[发明专利]加密运算中模幂的保护

说明书

技术领域

本发明涉及软件和数据加密。特别是，本发明涉及一种用于隐藏模幂运算中间结果的方法。

背景技术

直到不久前，密码学还仅仅关注于对于不利环境中消息传递的保护。在传统方案中(又名黑盒模型)，攻击者仅可以访问解密装置的输入。随着付费电视、受DRM所保护的数字内容(智能电话、个人电脑或CD/DVD中的电影，音乐)的出现，当前攻击者实际可以访问解密装置及其输出，这意味着他不仅可以被动研究加密装置的状态和中间值，而且还可以主动地干预其计算。

具体而言，1996年出现了故障分析的概念：当提交解密装置给异常状况(输入错误、温度异常、强电磁辐射……)时，解密算法能够输出故障明文，其给出了有关解密装置中所使用的密钥的信息。参见Dan Boneh，Richard A.DeMillo和Richard J.Lipton在1997年的proceedings of Eurocrypt中的“On the Importance of Checking Cryptographic Protocols for Faults”。

同年还出现了侧信道攻击的概念：解密装置在解密处理过程中所输出的物理信号(处理的定时、功率消耗、电磁辐射……)可能泄漏有关解密算法的内部变量的信息(侧信道信息)。从该内部变量和统计分析，攻击者可以检索到有关解密装置中所使用的密钥的信息。参见Paul C.Kocher在1996年的proceedings of Eurocrypt中的“Timing Attacks on Implementations of Diffie-Hellman，RSA，DSS and Other Systems”。

故障分析与侧信道分析都属于灰盒模型：攻击者所拥有的关于实现加密算法及其内部数据的知识是有限的。这些攻击被成功地用于检索付费电视系统中所使用的智能卡的密钥和源代码。

对于在个人计算机上或CD/DVD上的音乐和电影，由于使用软件混淆(DRM)比用分发智能卡来进行保护成本低很多，所有使用软件混淆来保护内容密钥。在这种情况下，由于攻击者完全可以访问软件内部，因此它比灰盒模型的环境更加糟糕。这就是所谓的白盒模型。白盒密码学的概念出现于2002年。白盒密码学是一种混淆技术，旨在实现密码原语的方式为：即便对手完全可以访问实现及其执行平台，他也无法提取密钥信息[1]。

正如BrechtWyseur在关于白盒密码学的论文中所描述的，在白盒模型中能有效抵御攻击的对策在灰盒模型中也能有效抵御攻击。

用于密钥交换、加密或签名的一些重要加密协议(Diffie-Hellman、EIGamal、RSA、DSS……)中涉及模幂运算。本领域中公知的是：进行模幂运算的最基本的方法就是所谓的“平方乘(square-and-multiply)”算法[2]，其包括逐位处理指数，并根据其数值进行乘法。下面，我们来回顾一些有关模幂运算的概念以及一些现有技术算法。

●幂运算是一种数学运算，写为b^e，其涉及两个数字，基数b和指数e。当e是一个正整数时，幂运算相当于重复相乘；换言之，b的e因子次乘积：b×……×b

●模幂运算是一种在求幂运算之后再取模的运算。进行“模幂”运算是指一个正整数b(称为基数)升高e次方(e称为指数)，用其除以一个正整数m(称为模数)，再计算其余数。换句话说，设置问题形式，其中给出基数b、指数e和模数m，那么人们期望如此计算C：C＝b^emod m

●基本二进制模幂(平方乘)

输入：n位整数g，t+1位整数e，即e＝(e_te_t-1…e₁e₀)，其中e_i是e的第i个最低有效位，以及n位模数m。

输出：g^emod m

1、A＝1.

2、对于i从t向下到0，进行如下运算：

2.1A＝A×Amod m.

2.2如果e_i＝1，则A＝A×g mod m

3、返回(A)

通过对一组k位指数进行分析，该二进制幂运算能够大幅加速。这种方法也被称为窗口法，其中窗口尺寸为k。

●使用窗口法的模幂运算