[发明专利]用于还击故障攻击的方法和设备

说明书

技术领域

本发明总体涉及密码术，具体涉及RSA的故障攻击对策。

背景技术

本部分意在向读者介绍本领域中可能与下面描述和/或要求保护 的本发明各个方面相关的各个方面。相信该讨论有助于向读者提供背 景信息以便于更好地理解本发明的各个方面。相应地，应当理解，要 从这种角度来阅读这些论述，而不是作为对现有技术的引入。

故障攻击打乱了安全设备的预期行为并使其不正常工作，以从故 障输出中推断敏感数据。Boneh et al.在“On the Importance of Checking Cryptographic Protocols for Faults”；D.Boneh，R.A.Demillo，and R.J. Lipton；In W.Fumy，editor，Advances in Cryptology-EUROCRYPT’97， volume 1233 of Lecture Notes in Computer Science，pages 37-51， Springer-Verlag 1997中介绍了这种攻击。

故障攻击可能是非常强有力的。例如，具有单一随机故障且使用 中国剩余(CRT)而评估的故障RSA签名可以允许攻击者从故障签名 中恢复完整的秘密密钥。因此，很清楚，必须采取对策。

RSA是基于难以对大素数的乘积进行因数分解的事实的。令N＝pq 为两个大素数的乘积。我们令e和d表示一对匹配的公共和私有指数， 满足ed≡1(modλ(N))，同时gcd(e，λ(N))＝1并且λ是Carmichael函数。 由于N＝pq，因此我们有λ(N)＝lcm(p-1，q-1)。给定x＜N，则公共运算(例 如消息加密或签名验证)是x的e次幂模N，即，计算y＝x^e mod N。 然后，给定y，则相应的私有运算(例如对密码文本的解密或者签名 的产生)是计算y^d mod N。从e和d的定义中，我们明显得到y^d≡x(mod N)。可以通过中国剩余(CRT模式)来高速执行私有运算。独立地执 行模p和q的计算，然后重新组合。在这种情况中，私有参数是 {p，q，d_p，d_q，i_q}，其中d_p＝d mod(p-1)、d_q＝d mod(q-1)并且i_q＝q^-1 mod p。 然后我们得到y^d mod N为CRT(x_p，x_q)＝x_q+q[i_q(x_p-x_q)mod p]，其中x_p＝y^dpmod p并且x_q＝y^dq mod q。

当然，已经提出了几种这样的对策。在US 5991415中公开了由 Shamir提出的最初对策，最初在EUROCRYPT’97的残余议会(Rump Session)提出的。上提出。稍作简化地，该方法引入随机值j并使用 (mod j*p)而不是(mod p)来进行计算，并验证是否到达预期值；作为给 定的示例，如果j是32比特长，则在故障之后两个值匹配的可能性是 2^-32＝1/4,294,967,296，所以风险是非常小的。更具体地，首先计算x’_p＝ y^d mod j*p和x_j＝y^d mod j的值。验证x’_p≡x_j(mod j)，并且如果是这样， 则假定计算是无差错的。然后由x_p＝x’_p mod p给出求幂模p的结果。 对于模q也是同样的。对策的正确性依赖于以下观察：对于任何正整 数j，x mod p＝(x mod j*p)mod p。

由Kaliski和Robshaw在 ftp://ftp.rsasecurity.com/pub/pdfs/bulletn5.pdf中提到的另一种方法在于 以通常的方式来进行求幂以获得x＝y^d mod N，但是在发出x之前，通 过检查x^e是否等于y模N来检验其是正确的。