>[0125] 在加倍過程68和加法過程70的原子式中的操作類型序列的比較示出這兩個過程 使用彼此相同的加法���、減法���、乘法和平方操作序列���。此外,加倍過程68和加法過程70各自 采用總共僅三個加法����、五個減法、九個乘法和一個平方���,其被認為比用于這些操作的常規(guī)原 子式中的操作少���。結(jié)果是,本實施例提供了一種在數(shù)字系統(tǒng)(諸如在以上結(jié)合圖1所描述 的聯(lián)網(wǎng)系統(tǒng)的節(jié)點)中執(zhí)行這些計算的特別高效的方法�。
[0126] 設想的是有限域減法過程可用于某些橢圓曲線認證和加密算法和序列,例如在不 同于圖8中示出的計算過程流之后�����,用于替換算法中的加法過程70的一個或更多個實例����。 根據(jù)另一個實施例,提供涉及與加倍和加法操作68���、70相同數(shù)量和序列的低級別操作(即�, 加法����、減法、乘法�����、平方)的減法過程���,并且因此以一種可適用于執(zhí)行不易受到邊帶通道攻 擊的敏感計算的方式提供該過程��。
[0127] 根據(jù)本實施例����,產(chǎn)生在寄存器位置R0至R4中表達的當前橢圓曲線點與生成器點 G (由存儲在CONSTANT Xg和CONSTANT Yg寄存器位置的其X和y分量Xg���、Yg分別表示)的 差值的減法由執(zhí)行以下原子式的ALU10執(zhí)行(未加下標的X���、Y、Z值再次指代值XpY^Zi):
[0128]
[0129]
[0130] 表 3
[0131] 減法原子式
[0132] 這個序列和圖2中的用于加法過程70的序列之間的唯一差別是第十三個步驟(F =Yg ·Ζ3+Υ)����,該步驟針對該減法過程是加法�����,而表2的加法過程70中相應的第十三個步驟 是減法�。設想的是根據(jù)本實施例的加法和減法原子式的邊帶通道信號將仍緊密彼此匹配����, 盡管第十三個操作中存在不同。
[0133] 參照本說明書的本領(lǐng)域技術(shù)人員將認識到用于加倍�、加法和減法的這些操作序列 可容易地用于其他過程流中以便執(zhí)行有限域標量乘法和類似的操作,其中這種使用獲得了 對于邊帶通道攻擊的降低的脆弱性和高效實現(xiàn)和性能的類似益處����。
[0134] 例如,設想用于執(zhí)行有限域標量乘法的其他方法��。一個這種方法是針對在以上描 述的圖8的乘法中涉及的迭代循環(huán)以便逐位地從標量值的LSB前進到MSB����,如從以下偽代碼 中明顯的:
[0136] 當然還設想的是用于執(zhí)行涉及敏感數(shù)字的有限域計算的其他算法可以類似地利 用匹配原子式來執(zhí)行加倍和加法以及減法(需要時),以便高效地計算結(jié)果同時降低對邊 帶通道攻擊的脆弱性�。
[0137] 因此,根據(jù)這些實施例���,用于加法和加倍操作以及可能的減法操作的原子式被安 排為呈現(xiàn)出彼此非常類似的功率和噪聲特征����,以便阻止邊帶通道攻擊者容易地區(qū)別加法和 加倍��。這些操作的這種障眼法確保這種攻擊者將不能區(qū)別在計算中涉及的數(shù)字序列中的 " 1"位和"0"位���,并且因此保護通信的安全性所基于的私鑰和其他信息的敏感值���。
[0138] 因此,本發(fā)明的實施例使用從功率和噪聲的角度完全相同的標量有限域操作����,解 決了根據(jù)ECC算法高效執(zhí)行在私鑰認證中涉及的有限域算術(shù)操作的技術(shù)問題,而不管標量 的位值�����。進一步設想的是這些實施例以從計算成本和功耗角度而言特別高效的方式�����,通過 要求比常規(guī)技術(shù)少的低級別操作提供對邊帶通道攻擊的這種應對措施�����。這樣,這些實施例 提供對邊帶通道攻擊的有效且高效的應對措施����。相應地,預計的是這些實施例在遠程傳感 器和控制器中實現(xiàn)是特別有益的����,諸如在所謂的"物聯(lián)網(wǎng)"內(nèi)的聯(lián)網(wǎng)系統(tǒng)中以及在其他功率 敏感(例如,電池供電或以其他方式遠程供電)的應用中�����。
[0139] 盡管已經(jīng)在本說明書中描述了一個或更多個實施例�,當然設想的是對這些實施例 的修改和替代(這種修改和替代能夠獲得本發(fā)明的一個或更多個優(yōu)勢和益處)將對參照本 說明書及其附圖的本領(lǐng)域技術(shù)人員明顯。設想的是這種修改和替代在本發(fā)明的范圍內(nèi)���,如 在此后續(xù)所要求的�。
【主權(quán)項】
