[发明专利]生成被验证适用于芯片卡的素数的方法

说明书

技术领域

本发明涉及加密，并且特别涉及素数的生成。本发明还涉及诸如智能卡中实现的集成电路，以及这些集成电路中素数的生成。

背景技术

自从1976年Diffie和Hellman发明以来，公钥加密飞速地发展。如今，其被用在各种应用中，诸如支付、电子商务、识别应用以及密码数据和签名数据，以及许多设备中，诸如智能卡、USB驱动器和许多微处理器和计算机。例如RSA(Rivest，Shamir，Adleman)、DSA(数字签名算法)和DH(Diffie Hellman密钥交换)的大部分加密系统是基于使用大素数来生成加密密钥，或者更一般地，生成易被用在需要一定安全级别的交易中的秘密数据。因此，这些加密系统的安全直接与使用的素数的大小相关联。

由于技术、特别是计算机计算能力的持续演进，加密系统使用日益变大的加密密钥并因此使用日益变大的素数。因此，一些银行组织如今建议在某些应用中使用1,024位、甚至2,048位素数。

通常，生成素数包括随机选择数字，并通过例如应用素性测试(诸如埃拉托色尼选筛法或米勒-拉宾测试)检验其是否是素数。如果选择的数字没有通过素性测试，则选择新的数字。新数字的选择从一种方法到另一种方法而变化。其使得生成素数构成了当前使用的加密系统中执行的最复杂的计算任务。

十年前，由于低计算能力及其存储能力，在智能卡电路中执行该素数生成的任务是不可想象的。因此，该任务由功能强大的计算机执行，并且从素数生成的秘密数据在电路的出厂初始化步骤期间被安全地传输到微电路。

当前的智能卡电路一般配备有加速某些诸如大数字乘法和模幂运算的操作的加密协处理器，并具有日益变大的存储容量。这些改进使得能够考虑直接在智能卡中生成大素数。由于生成秘密数据的计算机或到智能卡的数据传输不存在被窃用的风险，该方法提供更多的安全性。此外，由于该方法，如果秘密数据是在卡中生成，则发行智能卡的实体不能知道该秘密数据。该方法也使微电路能够重新生成素数，并在必要时基于该素数重新生成秘密数据。

然而，与桌面计算机相比，智能卡微电路的计算和存储能力仍然较低。此外，在操作模式下，密钥的生成时间必须保持低于用户能够接受的极限。因此，存在对于一种遵照智能卡中实现的大素数生成、且需要小的计算和存储装置的生成大素数的方法的需求。

常规生成素数的方法是基于诸如米勒-拉宾和卢卡斯测试(Lucas test)的概率素性测试的使用。然而，概率测试没有通过定义提供生成的数是素数的任何绝对确定性，并因此没有使验证素数能够被获得。然而，这种确定性会提供一般在加密系统中寻求的更高安全级别。

这种测试的信任级别可以通过执行测试的若干迭代而增加。因此，生成具有足够信任级别的1,024位素数需要米勒-拉宾测试的40次迭代。当米勒-拉宾测试后面是卢卡斯测试时，该迭代数量可以被降为3。然而，卢卡斯测试被验证与智能卡的能力很少兼容。

此外，尽管对集成到智能卡内的微电路做出了显著改进，开发适用于这种微电路的软件仍然敏感。与桌面计算机或多媒体设备中实现的微处理器相比，智能卡电路构成具有多个限制的环境。事实上，这些微电路中存在的内存的容量仍然较低。由诸如DES(数字加密系统)、AES(高级加密系统)、RSA和ECC(椭圆曲线密码)的加密算法实现的一些加密操作需要被移动到协处理器以便被足够高效地执行。因此，模幂运算构成嵌入在智能卡微电路中诸如RSA和DSA的加密系统中的最昂贵操作。这些求幂操作还可能被要求生成素数。

同样必要的是，微电路保持防范旨在发现微电路所存储或处理的秘密数据的攻击。过去的这些年，已经出现了大量类型的攻击，因此开发防范所有已知类型攻击的微电路是一个挑战。

因此，可能希望通过避免涉及概率素性测试、并可以嵌入到智能卡微电路中的安全方法生成素数。

为了该目的，存在从可能比32位少的相对小的验证素数生成大验证素数的迭代方法。因此，出版物[3]和[4]描述了这些方法。

可能合乎期望的是降低这些方法的执行时间。

发明内容

一些实施例涉及电子设备中实现的加密方法，该方法包括以下步骤：生成素数；生成整数；使用以下公式生成具有期望位数的候选素数：

Pr＝2P·R+1，

Pr是候选素数，P是素数，且R是整数，并且