[发明专利]用于以签名方案进行非对称加密的对策方法和设备

说明书

技术领域

本发明涉及一种电子元件中的对策方法，其实现非对称私钥加密算法，抵抗旨在发现该私钥的攻击。本发明还涉及一种实现该方法的微电路设备和便携式设备，特别是芯片卡。

背景技术

非对称私钥加密是基于对通常是利用单向、复杂的解析问题的函数的原函数(primitive)P的使用，所述问题例如是离散对数问题和椭圆曲线离散对数问题。换句话说，对于意味着输入数据x的非对称加密原函数P，计算y＝F(x)是简单的，但是已知y和原函数F来找到x的值却是困难的。词语“困难的”在这里是指“难以从计算上解决”。在有限的域中，F是模幂，在椭圆曲线中，F是在限定的椭圆曲线点上的纯量乘法。

签名方案构成对非对称加密的传统使用。如图1所示，利用签名方案的非对称加密的算法应用10(其意味着对私钥d的使用)通常由微电路12实现以通过使用私钥的消息的签名来认证消息M的传输。私钥d例如被存储在包括存储器14的微电路12中，该存储器14包括为此而提供的安全存储空间16以及执行非对称加密算法10的微处理器18。

实现加密算法的微电路设备有时会受到攻击，该攻击旨在确定它们使用的秘密数据(例如所使用的密钥)以及可能在一些情况下的关于实际消息的信息。特别地，利用签名方案的非对称加密算法会受到旨在发现私钥的攻击。由备用信道进行的攻击构成使用加密算法的软件或硬件实现的一些属性的主要密码分析技术族。

在已知的通过备用信道进行的攻击之中，SPA(简单功耗分析)型攻击或DPA(差分功耗分析)型攻击在于在执行非对称加密算法期间测量微电路的进入的和外出的电流和电压，从而由此推断私钥。这个攻击族的可行性已经在P.Kocher，J.Jaffe和B.Jun所著的标题为“Differential Power Analysis”的文章中得到证实，该文章特别地在Advances in Cryptology-Crypto 99 Proceedings中公开，是Computer Science Vol.1666，M.Wiener，ed.，Springer-Verlag，1999中的讲稿。

时间攻击分析执行一些操作的时间。这种对非对称加密算法的攻击在P.Kocher，N.Koblitz所著的标题为“Timing attacks on implementations of Diffie-Hellman，RSA，DSS，and other systems”的文章中有所描述，该文章特别地在Advances in Cryptology-Crypto 96，16th annual international cryptology conference，Aug.18-22，1996 Proceedings中公开。

通过故障注入而进行的攻击也是已知的，在这些攻击中，旨在于加密算法执行期间自行导致故障的DFA(差分故障分析)攻击例如是通过干扰它所执行于其上的微电路来进行的。这种干扰可能包括对微电路进行一次(或多次)短暂照亮或在其触点之一上生成一个或多个电压峰值。这个干扰因而使之能够在一些条件下使用所产生的计算和行为差错来获得想要的整个私钥或一部分私钥。

为了防御这些特性不同的攻击，已经找到许多十分不同的解决方案。本发明具体地涉及与实现非对称私钥d加密算法的电子元件中的对策方法有关的那些方案，该对策方法包括：

-利用原函数生成第一输出数据，

-生成保护参数a。

这些算法通常能利用所生成的保护参数来修改原函数的执行。

保护参数a通常是利用伪随机数据生成器20来生成的，以使得由加密算法10对原函数的执行也是随机的，例如通过一种通常称为掩蔽的技术，该技术也可以被重新命名为用于变换或篡改数据的方法，因为其处理以与它们的使用相反的方式被篡改，这是由微处理器18的对策部分22利用保护参数a来实现的。因此，加密算法的中间数据以及所产生的可测量电流通过随机保护参数而被修改并且其观测并没有使之能够找到私钥的真实值。另一方面，掩蔽不干扰实际算法，这因而在利用或不利用掩蔽的情况下都提供相同的结果。

例如，在称为RSA(按照其作者Rivest，Shamir和Adleman)的非对称加密算法的执行期间，执行针对模幂的原函数。原函数的高效实现通过对私钥d的二进制表示的每个比特执行迭代来使用该二进制表示。在每次迭代中，所进行的计算和计算期间的实际能量消耗取决于有关比特的值。因此，这种原函数的执行使得私钥对于上述攻击特别地脆弱。传统的对策因而在于利用保护参数直接掩蔽私钥。