KR19980083641A - Fast Multiplication Method Using Common Multiply Modular Multiplication - Google Patents
Fast Multiplication Method Using Common Multiply Modular Multiplication Download PDFInfo
- Publication number
- KR19980083641A KR19980083641A KR1019970019018A KR19970019018A KR19980083641A KR 19980083641 A KR19980083641 A KR 19980083641A KR 1019970019018 A KR1019970019018 A KR 1019970019018A KR 19970019018 A KR19970019018 A KR 19970019018A KR 19980083641 A KR19980083641 A KR 19980083641A
- Authority
- KR
- South Korea
- Prior art keywords
- mod
- multiplication
- modular
- power
- sxs
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/727—Modulo N arithmetic, with N being either (2**n)-1,2**n or (2**n)+1, e.g. mod 3, mod 4 or mod 5
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/723—Modular exponentiation
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Complex Calculations (AREA)
Abstract
모듈라 곱셈시 일반적인 모듈러스(modulus)인 경우에는 몽고메리(Montgomery) 알고리듬이 속도면에서 가장 효과적이지만 모듈러스가 축소기(diminished radix;DR) 형태일 경우에는 DR 방법이 몽고메리 알고리듬보다 고속이다. 본 발명에서는 동일한 피승수를 가지는 두번의 모듈라 곱셈시 공통 계산 부분이 생기도록 함으로써 멱승에 적용할 경우 계산속도를 개선하고 있다. 나눗셈을 수행하지 않기 위하여 모듈러스 N의 상위자리 중 일부, 예를 들면 2-4자리가 모두 1이 되도록 하여, N을 DR 형태의 모듈러스를 사용한다. 또한, 본 발명은 이진 멱승방식, 윈도우 멱승방식, 지수 폴딩 기법을 사용한 멱승 방식에 적용되어 고속이면서 사용 메모리가 적게 되므로 IC카드와 같은 저메모리 환경에 효과적이다.In the case of modulus in general, the Montgomery algorithm is most effective in terms of speed, but in the case of modulated radix (DR), the DR method is faster than the Montgomery algorithm. The present invention improves the calculation speed when applied to powers by generating a common calculation part in two modular multiplications having the same multiplier. In order not to perform division, some of the upper digits of modulus N, for example, 2 to 4 digits are all set to 1, so that N is a DR type modulus. In addition, the present invention is applied to a binary power method, a window power method, and a power method using an exponential folding method, which is effective in a low memory environment such as an IC card since it uses a high speed and uses less memory.
Description
본 발명은 공통 피승수 곱셈을 이용한 고속 멱승 방법에 관한 것으로, 보다 상세하게는 두 번의 모듈라 곱셈시 공통계산부분이 생기도록 하여 공통부분을 한번만 계산할 수 있게 함으로써 멱승 계산속도를 개선하고, 메모리용량을 줄일 수 있는 고속 멱승 방법에 관한 것이다.The present invention relates to a fast power multiplication method using a common multiplicand multiplication, and more particularly, a common calculation part is generated when two modular multiplications are performed so that the common part can be calculated only once, thereby improving the power calculation speed and reducing memory capacity It relates to a high speed ramp method.
통상 소인수분해 문제(prime factorization problem)나 이산대수 문제(discrete logarithm problem)에 근거한 공개 키 암호시스템에서는 유한체 GF(p) 혹은 유한환 ZN상에서 큰 수에 대한 모듈라 멱승 연산이 필요하다. 그러나, 멱승 연산은 시간이 많이 소요되므로 공개 키 암호 시스템의 설계시 단점이 될 수 있다. 그러므로 공개 키 암호 시스템에서 멱승 연산 시간을 줄이는 연구가 필요하다.In general, public key cryptosystems based on prime factorization problems or discrete logarithm problems require a modulus multiplication on large numbers on finite field GF (p) or finite ring Z N. However, the power operation is time consuming and can be a disadvantage when designing a public key cryptosystem. Therefore, research is needed to reduce the power calculation time in public key cryptosystems.
일반적으로 모듈라 멱승은 AEmod N으로 표시할 수 있으며 A와 N은 안전도에 따라 가변적이나 512비트 이상의 큰 정수를 사용한다. 지수 E는 RSA 시스템(A method for obtaining digital signatures and public key crytosystems, Comm. of ACM, Vol. 21, No. 2, pp.120-126, February 1978, by R.Rivest, A.Shamir and L.Adleman)이나 ElGamal 시스템(A public key crytosystem and a signature scheme based on discrete logarithms, IEEE Trans. Inform. Theory, Vol. 31, No. 4, pp.469-472, July 1985, by T.ElGamal)에서는 512비트 이상, 이산 대수 문제에 근거한 디지털 서명 시스템에서는 140비트 이상을 사용한다. 멱승 연산은 모듈라 곱셈의 반복으로 이루어져 있으므로 고속 멱승 연산을 위해서는 모듈라 곱셈 횟수가 적은 멱승 연산방식을 선택하거나 모듈라 곱셈의 고속화가 필요하다. 멱승 연산방식으로는 이진 방식, m-ary 방식, 윈도우방식 등이 대표적이다. 모듈라 곱셈은 곱셈과 모듈라 감소 연산으로 나눌 수 있으며 모듈라 감소 방법으로는 고전적인 알고리듬, 바레트(Barrett )알고리듬 그리고 몽고메리 알고리듬등이 있다.In general, the modulus power can be expressed as A E mod N, where A and N are variable depending on the degree of safety, but use large integers greater than 512 bits. Index E is a method for obtaining digital signatures and public key crytosystems, Comm. Of ACM, Vol. 21, No. 2, pp. 120-126, February 1978, by R. R ivest, A. S hamir and L. A dleman or ElGamal system (A public key crytosystem and a signature scheme based on discrete logarithms, IEEE Trans.Inform.Theory, Vol. 31, No. 4, pp.469-472, July 1985, by T. ElGamal ) Uses more than 512 bits, and more than 140 bits for digital signature systems based on discrete algebra problems. Since the power multiplication consists of the repetition of modular multiplication, the power multiplication operation requires the selection of a power multiplication method with a small number of modular multiplications or the speed of the modular multiplication. Binary operations are binary, m-ary, and window methods. Modular multiplication can be divided into multiplication and modular reduction operations. Modular reduction methods include classical algorithms, Barrett's algorithms and Montgomery's algorithms.
상술한 알고리듬들은 멱승연산중 동일한 피승수에 대해서 두 번의 모듈라곱셈을 독립적으로 수행하므로, 소요되는 메모리의 양이 많을 뿐만 아니라 멱승연산시간이 길어지는 문제점이 있었다.Since the above algorithms independently perform two modular multiplications for the same multiplicand during power multiplication, there is a problem that not only the amount of memory is required but also the power multiplication time is long.
본 발명이 이루고자 하는 기술적 과제는 모듈라 곱셈연산시 동일한 피승수에 대해서 공통 계산 부분을 한번만 계산하는 고속 모듈라 멱승 방법을 제공하는 것이다.An object of the present invention is to provide a high-speed modular power multiplication method for calculating a common calculation portion only once for the same multiplicand during modular multiplication.
도 1a는 공통 피승수 모듈라 곱셈방법을 설명하기 위한 프로그램을 도시한 도면이다.1A is a diagram illustrating a program for explaining a common multiplier modular multiplication method.
도 1b는 도 1a의 알고리듬을 플로우챠트형태로 도시한 도면이다.FIG. 1B is a flowchart illustrating the algorithm of FIG. 1A.
도 2는 축소기(DR) 모듈러스를 사용한 모듈라 감소 프로그램을 도시한 도면이다.FIG. 2 is a diagram illustrating a modular reduction program using a reducer (DR) modulus.
도 3a는 라이트-투-레프트 이진 멱승방식을 설명하기 위한 프로그램을 도시한 도면이다.3A is a diagram illustrating a program for explaining a light-to-left binary power system.
도 3b는 도 3a의 알고리듬을 플로우챠트형태로 도시한 도면이다.FIG. 3B is a flowchart illustrating the algorithm of FIG. 3A.
도 4는 라이트-투-레프트 윈도우 멱승방식을 설명하기 위한 프로그램을 도시한 도면이다.4 is a diagram illustrating a program for explaining a light-to-left window power-up method.
도 5는 지수 폴딩기법을 사용한 멱승방식을 설명하기 위한 프로그램을 도시한 도면이다.FIG. 5 is a diagram illustrating a program for explaining a power-supply method using an exponential folding technique.
도 6은 본 발명에 의한 고속 멱승방법이 적용되는 하드웨어구성을 개략적으로 도시한 도면이다.6 is a diagram schematically showing a hardware configuration to which the high-speed power transfer method according to the present invention is applied.
