32位DeepCover安全微控制器（MAXQ1050、MAXQ1850和MAXQ1103）為執(zhí)行模塊化運算提供硬件支持。這是使用稱為模塊化算術(shù)加速器 （MAA） 的引擎完成的。本應(yīng)用筆記給出了各種模量尺寸、關(guān)鍵類型和優(yōu)化級別的典型執(zhí)行時間。

介紹

模冪用于幾種加密算法，特別是RSA公鑰算法和橢圓曲線數(shù)字簽名算法（ECDSA）。它還用于發(fā)現(xiàn)素數(shù)和查找模逆。本應(yīng)用筆記描述了什么是模冪，概述了MAA，并列出了執(zhí)行各種大小冪的典型時間。

MAXQ30架構(gòu)采用精簡指令集計算機（RISC），所有指令長度為16位，在一個周期內(nèi)執(zhí)行。32 位算術(shù)和邏輯單元 （ALU） 在連接到 32 位總線時與 32 位寄存器和值一起工作。

模冪

模冪由以下等式描述：

結(jié)果 = 基數(shù)指數(shù)模量。

例如：9 = 72 mod 10。

在此示例中，9 是結(jié)果，7 是底數(shù)，2 是指數(shù)，10 是模數(shù)。在這種情況下，由于模數(shù) 10 在二進制中為 4 位長，因此大小為 4。

MAA 執(zhí)行模加法、減法、乘法、平方、平方，然后乘法和模冪。所有這些操作都可以以最大 2048 位長度的模數(shù)完成。

MAA 從加密時鐘運行。該時鐘可能來自系統(tǒng)時鐘，該系統(tǒng)時鐘由外部晶體頻率決定，或者從加密環(huán)運行。DeepCover安全微控制器（MAXQ1050和MAXQ1850）的內(nèi)部加密環(huán)工作頻率為55MHz至75MHz，典型速度為65MHz。DeepCover安全微控制器（MAXQ1103）的內(nèi)部加密環(huán)可以以45MHz至65MHz的速度運行，典型速度為55MHz。?

MAXQ1050和MAXQ1850上的MAA相同，因此從加密環(huán)運行時的時序相同。這兩部分的MAA使用32位×16位乘法器和32位數(shù)據(jù)總線。在MAXQ1103上實現(xiàn)MAA具有64位×32位乘法器和64位數(shù)據(jù)總線。MAXQ1103上的MAA執(zhí)行速度更快，但代價是使用更多的硅面積。

在啟用優(yōu)化的情況下運行時，簡單功耗分析 （SPA） 和差分功耗分析 （DPA） 等功耗分析攻擊可能能夠提取指數(shù)信息。建議始終使用私鑰進行非優(yōu)化計算。

表 1 至 3 中的數(shù)據(jù)是典型的運行時間。每個條目是 400 次計算的平均時間，使用基數(shù)、模數(shù)和指數(shù)的統(tǒng)一隨機數(shù)，最高有效位設(shè)置為模數(shù)。在公鑰計算的情況下，使用 0x10001 的十六進制值而不是隨機數(shù)。這是 RSA 中公共指數(shù)的典型值。計算的時間是從操作開始到完成。不包括將值加載到內(nèi)存中進行計算的時間。

通過采用中國余數(shù)定理（CRT），可以實現(xiàn)模指數(shù)運算的顯著速度改進。使用 CRT 需要兩個較小的模塊化冪運算，而不是一個大的運算。不是對大模量執(zhí)行模塊化指數(shù)計算，而是對模量的兩個因子進行模塊化指數(shù)計算。例如，在 RSA 中，模數(shù)是兩個素數(shù) p 和 q 的乘積。如果p和q都是1024位，使用MAXQ1103對這些位進行兩次模指數(shù)運算大約需要165ms。如果沒有 CRT，則需要 2048 位模塊化指數(shù)運算，大約需要 557 毫秒。CRT算法需要額外的計算，這將增加總時間，但預(yù)計速度會快兩倍以上。

表1左側(cè)的數(shù)據(jù)最有趣。這些是在非優(yōu)化模式下從加密環(huán)運行時執(zhí)行模塊化冪運算的典型經(jīng)過時間。使用優(yōu)化和公鑰的典型運行時間位于右側(cè)兩列中。

表 2 列出了在優(yōu)化和非優(yōu)化模式下對私鑰數(shù)據(jù)執(zhí)行模塊化冪的典型時間。表 3 列出了在優(yōu)化和非優(yōu)化模式下使用公鑰對這三個部分執(zhí)行模冪的典型時間。