專利名稱:使用rsa類型公開密鑰加密算法的電子部件中的對(duì)策方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子部件的對(duì)策方法,該部件使用RSA類型的公開密鑰加密算法����。
在秘密的密鑰密碼術(shù)的傳統(tǒng)模型中,希望利用非加密的信道通信的兩人必須首先約定一個(gè)秘密的密鑰K�。加密函數(shù)和解密函數(shù)使用同一個(gè)密鑰K�����。秘密的密鑰加密系統(tǒng)的缺點(diǎn)是所說(shuō)的系統(tǒng)要求在該兩人之間在將任何加密的報(bào)文送經(jīng)未保密的信道之前先要利用保密的信道進(jìn)行密鑰K的通信��。實(shí)際上�,通常是難以找到一個(gè)完全安全的通信信道的�����,尤其是分隔兩人的距離遙遠(yuǎn)的情況下�。安全的信道指的是這樣一個(gè)信道,對(duì)于它是不可能查明或修改通過該信道中的信息的��。這樣的安全信道可以通過連接兩個(gè)由所說(shuō)的這兩人所擁有的終端的電纜來(lái)實(shí)現(xiàn)的�����。
公開密鑰加密術(shù)的概念是由Whitfield Diffie和MarfinHellman在1976年發(fā)明的�。公開密鑰加密術(shù)使得可能解決在非保密信道上密鑰分布的問題。公開密鑰加密求的原理包括使用一對(duì)密鑰���,即一個(gè)公開的加密密鑰和一個(gè)秘密的解密密鑰����。要從公開的加密密鑰利用計(jì)算來(lái)找到秘密的解密密鑰必須是不可能的。希望將某一項(xiàng)信息傳送給某人B的某人A使用該人B的公開加密密鑰�。只有該人B擁有和他的公開密鑰相關(guān)聯(lián)的秘密密鑰。因此只有該人B能夠?qū)λ徒o他的報(bào)文進(jìn)行解密�����。
公開密鑰加密術(shù)另一個(gè)優(yōu)于秘密密鑰加密術(shù)的優(yōu)點(diǎn)是公開密鑰加密術(shù)允許使用電子簽名進(jìn)行鑒別�����。
第一個(gè)公開密鑰加密實(shí)施例是由Rivest����、Shamir和Adleman在1977年提出的,他們發(fā)明了RSA加密系統(tǒng)�。RSA的安全性是基于對(duì)由兩個(gè)素?cái)?shù)的乘積形成的大數(shù)進(jìn)行因子分解的難度。從那以后����,已提出了許多公開密鑰加密系統(tǒng)����,它們的安全性是基于不同的計(jì)算性問題(這樣的清單是不可窮盡的)Merckle-Hellman的“背包法”(又稱漸縮法)這個(gè)加密系統(tǒng)是基于子集和問題的難度;
-McEliece這個(gè)加密系統(tǒng)是基于代數(shù)編碼理論�。這是基于線性代碼解碼問題的��;-ElGamal這個(gè)加密系統(tǒng)是基于在有限實(shí)體中離散對(duì)數(shù)的難度的��;-橢圓曲線橢圓曲線加密系統(tǒng)構(gòu)成了現(xiàn)有加密系統(tǒng)的一種修改以便將它們應(yīng)用在橢圓曲線的場(chǎng)合�。橢圓曲線加密系統(tǒng)的優(yōu)點(diǎn)在于它們比起其它加密系統(tǒng)來(lái)需要較小的密鑰��。
RSA加密系統(tǒng)是最常使用的公開密鑰加密系統(tǒng)�����。它可以用作加密方法或簽名方法�。RSA加密系統(tǒng)用在智能卡中作為它的某些用途。智能卡中可能的RSA應(yīng)用是訪問數(shù)據(jù)庫(kù)��、金融應(yīng)用����、或遠(yuǎn)距支付應(yīng)用如像付費(fèi)電視、汽油分配或支付公路過路費(fèi)等�����。
RSA加密系統(tǒng)的原理如下���。它可以分成三個(gè)不同的部分�,即1)生成一對(duì)RSA密鑰;2)將一個(gè)明碼報(bào)文加密成加密的報(bào)文�;和3)將加密的報(bào)文解密成明碼報(bào)文。
