[发明专利]用于执行密码学计算的方法和装置

说明书

本发明涉及密码学领域，尤其涉及密码学算法中密钥的保密。

特别地，密码学算法可对数据进行加密和解密。这种算法还可用 于许多其它的应用中。具体地，密码学算法可用于签名或用于鉴别某 些信息。密码学算法还可用于时间戳领域。

这种算法通常包括一连串的几个操作或计算，它们连续用于待加 密的数据项而获得加密的数据项，或用于加密的数据项而获得解密的 数据项。

在这些算法中，有一些基于使用保密密钥，而另一些基于公共密 钥和保密密钥的混合使用。

下面通过示例说明这些算法在加密和解密中的应用。

根据公共密钥密码学算法在这些应用中的一般原则，公共密钥是 全体人员都可得到的，并且所有人都可发送使用公共密钥加密的数据， 但是，只有相应的保密密钥的持有者才能解密这些数据。

公共密钥密码学算法的安全性在于，知道公共密钥并不能获得相 应的保密密钥，因此并不能解密数据。

因此，被称为RSA(代表其设计者Rivest、Shamir和Adelman) 的公共密钥加密处理方法是公知的。该处理方法是本领域中最老的、 并使用最广泛的方法之一。

根据该方法，选择表示为p、q、e和d的四个数。数p和q是两 个不同的素数。它们随机产生。

数d和e满足下式：

e*d＝1 modulo(p-1)(q-1)

则可根据本领域技术人员公知的计算，基于e、p和q使用Euclid 算法产生d。

然后，由数p和q的乘积得到的数标记为n(模数)。

因此，一对n和e构成了公共密钥，而一对n和d构成了私有密 钥。

然后，发送对应于从0到n-1范围内的整数M的数据项，相应 的待发送的编码数C由下式计算：

C＝M^e modulo n

当接收到编码消息C时，私有密钥的持有者计算中间值D：

D＝C^d modulo n

然后，根据下式恢复原始明文消息M：

D＝M^de＝M modulo n

因此，根据上面的描述可知这种公共密钥算法基于素数的产生。 更准确地说，例如RSA的公共密钥算法可要求产生非常大的素数。因 此，产生将近500个数目字的素数可能是必要的。

在RSA类型的算法中，应该注意到模n属于公共密钥并因此是公 知的，而d必须是保密的以保证算法的安全性。但是，数d是基于数 p和q得到的。从而，为保证这种算法的安全性，保持数p和q的保 密性是重要的。

通常，对于电子卡的密码软件，这些密钥在保护不受任何攻击的 环境中产生，例如在执行密码学算法的电子元件的制造过程中的工厂。

因此，在这样的条件下，数p和q可简单操作，而完全没有受到 目标在于确定其值从而破坏算法安全性的攻击的风险。因此，用于产 生密钥的这些不同的方法通常包括对数p和q的操作。

在这样的条件下，可使用本领域技术人员公知的各种方法产生素 数。

然而，对于某些应用，需要在可能存在攻击的外部环境中产生这 些密钥，所述攻击的目的在于破坏密码学算法使用的密钥的保密性。

现在已知许多类型的攻击。

因此，某些攻击基于在某些加密步骤执行中检测到的信息泄漏。 这些攻击通常基于密码学算法在对数据项处理过程中检测到的信息泄 漏和在对密钥处理过程中检测到的信息泄漏之间的相关性(通过分析 电流消耗、电磁辐射、计算时间等来进行攻击)。

在这种条件下，采用适当的预防措施以保护之前输入的数p和q 的保密性是重要的。

已知一种产生数p和q并可保护其保密性的方法。在Dan Boneh 和Matthew Franklin所写的“共享RSA密钥的高效产生方法(Efficient Generation of Shared RSA keys)”一文中明确提出数p和q可同时保密 地产生。

这种方法的目标之一是：在多个参与者之间以共享的方式产生素 数。因此，参与者执行使其产生两个素数的计算而并不知道这两个素 数，参与者只知道这两个素数的积。