所述處理器：通過以選定轉換因數執行輸入座標的第一蒙哥馬利乘法，將所述對輸入座標轉換成包含呈蒙哥馬利形式的三個替代座標（X',Y',Z' ）的基於商的表示；並且通過對呈蒙哥馬利形式的替代座標應用第二蒙哥馬利乘法來實施一個或多個橢圓曲線運算。

儘管可以通過將座標轉換成蒙哥馬利域中的亞可比行列式表示（或其他基於商的表示）來減少橢圓曲線運算的計算複雜度，但是此轉換本身涉及多個耗時的計算步驟。此外，出於安全性原因，期望例如通過將座標乘以常數因數（constant factor），加上又一計算步驟來使座標隨機化。

本文中描述的本發明的實施例又進一步通過簡化座標轉換的步驟減少了橢圓曲線計算的計算複雜度。在所公開的實施例中，通過以選定轉換因數執行輸入座標的蒙哥馬利乘法，將指定橢圓曲線上呈正規形式的點的一對輸入座標（x,y ）轉換成替代的呈蒙哥馬利形式的基於商的表示（X',Y',Z' ）。輸入座標中的每一個的一個或兩個蒙哥馬利乘法一般足以生成X '和Y '中的每一個，而Z '由簡單的算術計算生成。

執行座標轉換的同一蒙哥馬利乘法電路隨後可以用於通過將其他蒙哥馬利乘法應用於因此匯出的替代座標來實施橢圓曲線運算。這些蒙哥馬利乘法中的最後一個可以用於將這些運算的結果從呈蒙哥馬利形式的基於商（quotient-based）的表示恢復到正規形式（canonical form）。

在所公開的實施例中，用於將輸入座標（x,y ）轉換成替代座標(X',Y',Z' )的蒙哥馬利乘法包含至少一個乘以1的蒙哥馬利乘法。如前所述，乘以1的值的蒙哥馬利乘法在一般算術的術語中意指以R ^-1 模數M 的倍增，這因此將因數R ^-1 引入到基於商的座標中。作為特定實例，蒙哥馬利乘法器可以使用選定整數因數ω、α和β（其中α和β是ω的冪）以通過計算α和β與輸入座標的蒙哥馬利乘積來執行轉換，使得X'=α⊙x, Y'=(β⊙y)⊙1並且Z'=ω。為了轉換成亞可比行列式座標，將因數α和β計算為α=ω² 且β=ω³ 。出於座標隨機化的目的，ω可以是隨機值或偽隨機值（pseudo-random value）。

儘管下文中描述的實施例為了簡潔和清晰而具體涉及亞可比行列式座標中的橢圓曲線點的表示，但是這些實施例的原理可以簡單明瞭的方式延伸到其他基於商的表示，例如投影座標、W12座標、XYZZ座標或XZ座標。所有此類替代實施方案被視作在本發明的範圍內。

圖1是根據本發明的實施例示意性地說明加密裝置20中的電路元件的方塊圖。圖中所示的電路元件通常實施為積體電路裝置中的硬體邏輯電路，但是可以替代地實施為在合適的可程式設計處理器上的軟體中的模數。所描繪的電路實施可以廣泛多種不同配置和應用整合到加密裝置中的橢圓曲線計算和蒙哥馬利乘法函數以執行與例如加密、解密和/或認證相關聯的運算。圖中僅示出裝置20的與橢圓曲線計算和蒙哥馬利乘法直接相關的元件，並且所屬領域的技術人員將清楚這些元件與裝置20的其他元件的整合。

裝置20包括橢圓計算單元22，其具有用以接收橢圓運算元的一對運算元輸入24、26以及用以接收將在計算中使用的模數M的值的模數輸入40。單元22包括蒙哥馬利乘法器30，其從內部輸入36和38接收蒙哥馬利運算元A和B並且計算其蒙哥馬利乘積A ⊙B = A*B*R ^-1 %M 。乘法器30將計算的結果輸出到輸出28，輸出28的內容可以傳遞到裝置20的其他元件或回饋至輸入36、38中的一個或兩個以用於後續計算，例如在橢圓曲線計算中使用的多個連續乘法（successive multiplications）。

乘法器30包括算術電路，其包含至少一個加法器電路32和至少一個乘法器電路34，具有合適的互連裝置以用於執行與大數字的蒙哥馬利乘法有關的反覆運算計算。加法器和乘法器通常在預定義大小（例如，32位元大小）的塊上操作。輸入24、26、36、38和40以及輸出28通常是整數，具有長度m =n × 塊大小（block size），或具體來說，在本實例中m =32n 位元，例如128位元。輸入和輸出可以適宜地實施為記憶體陣列中的位置。

