[发明专利]包括与标量或求幂的乘法运算的密码学方法

说明书

本发明涉及在电子设备中的椭圆曲线密码学的实现，以及更具体地涉及用于计算与属于椭圆曲线的点的标量乘法的结果的方法

各种已知的椭圆曲线密码学方法基于标量乘法，标量乘法的数学表达式是：[k]·P＝P[+]P[+]...[+]P(k次)，P是在椭圆曲线上选择的点，k是整数，以及“[+]”是应用于椭圆曲线的点的加法运算符。数字k是例如私有密钥，以及这个运算的结果点[k]·P，或结果点的仿射坐标(affine coordinates)中的一个仿射坐标，能够用作公开密钥。实际上，在知道[k]·P和点P的坐标的情况下，找到数目k的值可能是极其困难的。例如在签名计算期间使用这个运算，或这个运算用于生成密码学密钥，或甚至用于将消息译成密码。基于椭圆曲线，诸如ECDSA(“椭圆曲线数字签名算法”)、ECDH(椭圆曲线Diffie-Hellman)、ECIES(椭圆曲线综合的密码学方案)等，通过各种密码学算法来实现这个运算。

在椭圆曲线的点之间的运算相当于在形式F_q的伽罗华域中在这些点的坐标上的运算，q是素数p，或2的幂(形式2^m)。标量乘法运算一般被分解成一连串的对点进行加法和双倍的运算。因此，一种众所周知的方法涉及借助于在附录I中出现的“双倍&加法”算法A1或A1’来执行标量乘法计算。算法A1可以说是“从左到右”，因为计算环路的第一步骤从处理标量数k的最高位开始，直到最低位。算法A1’可以说是“从右到左”，因为计算环路的第一步骤从处理标量数的最低位开始，直到最高位。

这些算法包括：针对每次迭代，即，指数的每个比特，椭圆曲线的两个相同点R的加法，以及如果通过迭代所处理的标量的比特等于1，则点R与椭圆曲线的另一个点P的加法。不同的函数一般用于执行这些运算中的每个运算，借助于双倍函数或“DOUBLE”函数来执行两个相同点的加法，而借助于加法函数或“ADD”函数来执行两个不同点的加法。这个区别是由于以下事实：当与相反的情况相比，点P和Q是相同的时，借助于DOUBLE函数能够更加快速地计算P[+]Q。在某些坐标系统中，两个相同点的加法能够导致除以零。因此，另一种计算模式是需要的。

在智能卡类型的电子设备中，密码学计算一般由诸如算术协处理器或密码处理器的特定处理器来执行。相对于生成密钥、计算签名、检查签名或执行加密或解密运算它花费的总时间而言，“[k]·P”的计算，以及更具体地椭圆曲线的点的加法的执行，占据处理器的计算时间的大部分。使用可替代地依赖于将执行的计算的类型的DOUBLE函数或ADD函数优化了总的加密、解密、签名或签名检查计算时间。

然而，使用两个不同的DOUBLE和ADD函数导致由简单功率分析(SPA)，即通过分析卡的电流消耗，能够检测的信息泄露。因为DOUBLE函数具有比ADD函数短的运行时间，因此，能够通过观察组件的电流消耗曲线来区分这两种运算。“电流消耗”意味着任何可以观察到的物理值，该可以观察到的物理值揭示执行运算的电子组件的运算，特别是该组件消耗的电流或电磁辐射。因此，在运行算法A1的组件的电流消耗曲线上，能够区分DOUBLE函数的消耗轮廓和ADD函数的消耗轮廓。由ADD运算跟随的DOUBLE运算(由步骤2.2跟随步骤2.1)揭示了标量数k的比特等于1，因为朝向步骤2.2的条件分支要求的是，满足条件k_s＝1。相反，由另一个DOUBLE运算跟随的DOUBLE运算(由另一个步骤2.1跟随步骤2.1)揭示了标量数k的比特等于0。因此，通过电流消耗曲线的简单观察，能够陆续地发现标量数k的比特。

为了克服这个缺点，能够(如果可能的话)借助于仅ADD函数而不使用DOUBLE函数来执行算法A1和A1’的步骤2.1和2.2。然而，因为算法A1或A1’不规整(regular)，因此电流消耗的更详细的分析使得步骤2.1能够与步骤2.2进行区分。实际上，在这种情况下，当两个加法对应于两个步骤2.1的连续执行(比特k_s等于0)或对应于由步骤2.2跟随的步骤2.1的执行(比特k_s等于1)时，在两个连续加法之间流逝的时间不是相同的。因此，攻击者能够在加法之间延伸的消耗曲线上进行“缩放(zoom)”，以及将看到揭露条件分支的时间不对称以及从而揭露标量数的比特的值。