本發(fā)明涉及數(shù)據(jù)安全技術(shù)領(lǐng)域，具體涉及一種CRT模式下公鑰驗(yàn)證的方法及裝置。

背景技術(shù)：

目前，攻擊者能夠通過(guò)采集密碼系統(tǒng)、加密芯片等硬件設(shè)備在進(jìn)行加密、解密或簽名操作時(shí)所泄露的功耗等信息，利用密碼學(xué)、概率、統(tǒng)計(jì)學(xué)原理，分析和破譯密鑰信息。

例如，在利用RSA公鑰加密算法進(jìn)行加密、解密或簽名操作的硬件設(shè)備中，攻擊者可以通過(guò)采集公鑰驗(yàn)證過(guò)程中產(chǎn)生的功耗信息并進(jìn)行分析，來(lái)破解該硬件設(shè)備的私鑰。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明解決的技術(shù)問(wèn)題是如何提高應(yīng)用公鑰加密算法的設(shè)備的安全性。

為解決上述技術(shù)問(wèn)題，本發(fā)明實(shí)施例提供一種CRT模式下公鑰驗(yàn)證的方法，所述方法包括：

獲取第一私鑰s1、第二私鑰s2、待驗(yàn)證的公鑰e、隨機(jī)數(shù)m和r，其中，1＜m＜s1，s2＝d mod(s1-1)，d為普通模冪模式下的私鑰；

根據(jù)所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e獲得第一指數(shù)α，所述第一指數(shù)α為包含所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e的數(shù)學(xué)式；

對(duì)m^α進(jìn)行運(yùn)算獲得第一值y；

根據(jù)所述第一值y判斷所述待驗(yàn)證的公鑰e是否為正確的公鑰

可選地，所述根據(jù)所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e生成第一指數(shù)α，包括：

計(jì)算(s1-1)*r的值，獲得第二值β；

計(jì)算s2+β的值，獲得第三值γ；

計(jì)算γ*e的值，獲得第一指數(shù)α。

可選地，所述第一指數(shù)α＝r*e*s2。

可選地，所述第一指數(shù)α＝e*s2-r。

可選地，所述對(duì)m^α進(jìn)行運(yùn)算獲得第一值y包括：

計(jì)算m^α mod s1的值，獲得第四值y1；

計(jì)算m^r mod s1的值，獲得第五值y2；

計(jì)算y1*y2mod s1的值，獲得所述第一值y。

本發(fā)明實(shí)施例還提供了一種CRT模式下公鑰驗(yàn)證的裝置。所述裝置包括：

獲取單元，適于獲取第一私鑰s1、第二私鑰s2、待驗(yàn)證的公鑰e、隨機(jī)數(shù)m和r，其中，1＜m＜s1，s2＝d mod(s1-1)，d為普通模式下的私鑰；

第一計(jì)算單元，適于根據(jù)所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e獲得第一指數(shù)α，所述第一指數(shù)α為包含所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e的數(shù)學(xué)式；

