WO2023226173A1

WO2023226173A1 - 一种数论变换素数下的模乘运算方法

Info

Publication number: WO2023226173A1
Application number: PCT/CN2022/104837
Authority: WO
Inventors: 周朕; 谢翔; 李升林; 孙立林
Original assignee: 上海阵方科技有限公司
Priority date: 2022-05-24
Filing date: 2022-07-11
Publication date: 2023-11-30
Also published as: CN114978516A

Abstract

本发明公开了一种数论变换素数下的模乘运算方法，采用Karatsuba分治算法和多步Montgomery约减算法相结合的方式来进行素数域上的模乘运算ab mod p，使用了Karatsuba分治技巧之后，使得数乘的运算复杂度降低为原来的四分之三左右；并且，Montgomery约减算法的核心算法思想是"以乘代除"，通过在原数E的基础上加上模数p的某一个倍数k×p，使其在模意义下不变的前提下转化为一个由比特表示的尾部全为0的数，然后直接通过舍弃尾端的0来实现数值的约减；可以节约一定的计算资源，同时一定程度上提升模乘速度。

Description

一种数论变换素数下的模乘运算方法

技术领域

本发明涉及计算机软件领域，尤其涉及的是一种数论变换素数下的模乘运算方法。

背景技术

随着量子计算技术的快速发展，现代密码学界普遍相信目前所广泛使用的基于大整数分解和群上离散对数问题的传统公钥密码体制具有被量子计算机攻破而失效的风险。近年来，国内外均针对能够抵御量子计算攻击因而被称为“后量子密码”的全新公钥密码体制展开了积极研究，其中引入了几何结构的格密码为最受学术界和工业界关注的后量子密码之一[1]。

格密码体制的结构基础可以概括为以整数环(或域)为基底的多维线性空间，其具有数学理论清晰、便于计算机实现等诸多优点。为了最大程度地加速其数学结构上的运算速度而同时不会损失其密码体制的安全性，格密码在具体应用时经常会采用循环格，也就是以X ⁿ+1为商多项式的多项式环。对于这一类型的多项式环，多项式间乘法的运算速度可以通过快速数论变换的方法来进行大幅提升，而使用快速数论变换的前提则是其基础素数域上存在n次单位根[2]。

[1]杨妍玲.后量子密码在信息安全中的应用与分析[J].信息与电脑(理论版),2020,32(08):177-181.

[2]El Bansarkhani R,Buchmann J.Improvement and efficient implementation of a lattice-based signature scheme[C].International Conference on Selected Areas in Cryptography.Springer,Berlin,Heidelberg,2013:48-67。

在使用循环格结构的格密码方案中，多项式上的乘法运算是占比最繁重的操作之一，为了提升其计算机实现速度，以在具体的格密码应用场景中达到更为可观的性能，在方案参数选取阶段一般都会限定构成该多项式环的素数域模数p满足p-1可以被商多项式次数的两倍2n整除，也就是说p的比特表示形式的尾部包含若干个连续的0(最后一个比特除外)，其原因在于这样便可利用快速数论变换来将多项式乘法的计算复杂度由O(n ²)降低至O(nlogn)。然而快速数论变换算法的使用与否仅会影响素数域Z _p上的模乘次数，而与系数级的模乘本身的运算实现无关。

在目前已有的循环格密码方案的实现成果中，研究重点一般都集中于对快速数论变换过程的高性能实现，包括系数数据传送、中转、缓存等，而对于更加底层、基础的素数域模乘的实现关注度较少。可能的原因在于：格密码中素数的比特位宽较小(一般在64bit以内)，不涉及大整数的相关运算，在大多数的软件计算环境下不涉及复杂的数组储存，因此大部分的模乘实现都是通过一步标准数乘加上一步取余操作来完成的[3]。

[3]Roma C,Tai C E A,Hasan M A.Energy consumption of round 2 submissions for NIST PQC standards[C].Second PQC Standardization Conference.2019。

