WO2019242562A1 - 椭圆曲线多倍点运算方法和装置 - Google Patents

Abstract

本申请公开了一种椭圆曲线多倍点运算方法和装置。该椭圆曲线多倍点运算方法包括有序的倍点和点加运算。在点加运算过程中，当扫描到标量K的当前位不为0时则执行真点加运算，当扫描到标量K的当前位为0时则执行等价点转换运算，将所述真点加运算的结果和所述等价点转换运算的结果存到相同的寄存器堆中，所述寄存器堆中包括多个寄存器。所述椭圆曲线多倍点运算方法和装置能够有效抵抗侧信道分析和安全错误攻击。

Description

椭圆曲线多倍点运算方法和装置

相关申请的交叉引用

本申请基于申请号为201810652042.1、申请日为2018年06月22日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请是关于密码芯片领域，特别是关于一种椭圆曲线多倍点运算方法和装置。

背景技术

自从1985年由Neal Koblitz和Victor Miller各自独立将椭圆曲线引入密码学以来，椭圆曲线在密码学中的作用越来越大。椭圆曲线多倍点运算的实现可以有多种方法，常见的多倍点运算包括二进制扫描法、固定窗口扫描法等。

随着测量技术和攻击技术的不断进步，对密码算法的各种分析和攻击方法不再局限于算法本身，出现了许多针对密码算法实现载体的攻击方法，侧信道攻击是其中威胁性较强的一种方法。攻击者利用密码设备在运行过程中泄露的侧信息如功耗、时间、电磁辐射等，对密码系统进行侧信道攻击。

公开于该背景技术部分的信息仅仅旨在增加对本申请的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

发明内容

本申请实施例的目的在于提供一种椭圆曲线多倍点运算方法和装置，其能够有效抵抗侧信道分析和安全错误攻击。

为实现上述目的，本申请实施例提供了一种椭圆曲线多倍点运算方法。该椭圆曲线多倍点运算方法用于椭圆曲线密码算法中来抵抗攻击者对密码的侧信道分析攻击和安全错误攻击。该椭圆曲线多倍点运算方法包括：对点Q执行有序的倍点运算；对点Q执行点加运算，当扫描到标量K的当前位不为0时，则对点Q执行真点加运算，当扫描到标量K的当前位为0时，则对点Q执行等价点转换运算，所述标量K是二进制形式或多进制形式的整数；将所述真点加运算的结果和所述等价点转换运算的结果存到相同的寄存器堆中，所述寄存器堆中包括多个寄存器。

在一些实施方式中，所述真点加运算包括多个真点加子运算步骤，所述等价点转换运算包括多个等价点转换子运算步骤，所述真点加子运算步骤的数目与所述等价点转换子运算步骤的数目相同。

在一些实施方式中，当所述真点加运算和所述等价点转换运算分别在执行同一个步骤下的真点加子运算和等价点转换子运算时，该同一个步骤下的两种子运算均执行加减运算或均执行乘法运算。

在一些实施方式中，当所述真点加运算和所述等价点转换运算分别在执行同一个步骤下的真点加子运算和等价点转换子运算时，将该相同步骤的两种子运算产生的运算结果存到所述寄存器堆中的相同寄存器中。

本申请实施例还提供了一种椭圆曲线多倍点运算装置。所述椭圆曲线多倍点运算装置采用二进制扫描法进行多倍点运算。所述椭圆曲线多倍点运算装置包括：有序倍点运算模块、扫描模块、真点加运算模块、等价点转换运算模块。有序倍点运算模块用于对点Q进行有序的倍点运算。扫描模块用于扫描标量K，所述标量K是二进制形式或多进制形式的整数。真 点加运算模块与所述扫描模块和所述有序倍点运算模块均相耦合，配置为当扫描到标量K的当前位不为0时，对点Q执行真实的点加运算。等价点转换运算模块与所述扫描模块和所述有序倍点运算模块均相耦合，配置为当扫描到标量K的当前位为0时，对点Q执行等价点转换运算。存储模块与所述有序倍点运算模块、所述真点加运算模块、所述等价点转换运算模块均相耦合。存储模块用于将所述真点加运算的结果和所述等价点转换运算的结果存到相同的寄存器堆中，所述寄存器堆中有多个寄存器。

在一些实施方式中，所述真点加运算模块包括N个真点加运算子运算单元，分别用于执行真点加运算的各个子运算步骤，当N个真点加运算子运算单元都执行完相应的子运算后产生所述真点加运算的结果。所述等价点转换运算模块包括N个等价点转换运算子运算单元，分别用于执行等价点转换运算的各个子运算步骤，当N个等价点转换运算子运算单元都执行完相应的子运算后产生所述等价点转换运算的结果。