第二計(jì)算單元，適于對(duì)m^α進(jìn)行運(yùn)算獲得第一值y；

判斷單元，適于根據(jù)所述第一值y判斷所述待驗(yàn)證的公鑰e是否為正確的公鑰。

可選地，所述第一計(jì)算單元包括：

第一計(jì)算子單元，適于計(jì)算(s1-1)*r的值，獲得第二值β；

第二計(jì)算子單元，適于計(jì)算s2+β的值，獲得第三值γ；

第三計(jì)算子單元，適于計(jì)算γ*e的值，獲得第一指數(shù)α。

可選地，所述第一計(jì)算單元包括：第四計(jì)算子單元，適于計(jì)算r*e*s2的值，獲得所述第一指數(shù)α。

可選地，所述第一計(jì)算單元包括：第五計(jì)算子單元，適于將e*s2-r的值作為所述第一指數(shù)α。

可選地，所述第二計(jì)算單元包括：

第一運(yùn)算子單元，適于計(jì)算m^α mod s1的值，獲得第四值y1；

第二運(yùn)算子單元，適于計(jì)算m^r mod s1的值，獲得第五值y2；

第三運(yùn)算子單元，適于計(jì)算y1*y2mod s1的值，獲得所述第一值y。

與現(xiàn)有技術(shù)相比，本發(fā)明實(shí)施例的技術(shù)方案具有以下有益效果：

通過(guò)根據(jù)隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e來(lái)獲得第一指數(shù)α，進(jìn)而可以使得在驗(yàn)證所述待驗(yàn)證的公鑰e是否為正確公鑰的過(guò)程中，模冪運(yùn)算的指數(shù)為隨機(jī)值。換言之，每次公鑰驗(yàn)證的過(guò)程中模冪運(yùn)算的指數(shù)都是變化的，因此可以消除公鑰驗(yàn)證過(guò)程中產(chǎn)生的中間值與各種泄露信息之間的對(duì)應(yīng)關(guān)系，防止攻擊者通過(guò)獲取所述對(duì)應(yīng)關(guān)系來(lái)破解第一私鑰s1或第二私鑰s2，提高應(yīng)用公鑰加密算法的設(shè)備的安全性。

附圖說(shuō)明

圖1是本發(fā)明實(shí)施例中一種公鑰驗(yàn)證的方法流程圖；

圖2是本發(fā)明實(shí)施例中一種公鑰驗(yàn)證的裝置結(jié)構(gòu)示意圖；

圖3是本發(fā)明實(shí)施例中一種第一計(jì)算單元的結(jié)構(gòu)示意圖；

圖4是本發(fā)明實(shí)施例中一種第二計(jì)算單元的結(jié)構(gòu)示意圖。

具體實(shí)施方式

目前，RSA等加密算法在實(shí)現(xiàn)時(shí)，往往需要用到公鑰e。在有些情況下，公鑰e并不是已知的，通常需要通過(guò)私鑰dp或dq來(lái)進(jìn)行驗(yàn)證。由于在公鑰驗(yàn)證的過(guò)程中，模冪運(yùn)算的指數(shù)e*dp或e*dq通常為固定值，導(dǎo)致公鑰驗(yàn)證過(guò)程中產(chǎn)生的中間值與所泄露的功耗信息之間存在一定的對(duì)應(yīng)關(guān)系，因此攻擊者可以通過(guò)獲取多次公鑰驗(yàn)證過(guò)程中產(chǎn)生的中間值與所泄露的功耗信息之間的對(duì)應(yīng)關(guān)系，破解私鑰dp或dq。

針對(duì)上述問(wèn)題，本發(fā)明實(shí)施例提供了一種公鑰驗(yàn)證的方法，在所述方法中，模冪運(yùn)算的指數(shù)α為包含所述隨機(jī)數(shù)r、第二私鑰s2、待驗(yàn)證的公鑰e的數(shù)學(xué)式，由此可以使得每次模冪運(yùn)算的指數(shù)α都是變化的，也就可以消除公鑰驗(yàn)證過(guò)程中產(chǎn)生的中間值與各種泄露信息之間的對(duì)應(yīng)關(guān)系，防止攻擊者通過(guò)獲取所述對(duì)應(yīng)關(guān)系來(lái)破解所述第二私鑰s2，提高應(yīng)用公鑰加密算法的設(shè)備 的安全性。

為使本發(fā)明的上述目的、特征和有益效果能夠更為明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施例做詳細(xì)地說(shuō)明。

如圖1所示，本發(fā)明實(shí)施例提供了一種CRT模式下公鑰驗(yàn)證的方法，所述方法可以包括如下步驟：

步驟11，獲取第一私鑰s1、第二私鑰s2、待驗(yàn)證的公鑰e、隨機(jī)數(shù)m和r，其中，1＜m＜s1，s2＝d mod(s1-1)，d為普通模式下的私鑰。

步驟12，根據(jù)所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e獲得第一指數(shù)α，所述第一指數(shù)α為包含所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e的數(shù)學(xué)式。