도면의 주요 부분에 대한 부호의 설명Explanation of symbols for the main parts of the drawings
70...PC, 워크스테이션, 또는 IC카드,72...입/출력 장치70 PC, workstation, or IC card, 72 I / O devices
74...CPU,76...RAM74 ... CPU, 76 ... RAM
78...ROM, 또는 EEPROM78 ... ROM, or EEPROM
본 발명은 상기 기술적 과제를 달성하기 위하여, 주어진 수 A, E, N에 대해서, 수 C=AEmod N의 모듈라 멱승방법에 있어서, (a) 모듈라곱셈을 C=SxM mod N, S=SxS mod N이라 할 때, 상기 모듈라곱셈을 기수(radix) b에 대해서 다음 식으로 변형하는 단계,In order to achieve the above technical problem, the present invention provides a modular multiplication method of a number C = A E mod N for a given number A, E, N, wherein (a) modulus multiplication C = SxM mod N, S = SxS When mod N, modulating the modular multiplication with respect to radix b,
S×M mod N = S(M0b0+M1b1+··+Mn-1bn-1) mod NS × M mod N = S (M 0 b 0 + M 1 b 1 + · + M n-1 b n-1 ) mod N
= (Sb0·M0+Sb1·M1+··Sbn-1·Mn-1) mod N= (S b0M 0 + S b1M 1 + S bn- 1M n-1 ) mod N
= Tmmod N= T m mod N
S×S mod N = S(S0b0+S1b1+··+Sn-1bn-1) mod NS × S mod N = S (S 0 b 0 + S 1 b 1 + · + S n-1 b n-1 ) mod N
= (Sb0·S0+Sb1·S1+··+ Sbn-1·Sn-1) mod N= (S b0S 0 + S b1S 1 + ... + S bn-1S n-1 ) mod N
= Tsmod N (여기서, Sbi=Sbimod N (0≤i≤n-1)이며 Tm은 Sb0·M0+Sb1·M1+··Sbn-1·Mn-1이고, Ts=Sb0·S0+Sb1·S1+··+ Sbn-1·Sn-1이다.);T = s mod N (where, S bi = Sb i mod N (0≤i≤n-1) and T m is S b0 · M 0 + S b1 · M 1 + ·· S bn-1 · M n- 1, and a T s = S b0 · S 0 + S b1 · S 1 + ·· + S bn-1 · S n-1).;
(b) 멱승 방법에 따라서 소정 횟수만큼 S=SxS mod N를 독립적으로 수행하거나, C=SxM mod N, S=SxS mod N를 동시에 수행하여 주어진 수 A에 대한 모듈라 멱승을 수행하는 단계를 포함하는 모듈라 멱승방법을 제공한다.(b) independently performing S = SxS mod N a predetermined number of times or performing C = SxM mod N and S = SxS mod N simultaneously according to the power-up method to perform a modular power over a given number A. It provides a modular power way.
바람직하기로는 상기 모듈러스 N은 N=bn-N'(N'bn-δ) (여기서, N은 상위자리 중 δ자리가 모두 1인 수)를 만족하며, bn=N' mod N에 기초하여 모듈라감소를 수행함을 특징으로 한다.Preferably, the modulus N satisfies N = b n -N '(N'b n-δ ), where N is the number of all δ positions of the higher order 1, and b n = N' mod N Characterized in that it performs modular reduction on the basis of it.
바람직하기로는 이진 멱승방법인 경우에는 지수 E를, ei∈{0,1}로 표현할 때, ei=1인 경우 동일한 S에 대해서 C=SxM mod N, S=SxS mod N의 공통피승수곱셈연산을 수행하고, 이외의 경우에는 S=SxS mod N의 곱셈연산을 수행하는 것을 특징으로 한다.Preferably, for the binary power method, the index E , e i ∈ {0,1}, when e i = 1, common multiplication multiplication of C = SxM mod N and S = SxS mod N is performed on the same S, otherwise S = SxS A multiplication operation of mod N is performed.
바람직하기로는 m진 멱승방법인 경우에는 지수 E를 t개의 자리수를 갖는 m진수, ei∈{0,...,m-1}로 표현할 때, ei=0이 아닌 경우 동일한 S에 대해서 C=SxM mod N, S=SxS mod N의 공통피승수곱셈연산을 수행하고, 이외의 경우에는 S=SxS mod N곱셈연산을 수행하는 것을 특징으로 한다.Preferably, in the case of m-base power, the exponent E is an m-number with t digits. , e i ∈ {0, ..., m-1}, if e i = 0, perform common multiplication multiplication of C = SxM mod N and S = SxS mod N for the same S, Otherwise, S = SxS mod N multiplication is performed.
바람직하기로는 윈도우 멱승방식인 경우에는 지수 E를, ei∈{0,1}로 표현하여, w크기의 윈도우를 정하여 연산할 때 윈도우가 하나 발생할 때마다, 동일한 S에 대해서 C=SxM mod N, S=SxS mod N의 공통피승수곱셈연산을 수행하고, 이외의 경우에는 S=SxS mod N곱셈연산을 수행하는 것을 특징으로 한다.In the case of window power, , e i ∈ {0,1}, and the common multiplicative multiplication of C = SxM mod N and S = SxS mod N for the same S whenever a window occurs when calculating a window of size w. In other cases, S = SxS mod N multiplication is performed.
바람직하기로는 지수폴딩 멱승방법인 경우에는 지수 E를, ei∈{0,1}로 표현하여, EH은 상위반절, EL은 하위반절이라 하면 E=EH2t/2+EL이므로 EH과와 EL이 공통적으로 1인 Ecom=EHAND EL, 상위반절만 1인 EHXOR=EcomXOR EH, 하위반절만 1인 ELXOR=EcomXOR EL를 얻는 과정; Ecom, EHXOR, ELXOR이 각각 1인 경우, 동일한 S에 대해서 C=SxM mod N, S=SxS mod N의 공통피승수곱셈연산을 수행하고, 이외의 경우에는 S=SxS mod N곱셈연산을 수행하여,mod N,mod N 그리고mod N을 먼저 구하는 과정;mod N과mod N을 계산하는 과정; 및 최종적으로 AE=mod N을 계산하는 과정;을 포함하는 것을 특징으로 한다.In the case of exponential folding power, , e i ∈ {0,1}, where E H is the upper half, and E L is the lower half, E = E H 2 t / 2 + E L, so E H and E L are commonly 1 com = E H AND E L , the upper half only 1 E HXOR = E com XOR E H , the lower half only 1 E LXOR = E com XOR E L process of obtaining; When E com , E HXOR and E LXOR are 1, respectively, common multiplication multiplication of C = SxM mod N and S = SxS mod N is performed on the same S. Otherwise, S = SxS mod N multiplication is performed. By doing, mod N, mod N and find mod N first; mod N calculating mod N; And finally A E = Computing mod N; characterized in that it comprises a.
더욱 바람직하기로는 상기 멱승 방법에서는 지수를 하위비트에서 상위비트쪽으로 탐색하는 라이트-투-레프트 방식을 채용함을 특징으로 한다.More preferably, the power method employs a write-to-left method of searching for an exponent from a lower bit to an upper bit.
더욱 바람직하기로는 고정된 값들은 프로그램내부에 두어 ROM이나 EEPROM에 저장하고, 변하는 값들은 프로그램외부로부터 읽어와서 RAM에 저장한 후 프로그램 동작시 불러와서 사용함을 특징으로 한다.More preferably, fixed values are stored in a program or stored in a ROM or an EEPROM, and variable values are read from an external program, stored in a RAM, and then used in a program operation.
이하, 본 발명에 의한 공통 피승수곱셈을 이용한 고속 멱승방법의 바람직한 실시예들에 대해서 첨부된 도면을 참조하여 보다 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of a fast power multiplication method using a common multiplicative multiplication according to the present invention will be described in detail with reference to the accompanying drawings.
통상 모듈라 곱셈은 두 수의 곱셈과 그 결과에 대한 모듈라 감소로 이루어지는 데 이 두 과정을 순차적으로 수행할 수도 있고 곱셈을 하면서 모듈라 감소를 수행할 수도 있다. 모듈라 감소 방법 중 일반적인 모듈러스인 경우에 대해서는 몽고메리 알고리듬이 속도면에서 가장 효과적인 것으로 알려져 있다. 그러나 모듈러스의 상위 자리중 일부가 모두 1인 축소기(DR) 형태의 모듈러스인 경우에는 몽고메리 알고리듬보다 고속으로 모듈라 곱셈을 수행하는 방법도 있다 (이하에서는 이를 DR 모듈라 곱셈 방법이라 한다.).In general, modular multiplication consists of a multiplication of two numbers and a modular reduction of the result. These two processes may be performed sequentially or a modular reduction may be performed while multiplying. Montgomery's algorithm is known to be the most effective in terms of the modulus of modulus reduction. However, when some of the upper digits of the modulus are modulators in the form of DRs, all of which are 1, there is a method of performing modular multiplication at a higher speed than the Montgomery algorithm.
이하, 기존의 모듈라 곱셈 방법을 고찰하고 새로운 공통 피승수 모듈라 곱셈 방법을 제안한다.Hereinafter, the existing modular multiplication method is considered and a new common multiplicand modular multiplication method is proposed.
