[发明专利]密码参数的有效存储

说明书

技术领域

本发明涉及用于以计算机辅助的方式确定密码应用的椭圆曲线的一种方法和一种装置，使得实现对密码参数的有效存储。此外涉及一种用于重建通过这样的方法所确定的椭圆曲线的方法以及一种用于基于这样确定或重建的椭圆曲线以计算机辅助的方式将点与标量相乘的方法。

背景技术

基于有限域上的椭圆曲线的密码应用是当前最有效的非对称密码方法。这是由于，在椭圆曲线的情况下，与第一代非对称密码方法不同，还未已知有具有子指数运行时间的攻击方法。因此，所使用安全参数的每位的安全收益更高，使得可以为实际的应用使用明显更短的密钥长度。结果得到的方法性能更好并且在相似安全性的情况下比其他非对称密码方法需要更短的带宽来传输系统参数。

为了运行这样的方法，必须存储不同的数据。这些数据一方面包括被个别化地分配给系统的每个用户的密钥材料，还包括一般的系统参数。这些系统参数是公开已知的，并且密码方法的所有用户使用相同的系统参数。部分系统参数由于所使用的密码方法对于所有用户而言是隐式的，或者由于这些系统参数的实施而被已知，其他值必须由每个用户持久地例如存储在非易失性存储器（PROM、EEPROM、闪存、其他数据载体等等）中。

在基于有限域上的椭圆曲线的点群的密码方法中，这些一般的系统参数至少由用于定义所使用的有限域（质数、质数幂和/或不可约多项式）的数据以及用于确定所使用的椭圆曲线的曲线参数构成。必要时还有另外的用于确定基点的坐标的数据或者点群和/或子群的阶。

在用于大批量应用的廉价的密码产品——例如用于防止剽窃的RFID或者专用IC——的情况下，一直存在的要求是，尽可能地降低单件成本。这样的半导体产品的制造成本首先由所需要的芯片面积来确定，芯片面积又还取决于非易失性存储器的所需容量。就此而言所存在的需求是，进一步降低在这些方法中要持久存储的系统参数的所需存储空间。

发明内容

因此，本发明的任务是，说明一种非对称密码方法，利用该密码方法，该非对称密码方法的要持久存储的系统参数所需的存储空间被减小。

该任务由具有权利要求1、8和9的特征的方法以及由具有权利要求12的特征的装置来解决。本发明的有利的扩展方案在从属权利要求中说明。

在根据本发明的用于以计算机辅助的方式确定密码应用的椭圆曲线的方法中，确定椭圆曲线（E）的系统参数。在此，用于存储系统参数的信息的存储单元具有可预先给定的位长度w。所述系统参数可以分别表示成具有位长度n的位序列，使得所述系统参数在存储在d＝n/w个存储单元中的情况下分别具有余数位序列e＝n模w＝                                               。

现在，椭圆曲线（E）的系统参数被确定为使得余数位序列e具有可预先给定的常数模式。

在根据本发明的用于重建按照上面那样所确定的椭圆曲线（E）的方法中，分别读出存储在d个存储单元中的位长度为n－e＝的位序列。相应的系统参数通过利用可预先给定的常数模式补充预先给定的余数位长度e而被重建。

在根据本发明的用于以计算机辅助的方式将点与标量相乘的方法中，椭圆曲线（E）如上面那样被确定和重建。在此，该点处于所确定的椭圆曲线上。然后，该乘法在仅仅使用所确定的椭圆曲线（E）上的点的局部坐标的情况下进行。

根据本发明的用于确定椭圆曲线的装置具有被设立用于执行上面所示的方法步骤的计算单元。

附图说明

下面根据附图利用实施例进一步阐述本发明。

图1a、b、c示出根据本发明的被划分在d个存储单元中的系统参数的位序列以及余数位序列e的示意图，

图2a、b、c示出根据本发明的余数位序列的常数模式的示意图。

具体实施方式

在椭圆曲线的点集上可以定义Abel群结构G。该群结构归纳出标量乘法ZxG整数G乘以曲线点，该标量乘法形成基于椭圆曲线的所有密码方法的基础。令s为整数，P为椭圆曲线E的点并且Q＝sP、即点P的s倍。如果给定点P和Q，则将利用Q＝sP对合适的标量s所进行的计算称为椭圆曲线的离散对数问题。在合适地选择椭圆曲线E的域K和参数的情况下，利用如今可用的算法手段不可能在合理时间内解出该离散对数问题。椭圆曲线的密码应用中的安全性基于该困难。因此，椭圆曲线E一般由形式的三次方程来描述，其中a1、a2、a3、a4、a6是有限域K的元素，这些元素将曲线E参数化并且在后面被称为系统参数。来自的满足所给定曲线方程E的所有对的集合称为椭圆曲线E的点。