步驟13，對(duì)m^α進(jìn)行運(yùn)算獲得第一值y。

步驟14，根據(jù)所述第一值y判斷所述待驗(yàn)證的公鑰e是否為正確的公鑰。

在具體實(shí)施中，RSA算法通常包括兩種模式，一種為普通模式，另一種為CRT模式，每種模式對(duì)應(yīng)不同的運(yùn)算過(guò)程。在普通模式下，d為私鑰，N為模數(shù)，通過(guò)判斷m^e*d mod N是否等于m，來(lái)驗(yàn)證所述待驗(yàn)證的公鑰e是否為正確的公鑰。在CRT模式下，可以包括多個(gè)私鑰，所述多個(gè)私鑰與普通模式的各參數(shù)之間存在一定關(guān)聯(lián)。具體地，CRT模式下的私鑰包括：私鑰p，私鑰dp，私鑰q以及私鑰dp等，其中，p*q＝N，dp＝d mod(p-1)，dp＝d mod(q-1)。

當(dāng)在CRT模式中應(yīng)用本發(fā)明實(shí)施例中的公鑰驗(yàn)證方法時(shí)，所述第一私鑰s1可以為p，也可以為q。當(dāng)所述第一私鑰s1為p時(shí)，對(duì)應(yīng)地，所述第二私鑰s2為dp。當(dāng)所述第一私鑰s1為q時(shí)，對(duì)應(yīng)地，所述第二私鑰s2為dq?？梢岳斫獾氖?，無(wú)論所述第一私鑰s1及第二私鑰s2具體為何值，只要滿足s2＝d mod(s1-1)即可。

在具體實(shí)施中，m為(1，s1)區(qū)間內(nèi)的隨機(jī)數(shù)。所述待驗(yàn)證的公鑰e為預(yù)先設(shè)定值，通過(guò)步驟11-14來(lái)驗(yàn)證待驗(yàn)證的公鑰e是否為正確的公鑰。

在本發(fā)明的一實(shí)施例中，所述第一指數(shù)α＝r*e*s2。相應(yīng)地，第一值y＝m^α mod s1，即y＝m^r*e*s2mod s1。此時(shí)，可以通過(guò)驗(yàn)證y是否等于m^r mod s1，來(lái) 驗(yàn)證所述待驗(yàn)證的公鑰e是否為正確的公鑰。

在本發(fā)明的另一實(shí)施例中，可以先計(jì)算(s1-1)*r的值，獲得第二值β，再計(jì)算s2+β的值，獲得第三值γ，最后將γ*e的值作為所述第一指數(shù)α，即所述第一指數(shù)α＝s2+(s1-1)*r。相應(yīng)地，第一值y＝m^s2+(s1-1)*r mod s1。此時(shí)可以通過(guò)驗(yàn)證y是否等于m，來(lái)驗(yàn)證所述待驗(yàn)證的公鑰e是否為正確的公鑰。

在本發(fā)明的又一實(shí)施例中，所述第一指數(shù)α＝e*s2-r。相應(yīng)地，根據(jù)所述第一指數(shù)α獲得第一值y時(shí)，可以先計(jì)算m^α mod s1的值，獲得第四值y1，再計(jì)算m^r mod s1的值，獲得第五值y2，最后計(jì)算y1*y2mod s1的值獲得所述第一值y。也就是說(shuō)，y1＝m^e*s2-r mod s1，y2＝m^r mod s1，所述第一值y＝y(tǒng)1*y2mod s1＝m^e*s2 mod s1。此時(shí)可以通過(guò)驗(yàn)證y是否等于m，來(lái)驗(yàn)證所述待驗(yàn)證的公鑰e是否為正確的公鑰。

需要說(shuō)明的是，在具體實(shí)施中，所述第一指數(shù)α可以存在其他數(shù)學(xué)式形式，只要所述數(shù)學(xué)式中包含所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e，且可以通過(guò)對(duì)m^α進(jìn)行運(yùn)算獲得的第一值y＝m^e*s2 mod s1即可。由于所述第一值y中帶有隨機(jī)數(shù)r，因此，在將所述第一值y作為隨機(jī)數(shù)m的指數(shù)參與運(yùn)算時(shí)，可以使得隨機(jī)數(shù)m的指數(shù)隨機(jī)化，也就可以使得每次模冪運(yùn)算時(shí)的指數(shù)不同，從而可以達(dá)到防止攻擊的目的。