기존의 고전적인 모듈라 곱셈 방법에서는 임의의 큰수 X를 기수(radix) b로 표현하면와 같이 n자리로 나타낼 수 있다. 여기서 Xi∈{0,1,···,b-1}이다. n자리인 두 수 A와 B의 모듈라 곱셈 A×B mod N은 A와 B를 곱하는 곱셈과 이 결과에 대해 모듈라 감소 연산으로 이루어진다. n자리인 두 수의 곱셈은 n2번의 기수 b보다 작은 두 수의 곱셈으로 수행될 수 있다 (이하에서는 기수 b보다 작은 두 수의 곱셈을 작은 수 곱셈이라 한다.). 모듈라 감소는 A와 B를 곱한 결과 C에 대해 C-QN을 구하는 것이다. 여기서 Q는 C를 N으로 나눈 몫이다. 고전적인 모듈라 감소에서는 몫 Q를 구하는 것이 어려우므로 몫 추정 기법을 사용한다. 그러나 몫 추정시 나눗셈이 필요한데 이 연산은 덧셈이나 곱셈에 비해 구현이 복잡하고 계산 속도를 저하시키는 요인이 된다. 몫추정 기법을 사용하여 고전적인 모듈라 곱셈을 수행하는 데는 2n2+2.5n번의 작은 수 곱셈과 n번의 나눗셈이 필요하다.In the classical modular multiplication method, the arbitrary large number X can be expressed as radix b. N can be represented as Where X i ∈ {0,1, ..., b-1}. Modular multiplication of two numbers A and B with n digits A × B mod N consists of a multiplication of A and B and a modular reduction operation on the result. Multiplication of two numbers of n digits can be performed by multiplying two numbers smaller than n2 bases b (hereinafter, multiplication of two numbers smaller than base b is called small number multiplication). The modular reduction is to multiply A by B to find C-QN for C. Where Q is the quotient of C divided by N. In classical modular reduction, it is difficult to find the quotient Q, so we use the quotient estimation technique. However, when quoting the quotient, division is required, which is more complicated to implement and slows down computation than addition or multiplication. Performing classical modular multiplication using the quoting technique requires 2n 2 + 2.5n small number multiplications and n divisions.
한편, 기존의 몽고메리 알고리듬에서는 먼저 N보다 크고 N과 서로 소인 R을 선택하는데 일반적으로 R에 대한 모듈라 연산(mod R)이나 나눗셈(div R)을 자리수 이동으로 간단히 계산할 수 있도록 bn으로 한다. 이 알고리듬은 나눗셈을 하는 고전적인 방법과는 달리 임의의 정수 X의 R에 대한 N-잉여류 수를 XR mod N으로 정의하고 이 집합 내에서 빠른 모듈라 감소를 수행한다. 몽고메리 모듈라 감소 알고리듬은 N-잉여류수의 집합상에서 0≤T≤RN인 임의의 정수 T에 대해 TR-1mod N을 계산하는 것과 같다. 여기서 T는 N-잉여류수 상의 A와 B를 곱한 결과로 볼 수 있다. 이 알고리듬의 핵심은 T에 대해 N의 일정한 배수를 더하여 하위 n자리가 0이 되도록 하는 것이다. 하위 n자리가 0인 수를 R로 나누면 TR-1mod N가 된다.On the other hand, the existing Montgomery algorithm first selects R greater than N and the sine R of each other. In general, the modulo operation or the division (div R) of R is set to b n so that it can be easily calculated by shifting the digits. Unlike the classical method of division, this algorithm defines the number of N-surpluses for R of any integer X as XR mod N and performs fast modular reduction within this set. The Montgomery Modular Reduction algorithm is equivalent to calculating TR −1 mod N for any integer T where 0 ≦ T ≦ RN on a set of N-residues. T can be seen as the result of multiplying A and B on the N-plus water. The key to this algorithm is to add a constant multiple of N to T so that the lower n digits are zero. Dividing the number with zero lower digits by R yields TR -1 mod N.
한편, 듀스(Dusse)와 칼리스키(Kaliski)는 몽고메리 알고리듬을 개선하여 N-잉여류수 A와 B를 곱하면서 모듈라 감소를 수행하는 모듈라 곱셈 방법을 제안하였다 (이하에서는 이를 몽고메리 곱셈이라 한다.). 몽고메리 곱셈은 2n2+n번의 작은 수 곱셈이 필요하며 고전적인 방법이나 바레트(Barrett) 알고리듬에 비해 고속이면서 구현이 용이하다.On the other hand, Dusse and Kaliski have improved the Montgomery algorithm and proposed a modular multiplication method that multiplies the N-plus A and B to perform a modular reduction (hereinafter referred to as Montgomery multiplication). Montgomery multiplication requires a small number multiplication of 2n 2 + n times, which is faster and easier to implement than the classical method or Barrett's algorithm.
본 발명에 적용되는 새로운 공통 피승수 모듈라 곱셈 방법은 동일한 피승수에 대해서 공통적인 부분을 추출하여 한번만 계산하도록 하는 것이다. 다시 말하면, 멱승연산은 모듈라 곱셈의 반복으로 구현할 수 있는데 라이트-투-레프트 형태의 멱승일 경우에는 C=S×M mod N과 S=S×S mod N과 같은 연산을 연속적으로 수행하는 경우가 있다. 이때 동일한 S가 공통적으로 곱해지므로 이 연산을 공통 피승수 모듈라 곱셈(common-multiplicand modular multiplication)이라 한다. 본 발명에서 제안하고자 하는 모듈라 곱셈의 기본 개념은 이 두 연산에서 공통적인 계산 부분을 추출하여 한번만 계산한다는 것이다. 이를 위해 모듈라 곱셈 S×M mod N 및 SxS mod N을 다음과 같이 표현한다.The new common multiplier modular multiplication method applied to the present invention is to extract the common part for the same multiplicand and calculate it only once. In other words, power multiplication can be implemented as a repetition of modular multiplication. In the case of a light-to-left form of power, it is often the case that operations such as C = S × M mod N and S = S × S mod N are performed continuously. have. Since the same S is multiplied in common, this operation is called common-multiplicand modular multiplication. The basic concept of modular multiplication proposed by the present invention is to extract a common calculation part from these two operations and calculate it only once. For this purpose, the modular multiplication S × M mod N and SxS mod N are expressed as follows.
[수학식 1][Equation 1]
S×M mod N = S(M0b0+M1b1+··+Mn-1bn-1) mod NS × M mod N = S (M 0 b 0 + M 1 b 1 + · + M n-1 b n-1 ) mod N
= (Sb0M0mod N+Sb1M1mod N + ··+Sbn-1Mn-1mod N) mod N= (Sb 0 M 0 mod N + Sb 1 M 1 mod N + ... + Sb n-1 M n-1 mod N) mod N
= (Sb0·M0+Sb1·M1+··Sbn-1·Mn-1) mod N= (S b0M 0 + S b1M 1 + S bn- 1M n-1 ) mod N
= Tmmod N= T m mod N
여기서 Sbi=Sbimod N (0≤i≤n-1)이며 Tm은 Sb0·M0+Sb1·M1+··Sbn-1·Mn-1 Where S bi = Sb i mod N ( 0≤i≤n-1) and T m is S b0 · M 0 + S b1 · M 1 + ·· S bn-1 · M n-1
이다. N이 k 비트인 경우 Tm값은 최대 k+b+[log2n] 비트이고 이는 n+2 자리에 해당한다. 식 (1)과 같은 방법으로 S×S mod N을 나타내면 다음의 식(2)와 같다.to be. If N is k bits, then the T m value is at most k + b + [log 2 n] bits, which corresponds to n + 2 digits. When S × S mod N is expressed in the same manner as in Equation (1), Equation (2) is given.
[수학식 2][Equation 2]
S×S mod N = S(S0b0+S1b1+··+Sn-1bn-1) mod NS × S mod N = S (S 0 b 0 + S 1 b 1 + · + S n-1 b n-1 ) mod N
= (Sb0S0mod N+Sb1S1mod N + ··+Sbn-1Sn-1mod N) mod N= (Sb 0 S 0 mod N + Sb 1 S 1 mod N + ... + Sb n-1 S n-1 mod N) mod N
= (Sb0·S0+Sb1·S1+··+ Sbn-1·Sn-1) mod N= (S b0S 0 + S b1S 1 + ... + S bn-1S n-1 ) mod N
= Tsmod N= T s mod N
위의 식(1)과 (2)에서 Sbi(0≤i≤n-1)가 공통적으로 사용되므로 한번만 계산할 수 있다. 또한 Sb0는 S와 동일하며 나머지 Sbi는 다음과 같이 Sbi-1를 한자리 왼쪽으로 이동하여(shift) 모듈라 감소를 수행한 것과 같으며, 다음의 식 (3)으로 표시된다.Since S bi (0≤i≤n-1) is commonly used in Equations (1) and (2), it can be calculated only once. In addition, S b0 is the same as S, and the remaining S bi is equivalent to a modulus reduction performed by shifting S bi-1 to the left by one digit as shown below, and is represented by the following equation (3).
