專(zhuān)利名稱(chēng)：模逆元的確定的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種方法，該方法用于通過(guò)才莫塊反旁道攻擊地將返
回4直i十算成豐lr入^f直的才莫逆元(modular inverse )。
背景技術(shù)：
旁道攻擊是加密分析的方法的一個(gè)種類(lèi)。在此，不同于至今為 止對(duì)加密應(yīng)用的攻擊，攻擊者并非試圖建立在^由象凄t學(xué)算法的基礎(chǔ) 上進(jìn)行破壞，而是攻擊加密方法的特殊執(zhí)行方式。為此，攻擊者使 用那些容易觸及的用于具體執(zhí)行的物理測(cè)量參數(shù)，如運(yùn)算的運(yùn)行時(shí) 間、在誘發(fā)出錯(cuò)誤時(shí)運(yùn)算或者執(zhí)行動(dòng)作期間處理器的能量消耗和電
》茲輻射。單個(gè)運(yùn)算的物理測(cè)量^f直可以:帔直4妻i也分沖斤，例3口通過(guò)簡(jiǎn)單 功耗分析(SPA )，或者攻擊者記錄多個(gè)運(yùn)算的測(cè)量值(例如使用存 4諸示波器)，然后統(tǒng)計(jì)地評(píng)估這些測(cè)量值，例如4吏用差分功庫(kù)毛分才斤
(DPA)。當(dāng)算法的執(zhí)行沒(méi)有針對(duì)旁道攻擊來(lái)進(jìn)行保護(hù)時(shí)，那么旁 道攻擊經(jīng)常比傳統(tǒng)的加密分析技術(shù)更加有效率并且甚至可以從破 壞算法的角度考慮而被視為可靠的方法。用于防止旁道攻擊的反措 施對(duì)于智能卡和嵌入應(yīng)用是尤為重要的。
在以下的/>開(kāi)出片反物中涉及到旁道攻擊Kocher: Timing attacks on implementations of Diffie-Hellman， RSA， DSS， and other systems, Crypto 1996， LNCS 1109， 104-113頁(yè)，Springer; Kocher， Jaffe, Jim: Differential power analysis, Crypto 1999, LNCS 1666, 388-397頁(yè)， Springer; Messerges， Dabbish， Sloan: Power analysis attacks of
modular exponentiation in smartcards, CHES 1999， LNCS 1717, 144-157頁(yè)，Springer。
在此，在Boneh, Demillo， Lipton: On the importance of checking cryptographic protocols for faults, Eurocrypt 1997， LNCS 1233, 37-51 頁(yè)，Springer中已經(jīng)談及了在誘導(dǎo)出錯(cuò)誤時(shí)的運(yùn)算或者執(zhí)行動(dòng)作期 間對(duì)來(lái)自于處理器的電磁輻射和能量消耗的信息的使用。
用于逆元的凄史學(xué)方f去也在Menezes， van Oorschot, Vanstone: Handbook of applied cryptography, CRC-Press 1996中提及。
