[发明专利]用于在密码系统中抗故障求幂的方法以及设备

说明书

技术领域

本发明一般涉及密码术，特别涉及在基于RSA的或者基于离散对数（discrete-log）的密码术中的针对故障攻击的对策。

背景技术

本节旨在向读者介绍可能与下面说明和/或要求保护的本发明的各个方面相关的技术的各个方面。相信该讨论有助于向读者提供促使更好地理解本发明的各个方面的背景信息。相应地，应当理解这些陈述应就此而论地阅读，而不是作为对现有技术的承认。

贯穿本申请，将使用RSA密码系统作为例示性的、非限定性的例子，然而将意识到能够例如将所述问题以及其解决方案容易地扩展到基于如例如迪菲-赫尔曼（Diffie-Hellman）密钥交换以及ElGamal加密方案这样的离散对数的密码系统。

众所周知，RSA密码系统特别是在使用中国余数法（Chinese remaindering）来实现时对故障攻击敏感。对于普通的RSA以及使用可证明的安全填充的版本均是如此。

Vigilant提出了一种用于排除故障攻击的有效方式（参见RSA with CRT:A new cost-effective solution to thwart fault attacks.In E.Oswald and P.Rohatgi,editors,Cryptographic Hardware and Embedded Systems–CHES2008,volume5154of Lecture Notes in Computer Science,pages130–145.Springer,2008）。

Vigilant的方法工作如下：关于输入x以及d，必须计算S=x^d mod N（或者在CRT模式中，x^d mod{p,q}），其中模数N是两个被选择的质数p和q的积。

1.选择与N互质的随机整数r；

2.计算β=N(N^-imodr²)以及α=1-βmodNr²;

3.计算x^=αx+β(1+r)modNr2]]>以及N^=Nr2;]]>

4.计算Sr=x^dmodN.^;]]>

5.如果S_r≡1+dr(modr²)，则返回S=S_rmodN；否则，返回错误消息。

Vigilant的对策在一定程度上工作良好，然而，其具有如下缺点：（在步骤2中）包含模数的求逆（modular inverse）的计算，并且（不可避免地）以随机的方式来扩展模数。模数的求逆以及模数的扩展依赖于随机数，因此，其从一次求幂到下一次是不同的。

因此，将意识到期待有一种对策，该对策不包含如Vigilant所做的模数的求逆的计算。本发明提供一种克服Vigilant的对策的至少一些缺点的对策。

发明内容