[发明专利]椭圆曲线上的抗故障计算有效
| 申请号: | 201010134178.7 | 申请日: | 2010-03-10 |
| 公开(公告)号: | CN101840325A | 公开(公告)日: | 2010-09-22 |
| 发明(设计)人: | 马克·乔伊 | 申请(专利权)人: | 汤姆森许可贸易公司 |
| 主分类号: | G06F7/72 | 分类号: | G06F7/72 |
| 代理公司: | 中科专利商标代理有限责任公司 11021 | 代理人: | 戎志敏 |
| 地址: | 法国伊西*** | 国省代码: | 法国;FR |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 椭圆 曲线 故障 计算 | ||
技术领域
本发明一般地涉及加密技术,并且具体地涉及对抗故障攻击的椭圆曲线加密算法。
背景技术
本节旨在向读者介绍与下面描述和/或要求保护的本发明各方面相关的现有技术。相信该讨论有助于向读者提供背景信息以便于更好地理解本发明的各方面。因此,应当从这个角度来理解这些声明,而不是把他们当做对现有技术的承认。
故障攻击在加密计算期间引入错误以获得加密秘密的一个或者更多比特,比如私有解密密钥。在“The Sorcerer’s Apprentice Guide toFault Attacks”,by Hagai Bar-EI,Hamid Choukri,David Naccache,Michael Tunstall,and Claire Whelan,Proceedings of the IEEE,94(2):370-382,2006(Proc.Of FDTC 2004中的较早版本)以及在“ASurvey On Fault Attacks”by Christophe Giraud and Hugues Thiebeauld,in J.-J.Quisquater,P.Paradinas,Y.Deswarte,and A.A.EI Kalam,editors,Smart Card Research and Advanced Applications VI(CARDIS 2004),pages 159-176,Kluwer,2004中研究了发动故障攻击的实际方式。
RSA(Rivest-Shamir-Adleman)求幂包括在中的输入x以及私有指数d上将x提升至d次幂,其中是整数环(ring of integers)模N,并且N=pq是两个大素数的乘积。Adi Shamir在“How to CheckModular Exponentiation”,presented at the rump session ofEUROCRYPT’97,Konstanz,Germany,May 13,1997中提供了一种对抗故障攻击的良好对策。该对策是:
1、对于(小)的随机整数r,计算y′=xd mod rN
2、计算z=xd mod r,
3、检验是否y′≡z(mod r),以及
如果是,则输出y=y′mod N;
否则,返回“错误”。
典型地,r是64比特整数。Shamir的方法的正确性是中国剩余定理(CRT)的应用。当计算正确时,显然y′≡y(mod N)并且y′≡z(mod r)。在故障存在的情况中,y′≡z(mod r)的概率大约是1/r。当r是64比特值时,这意味着检测不到故障的概率是大约2-64。r的值越大意味着需要以更多的计算来得到更高的检测概率。
可以采用Shamir的方法以当在CRT模式中评估时保护RSA求幂;即,当通过xd mod p以及xd mod q评估y=xd mod N时。在“SecureEvaluation of Modular Functions”by Marc Joye,Pascal Paillier,andSung-Ming Yen,in R.J.Hwang and C.K.Wu,editors,2001 InternationalWorkshop on Cryptology and Network Security,pages 227-229,Taipei,Taiwan,September 2001中讨论了对Shamir的对策的进一步归纳和扩展。
David Vigilant在“RSA With CRT:A New Cost-Effective Solution toThwart Fault Attacks”,in E.Oswald and P.Rohatgi,editors,Cryptographic Hardware and Embedded Systems-CHES 208,volume5154 of Lecture Notes in Computer Science,pages 230-145,Springer,2008中提出了备选的解决方案。该解决方案是:
1、针对(小)随机整数r,形成X=CRT(x(mod N),1+r(mod r2))
2、计算y′=xd mod r2N;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于汤姆森许可贸易公司,未经汤姆森许可贸易公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201010134178.7/2.html,转载请声明来源钻瓜专利网。
