CN101685387A - 支持正整数的正则重新编码的方法、装置及计算机程序 - Google Patents

Abstract

本发明提供一种用于对正整数n进行重新编码的正则方法，其中，选择小于n的整数s以定义整数n’＝n－s，将n’的m进制表示逐数位与s的m进制表示相加，以生成n的重新编码的表示，其中m为整数。本发明还提供了一种设备(100)以及计算机程序产品(140)。本方法的优点是它是正则的。

Description

支持正整数的正则重新编码的方法、装置及计算机程序

技术领域

本发明一般地涉及数位重新编码，并且更具体地，涉及无符号数的重新编码。

背景技术

本节意在向读者介绍可能与以下描述和/或要求保护的本发明的各方面相关的领域的各个方面。相信这种讨论有助于向读者提供背景信息，以便于更好地理解本发明的各个方面。相应地，应注意，应根据这一点来阅读这些陈述，而不应将其接纳为现有技术。

已经表明，密码求幂算法易受旁道攻击(side channel attacks)的攻击。在“Differential Power Analysis”(M.J.Wiener，editor，Advances inCryptology-CRYPTO’99，volume 1666 of Lecture Notes in ComputerScience，pages 388-397，Springer Verlag 1999)中，Paul Kocher、JoshuaJaffe以及Benjamin Jun描述了使用对功率消耗的观察来进行的攻击，而Karine Gandolfi、Christophe Mourtel和Francis Olivier在“Electromagnetic Analysis：Concrete Results”(，D.Naccacheand C.Paar，editors，Cryptographic Hardware and Embedded Systems-CHES 2001，volume 2162 of Lecture Notes in Computer Science，pages251-261，Springer Verlag 2001)中以及Jean-Jacques Quisquater和DavidSamyde在“Electromagnetic Analysis(EMA)：Measures andCounter-Measures for Smart Cards”(I.Attali and T.P.Jensen，editors，Smart Card Programming and Security(E-Smart 2001)，volume 2140 ofLecture Notes in Computer Science，pages 200-210，Springer Verlag2001)中已经描述了使用对电磁发射的观察来进行的攻击。

被称作简单功率分析(SPA)以及简单电磁分析(SEMA)的这些攻击可以揭示求幂算法中简单实现的指数，这是由于所需运算依赖于指数的逐比特表示。

为了减少计算求幂所要求的运算数量，已经开发了重新编码算法。最公知的示例是由Ian Blake、Gadiel Seroussi和Nigel Smart在“EllipticCurves in Cryptography”(volume 265 of London Mathematical SocietyLecture Note Series.Cambridge University Press.1999)中描述的非相邻形式(Non-Adjacent Form)(NAF)重新编码。NAF重新编码使用{-1，0，1}中的值来对指数的比特进行重新编码。这减少了后续求幂算法中要求的乘法的数量，可以将其推广至m进制重新编码，如Donald E.Knuth在The Art of Computer Programming(volume 2/SeminumericalAlgorithms.Addison-Wesley，2^nd edition，1981)中所描述的。然而，设计这些重新编码算法是为了提高求幂算法的效率，而非增强对旁道攻击的抵御。

已经提出了几种其它重新编码算法：

-Bodo

.“Parallelizable Elliptic Curve Point MultiplicationMethod with Resistance against Side-Channel Attacks”.In A.H.Chan andV.Gligor，editors，Information Security(ISC 2002)，volume 2433 ofLecture Notes in Computer Science，pages 402-413，Springer Verlag2002.

-Bodo

.“Fractional Windows Revisited：ImprovedSigned-Digit Representation for Efficient Exponentiation”.In C.Park andS.Chee，editors，Information Security and Cryptology-ICISC 2004，volume 3506 of Lecture Notes in Computer Science，pages 137-153，Springer Verlag 2004.

-Katsuyuki Okeya and Tsuyoshi Takagi.“A More FlexibleCountermeasure against Side-Channel Attacks Using Window Method”.In C.D.Walter，

and C.Paar，editors，Cryptographic Hardwareand Embedded Systems-CHES 2003，volume 2779 of Lecture Notes inComputer Science，pages 397-410，Springer Verlag 2003.