1. 一種操作數(shù)字邏輯電路以便執(zhí)行表示有限域中的點的被乘數(shù)與二進制值標量的有 限域標量乘法的方法����,該方法包括以下步驟: 初始化存儲和的分量的一個或更多個存儲器位置,該和表示該有限域中的點��;以及 操作該數(shù)字邏輯電路以便執(zhí)行多個操作,該多個操作包括���,針對該標量中的多個位的 位置中的每一個: 將表示該和與該被乘數(shù)之一的操作數(shù)加倍��; 響應于該位的位置具有" 1"值���,將第一和第二操作數(shù)相加�����,該第一和第二操作數(shù)表示該 和與該被乘數(shù)���;以及 然后前進到該標量中的下一個位的位置�; 其中�����,該加倍步驟是使用由以下內(nèi)容組成的原子式執(zhí)行的: 第一加法���; 然后第一乘法����,其后是第二乘法; 然后第二加法�; 然后第二乘法,其后是第四乘法���; 然后第二加法���; 然后第五乘法; 然后第四加法�; 然后第六乘法,其后是第七乘法��,其后是第八乘法�; 然后第五加法; 然后第九乘法���; 然后第六加法��,其后是第七加法���; 然后第十乘法;以及 然后第八加法����; 其中�����,該相加步驟是使用由以下內(nèi)容組成的原子式執(zhí)行的: 第一加法����; 然后第一乘法�,其后是第二乘法; 然后第二加法�; 然后第二乘法,其后是第四乘法�����; 然后第二加法���; 然后第五乘法; 然后第四加法�; 然后第六乘法,其后是第七乘法����,其后是第八乘法; 然后第五加法�����; 然后第九乘法; 然后第六加法�����,其后是第七加法�; 然后第十乘法;以及 然后第八加法����; 并且其中,在該執(zhí)行步驟之后��,存儲和的分量的存儲器位置表示該乘法的乘積����。2. 如權(quán)利要求1所述的方法,其中��,該第二和第五乘法是平方操作����。3. 如權(quán)利要求2所述的方法,其中�,該第二和第五至第八加法包括減法操作�����。4. 如權(quán)利要求1所述的方法����,其中����,該第二和第五至第八加法包括減法操作。5. 如權(quán)利要求1所述的方法�����,其中��,該數(shù)字邏輯電路包括處理器和寄存器組�����; 其中�,該初始化步驟包括: 將與該被乘數(shù)相對應的投影坐標加載到該寄存器組的第一�����、第二和第三寄存器位置 中; 其中�,包括該加倍和加法步驟的該加法和乘法操作各自對包括存儲在該寄存器組中的 內(nèi)容的操作數(shù)進行操作; 其中�����,該加倍和加法步驟的結(jié)果存儲在該第一��、第二和第三寄存器位置中��; 并且其中��,該操作步驟是針對該標量的第二最高有效位位置至最低有效位位置中的每 一個執(zhí)行的�����。6. 如權(quán)利要求5所述的方法�,其中,常量寄存器位置將該被乘數(shù)的坐標存儲為常量����; 其中,該加倍步驟將該和加倍��; 并且其中�,該相加步驟的該第一操作數(shù)與該和相對應并且該相加步驟的該第二操作數(shù) 與常量寄存器位置的內(nèi)容相對應����。7. 如權(quán)利要求1所述的方法��,其中���,該被乘數(shù)表示循環(huán)群中的點�����,該循環(huán)群是橢圓曲線 在該有限域上點的子集�,該橢圓曲線由短維爾斯特拉斯形式的方程表示����。8. 如權(quán)利要求1所述的方法,其中���,該數(shù)字邏輯電路所執(zhí)行的該多個操作進一步包括 使用由以下內(nèi)容組成的原子式減去該第一和第二操作數(shù): 第一加法; 然后第一乘法���,其后是第二乘法�����; 然后第二加法��; 然后第二乘法�����,其后是第四乘法�; 然后第二加法; 然后第五乘法��; 然后第四加法���; 然后第六乘法����,其后是第七乘法�����,其后是第八乘法����; 然后第五加法; 然后第九乘法; 然后第六加法��,其后是第七加法�; 然后第十乘法;以及 然后第八加法��。9. 