[发明专利]信息安全装置及椭圆曲线运算装置

说明书

技术领域

本发明涉及能够对抗基于功率消耗量测量的功率分析攻击，可以安全、可靠地对信息进行处理的信息安全技术。

背景技术

近些年来，在由硬件或软件安装的加密模块中进行加密处理时，以该加密处理中的各种副信息为线索，对该加密处理中所使用的加密密钥进行分析的各种破译方法，进行了研究。

例如，在被称为定时攻击的破译方法中，在加密模块中加密处理所需的时间，根据该加密处理中所用的加密密钥的值，有尽管微小但确实存在的不同，利用这一点进行该加密密钥的破译。另外，在被称为Simple Power Analysis(简单功率分析攻击)、及Differential PowerAnalysis(差分功率分析攻击)的破译方法中，采用进行加密处理时的加密模块的功率消耗量作为副信息。

已有报告指出，这些破译方法，近些年来可以以便宜的价格得到高性能的测量设备，即使对安装IC卡这样的加密模块的实际产品也可以进行分析。

在下面的说明中，以上述的加密处理时的加密模块功率消耗量的变化，即功率波形为线索，对加密密钥进行分析的破译方法，总称为“功率分析攻击”。关于定时攻击，在非专利文献1中进行了详细说明，而关于功率分析攻击，在非专利文献2中进行了详细叙述。

下面，说明对椭圆曲线加密的简单功率分析攻击。关于椭圆曲线加密，在非专利文献5中进行了详细叙述，另外，关于椭圆ElGamal加密及椭圆DSA签名方式，在非专利文献3中进行详细叙述。

(椭圆曲线加密的简单功率分析攻击)

在椭圆曲线加密的解密处理中，计算作为正整数的私钥ks和作为密文一部分的椭圆曲线上的点C的标量乘法点ks*C。此处，ks*C表示将ks个点C相加所得到的椭圆曲线上的点。该计算方法，例如是已知有在非专利文献5的69页的带符号Window法。下面对带符号Window法进行说明。以下，设Window的宽度为3比特。

步骤S801：使v←ks，取v_0，v_1，v_2，……，v_b，使v＝v_0+v_1×2^3+v_2×2^6+……+v_b×2^(b×3)。再使v_(b+1)←0。此处，b表示(len/3以上的最小整数)-1，len表示v的比特数，“×”表示整数相乘，x^y表示x的y次幂。例如len＝52时，b＝18-1＝17。

步骤S802：在以下的步骤S8021～S8026中，生成整数串{w_i}(i＝1，2，……，b+1)。

步骤S8021：c←0

步骤S8022：判断是否是v_c＞2^2，当v_c＞2^2时，转到步骤S8023，否则转到步骤S8024。

步骤S8023：w_c←v_c-2^3，v_(c+1)←v_(c+1)+1，转到步骤S8025

步骤S8024：w_c←v_c

步骤S8025：c←c+1

步骤S8026：判断是否是c＞b+1。当c＞b+1时，转到步骤S803，否则转到步骤S8022

步骤S803：在以下的步骤S8031～S8035中，生成表{P_i}。

步骤S8031：P_0←O、P_2←Dob(C)，此处，O表示椭圆曲线的零源，Dob表示椭圆曲线的2倍运算，Dob(C)是C的2倍点。

步骤S8032：c←3

步骤S8033：P_c←P_(c-1)+C

步骤S8034：c←c+1

步骤S8035：判断是否是c＞2^2＝4。当c＞2^2时，转到步骤S804，否则转到步骤S8033。

步骤S804：在以下的步骤S8041～S8047中，计算标量乘法点R。

步骤S8041：c←b+1

步骤S8042：判断是否是w_c＝0。当w_c＝0时，c←c-1。

步骤S8043：R←P_(w_c)

步骤S8044：c←c-1

步骤S8045：判断是否是c＜0。当c＜0时，转到步骤S805。

步骤S8046：R←Dob(Dob(Dob(P_(w_c))))

步骤S8047：判断w_c是正、负还是0。当w_c＜0时，R←Add(R，-P_(-w_c))，当w_c＞0时，R←Add(R，P_(w_c))，当w_c＝0时，什么也不做。转到步骤S8044，此处Add是椭圆曲线的加法运算，Add(R，P_(w_c))是对R和P_(w_c)的椭圆曲线的加法运算的结果。

步骤S805：输出R，结束。