-Katsuyuki Okeya and Tsuyoshi Takagi.“The Width-w NAF methodProvides Small Memory and Fast Elliptic Scalar Multiplications Secureagainst Side-Channel Attacks”.In M.Joye，editor，Topics in Cryptology-CT-RSA 2003，volume 2612 of Lecture Notes in Computer Science，pages328-342，Springer Verlag 2003.

然而，如Yasuyuki Sakai和Kouichi Sakurai在“A New Attack withSide Channel Leakage During Exponent Recoding Computations”(M.Joye and J.-J.Quisquater，editors，Cryptographic Hardware andEmbedded Systems-CHES 2004，volume 3156 of Lecture Notes inComputer Science，pages 298-311，Springer Verlag 2004)中所指出的，为了实现正则求幂算法，所使用的任何重新编码算法也必须是正则的。在正则重新编码算法中，在算法的计算期间，在主循环中不存在测试。

尽管可以争论认为在生成指数时可以执行重新编码，但在例如指数与随机值相结合的情况下这是不可能的，这是由于必须在求幂之前执行重新编码。与随机值相结合是为了阻止特定旁道分析，如Jean-Sébastien Coron在“Resistance against Differential Power Analysisfor Elliptic Curve Cryptosystems”(

and C.Paar，editors，Cryptographic Hardware and Embedded Systems-CHES‘99，volume1717 of Lecture Notes in Computer Science，pages 292-302，SpringerVerlag 1999)中以及Paul Kocher在“Timing Attacks on Implementationsof Diffie-Hellman，RSA，DSS，and Other Systems”(N.Koblitz，editor，Advances in Cryptology-CRYPTO’96，volume 1109 of Lecture Notesin Computer Science，pages 104-113，Springer Verlag 1996)中所述。

为了使求幂正则化，已经提出了其它重新编码算法。Bodo

在“Securing Elliptic Curve Point Multiplication agamst Side-ChannelAttacks”(G.Davida and Y.Frankel，editors，Information Security(ISC2001)，volume 2200 of Lecture Notes in Computer Science，pages324-334，Springer Verlag 2001)中描述了一种针对m进制求幂的重新编码算法。用-m来代替每个等于零的数位，并且将次最高有效数位加1。这得到了用集合{1，...，m-1}∪{-m}中包括的数来重新编码的指数。与m进制求幂算法相结合，这表明应当对x^-m进行预计算。尽管该计算在椭圆曲线上是“容易”的，但是在有限环的乘法群的情况中则不是这样。

Camille Vuillaume和Katsuyuki Okeya在“Flexible ExponentiationWith Resistance to Side Channel Attacks”(J.Zhou，M.Yung and F.Bao，editors，Applied Cryptography and Network Security-ACNS 2006，volume 3989 of Lecture Notes in Computer Science，pages 268-283，Springer Verlag 2006)中描述了

的算法的无符号版本。在集合{1，...，m}中对数位进行重新编码：用m来代替每一个零数位并且将下一数位减1。

算法的有符号和无符号版本的缺点是不能以正则方式来容易地实现它们。

因此可以认识到，需要针对正则求幂的重新编码算法，其中以正则方式对指数进行简单的重新编码。本发明提供了针对该方案的多种变型。

发明内容

在第一方面，本发明提供了一种用于对第一正整数n进行重新编码的正则方法，所述第一正整数n是密码求幂算法的指数。处理器选择小于n的第二整数s，定义第三整数n’＝n-s，以及对于第四整数m，将第三整数n’的m进制表示逐数位地与s的m进制表示相加，以生成n的重新编码的表示。