对于现有的格密码实现而言，为了利用快速数论变换算法进行加速，在选取方案参数时，要求素数域模数p满足p的比特表示形式的尾部包含若干个连续的0。目前现有的格密码方案实现和应用成果中，仅考虑了快速数论变换层面的高性能实现，而没有考虑到素数域模数的特殊形式对底层模乘运算本身所提供的优化可能性。

因此，现有技术存在缺陷，需要改进。

发明内容

本发明的目的是克服现有技术的不足，提供一种运算复杂度降低、可以节约一定的计算资源，同时一定程度上提升模乘速度的数论变换素数下的模乘运算方法。

本发明的技术方案如下：一种数论变换素数下的模乘运算方法，模乘算法输入：模数p为一素数，模数的比特长度K，模数比特表示下尾数0...01的比特长度w，模乘操作数a，b；模乘算法输出：模乘结果r＝a×b×d mod p；并且，其满足关系：0≤a＜p，0≤b＜p；2 ^K-1＜p＜2 ^K；2 ^w整除p-1；

其中，

表示向上取整；并且，采用Karatsuba分治算法和多步Montgomery约减算法进行素数域上的模乘运算ab mod p。

应用于上述技术方案，所述的数论变换素数下的模乘运算方法中，Karatsuba分治算法和多步Montgomery约减算法互相分开为两个独立的计算部分。

应用于各个上述技术方案，所述的数论变换素数下的模乘运算方法中，Karatsuba分治算法的步骤包括：步骤A1：记

计算满足：a＝a ₁×2 ^h+a ₀，b＝b ¹×2 ^h+b ₀的a ₀，a ₁，b ₀，b ₁；步骤A2：根据步骤A1的a ₀，a ₁，b ₀，b ₁的分别计算：L＝a ₀×b ₀，H＝a ₁×b ₁，M＝(a ₀+a ₁)×(b ₀+b ₁)-L-H；步骤A3：根据步骤A2得到的L、H和M，计算D＝H×2 ^2h+M×2 ^h+L。

应用于各个上述技术方案，所述的数论变换素数下的模乘运算方法中，多步Montgomery约减算法的步骤包括：步骤B1：记E＝D；步骤B2：计算[E+(2 ^w-E mod 2 ^w)×p]/2 ^w并将结果重新赋值给E；步骤B3：判断E的大小，将其中多余的p的倍数减去，返回最终结果。

应用于各个上述技术方案，所述的数论变换素数下的模乘运算方法中，当参数额外满足w≤h时，在Karatsuba分治算法中步骤A2完成L的计算之后，立刻开始进行多步Montgomery约减算法中的首次约减运算。

采用上述方案，本发明通过通过使用了Karatsuba分治技巧之后，原本的K比特乘K比特的数乘运算被转化为三个h+1比特乘h+1比特的数乘运算加上一些相较于数乘而言成本极低的加减运算，由于数乘的复杂度为乘数比特长度的平方级别，因此分治的使用使得数乘的运算复杂度降低为原来的四分之三左右。

Montgomery约减算法的核心算法思想是“以乘代除”，通过在原数E的基础上加上模数p的某一个倍数k×p，使其在模意义下不变的前提下转化为一个比特表示尾部全为0的数，然后直接通过舍弃尾端的0来实现数值的约减。对于一般的模数p而言，确定k的过程是：k＝E×p′mod 2 ^w，这里的p′为一满足p′×p+1能被2 ^w整除的常数，即确定k的过程需要乘法运算，然而对于可以使用快速数论变换算法的素数p而言，因为满足2 ^w整除p-1，便有p′＝2 ^w-1成立，那么确定k的过程便不需要乘法，这对于约减算法而言可以节约一定的计算资源，同时有望一定程度上提升模乘速度。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本实施例提供了一种数论变换素数下的模乘运算方法，模乘运算方法的核心优化思想是采用Karatsuba分治算法和多步Montgomery约减算法相结合的方式来进行素数域上的模乘运算ab mod p。这里为了便于描述，我们这里先只进行算法上的方法描述，将Karatsuba分治算法和多步Montgomery约减算法互相分开为两个较为独立的部分，在后续内容中再对二者相结合的情况进行进一步的讨论。