[수학식 3][Equation 3]
Sb1= Sb0b mod N, Sb2= Sb1b mod N, ··, Sbn-1= Sbn-2b mod NS b1 = S b0 b mod N, S b2 = S b1 b mod N, ..., S bn-1 = S bn-2 b mod N
결과적으로, 각 Sbi를 구할 때 고전적인 방법을 사용하면 n번의 작은 수 곱셈과 1번의 나눗셈이 필요하다. 그러나 N이 상위 몇 자리가 모두 1인 DR 형태이면 n+1자리인 수에 대한 모듈라 감소는 간단히 수행할 수 있다. 이 DR모듈라 곱셈방법은 모한(Mohan)과 애디거(Adiga)에 의해 처음 제안된 방법으로 먼저 다음 식(4)을 만족하도록 모듈러스 N을 선택한다.As a result, using the classical method to find each S bi requires n small number multiplications and 1 division. However, if N is a DR form in which the upper few digits are all 1, the modular reduction of the number of n + 1 digits can be simply performed. This DR modular multiplication method is the method first proposed by Mohan and Adiga, and first selects modulus N to satisfy the following equation (4).
[수학식 4][Equation 4]
N=bn-N'(N'bn-δ)N = b n -N '(N'b n-δ )
이러한 N을 DR 형태의 모듈러스라 하며 N은 상위자리 중 δ자리가 모두 1인 수이다. 이와 같은 N일 경우에는 합동식 bn=N' mod N이 성립한다는 것에 기초하여 쉽게 모듈라 감소를 할 수 있다. DR 방법을 사용하여 2n자리인 C에 대해 C mod N을 수행하는 과정을 나타낸 것이 도 2이다. 여기서 C[i:j]는 Cibi-j+ ···Cj를 나타낸다. 이로써, 나눗셈이 필요없이 모듈라 곱셈을 수행할 수 있다.This N is called the modulus of the DR type, and N is a number having all δ positions among the upper positions. In the case of such N, the modular reduction can be easily performed based on the consensus of b n = N 'mod N. 2 shows a process of performing C mod N for 2n digits C using the DR method. Here, C [i: j] represents C i b ij +... C j . This allows modular multiplication to be performed without the need for division.
모한과 애디거는 N'bn/2이고 N=bn-N'인 모듈러스 N을 선택하였으나 마이스터(Meister)는 RSA 시스템의 경우 위의 조건을 만족하는 모듈러스를 선택하는 것은 시스템의 안전성에 영향을 줄 수 있음을 보였다. 논문 (C.H.Lim and P.J.Lee, Sparse RSA secret keys and their generation, SAC'96, pp.117-131, 1996)에서는 이를 개선하여 δ를 2∼4로 작게 하여 안전도를 유지하면서 계산 효율을 높일 수 있도록 하였다. RSA나 DSS 등 대부분의 공개 키 암호 시스템에서는 작은 δ를 가지는 N을 선택하는 것이 어려운 문제는 아니다. DR 방법은 N의 상위 δ자리가 모두 1일 경우 한번의 모듈라 곱셈을 수행하는 데 2n2-δn번의 작은 수 곱셈이 필요하므로 몽고메리 곱셈에 비해 고속이다.Mohan and Adiger chose modulus N with N'b n / 2 and N = b n -N ', but Meister chose a modulus that satisfies the above conditions for RSA systems. Seemed to give. In the paper (CHLim and PJLee, Sparse RSA secret keys and their generation, SAC'96, pp. 117-131, 1996), we improved this to reduce the δ to 2 to 4 to increase the computational efficiency while maintaining safety. In most public key cryptosystems such as RSA and DSS, selecting N with a small δ is not a difficult problem. The DR method is faster than Montgomery multiplication because 2n 2 -δn small number multiplication is required to perform one modular multiplication if all the upper δ digits of N are 1.
한편, S×M mod N을 계산한 후 S×S mod N을 계산할 경우에는 모든 Sbi을 저장해야 한다. 그러나 Sb0, Sb0·M0, Sb0·S0, Sb1등의 순서로 두 모듈라 곱셈의 중간 값을 번갈아 가면서 계산하면 Sbi를 하나의 임시 메모리에 저장하여 사용할 수 있다. DR 형태의 N을 사용할 경우 제안하는 공통 피승수 모듈라 곱셈을 나타낸 것이 도 1a 및 도 1b이다. 도 1a 및 도 1b에서 보는 바와 같이 첫번째 for문의 첫번째 줄에서 네번째 줄까지가 Sbi를 구하는 공통 계산 부분이고 두번째 for문이 n+2자리인 Tm과 Ts에 대한 모듈라 감소 부분이다. 한번의 모듈라 곱셈시에는 도면에 도시된 왼쪽부분만 수행한다.On the other hand, when calculating S × M mod N and then S × S mod N, all S bi must be stored. However, S bi can be stored in one temporary memory by alternately calculating the intermediate values of two modular multiplications in the order S b0 , S b0 · M 0 , S b0 · S 0 , S b1, and so on. 1A and 1B illustrate the proposed common multiplier modular multiplication when using the DR type N. FIG. As shown in FIGS. 1A and 1B, the first through fourth lines of the first for statement are the common calculation parts for obtaining S bi , and the second for statement is the modular reduction part for Tm and Ts, where n + 2 digits. In one modular multiplication, only the left part shown in the figure is performed.
도 1b에 도시한 바와 같이, 주어진 S, C, N'에 대해서 단계 10에서 변수 X를 S로 정의하고, 단계 11, 12에서 각각 Tm, Ts를 연산한다. 다음, 단계 13에서 기수 b에 대한 변수 X의 값을 정의하여 상기 변수 X를 구하는 데, 최종 캐리가 입력되면 상기 변수에 N'를 더하여 출력한다. 다음, 단계 14, 15에서 상기 Tm, Ts값을 상기 X를 이용하여 계산한다. 여기서, 단계13, 14, 15를 n-1회 수행한다. 다음, 단계 16, 17에서 상기 Tm, Ts값을 계산하는 데, 최종 캐리가 입력되면 상기 변수에 N'를 더하여 출력한다. 여기서 단계 16과 17은 2회 수행한다. 단계 18, 19에서 Tm, Ts값이 각각 N이상이면 Tm=Tm-N, Ts=Ts-N을 수행하여 원하는 모듈라 곱셈을 수행한다. 여기서 한번의 모듈라 곱셈을 수행할 때에는 왼쪽에 있는 부분만 수행한다.As shown in FIG. 1B, the variable X is defined as S in step 10 for S, C, and N ', and T m and T s are calculated in steps 11 and 12, respectively. Next, in step 13, the value of the variable X for the radix b is defined to obtain the variable X. When the final carry is input, N 'is added to the variable and output. Next, the T m and T s values are calculated using the X in steps 14 and 15. Here, steps 13, 14 and 15 are performed n-1 times. Next, the T m and T s values are calculated in steps 16 and 17. When the final carry is input, N 'is added to the variable and output. Here steps 16 and 17 are performed twice. In step 18 and 19, if the values of T m and T s are each greater than or equal to N, T m = T m -N and T s = T s -N are performed to perform a desired modular multiplication. When performing a single modular multiplication, only the part on the left side is performed.
S×M mod N 연산시 계산량은 다음과 같다. 먼저 각 Sbi를 구하는데 (n-1)(n-δ)번, 이를 Mi와 곱하는데 n2그리고 Tm에 대한 모듈라 감소 시 2(n-δ)번의 작은 수 곱셈이 필요하다. 그러므로 S×M mod N 연산시에는 약 2n2-δn+n번의 곱셈이 필요하다. 그러나 S×S mod N 연산시에는 Sbi를 구할 필요가 없으므로 약 n2+2n번의 곱셈이 필요하다. S×M mod N과 S×S mod N을 계산시 몽고메리 곱셈을 사용한다면 총 2(2n2+n)번의 곱셈이 필요하지만 DR 방법을 사용한다면 2(2n2-δn)번의 곱셈으로 가능하다. 반면 본 발명의 방법으로는 3n2-δn+3n번으로 수행할 수 있어 계산량을 약 0.75배로 줄일 수 있게 된다.The calculation amount for S × M mod N operation is as follows. First, we need to find each S bi by (n-1) (n-δ) times, multiply it by M i, and then reduce the modulus of n 2 and T m by 2 (n-δ) small number multiplications. Therefore, about 2n 2 -δn + n multiplications are required for S × M mod N operation. However, when S × S mod N is not required, S bi is not needed, so about n 2 + 2n multiplications are required. When calculating S × M mod N and S × S mod N, a total of 2 (2n 2 + n) multiplications are required if Montgomery multiplication is used, but 2 (2n 2 -δn) multiplication is possible using the DR method. On the other hand, the method of the present invention can be performed by 3n 2 -δn + 3n times to reduce the calculation amount to about 0.75 times.
이상으로 기술한 공통 피승수 곱셈은 멱승연산방법에 적용되어 고속의 멱승연산을 달성한다.The common multiplicand multiplication described above is applied to a power multiplication operation to achieve a fast power multiplication operation.