第一部分是生成RSA密鑰��。每個(gè)用戶按照下列包括5個(gè)步驟的方法產(chǎn)生一個(gè)RSA公開密鑰和對(duì)應(yīng)的秘密密鑰1)生成兩個(gè)同樣規(guī)模的不同的素?cái)?shù)p和q��;2)計(jì)算n=pq和」=(p-1)(q-1)����;3)隨機(jī)選擇一個(gè)整數(shù)e,1<e<」�,以使得pgcd(e,」)=1�����;4)計(jì)算唯一的整數(shù)d��,1<d<」�����,使得e*d=1 mod」���;5)公開密鑰是(n��,e)���;秘密密鑰是d或(d,p�����,q)��。
整數(shù)e和d分別叫做加密指數(shù)和解密指數(shù)�����,整數(shù)n叫做模數(shù)�����。
RSA密鑰生成的第二部分包括將一個(gè)用m指明的明碼報(bào)文利用一種算法加密成用c指明的加密報(bào)文��,其中�,1<m<n。方法如下計(jì)算c=m^e mod n�����。
RSA密鑰生成的第三部分包括利用保密的解密指數(shù)d通過一種算法來(lái)解密。將加密的由c所指明的報(bào)文且1<c<n解密成由m指明的明碼報(bào)文的算法如下計(jì)算m=c^d mod n�����。
前面所說(shuō)明的RSA解密算法可以用兩種方法來(lái)執(zhí)行�。這兩種方法是用CRT的解密和不用CRT的解密。CRT是中國(guó)余數(shù)理論(ChineseRemainder Theorem)的縮寫�。用CRT的解密算法的優(yōu)點(diǎn)是它在理論上要比不用CRT的解密算法快4倍。
不用CRT的解密算法包括如前面所述的計(jì)算m=c^d mod n��。
用CRT的解密算法包括以下4步1)計(jì)算cp=c modulo p和cq=c modulo q2)計(jì)算dp=d modulo p-1和dq=d modulo q-13)計(jì)算mp=cp^dp modulo p和mq=cq^dq modulo q4)計(jì)算m=mp*q*(q^(-1)mod p)+mq*p*(p^(-1)mod q)為了實(shí)現(xiàn)在前面所述的計(jì)算方法中所需的按模取指數(shù)�����,存在一系列算法-叫做“乘方和乘”的算法��;-增加鏈的算法��;-帶窗口的算法�����;-帶符號(hào)表示的算法����。
這個(gè)清單不是完全的���。最簡(jiǎn)單和最常用的算法是乘方和乘的算法���。乘方和乘的算法取數(shù)c���、指數(shù)d和模數(shù)n作為輸入。指數(shù)d以d=(d(t)��,d(t-1)���,d(0))來(lái)表示�����,這里(d(t)�����,d(t-1)�����,d(0))是d的二進(jìn)制表示�����,d(t)是最高位��,d(0)是最低位��。例如��,數(shù)5用二進(jìn)制的表示是101�����,它是由5=1*2^2+0*2^1+1*2^0這一事實(shí)得來(lái)的�。第一個(gè)1是最高位,最后的1是最低位��。這個(gè)算法得出數(shù)m=c^d mod n作為輸出��。
乘方和乘的算法有下列三步1)將一整數(shù)變量A用值c初始化���;2)對(duì)于從t-1到0的i�,執(zhí)行2a)以A*A mod n取代A�����;2b)如果d(i)=1,則用A*c mod n取代A�;3)返回上面第1步。
在不用CRT的RSA解密的情況下�����,解密是如上面所述使用乘方和乘的算法實(shí)施的�����。因此在這種情況下���,乘方和乘的算法要將加密的報(bào)文c、模n和解密指數(shù)d作為輸入����。
在用CRT的RSA解密的情況下,解密是如前面所述對(duì)用CRT的解密算法的第3步的執(zhí)行兩次使用乘方和乘的算法而實(shí)現(xiàn)的���。第一次���,算法將整數(shù)cp�����、模p和指數(shù)dp作為輸入�����。第二次����,算法將整數(shù)cq���、模q和指數(shù)dq作為輸入��。
將這些運(yùn)算在智能卡之內(nèi)執(zhí)行是有可能的��,這些運(yùn)算是由在智能卡上的微處理器執(zhí)行的����。已經(jīng)證明在智能卡實(shí)現(xiàn)RSA類型的公開密鑰加密算法是易于遭到包括差分電流消耗分析的攻擊而使得有可能找到保密的解密密鑰��。這些攻擊被稱為DPA攻擊�����,DPA是差分功率分析的(Differential Power Analysis)縮寫。這些DPA攻擊的原理是基于這一事實(shí)執(zhí)行指令的微處理器的電流消耗按照被處理的數(shù)據(jù)而變化��。
