CN107896142A - 一种执行模幂运算的方法及装置、计算机可读存储介质 - Google Patents

Abstract

本申请公开了一种执行模幂运算的方法及装置、计算机可读存储介质，包括获取底数g、指数d、模数q和窗口w；将指数d表示成m进制表示形式：其中0≤d_i<m，m＝2^w，d_l‑1≠0；根据窗口w的值为预计算变量R_i分配空间，R_i＝1，i＝1,2,3,…,m；并将底数g赋值给结果变量A；从i＝0到l‑2，将预计算变量与结果变量A的乘积循环赋值给并将A^m循环赋值给结果变量A；将赋值给结果变量A；将结果变量A与底数g的乘积赋值给结果变量A。本申请通过在每次计算过程中设置一次模平方和模乘运算，实现了完全抗SPA攻击；通过在模幂的整个运算过程中消除伪运算，实现了抗FA攻击；通过设置窗口w，具有更快的计算速度。

Description

一种执行模幂运算的方法及装置、计算机可读存储介质

技术领域

本发明涉及但不限于信息安全技术领域，尤其涉及一种执行模幂运算的方法及装置、计算机可读存储介质。

背景技术

随着计算机技术的发展、社会信息化程度的不断提高，信息安全问题越来越受到人们的广泛重视。在嵌入式单芯片内实现RSA公钥密码算法、SM9标识密码算法或其它一些密码算法时，都会用到模幂运算，模幂运算就是做形如m＝g^d(mod q)的运算，其中，g是底数，d是指数，q是模数，m是计算结果。在这些公钥密码体制中，总有部分模幂中的指数d需要严格保密，例如在RSA体制中，当d为私钥时，需要严格保密；在SM9签名算法中，若攻击者可获取模幂运算的指数，结合SM9签名结果，可推导出用户的私钥。

侧信道攻击和故障攻击(Fault Attack)是近年提出的具有代表性且对芯片威胁性较强的两种攻击方法。简单功耗分析(Simple Power Analysis，SPA)攻击作为侧信道攻击的一种方法，是攻击者通过简单观察秘密数据操作的功耗曲线，直接推导出关于秘密数据保密信息的技术。功耗分析攻击的前提是功耗曲线与设备执行的指令相关，并与处理的操作数的值有关，这样检查功耗曲线能暴露正在执行的指令和寄存器中数据的信息。故障攻击的基本原理是通过错误注入(如添加时钟毛刺，激光照射，电磁脉冲等)的手段使芯片在密码算法执行的过程中产生瞬态的逻辑错误，攻击者通过分析正确的和错误的加密结果，得到芯片内部的秘密数据信息，例如在SM9/SM2加密算法过程中注入错误，若攻击者可获取随机数，然后结合SM9/SM2加密的计算结果，可推导出真正加密消息的密钥，进而获得真正的消息。

目前，抗SPA攻击的模幂计算方法的主要思路是程序执行线路固定化或随机化，典型的方法有：二进制伪算法、蒙哥马利阶梯法、Joye的平方-乘阶梯法、Joye的改进二进制法。经分析发现，在二进制伪算法、蒙哥马利阶梯法和Joye的平方-乘阶梯法中，不管密钥比特为0或1，均需进行模乘和模平方运算，若在模乘运算时注入错误且该模乘运算为伪操作，则结果正确，对应的密钥比特值为0，否则为1，因此，现有的二进制伪算法、蒙哥马利阶梯法和Joye的平方-乘阶梯法均不能抗FA攻击；Joye的改进二进制法中预计算时，涉及到密钥最低1bit的信息，存在信息泄露的情形，也就是说，Joye的改进二进制法不能完全抗SPA攻击。此外，需要说明的是，这些模幂计算方法常常都是以牺牲效率为代价的，因此计算效率相对较低。