出於將輸入24和26中的橢圓運算元高效轉換成隨機的、基於商的蒙哥馬利形式的目的，橢圓計算單元22包括亂數產生器42，其輸出適用於每個此類轉換的隨機或偽隨機整數值ω。（如在本發明的說明書中以及在權利要求書中使用的術語“隨機”應理解為還包含“偽隨機”數，除非上下文另外指示。）值ω可以具有任何所需長度，但是適宜的是其長度等於蒙哥馬利乘法器30的塊大小，即，在本實例中為32位元。為了轉換成亞可比行列式表示，乘法器30利用值α=ω² 和β=ω³ ，所述值由算術（非模數的）乘法生成，通過乘法器電路34或通過與亂數產生器42相關聯的專用乘法器執行。

圖2是根據本發明的實施例示意性地說明用於執行橢圓曲線計算的方法的流程圖。為了清楚和方便起見，下文中參考圖1中示出的裝置20的元件描述此方法。替代地，所述方法可以加以必要修正在其他硬體設定或軟體中執行，如上文所指出。所有此類替代實施方案被視作在本發明的範圍內。

當在輸入步驟50處橢圓計算單元22在輸入24和/或26中接收一個或多個新運算元時所述方法開始。如上文所解釋，輸入包括指定橢圓曲線上呈正規形式的點的座標(x,y )。為了將輸入轉換為呈蒙哥馬利形式的亞可比行列式座標(X',Y',Z' )，在參數生成步驟52處，單元22從亂數產生器42請求隨機值ω，並且計算隨機參數α=ω² 和β=ω³ 。參數α和β被饋送到蒙哥馬利乘法器30的輸入36，而橢圓輸入座標x和y被饋送到輸入38。在座標轉換步驟54處，乘法器30執行這些值的蒙哥馬利乘法以便計算亞可比行列式座標。

如前所述，蒙哥馬利乘法器30在步驟54處根據以下公式計算亞可比行列式座標： X'=α⊙x, Y'=(β⊙y)⊙1, Z'=ω。

通過以下推導示出這些公式的有效性： ●X '=ω² *x *R^-1 %M = (ω*R ^-1 )² *x *R %M ， ○X = (ω*R ^-1 )² *x ， ●Y '=(ω³ *y *R ^-1 )*1*R ^-1 %M = (ω*R ^-1 )³ *y *R %M ， ○Y = (ω*R ^-1 )³ *y ， ●Z '=(ω*R ^-1 )*R %M ， ○Z = (ω*R ^-1 )，由以上推導提供的呈正規形式的轉換後的座標（X',Y',Z' ）因此符合亞可比行列式轉換的形式定義：x =X *Z ^-2 %M ;y =Y *Z ^-3 %M 。

轉換後的座標值X '、Y '和Z '從輸出28回饋至輸入36和輸入38以用於在橢圓計算步驟56中通過蒙哥馬利乘法器30進行的後續運算。通常，使用此種多個乘法以及模加以便完成橢圓計算單元22被要求實施的每個點相加或點加倍運算。

在結束呈亞可比行列式蒙哥馬利形式的橢圓計算後，結果從輸出28回饋至輸入36和輸入38中的一個。乘法器30（在蒙哥馬利域中）執行結果的乘以1的蒙哥馬利乘法，並且將其轉換回至正規亞可比行列式座標(X,Y,Z )，緊接著是模除：x =X *Z ^-2 %M ,y =Y *Z ^-3 %M ，以便在結果轉換步驟58處將最終結果轉換回至正規形式以用於從單元22輸出。

如前所述，在本發明的替代實施例中，上文所述的步驟和運算是通過適當的可程式設計處理器在軟體程式指令的控制下實施的。所述軟體可以電子形式下載到處理器，例如，在網路上。額外地或替代地，所述軟體可以儲存在有形的非暫時性電腦可讀媒體上，例如，光學、磁性或電子儲存媒體。

應瞭解，上文所述的實施例以實例方式被引用，且本發明不限於上文已經具體示出並描述的內容。實際上，本發明的範圍包含上文所描述的各種特徵的組合和子組合兩者，以及所屬領域的技術人員在閱讀上述描述之後將想到且並未在現有技術中公開的本發明的變化和修改。

20‧‧‧裝置/加密裝置
22‧‧‧單元/橢圓計算單元
24‧‧‧輸入/運算元輸入
26‧‧‧輸入/運算元輸入
28‧‧‧輸出
30‧‧‧乘法器/蒙哥馬利乘法器
32‧‧‧加法器電路
34‧‧‧乘法器電路
36‧‧‧輸入/內部輸入
38‧‧‧輸入/內部輸入
40‧‧‧輸入/模數輸入
42‧‧‧亂數產生器
50、52、54、56、58‧‧‧步驟

自結合圖式進行的本發明的實施例的以下實施方式將更全面理解本發明，在圖式中：圖1是根據本發明的實施例示意性地說明加密裝置中的電路元件的方塊圖。圖2是根據本發明的實施例示意性地說明用於執行橢圓曲線計算的方法的流程圖。