具體說(shuō)��,當(dāng)一個(gè)指令在處理一個(gè)數(shù)據(jù)項(xiàng)時(shí)����,其中某一特定比特是不變的而其它比特則能夠變化,則與該指令相關(guān)的電流消耗的分析表明�����,根據(jù)某一特定比特取值為0或1�����,該指令的平均消耗并是不相同的�。因此DPA類型的攻擊使得有可能在執(zhí)行加密算法期間得到由在卡上的微處理器所處理的中間數(shù)據(jù)的外加信息��。這種外加信息在某些情況下使得有可能揭露解密算法的秘密參數(shù)���,使得加密系統(tǒng)不安全���。
在本文檔的剩下部分將說(shuō)明關(guān)于RSA解密算法的兩種類型的DPA攻擊�。所說(shuō)的第一種DPA攻擊涉及不用CRT的RSA解密算法����。所說(shuō)的第二種攻擊涉及用CRT的RSA解密算法。這兩種攻擊使得能夠揭示秘密的解密指數(shù)d�����。因此它們嚴(yán)重?fù)p害了在智能卡上RSA實(shí)施的安全性�����。
第一種DPA攻擊涉及不用CRT的RSA解密算法��。這種攻擊使得能夠直接揭示秘密的指數(shù)d���,也叫做秘密密鑰�。
攻擊的第一步對(duì)N個(gè)不同的加密報(bào)文c(1)����,…c(N)記錄下對(duì)應(yīng)于執(zhí)行前面所述的乘方和乘的算法的電流消耗。
為了使對(duì)攻擊的說(shuō)明更加清楚����,首先說(shuō)明一種方法�,這種方法使得有可能得到秘密密鑰d或其二進(jìn)制表示(d(t)����,d(t-1),d(0))的d(t-1)位�,這里d(t)是最高位,d(0)是最低位��。然后給出該算法的說(shuō)明�,這個(gè)算法使得有可能找到d的值。
報(bào)文c(1)到c(N)是按照c^4 mod n的最低位的值而分組的���,這里c表示報(bào)文c(1)到c(N)中之一�。第一組包括報(bào)文c�,使得c^4 mod n的最低位等于1����。
第二組包括報(bào)文c,使所說(shuō)位等于0����。計(jì)算出對(duì)應(yīng)于這兩組中每一組的電流消耗的平均值,然后計(jì)算出這兩個(gè)平均值之間的差異曲線���。
如果d的d(t-1)位等于0��,則前面所說(shuō)明的指數(shù)算法計(jì)算出c^4mod n的值并存入存儲(chǔ)器�����。這就是說(shuō)�����,在智能卡中執(zhí)行該算法時(shí)�,卡上的微處理器將實(shí)際計(jì)算出c^4 mod n。在這種情況下����,在一組報(bào)文中由微處理器所處理的數(shù)據(jù)項(xiàng)的最后一位總是等于1,而在另一組報(bào)文中所處理的數(shù)據(jù)項(xiàng)的最后位總是等于0���。對(duì)應(yīng)于每一組的電流消耗的平均值因而是不同的���。因此在差異曲線的兩個(gè)均值之間會(huì)出現(xiàn)一個(gè)電流消耗的差分峰值。
相反��,如果d的d(t-1)位等于1,上述的指數(shù)算法并不計(jì)算c^4 modn的值�����。在智能卡執(zhí)行該算法時(shí)�,微處理器因而決不會(huì)處理數(shù)據(jù)項(xiàng)c^4mod n。因此不會(huì)出現(xiàn)消耗差分峰值�����。
因此這一方法使得可能確定d的d(t-1)位的值��。
在下面段落中說(shuō)明的算法是前述算法的通則����。這使得可能確定秘密密鑰的值。
該算法將N個(gè)報(bào)文c(1)到c(N)和RSA模n作為輸入���,并返回一個(gè)整數(shù)h作為輸出�����。上述算法的各個(gè)步驟如下1)在變量h中置1,2)從t-1到1的i��,執(zhí)行下列各步2)1)按照c^(4*h)mod n最后一位的值將報(bào)文c(1)到c(N)分成兩組;2)2)對(duì)兩組中的每一組計(jì)算電流消耗均值�;2)3)計(jì)算兩個(gè)均值之間的差;2)4)如果該差顯示消耗差分峰值�,則計(jì)算h=h*2;否則執(zhí)行h=h*2+1���。
該算法的結(jié)果包含在變量h中�。
