[发明专利]使用RSA公开密钥加密算法的电子部件中的防攻击方法和装置

说明书

技术领域

本发明涉及防攻击领域，尤其涉及一种使用RSA公开密钥加密算法的电子部件中的防攻击方法和装置。

背景技术

密码体制分为私钥密码体制和公钥密码体制，分别以1977年美国国家标准局与IBM公司研制的对称加密算法DES和1978年由R.Rivest、A.Shair和L.Adleman提出的公钥加密算法RSA为代表。私钥密码体制既不利于密钥管理也不利于数字签名，但速度高。公钥密码体制可用于密钥管理和数字签名，但速度较低。公钥密码体制的机制是：为每个用户产生一对密钥：一个公开的加密密钥和一个私密的解密密钥，要从公开的加密密钥（简称：公钥）利用计算找到私密的解密密钥（简称：私钥）必须是不可能的。例如：A、B双方通信时，A通过任何途径取得B的公钥，用B的公钥加密信息，加密后的信息通过任何不安全信道发送，B收到密文信息后，用自己的私钥解密恢复出明文。

采用RSA加密算法用在智能卡中，在访问数据库、金融应用、或远距离支付应用等方面有广泛的应用。RSA加密算法的原理可以分成如下三个不同的部分：

第一部分：生成一对RSA密钥；

第二部分：将一个明文加密成密文；以及

第三部分：将密文解密为明文。

其中，第一部分包括如下5个步骤：

步骤一、生成两个长度相同大小不等的大素数p和q；

步骤二、计算n＝p×q,保密；

步骤三、随机选择整数e，满足且

步骤四、计算d,满足

步骤五、其中公钥是(e,n),私钥是(d,p,q)。

第二部分按照如下公式计算：c=m^emodn。

第三部分按照如下公式计算：m=c^dmodn。

其中，m表示明文，c表示密文，1<m<n，1<c<n,e是加密指数，d是解密指数。

RSA加密算法的安全性是基于对由两个素数的乘积形成的大数进行因子分解的难度，换句话说，给定两个大素数p和q，要获得他们的乘积n很容易，但是给定n，找出素数p和q非常困难，基于此事实，一个安全的RSA系统必须满足n足够长，例如：512位、1024位、2048位等。

对于RSA加密算法，密钥越长，加密效果越好，但加密、解密的开销也就越大。使用中国剩余定理（Chinese Remainder Theorem，以下简称：CRT）的RSA加密算法可以使解密速度大约提高4倍左右，解密运算由计算模n的指数形式m=c^dmodn转化为求同余方程组的情形，可以包括如下步骤：

步骤一、预计算：dp=dmod(p-1),dq=dmod(q-1),invQ=q^-1modp；

步骤二、计算：cp=cmodp和cq=cmodq；

步骤三、计算：mp=cp^dpmodp,mq=cq^dqmodq；

步骤四、计算：p

其中，输入为：n,d,p,q,dp,dq,invQ,c；输出为m=c^dmodn。

使用CRT的RSA算法在进行解密计算时，首先执行modp和modq运算，其中，两个质数p和q需要具有一样的位长但大小不等，然后执行两次模指数运算，即：cp^dpmodp和cq^dqmodq，再将模指数运算的计算结果利用CRT再结合得到明文m。

在智能卡上实现使用CRT的RSA加密算法易受到如电力消耗、执行时间、故障时的输入和输出行为、辐射等攻击从而泄露密钥信息，其中，差分功率分析（Differential Power Analysis，简称：DPA）攻击是一种很有效的能量攻击方法。DPA攻击利用了这样一个事实：密码设备的瞬时能量消耗依赖于设备所处理的数据以及设备所进行的操作，其原理是智能卡在执行加密解密过程中会消耗能量，产生电磁辐射，通过使用特殊的电子测量仪和数学统计技术，就可以检测和分析这些变化，从而得到芯片中的特定关键信息。具体地，智能卡执行一条指令消耗的能量与指令的操作数相关，其中，当某一特定比特不变而其它比特变化时，则与该指令相关的电流消耗的分析表明，当某一特定比特取值为0或1时，该指令的平均消耗是不同的。因此DPA类型的攻击使得很有可能在执行加密算法期间得到由在卡上的微处理器所处理的中间数据的外加信息，这种外加信息在某些情况下使得有可能泄露解密算法的秘密参数，使得加密系统不安全。

发明内容