提供一種用于在加密運算的模冪運算函數中實現安全性的方法。當調用所述模冪運算函數時，獲取密鑰作為參數。所述密鑰可以是加密密鑰對的公用密鑰或私用密鑰。在所述模冪運算函數內，所述方法查明所述密鑰的長度是否大于L位，其中L為正整數。如果所述密鑰的長度大于L位，那么實施對付攻擊的對策。所述對策可包含阻止或防止通過分析而查明關于所述密鑰的信息的一或多種技術(例如，硬件和/或軟件技術)。可隨后使用所述密鑰執行一或多個冪運算。可以使用相同的模冪運算函數來執行加密和解密運算，但是是利用不同的密鑰。

相關申請的交叉引用

本申請案主張2016年7月22日在美國專利商標局建議申請的第15/217,760號美國非臨時專利申請案的優先權和權益，所述非臨時專利申請案的整個內容以引用的方式并入本文中。

技術領域

一或多個特征涉及機密性保護、認證、加密密鑰產生，且更具體地說，涉及針對試圖曝露加密密鑰的旁道攻擊或可用于曝露加密密鑰的信息的對策。

背景技術

公用密鑰密碼學，或非對稱密碼術，是一種加密系統，其使用兩個類別的密鑰：可能廣泛地分發的公共密鑰，而私用密鑰僅對擁有者已知。在公用密鑰加密系統中，消息可使用公共密鑰(例如，分配給任何人)加密，但這種消息僅可使用對應的私用密鑰解密。

許多這種加密系統，例如維斯特-沙米爾-阿德勒曼(Rivest-Shamir-Adleman；RSA)和迪菲－赫爾曼密鑰協議算法，使用模冪運算作為基本運算。在模冪運算中，對模數執行一種冪運算。在一個實例中，模冪運算計算上升到e次冪(指數)的整數b(底數)，b^e，除以正整數m(模數)時的余數。一般來說，加密系統采用(a)公用指數(亦稱為公用密鑰)，(b)私用指數(亦稱為私用密鑰)，和(c)共模(與私用和公共密鑰一起使用)。這些密碼中使用的私用指數(私用密鑰)通常對于例如功率分析和時點分析的旁道分析是脆弱的。旁道攻擊允許攻擊者通過測量除算法結果的其它信息，例如功率消耗、計算時間或裝置的射頻發射來恢復關于密碼操作輸入的信息。這種旁道分析試圖曝露例如私用指數(私用密鑰)，借此允許攻擊者接入使用對應公用密鑰加密的內容。

挫敗簡單功率分析(Simple Power Analysis；SPA)的一個典型方法是蒙哥馬利階梯。為挫敗差分功率分析(Differential Power Analysis；DPA)，通常需要盲發來遮蓋功率信息泄露。全部這些對策以一種攻擊者難以利用的方式減慢了冪運算性能。然而，模冪運算函數的整體速度受到影響(即，操作耗費更長時間)。旁道攻擊的近期進展觸發了在需要時盲發底數和/或模數作為額外保護的需要。

另一方面密碼系統中的公用指數不需要對策。因此，密碼系統通常作出特殊布置，來僅在尋求私用指數時添加對策。逐個改變每個私用密鑰的密碼用法成為逐個處理的工作。

許多安全性軟件模塊和/或庫對于公用和私用密碼(加密/解密)使用相同的基本模冪運算函數調用。為區別公共密鑰或密碼與私用密鑰或密碼，在一個實例中，加密庫可能使用密碼內容中的標簽以指示對策需求(例如，用于私用密碼的對策)。在模冪運算函數調用之前，調用另一個功能，以接通或斷開對策標簽(例如，對于私用密碼接通，對于公用密碼斷開)。標簽通常需要在再次調用模冪運算函數調用之前被復位。因此，調用模冪運算函數的人需要了解這種標簽，以確保實現對策，這一點是不能夠始終假設的。

使用單一模冪運算函數的另一種簡單但昂貴的方法是在執行或調用模冪運算函數時，始終允許低層應用軟件編程接口(application programming interface；API)中的對策。然而，對公用密鑰使用的懲罰是減速而沒有任何安全性增益。由于公用密鑰假定為由包含攻擊者的每個人所知，因此在產生公用指數或公用密鑰允許對策什么都無法獲得。

因此，當使用單一模冪運算函數時，需要一種方法來保護私用密鑰產生和/或用法，但避免公用密鑰產生和/或用法方面的性能損失。

發明內容