前面的算法提供整數(shù)h使得d=2*h或d=2*h+1�����。為了得到d的值��,只要測(cè)試兩個(gè)可能的假設(shè)就已足夠�����,這兩個(gè)假設(shè)是d=2*h和d=2*h+1��。因此����,所說(shuō)明的DPA類型的攻擊使得有可能在不用CRT的情況下執(zhí)行RSA解密算法時(shí)找出秘密密鑰d。
對(duì)RSA解密算法的第二種可能的DPA攻擊涉及到對(duì)如上所述的用CRT的解密算法的應(yīng)用上��。
所說(shuō)的攻擊是用選擇的報(bào)文進(jìn)行的并僅僅集中在用CRT解密算法的說(shuō)明中的模數(shù)約簡(jiǎn)運(yùn)算(第1步)上。
該攻擊包括向卡發(fā)送正確選擇的報(bào)文��。P的二進(jìn)制表示的大小為一整數(shù)k���。因此這給出2^(k-1)<p<2^k�����。從而區(qū)別開了兩種情況在第一情況中�,2^(k-1)+2^(k-2)<p<2^k����。
在第二情況中,2^(k-1)<p<2^(k-1)+2^(k-2)該方法包括讓卡對(duì)報(bào)文c的第一組A解密以使c<2^(k-1)�����。這樣cmodulo p的模數(shù)約簡(jiǎn)就正好給出整數(shù)c作為結(jié)果���。還讓卡對(duì)報(bào)文c的第二組B進(jìn)行解密使在第一種情況下2^k<c<2^k+2^(k-2)��,而在第二種情況下2^(k-1)+2^(k-2)<c<2^k��。在這兩種情況下c modulo p的模數(shù)約簡(jiǎn)都給出c-p���。這樣該卡將處理數(shù)據(jù)項(xiàng)c-p。通過分析在A組中的報(bào)文和B組中的報(bào)文之間消耗的差異���,前者的結(jié)果是c���,后者的結(jié)果是c-p,就可能通過比較來(lái)確認(rèn)所有必要的信息以使得有可能得到p��。
這一段給出的方法使得有可能得到p的最低位����。得到p的其余各位的方法是相似的。A組中的報(bào)文分成兩類報(bào)文組A0�����,其報(bào)文的最后位等于0���,和報(bào)文組A1����,其報(bào)文的最后位等于1���。對(duì)于組B進(jìn)行同樣的運(yùn)算得到B0和B1�����。如果p的最低位等于1�����,則在組A0和B0之間消耗的差異將揭示一個(gè)消耗差分峰值�,因?yàn)樵诮MA0中結(jié)果的最后位等于0而在組B0中結(jié)果的最后位等于1。如果p的最低位等于0��,則在兩組間的均值消耗差異并不顯示任何峰值���。利用這一方法��,可以確定p的最低位��。利用相似的方法�����,p的各位可以相繼被確定�����。
本發(fā)明的方法包括開發(fā)兩種對(duì)策����,使得有可能對(duì)付兩種前面所說(shuō)的DPA攻擊(用CRT的攻擊和不用CRT的攻擊)�。第一種對(duì)策方法包括執(zhí)行modulo p*r和q*t的計(jì)算,r和t是隨機(jī)數(shù)���。第一種對(duì)策方法構(gòu)成已經(jīng)存在的一種方法的改進(jìn)�����,該方法是由加密研究(CryptographyResearch)公司提交的專利申請(qǐng)WO 99/35782中提出的�����。在這一專利申請(qǐng)中�,說(shuō)明了一種使得有可能對(duì)付在RSA解密運(yùn)算期間的DPA型攻擊的方法�。這一個(gè)方法的缺點(diǎn)是它需要使用整數(shù)除法,而這是在智能卡類型的可攜帶對(duì)象中難于實(shí)施的運(yùn)算�。第一種對(duì)策方法只包括加法和乘法運(yùn)算。第二種對(duì)策方法包括使用中國(guó)余數(shù)理論(CRT)使得再結(jié)合成為隨機(jī)的��。
第一種對(duì)策方法包括在每次重新執(zhí)行用CRT的解密算法時(shí)使用隨機(jī)計(jì)算模數(shù)�。它包括執(zhí)行計(jì)算modulo p*r和q*t�,這里r和t是隨機(jī)數(shù)�����。
