[发明专利]使用公共密钥的加密方法

说明书

本发明旨在提供一各基于进行模P的量计算的离散算法的、使用公共密钥的所谓加密方法。

它可应用于产生信息数字帖码、在两个实体之间的认证期间或在数据编码中。

在这类方法中，其安全性的基础是必需对某些函数逆运算并尤其涉及离散算法的极其困难性。

如果给出数学关系式y=g^xmodulop-以下写为y=g^xmodp(它表示y为g^x被P除的余数)，这个问题是，当我们已知P、g及Y时求解X。一旦当P的字长达到或超过512位及X的字长达到或超过128位，在当前的学识状态下该问题是不可能求解的。

在这类系统中，通常具有一个权威机构，由它提供构成模的大字长数P。该权威机构同样选择一个称为基数的整数，以便由g形成集，这就是说数g^xmodp形成的集，其中x属于区间〔0,p-1〕，或最长字长至少为2¹²⁸的子集。

参数p及g称为是“公共”的，这就是说，它们是由权威机构提供给所有附属该权威机构的用户的。

根据某些变型方案，这些参数是由每个用户个别选择的，并在此情况下作为其公共密钥的组成部分。

实施这类加密系统的主要缺点是必需具有相当大的计算和存储手段，因为要实现复杂的计算。

事实上，量gxmodp的计算在于实现模的乘法运算，这是很花费时间和存储空间的。在仅使用标准微处理机的简单电子装置上这类运算操作不大可能实现。

对于具有专用于这类计算的处理机的电子装置，尽管能合乎要求，但在计算时间及用于中间结果所需的存储空间方面有限制。

事实上，通过传统的“平方相乘”方法(以英语缩写SQM(Square·Multiply)公知)，通常，量g^xmodp的计算是相当花成本的，因为它平均等同于3/2 Log₂(P)次乘法运算。

根据该方法，当K为n位字长时，我们计算g的所有次幂，这就是说，所有次方：g⁰,g¹,g²……gⁿ，然后在这些幂之间进行所需乘法运算(例如g¹⁷=g¹·g¹⁶)。

根据该“平方相乘”方法，单g^k就需要n/2次乘法及n个乘方。

在一次需要提供N个帧码的情况下，我们将产生Ng^k，那么就要进行并列计算。

并列“平方相乘”法需要N×n/2次乘法及n个乘方。

由E.BRICKELL等人提出的一种缩写名称为BGKW的方法能减小平方相乘方法情况中的乘法次数，但导致需要存储大量预先计算的常数，而由此需要设置大量的存储器是非常不利的。

在该方法中导入N个值的并列计算意味着使用多个寄存器来存储中间结果。

因此在涉及非常短时间中产生大量帖码的情况下该方法变得更加受限制，因为在此情况下要导入并列计算。

本发明的目的在于解除所有这些缺点。它能对于在所有加密系统并尤其是使用微处理机的智能卡类型的便携装置上实施加密算法提供一种灵活的解决方案，及计算时间和存储空间方面的花费少。

根据本发明的第一目的，提供的加密方法能降低模的乘法次数，以致根据所采用的加密方案(Schnorr或El Gamal)可获得15％至40％的计算时间方面的增益。

根据本发明，提出了两种方案来减少乘法次数，一种方案在于产生具有很少为1的位数的“中空”指数K，但其位长足够保持系统的整体安全性；另一方案在于并列地实现g的幂计算，同时它们之间组合指数，以便对于给定指数不含二次地重复同一幂的计算。

更具体地，本发明旨在提供一种使用公共密钥的加密方法，它基于进行量g^kmodp计算的离散算法，式中p是称为模的质数，K是通常长度为n位的随机数，及g是称为基数的整数，其中一个实体E实现认证和/或帖码和/或编码操作，并包括与另一实体的信号交换，在另一实体中将涉及这个量，其特征在于：对于该实体包括以下的步骤：

-产生一个长度为N位的随机指数，N等于n+b位；

-计算该指数的汉明(hamming)加权C并与一预先确定的值h相比较；

-验证该随机值K是否满足条件：C≥h，

-在汉时加权小于h的情况下，放弃该随机值K并重新开始产生新的指数，直到获得满足该条件的一个指数为止，

-或在相反情况下保存该值，