用于加密方法、尤其用于DES和AES的偽裝4支術(shù)也由Goubin, Patarin: DES and differential power analysis, CHES 1999， LNCS 1717， 158-172頁(yè),Springer; Akkar, Giraud: An implementation of DES and AES, secure against some attacks, CHES 2001, LNCS 2162， 309-318 頁(yè)，Springer; Messerges: Securing the AES finalists against power analysis attacks, FSE 2000， LNCS 1978， 150-164頁(yè)，Springer; Coron， Goubin: On boolean and arithmetic masking against differential power analysis, CHES 2000， LNCS 1965, 213-237頁(yè)，Springer; Trichina, de Seta， Germani: Simplified adaptive multiplicative masking for AES and its securized implementation, CHES 2002， LNCS 2523, 187-197頁(yè)， Springer; Golic， Tymen: Multiplicative masking and power analysis of AES, CHES 2002, LNCS 2523, 198-212頁(yè)，Springer所公開(kāi)。
基于數(shù)字簽名標(biāo)準(zhǔn)的數(shù)字簽名的產(chǎn)生也是FIPS 186: Digital signature standard, Federal Information Processing Standards Publication 186, NIST 1997討論的主題。
本發(fā)明的目的在于，尤其是相對(duì)于SPA和DPA來(lái)保護(hù)才莫逆元。 i午多加密方法(尤其是^〉鑰加密方法)4吏用有限體(endlichen Koerpern)中的算法。在此， 一個(gè)凈皮應(yīng)用的重要運(yùn)算步艱A是在有限 體中的模逆元的運(yùn)算。
用于才莫逆元的方法通常不是以用于計(jì)算最大Z〉約凄t的算法(擴(kuò)
展歐幾里德算法或者其變量，諸如像二進(jìn)制運(yùn)算Stein算法)為基 礎(chǔ)就是使用費(fèi)馬小定理并且因此使逆元?dú)w結(jié)到模冪?；谟?jì)算最大 公約數(shù)的算法具有強(qiáng)烈的數(shù)據(jù)依賴(lài)性的流程除法操作的數(shù)量例如 可以被用于推斷^皮逆元的數(shù)量。在以二進(jìn)制運(yùn)行的Stein算法時(shí)， 如果用于計(jì)算體模(body's module )的中間值為奇數(shù)， 一被力口入該 中間值中。當(dāng)攻擊者可以觀(guān)察該加和是否在算法的第i步驟中執(zhí)行 時(shí)，他可以通過(guò)比特發(fā)現(xiàn)要^皮逆元的數(shù)量。因此，在該算法中，攻 擊者可以輕松地從運(yùn)行時(shí)間、能量消耗或者電磁輻射中推斷出要被 逆元的數(shù)量。盡管基于費(fèi)馬小定理的算法具有恒定的運(yùn)行流程，但 是這些算法很慢并且因此效率低下。
為旁道攻擊防御而通常使用的技術(shù)不是試圖損害要被保護(hù)的 信息與所有其它可測(cè)量的信號(hào)之間的信噪比并由此使對(duì)保密信息 的監(jiān)視變得困難，就是應(yīng)用隨機(jī)選擇技術(shù)，以去除保密信息與被測(cè) 量的值之間的相關(guān)性。為了使監(jiān)視保密信息變得困難的方法例如包 括避免依賴(lài)于數(shù)據(jù)的分支，這些分支依賴(lài)于有保護(hù)價(jià)值的信息； 使用具有d、的波動(dòng)的電流曲線(xiàn)的程序步驟或者使用程序片段，該程 序片段的運(yùn)行時(shí)間不再依賴(lài)于運(yùn)算數(shù)據(jù)；執(zhí)行隨機(jī)的和/或冗余的程 序片段等等。然而，通常防止SPA攻擊的應(yīng)對(duì)措施具有缺點(diǎn)，即執(zhí) 行受到不利的限制。