模乘算法输入：模数p为一素数，模数的比特长度K，模数比特表示下尾数0...01的比特长度w，模乘操作数a，b；其中，0...01表示为前导0不定长度的“1”，可以是01，001，0001，00001，0000000001，...等等。

模乘算法输出：模乘结果r＝a×b×d mod p；这里常数d的具体值见下；

以上参数满足如下关系：

0≤a＜p，0≤b＜p；2 ^K-1＜p＜2 ^K；2 ^w整除p-1；

这里

表示向上取整，例如

子算法A，即Karatsuba分治算法步骤：

1)记

计算满足：a＝a ₁×2 ^h+a ₀，b＝b ₁×2 ^h+b ₀的a ₀，a ₁，b ₀，b ₁；

2)计算L＝a ₀×b ₀，H＝a ₁×b ₁，M＝(a ₀+a ₁)×(b ₀+b ₁)-L-H；

3)计算D＝H×2 ^2h+M×2 ^h+L；

子算法B，即多步Montgomery约减算法步骤：

4)记E＝D；

5)计算[E+(2 ^w-E mod 2 ^w)×p]/2 ^w并将结果重新赋值给E；

6)判断E的大小，将其中多余的p的倍数减去，返回最终结果；

下面对以上方法进行适当的分析与解释。

使用了Karatsuba分治技巧之后，原本的K比特乘K比特的数乘运算被转化为三个h+1比特乘h+1比特的数乘运算加上一些相较于数乘而言成本极低的加减运算，由于数乘的复杂度为乘数比特长度的平方级别，因此分治的使用使得数乘的运算复杂度降低为原来的四分之三左右。

以上两个子过程从算法本身的层面出发，是相互独立没有太多紧密联系的，然而在具体实现时，有时可以起到相互辅助的效果。以硬件实现为例，若是采用一般的方法，数乘和约减必须按照顺序执行，总的时钟周期消耗数量便是两者的加和；然而若是采用如上所述的方法，首先可以节省乘法器资源的使用量(因为确定k的过程不再需要乘法)，其次如果参数额外满足w≤h时，在2)中完成L的计算之后便可以立刻开始进行5)中的首次约减运算(因为在mod 2 ^w意义下仅需D的低比特位)，即可以一定程度上缩短硬件流水线的长度。

下面给出一个本申请中所介绍的数论变换素数下的模乘运算方法的具体应用实例。

我们针对如下数据进行实例化：p＝4293836801(二进制表示为11111111111011101100000000000001共32比特)，K＝32，w＝14，a＝4111111111，b＝2333333333，此时d的值为3050289822，正确的模乘输出a×b×d mod p的值理应为4111111111×2333333333×3050289822mod4293836801＝3464401978。

子算法A，即Karatsuba分治算法步骤：

1)记

根据a＝a ₁×2 ^h+a ₀，b＝b ₁×2 ^h+b ₀分别计算出a ₀＝37831，a ₁＝62730，b ₀＝55125，b ₁＝35603；

2)再计算得L＝a ₀×b ₀＝2085433875，H＝a ₁×b ₁＝2233376190，M＝(a ₀+a ₁)×(b ₀+b ₁)-L-H＝4804888343；

3)然后计算D＝H×2 ^2h+M×2 ^h+L＝9592592590962962963；

子算法B，即多步Montgomery约减算法步骤：

4)记E＝D＝9592592590962962963；

5)计算[E+(2 ^w-E mod 2 ^w)×p]/2 ^w并将结果重新赋值给E,重复执行

次；第一次为585486321929392，第二次为39177866342，第三次为3464401978，

6)判断E的大小，可知E＝3464401978并不大于p＝4293836801，最终返回结果3464401978；

对比可知，我们的方法下运算得出的结果与正确结果相同，均为3464401978。

以上具体方法，充分探究了模乘的结构，采用了Karatsuba分治和多步Montgemory约减相互结合的方式，一定程度上降低快速数论变换素数上的模乘运算算法的复杂度，进而节约了一定计算资源。