在一些实施方式中，当所述真点加运算和所述等价点转换运算的子运算步骤相同时，该相同步骤的两种子运算均执行加减运算或均执行乘法运算。

在一些实施方式中，当所述真点加运算和所述等价点转换运算的子运算步骤相同时，将该相同步骤的两种子运算产生的运算结果存到所述寄存器堆中的相同的寄存器中。

本申请实施例还提供了一种计算机可用存储介质，用于存储计算机程序，所述计算机程序使得计算机执行上述的椭圆曲线多倍点运算方法。

本申请实施例还提供了一种处理设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行上述的椭圆曲线多倍点运算方法。

与现有技术相比，根据本申请实施例的椭圆曲线多倍点运算方法和装置，当标量K的当前位为0时执行等价点转换运算，等价点转换运算与真 实的点加运算的每一步子运算均按照相同的运算方式执行算法，相当于“伪”点加，攻击者无法从功耗等侧信道信息中区分真实点加运算和“伪”点加运算，可有效抵抗侧信道攻击。此外，等价点转换运算结果更新到真实运算结果寄存器中，此过程中没有冗余运算，可有效抵抗安全错误攻击。

附图说明

图1是根据本申请一实施方式的椭圆曲线多倍点运算的方法的流程；

图2是根据本申请一实施方式的椭圆曲线多倍点运算装置的结构示意图。

具体实施方式

下面结合附图，对本申请的具体实施方式进行详细描述，但应当理解本申请的保护范围并不受具体实施方式的限制。

除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。

为便于理解本申请实施例的技术方案，以下先对本申请实施例的相关技术进行说明。

有限域Fq上的椭圆曲线是由点组成的集合，有限域上椭圆曲线在点加运算下构成有限交换群，设k是一个正整数，P是椭圆曲线上的点，称点P的k次加为点P的k倍点运算，记为多倍点Q＝[k]P。

类似于有限域乘法群中的乘幂运算，椭圆曲线多倍点运算构成一个单向函数。在多倍点运算中，已知多倍点Q与基点P，求解倍数k的问题称为椭圆曲线离散对数问题。对于一般椭圆曲线的离散对数问题，目前只存在指数级计算复杂度的求解方法。与大数分解问题及有限域上离散对数问题相比，椭圆曲线离散对数问题的求解难度要大得多。因此，在相同安全 程度要求下，椭圆曲线密码较其它公钥密码所需的密钥规模要小得多。

椭圆曲线多倍点运算的实现可以有多种方法，常见的多倍点运算包括二进制扫描法、固定窗口扫描法等。

由于固定窗口扫描法与二进制扫描法的运算逻辑相似，下面以从左向右的二进制扫描法为例，介绍现有的多倍点算法，如下：

算法1：

输入：点P，整数k的二进制表示

输出：Q＝[k]P.

步骤：

1)Q＝O；

2)i＝n-1 to 0执行

2.1)Q＝[2]Q；

2.2)if(k _i＝1)，则Q＝Q+P；

3)返回Q.

以上述算法为例，由于只有在k _i为1时才会执行点加运算，攻击者可以通过观察功耗曲线上是否执行点加运算判断当前密钥比特是1还是0。

目前，抵抗侧信道攻击可以通过消除条件分支的方法，不管当前比特是0还是1均执行倍点、点加运算，算法如下：

算法2：

输入：点P，整数k的二进制表示

输出：Q＝[k]P.

步骤：

1)Q＝O；

2)i＝n-1 to 0执行

2.1)Q＝[2]Q；

2.2)if(k _i＝1)，则Q＝Q+P；

else Q’＝Q+P；

3)返回Q.

算法2虽然无法从功耗曲线上区分出当前比特是0还是1，但是Q’＝Q+P这一步由于运算结果Q’不参与后续运算，相当于是冗余操作，无法抵抗安全错误攻击：如果攻击者通过故障注入改变Q’的值，然后观察最终运算结果是否正确，如果正确，说明Q’的改变不影响最终结果，当前比特为0，否则为1。

根据椭圆曲线的性质，对于雅克比射影坐标系下的两个点(x1,y1,z1)和(x2,y2,z2)，若存在某个有限域上的非零元素u使得x1＝u ²x2，y1＝u ³y2，z1＝u z2，则称这两个三元组等价，表示同一个点。据此，本申实施例请提出了一种椭圆曲线多倍点运算方法和装置，在进行椭圆曲线多倍点运算过程中，当k _i比特为0时执行等价点转换运算，等价点转换运算与真实的点加运算的每一步子运算均按照相同的运算方式执行算法，相当于“伪”点加，攻击者无法从功耗等侧信道信息中区分真实点加运算和“伪”点加运算，可有效抵抗侧信道攻击。此外，等价点转换运算结果更新到真实运算结果寄存器中，此过程中没有冗余运算，可有效抵抗安全错误攻击。

