[发明专利]一种抵抗简单电耗攻击的模幂计算方法

说明书

技术领域

本发明属于公钥密码体制的安全执行领域，涉及集成电路安全技术。

背景技术

迄今为止，应用于各种电子设备上的公钥密码体制主要有两类。第一类，是基于大 整数分解的密码体制，例如，RSA体制和Rabin-Williams体制。第二类，是基于循环群 上离散对数的密码体制，例如，ElGamal体制和数字签名算法(DSA)。上述公钥密码体制 大都需要在模整数意义上计算模幂x^E(modn)，这里x，E，和n都是整数。而在这些公 钥密码体制中，总有部分模幂中的整数E需要严格保密。

现代密码设备的计算部件是集成电路芯片。芯片都是由晶体管门电路组成，电路在 执行不同的程序操作时，电能消耗有所不同，这一点可以通过示波器观察。据此，Kocher 等人提出了电耗分析攻击。电耗分析攻击的前提是电耗轨迹与设备执行的指令相关，并 与处理的操作数的值有关。这样检查电耗轨迹能够暴露正在执行的指令和寄存器中数据 的信息。当密码设备正在执行秘密密钥操作时，攻击者有可能推导出秘密密钥。研究表 明，几乎所有的公钥密码系统都潜在存在电耗分析攻击问题，特别是，智能卡这样的需 要外界提供电源的嵌入式设备受到电耗分析攻击的威胁尤为巨大。简单电耗分析(SPA) 攻击是攻击者通过简单观测秘密密钥操作的电耗轨迹，直接推导出关于秘密密钥保密信 息的技术。SPA攻击对攻击的环境和攻击者的设备要求不高，容易实现，因此，是实际 应用中的主要安全威胁。在防止SPA攻击模幂计算的技术方面，主要从防护算法设计和 保护电路设计两方面着手。由于设备上的公钥密码体制需要依靠具体执行算法实现，同 时算法容易维护、更新、修改，因而算法防护措施得到广泛重视。防护算法的设计关键 在模幂计算方法。目前，抵抗SPA攻击的模幂计算方法主要思路是程序执行路线固定化 或随机化。典型的方法有：始终平方乘计算方法、Joye改进二进制计算方法、Clavier和 Joye通用计算方法。需要指出的是，这些模幂计算方法常常都是以牺牲效率为代价的。 此外，由于SPA攻击技术的发展，不少现有模幂计算方法已经不能很好抵抗SPA攻击。

发明内容

鉴于抵抗SPA攻击的模幂计算方法存在的问题，本发明目的是提供一种适合密码设 备硬件或软件实现的抵抗SPA攻击的模幂计算方法。本发明提供的计算方法具有更强的 抵抗SPA攻击的能力，同时，具有较快的计算速度。因此，特别适合于智能卡等计算资 源受限的嵌入式设备应用。

本发明采用如下的技术方案：

一种抵抗SPA攻击的模幂计算方法，其特征是，当潜在受到SPA攻击的软件或硬件 密码设备运行公钥体制时，在需要使用秘密密钥或保密参数为指数计算模幂情况下，具 体执行下列步骤：

(1)读取底数x、指数E、和模n；

(2)等分二进制表示的指数E为子串E₁和E₂，其二进制表示为 算符表示不小于c的最小整 数，k为指数E的二进制比特串长度；

(3)用固定从右向左二进制算法计算模幂对

(4)根据公式用模幂对计 算模幂x^E(modn)，算符‖表示连接，算符sq^(m)(x，n)表示对整数x做m次模n平方 操作。

作为优选实施方式，本发明中的步骤(3)具体按照下列步骤执行：

3.1 将x赋值给S，并令C₀＝1；C₁＝1；C₂＝1；C₃＝1；

3.2 将S赋值给C2·b2.1+b1.1;]]>

3.3 从i＝2至步长为1，执行循环语句：