Claims

一种数论变换素数下的模乘运算方法，其特征在于，

模乘算法输入：模数p为一素数，模数的比特长度K，模数比特表示下尾数0...01的比特长度w，模乘操作数a，b；

模乘算法输出：模乘结果r＝a×b×d mod p；并且，其满足关系：

0≤a＜p，0≤b＜p；2 ^K-1＜p＜2 ^K；2 ^w整除p-1；
其中，
表示向上取整；

并且，采用Karatsuba分治算法和多步Montgomery约减算法进行素数域上的模乘运算ab mod p。
根据权利要求1所述的数论变换素数下的模乘运算方法，其特征在于：Karatsuba分治算法和多步Montgomery约减算法互相分开为两个独立的计算部分。
据权利要求2所述的数论变换素数下的模乘运算方法，其特征在于，Karatsuba分治算法的步骤包括：

步骤A1：记
计算满足：a＝a ₁×2 ^h+a ₀，b＝b ₁×2 ^h+b ₀的a ₀，a ₁，b ₀，b ₁；

步骤A2：根据步骤A1的a ₀，a ₁，b ₀，b ₁的分别计算：

L＝a ₀×b ₀，H＝a ₁×b ₁，M＝(a ₀+a ₁)×(b ₀+b ₁)-L-H；

步骤A3：根据步骤A2得到的L、H和M，计算D＝H×2 ^2h+M×2 ^h+L。
根据权利要求3所述的数论变换素数下的模乘运算方法，其特征在于，多步Montgomery约减算法的步骤包括：

步骤B1：记E＝D；

步骤B2：计算[E+(2 ^w-E mod 2 ^w)×p]/2 ^w并将结果重新赋值给E；

步骤B3：判断E的大小，将其中多余的p的倍数减去，返回最终结果。
根据权利要求4所述的数论变换素数下的模乘运算方法，其特征在于，当参数额外满足w≤h时，在Karatsuba分治算法中步骤A2完成L的计算之后，立刻开始进行多步Montgomery约减算法中的首次约减运算。
种数论变换素数下的模乘运算方法，其特征在于，

模乘算法输入：模数p为一素数，模数的比特长度K，模数比特表示下尾数0...01的比特长度w，模乘操作数a，b；

模乘算法输出：模乘结果r＝a×b×d mod p；并且，其满足关系：

0≤a＜p，0≤b＜p；2 ^K-1＜p＜2 ^K；2 ^w整除p-1；
其中，
表示向上取整；

并且，采用Karatsuba分治算法和多步Montgomery约减算法进行素数域上的模乘运算ab mod p；

Karatsuba分治算法和多步Montgomery约减算法互相分开为两个独立的计算部分；

Karatsuba分治算法的步骤包括：

步骤A1：记
计算满足：a＝a ₁×2 ^h+a ₀，b＝b ₁×2 ^h+b ₀的a ₀，a ₁，b ₀，b ₁

步骤A2：根据步骤A1的a ₀，a ₁，b ₀，b ₁的分别计算：

L＝a ₀×b ₀，H＝a ₁×b ₁，M＝(a ₀+a ₁)×(b ₀+b ₁)-L-H；

步骤A3：根据步骤A2得到的L、H和M，计算D＝H×2 ^2h+M× ^2h+L；

多步Montgomery约减算法的步骤包括：

步骤B1：记E＝D；

步骤B2：计算[E+(2 ^w-E mod 2 ^w)×p]/2 ^w并将结果重新赋值给E；

步骤B3：判断E的大小，将其中多余的p的倍数减去，返回最终结果；

当参数额外满足w≤h时，在Karatsuba分治算法中步骤A2完成L的计算之后，立刻开始进行多步Montgomery约减算法中的首次约减运算。