20‧‧‧裝置/加密裝置

22‧‧‧單元/橢圓計算單元

24‧‧‧運算元輸入

26‧‧‧運算元輸入

28‧‧‧輸出

30‧‧‧蒙哥馬利乘法器

32‧‧‧加法器電路

34‧‧‧乘法器電路

36‧‧‧內部輸入

38‧‧‧內部輸入

40‧‧‧模數輸入

42‧‧‧亂數產生器

Claims

一種用於計算的方法，包括：在蒙哥馬利乘法器電路中接收指定橢圓曲線上呈正規形式的點的一對輸入座標（x,y ）；通過以選定轉換因數執行所述輸入座標的第一蒙哥馬利乘法，將所述對輸入座標轉換成包括呈蒙哥馬利形式的三個替代座標（X',Y',Z' ）的基於商的表示；以及通過對呈所述蒙哥馬利形式的所述替代座標應用第二蒙哥馬利乘法來實施一個或多個橢圓曲線運算。
如申請專利範圍第1項所述的用於計算的方法，其中所述替代座標包括亞可比行列式座標。
如申請專利範圍第1項所述的用於計算的方法，其中執行所述第一蒙哥馬利乘法包括在計算所述替代座標中的至少一個替代座標時乘以1來應用蒙哥馬利乘法。
如申請專利範圍第3項所述的用於計算的方法，其中執行所述第一蒙哥馬利乘法包括：選擇轉換因數ω、α和β，其中α和β是ω的冪；以及將替代座標計算為α和β與輸入座標的蒙哥馬利乘積，使得X'=α⊙x, Y'=(β⊙y)⊙1且Z'=ω。
如申請專利範圍第1項所述的用於計算的方法，其中執行所述一個或多個橢圓曲線運算包括：計算在所述基於商的表示中表達的呈所述蒙哥馬利形式的結果；並且應用所述第二蒙哥馬利乘法中的至少一個以將所述結果恢復到所述正規形式。
一種計算裝置，包括：輸入，所述輸入經配置以接收指定橢圓曲線上呈正規形式的點的一對輸入座標（x,y ）；以及蒙哥馬利乘法器電路，所述蒙哥馬利乘法器電路經配置以：通過以選定轉換因數執行所述輸入座標的第一蒙哥馬利乘法，將所述對所述輸入座標轉換成包括呈蒙哥馬利形式的三個替代座標（X',Y',Z' ）的基於商的表示；並且通過對呈所述蒙哥馬利形式的所述替代座標應用第二蒙哥馬利乘法來實施一個或多個橢圓曲線運算。
如申請專利範圍第6項所述的計算裝置，其中所述替代座標包括亞可比行列式座標。
如申請專利範圍第6項所述的計算裝置，其中所述第一蒙哥馬利乘法包括乘以1的蒙哥馬利乘法，其中所述蒙哥馬利乘法器電路經配置以：接收轉換因數ω、α和β，其中α和β是ω的冪；並且將所述替代座標計算為α和β與所述輸入座標的蒙哥馬利乘積，使得X'=α⊙x, Y'=(β⊙y)⊙1且Z'=ω。
如申請專利範圍第6項所述的計算裝置，其中所述蒙哥馬利乘法器電路經配置以通過以下步驟實施所述一個或多個橢圓曲線運算：計算在所述基於商的表示中表達的呈所述蒙哥馬利形式的結果；並且應用所述第二蒙哥馬利乘法中的至少一個以將所述結果恢復到所述正規形式。
一種電腦軟體產品，包括其中儲存程式指令的非暫時性電腦可讀媒體，所述指令當通過可程式設計處理器讀取時致使所述處理器：接收指定橢圓曲線上呈正規形式的點的一對輸入座標（x,y ）；通過以選定轉換因數執行所述輸入座標的第一蒙哥馬利乘法，將所述對所述輸入座標轉換成包括呈蒙哥馬利形式的三個替代座標（X’,Y’,Z’ ）的基於商的表示；並且通過對呈所述蒙哥馬利形式的所述替代座標應用第二蒙哥馬利乘法來實施一個或多個橢圓曲線運算。
如申請專利範圍第10項所述的電腦軟體產品，其中所述第一蒙哥馬利乘法包括乘以1的蒙哥馬利乘法，其中所述指令致使所述處理器：接收轉換因數ω、α和β，其中α和β是ω的冪；並且將所述替代座標計算為α和β與所述輸入座標的蒙哥馬利乘積，使得X'=α⊙x, Y'=(β⊙y)⊙1且Z'=ω。
如申請專利範圍第11項所述的電腦軟體產品，其中ω是隨機整數，α= ω² 且β= ω³ 。
如申請專利範圍第10項所述的電腦軟體產品，其中所述指令致使所述處理器通過以下步驟實施所述一個或多個橢圓曲線運算：計算在所述基於商的表示中表達的呈所述蒙哥馬利形式的結果；並且應用所述第二蒙哥馬利乘法中的至少一個以將所述結果恢復到所述正規形式。