发明内容

为了解决上述技术问题，本发明提供了一种执行模幂运算的方法及装置、计算机可读存储介质，能够使模幂运算可完全抗SPA攻击、抗FA攻击并提高算法的计算效率。

为了达到本发明目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种执行模幂运算的方法，包括：

获取底数g、指数d、模数q和窗口w；

将指数d表示成m进制表示形式：其中0≤d_i<m，m＝2^w，d_l-1≠0；

根据窗口w的值为预计算变量R_i分配空间，R_i＝1，i＝1,2,3,…,m；并将底数g赋值给结果变量A；

从i＝0到l-2，将预计算变量与结果变量A的乘积循环赋值给并将A^m循环赋值给结果变量A；

将赋值给结果变量A，其中，·为乘号，∏为乘积运算符；

将结果变量A与底数g的乘积赋值给结果变量A。

进一步地，所述将赋值给结果变量A，具体包括：

将预计算变量R_m赋值给第一中间变量B；

对i＝m-1至2，将预计算变量R_i与R_i+1的乘积循环赋值给R_i，并将第一中间变量B与预计算变量R_i的乘积循环赋值给第一中间变量B；

将预计算变量R₁与R₂的乘积赋值给R₁；

将赋值给结果变量A。

进一步地，所述将赋值给结果变量A，具体包括：

将结果变量A与预计算变量R₁的乘积赋值给A；

检测(d_l-1-1)＞＞(w-1)的计算结果是否为真，如果为真，将结果变量A赋值给第二中间变量Q，其中，>>为向右移位运算符；如果为假，将预计算变量R₁赋值给第二中间变量Q；

对i＝w-1至1，将第二中间变量Q²循环赋值给Q，并检测(d_l-1-1)＞＞(i-1)的计算结果是否为真，如果为真，将第二中间变量Q与A的乘积赋值给第二中间变量Q；如果为假，将第二中间变量Q与预计算变量R₁的乘积赋值给第二中间变量Q；

将第一中间变量B与第二中间变量Q的乘积赋值给结果变量A。

本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有执行模幂运算的程序，所述执行模幂运算的程序被处理器执行时实现以上任一项所述的执行模幂运算的方法的步骤。

本发明实施例还提供了一种执行模幂运算的装置，包括获取单元、编码单元、计算单元，其中：

获取单元，用于获取底数g、指数d、模数q和窗口w，将指数d和窗口w的值输出至编码单元，将底数g、模数q和窗口w输出至计算单元；

编码单元，用于将指数d表示成m进制表示形式：其中0≤d_i<m，m＝2^w，d_l-1≠0，将d_i、l与m的值输出至计算单元；

计算单元，用于根据窗口w的值为预计算变量R_i分配空间，R_i＝1，i＝1,2,3,…,m；并将底数g赋值给结果变量A；从i＝0到l-2，将预计算变量与结果变量A的乘积循环赋值给并将A^m循环赋值给结果变量A；将赋值给结果变量A，其中，·为乘号，∏为乘积运算符；将结果变量A与底数g的乘积赋值给结果变量A。

进一步地，所述计算单元的将赋值给结果变量A，包括：

将预计算变量R_m赋值给第一中间变量B；

对i＝m-1至2，将预计算变量R_i与R_i+1的乘积循环赋值给R_i，并将第一中间变量B与预计算变量R_i的乘积循环赋值给第一中间变量B；

将预计算变量R₁与R₂的乘积赋值给R₁；

将赋值给结果变量A。

进一步地，所述计算单元的将赋值给结果变量A，包括：

将结果变量A与预计算变量R₁的乘积赋值给A；

检测(d_l-1-1)＞＞(w-1)的计算结果是否为真，如果为真，将结果变量A赋值给第二中间变量Q，其中，>>为向右移位运算符；如果为假，将预计算变量R₁赋值给第二中间变量Q；

对i＝w-1至1，将第二中间变量Q²循环赋值给Q，并检测(d_l-1-1)＞＞(i-1)的计算结果是否为真，如果为真，将第二中间变量Q与A的乘积赋值给第二中间变量Q；如果为假，将第二中间变量Q与预计算变量R₁的乘积赋值给第二中间变量Q；

