[发明专利]适用于椭圆曲线密码安全保护的随机点生成方法

说明书

技术领域

本发明涉及ECC(椭圆曲线密码)安全保护中需要对椭圆曲线上的点进行掩码的方法，具体涉及一种适用于ECC安全保护的随机点生成方法，尤其适用于包含ECC算法的芯片的应用。

背景技术

ECC(椭圆曲线密码)算法容易受到DPA(差分功耗分析)攻击，对抗这种攻击的一种防御措施就是在公钥生成过程中用椭圆曲线上一个随机点对计算的输入点进行掩码，用掩码后的点和标量计算公钥，然后对计算结果进行恢复处理，最后得出正确的公钥。这样，每次生成公钥时芯片的功耗公钥都会随机变化，消除了功耗和密钥之间的相关性，达到保护密钥的目的。

根据传统方法描述，生成椭圆曲线上随机点最简单的方法就是随机选取某个椭圆曲线定义域内的横坐标，通过该椭圆曲线方程计算出纵坐标。但是，椭圆曲线方程中纵坐标都是二次项式，计算纵坐标的值就需要进行开方或解一元二次方程运算，而开方或解一元二次方程运算又是通过大量的模乘运算实现的，所消耗的时间代价十分巨大。

下面是椭圆曲线算术中的大数开方或解一元二次方程算法：

1.有限域Fp中求平方根：

p为质数，g为满足0≤g＜p的整数。g的根为整数y，满足y²≡g(mod p)(式中符号“≡”表示等式两边都做mod p运算)。如果g＝0，只有一个根0；如果g≠0，g有0个或2个根。若一个根为y，那么另一个根为p-y。

输入：域Fp，g；

输出：g的平方根y。

算法1：当p≡3(mod 4)，计算整数u＝(p-3)/4。

1)计算y＝g^u+1 mod p

2)计算z＝y² mod p.

如果z＝g，表示有两个根，那么输出y；否则表示没有根，输出“nosquare roots exist.(没有平方根存在)”。

算法2：当p≡5(mod8)，计算整数u＝(p-5)/80。

1)计算γ＝(2g)^umodp

2)计算i＝2gγ²modp

3)计算y＝gγ(i-1)modp

4)计算z＝y²modp

5)如果z＝g，表示有两个根，那么输出y；否则表示没有根，输出“没有平方根存在”。

算法3：当p≡1(mod4)，计算整数u＝(p-1)/4。

1)令Q＝g；

2)产生随机数0≤P＜p；

3)计算Lucas序列元素：

U＝U_2u+1modp，V＝V_2u+1modp；

其中元素U和V的计算方法为：

U₀＝0，U₁＝1，U_k＝PU_k-1-QU_k-2，k＞2；

V₀＝2，V₁＝P，V_k＝PV_k-1-QV_k-2，k＞2。

4)如果V²＝4Q(modp)，输出y＝V/2modp并跳出程序；

5)如果U≠(1modp)，输出“没有平方根存在”并跳出程序；

6)返回步骤2)。

2.解有限域F₂^m中的二元方程(z²+z＝β)

如果β是有限域F₂^m中的元素，那么方程z²+z＝β有0或2个解。当β＝0，解为0和1；当β≠0且其中一个解为z，那么另一个解为z+1。

下面的算法为在有限域F₂^m中(多项式基)求方程z²+z＝β的解。

输入：域F₂^m，β；

输出：方程z²+z＝β的解z。

1)随机选取t∈F₂^m。

2)令z＝0，w＝β。

3)i从1到m-1，做以下两个步骤：

A.令z＝z²+w²t。

B.令w＝w²+β。

如果w≠0，输出“无解存在”并跳出程序。