這一方法將報(bào)文c�、解密指數(shù)d和安全參數(shù)s作為輸入并包括下列8個(gè)步驟1)在0和2^s間取三個(gè)隨機(jī)數(shù)r、t和u��;2)計(jì)算p′=p*r和q′=q*t�;3)用c+u*n取代c;4)計(jì)算cp=c modulo p′和cq=c modulo q′�;5)計(jì)算dp=d modulo p-1和dq=d′modulo q-1;6)計(jì)算mp′=cp^dp modulo p′和mq′=cq^dq modulo q′�����;7)計(jì)算m=((mq-mp)*(p^(-1)mod q)mod q′)*p+mp�����;8)由m mod n取代m��。
第一對(duì)策方法包括兩個(gè)變型��,涉及整數(shù)r和t的更新。第一變型在于按照前述方法��,在每次重新執(zhí)行解密算法時(shí)計(jì)算一對(duì)新的整數(shù)r和t�。第二變型在于當(dāng)每次重新執(zhí)行解密算法時(shí)將計(jì)數(shù)器加1。當(dāng)這一計(jì)數(shù)器達(dá)到一固定值T時(shí)�,按照前述方法計(jì)算一對(duì)新的整數(shù)r和t,同時(shí)將計(jì)數(shù)器復(fù)位到0���。在實(shí)際上,可以取T=16�����。
第一對(duì)策方法包括一個(gè)第三變型��,該變型在對(duì)整數(shù)的運(yùn)算規(guī)模受到限制時(shí)是有用的�。這個(gè)第三變型包括以下步驟1)在0和2^s間取4個(gè)隨機(jī)數(shù)r、t�����、u和v��;2)計(jì)算p′=p*r和q′=q*t�;3)計(jì)算cp=c modulo p′和cq=c modulo q′;4)由cp+u*p取代cp和由cq+v*q取代cq;5)計(jì)算dp=d′modulo p-1和dq=d′modulo q-1���;6)計(jì)算mp′=cp^dp modulo p′和mq′=cq^dq modulo q′�����;7)計(jì)算m=(((mq-mp)*(p^(-1)mod q)mod q′)*p mod n)+mp modn�����;8)由m mod n取代m�����。
第一對(duì)策方法包括第4變型�����,使得有可能增加運(yùn)算的安全性�。在第4變型中��,部分解密是利用中國(guó)余數(shù)算法實(shí)施modulo p和modulo q而部分解密是計(jì)算模n��。該第4變型的優(yōu)點(diǎn)在于攻擊者不知道使用中國(guó)余數(shù)理論的再結(jié)合的輸出�。該第4變型包括下列步驟1)在0和2^s間取三個(gè)隨機(jī)數(shù)r、t和u;
2)計(jì)算p′=p*r和q′=q*t��;3)用c+u*n取代c��;4)計(jì)算cp=c modulo p′和cq=c modulo q′��;5)計(jì)算dp=d′modulo p-1和dq=d′modulo q-1����;6)計(jì)算dp′=(dp-1)/2和dq′=(dq-1)/2;7)計(jì)算mp′=cp^dp′modulo p′和mq′=cq^dq modulo q′�;8)計(jì)算m=((mq-mp)*(p^(-1)mod q)mod q′)*p+mp;9)由m^2*c mod n取代m���。
這樣,由于攻擊者不知道相應(yīng)于步驟7的利用中國(guó)余數(shù)理論的再結(jié)合的輸出�����,攻擊者就不能夠?qū)弥袊?guó)余數(shù)理論的再結(jié)合實(shí)施DPA攻擊�����。
第二對(duì)策包括使用中國(guó)余數(shù)理論使再結(jié)合成為隨機(jī)的����。這種隨機(jī)性質(zhì)是由于使用了隨機(jī)計(jì)算模數(shù)�。這一對(duì)策包括將第一對(duì)策方法的步驟7和8由下列各步代替����。整數(shù)p′的長(zhǎng)度(按位計(jì))是由k來(lái)表示的。