将第一中间变量B与第二中间变量Q的乘积赋值给结果变量A。

本发明的技术方案，具有如下有益效果：

本发明提供的执行模幂运算的方法及装置、计算机可读存储介质，通过在每次计算过程中设置一次模平方和模乘运算，因此实现了完全抗SPA攻击；通过在模幂的整个运算过程中消除伪运算，实现了抗FA攻击，具有更高的安全性；通过设置窗口w，本发明具有更快的计算速度，不仅适用于软件实现，也适用于硬件实现。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例的一种执行模幂运算的方法的流程示意图；

图2为本发明实施例的一种执行模幂运算的装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

模幂计算的推导过程如下：

首先将d改写为m进制的形式，即0≤d_i<m和d_l-1≠0。

由此，可将d编码写成

其中

因此，g^d＝g·g^d-1，g^d-1的计算过程如下：

其中利用以下步骤计算和详细如下：

1、令A＝g,R_j＝1

2、对j＝0to l-2执行

2.1

2.2A＝A^m

由此可得：

如图1所示，根据本发明的一种执行模幂运算的方法，包括如下步骤：

步骤101：获取底数g、指数d、模数q和窗口w；

步骤102：将指数d表示成m进制表示形式：其中0≤d_i<m，m＝2^w，d_l-1≠0，≠为不等于符号；

步骤103：根据窗口w的值为预计算变量R_i分配空间，R_i＝1，i＝1,2,3,…,m；并将底数g赋值给结果变量A；

步骤104：从i＝0到l-2，将预计算变量与结果变量A的乘积循环赋值给并将A^m循环赋值给结果变量A，每次循环的步长为1；

步骤105：将赋值给结果变量A，其中，·为乘号，∏为乘积运算符；

步骤106：将结果变量A与底数g的乘积赋值给结果变量A。

由于步骤105实现起来比较复杂，实现开销也比较大，因此本发明对步骤105的实现过程进行优化，将步骤105中的可以转化为使其不仅可抗SPA攻击，又降低其计算复杂度。

推导过程如下：

通过以下步骤1-3计算和R_m·R_m-1·…·R₂R₁：

1、令B＝R_m

2、对i＝m-1to 2执行

2.1R_i＝R_i·R_i+1

2.2B＝B·R_i

3、R₁＝R₁·R₂(根据步骤2得到R₂＝R_m·R_m-1…·R₂)

其中R₁＝R_m·R_m-1·…·R₁，由此可得

进一步地，步骤105中所述将赋值给结果变量A，具体包括：

步骤1051)将预计算变量R_m赋值给第一中间变量B；

步骤1052)对i＝m-1至2，将预计算变量R_i与R_i+1的乘积循环赋值给R_i，并将第一中间变量B与预计算变量R_i的乘积循环赋值给第一中间变量B，每次循环的步长为1；

步骤1053)将预计算变量R₁与R₂的乘积赋值给R₁(根据步骤1052得到R₂＝R_m·R_m-1…·R₂)；

步骤1054)将赋值给结果变量A。

由于步骤1054实现起来还是比较复杂，对步骤1054的实现过程再次进行优化，可将步骤1054中的的计算转化为

推导过程如下：

1、计算详细描述如下：并将计算结果赋值于Q

2、计算Q·B并将结果赋值给A。

进一步地，步骤1054中将赋值给结果变量A，具体包括：

10541)将结果变量A与预计算变量R₁的乘积赋值给A；

10542)检测(d_l-1-1)＞＞(w-1)的计算结果是否为真，如果为真，将结果变量A赋值给第二中间变量Q，其中，>>为向右移位运算符；如果为假，将预计算变量R₁赋值给第二中间变量Q；