用于去除要被保護(hù)的信息與被測(cè)量的值之間的隨機(jī)選擇技術(shù) 并用于防雄卩DPA統(tǒng)計(jì)分析方法。這些措施通常包括利用隨機(jī)值隱 藏保密信息。同時(shí)，在每次新的運(yùn)算時(shí)，為掩碼選4奪新的獨(dú)立的隨 機(jī)數(shù)。因此，攻擊者每次測(cè)量為其隨機(jī)顯示的運(yùn)算，因?yàn)楣粽卟?知道掩碼并且不能確定出測(cè)量的物理值和輸入或者輸出數(shù)據(jù)之間 的任何簡(jiǎn)單的相互關(guān)系。

發(fā)明內(nèi)容
針對(duì)現(xiàn)有技術(shù)的缺點(diǎn)和問(wèn)題，本發(fā)明的目的在于提出一種用于 計(jì)算才莫逆元的方法，該方法具有防止旁道攻擊的能力并且同時(shí)對(duì)在 執(zhí)行時(shí)的限制很小，并且在保護(hù)防止旁道攻擊的目的方面的額外成 本也保持4艮少。
為此，根據(jù)本發(fā)明，提出一種根據(jù)權(quán)利要求1所述的方法。同
時(shí)，提出一種根據(jù)權(quán)利要求3所述的行駛記錄儀和根據(jù)權(quán)利要求4 所述的數(shù)據(jù)卡，它們被分別這樣地設(shè)計(jì)，即它們根據(jù)權(quán)利要求1所 述的方法工作。各個(gè)相關(guān)的乂人屬權(quán)利要求包括優(yōu)選的改進(jìn)方案。
根據(jù)本發(fā)明的技術(shù)允許用于計(jì)算模逆元的方法(還有基于計(jì)算 最大公約數(shù)的非常有效的算法)的執(zhí)行通過(guò)一種簡(jiǎn)單的轉(zhuǎn)換來(lái)防御 SPA和DPA。
此外，才艮據(jù)本發(fā)明的凄史學(xué)上的同態(tài)掩蓋#支術(shù)(arithmetischen homomorphen Maskiemngstechnik )的應(yīng)用具有4尤,泉，即在開(kāi)士臺(tái)i十算
時(shí)執(zhí)行該掩蓋，并且在結(jié)束時(shí)結(jié)果可以:故去除掩蓋并且同時(shí)用于才莫
逆元的^U于^皮保護(hù)以防止SPA和DPA的攻擊。
用于加密和解密的方法，尤其用于在根據(jù)本發(fā)明的行駛記錄儀 或者根據(jù)本發(fā)明的移動(dòng)數(shù)據(jù)載體的本發(fā)明的有利的應(yīng)用例如是在 根據(jù)凄t字簽名標(biāo)準(zhǔn)DSA生成數(shù)字簽名時(shí)所需的逆元
設(shè)p為0質(zhì)數(shù)，q I p-l為質(zhì)數(shù)，0<g<p為用于次數(shù)q ( Z/pZ ) 的循環(huán)亞群的生成元，0<a<q為密鑰，A=g A a mod p為所屬的7>共 密鑰，并且0<=111<= 為待簽名的消息。為了計(jì)算用于消息m和公 共密鑰A的簽名(r、 s )， 4妄下來(lái)4艮據(jù)DSA的計(jì)算步驟通過(guò)計(jì)算單 元執(zhí)行
1 )選4奪隨才幾凄t 0<k<q，該隨積4t必須J呆密
2 )計(jì)算r=(aAk mod p) mod q
3 )使用模M計(jì)算模逆元h=l/k mod q
4 )計(jì)算s=h * ( m + a * r ) mod q
