[发明专利]适用于RSA模幂计算的方法

说明书

技术领域

本发明涉及RSA密码运算中的模幂计算(应用中包含解密和签名等)，具体涉及一种适用于RSA模幂计算的快速安全方法，尤其适用于包含RSA算法的芯片的应用。

背景技术

RSA算法是应用比较广泛的加密算法，但是RSA算法容易受到SPA(简单功耗分析)和DPA(差分功耗分析)攻击。对抗SPA攻击的思想是平衡RSA模幂运算中每个不同条件分支中的计算流程，这样的话每个条件分支执行时的功耗基本无差别；而对抗DPA的思想是用一个随机数对模幂运算的输入进行掩码，用掩码后的数据计算模幂，最后得出正确的计算结果，这样，每次进行模幂计算时芯片的功耗都会随机变化，消除了功耗和密钥之间的相关性。上述思想结合使用可以达到保护密钥的目的。另外RSA模幂计算的效率需要在一定程度上进行提高，以适应复杂的应用。

根据传统方法描述，进行RSA模幂计算的方法如图2中算法1所示，其中L为RSA的数据长度，即底数M、指数k和模数n都是L位的数字，“*”表示模乘运算，“X²”表示模平方运算，模数都是RSA的模数n。

由算法1可以看出，传统RSA模幂运算里，当指数位为“1”时，会计算一次模平方和一次模乘，而当指数为“0”时只计算一次模平方，这样由于不同条件分支的计算流程不同则会引起功耗上的区别，容易受到SPA攻击；另外模幂的输入没有随机化，所以指数和功耗会存在一定的相关性，因此易受到DPA攻击。这里设RSA的数据长度为1024位，指数中“0”和“1”的比例平均为1∶1，那么可以推出传统方法进行一次RSA模幂运算需要计算1024次模平方和512次模乘，时间代价较大。

发明内容

本发明要解决的技术问题是提出一种适用于RSA模幂计算的方法，能够快速安全地进行RSA模幂运算，既提高了安全性又降低时间代价。

为了解决以上技术问题，本发明提供了一种适用于RSA模幂计算的方法，包括如下步骤：

步骤1，获取一个随机数R’；

步骤2，计算R’对RSA模数n的模逆值R，即R＝R’^-1mod n；

步骤3，把指数平均分成r段，每段的长度为s位；

步骤4，计算T₁＝M(RSA模幂底数)，T_i+1＝2^s·T_i，其中(i＝1，2，……，n)；

步骤5，进行RSA模幂计算。

本发明的有益效果在于：所采用的适用于RSA模幂计算的快速安全方法能够通过将指数平均分段结合底数掩码的措施来完成RSA模幂的计算，从而减少了模幂计算中循环的次数，降低了模幂运算所要消耗的时间代价，平衡了各个条件分支中的计算流程，在模幂的输入部分加入了随机元素，因此能够更快更安全地计算RSA模幂。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细说明。

图1是本发明实施例所述模幂计算的通用流程图；

图2是传统RSA模幂计算方法中算法1的示意图；

图3是本发明实施例所述方法步骤五中算法2进行模幂的示意图。

具体实施方式

本发明提出了一种适用于RSA模幂计算的快速安全方法，包括如下步骤：

步骤1、获取一个随机数R’；

步骤2、计算R’对RSA模数n的模逆值R，即R＝R’^-1mod n；

步骤3、把指数平均分成r段，每段的长度为s位；

步骤4、计算T₁＝M(RSA模幂底数)，T_i+1＝2^s·T_i，其中(i＝1，2，……，n)；

步骤5、通过图1所示的流程进行RSA模幂计算，其中“*”表示模乘运算，“X²”表示模平方运算，模数都是RSA的模数n，B(i，j)的值为{0，1}。

步骤1中所述的一个随机数R’，包括16位以上(包括16位)的所有随机数。

步骤2中所述的计算R’对RSA模数n的模逆值R，即R＝R’^-1mod n，包括使用任何公知的方法计算模逆。

步骤3中所述的把指数平均分成r段，每段的长度为s位，包括r＞1的所有可能。