10543)对i＝w-1至1，将第二中间变量Q的平方Q²循环赋值给Q，并检测(d_l-1-1)＞＞(i-1)的计算结果是否为真，如果为真，将第二中间变量Q与A的乘积赋值给第二中间变量Q；如果为假，将第二中间变量Q与预计算变量R₁的乘积赋值给第二中间变量Q，每次循环的步长为1；

10544)将第一中间变量B与第二中间变量Q的乘积赋值给结果变量A。

本发明还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有执行模幂运算的程序，所述执行模幂运算的程序被处理器执行时实现如以上任一项所述的执行模幂运算的方法的步骤。

如图2所示，根据本发明的一种执行模幂运算的装置，包括获取单元201、编码单元202、计算单元203，其中：

获取单元201，用于获取底数g、指数d、模数q和窗口w，将指数d和窗口w的值输出至编码单元202，将底数g、模数q和窗口w输出至计算单元203；

编码单元202，用于将指数d表示成m进制表示形式：其中0≤d_i<m，m＝2^w，d_l-1≠0，将d_i、l与m的值输出至计算单元203；

计算单元203，用于根据窗口w的值为预计算变量R_i分配空间，R_i＝1，i＝1,2,3,…,m；并将底数g赋值给结果变量A；从i＝0到l-2，将预计算变量与结果变量A的乘积循环赋值给并将A^m循环赋值给结果变量A；将赋值给结果变量A，其中，·为乘号，∏为乘积运算符；将结果变量A与底数g的乘积赋值给结果变量A。

进一步地，所述计算单元203的将赋值给结果变量A，包括：

将预计算变量R_m赋值给第一中间变量B；

对i＝m-1至2，将预计算变量R_i与R_i+1的乘积循环赋值给R_i，并将第一中间变量B与预计算变量R_i的乘积循环赋值给第一中间变量B；

将预计算变量R₁与R₂的乘积赋值给R₁；

将赋值给结果变量A。

进一步地，所述计算单元203的将赋值给结果变量A，包括：

将结果变量A与预计算变量R₁的乘积赋值给A；

检测(d_l-1-1)＞＞(w-1)的计算结果是否为真，如果为真，将结果变量A赋值给第二中间变量Q，其中，>>为向右移位运算符；如果为假，将预计算变量R₁赋值给第二中间变量Q；

对i＝w-1至1，将第二中间变量Q的平方Q²循环赋值给Q，并检测(d_l-1-1)＞＞(i-1)的计算结果是否为真，如果为真，将第二中间变量Q与A的乘积赋值给第二中间变量Q；如果为假，将第二中间变量Q与预计算变量R₁的乘积赋值给第二中间变量Q；

将第一中间变量B与第二中间变量Q的乘积赋值给结果变量A。

在SM9算法运算中，涉及到双线性对、(素域和2次扩域)椭圆曲线标量乘、12次扩域上的模幂等运算。本发明抗SPA的核心思想是在12次扩域上模幂运算的实现时，消除模幂运算过程中条件转移情形，即if…else…不配对，本发明通过采用自左向右的二进制展开法计算可以看出在每次计算过程中都会有一次模平方和模乘运算，因此可完全抗SPA攻击；抗FA的核心思想是在12次扩域上模幂运算的实现时，消除模幂运算过程中的伪操作，在模幂的整个运算过程中不存在伪运算，因此可抗FA攻击，具有更高的安全性，攻击者不能通过扩域模幂的执行过程推断出需要严格保密指数的任何1bit取值。本发明克服了通过功耗曲线分析出模幂运算时指数的相关信息，具有更强的抗SPA、FA攻击的能力，通过设置窗口w的大小，本发明具有更快的计算速度，不仅适用于软件实现，也适用于硬件实现。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种执行模幂运算的方法，其特征在于，包括：

