[发明专利]用于固定执行流乘数再译码和标量乘法的方法和装置

说明书

一个特征涉及包含存储器电路和处理电路的电子装置。所述处理电路计算标量乘法输出Z，其中Z＝k·P，方法是接收输入乘数k和底数P，并且将修改符s添加到所述输入乘数k以产生k'。所述处理电路还计算中间标量乘法输出Z'，其中Z'＝k'·P，方法是使用包含属于数字集合D的数字k_i的序列的k'的数字展开式。另外，如果k'是奇数，那么所述处理电路从Z'中减去s·P以获取所述标量乘法输出Z，或者如果k'是偶数，那么从Z'中减去(s+1)·P以获取所述标量乘法输出Z。所述标量乘数输出Z可用于密码安全算法中以确保数据安全。

相关申请的交叉参考

本申请主张2015年5月6日在美国专利和商标局递交的第14/705,686号非临时申请的优先权和权益，并且所述申请的全部内容以引用的方式并入本文中。

技术领域

各种特征大体上涉及密码安全，且更确切地说，涉及用于在密码安全算法中使用的固定执行流乘数再译码和标量乘法的方法和装置。

背景技术

椭圆曲线点乘法，且一般而言乘以具有g个元素的循环群中的常数，是接受乘数k(其中k≥0)和底数P的计算，并且如下计算结果：

此运算被称为标量乘法，并且它是许多密码协议中的基本运算，例如，Diffe-Hellman密钥交换和产生数字签名。

一般而言，可以通过首先将乘数k写出为来计算k·P，其中k_i是整数数字集合D的元素。首先，假设存在初始化到附加的标识的Z，这对于椭圆曲线来说称之为在无限处的点。接下来，从最高有效到最低有效检测k的数字k_i。对于数字k_i，如果k_i为0，那么Z:＝2*Z。如果k_i≠0，那么Z:＝2*Z+k_i*P。当已经处理了所有位时，那么结果是Z的当前值。然而，使用此类展开的方法易受侧信道分析攻击和计时分析攻击的影响，这是因为零和非零数字的序列是不规则的，由此漏泄关于乘数k的一些信息。

由Nicholas Theriault开发的现有技术方法减少了侧信道分析和计时分析的风险。Nicholas Theriault，抗SPA从左到右整数记录(SPA Resistant Left-to-RightInteger Recodings)，密码术中的选定区域(Selected Areas in Cryptography，2005)：第345-358页。Theriault将乘数k展开为展开式其中w是窗口长度参数，且k_i选自整数的两个集合中的一个：

数字集合#1：窗口w的{±1}∪{±2,±4,…,±2^w}；

数字集合#2：窗口w的{±1,±3,±5,…,±2^w-1}。

但是，Theriault的方法具有一些显著的缺点。首先，数字集合#2仅可展开奇数数字。因此，Theriault提出通过奇数阶次的群组使用这一乘数展开式，并且如果初始乘数k是偶数，那么添加一个群组阶次g的奇乘数使得新的乘数k'＝k+n*g为奇数。这是有缺点的，它使得乘数更长，并且因此标量乘法变慢。其次，由于k'>g，所以中间计算中的一个可能结果为等于g·P。这引起在通过椭圆曲线计算的公式中的例外的情况，其结果为出现泄漏信息并且可通过旁信道攻击检测到。

第三，使用数字集合#2计算乘数展开式将产生0或1的运载，这需要额外的运算或虚拟运算以修正结果。然而，额外运算将可通过旁信道攻击检测到，并且虚拟运算将可通过故障攻击检测到。因此，在两种情况下信息都被泄漏，并且可以揭露乘数的奇偶。

因而，存在对可以时间和存储器有效的方式(也抗旁信道攻击和故障攻击)执行标量乘法的方法和装置的需求。

发明内容