本發明屬于SM2密碼算法技術領域，具體涉及一種SM2算法的掩碼運算方法及裝置，掩碼運算方法是通過預置點和隨機數的方式將進行[k]G運算中的隨機數k進行掩蓋，SM2算法運算過程中[k]G計算具體包括：在芯片內部預置點P0＝[n?r]G和第一隨機數r；P0為有限域橢圓曲線上的點，n為橢圓曲線的階數，G為橢圓曲線上的基點；在芯片內部生成第二隨機數d，計算生成點P1＝[d]G；通過第一隨機數r和第二隨機數d計算生成第三隨機數k＝d?r；計算生成點P2＝[k]G＝[d?r]G＝[d]G?[r]G＝[d]G+[n?r]G＝P0+P1，本發明掩碼運算裝置包括預置模塊、隨機數生成模塊、隨機數運算模塊和點乘運算模塊、點加運算模塊；能增強真實參數信息k和功耗分析獲取信息的破解難度，有效應對功耗分析攻擊。

技術領域

本發明屬于SM2密碼算法技術領域，具體涉及一種安全性高、計算量小、處理速度快的SM2算法的掩碼運算方法及裝置。

背景技術

隨著密碼技術和計算技術的不斷發展，目前常用的1024位公鑰密碼算法RSA面臨嚴重威脅，由于SM2算法安全性高、計算量小、處理速度快等優勢，我們國家密碼管理部門經過研究，決定采用SM2橢圓曲線密碼算法替換RSA算法。相對于RSA算法，在達到相同的安全強度前提下，SM2算法所需要的密鑰長度更短，硬件實現更為簡單。

SM2密碼算法在理論上是十分安全的，但是在實現過程中要考慮到近些年新興起的密碼分析手段，在眾多攻擊方法中，利用時間、功耗等旁路信息獲取密碼設備的相關密鑰信息的旁路攻擊方式對密碼芯片的安全造成了嚴重的威脅，其中功耗分析攻擊最具威脅性和最有效的攻擊方式，特別是對于安全芯片等硬件加密設備中加密算法的實現，因為功耗在密碼設備加密過程中是主要的旁路泄露信息。對于不同的操作，密碼設備會出現不同的能量消耗，從而攻擊者可以從中判斷出其中以什么樣的順序進行了什么樣的操作。DPA是一種對密碼芯片泄露的功耗信息進行統計分析從而恢復出密鑰的攻擊方法。因此如何設計一種SM2算法的掩碼運算方法，能夠將SM2算法過程中的真實參數信息進行掩碼，增強真實參數信息和功耗分析獲取信息的破解難度，有效應對功耗分析攻擊是目前急需解決的問題。

發明內容

本發明的目的在于克服現有技術中存在的不足而提供一種采用預置點和隨機數的方式能夠將SM2算法過程中的真實參數信息進行掩碼，增強真實參數信息和功耗分析獲取信息的破解難度，有效應對功耗分析攻擊的SM2算法的掩碼運算方法及裝置。

本發明第一方面提出一種SM2算法的掩碼運算方法，所述掩碼運算方法是通過預置點和隨機數的方式將進行[k]G運算中的隨機數k進行掩蓋，SM2算法運算過程中[k]G計算具體包括：

在芯片內部預置點P0＝[n-r]G和第一隨機數r；其中，P0為有限域橢圓曲線上的點，n為橢圓曲線的階數，G為橢圓曲線上的基點；

在芯片內部生成第二隨機數d，計算生成點P1＝[d]G；

通過第一隨機數r和第二隨機數d計算生成第三隨機數k＝d-r；

計算生成點P2＝[k]G＝[d-r]G＝[d]G-[r]G＝[d]G+[n-r]G＝P0+P1。

進一步的，在計算生成點P2之后還包括坐標系的轉換，具體包括：

將點P0和P1從仿射坐標系轉換為雅可比坐標系下，P0＝(x₀，y₀，z₀)，P1＝(x₁，y₁，z₁)；

計算點P2＝P0+P1＝(x₀，y₀，z₀)+(x₁，y₁，z₁)＝(x₂，y₂，z₂)，再將點P2轉換至仿射坐標系下P2＝(x，y)。