在第一优选实施例中，m＝2^k。

在第二优选实施例中，其中l代表n的m进制长度。有利地，对于某个0＜α＜m，s_i＝α；其中，优选地，α＝1或者α＝m-1。

在第二方面，本发明提供了一种用于对第一正整数n进行正则重新编码的设备。所述设备包括处理器，所述处理器适于：选择小于n的第二整数s，定义第三整数n’＝n-s，以及对于第四整数m，将第三整数n’的m进制表示逐数位地与s的m进制表示相加，以生成n的重新编码的表示。

在第三方面，本发明了提供一种存储指令的计算机程序产品，当由处理器执行时，所述指令执行本发明的第一方面的方法。

附图说明

现在将通过非限制性示例并参考附图来描述本发明的优选特征，附图中：

图1示出了根据本发明的优选实施例的一种用于进行数位重新编码的设备。

图中所示的方框是功能性实体，不必须与物理上分离的实体相对应。可以将这些功能实体实现为硬件、软件或者软件和硬件的组合；此外，可以在一个或者更多集成电路中实现这些功能实体。

具体实施方式

图1示出了用于对数位，尤其是求幂算法中要使用的指数的数位进行重新编码的设备100。设备100包括至少一个适于执行计算机程序的处理器110(下文中称作“处理器”)，该计算机程序执行下文描述的任意实施例的重新编码算法的计算。应当注意，还可以用硬件或者软件和硬件的组合来实现处理器110。设备100还包括适于存储数据(例如来自处理器110的中间计算结果)的存储器120。设备100还包括用于与其他设备(图中未示出)进行交互的至少一个接口130(下文中称作“接口”)。图1还示出了存储计算机程序的计算机程序产品140，例如CD-ROM，当处理器110执行该计算机程序时，该计算机程序执行根据本发明的两个实施例中任一个的重新编码算法。

在求幂中，计算z＝xⁿ，其中n为整数并且x是群(以乘法形式来写的群)中的元素。令

代表以m为基数的n的展开式(典型地m＝2^k)，其中l是n的m进制长度。取正整数s＜n并定义n’：＝n-s。如果

和

分别代表n’和s的m展开式，则xⁿ＝x^n’+s成立，其中

其中继而k_i＝d’_i+s_i。

如果我们定义以m为基数的s的最高有效数位为零，则以m为基数的n’的最高有效数位(即k_l-1)将保持大于或者等于零。如果不是这样，则该重新编码将不是无符号的并且将因此不适用于计算逆(inversion)代价较高的群。

第一优选实施例

令α是满足0＜α＜m的整数。

选择这可以被视为是将s的所有数位设置为相同的值，即α。由于n′_i∈{0，...，m-1}，则k_i∈{α，...，α+(m-1)}。然后使用下述算法用于重新编码。

输入：n≥1，m＝2^k，l(n的m进制长度)。

输出：n＝{k_l-1，...，k₀}_m，其中k_i∈{α，...，α+(m-1)}，0≤i≤l-2

算法：

$s\←\mathrm{\α}\frac{m^{l-1}-1}{m-1}$ 以及n←n-s

for i＝0 to l-2 do

d←n mod m

k_i←d+α

end

k_l-1←n

α的第一优选选择是1，这是由于它针对重新编码的数位产生较小的值。α的第二优选选择是m-1，这是由于它给出s＝m^l-1-1(即设置为1的k(l-1)的延续)。

现在，两个示例将说明第一优选实施例。对于这两个示例，参数采用下列值：

k＝2

m＝4

n＝73＝(1，0，2，1)₄＝1·4⁰+2·4¹+0·4²+1·4³

l＝4

在第一示例中α＝1；在第二示例中α＝m-1＝3。

第一实施例的第一示例(α＝1)

$s:=\mathrm{\α}\frac{m^{l-1}}{m-1}=1\frac{4^{4-1}-1}{4-1}=\frac{4^3-1}{3}=\frac{63}{3}=21$

n：＝n-s＝73-21＝52

循环：for i＝0 to l-2，即for i＝0 to 2

i＝0：

d：＝n mod m＝52 mod 4＝0

k₀：＝d+α＝0+1＝1

i＝1：

d：＝n mod m＝13 mod 4＝1

k₁：＝d+α＝1+1＝2

i＝2：

d：＝n mod m＝3 mod 4＝3

k₂：＝d+α＝3+1＝4

k₃：＝n＝0

k＝(k₃，k₂，k₁，k₀)＝(0，4，2，1)