根據(jù)本發(fā)明，在步驟3中的模逆元的計(jì)算可以尤其有利地防雄卩 SPA，從而使攻擊者不能了解保密的隨機(jī)數(shù)k (所謂的瞬時(shí)加密)。 如果攻擊者了解到瞬時(shí)加密，那么他可以計(jì)算出創(chuàng)建出該簽名的人 員的密鑰a。
根據(jù)本發(fā)明的、具有用于在無(wú)限體K中計(jì)算模逆元的執(zhí)行的模 M可以例如由屬于無(wú)限體K的元素a中以旁道攻擊的方式確定才莫逆 元。為此，根據(jù)本發(fā)明的方法例如以下列步驟工作
1 )計(jì)算單元乂人K中選擇隨才幾元素c
2 )計(jì)算單元確定cNac
3 )才莫M確定逆元e=M(d)
4 )計(jì)算單元確定b=e * c
5 )計(jì)算單元i殳定回々貴^f直r: =b
在第三步驟中，攻擊者僅Y又觀(guān)察隨才幾的并且平均分配地選沖奪的 體元素(Koerperelement )，該體元素獨(dú)立于用于計(jì)算的實(shí)際豐敘入a。 因?yàn)楣粽卟恢离S才幾選沖奪的元素c，所以攻擊者不管通過(guò)SPA攻 擊還是通過(guò)DPA攻擊都不能從通過(guò)M纟丸行的計(jì)算步驟中獲得任何 信息。
根據(jù)本發(fā)明，方法的優(yōu)點(diǎn)還在于，未受保護(hù)的執(zhí)行僅需要通過(guò) 步-驟1 )、 2 )、 4 )和5 )來(lái)延續(xù)，乂人而防雄卩SPA和DPA。特別是， 用于計(jì)算才莫逆元的有效的方法能夠以歐幾里德算法為基礎(chǔ)而無(wú)需 更改地來(lái)使用。在此，附加的計(jì)算復(fù)雜性比基于費(fèi)馬小定理的用于 逆元的方法要小得多。
才艮據(jù)本發(fā)明的方法的優(yōu)選的改進(jìn)方案4是出，中間結(jié)果c、 d和e 在各自的計(jì)算步驟之后^皮刪除。


*接下來(lái)，才艮據(jù)特殊的實(shí)施例參考附圖來(lái)進(jìn)一步說(shuō)明本發(fā)明，其 中，本發(fā)明不限于實(shí)施例的附圖。圖中示出
圖1具有才艮據(jù)本發(fā)明的凄t據(jù)卡的才艮據(jù)本發(fā)明的4f馬史記錄儀的示 意性透視圖，
圖2才艮據(jù)本發(fā)明的方法的流程的示意圖。
具體實(shí)施例方式
在圖1中示出了根據(jù)本發(fā)明的行駛記錄儀DTCO和根據(jù)本發(fā)明 的數(shù)據(jù)卡DC。數(shù)據(jù)卡DC可以穿過(guò)兩個(gè)容納縫隙2中一個(gè)而插入 到DTCO中，從而在兩個(gè)部件之間的數(shù)據(jù)傳輸過(guò)程中使數(shù)據(jù)卡DC 不可從外部觸及地容納在行駛記錄儀DTCO中。在行馬史記錄儀 DTCO的前側(cè)3除了具有兩個(gè)容納》逢隙2之外還具有顯示單元1和 操作部件4。在插入到容納縫隙2中之后，數(shù)據(jù)卡DC通過(guò)數(shù)據(jù)線(xiàn)5 與中央處理器CPU建立連接，該中央處理器對(duì)內(nèi)部存儲(chǔ)器MEM進(jìn) 行讀取。數(shù)據(jù)卡同樣具有內(nèi)部存儲(chǔ)器(未詳細(xì)示出)和中央處理器。
在行駛記錄儀DTCO和數(shù)據(jù)卡DC之間的數(shù)據(jù)傳輸通過(guò)對(duì)稱(chēng)密 鑰來(lái)實(shí)現(xiàn)加密，其中，在加密和解密期間刊:駛記錄4義DTCO和凝:才居 卡DC的中央處理器CPU確定輸入值A(chǔ)的模逆元。為此，處理器 CPU4吏用在圖2中示出的才莫KRY。
模KRY是加密流程的組成部分。輸入值a被傳輸給模KRY并 且繼續(xù)傳輸給模Mod Inv進(jìn)入到該模之內(nèi)。模Mod Inv首先確定隨 機(jī)數(shù)并且將該隨機(jī)數(shù)與輸入值a相乘得到積d。通過(guò)才莫M來(lái)確定積
