[发明专利]模乘设备和方法

说明书

本发明提供了一种用于以给定模数为模执行第一被乘数和第二被乘数的乘法的模乘设备，所述被乘数中的每一个包括给定数量的数字，每一个数字具有给定的字长。所述模乘设备包括：‑乘法器，其用于使所述第一被乘数中的至少一个数字与所述第二被乘数相乘以产生乘法器输出；‑模约简单元，其被配置为通过扩展模数和整数系数的乘积来约简从所述乘法器输出得到的量，所述扩展模数是所述给定模数与扩展参数的乘积，所述模约简单元提供约简输出，所述约简输出是严格小于所述扩展模数的正整数，其中，所述模乘设备进一步包括选择单元，所述选择单元被配置为选择所述扩展参数以使所述设备执行所述乘法所耗费的时间独立于所述被乘数。

背景技术

本发明通常涉及数据处理，更具体地涉及一种模乘方法和设备。

模乘被用于许多领域中，特别是数据安全系统，例如密码系统。密码系统使用取决于长整数乘数之间的模乘的密码方案。整个密码系统的性能密切地依赖于模乘的最优化。

密码系统被广泛用于许多产品中，例如嵌入式设备、智能卡，以确保经由非安全信道传送的消息的隐私性和真实性。非对称密码系统(也称作“公开密钥”密码系统)使用包括公开密钥和私有密钥的一对密钥来加密和解密消息，以便确保该消息安全到达而没有被未授权的用户拦截。

非对称密码系统可能遭受意图是获取私有密钥的不同类型的攻击。第一种类型的攻击是基于对私有密钥的搜索。这种攻击的计算复杂性依赖于私有密钥中包括的比特的数量。因此，可以通过选择由大量比特组成的私有密钥来保护非对称密码系统免受该类型的攻击。然而，其它类型的攻击的目标是带有由大量比特构成的密钥的密码系统。这些攻击使用数学最优化或解析最优化以设法降低搜索空间。

还存在基于对密码设备的行为的分析对鲁棒的密码系统实施的间接攻击，密码设备被看作含有已知算法和未知密钥的黑盒子。这种间接攻击包括“边信道攻击”或SCA，其使用在密码算法的执行期间观察到的信息(“边信道信息”，例如密码设备的功耗)以检索嵌入密码设备中的一些秘密信息(Paul Kocher.Timing attacks on implementations ofDiffie-Hellman,RSA,DSS,and other systems.N.Koblitz编辑,Advances inCryptology-CRYPTO’96,Lecture Notes in Computer Science,第1109卷,第104-113页.Springer-Verlag,1996)。

被证实非常有效的特定类型的边信道攻击通过将故意的(蓄意的)故障注入至密码设备中并观察对应的错误输出(差分故障分析(DFA))来实现。这种攻击限制了为得到秘密密钥的比特所必需的实验的次数。

已经涌现了各种各样的对抗措施系统和方法以保护非对称密码系统免受这种间接攻击。间接攻击可以针对许多密码系统，例如RSA密码系统、公开密钥密码系统、或者椭圆曲线密码系统。具体而言，诸如移动设备或智能卡等基于椭圆曲线密码的嵌入式设备对边信道攻击(SCA)是特别敏感的。现在椭圆曲线密码系统(ECC)被看作是RSA密码系统的强有力且大众化的替代物，因为它们需要比RSA更短的密钥长度且提高了安全水平。

在很多情况下，通过使用多倍长度奇整数作为模数的算术运算来实施公开密钥加密。该算术运算的速度影响系统的性能。特别适合于密码系统的一种模乘方法是蒙哥马利模乘。蒙哥马利模乘(在下文中称为MMM)存在于允许在有限域或环中计算算术运算的运算中。它具有快速实施，这使得当需要许多乘法时，像在大多数密码非对称算法中，它相对于简单模乘是优选的。例如，RSA(李维斯特、萨莫尔、阿德曼)经由乘法环计算模幂运算，于是模幂运算形成一系列乘法。幂数通常很大，典型地是2048比特或更大，因此每RSA几千个乘法。

使用模乘的另一个众所周知的密码方案是椭圆曲线密码术(ECC)，其存在于对有限JF_q的运算，其中q是素数的幂。对于该曲线上的每一运算(两倍或加法，由于曲线是组)，几个(典型的大约十个)乘法是必需的。进一步，在该曲线上运算的数量是几百个，因此每一个ECC计算总共几千个乘法。