[发明专利]密码操作中通过中间随机化对变换的保护

说明书

本公开的各方面涉及一种执行密码操作的方法和系统，该密码操作涉及第一向量到第二向量的数论变换，其步骤包括：通过获得第一向量的分量，执行多次迭代，其中每次迭代包括确定多个输出值，其中多个输出值中的每个输出值是两个或更多个输入值的线性组合，输第一迭代中的输入值是第一向量的分量，最后迭代的输出值表示第二向量的分量，并且其中通过将至少一个输入值乘以随机数来来随机化至少一次迭代的输出值中的一个或多个，并且基于多次迭代中的最后迭代的输出值来确定第二向量的分量。

技术领域

本公开涉及密码计算应用，更具体地，涉及对密码操作(诸如包含秘密信息的变换的计算)的保护以免受侧信道攻击。

附图说明

通过下面给出的详细描述和本公开的各种实现的附图，将更全面地理解本公开。

图1是图示根据本公开的一个或多个方面的、能够保护作为使用中间随机化的加密操作的一部分在其中执行的变换的示例系统架构的框图。

图2是根据本公开的一个或多个方面的使用中间随机化来保护安全信息免受侧信道攻击的数论变换(或数字傅里叶变换)过程的示例性图示。

图3是根据本公开的一个或多个方面的使用中间随机化来保护安全信息免受侧信道攻击的数论变换(或数字傅里叶变换)过程的另一示例性图示。

图4描绘了根据本公开的一个或多个方面的通过中间随机化在数论变换(或数字傅里叶变换)计算期间保护安全信息免受侧信道攻击的方法的说明性示例的流程图。

图5描绘了根据本公开的一个或多个方面操作的示例计算机系统的框图。

具体实施方式

本公开的各方面涉及通过使用数据和/或数据流的随机化来保护采用线性变换的密码操作，以保护数据免受侧信道攻击。

在公钥密码系统中，处理设备可以具有用于对输入消息进行密码操作的各种部件/模块。此类操作中使用的输入消息通常是大的正整数。密码操作的示例包括但不限于涉及Rivest Shamir Adelman(RSA)和椭圆曲线Diffie–Hellman(ECDH)密钥的操作、数字签名算法(DSA)、用于认证公钥加密系统的节点之间传输的消息的椭圆曲线数字签名算法(ECDSA)。密码算法通常涉及模数为p的模算术运算，其中所有整数Z的集合被包裹在长度为p的圆(集合Z_p)周围，因此任何相差p(或p的任何其他整数倍)的两个数字都被视为相同的数字。预量子密码应用经常利用这样一个事实，即从涉及私钥乘数的公钥乘积(模p)中提取私钥乘数在经典计算机上可能是非常困难的操作。量子计算机的发展已经使一些常规算法(RSA、DSA、ECDH、EDCDSA)陷入危险，并推动了许多后量子密码算法的发展，诸如基于哈希的算法、基于代码的算法、多变量算法、基于格点的算法、密钥算法、对称密钥算法和其他算法。一些后量子算法基于最短向量问题，即在已知基础上确定向量空间中最短(非零)向量的难度。例如，Kyber和NewHope密钥封装算法是基于解决模块格上的带误差学习问题的难度。

密码应用采用各种方案和算法来使用密钥保护数据。在计算操作中使用密钥和其他秘密信息可能会使秘密信息暴露于侧信道攻击。侧信道攻击可以通过监视目标的(受害者的)计算机的电子电路产生的发射(信号)来执行。这些信号可以是声、电、磁、光、热等。通过记录发射，硬件特洛伊木马和/或恶意软件可能够将特定处理器(和/或存储器)活动与处理器执行的操作相关联。简单功率分析(SPA)侧信道攻击可以涉及检查设备所使用的电力作为时间的函数。由于噪声的存在掩盖了处理器的信号，更复杂的差分功率分析(DPA)攻击可能涉及对在多个密码操作(或单个密码操作的多次迭代)上执行的功率测量值进行统计分析。采用DPA的攻击者可能够过滤掉功率信号的噪声分量(利用噪声分量在不同操作或迭代之间可能不相关的事实)，以提取表示实际处理器操作的信号分量，并从该信号推断私钥的值。