[发明专利]用于密码运算的指数分裂

说明书

可以接收第一份额值和第二份额值。第一份额值和第二份额值的组合可以对应于指数值。使用基于第一和第二份额值的第一等式来更新第一寄存器的值，并且使用基于第二份额值的第二等式来更新第二寄存器的值。基于第二份额值的位值来选择第一寄存器的值或第二寄存器的值中的一个值。

附图说明

将从以下给出的详细描述以及本公开的各种实施方式的附图来更加完整地理解本公开。

图1示出了根据一些实施例的包括指数分裂器(exponent splitter)的示例性设备。

图2是根据本公开的一些实施例的基于指数值的分裂执行密码运算的示例性方法的流程图。

图3是根据一些实施例更新寄存器的值并提供寄存器的一个值用于密码运算的指数分裂器的框图。

图4是根据一些实施例选择多个寄存器中的一个寄存器的值用作对应于密码运算的群指数运算(group exponentiation)中的指数值的示例性方法的流程图。

图5是根据一些实施例基于最低有效位选择寄存器的值的示例性方法的流程图。

图6示出了本公开的一些实施例可以运算的计算机系统的实施例的框图。

具体实施方式

本公开的多个方面的目的在于提供用于密码运算的指数分裂。可以在密码运算中使用指数的值，其使用指数方法来基于指数的值对消息进行编码。例如，可以基于指数的值来编码明文(例如，发送者想要传输给接收者的信息)，以生成密文(例如，加密信息)。作为示例，密文(例如，y)可以等于明文(例如，x)提升到指数k的值的幂(例如，y＝x^k)。

因此，指数值可用于编码明文，并且指数值的逆元素可用于解码明文。例如，发送者可以向接收者传输密文(例如，y)，并且接收者可以解码密文，以通过使用指数值的逆元素恢复明文(例如，x＝y^-k)。因此，指数值可以被认为是用于对明文进行编码的密钥(例如，公开密钥)，并且指数值的逆元素可以被认为是用于对密文进行解码的密钥(例如，私人密钥)。

指数值可以通过集成电路来生成并且被集成电路用于执行密码运算。通过集成电路生成和使用指数值可以导致集成电路易受到侧信道攻击(side channel attack)(其中攻击者可以得到指数值)的影响。侧信道攻击的示例包括但不限于差分功率分析(DPA)，其中试图从集成电路获得指数值的攻击者可以在指数值被生成以用于密码运算中时研究集成电路的功耗。攻击者可以是未被授权的实体，在指数值在密码运算中生成和/或使用时其可以通过在时间周期内分析集成电路的功耗测量值从集成电路获得指数值。因此，当发送者向接收者传输密文时，攻击者能够通过使用集成电路的DPA获得指数值解码密文来恢复明文。

指数值可以被生成和/或用于防止DPA攻击能够恢复指数值。例如，指数值的计算可以包括随机计算，以有效地隐藏被集成电路使用的指数值。例如，指数值可以分裂为两个值(称为份额(share))，它们至少部分地被随机表示。两个份额的组合效果可以等效于期望的指数值。对应于指数值的两个份额的使用可以称为指数分裂。可以在群指数运算中使用指数值。

在一些实施例中，集成电路可以包括第一寄存器来存储第一值以及第二寄存器来存储第二值。第一值和第二值可以基于期望指数值的特定位来进行更新。第一寄存器的第一值和第二寄存器的第二值可以针对第一份额和第二份额的每个位来更新，直到达到这两个份额的最低有效位为止。基于一个份额的最低有效位的值，指数运算方法的结果可以存储在第一寄存器中或第二寄存器中。此外，第一等式可用于更新第一寄存器的第一值，以及第二等式可用于更新第二寄存器的第二值。观察用于实施第一和第二等式(用于更新第一和第二寄存器的第一和第二值)的集成电路的一些侧信道不会导致DPA攻击者获得指数值，因为一个寄存器可以包括使用指数值的群指数运算的结果，并且另一寄存器包括从与附加功耗相关联的附加计算得到的值。因此，DPA攻击者不能恢复指数值。