用于在密碼系統(tǒng)中抗故障求冪的方法以及設(shè)備的制作方法
【專利摘要】在設(shè)備(100)中的處理器(120)實(shí)施抗故障求冪�,其使用輸入x以及秘密指數(shù)d通過如下方法得到結(jié)果S:使用先驗(yàn)選擇的整數(shù)r以及選擇的隨機(jī)元素α∈{0,...�,r-1}來形成擴(kuò)展的基數(shù)使得一般地,關(guān)于先驗(yàn)選擇的����、與模數(shù)N互質(zhì)的整數(shù)t=br2(其中b是整數(shù)),處理器(110)進(jìn)行模數(shù)的求逆iN=N-1modt�。處理器(120)通過計(jì)算來產(chǎn)生(S2)擴(kuò)展的基數(shù),然后計(jì)算(S3)擴(kuò)展的模數(shù)計(jì)算(S4)檢驗(yàn)(S5)是否Sr≡1+dar(modr2)���,并且當(dāng)且僅當(dāng)其如此���,經(jīng)由接口(110)返回(S6)結(jié)果S=SrmodN。
【專利說明】用于在密碼系統(tǒng)中抗故障求冪的方法以及設(shè)備
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明一般涉及密碼術(shù)����,特別涉及在基于RSA的或者基于離散對數(shù) (discrete-log)的密碼術(shù)中的針對故障攻擊的對策�。
【背景技術(shù)】
[0002] 本節(jié)旨在向讀者介紹可能與下面說明和/或要求保護(hù)的本發(fā)明的各個方面相關(guān) 的技術(shù)的各個方面�����。相信該討論有助于向讀者提供促使更好地理解本發(fā)明的各個方面的背 景信息����。相應(yīng)地����,應(yīng)當(dāng)理解這些陳述應(yīng)就此而論地閱讀,而不是作為對現(xiàn)有技術(shù)的承認(rèn)�。
[0003] 貫穿本申請,將使用RSA密碼系統(tǒng)作為例示性的��、非限定性的例子�����,然而將 意識到能夠例如將所述問題以及其解決方案容易地?cái)U(kuò)展到基于如例如迪菲-赫爾曼 (Diffie-Hellman)密鑰交換以及ElGamal加密方案這樣的離散對數(shù)的密碼系統(tǒng)���。
[0004] 眾所周知��,RSA密碼系統(tǒng)特別是在使用中國余數(shù)法(Chinese remaindering)來實(shí) 現(xiàn)時對故障攻擊敏感��。對于普通的RSA以及使用可證明的安全填充的版本均是如此���。
[0005] Vigilant提出了 一種用于排除故障攻擊的有效方式(參見RSA with CRT:A new cost-effective solution to thwart fault attacks. In E.Oswald and P. Rohatgi, editors, Cryptographic Hardware and Embedded Systems -CHES2008, volume5154of Lecture Notes in Computer Science,pagesl30 - 145. Springer, 2008)〇
【權(quán)利要求】
1. 一種使用輸入X����、秘密指數(shù)d以及模數(shù)N而得到結(jié)果S的實(shí)施模數(shù)求冪的方法����,所述 求冪是抗故障攻擊的,該方法包含在設(shè)備(100)中的具有預(yù)定值r的處理器(120)中的至少 如下步驟: -接收所述輸入X ; -使用包含所述秘密指數(shù)d����、擴(kuò)展的基數(shù)f以及擴(kuò)展的模數(shù)#'的模數(shù)求冪來計(jì)算(S4) 中間結(jié)果&,其中�,使用所述輸入X以及隨機(jī)值a來計(jì)算所述擴(kuò)展的基數(shù),使用所述模數(shù) N以及所述預(yù)定值r來計(jì)算所述擴(kuò)展的模數(shù)#�����,并且所述擴(kuò)展的模數(shù)#獨(dú)立于所述隨機(jī)值 a �; 檢驗(yàn)&滿足包含所述隨機(jī)值a計(jì)算的所述預(yù)定值r的倍數(shù)的模數(shù)的等式;以及 當(dāng)且僅當(dāng)檢驗(yàn)成功時���,返回(S6)結(jié)果SzSpodN����。
2. 如權(quán)利要求1所述的方法,還包含如下步驟:選擇(S1)所述隨機(jī)元素 a��。
3. 如權(quán)利要求1所述的方法����,其中所述隨機(jī)值a e S/rZ-
4. 如權(quán)利要求1所述的方法�����,還包含如下步驟:計(jì)算(S2)所述擴(kuò)展的基數(shù) -V + +訓(xùn)一Λ') mod f]���,其中�,ifN-imodt是模數(shù)的求逆���,t與所述模數(shù)N互 質(zhì)并且t=br2,其中r以及b是整數(shù)����。
5. 如權(quán)利要求4所述的方法��,還包含如下步驟:計(jì)算(S3)所述擴(kuò)展的模數(shù)沒= .
