[发明专利]用于在处理设备、对应的处理设备和计算机程序产品中对数据执行密码运算的方法

说明书

一种标量乘法运算包括：在每次迭代对秘密密钥的比特或一组连续比特执行运算集合的迭代过程。乘法运算包括将投影格式坐标的值乘以随机值。随机值是在具有第一值作为结束值的范围上生成的随机数与大于所述第一值的第二值的乘积。第一值是2的字长乘以乘法器值次幂减去一。第二值等于2的坐标的比特数次幂除以第一值。乘法器值是大于或等于一、并且小于所述比特数与字长之比的整数。

技术领域

本描述涉及用于在利用给定字长来操作的处理设备中对数据执行密码运算的方法的技术。

例如，所描述的实施例可以针对在使用ECC(椭圆曲线密码术)的给定阶数的有限域上操作的非对称密码过程，诸如通过蒙哥马利阶梯实施点乘法(pointmultiplication)。

各种实施例可以使用加密或数字签名方案来应用于例如智能卡、微控制器、机顶盒。

背景技术

现有技术的描述

密码协议或加密协议是抽象的或具体的协议，它们执行安全相关功能并且应用密码方法，通常作为密码原语的序列。

在免受使用加密算法的设备(例如实施加密算法(诸如ECC或RSA)的微控制器)中的侧信道攻击的保护的领域中，已知垂直侧信道攻击(SCA)，其中攻击者可以使用该设备加密任意数据(输入)，以便获得由加密算法使用的密码密钥。攻击者在已知输入数据的加密期间记录侧信道信息，该侧信道由电力消耗、电磁辐射或其他类似量表示。

侧信道与被设备处理的数据链接，这些数据是密码密钥以及作为输入被馈送的攻击者的数据，因此其表示已知数据。

攻击者利用不同的已知输入数据和恒定的未知密钥记录许多“痕迹”，对一部分密码密钥的值进行假设，并且使用统计方法，以使用该痕迹验证这样的假设。为了应用这样的统计方法，攻击者需要使用许多痕迹，每个痕迹具有不同的已知输入数据和恒定密钥。

然而，在非对称密码术中，尽管在计算期间使用的数据变化，但还是存在数学方式来为每次执行修改秘密密钥，使得运算结果不改变。因此，由于密钥不再恒定，攻击者无法收集许多痕迹。

为此，当攻击者需要在单个痕迹上工作时，攻击者会部署所谓的水平攻击。

在要保护的设备(例如处理单元或微控制器)中，通常存在存储器、控制器，存储器存储输入/输出数据和中间值，控制器从RAM存储器读取字并且将它们存储到寄存器中，然后“调用”寄存器上的乘法器(例如对存储在寄存器中的操作数执行乘法运算的乘法器单元或电路)。乘法器将操作数相乘并且将结果写入RAM存储器。在这样的情况下，超过95％的计算是在乘法器内完成的。

关于此，在图1中示出了处理单元或核心10，其包括控制器单元或电路11，该控制器单元或电路11从存储器13(例如RAM存储器)读取在图1中以a和b指示的字，并且将它们存储到控制器11中提供的寄存器中，然后对寄存器的内容(字a、b)调用乘法器电路12。乘法器12对存储在控制器11的寄存器中的操作数a、b执行乘法运算。乘法器12将操作数相乘，例如执行模n乘法R＝a·b mod n，并且将结果R写入RAM存储器13。

参照常规处理设备架构，控制器11和乘法器12可以对应于诸如CPU等处理电路的控制电路和ALU，而存储器13可以相对于处理设备10位于外部。

在非对称密码术中，可以使用例如涉及实施模幂的乘法循环的RSA(Rivest-Shamir-Adleman，李维斯特-萨默尔-阿德曼)密码术、或者涉及实施椭圆曲线标量乘法的乘法循环的ECC(Elliptic Curve Cryptography，椭圆曲线密码术)。

在ECC密码术中，实施主循环，该主循环实施对应于点P的操作数与秘密密钥k的迭代点乘法，以获得kP，例如如以下一组指令(1)所示，表示每个秘密密钥k比特或一组比特k_i的迭代：

L1.如果k_i＝0：