$n={\mathrm{\Σ}}_{i=0}^{l-1}{k}_i{m}^i=1\·4^0+2\·4^1+4\·4^2+0\·4^3=1\·1+2\·4+4\·16=1+8+64=73$

如所预期的，重新编码的n等于原始的n。

第一实施例的第二示例(α＝m-1＝3)

$s:=\mathrm{\α}\frac{m^{l-1}-1}{m-1}=m^{l-1}-1=4^3-1=63$

n：＝n-s＝73-63＝10

循环：for i＝0 to l-2，即for i＝0 to 2

i＝0：

d：＝n mod m＝10 mod 4＝2

k₀：＝d+α＝2+3＝5

i＝1：

d：＝n mod m＝2 mod 4＝2

k₁：＝d+α＝2+3＝5

i＝2：

d：＝n mod m＝0 mod 4＝0

k₂：＝d+α＝0+3＝3

k₃：＝n＝0

k＝(k₃，k₂，k₁，k₀)＝(0，3，5，5)

$n={\mathrm{\Σ}}_{i=0}^{l-1}{k}_i{m}^i=5\·4^0+5\·4^1+3\·4^2+0\·4^3=5\·1+5\·4+3\·16=5+20+48=73$

如所预期的，重新编码的n再一次等于原始的n。

应当注意，根据第一实施例的算法易于实现，但是要求预先知道n的m进制长度(即l)。由于这可能是一个缺点，因此第二优选实施例克服了这个问题，同时其实现稍微复杂一些。

第二优选实施例

如果更细致地查看减法步骤，n’：＝n-s，可以建立下列等式d′_i＝(d_i-s_i+γ_i)mod m以及

其中将“借位(borrow)”初始化为0，即γ₀＝0。这是在学校中学到的经典减法算法。由于d_i，s_i∈{0，...，m-1}，这给出k_i＝d′_i+s_i，如果d_i+γ_i≥s_i，则k_i＝d′_i+s_i等于d_i+γ_i，否则等于d_i+γ_i+m。

因此，对于s_i≠0的任意选择，当d_i∈{0，1}时，得到k_i的非零值。如第一优选实施例中一样，对于某个0＜α＜m，

此外，为了仅使用无符号算术，γ′_i＝γ_i+1∈{0，1}：

输入：n≥1，m＝2^k，0＜α＜m

输出：n＝(k_l-1，...k₀)_m其中k_i∈{α，...，α+(m-1)}，0≤i≤l-2算法：

i←0；γ′←1

while n≥(m+α)do

d←n mod m

d’←d+γ′+m-α-1

k_i←(d’mod m)+α

i←i+1

end

k_i←n+γ′-1

如第一优选实施例中一样，α的优选选择是1和m-1。

现在，两个示例将说明第二优选实施例。对于这两个示例，参数采用下列值：

k＝2

m＝4

n＝73＝(1，0，2，1)₄＝1·4⁰+2·4¹+0·4²+1·4³

在第一示例中α＝1；在第二示例中α＝m-1＝3。

第二实施例的第一示例(α＝1)

i：＝0

γ′＝1

n＝73≥(m+α)＝4+1＝5，所以执行while循环

d：＝n mod m＝73 mod 4＝1

d’：＝d+γ′+m-α-1＝1+1+4-1-1＝4

k₀：＝(d’mod m)+α＝(4 mod 4)+1＝0+1＝1

i：＝i+1＝0+1＝1

n＝18≥(m+α)＝4+1＝5，所以再一次执行while循环

d：＝n mod m＝18 mod 4＝2

d’：＝d+γ′+m-α-1＝2+1+4-1＝5

k₁：＝(d’mod m)+α＝(5 mod 4)+1＝1+1＝2

i：＝i+1＝1+1＝2

n＝4＜(m+α)＝4+1＝5，所以不再一次执行while循环

k₂：＝n+γ′-1＝4+1-1＝4

k＝(k₃，k₂，k₁，k₀)＝(0，4，2，1)

