[发明专利]非模数乘法器、用于非模数乘法的方法及计算装置

说明书

本发明提供了一种非模数乘法器、用于非模数乘法的方法及计算装置，非模数乘法器包含接口和电路。所述接口经配置以接收n位的整数A和整数B。所述电路经配置以通过执行计算序列来计算非模数乘积(A*B)，且经配置以在执行所述序列时使得所述乘法器消耗的电力的模式随机化。所述序列包含：产生随机数w；确定取决于数值R＝2^k(k等于M1和M2的位长)及取决于所述随机数w的模数M1和M2，并计算第一模数乘积C＝A*B％M1和第二模数乘积D＝A*B％M2；以及基于所述第一模数乘积和所述第二模数乘积产生及输出所述非模数乘积(A*B)。

技术领域

本发明涉及数据安全，尤其涉及免受旁信道攻击的高效非模数乘法。

背景技术

多个重要密码系统(诸如RSA)使用具有大量模数值的模运算以及非模运算，包含求幂和相乘。计算非模数乘积的经典方法涉及将操作数划分为块或“位(digits)”且将加权和应用于所述位的交叉乘积。然而，此基本乘法方法在多个实际案例中计算上昂贵。

对于模数乘法(例如，在加密计算中)，惯例为使用被称为蒙哥马利模数乘法(或简称为蒙哥马利乘法)的高效方法。为了执行蒙哥马利乘法，使用已知为蒙哥马利约简的算法将操作数转换成专门的蒙哥马利形式。蒙哥马利形式的操作数的乘法避免了常规算术中模约简的需要(然而如果得到的乘积大于模数则仍然需要较简单的条件约简)。蒙哥马利约简和乘法算法例如由Menezes等人描述于应用密码学手册(Handbook of AppliedCryptography)(1996)的章节14.3.2、第600到603页中，其公开内容以引用的方式并入本说明书中。

密码系统可遭受各种类型的旨在暴露内部机密信息的攻击。在被称作旁信道攻击(side channel attack；SCA)的攻击中，可通过分析执行下层加密函数期间的功率消耗行为推论出机密信息。举例来说，Amiel等人在标题为“用于机密回收的功率分析和公钥算法的逆向工程(Power Analysis for Secret Recovering and Reverse Engineering ofPublic Key Algorithms)”的文章中描述应用于非模数乘法计算的差别功率分析(differential power analysis；DPA)攻击(第14届国际会议关于加密中的所选领域的会议记录(SAC 2007，LNCS，第4876卷，第110至125页，海德堡施普林格)，其公开内容以引入的方式并入本说明书中。

发明内容

根据本发明一方面，提供了包含接口和电路的乘法器。所述接口经配置以接收n位的整数A和整数B。所述电路经配置以通过执行计算序列来计算非模数乘积，所述非模数乘积表示为(A*B)，且经配置以在执行序列时使得乘法器消耗的电力的模式随机化，所述序列包括：产生随机数w；确定取决于数值R及取决于所述随机数w的模数M1和模数M2，其中R＝2^k，k等于所述模数M1和所述模数M2的位长，并计算第一模数乘积C和第二模数乘积D，其中C＝A*B％M1，D＝A*B％M2，以及基于所述第一模数乘积C和第二模数乘积D产生和输出非模数乘积。

优选地，电路包含蒙哥马利乘法器，所述蒙哥马利乘法器经配置以计算所述第一模数乘积C和第二模数乘积D。

优选地，电路经配置以：通过计算w*A将所述整数A转换为蒙哥马利域的所述模数M1中的A′；通过计算(w-d)*B将所述整数B转换为蒙哥马利域的所述模数M2中的B′，d为小于w的整数；以及通过使用蒙哥马利乘法器计算各别蒙哥马利乘积A′⊙B和A⊙B′来计算所述第一模数乘积C和第二模数乘积D。

优选地，表示为低位部分AB_L和高位部分AB_H的组合而满足(A*B)＝AB_H*R+AB_L，且电路经配置以基于所述第一模数乘积C和第二模数乘积D计算所述高位部分AB_H和所述低位部分AB_L。