멱승 방법에는 이진 방식, m진(m-ary) 방식, 윈도우 방식, 지수 폴딩 방식 등이 있으며, 지수를 상하위 비트 중 어느 쪽에서부터 탐색하는가에 따라 레프트-투-라이트 방식과 라이트-투-레프트 방식으로 구분할 수 있다. 그러나 레프트-투-라이트 형태는 공통 피승수 곱셈이 없으므로 변형한 모듈라 곱셈을 적용하기가 어렵다. 본 발명에서는 라이트-투-레프트 형태의 2진, m-ary, 윈도우 멱승 방식 그리고 지수 폴딩 기법을 사용한 멱승 방식에 변형한 모듈라 곱셈 방법을 적용한다.The power method includes binary, m-ary, window, and exponential folding methods. The left-to-right and light-to-left methods depend on which of the upper and lower bits is searched for. It can be divided into However, the left-to-right form has no common multiplicative multiplier, making it difficult to apply the modified modular multiplication. In the present invention, a modified modular multiplication method is applied to a power-of-sight method using a binary, m-ary, window power method and an exponential folding method.
이진 멱승 방식으로 AEmod N 연산시 먼저 k 비트인 E를 이진수로 변환한다. 즉,, ei∈{0,1}로 표현할 수 있다. 라이트-투-레프트 이진 멱승 방식을 나타낸 것이 도 3a이다. 이 멱승 방식에서 지수 E가 k비트이고 해밍웨이트(Hamming weight)가 k/2라 가정하면 약 3k/2번의 모듈라 곱셈이 필요하다. 그런데 도 3a에서 보는 바와 같이 ei가 1일 때마다 공통 피승수 곱셈이 생기므로 상기 제안한 공통 피승수 모듈라 곱셈 방법을 적용할 수 있다. 결국 이진 멱승 방식의 경우 평균 k/2번의 공통 피승수 모듈라 곱셈과 k/2번의 일반 모듈라 곱셈이 필요하다.When converting A E mod N using binary power, k is first converted to E. In other words, , e i ∈ {0,1}. 3A shows a light-to-left binary power system. In this power, assuming that the exponent E is k bits and the Hamming weight is k / 2, about 3k / 2 modular multiplications are required. However, as shown in FIG. 3A, a common multiplicative multiplication occurs whenever e i is 1, and thus the proposed common multiplier modular multiplication method can be applied. After all, the binary power multiply requires an average k / 2 common multiplier modular multiplication and k / 2 general modular multiplication.
도 3b에 도시한 바와 같이, 주어진 A, E, N에 대해서 단계 31에서 E를 k비트의 이진수로 변환하고, 단계 32에서 축소기(diminished radix) 형태의 모듈러스 N을 정의하고, 단계 33에서 M을 1로 정의하고, 단계 34에서 S를 A로 정의한다. 다음, 단계 35에서 ei=1인가를 체크하여 1이면, C=SxM mod N, S=SxS mod N를 동시에 수행하고, 1이 아니면 S=SxS mod N를 독립적으로 수행하여, 주어진 수 A에 대한 모듈라 멱승을 수행한다.As shown in Fig. 3b, for a given A, E, N, convert E to k-bit binary in step 31, define modulus N in the form of a diminished radix in step 32, and M in step 33 Is defined as 1 and S is defined as A in step 34. Next, in step 35, check whether e i = 1 and if 1, perform C = SxM mod N and S = SxS mod N at the same time, and if not 1, perform S = SxS mod N independently, Perform a modular power over
m-ary 멱승 방식은 E를 t개의 자리수를 가지는 m진수로 나타낸다. 즉,, Ei∈{0,m-1}로 표현할 수 있다. 도면에는 도시하지 않았지만, 라이트-투-레프트 이진 멱승방식과 유사하지만, m-ary 멱승 방식의 기본 원리는를 계산한 후 각 자리의 계수인 Ei에 해당하는 만큼 멱승을 수행하는 것이다.The m-ary power system represents E as an m number with t digits. In other words, , E i ∈ {0, m-1}. Although not shown in the drawing, it is similar to the light-to-left binary power method, but the basic principle of the m-ary power method is Calculate and perform the power of the number corresponding to the coefficient E i of each digit.
윈도우 멱승 방식은 E를 이진수로 표현한 후 적당한 크기의 윈도우를 잡고 멱승을 수행한다. 그러나 윈도우를 일률적으로 같은 비트씩 잡는 것이 아니라 윈도우의 크기가 w이하이면서 시작과 끝이 1이 되게 한다. 라이트-투-레프트 윈도우 멱승 방식을 나타낸 것이 도 4이다. 이 방식은 라이트-투-레프트 m-ary 멱승 방식의 원리와 비슷하게 윈도우가 생기는 위치에서 A에 관한 멱승을 수행한 후 각 윈도우 값에 해당하는 만큼 멱승을 수행하도록 한 것이다. 윈도우 멱승 방식에서 평균 윈도우 개수가 [log2E/(w+1)] 개이므로 약 [log2E/(w+1)] + [log2E] + 2(2w-1-1)+3번의 모듈라 곱셈이 필요하다. 도 4의 while문내에서 보는 바와 같이 윈도우가 발생할 때마다 공통 피승수 곱셈을 사용할 수 있다. 윈도우 멱승 방식은 고속이면서 간단히 구현할 수 있지만 중간 계산 값들을 저장할 테이블용 메모리가 2w-1개 필요하다.The window exponential method expresses E as a binary number, then grabs the window of the appropriate size and performs the power. However, instead of holding the window uniformly by the same bit, the window size is less than w and the start and end are 1s. 4 shows a light-to-left window power-up method. Similar to the principle of the light-to-left m-ary power method, the power of A is multiplied by each window value after the power of A is increased. In the window powering method, the average number of windows is [log 2 E / (w + 1)], so about [log 2 E / (w + 1)] + [log 2 E] + 2 (2 w-1 -1) + Three modular multiplications are required. As shown in the while statement of FIG. 4, a common multiplicand multiplication may be used whenever a window occurs. The window power method is fast and simple to implement, but requires 2 w-1 memory for the table to store intermediate calculations.
멱승연산 중 지수 폴딩 기법을 이용한 멱승이란 지수 E를 반으로 접어서 연산함으로써 계산 효율을 높이는 방법이다. 이 방식은 슈노르(Schnorr)가 제시한 서명 검증식 계산방법(C.P.Schnorr, Efficient signature generation for smart cards, Advances in Cryptology CRYPTO '89 Proceedings, Springer-Verlag, pp. 239-252, 1990)에 기초한 것으로서 레프트-투-라이트 형태나 라이트-투-레프트 형태로 구현할 수 있다. 이 방식의 기본 개념은 지수 E는 EH2k/2+ EL로 표현할 수 있고 EH와 EL을 이진수로 나타내었을 때 공통적으로 1인 것에 대한 연산을 한번만 하도록 한 것이다.The power of the power using the exponential folding technique is calculated by folding the index E in half and increasing the computational efficiency. This method is based on Schnorr's proposed signature verification method (CPSchnorr, Efficient signature generation for smart cards, Advances in Cryptology CRYPTO '89 Proceedings, Springer-Verlag, pp. 239-252, 1990). It can be implemented in either a two-to-right or a light-to-left form. The basic idea of this method is that the exponent E can be expressed as E H 2 k / 2 + E L , and when E H and E L are represented as binary numbers, one operation is performed on the common one.
구체적인 지수 폴딩을 이용한 멱승 방법을 기술하면 다음과 같다. 먼저 식(5)와 같이 EH와 EL를 비트별로 AND시켜 공통으로 1인 부분만 추출한다. 그리고 Ecom과 EH을 배타논리합(XOR)시키고 Ecom과 EL을 XOR한다. 이 경우 Ecom, EHXOR및 ELXOR는 각각 E를 반으로 접었을 때 상위 반절과 하위 반절이 공통적으로 1인 수, 상위 반절만이 1인 수, 하위 반절만이 1인 수를 의미하며, 이진수로 표현하면 다음 식(6)과 같다. 여기서 ecom_i, eHXOR_i, eHXOR_i∈{0,1}이다.The exponential method using exponential folding is described as follows. First, E H and E L are ANDed bit by bit as shown in Eq. Then, the exclusive logic sum (XOR) of E com and E H and X com of E com and E L. In this case, E com , E HXOR, and E LXOR mean that the upper half and the lower half are 1, the upper half is 1, and the lower half is 1, respectively, when E is folded in half. Expressed in Eq. (6). Where e com_i , e HXOR_i and e HXOR_i ∈ {0,1}.
[수학식 5][Equation 5]
Ecom=EH∧EL, EHXOR=Ecom1s EH, ELXOR=Ecom1s EL E com = E H ∧ E L , E HXOR = E com 1s E H , E LXOR = E com 1s E L
[수학식 6][Equation 6]
Ecom=ecom_i·2i, EHXOR=eHXOR_i·2i, ELXOR=eLXOR_i·2i E com = e com_i2 i , E HXOR = e HXOR_i2 i , E LXOR = e LXOR_i2 i
그러므로, EH와 EL는 다음 식(7)과 같이 표현할 수 있다.Therefore, E H and E L can be expressed as Equation (7).