a)選擇兩個(gè)隨機(jī)整數(shù)(a0�����,b0)使b0=a0-1�����,整數(shù)a0和b0的大小是k位�;b)計(jì)算整數(shù)C=(mq-mp)*(p^(-1)mod q)mod q′;c)計(jì)算(c mod a0)=(C*p+cp)mod a0和(c mod b0)=(C*p+cp)mod b0�����;d)計(jì)算兩個(gè)隨機(jī)整數(shù)(a1���,b1)使b1=a1-1�,整數(shù)a1和b1的大小是k位�����;e)計(jì)算C=((c mod b0)-(c mod a0)mod b0);f)計(jì)算(c mod a1)=(C*a0+(c mod a0))mod a1和(c mod b1)=(C*a0+(c mod a0))mod b1�;g)對(duì)于新的一對(duì)(a2,b2)重復(fù)步驟e和f���,這里b2=a2-1��,整數(shù)a2和b2的大小是k位���。整數(shù)(a0,b0)和(a1����,b1)分別由整數(shù)(a1,b1)和(a2�,b2)取代�;h)步驟g重復(fù)k次,k是一整數(shù)參數(shù)�;i)對(duì)于整數(shù)對(duì)(a,b)=(2^k�����,2^k-1)重復(fù)步驟g;j)計(jì)算整數(shù)c1��,其定義為c1=c mod 2^k�����,并計(jì)算整數(shù)ch���,其定義為ch=((c mod 2^k-1)-(c mod 2^k))mod 2^k-1�;k)計(jì)算簽名c=ch*2^k+c1�����。
應(yīng)用上述兩種對(duì)策方法使得有可能保護(hù)在智能卡上的解密算法不受DPA類型的攻擊�����。所提出的兩種對(duì)策另外還是相互兼容的有可能將所述對(duì)策之一種或兩種應(yīng)用到RSA解密算法�,也可應(yīng)用第一對(duì)策的4種變型。
權(quán)利要求
1.由與終端相聯(lián)系的電子微處理器所使用的對(duì)策方法�,使得有可能不會(huì)通過執(zhí)行某程序的微處理器的電流消耗而泄露有關(guān)秘密數(shù)據(jù)的信息,該程序包括在每次重新執(zhí)行使用中國(guó)余數(shù)理論或CRT的解密算法時(shí)使用一隨機(jī)計(jì)算模數(shù)�����,所說(shuō)的方法包括執(zhí)行計(jì)算modulo p*r和q*t,此處r和t是隨機(jī)數(shù)���,所說(shuō)的方法將報(bào)文c����、解密指數(shù)d和安全參數(shù)s作為輸入�,其特征在于它包括下列8個(gè)步驟1)在0和2^s間取三個(gè)隨機(jī)數(shù)r、t和u�;2)計(jì)算p′=p*r和q′=q*t;3)用c+u*n取代c��;4)計(jì)算cp=c modulo p′和cq=c moduloq′���;5)計(jì)算dp=d′modulo p-1和dq=d′modulo q-1����;6)計(jì)算mp′=cp^dp modulo p′和mq′=cq^dq modulo q′�����;7)計(jì)算m=((mq-mp)*(p^(-1)mod q)mod q′)*p+mp����;8)由m mod n取代m。
2.按照權(quán)利要求1的對(duì)策方法�����,其特征在于在每次重新執(zhí)行算法時(shí)具有初值為0的計(jì)數(shù)器T被加1��,整數(shù)r和t保持相同值直到計(jì)數(shù)器T到達(dá)一固定的限值L����,然后當(dāng)這一限值到達(dá)時(shí)確定一對(duì)新的整數(shù)r和p。
3.按照權(quán)利要求1的對(duì)策方法使得有可能保護(hù)使用中國(guó)余數(shù)理論或CRT的解密算法�,所說(shuō)的方法應(yīng)用于當(dāng)所處理的數(shù)據(jù)的大小被限制時(shí)的情況,其特征在于它包括下列步驟1)在0和2^s間取4個(gè)隨機(jī)數(shù)r�、t、u和v���;2)計(jì)算p′=p*r和q′=q*t�;3)計(jì)算cp=c modulo p′和cq=c modulo q′��;4)由cp+u*p取代cp和由cq+v*q取代cq����;5)計(jì)算dp=d′modulo p-1和dq=d′modulo q-1;6)計(jì)算mp′=cp^dp modulo p′和mq′=cq^dq modulo q′����;7)計(jì)算m=(((mq-mp)*(p^(-1)mod q)mod q′)*p mod n)+mp modn��;8)由m mod n取代m�。
