[发明专利]抵抗故障攻击的有限域密码算法

说明书

技术领域

本文公开的各种示例性实施例总体上涉及抵抗故障攻击的密码(cryptographic)算法方法及系统。

背景技术

密码系统执行多种算法计算。尽管已知可证明多种非对称密码系统在数学设想方面是安全的，但是这些密码系统可能易受到诸如故障攻击之类的实现攻击(implementation attacks)的攻击。

发明内容

提供了实施例以使能一种抵抗故障攻击的密码算法方法及系统。

呈现了各种示例性实施例的摘要。可以对以下摘要进行一些简化和省略，这旨在强调和介绍各种示例性实施例的一些方面，而非限制本发明的范围。在稍后部分，将紧跟着优选示例性实施例的详细描述，其足以使本领域技术人员能够构造和使用创造性概念。

各种实施例还可以涉及一种密码函数的完整性保护计算的方法，包括：执行在交换环R上限定的密码函数f(x₁，x₂，...，x_n)中的运算c＝aοb；选择与a和b相对应的a’和b’，使得a’和b’是交换环R’的元素；计算c’＝a’ο’b’；计算a”＝CRT(a，a’)和b”＝CRT(b，b’)，其中CRT是中国余数定理；计算c”＝a”ο”b”；将c”映射到R’中；以及确定是否c”至R’中的映射等于c’。

各种实施例还可以涉及一种利用指令编码的非临时性存储介质，所述指令用于密码函数的完整性保护计算，所述指令包括：用于执行在交换环R上限定的密码函数f(x₁，x₂，...，x_n)中的运算c＝aοb的指令；用于选择与a和b相对应的a’和b’，使得a’和b’是交换环R’的元素的指令；用于计算c’＝a’ο’b’的指令；用于计算a”＝CRT(a，a’)和b”＝CRT(b，b’)的指令，其中CRT是中国余数定理；用于计算c”＝a”ο”b”的指令；用于将c”映射到R’中的指令；以及用于确定是否c”至R’中的映射等于c’的指令。

附图说明

为了更好地理解各种示例性实施例，将参考附图，其中：

图1示出了函数的关系，用于映射各种域R、R’、和R”之间的元素；

图2是示出了可以如何计算密码函数f的一个步骤的流程图；

图3是示出了可以如何有效地计算密码函数f的一个步骤的流程图；以及

图4示出了在完整性保护的情况下以及在没有完整性保护的情况下使用字级(Word-Level)蒙哥马利乘法(Montgomery Multiplication)的计算成本。

具体实施方式

现在参考附图，公开各种示例性实施例的概括方面，在附图中，相同标记表示相同部件或步骤。

已知可证明多种非对称算法在某些数学设想方面是安全的。不幸地，这些密码系统的多种直接实现通常变得容易受到实现攻击的攻击，特别是在功率受限的设备上。可能感兴趣的一种攻击是故障(fault)攻击。

故障攻击可以将故障注入密码处理中。给定正确结果和错误结果的集合，故障攻击可以将故障注入到算法使用的存储器(例如，RAM、寄存器、EEPROM)中，或者甚至可以将故障注入到整个运算(例如，算法逻辑单元)中，其目的在于提取秘密信息。故障攻击还可以与诸如辅助(side)信道攻击之类的其它类型的攻击相结合。

因此，需要有效的对策来抵抗故障攻击，尤其是在非对称密码方面，将有限域(Finite Field Arithmetic)算法(或者，更松散的环算法)用作构造块。使用这种构造块的两类广泛使用的密码系统包括：1)基于因式分解问题(Factoring Problem)的密码系统，即，对环Z_n执行运算，其中n是两个或多个素数的乘积，例如RSA密码系统或Paillier密码系统；以及2)基于离散对数(DL)问题的密码系统，其中对n阶的组G_n执行运算，例如ElGamal密码系统、Cramer-Shoup密码系统、数字签名算法或Schnorr签名方案。G_n例如可以是域Z_p的乘法组其中，p是素数，因而n＝p-1，或者G_n可以是素数域或二进制扩展域(binary extension field)中的n阶椭圆曲线组。