[수학식 7][Equation 7]
EH=Ecom+EHXOR, EL=Ecom+ELXOR E H = E com + E HXOR , E L = E com + E LXOR
지수 폴딩 기법을 이용한 라이트-투-레프트 형태의 멱승 과정을 도 5에 나타내었다. 도 5의 첫 번째 for문에서mod N,mod N 그리고mod N을 먼저 구한 후,mod N과mod N을 계산한다. 그리고 두번째 for문에서mod N을 구하고 최종적으로mod N을 계산한다.FIG. 5 illustrates a power-of-right process using the exponential folding technique. In the first for statement in Figure 5 mod N, mod N and Find mod N first, mod N Calculate mod N And in the second for statement Find mod N and finally Calculate mod N
멱승 연산에 필요한 계산량을 보면 다음과 같다. E의 해밍웨이트가 k/2라면 EH와 EL의 해밍웨이트는 k/4이며 Ecom, EHXOR, ELXOR의 해밍웨이트는 각각 k/8이 된다. 그러므로 k+3k/8+3번의 모듈라 곱셈이 필요하다. 이 방식에서는 첫 번째 for문에서 보는 바와 같이 3k/8번의 공통 피승수 모듈라 곱셈이 발생한다.The calculation amount required for power operation is as follows. If the Hamming weight of E is k / 2, the Hamming weights of E H and E L are k / 4, and the Hamming weights of E com , E HXOR and E LXOR are k / 8. Therefore, a modular multiplication of k + 3k / 8 + 3 is required. In this method, 3k / 8 common multiplier modular multiplication occurs as shown in the first for statement.
지금까지 본 발명의 고속 멱승 방법을 소프트웨어적인 방법면에서만 설명하였으나, 도 6을 참조하여 본 발명의 방법이 운영되는 하드웨어를 간단히 설명하기로 한다.Until now, the fast power-up method of the present invention has been described only in terms of software. However, referring to FIG.
다음, 본 발명의 고속 멱승방법을 담고 있는 프로그램이 입/출력장치(72)를 통하여 입력되면 CPU(74)는 데이터 및 저장테이블들을 RAM(76) 이나 ROM 또는 EEPROM(78)으로부터 불러내어 멱승연산을 수행한다. 이러한, 하드웨어 환경하에서, 멱승연산시 메모리사용 부분에서 n자리의 수 A, B, N이 주어진 경우, 먼저 모듈라곱셈 AB mod N를 처리할 때 순수한 곱셈 C=AB를 계산한 후 그 결과에 대한 모듈라 감소 C mod N을 수행한다면 C의 크기는 A나 B의 자리수의 두배가 즉 2n자리가 된다. 이를 다시 모듈라 감소하면 n자리가 된다. 그러나, 본 발명에서는 곱셈을 하면서 모듈라 감소를 동시에 수행할 수 있으므로 가장 큰 중간값의 크기가 n+2자리수이므로 사용하는 메모리의 크기가 작게 된다. 또한, 멱승연산에서 필요한 메모리는 주로 중간값들을 저장하는 테이블의 수와 관계한다. 단, 하나의 테이블에는 n자리의 수가 저장된다. m-ary 멱승방식이나 윈도우 멱승방식에서 최적의 테이블의 수는 지수 E의 크기에 따라서 결정된다. 일반적으로 지수가 512비트일 때, m-ary 멱승방식에서는 15개, 윈도우 멱승방식에서는 16개가 최적의 테이블수이므로 IC카드와 같은 저메모리 환경하에서는 단점이 될 수 있으나, 본 발명에서는 변형된 몽고메리 모듈라 곱셈을 이용하면 m-ary 멱승방식에서는 7개, 윈도우 멱승방식에서는 8개에서 최적의 속도를 내므로, 전체적으로 메모리의 용량을 절반으로 줄일 수 있다. 결국, 모듈라곱셈에 사용되는 메모리의 양을 반으로 줄일 수 있을 뿐만 아니라 멱승방식에 따라서는 데이터저장용 테이블의 수도 반으로 줄일 수 있다. 한편, 데이터를 입력하는 것은 프로그램내에 저장하여 실행할 수도 있고 외부의 파일에 데이터를 저장한 후 그것을 입/출력장치(72)를 통해 읽어들여 사용할 수도 있다. 일반적으로 한 시스템을 운용할 때에는 고정되는 값이 있고 변하는 값이 있다. 예를 들어 ElGamal서명이나 DSS서명같은 경우에는 AEmod N를 계산하는 데 A와 N은 고정된 공통의 값이고 E는 변하는 값이다. 그러나, RSA서명에서는 E와 N이 자신의 정보로서 고정된 값이고 A는 변하는 값이다. 한편, RSA암호에서는 E와 N아 상대방의 정보이므로 변하는 값이고 A도 역시 변하는 값이다. 일반적으로 시스템을 운용할 때에는 고정된 값은 프로그램내부에 두고 변하는 값은 외부에서 독출하여 사용한다. 즉, 고정값들은 ROM이나 EEPROM에 저장해 둘 수 있고, 변하는 값은 RAM에 저장한 후 불러와서 사용한다.Next, when a program containing the fast power method of the present invention is input through the input / output device 72, the CPU 74 retrieves the data and storage tables from the RAM 76, the ROM, or the EEPROM 78, and performs a multiplication operation. Do this. In this hardware environment, given n number of digits A, B, and N in power use during power operation, first calculate pure multiplication C = AB when processing modular multiplication AB mod N, and then modulate the result. If we do a reduced C mod N, the size of C is twice the number of A's or B's, ie 2n's. Modular reduction of this again takes n digits. However, in the present invention, since the modular reduction can be performed simultaneously with the multiplication, the size of the memory to be used becomes small because the size of the largest intermediate value is n + 2 digits. In addition, the memory required for power-of-sequence operations mainly relates to the number of tables that store intermediate values. However, one table stores n digits. In m-ary power or window power, the optimal number of tables depends on the size of the index E. In general, when the exponent is 512 bits, 15 in the m-ary power method and 16 in the Windows power method may be a disadvantage in a low memory environment such as an IC card, but in the present invention, the modified Montgomery modular Multiplying speeds are optimal at seven in the m-ary powers and eight in the Windows powers, thus reducing the overall memory capacity by half. As a result, the amount of memory used for modular multiplication can be reduced in half, and the number of tables for data storage can be reduced in half depending on the power method. On the other hand, the data input may be stored in the program and executed, or the data may be stored in an external file and then read and used through the input / output device 72. In general, when operating a system, there are fixed values and variable values. For example, ElGamal or DSS signatures calculate A E mod N where A and N are fixed common values and E is a variable value. However, in the RSA signature, E and N are fixed values as their information and A is a variable value. On the other hand, in the RSA code, since the information of the E and N counterparts, the value changes and A also changes. In general, when operating the system, fixed values are left inside the program and changing values are read from the outside. In other words, fixed values can be stored in ROM or EEPROM, and changing values can be stored in RAM for use.
이상으로 설명한 멱승방식들을 비교 분석하면 다음과 같다. 본 발명에서는 멱승 AEmod N을 구현시 A와 N을 512비트로 가정하였다. 기수 b는 216으로 하였는데 그 이유는 C 언어 컴파일러가 16비트의 곱셈을 지원하기 때문이다. 이 경우 A나 N을 기수 b로 표현하면 자리수 n은 32가 된다. 모듈러스 N은 다음과 같이 상위 4자리가 모두 1인 수로 하였다.A comparative analysis of the powers described above is as follows. In the present invention, A and N are assumed to be 512 bits when implementing power A E mod N. The radix b is 2 16 because the C language compiler supports 16-bit multiplication. In this case, if A or N is expressed in base b, the number of digits n is 32. Modulus N was made into the number of the top four digits all as follows.
N = ffff ffff ffff ffff 9084 d56b f6bb 91f8 0c6f 5c4f f6c9 b0b9 b5fc a3f4 6270 961a bf56 1e3f d76b fb3d 7d74 7674 a2f7 3857 b791 ce54 e861 4682 48af d33f 225bN = ffff ffff ffff ffff 9084 d56b f6bb 91f8 0c6f 5c4f f6c9 b0b9 b5fc a3f4 6270 961a bf56 1e3f d76b fb3d 7d74 7674 a2f7 3857 b791 ce54 e861 4682 48af d33f 225b
모듈라 곱셈 방법을 비교해 볼 때, 고전적인 방법은 몫 추정시 나눗셈은 없앨 수 있지만 부가적인 뺄셈 연산이 많아 다른 방식에 비해 저속이다, 몽고메리 알고리듬은 N의 형태에 관계없이 나눗셈이 없으며 N이 일반적인 수일 경우에는 현재까지 가장 고속이다. DR 방법은 상기한 N의 조건을 만족할 경우 몽고메리 곱셈보다 고속이다. 본 발명에 의한 공통 피승수 모듈라 곱셈시 공통 계산 부분을 생략할 수 있으며 구체적인 내부 연산은 DR 방법에 기초하여 수행되므로 기존 방법에 비해 고속이다.Comparing the modular multiplication method, the classical method eliminates division when estimating the quotient, but is slower than other methods due to the large number of additional subtraction operations. There is no high speed to date. The DR method is faster than Montgomery multiplication when N is satisfied. In the multiplicative common multiplier according to the present invention, a common calculation part may be omitted, and specific internal operations are performed based on the DR method, which is faster than the conventional method.
