[发明专利]采用中国剩余定理的RSA的计算方法及计算装置

说明书

技术领域

本发明涉及安全领域，特别涉及RSA（取名来自三位开发者的名字的首字母，三位开发者分别为Ron Rivest、Adi Shamirh和LenAdleman，简称RSA）的计算方法及计算装置。

背景技术

RSA是信息安全领域中比较主流的公钥密码技术。基于RSA实现的各种物理设备，例如安全芯片及智能卡已经广泛应用于金融、通信、社保、交通等各个领域。采用了中国剩余定理（Chinese Remainder Theorem，简称CRT）的RSA（采用了中国剩余定理的RSA以下简称CRT-RSA）的实现相对于传统的RSA实现具有更高的性能优势，尤其当采用并行设计时，这种优势更高，因此CRT-RSA的应用更加广泛。

涉及私钥的CRT-RSA实现方法面临多种侧信道攻击行为，这些攻击行为的目的是在物理设备运行CRT-RSA运算时，通过对运行时间、温度、功耗、电磁等外部因素的不同表现，分析获取私钥或私钥的部分信息。常见的这类攻击有简单功耗分析攻击（Simple Power Analysis，简称SPA）、差分功耗分析攻击（Differential Power Analysis，简称DPA）、简单电磁分析攻击（Simple Electromagnetic Analysis，简称SEMA）、差分电磁分析攻击（Differential Electromagnetic Analysis，简称DEMA）、时间攻击（Timing Attack）等。

现有技术中，针对上述攻击方法已提出多种CRT-RSA的实现方式，以增加CRT-RSA运算的安全性。这些实现方式大致分为两种，一是规则化算法的操作或执行流程，如模乘取代模平方的操作、增加虚拟运算的计算流程；或采用其他方法能够导致模幂的实现流程，不依赖于数据，每次执行的操作大体是一致的，如此可以抵抗如SPA之类的简单分析攻击；二是随机化运算数据，如使用随机数据掩盖模幂运算中的幂指数、底数，甚至包括随机化数据的存储单元，如此可以抵抗如DPA之类的差分分析攻击。

但上述实现方式中，对于如何实施一个完整的CRT-RSA的运算没有给出具体方案；同时在模幂运算过程中，采用什么样的随机数，如何求解随机数逆元，采用什么样的随机数对数据进行随机化处理和脱掩处理都没有给出完备的说明。可见，现有的实现方式无法提高CRT-RSA的安全性能。

发明内容

本发明实施例中提供了一种采用中国剩余定理的RSA的计算方法及计算装置，可以提高采用中国剩余定理的RSA的安全性能。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

一方面，提供了一种采用中国剩余定理的RSA的实现方法，所述方法包括：

产生第一随机数γ，所述第一随机数的比特长度小于或等于RSA的模数N的比特长度的二分之一；

使用中国剩余定理计算所述第一随机数的逆元γ^-1mod N，其中γ^-1=γ^φ(N)-1mod N,φ（N）=(p-1)*(q-1)，N=p*q，p和q为素数，且(p,q,p-2,q-2,qInv)为采用中国剩余定理的RSA的私钥五元组，qInv=q^-1mod p。

结合第一方面，在第一方面的第一种可能实现方式中，所述方法还包括：

计算所述第一随机数γ的公钥指数次幂R=γ^emod N或所述第一随机数的逆元γ^-1mod N的公钥指数次幂R=γ^-emod N；

使用R=γ^emod N或R=γ^-emod N对模幂运算C^dmod N的底数C进行随机化处理。

结合第一方面的第一种可能实现方式，还提供了第一方面的第二种可能实现方式，使用R=γ^emod N或R=γ^-emod N对模幂运算C^dmod N的底数C进行随机化处理具体包括：

用C'=C×R mod N替代C，并计算M'=(C')^dmod N。

结合第一方面的第二种可能实现方式，还提供了第一方面的第三种可能实现方式，所述方法还包括：