获取底数g、指数d、模数q和窗口w；

将指数d表示成m进制表示形式：其中0≤d_i<m，m＝2^w，d_l-1≠0；

根据窗口w的值为预计算变量R_i分配空间，R_i＝1，i＝1,2,3,…,m；并将底数g赋值给结果变量A；

从i＝0到l-2，将预计算变量与结果变量A的乘积循环赋值给并将A^m循环赋值给结果变量A；

将赋值给结果变量A，其中，·为乘号，∏为乘积运算符；

将结果变量A与底数g的乘积赋值给结果变量A。

2.根据权利要求1所述的执行模幂运算的方法，其特征在于，所述将赋值给结果变量A，具体包括：

将预计算变量R_m赋值给第一中间变量B；

对i＝m-1至2，将预计算变量R_i与R_i+1的乘积循环赋值给R_i，并将第一中间变量B与预计算变量R_i的乘积循环赋值给第一中间变量B；

将预计算变量R₁与R₂的乘积赋值给R₁；

将赋值给结果变量A。

3.根据权利要求2所述的执行模幂运算的方法，其特征在于，所述将赋值给结果变量A，具体包括：

将结果变量A与预计算变量R₁的乘积赋值给A；

检测(d_l-1-1)＞＞(w-1)的计算结果是否为真，如果为真，将结果变量A赋值给第二中间变量Q，其中，>>为向右移位运算符；如果为假，将预计算变量R₁赋值给第二中间变量Q；

对i＝w-1至1，将第二中间变量Q的平方Q²循环赋值给Q，并检测(d_l-1-1)＞＞(i-1)的计算结果是否为真，如果为真，将第二中间变量Q与A的乘积赋值给第二中间变量Q；如果为假，将第二中间变量Q与预计算变量R₁的乘积赋值给第二中间变量Q；

将第一中间变量B与第二中间变量Q的乘积赋值给结果变量A。

4.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有执行模幂运算的程序，所述执行模幂运算的程序被处理器执行时实现如权利要求1至3中任一项所述的执行模幂运算的方法的步骤。

5.一种执行模幂运算的装置，其特征在于，包括获取单元、编码单元、计算单元，其中：

获取单元，用于获取底数g、指数d、模数q和窗口w，将指数d和窗口w的值输出至编码单元，将底数g、模数q和窗口w输出至计算单元；

编码单元，用于将指数d表示成m进制表示形式：其中0≤d_i<m，m＝2^w，d_l-1≠0，将d_i、l与m的值输出至计算单元；

计算单元，用于根据窗口w的值为预计算变量R_i分配空间，R_i＝1，i＝1,2,3,…,m；并将底数g赋值给结果变量A；从i＝0到l-2，将预计算变量与结果变量A的乘积循环赋值给并将A^m循环赋值给结果变量A；将赋值给结果变量A，其中，·为乘号，∏为乘积运算符；将结果变量A与底数g的乘积赋值给结果变量A。

6.根据权利要求5所述的执行模幂运算的装置，其特征在于，所述计算单元的将赋值给结果变量A，包括：

将预计算变量R_m赋值给第一中间变量B；

对i＝m-1至2，将预计算变量R_i与R_i+1的乘积循环赋值给R_i，并将第一中间变量B与预计算变量R_i的乘积循环赋值给第一中间变量B；

将预计算变量R₁与R₂的乘积赋值给R₁；

将赋值给结果变量A。

7.根据权利要求6所述的执行模幂运算的装置，其特征在于，所述计算单元的将赋值给结果变量A，包括：

将结果变量A与预计算变量R₁的乘积赋值给A；

检测(d_l-1-1)＞＞(w-1)的计算结果是否为真，如果为真，将结果变量A赋值给第二中间变量Q，其中，>>为向右移位运算符；如果为假，将预计算变量R₁赋值给第二中间变量Q；

对i＝w-1至1，将第二中间变量Q的平方Q²循环赋值给Q，并检测(d_l-1-1)＞＞(i-1)的计算结果是否为真，如果为真，将第二中间变量Q与A的乘积赋值给第二中间变量Q；如果为假，将第二中间变量Q与预计算变量R₁的乘积赋值给第二中间变量Q；

将第一中间变量B与第二中间变量Q的乘积赋值给结果变量A。