멱승 알고리듬의 계산량을 비교할 때에는 모듈라 곱셈수를 고려한다. 그러나 모듈라 곱셈은 기수 b보다 작은 수 곱셈으로 이루어지므로 결국 멱승에 필요한 작은 수 곱셈을 분석함으로써 전체 계산량을 비교할 수 있다. 특히, 본 발명의 모듈라 곱셈을 사용할 때에는 멱승에 필요한 모듈라 곱셈수도 고려해야 하지만 공통 피승수 곱셈의 발생 빈도에 따라 계산량이 달라진다. 이진 멱승 방식에서 E가 k비트이면 레프트-투-라이트 방식과 라이트-투-레프트 방식 모두 약 3k/2번의 모듈라 곱셈이 필요하다. 그러므로 몽고메리 알고리듬을 사용하면 3k(2n2+n)/2번의 작은 수 곱셈이 필요하며 DR 방법으로는 3k(2n2-δn)/2번이 필요하다. 그러나 라이트-투-레프트 멱승 연산에서는 k/2번의 공통 피승수 곱셈이 생기므로 본 발명의 방법을 사용하면 3k(3n2-δn+3n)/2+k(2n2-δn+n)/2 = 2.5kn2-kδn+2kn번이 필요하다. 예로서 E가 512비트이고 δ가 4이면 DR 방법은 몽고메리 알고리듬에 비해 약 7.7% 개선할 수 있는 반면 본 발명의 방법은 20% 개선할 수 있다. 즉, 본 발명의 방법은 한번 멱승이 768번의 몽고메리 모듈라 곱셈을 614번으로 감소시킨 것과 동일하다.When comparing the computational powers of power algorithms, consider modular multiplication. Modular multiplication, however, consists of a number multiplication less than the base b, so that the total computation can be compared by analyzing the small multiplication required for power. In particular, when using the modular multiplication of the present invention, the modular multiplier required for power is taken into consideration, but the amount of calculation varies depending on the frequency of common multiplicative multiplication. If E is k bits in binary power, then the left-to-right and the right-to-left method require about 3k / 2 modular multiplications. Therefore, using the Montgomery algorithm requires a small number multiplication of 3k (2n 2 + n) / 2 times and the DR method requires 3k (2n 2 -δn) / 2. However, in a light-to-left power multiplication operation, k / 2 common multiplicative multiplications occur, and according to the method of the present invention, 3k (3n 2 -δn + 3n) / 2 + k (2n 2 -δn + n) / 2 = You need 2.5kn 2 -kδn + 2kn. For example, if E is 512 bits and δ is 4, the DR method can improve about 7.7% over the Montgomery algorithm while the method of the present invention can improve 20%. In other words, the method of the present invention is equal to one power reducing 768 Montgomery modular multiplications to 614 times.
레프트-투-라이트 윈도우 멱승 방식에서는 512 비트 멱승시 윈도우 크기가 5일 때 최적이며 평균 609번의 모듈라 곱셈이 필요하다. 라이트-투-레프트 윈도우 멱승 방식에서는 [log2E/(w+1)]+[log2E]+2(2w-1-1)+3번의 모듈라 곱셈이 필요하다. 이 경우 2w-1개의 저장용 테이블이 필요하다. 그러나 라이트-투-레프트 윈도우 멱승 연산에서는 윈도우 개수 만큼 공통 피승수 곱셈이 생기므로 모듈라 곱셈 방법을 적용하면 ([log2E]-[log2E/(w+1)])(2n2-δn+n)+([log2E/(w+1)])(3n2-δn+3n)+(2(2w-1-1)+3)(2n2-δn+n) 번의 작은 수 곱셈이 필요하다. 이는 위의 경우와 동일한 조건일 때 556번의 모듈라 곱셈을 수행한 것과 같다. 그러나 윈도우 크기를 4로 하면 (512-103)(2n2-δn+n)+ 103(3n2-δn+3n)+17 (2n2-δn+n)이고 이것은 약 550번의 모듈라 곱셈을 수행하는 결과와 같다. 지수가 512비트이고 변형한 곱셈을 사용하는 경우에는 윈도우 크기가 4일때 속도도 빠르고 메모리 사용을 절반정도로 감소할 수 있다. 그 이유는 윈도우 크기가 작으면 평균 윈도우 개수는 증가하므로 윈도우가 생기는 위치의 멱승 값을 계산하는 연산은 많아지나 모듈라 곱셈으로 보상할 수 있고, 반면 저장용 테이블이 감소하게 되어 테이블을 멱승하는 계산량이 줄어들기 때문이다.The left-to-right window powering method is optimal when the window size is 5 at 512-bit powers and requires an average of 609 modular multiplications. In the write-to-left window power method, [log 2 E / (w + 1)] + [log 2 E] +2 (2 w-1 −1) +3 modular multiplications are required. In this case, 2w-1 storage tables are needed. However, light-to-left in the window exponentiation Since the advent of a common multiplicand by multiplying the number of the window by applying a modular multiplication method ([log 2 E] - [ log 2 E / (w + 1)]) (2n 2 -δn + n) + ([log 2 E / (w + 1)]) (3n 2 -δn + 3n) + (2 (2 w-1 -1) +3) (2n 2 -δn + n) small number multiplication This is necessary. This is equivalent to performing 556 modular multiplications under the same conditions as above. But with a window size of 4 (512-103) (2n 2 -δn + n) +103 (3n 2 -δn + 3n) +17 (2n 2 -δn + n), which performs about 550 modular multiplications Same as the result. With exponents of 512 bits and modified multiplication, a window size of 4 can be fast and reduce memory usage by half. The reason is that if the window size is small, the average number of windows increases, so the operation of calculating the power of the window is increased, but it can be compensated by modular multiplication, while the storage table is reduced, so Because it decreases.
지수 폴딩 기법을 이용한 멱승은 레프트-투-라이트 방식이나 라이트-투-레프트 방식으로 구현할 수 있으며 각각 k+3k/8+1와 k+3k/8+3번의 모듈라 곱셈이 필요하다. 그러나 라이트-투-레프트 방식에서는 3k/8번의 공통 피승수 곱셈이 생기므로 모듈라 곱셈을 사용하면 3k/8(3n2-δn+3n)+(k-3k/8+3)(2n2-δn+n)번이 필요하다. 이는 E가 512비트이고 δ가 4일 때 768번의 몽고메리 모듈라 곱셈을 584번으로 감소시킨 것과 동일하다.Power using exponential folding can be implemented in left-to-right or light-to-left, and requires k + 3k / 8 + 1 and k + 3k / 8 + 3 modular multiplication, respectively. However, the light-to-left method produces 3k / 8 common multiplicative multiplications, so using modular multiplication, 3k / 8 (3n 2 -δn + 3n) + (k-3k / 8 + 3) (2n 2 -δn + n) times are needed. This is equivalent to reducing 768 Montgomery modular multiplications to 584 when E is 512 bits and δ is 4.
표 1은 지수 E가 512 비트 및 160 비트인 경우에 대해, 모듈라 곱셈과 멱승 방식에 따른 성능을 나타낸 것으로서 몽고메리 곱셈을 사용한 이진 방식을 기준으로 상대적이 모듈라 곱셈수를 나타낸 것이다. 단, 0(E0(는 E의 비트 수를 의미한다.Table 1 shows the modular multiplication and power-based performance for the case where the exponent E is 512 bits and 160 bits, and shows the modular multiplication relative to the binary method using Montgomery multiplication. However, 0 (E0 (means the number of bits of E).
[표 1]TABLE 1
일반적으로 멱승 방식에서 레프트-투-라이트 형태가 라이트-투-레프트 형태보다 계산 측면에서 다소 유리하지만 라이트-투-레프트 형태에서는 공통 피승수 곱셈이 생기므로 이를 효과적으로 처리하면 고속 멱승을 실현할 수 있다. 특히, 이진 방식이나 지수 폴딩 기법을 이용한 방식에서는 공통 피승수 곱셈의 발생 비율이 높으므로 개선효율이 크다. 윈도우 방식은 이들보다는 고속이지만 데이터 저장용 테이블이 필요하므로 메모리가 확보된 시스템에서 사용할 수 있다.In general, the left-to-right form is more advantageous in terms of computation than the right-to-left form, but the common multiplicative multiplication occurs in the light-to-left form. In particular, in the binary or exponential folding method, the common multiplication multiplication rate is high, and thus the improvement efficiency is large. Windows is faster than them, but requires a table for data storage, so it can be used in systems with memory.