一種傳遞具有數(shù)字簽名的數(shù)字消息的方法�,該方法包括以下步驟: 生成私鑰/公鑰對; 選擇隨機數(shù)r; 通過執(zhí)行包括以下內(nèi)容的多個操作執(zhí)行該有限域中的生成器點與該隨機數(shù)r的有限 域標量乘法以計算該有限域中的乘積點R: 初始化存儲和的分量的一個或更多個存儲器位置���,該和表示該有限域中的點���;以及 操作數(shù)字邏輯電路以便執(zhí)行多個操作,該多個操作包括����,針對該隨機數(shù)r中的多個位 的位置中的每一個: 將表示該和與該生成器點之一的操作數(shù)加倍; 響應于該位的位置具有" 1"值����,將第一和第二操作數(shù)相加,該第一和第二操作數(shù)表示該 和與該生成器點�����;以及 然后前進到該隨機數(shù)r中的下一個位的位置���; 通過將該隨機數(shù)r的逆模����、該乘積點R的坐標分量以及該私鑰k組合計算簽名分量��;以 及 傳輸該數(shù)字簽名以及包括該乘積點R的該坐標分量與所計算的簽名分量的數(shù)字簽名�����; 其中��,該加倍步驟是使用由以下內(nèi)容組成的原子式執(zhí)行的: 第一加法����; 然后第一乘法,其后是第二乘法���; 然后第二加法��; 然后第二乘法�,其后是第四乘法�; 然后第二加法; 然后第五乘法; 然后第四加法��; 然后第六乘法�,其后是第七乘法,其后是第八乘法��; 然后第五加法�; 然后第九乘法; 然后第六加法����,其后是第七加法; 然后第十乘法�����;以及 然后第八加法�; 其中,該相加步驟是使用由以下內(nèi)容組成的原子式執(zhí)行的: 第一加法��; 然后第一乘法�����,其后是第二乘法�; 然后第二加法�����; 然后第二乘法,其后是第四乘法�; 然后第二加法; 然后第五乘法�����; 然后第四加法�����; 然后第六乘法���,其后是第七乘法���,其后是第八乘法; 然后第五加法�����; 然后第九乘法���; 然后第六加法����,其后是第七加法; 然后第十乘法�;以及 然后第八加法。10. 如權(quán)利要求9所述的方法����,其中,該第二和第五乘法是平方操作����。11. 如權(quán)利要求10所述的方法,其中�����,該第二和第五至第八加法包括減法操作��。12. 如權(quán)利要求9所述的方法�,其中,該第二和第五至第八加法包括減法操作����。13. 如權(quán)利要求9所述的方法�,其中�����,該數(shù)字邏輯電路包括處理器和寄存器組�����; 其中����,該初始化步驟包括: 將與該生成器點相對應的投影坐標加載到該寄存器組的第一����、第二和第三寄存器位置 中; 其中��,包括該加倍和相加步驟的該加法和乘法操作各自對包括存儲在該寄存器組中的 內(nèi)容的操作數(shù)進行操作����; 其中,該加倍和相加步驟的結(jié)果存儲在該第一���、第二和第三寄存器位置中���; 并且其中����,該操作步驟是針對該隨機數(shù)r的第二最高有效位位置至最低有效位位置中 的每一個執(zhí)行的�。14. 如權(quán)利要求9所述的方法,進一步包括: 將該生成器點的X和y坐標存儲在存儲器位置中����; 其中,該加倍步驟將該和加倍���; 并且其中���,該相加步驟的該第一操作數(shù)與該和相對應并且該相加步驟的該第二操作數(shù) 與該生成器點的X和y坐標相對應。15. 如權(quán)利要求9所述的方法��,其中����,該生成器點表示循環(huán)群中的點,該循環(huán)群是橢圓 曲線在該有限域上點的子集�,該橢圓曲線由短維爾斯特拉斯形式的方程表示。16. 如權(quán)利要求9所述的方法���,其中��,該數(shù)字邏輯電路所執(zhí)行的該多個操作進一步包括 使用由以下內(nèi)容組成的原子式減去該第一和第二操作數(shù): 第一加法���; 然后第一乘法��,其后是第二乘法�����; 然后第二加法�; 然后第二乘法�,其后是第四乘法����; 然后第二加法; 然后第五乘法�����; 然后第四加法����; 然后第六乘法��,其后是第七乘法����,其后是第八乘法���; 然后第五加法��; 然后第九乘法�����; 然后第六加法�,其后是第七加法��; 然后第十乘法�;以及 然后第八加法。
【專利摘要】本發(fā)明涉及用于使用橢圓曲線密碼學的數(shù)字認證的加倍���、加法和減法操作的齊次原子式�。一種在作為對邊帶通道攻擊的應對措施的橢圓曲線密碼學(ECC)認證方案中執(zhí)行有限域加法(70)和加倍(68)操作的方法����。加法(70)和加倍(68)操作是使用涉及相同的操作類型序列和數(shù)量的原子式執(zhí)行的�,從而使得執(zhí)行這些操作的電路(N1)的噪聲消耗和電磁發(fā)射輪廓完全相同�����,而不管操作如何��。還公開了使用這種原子式的減法操作�。
【IPC分類】H04L9/30
【公開號】CN105450398
【申請?zhí)枴緾N201510611781
【發(fā)明人】E·T·彼得斯
【申請人】德克薩斯儀器股份有限公司
【公開日】2016年3月30日
【申請日】2015年9月23日
【公告號】US20160087802