可抵挡错误攻击法攻击的公开金匙密码系统之设计方法及硬体结构

摘要

本发明乃揭示一种可抵挡错误攻法攻击的公开金匙密码系统，错误攻击法系可以利用在执行加密码／解密码或者签章时所产生错误而将不受干扰的设备内所储存之秘密资讯萃取出来。本发明系以编码理论为基础，提出能够抵挡错误攻击法之新颖系统，此系统具有非常高的机率可以侦测到执行模数乘法及模数指数运算时所产生之错误。本发明之方法可以应用到任何一个基本运算为模数乘法或模数指数运算的密码系统，以抵挡记忆体错误及计算性错误之错误攻击法，而仅需非常低的计算负担。

主权项

1.一种可抵挡错误攻击法攻击的公开公匙密码系统之设计方法,其包含步骤:藉着应用一数学架构f(a)=aRR*(mod NR),将一环ZN中之讯息映射成为一扩展环ZNR中之编码字;藉着执行一抵挡错误乘法,以检查该编码字;藉着执行一抵挡错误指数运算,以检查该编码字;及将该扩展场ZNR中之最后结果映射成为该环ZN中之一讯息。2.如申请专利范围第1项所述之方法,其中该执行抵挡错误指数运算之步骤系执行一抵挡错误模指数计算演算法,其包含步骤:(1)输入变数M、d、N与R,其中d系一二元表示式,诸如d1-1d1-2...d1d0,且d1-1系为1;(2)界定变数i、S、P与j如下列式子:i=RR*S=iM(mod NR)P=S,及J=1-2(3)界定变数P如下列式子:P=P2(mod NR)(4)若dj=1则判定P是否可由R所整除,否则判定是否j=0;(5)若P系不可由R所整除则输出一错误讯息,否则界定该变数P如下列式子:P=PS(mod NR)(6)若j=0则判定P是否可由R所整除,否则将该变数j递减1,且重覆步骤(3)与(5);(7)若P系不可由R所整除则输出一错误讯息,否则计算一变数C如下列式子:C=P(mod N);且(8)输出该变数C。3.如申请专利范围第2项所述之方法,其中该抵挡错误模指数计算运算法系界定如后:4.如申请专利范围第1项所述之方法,其中该执行抵挡错误指数运算之步骤系执行一抵挡错误中国余数定理(CRT-based)指数计算运算法,其包含步骤:(1)输入变数M、d、N、p、q与R,其中d系一二元表示式,诸如d1-1d1-2...d1d0,且d1-1系为1;(2)计算变数dp与dq如下列式子:dp=d(mod p),及dq=d(mod q);(3)计算变数x1.y1.x2与y2如下列式子:x1=(RRp*M)dp(mod pR),y1=x1Rp-1(mod pR),x2=(RRq*M)d(mod qR),及y2=x2Rq-1(mod qR),(4)计算一变数p,藉着广义快速中国余数定理计算演算法如后:P=crt(pqR,pR,qR,y1,y2);(5)若P系不为R所整除则输出一错误讯息,否则计算一变数C如下列式子:C=P(mod NR);且(6)输出该变数C。5.如申请专利范围第4项所述之方法,其中该抵挡错误中国余数定理指数计算演算法系界定如后:6.如申请专利范围第1项所述之方法,其中该检查编码字之步骤系于该扩展环作执行。7.一种用以实施可抵挡错误攻击法攻击的公开金匙密码系统之设计方法的硬体结构,其包含:复数个编码器,用以将输入讯息编码成为编码字;复数个错误检查元件,用以个别地执行错误检查动作,以检查由个别编码器所产生之个别编码字;一乘法器,用以于来自该等错误检查元件之个别检查后的编码字上执行一乘法动作;一错误检查元件,用以执行一错误检查动作,以检查该乘法结果;及一解码器,用以解码来自该乘法器之乘法结果。8.如申请专利范围第7项所述之硬体结构,其中该等输入讯息系于正常环中。9.如申请专利范围第7项所述之硬体结构,其中该等字组系于扩展环中。10.如申请专利范围第7项所述之硬体结构,其中该错误检查动作系在每当完成一基本运算之后所执行,以检查该错误检查结果是否保持于该扩展环中。11.如申请专利范围第10项所述之硬体结构,其中该基本运算实质上系一模数加法。12.如申请专利范围第10项所述之硬体结构,其中该基本运算实质上系一模数乘法。13.如申请专利范围第10项所述之硬体结构,其中该基本运算实质上系一模数指数运算。14.如申请专利范围第7项所述之硬体结构,其中该解码结果系于正常环中。15.如申请专利范围第10项所述之硬体结构,其中该错误检查动作系藉着一抵挡错误模指数计算演算法所执行,该演算法包含步骤:(1)输入变数M、d、N与R,其中d系一二元表示式,诸如d1-1d1-2...d1d0,且d1-1系为1;(2)界定变数i、S、P与j如下列式子:i=RR*,S=iM(mod NR),P=S,及J=1-2;(3)界定变数P如下列式子:P=P2(mod NR);(4)若dj=1则判定P是否可由R所整除,否则判定是否j=0;(5)若P系不为R所整除则输出一错误讯息,否则界定该变数P如下列式子:P=PS(mod NR);(6)若j=0则判定P是否可由R所整除,否则将该变数j递减1,且重覆步骤(3)至(5);(7)若P系不为R所整除则输出一错误讯息,否则计算一变数C如下列式子:C=P(mod N);且(8)输出该变数C。16.如申请专利范围第15项所述之硬体结构,其中该抵挡错误模指数计算演算法系界定如后:17.如申请专利范围第10项所述之硬体结构,其中该错误检查动作系藉着一抵挡错误中国余数定理指数计算运算法所执行,该运算法包含步骤:(1)输入变数M、d、N、p、q与R,其中d系一二元表示式,诸如d1-1d1-2...d1d0,且d1-1系为1;(2)计算变数dp与dq如下列式子:dp=d(mod p),及dq=d(mod q);(3)计算变数x1.y1.x2与y2如下列式子:x1=(RRp*M)dp(mod pR),y1=x1Rp-1(mod pR),x2=(RRq*M)d(mod qR),及y2=x2Rq-1(mod qR),(4)计算一变数P,藉着广义快速中国余数定理计算演算法如后:P=crt(pqR,pR,qR,y1,y2);(5)若P系不为R所整除则输出一错误讯息,否则计算一变数C如下列式子:C=P(mod NR);且(6)输出该变数C。18.如申请专利范围第17项所述之硬体结构,其中该抵挡错误中国余数定理指数计算演算法系界定如后:图式简单说明:第一图显示一方块图,其说明一种实施根据本发明之可抵挡错误攻击法攻击的公开金匙密码系统之设计方法的硬体结构。