상기한 멱승 방식들을 퍼스널컴퓨터(PC) 및 워크스테이션(workstation)에서 C 언어로 구현하였다. 몽고메리 알고리듬, DR 방법 그리고 본 발명의 방법으로 모듈라 곱셈을 구현하여 각 멱승 방식에 적용하였다. PC는 펜티엄급(Pentium(586)/133MHz)을 사용하였고 DOS 환경 하에서 볼란드(Borland) C로 컴파일 하였다. 워크스테이션은 솔라이스(Solais) 2.5.1환경 하에서 썬울트라(SUN Ultra) 2/200MHz를 사용하였다.The powering methods described above are implemented in C language in personal computers (PCs) and workstations. Modular multiplication is implemented by Montgomery algorithm, DR method, and the method of the present invention and applied to each power method. The PC used Pentium (Pentium (586) / 133MHz) and compiled in Borland C under DOS environment. The workstations used SUN Ultra 2 / 200MHz under the Solaris 2.5.1 environment.
표 2와 표 3은 지수가 512 비트와 160비트인 경우 PC 및 워크스테이션에서 한번의 멱승을 수행하는데 소요되는 평균 시간을 나타낸 것이다. 이 결과는 각 모듈라 곱셈을 사용하여 멱승을 1000번씩 수행 후 이를 평균한 것이다. 표의 ( )는 몽고메리 곱셈을 사용한 이진 방식을 기준으로 한 상대적인 모듈라 곱셈수를 나타낸 것이다.Tables 2 and 3 show the average time taken to perform one power up and down on a PC and workstation when the exponents are 512 and 160 bits. This result is the average of 1000 powers after each modular multiplication. () In the table shows the relative modular multipliers based on the binary method using Montgomery multiplication.
[표 2]TABLE 2
[표 3]TABLE 3
표2와 3에서 보는 바와 같이 몽고메리 곱셈을 각 멱승 방식에 적용했을 경우 이론적인 소요시간과 구현 결과가 거의 일치함을 볼 수 있다. 또한 제안 방법을 적용했을 경우가 몽고메리 곱셈을 사용하는 것보다 고속 멱승을 구현할 수 있었고 그 비율도 표 1의 분석결과와 비슷하였다. 예로서 이진 멱승의 경우 DR 방법이 몽고메리 곱셈에 비해 PC에서 약 0.92배, 워크스테이션에서는 0.95배의 시간이 소요된다. 반면 본 발명의 방법은 PC에서 약 0.82배, 워크스테이션에서는 0.79배의 시간이 소요됨을 알 수 있다. 위의 결과는 δ가 4일 경우이고 δ가 2나 3인 경우에도 시뮬레이션한 결과 이론적인 산출량과 거의 일치함을 확인하였다. 다른 PC나 워크스테이션에서도 수행한 결과, 멱승 연산의 속도는 시스템 기종의 성능, 컴파일러의 선택, 혹은 최적화 기능의 추가 등에 따라 약간씩 달랐지만 본 발명의 방법이 몽고메리 곱셈이나 DR 방법에 비해 고속으로 멱승을 수행할 수 있다.As shown in Tables 2 and 3, when Montgomery multiplication is applied to each power method, the theoretical turnaround time and the implementation result are almost identical. In addition, the proposed method was able to implement a fast power, rather than using Montgomery multiplication, and the ratio was similar to that of Table 1. For example, in binary power, the DR method takes about 0.92 times longer on a PC and 0.95 times longer on a workstation than Montgomery multiplication. On the other hand, it can be seen that the method of the present invention takes about 0.82 times on a PC and 0.79 times on a workstation. The above results were found to be in close agreement with the theoretical outputs when δ is 4 and δ is 2 or 3. As a result of performing on other PCs or workstations, the speed of power operation is slightly different depending on the performance of the system, the choice of compiler, or the addition of optimization function. Can be done.
상술한 바와 같이, 본 발명은 모듈러스 N이 축소기 형태일 경우 고속 멱승을 위한 새로운 모듈라 곱셈 방법을 제공하는 것으로, 동일한 피승수를 가지는 두 번의 모듈라 곱셈시 공통 계산 부분을 한번에 계산할 수 있도록 한 것으로서 이를 라이트-투-레프트 형태의 멱승에 적용하면 멱승 계산속도를 개선하고, 메모리용량을 줄일 수 있다. 특히, IC 카드와 같은 저 메모리 환경 하에서는 본 발명의 지수 폴딩 기법을 사용한 멱승 방식을 사용하는 것이 효과적이다. 따라서 본 발명은 RSA나 디지탈 서명 등 공개키 암호시스템에 효과적으로 사용할 수 있다.As described above, the present invention provides a new modular multiplication method for fast multiplication when the modulus N is in the form of a reducer, and it is possible to calculate a common calculation part at the time of two modular multiplications having the same multiplicand. When applied to power-of-left type, it can improve power calculation speed and reduce memory capacity. In particular, in a low memory environment such as an IC card, it is effective to use a power-up method using the exponential folding technique of the present invention. Therefore, the present invention can be effectively used for public key cryptosystems such as RSA and digital signatures.
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1019970019018A KR100257124B1 (en) | 1997-05-16 | 1997-05-16 | High-speed exponentiation method using common-multiplicand modular multiplication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1019970019018A KR100257124B1 (en) | 1997-05-16 | 1997-05-16 | High-speed exponentiation method using common-multiplicand modular multiplication |
Publications (2)
Publication Number | Publication Date |
---|---|
KR19980083641A true KR19980083641A (en) | 1998-12-05 |
KR100257124B1 KR100257124B1 (en) | 2000-05-15 |
Family
ID=19506087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1019970019018A KR100257124B1 (en) | 1997-05-16 | 1997-05-16 | High-speed exponentiation method using common-multiplicand modular multiplication |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100257124B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100400210B1 (en) * | 1997-01-10 | 2003-11-14 | 삼성전자주식회사 | Modular multiplication device for digital signature |
US7805478B2 (en) | 2004-03-02 | 2010-09-28 | Samsung Electronics Co., Ltd. | Montgomery modular multiplier |
-
1997
- 1997-05-16 KR KR1019970019018A patent/KR100257124B1/en not_active IP Right Cessation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100400210B1 (en) * | 1997-01-10 | 2003-11-14 | 삼성전자주식회사 | Modular multiplication device for digital signature |
US7805478B2 (en) | 2004-03-02 | 2010-09-28 | Samsung Electronics Co., Ltd. | Montgomery modular multiplier |
Also Published As
Publication number | Publication date |
---|---|
KR100257124B1 (en) | 2000-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20080044013A1 (en) | Koblitz Exponentiation with Bucketing | |
US8862651B2 (en) | Method and apparatus for modulus reduction | |
Hasan | Look-up table-based large finite field multiplication in memory constrained cryptosystems | |
Balasubramaniam et al. | Elliptic curve scalar multiplication algorithm using complementary recoding | |
Zheng et al. | Exploiting the floating-point computing power of GPUs for RSA | |
Avanzi | On multi-exponentiation in cryptography | |
Paar | Implementation of cryptographic schemes 1 | |
Tian et al. | Efficient software implementation of the SIKE protocol using a new data representation | |
Wollinger | Computer architectures for cryptosystems based on hyperelliptic curves | |
Chung et al. | Low-weight polynomial form integers for efficient modular multiplication | |
Joye et al. | New minimal modified radix-r representation with applications to smart cards | |
KR100257124B1 (en) | High-speed exponentiation method using common-multiplicand modular multiplication | |
KR100257123B1 (en) | High-speed exponentiation method using a modified montgomery modular multiplication | |
Guo et al. | Efficient scalar multiplication of ECC using SMBR and fast septuple formula for IoT | |
Jahani et al. | Efficient big integer multiplication and squaring algorithms for cryptographic applications | |
Baktır et al. | Finite field polynomial multiplication in the frequency domain with application to elliptic curve cryptography | |
KR101548174B1 (en) | Method for calculating negative inverse of modulus | |
Wu | An efficient common-multiplicand-multiplication method to the Montgomery algorithm for speeding up exponentiation | |
Brar et al. | Design and implementation of block method for computing NAF | |
Realpe-Muñoz et al. | High-performance elliptic curve cryptoprocessors over GF (2^ m) GF (2 m) on Koblitz curves | |
KR100194769B1 (en) | Using memory to find inverses on finite fields | |
Lou et al. | An efficient Montgomery exponentiation algorithm by using signed-digit-recoding and folding techniques | |
Menandas et al. | Effective Implementations of Scalar Multiplications in Elliptic Curve Cryptography | |
Saffar et al. | Speeding up the elliptic curve scalar multiplication using non adjacent form | |
Yan et al. | Modified modular inversion algorithm for vlsi implementation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
J201 | Request for trial against refusal decision | ||
AMND | Amendment | ||
B701 | Decision to grant | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20030213 Year of fee payment: 9 |
|
LAPS | Lapse due to unpaid annual fee |