6. 如權(quán)利要求1所述的方法,其中��,將所述中間值&計(jì)算為S,.=戶1?0€1見
7. 如權(quán)利要求1所述的方法��,其中����,所述中間值&要滿足的等式是&= l+dar(modr2)。
8. -種使用輸入X�����、秘密指數(shù)d以及模數(shù)N而得到結(jié)果S的實(shí)施求冪的設(shè)備(100)���,所 述求冪是抗故障攻擊的���,所述設(shè)備包含: -接口(110),被配置為接收所述輸入X以及輸出所述結(jié)果S ;以及 -處理器(120)�����,被配置為: 使用包含所述秘密指數(shù)d�、擴(kuò)展的基數(shù)f以及擴(kuò)展的模數(shù)#的模數(shù)求冪來計(jì)算中間結(jié) 果&,其中�����,使用所述輸入X以及隨機(jī)值a來計(jì)算所述擴(kuò)展的基數(shù)f,使用所述模數(shù)N以及 所述預(yù)定值r來計(jì)算所述擴(kuò)展的模數(shù)并且所述擴(kuò)展的模數(shù)#獨(dú)立于所述隨機(jī)值a���,所述 處理器被配置為將所述預(yù)定值r用于多次求冪�; 檢驗(yàn)\滿足包含所述隨機(jī)值a計(jì)算的所述預(yù)定值r的倍數(shù)的模數(shù)的等式�����;以及 當(dāng)且僅當(dāng)檢驗(yàn)成功時����,將所述結(jié)果LC=C,. mod, ; \�,@發(fā)送給所述接口(110)。
9. 如權(quán)利要求8所述的設(shè)備����,其中,所述處理器(120)還被配置為選擇所述隨機(jī)元素 a����。 ?ο.如權(quán)利要求8所述的設(shè)備,其中�,所述隨機(jī)值E 1/rl
11.如權(quán)利要求8所述的設(shè)備,其中,所述處理器(120)還被配置為計(jì)算所述擴(kuò)展的基 數(shù).乂 = .V + IV · [?λ,(1 + or - X.) mod I·]��,其中��, iN=N^ii〇dt是模數(shù)的求逆�,t與所述模數(shù)N互質(zhì)并且t=br2,其中r以及b是整數(shù)。
14. 如權(quán)利要求8所述的設(shè)備�����,其中����,所述中間值&要滿足的等式是 Sr e l+dar(modr2) 〇
15. -種存儲指令的非暫時性計(jì)算機(jī)介質(zhì)(140),該指令在被處理器執(zhí)行時實(shí)施如權(quán) 利要求1至7的任一項(xiàng)所述的方法��。
【文檔編號】G06F7/552GK104049934SQ201410087819
【公開日】2014年9月17日 申請日期:2014年3月11日 優(yōu)先權(quán)日:2013年3月11日
【發(fā)明者】M.喬耶 申請人:湯姆遜許可公司