需要說(shuō)明的是，本發(fā)明實(shí)施例中所述公鑰驗(yàn)證的方法，既可以適用于簽名算法中，也可以適用于解密算法中。具體無(wú)論將所述公鑰驗(yàn)證的方法應(yīng)用與何種算法，均不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限制，且均在本發(fā)明的保護(hù)范圍之內(nèi)。

為了使本領(lǐng)域技術(shù)人員更好地理解和實(shí)現(xiàn)本發(fā)明，以下對(duì)上述公鑰驗(yàn)證的方法對(duì)應(yīng)的裝置進(jìn)行詳細(xì)描述。

如圖2所示，本發(fā)明實(shí)施例提供了CRT模式下公鑰驗(yàn)證的裝置，所述裝置可以包括：獲取單元21、第一計(jì)算單元22、第二計(jì)算單元23以及判斷單元24。其中：

所述獲取單元21適于獲取第一私鑰s1、第二私鑰s2、待驗(yàn)證的公鑰e、 隨機(jī)數(shù)m和r，其中，1＜m＜s1，s2＝d mod(s1-1)，d為普通模式下的私鑰。所述第一計(jì)算單元22適于根據(jù)所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e獲得第一指數(shù)α，所述第一指數(shù)α為包含所述隨機(jī)數(shù)r、第二私鑰s2及待驗(yàn)證的公鑰e的數(shù)學(xué)式。所述第二計(jì)算單元23適于對(duì)m^α進(jìn)行運(yùn)算獲得第一值y。所述判斷單元24適于根據(jù)所述第一值y判斷所述待驗(yàn)證的公鑰e是否為正確的公鑰。

在本發(fā)明的一實(shí)施例中，如圖3所示，所述第一計(jì)算單元22可以包括：第一計(jì)算子單元31，第二計(jì)算子單元32以及第三計(jì)算子單元33。其中，所述第一計(jì)算子單元31適于計(jì)算(s1-1)*r的值，獲得第二值β。所述第二計(jì)算子單元32適于計(jì)算s2+β的值，獲得第三值γ。所述第三計(jì)算子單元33適于計(jì)算γ*e的值，獲得第一指數(shù)α

在本發(fā)明的另一實(shí)施例中，所述第一計(jì)算單元22可以包括第四計(jì)算子單元(未示出)。所述第四計(jì)算子單元適于計(jì)算r*e*s2的值，獲得所述第一指數(shù)α。

當(dāng)α＝r*e*s2或α＝γ*e時(shí)，所述第二計(jì)算單元32將m^α mod s1的值作為所述第一值y。

在本發(fā)明的又一實(shí)施例中，所述第一計(jì)算單元22可以包括第五計(jì)算子單元(未示出)。所述第五計(jì)算子單元適于將r*d*p-r的值作為所述第一指數(shù)α。

此時(shí)，如圖4所示，所述第二計(jì)算單元23包括：第一運(yùn)算子單元41，第二運(yùn)算子單元42以及第三運(yùn)算子單元43。其中，所述第一運(yùn)算子單元41適于計(jì)算m^α mod s1的值，獲得第四值y1。所述第二運(yùn)算子單元42，適于計(jì)算m^r mod s1的值，獲得第五值y2。所述第三運(yùn)算子單元43，適于計(jì)算y1*y2的值獲得所述第一值y。

本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成，該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，存儲(chǔ)介質(zhì)可以包括：ROM、RAM、磁盤(pán)或光盤(pán)等。

雖然本發(fā)明披露如上，但本發(fā)明并非限定于此。任何本領(lǐng)域技術(shù)人員，在不脫離本發(fā)明的精神和范圍內(nèi)，均可作各種更動(dòng)與修改，因此本發(fā)明的保 護(hù)范圍應(yīng)當(dāng)以權(quán)利要求所限定的范圍為準(zhǔn)。