[发明专利]用于计算标量乘法的结果的设备和方法

说明书

技术领域

本发明的实施例涉及密码学领域，并且特别涉及用于计算参考数与椭圆曲线上的参考点的标量乘法的结果的设备和方法。

背景技术

边信道攻击是用于密码分析的一类方法。与对于密码应用的传统攻击形成对比，攻击者在这里没有试图破解基础的抽象数学算法，而是攻击密码算法的特殊实施。在这方面，攻击者使用具体实施的可容易访问的物理测量变量，举例来说，如计算的运行时间、在计算期间处理器的功率消耗和电磁辐射、或具有诱发错误的实施的行为。单个计算的物理测量值可以被直接分析（例如在简单功率分析SPA中），或者攻击者记录几个计算的测量值（例如使用存储示波器）并且随后统计地评估测量值（例如在差分功率分析DPA中）。边信道攻击比传统的密码分析技术常常更高效得多，并且从算法的观点看来，当这个算法的实施未被完善来对抗边信道攻击时，边信道攻击甚至可以干扰被认为是安全的方法。特别是对于智能卡和嵌入式应用而言，对抗边信道攻击的对策是必要的。

基于公钥密码术的现代密码系统使用物理装置（例如智能卡或软件狗）以安全地存储秘密密钥材料以及执行非对称密码操作（比如数字签名或密钥交换）。作为非对称密码术的基础，乘法群或椭圆曲线可以是适合的。后者具有对于相同的密钥长度而言安全级别更高的优点，因为用于攻击乘法群的最佳的已知算法具有亚指数运行时间，而只有具有指数运行时间的攻击对于椭圆曲线密码术而言是已知的。

椭圆曲线E是具有有限域K中的系数的三次方程y²+a₁xy+a₃y=x³+a₂x²+a₄x+a₆的解的集合，它没有奇点，即该方程的解(r,s)不存在，从而对于该曲线方程的x和对于y的偏导数在(r,s)中具有公共零点。椭圆曲线E的解连同在无限远处作为零元素的点O一起形成加法阿贝尔群，它的群定律可以用几何学来解释。这里重要的是来自代数几何学的两个结果。每条直线与椭圆曲线相交在三个（不一定是不同的）点，并且对于两个（不一定是不同的）点，可以计算第三个点，从而这三个点的和是零元素O。令P和Q是E上的两个点，其中P≠-Q ，以及g是穿过P和Q的直线。（在P=Q的情况下，该直线是切线）。这条直线与椭圆曲线相交在第三个点R处。通过在x轴对R进行镜像，获得S=P+Q。P=-Q的情况可以被简短地讨论。然后直线g的斜度是无穷大，并且第三次相交是在无限远处的点O。

类似于向量空间中标量乘法的定义，在椭圆曲线上的标量乘法被定义。令P是椭圆曲线E的点，以及令k是整数。标量乘法k*P对应于P本身的k次相加。这个标量乘法形成基于椭圆曲线的密码系统中的重要元素。利用密码能力强的椭圆曲线，标量乘法代表单向函数，即，它可以以多项式时间被执行，但是只能以指数时间被反转。因此利用中等参数长度进行标量的高效算术重建已经是无法想象的。利用仔细选择的密码参数，实际上仅仅无保护的实施为通过边信道的分析的攻击提供可能性。

令(b_n-1,…, b₀)是标量k的二进制表示，以及令P是椭圆曲线上的点。标量乘法Q=k*P 可以使用以下的简单的（加倍和相加）算法而被计算：

1) Q←O

2) for i←n-1 to 0 do

3)   Q←2*Q

4)   if b_i=1 then Q←Q+P

5) end

利用简单功率分析攻击（SPA），评估在单个标量乘法k*P期间硬件的功率消耗的分布曲线（profile）。标量乘法的算法基本上包括椭圆曲线上的点的加法和加倍。这些运算是通过在有限域K中的几次数学运算来实现的，并且对于自然的（naive）实施而言关于执行的运算的次数和类型是不同的。因此，加法的功率消耗的分布曲线与加倍的功率消耗的分布曲线不同。相对于低成本测量设备，可能已经使得这些差异是可见的，以及因此从加法和加倍的序列可以重建标量的二进制表示。标量在这里通常是要被保护的密码协议的秘密密钥。