4.按照權(quán)利要求1的對(duì)策方法使得有可能保護(hù)使用中國(guó)余數(shù)理論或CRT的解密�����,所說(shuō)的方法的特征在于計(jì)算首先進(jìn)行modulo p和modulo q��;還在于然后將計(jì)算modulo p和modulo q的結(jié)果使用中國(guó)余數(shù)理論收集在一起����,還在于計(jì)算繼續(xù)對(duì)公開模數(shù)n求模。
5.按照權(quán)利要求4的對(duì)策方法���,其特征在于它包括下列9個(gè)步驟1)在0和2^s間取3個(gè)隨機(jī)數(shù)r����、t和u�;2)計(jì)算p′=p*r和q′=q*t;3)用c+u*n取代c�;4)計(jì)算cp=c modulo p′和cq=c modulo q′;5)計(jì)算dp=d′modulo p-1和dq=d′modulo q-1;6)計(jì)算dp′=(dp-1)/2和dq′=(dq-1)/2�����;7)計(jì)算mp′=cp^dp′modulo p′和mq′=cq^dq′modulo q′��;8)計(jì)算m=((mq-mp)*(p^(-1)mod q)mod q′)*p+mp����;9)由m^2*c mod n取代m����。
6.按照權(quán)利要求1的對(duì)策方法,包括使得在每次重新執(zhí)行使用中國(guó)余數(shù)理論的解密算法時(shí)讓計(jì)算方式成為隨機(jī)的����,所說(shuō)的對(duì)策方法包括用下列各步取代第一對(duì)策方法中的步驟7和8,整數(shù)p′的大小(以位數(shù)計(jì))由k指明a)選擇兩個(gè)隨機(jī)整數(shù)(a0�����,b0)使得b0=a0-1���,整數(shù)a0和b0的大小是k位����;b)計(jì)算整數(shù)C=(mq-mp)*(p^(-1)mod q)mod q′;c)計(jì)算(c mod a0)=(C*p+cp)mod a0和(c mod b0)=(C*p+cp)mod b0��;d)計(jì)算兩個(gè)隨機(jī)整數(shù)(a1����,b1)使b1=a1-1,整數(shù)a1和b1的大小是k位�����;e)計(jì)算C=((c mod b0)-(c mod a0))mod b0�����;f)計(jì)算(c mod a1)=(C*a0+(c mod a0))mod a1和(c mod b1)=(C*a0+(c mod a0))mod b1��;g)對(duì)于新的一對(duì)(a2��,b2)�,其中b2=a2-1,重復(fù)步驟5和6�����,整數(shù)a2和b2的大小是k位。整數(shù)(a0��,b0)和(a1����,b1)分別由整數(shù)(a1���,b1)和(a2���,b2)取代;h)步驟7被重復(fù)k次���,k是個(gè)整數(shù)參數(shù)�;i)對(duì)于整數(shù)對(duì)(a�,b)=(2^k,2^k-1)重復(fù)步驟7�����;j)計(jì)算整數(shù)c1=c mod 2^k��,并計(jì)算整數(shù)ch=((c mod 2^k-1)-(c mod 2^k))mod 2^k-1����;k)計(jì)算簽名c=ch*2^k+c1�����。
7.使用按照上述任何一項(xiàng)權(quán)利要求中的方法的電子部件�,其特征在于它可以是智能卡�。
全文摘要
本發(fā)明涉及使用RSA類型的公開密鑰加密算法的電子部件中的對(duì)策方法。第一種對(duì)策方法包括對(duì)每次重新執(zhí)行用CRT的解密算法時(shí)使用隨機(jī)計(jì)算���。計(jì)算是以modulo p*r和q*t進(jìn)行的�����,r和t是隨機(jī)數(shù)���。第二種對(duì)策方法包括使用CRT理論使再結(jié)合成為隨機(jī)的。
文檔編號(hào)H04L9/30GK1411644SQ00817229
公開日2003年4月16日 申請(qǐng)日期2000年10月13日 優(yōu)先權(quán)日1999年10月14日
發(fā)明者J·-S·科倫, P·帕耶 申請(qǐng)人:格姆普拉斯公司