图1是根据本申请一实施方式的椭圆曲线多倍点运算的方法的流程图。

椭圆曲线多倍点运算的方法包括：

s1，对点Q执行有序的倍点运算。

s2，对点Q执行点加运算。该过程包括：

当扫描到标量K的当前位不为0时，则对点Q执行真点加运算S201，所述标量K是二进制形式或多进制形式的整数；当扫描到标量K的当前位为0时，则对点Q执行等价点转换运算S202。

其中，所述真点加运算S201包括N个子运算步骤，从第一步到第N步执行完毕后产生所述真点加运算的结果。所述等价点转换运算S202也包括N个子运算步骤，从第一步到第N步执行完毕后产生所述等价点转换运 算的结果。当所述真点加运算S201和所述等价点转换运算S202的子运算步骤相同时，该相同步骤的两种子运算均执行加减运算或均执行乘法运算。将该相同步骤的两种子运算产生的运算结果存到所述寄存堆中的相同的寄存器中。

s3，存储运算结果。将所述真点加运算S201的结果和所述等价点转换运算S202的结果存到相同的寄存器堆中。

在一实施方式中，基于二进制扫描法的多倍点算法如下：

输入：点P，整数k的二进制表示

输出：Q＝[k]P.

步骤：

1)Q＝O；

2)i＝n-1 to 0执行

2.1)Q＝[2]Q；

2.2)if(k _i＝1)，则Q＝Q+P；

else Q＝Q；//等价点转换，相当于“伪”点加

3)返回Q.

在又一实施方式中，基于固定窗口扫描法的多倍点算法如下：

设窗口长度为w，m＝2 ^w，则标量k(多进制数)可以表示为

k＝k _t-1m ^t-1+k _t-1m ^t-1+…+k ₁m+k ₀(0≤k _i<2 ^w)

从左向右的固定窗口扫描法如下：

输入：点P，整数k的m进制表示

输出：Q＝[k]P.

步骤：

1)预计算：

1.1)P ₁＝P；

1.2)for i＝2 to 2 ^w-1执行

P _i＝P _i-1+P；

2)Q＝O；

3)i＝t-1 to 0执行

3.1)Q＝[2 ^w]Q；

3.2)if(k _i≠0)，则

else Q＝Q；//等价点转换，相当于“伪”点加

4)返回Q.

图2是根据本申请一实施方式的椭圆曲线多倍点运算装置的结构示意图。

该椭圆曲线多倍点运算装置包括：有序倍点运算模块10、扫描模块11、真点加运算模块12、等价点转换运算模块13、存储模块14。

有序倍点运算模块10用于对点Q进行有序的倍点运算。扫描模块11用于扫描标量K，所述标量K是二进制形式或多进制形式的整数。真点加运算模块12与所述扫描模块11以及有序倍点运算模块10均相耦合，配置为当扫描到标量K的当前位不为0时，对点Q执行真实的点加运算。等价点转换运算模块13与所述扫描模块11以及有序倍点运算模块10均相耦合，配置为当扫描到标量K的当前位为0时，对点Q执行等价点转换运算。存储模块14用于将得到的真点加运算结果和伪点加运算结果存到相同的寄存器堆中。

真点加运算模块12包括N个真点加运算子运算单元，分别用于执行真点加运算的各个子运算步骤，当N个真点加运算子运算单元都执行完相应的子运算后产生所述真点加运算的结果。所述等价点转换运算模块13也包括N个等价点转换运算子运算单元，分别用于执行等价点转换运算的各个子运算步骤，当N个等价点转换运算子运算单元都执行完相应的子运算后产生所述等价点转换运算的结果。优选地，当所述真点加运算和所述等价点转换运算的子运算步骤相同时，该相同步骤的两种子运算均执行加减运 算或均执行乘法运算。当所述真点加运算和所述等价点转换运算的子运算步骤相同时，将该相同步骤的两种子运算产生的运算结果存到寄存器堆中的相同的寄存器中。

下面以素数域上的椭圆曲线点加及“伪点加”为一实施例进行详细说明。运算过程详见如下表1：

表1

从表中可以看出，点加和“伪”点加每一子运算步骤的运算方式相同(均执行乘法，或者均执行加/减法)。X1，Y1，Z1，X2，Y2都参与运算，而且每一子运算步骤的运算结果都更新到相同的寄存器变量V0，V1，V2，VA，VB，VC，VD或者X1，Y1，Z1中。