$n={\mathrm{\Σ}}_{i=0}^{l-1}{k}_i{m}^i=1\·4^0+2\·4^1+4\·4^2+0\·4^3=1\·1+2\·4+4\·16=1+8+64=73$

如所预期的，重新编码的n等于原始的n。

第二实施例的第二示例(α＝m-1＝3)

i：＝0

γ′＝1

n＝73≥(m+α)＝4+3＝7，所以执行while循环

d：＝n mod m＝73 mod 4＝1

d’：＝d+γ′+m-α-1＝1+1+4-3-1＝2

k₀：＝(d’mod m)+α＝(2 mod 4)+3＝2+3＝5

i：＝i+1＝0+1＝1

n＝18≥(m+α)＝4+1＝5，所以再一次执行while循环

d：＝n mod m＝18 mod 4＝2

d’：＝d+γ′+m-α-1＝2+0+4-3-1＝2

k₁：＝(d’mod m)+α＝(2 mod 4)+3＝2+3＝5

i：＝i+1＝1+1＝2

n＝4＜(m+α)＝4+1＝5，所以不再一次执行while循环

k₂：＝n+γ′-1＝4+0-1＝3

k＝(k₃，k₂，k₁，k₀)＝(0，3，5，5)

$n={\mathrm{\Σ}}_{i=0}^{l-1}{k}_i{m}^i=5\·4^0+5\·4^1+3\·4^2+0\·4^3=5\·1+5\·4+3\·16=5+20+48=73$

如所预期的，重新编码的n等于原始的n。

可以认识到，对相同的输入，这两个实施例如所预期的那样给出了相同的重新编码的数位。例如，对于这两个实施例，第一示例给出(4，2，1)，同时对于这两个实施例，第二示例给出(3，5，5)。

还可以认识到，这两个实施例是正则的，这是由于在主循环内不存在测试；在第一实施例中，在for循环内不存在测试，并且在第二实施例中，在while循环中不存在测试。

因此可以认识到，本发明实现了正整数的正则重新编码。

可以独立地或以任何合适组合来提供说明书和(在合适时)权利要求和附图中公开的每个特征。描述为以硬件实现的特征也可以以软件实现，反之亦然。在适用时，连接可以被实现为无线连接或有线(不必须是直接或专用的)连接。

权利要求中出现的参考标号仅作为示意，不应对权利要求的范围具有限制作用。

Claims (8)

1、一种用于对第一正整数n进行重新编码的正则方法，所述第一正整数n是密码求幂算法的指数，所述方法包括在处理器(110)中的以下步骤：

选择小于n的第二整数s；

定义第三整数n’＝n-s；

对于第四整数m，将第三整数n’的m进制表示逐数位地与s的m进制表示相加，以生成n的重新编码的表示。

2、根据权利要求1所述的方法，其中m＝2^k。

3、根据权利要求1或2所述的方法，其中 $s=\underset{i=0}{\overset{l-2}{\mathrm{\Σ}}}{s}_i{m}^i,$ 其中l代表n的m进制长度。

4、根据权利要求3所述的方法，其中，对于某个0＜α＜m，s_i＝α。

5、根据权利要求4所述的方法，其中α＝1。

6、根据权利要求4所述的方法，其中α＝m-1。

7、一种用于对第一正整数n进行正则重新编码的设备(100)，所述设备包括处理器(110)，所述处理器(110)适于：

选择小于n的第二整数s；

定义第三整数n’＝n-s；

对于第四整数m，将第三整数n’的m进制表示逐数位地与s的m进制表示相加，以生成n的重新编码的表示。

8、一种存储指令的计算机程序产品(140)，当由处理器执行时，所述指令执行权利要求1-6中任一项的所述方法。