本公開的各實施例涉及一種在處理設備中執行加密操作的方法。使用密鑰執行在由給定數目的字形成的第一操作數與的第二操作數之間的迭代操作。對于密鑰中的每個位，迭代操作包括：根據位的值將第一操作集合和第二操作集合中的一個操作集合施加到第一操作數和第二操作數，并且基于控制位值有條件地交換第一操作數和第二操作數的字，控制位值通過將邏輯異或函數施加到隨機位而被獲取。

技術領域

本描述涉及用于在處理設備中對數據執行加密操作的技術。

可以應用各種實施例，諸如使用加密或數字簽名方案的智能卡、 微控制器、機頂盒等。

背景技術

加密協議是抽象的或具體的協議，它們執行與安全相關的功能并 且應用加密方法，通常作為加密原語的序列。

在使用加密算法的設備(例如，實現加密算法(諸如，ECC或 RSA)的微控制器)的側信道攻擊(Side Channel Attacks)的防護領 域中，已知豎直側信道攻擊(SCA)，其中攻擊者可以使用設備對任 意數據(輸入)進行加密，以獲取由加密算法使用的加密密鑰。攻擊者在已知輸入數據的加密期間記錄側信道信息，該側信道由功耗、電 磁輻射或其它類似的量表示。

側信道與由設備處理的數據鏈接，這些數據是加密密鑰并且攻擊 者的數據作為輸入，因此表示已知數據。

攻擊者利用不同的已知輸入數據和恒定的未知密鑰記錄許多“蹤 跡(traces)”，對一部分加密密鑰的值進行假設，并且使用統計方 法使用蹤跡來驗證這種假設。為了施加這種統計方法，攻擊者需要使 用許多蹤跡，每個蹤跡具有不同的已知輸入數據和恒定密鑰。

然而，在非對稱加密術中，盡管在計算期間使用的數據發生了變 化，但是還是有數學方法可以為每次執行修改密鑰，使得操作結果不 會發生變化。因此，由于密鑰不再是恒定的，攻擊者無法收集許多蹤 跡。

因此，當攻擊者需要在單個蹤跡上工作時，攻擊者會部署所謂的 水平攻擊(Horizontal Attack)。

在要保護的設備(例如，處理單元或微控制器)中，通常有：存 儲器，存儲輸入/輸出數據和中間值；控制器，從RAM存儲器讀取字 并且將其存儲到寄存器中，然后“調用(call)”寄存器上的乘法器 (例如，對存儲在寄存器中的操作數執行乘法操作的乘法器單元)。 乘法器將操作數相乘并且將結果寫入RAM存儲器。在這種情況下， 超過95％的計算是在乘法器內完成的。

為此，在圖1中示出了處理單元或設備10，處理單元或設備10 包括控制器單元或電路11，控制器單元或電路11從存儲器13(例如， RAM存儲器)讀取圖1中以a和b表示的字，并且將它們存儲到設 置在控制器單元11中的寄存器中，然后對寄存器的內容(字a、b) 調用乘法器單元12。乘法器單元12對存儲在控制器11的寄存器中的 操作數a、b執行乘法操作。乘法器12將操作數相乘，例如執行模n 乘法R＝a·b mod n，并且將結果R寫入RAM存儲器13。

參考常規處理設備架構，控制器單元11和乘法器12可以對應于 控制器單元和處理器單元(諸如CPU)的ALU，而存儲器13可以相 對于處理設備10在外部。應當注意，在變型實施例中，這種元件11、 12、13可以是實現的硬件或軟件或其各種組合。

在非對稱加密術中，可以使用例如涉及實現模冪的循環的RSA (里夫斯特-沙米爾-阿德曼(Rivest-Shamir-Adleman))加密術，或 涉及實現橢圓曲線標量乘法的循環的ECC(橢圓曲線加密術(Elliptic Curve Cryptography))。

在ECC加密術中，使用了主循環迭代地實現給定操作數P與標 量k(密鑰)的標量乘法。首先，在這種循環之外，將第一操作數Q₀初始化為無窮大點，并且將第二操作數Q₁設置為給定的操作數P。