综上所述，该椭圆曲线多倍点运算方法和装置当k _i比特为0时执行等价点转换运算，等价点转换运算与真实的点加运算的每个子运算的运算方式相同，相当于“伪”点加，攻击者无法区分真实点加运算和“伪”点加运算，可有效抵抗侧信道攻击。等价点转换运算结果更新到真实运算结果寄存器中，此过程中没有冗余运算，可有效抵抗安全错误攻击。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。相应地，本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行上述的椭圆曲线多倍点运算方法。

本申请实施例提供的一种处理设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行上述的椭圆曲线多倍点运算方法。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中 的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用于说明本申请的技术方案而非对其保护范围的限制,尽管参照上述实施例对本申请进行了详细的说明,所属领域的普通技术人员应当理解：本领域技术人员阅读本申请后依然可对申请的具体实施方式进行种种变更、修改或者等同替换，但这些变更、修改或者等同替换，均在申请待批的权利要求保护范围之内。

Claims (10)

1. 一种椭圆曲线多倍点运算方法，该椭圆曲线多倍点运算方法用于椭圆曲线密码算法中来抵抗攻击者对密码的侧信道分析攻击和安全错误攻击，该椭圆曲线多倍点运算方法包括：

   对点Q执行有序的倍点运算；

   对点Q执行点加运算，当扫描到标量K的当前位不为0时，则对点Q执行真点加运算，当扫描到标量K的当前位为0时，则对点Q执行等价点转换运算，所述标量K是二进制形式或多进制形式的整数；

   将所述真点加运算的结果和所述等价点转换运算的结果存到相同的寄存器堆中，所述寄存器堆中包括多个寄存器。
2. 如权利要求1所述的椭圆曲线多倍点运算方法，其中，

   所述真点加运算包括多个真点加子运算步骤，所述等价点转换运算包括多个等价点转换子运算步骤，所述真点加子运算步骤的数目与所述等价点转换子运算步骤的数目相同。
3. 如权利要求2所述的椭圆曲线多倍点运算方法，其中，

   当所述真点加运算和所述等价点转换运算分别在执行同一个步骤下的真点加子运算和等价点转换子运算时，该同一个步骤下的两种子运算均执行加减运算或均执行乘法运算。
4. 如权利要求2所述的椭圆曲线多倍点运算方法，其中，

   当所述真点加运算和所述等价点转换运算分别在执行同一个步骤下的真点加子运算和等价点转换子运算时，将该同一个步骤下的两种子运算产生的运算结果存到所述寄存器堆中的相同寄存器中。
5. 一种椭圆曲线多倍点运算装置，其中，包括：

   有序倍点运算模块，配置为对点Q进行有序的倍点运算；

   扫描模块，配置为扫描标量K，所述标量K是二进制形式或多进制 形式的整数；

   真点加运算模块，与所述扫描模块和所述有序倍点运算模块均相耦合，配置为当扫描到标量K的当前位不为0时，对点Q执行真实的点加运算；

   等价点转换运算模块，与所述扫描模块和所述有序倍点运算模块均相耦合，配置为当扫描到标量K的当前位为0时，对点Q执行等价点转换运算；

   存储模块，与所述有序倍点运算模块、所述真点加运算模块、所述等价点转换运算模块均相耦合，该存储模块配置为将所述真点加运算的结果和所述等价点转换运算的结果存到相同的寄存器堆中，所述寄存器堆中有多个寄存器。
6. 如权利要求5所述的椭圆曲线多倍点运算装置，其中，

   所述真点加运算模块包括N个真点加运算子运算单元，分别用于执行真点加运算的各个子运算步骤，当N个真点加运算子运算单元都执行完相应的子运算后产生所述真点加运算的结果；

   所述等价点转换运算模块包括N个等价点转换运算子运算单元，分别用于执行等价点转换运算的各个子运算步骤，当N个等价点转换运算子运算单元都执行完相应的子运算后产生所述等价点转换运算的结果。
7. 如权利要求6所述的椭圆曲线多倍点运算装置，其中，

   当所述真点加运算和所述等价点转换运算的子运算步骤相同时，该相同步骤的两种子运算均执行加减运算或均执行乘法运算。
8. 如权利要求6所述的椭圆曲线多倍点运算装置，其中，

   当所述真点加运算和所述等价点转换运算的子运算步骤相同时，将该相同步骤的两种子运算产生的运算结果存到所述寄存器堆中的相同寄存器中。
9. 一种计算机可用存储介质，用于存储计算机程序，所述计算机程 序使得计算机执行如权利要求1至4中任一项所述的椭圆曲线多倍点运算方法。
10. 一种处理设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至4中任一项所述的椭圆曲线多倍点运算方法。

Images