[发明专利]在电子部件中使用公共密钥加密算法的模求幂算法

说明书

本发明涉及一种在电子部件中使用公共密钥加密算法的抗SPA(“简单功率攻击(Simple Power Attack)”)模求幂算法。

人们知道公共密钥密码学算法特征：进行的计算、使用的参数。唯一不为人知的是包含在程序存储器中的私有密钥。这些密码学算法的整体安全性在于包含在卡中的该私有密钥，而且该私有密钥不为该卡之外的环境所知。不能仅根据作为一个输入所施加的消息以及返回中所提供的编码的消息的知识，或根据公共密钥的知识推导该私有密钥。

然而，人们已明显意识到：当卡中的微处理器处于运行用于签署一条消息或解密一条消息的密码学算法的过程中时，根据电流的消耗或对电流消耗的分析，可以发动外部攻击，使恶意的第三方能够发现包含在该卡中的私有密钥。人们把这些攻击称为SPA攻击，SPA为英文Single Power Analysis的首字母缩略语。

这些SPA的攻击的原理基于这样的一个事实：执行指令的微处理器的电流消耗随所操作的数据而变化。

具体地说，当微处理器所执行的一条指令要求逐位地操作一个数据项时，存在两种不同的电流分布，取决于该位是“1”还是“0”。通常，如果微处理器操作一个“0”，那么在执行的该时刻，存在着一个第一消耗电流幅度。如果微处理器操作一个“1”，那么存在着一个不同与第一的第二消耗电流幅度。

于是，在一条指令的执行期间，SPA攻击根据所操作的位的值，利用了卡中的电流消耗分布方面的差别。简而言之，执行一个SPA攻击包括识别一或多个特定周期，在这些周期期间运行算法，该运行包括至少执行一条逐位操作的数据指令，并区别两个不同的电流消耗分布，一个相应于一个等于“0”的位的操作，另一个相应于一个等于“1”位的操作。在一条曲线上，或可能在算法的同一运行的n条曲线上进行分析，并对它们加以平均，以消除噪音。

模求幂由下列数学公式定义：

R＝X^Ymod N，

其中：

Y是一个指数，其大小为k位；

N是一个模数，其大小为k′位；

X是一个已知的变量，其大小为k″位；

R是一个模求幂操作的结果，其大小为k′位；

可以使用以下所描述的人们所熟悉的常规算法A或B。

用于计算以上所提到的数学公式的常规算法A如下：

-把R初始化为1：R＝1；

-从表示为Y(k-1)的最高有效位到最低有效位Y(0)，运行Y的二进制表示；

对于每一位Y(i)，i从(k-1)变至0，执行附加的操作R＝R²。

如果位Y(i)等于1，那么运行由操作R＝R*X组成的一个附加步骤。

例如，如果位Y等于5，那么其二进制表示为101。

如果实施以上的算法：

-对于第一位[Y(2)＝1]，R＝R₂受到影响，接下来操作R*X＝X受到影响，即结果为R＝X；

-对于第二位[Y(1)＝0]，执行操作R＝R²，即结果为R＝X²；

-对于第三位[Y(0)＝1]，执行操作R＝(R²)²，接下来执行操作R＝R*X，即结果为R＝(X²)²＝X⁵；

注意，始终使用先前的R。

自然地，对针对例子Y等于5所描述的所有数学操作执行模N操作，  这使与一个具有k′位大小的寄存器r一起工作成为可能。

用于计算以上所提到的数学公式的常规算法B如下：

-把R初始化为1，并把Z初始化为X：

R＝1和Z＝X，Z是一个变量：

-从表示最低有效位Y(0)到最高有效位Y(k-1)，运行Y的二进制表示；

对于每一位Y(i)，i从0变至(k-1)，当i大于0时，执行附加的操作Z＝Z²。

如果位Y(i)等于1，那么执行由操作R＝R*X组成的一个附加步骤。

例如，如果位Y等于5，那么其二进制表示为101。

如果实施以上的算法：

-对于第一位，Y(0)＝1；不执行操作Z*(因为i＝0)，而执行操作R＝R*Z＝X。

-对于第二位[Y(1)＝0]，执行操作Z²＝X²，因为Y(1)＝0，所以R不变；