d的才莫逆元，并且然后與隨枳4t c相乘。 <吏返回<直r與該積相等并 且作為結(jié)果返回給模KRY 。
權(quán)利要求
1.一種方法，用于通過(guò)計(jì)算單元對(duì)數(shù)據(jù)進(jìn)行反旁道攻擊地加密和/或解密，其中，在加密和/或解密的步驟中，通過(guò)模(M)來(lái)確定作為輸入值(a)的模逆元的返回值(r)，其特征在于，-在第一子步中，由所述輸入值(a)和隨機(jī)數(shù)(c)產(chǎn)生第一積(d)，-在第二子步中，所述模(M)確定所述第一積(d)的模逆元(e)，-在第三子步中，確定所述模逆元(e)與所述隨機(jī)數(shù)(c)的第二積(b)，-在第四子步中，使所述返回值(r)與所述第二積(b)相等。
2. 才艮據(jù)斥又利要求1或2所述的方法，其特4i在于，在確定所述返 回值(r)之后刪除所述隨枳4t (c)、所述第一積(d)、所述 第二積(b)和所述模逆元(e)。
3. —種具有計(jì)算單元的行馬史記錄4義，其中，所述計(jì)算單元對(duì)凄t據(jù) 進(jìn)行加密和/或解密并且被這樣地設(shè)計(jì)，即在加密和/或解密的 步驟中，通過(guò)所述計(jì)算單元的才莫(M)來(lái)確定作為llr入4直(a) 的才莫逆元的返回值(r),其特征在于，所述計(jì)算單元-在第一子步中，由所述輸入值(a)和隨機(jī)數(shù)(c)產(chǎn)生第一 積(d ),-在第二子步中，所述模(M)確定所述第一積(d)的模逆 元(e)，-在第三子步中，所述計(jì)算單元確定所述模逆元(e)與所述 隨機(jī)數(shù)(c)的第二積(b)， -在第四子步中，所述計(jì)算單元使所述返回值(r)與所述第 二積(b)相等。
4. 一種移動(dòng)數(shù)據(jù)載體，尤其是被設(shè)計(jì)為數(shù)據(jù)卡的數(shù)據(jù)載體，具有 計(jì)算單元，其中，所述計(jì)算單元對(duì)數(shù)據(jù)進(jìn)4于加密和/或解密并 且^皮這樣地:沒(méi)計(jì)，即在加密和/或解密的步艱《中，通過(guò)所述計(jì) 算單元的模(M)來(lái)確定作為輸入值(a)的模逆元的返回值 (r)，其特征在于，所述計(jì)算單元-在第一子步中，由所述輸入值(a)和隨機(jī)數(shù)(c)產(chǎn)生第一 積(d),-在第二子步中，所述才莫(M)確定所述第一積(d)的才莫逆 元(e )，-在第三子步中，所述計(jì)算單元確定所述沖莫逆元(e)與所述 隨機(jī)數(shù)(c)的第二積(b)，-在第四子步中，所述計(jì)算單元^f吏所述返回值(r)與所述第 二積(b)相等。
全文摘要
本發(fā)明涉及一種反旁道攻擊的編碼方法，其中，通過(guò)模塊(M)將返回值(r)確定為輸入值(a)的模逆元。本發(fā)明的目的在于，在以最小的復(fù)雜性執(zhí)行確定模逆元素時(shí)實(shí)現(xiàn)以最小的限制來(lái)防止旁道攻擊。為此，該目的這樣地實(shí)現(xiàn)，即在第一子步中生成輸入值(a)和隨機(jī)數(shù)(c)的第一積(d)，在第二子步中通過(guò)模塊(M)確定第一積(d)的模逆元(e)，在第三子步中通過(guò)模逆元(e)確定隨機(jī)數(shù)(c)的第二積(b)，在第四子步中將返回值(r)設(shè)定成與第二積(b)相同。
文檔編號(hào)G06F7/72GK101180606SQ200680018008
公開(kāi)日2008年5月14日 申請(qǐng)日期2006年5月19日 優(yōu)先權(quán)日2005年5月25日
發(fā)明者貝恩德·邁爾 申請(qǐng)人:西門(mén)子威迪歐汽車(chē)電子股份公司