密码术最初被用于国防及外交领域，以防止泄漏国家机密。在电子时代，金融 机构已经应用密码术来管理资金的电子转账。另外，自从在经济和金融领域中开始 使用加密时，它已经广泛地被用于标识的认证、加密密钥的管理、数字签名以及身 份确认。
解密密钥的管理疏忽、密码的可预测性，或者在通信网络中对键盘输入的监控 可能使越权人以解密的形式导致其安全性被破坏。这里，解密表示一种试图通过确 定最初用来加密文本的一个密钥而将一个加密文本解密为一个明文的行为，它是在 系统中的所有信息——如加密明文的算法类型和采用的操作系统——已知、而只有 使用的密钥未知的时候进行的。
通常解密技术包括只针对密文的攻击(ciphertext-only attack)、已知明文攻 击、选定明文攻击、自适应性选定明文攻击、定时攻击以及差分功率分析(DPA)攻 击。
定时攻击是表示通过应用与一个加密算法的计算时间相关联的信息来决定一 个预定位的值是0还是1，并根据这个结果使加密文本被解密的一种方法。DPA攻击 是表示根据一个输入位的值，分析由加密算法所消耗的能量(amount of power)， 获得密钥的输入位的值，然后使加密文本被解密的方法。
因此，作为防止这种攻击而导致信息泄漏的方法，一种将确定数据转换为随机 数据的掩蔽(masking)法被应用。该掩蔽法包括应用布尔运算技术及应用算术运算和 布尔运算相结合的技术。

本发明提供一种防止DPA攻击的加密装置和加密方法，以及执行该方法的计算 机可读的存储介质。
依照本发明的一个方面，提供的加密装置包括：与电路，执行一随机数和第一 掩蔽数据之间的与运算；移位电路，接收与电路的输出信号，并向右手方向或左手 方向中任一个将接收的信号移m位(这里，m表示一个自然数)；以及减法器，接收 布尔掩蔽数据和移位电路的输出信号，执行从第一掩蔽数据中减去移位电路的输出 信号的运算，并作为结果，输出第二掩蔽数据。
依据本发明的另一个方面，提供的加密装置包括：与电路，执行随机数和第一 掩蔽数据之间的与运算；异或(XOR)电路，接收与电路的输出信号和随机数，并执 行该输出信号和随机数之间的异或运算；移位电路，接收异或电路的输出信号，并 向右手方向或左手方向中任一个将接收的信号移m位(这里，m表示一个自然数)； 以及加法器，接收布尔掩蔽数据和移位电路的输出信号，执行第一掩蔽数据和移位 电路的输出信号之间的加法运算，并作为结果，输出第二掩蔽数据。
依据本发明的又一方面，提供的加密方法包括：接收n-位数据和具有n-位长 度的第一随机数，输出n-位算术掩蔽数据an，an-1，...，a2，a1；接收具有n-位长度的第二 随机数rn，rn-1，...，r2，r1和算术掩蔽数据an，an-1，...，a2，a1，并输出n-位布尔掩蔽数据 yn，yn-1，...，y2，y1，其中，输出布尔掩蔽数据yn，yn-1，...，y2，y1包括：输出a1作为y1；执 行r1和y1之间的与运算，将其结果存储在存储设备中，执行a2和存储在存储设备中 的数据之间的异或运算，输出的结果作为y2，执行a2和存储在存储设备中的数据之 间之间的与运算，产生的结果作为进位(carry)；执行yk-1和rk-1之间的与运算，将其 结果存储在存储设备中，执行ak、存储在存储设备中的数据和进位之间的异或运算， 输出的结果作为yk，执行[ak和存储在存储设备中的数据之间的与运算的结果]和 [ak和进位之间的与运算的结果]之间的或运算，执行上述或运算的结果和[存储在存 储设备中的数据和进位之间的与运算的结果]之间的与运算，产生的结果作为进位； 执行yn-1和rn-1之间的与运算，将其结果存储在存储设备中，执行an、存储在存储设 备中的数据和进位之间的异或运算，输出的结果作为yn，并将预定变量k从3逐次 增加1直到(n-1)。
执行上述方法的每一步的程序存储在计算机可读的存储介质中。

通过参照附图对具体实施例的详细描述可使本发明的上述以及其它改进方式 的特征和进步性更加明显。
图1表示本发明优选实施例的加密装置的方块示意图；
图2表示根据本发明，当图1所示的第二掩蔽模块为将布尔掩蔽数据转换成算 术掩蔽数据的模块时的第二掩蔽模块的第一电路示意图；
图3表示根据本发明，当图1所示的第二掩蔽模块为将布尔掩蔽数据转换成算 术掩蔽数据的模块时的第二掩蔽模块的第二电路示意图；
图4表示根据本发明，当图1所示的第二掩蔽模块为将算术掩蔽数据转换成布 尔掩蔽数据的模块时的第二掩蔽模块的电路示意图。

参照附图解释本发明的优选实施例，以获得对本发明、本发明的优点和通过执 行本发明所要达到的目的的充分理解。
以下，将参照附图，通过对本发明优选实施例的解释详细描述本发明。在附图 中，只要在随后的附图中重复出现的相同的元件，都用相同的附图标记表示。
已提出三种将布尔掩蔽转换成算术掩蔽的算法。
作为n-位二进制序列x∈{0，1}n的x的布尔掩蔽表示满足 $x=x^{\prime }\oplus r$ 的一个有序偶 (x′，r)∈{0，1}n×{0，1}n，其中表示异或(XOR)运算。按照这种方式，通过执行 原始数据和预定的随机数之间的异或运算，布尔掩蔽过程操作隐藏了原始数据成分 (element)。
作为n-位二进制序列x∈{0，1}n的x的算术掩蔽表示满足x＝x′modr的一个有序 偶(x′，r)∈{0，1}n×{0，1}n，其中“mod”表示模2n加法或者模2n减法。按照这种方式， 通过执行原始数据和预定随机数的模数(modulo)相加或者模数相减运算，算术掩蔽 操作隐藏了原始数据成分。
在由快速软件加密工作室(FSE)的T.S.Messerges于2000年提出的方法中， 布尔掩蔽(或算术掩蔽)数据表示首先被随机转换成原始数据或者逻辑补偿数据， 然后再次被转换成算术掩蔽(或布尔掩蔽)数据。然而，已经证实该方法不能提供 反DPA攻击的圆满对策。
同时，在由加密硬件和嵌入式系统工作室(CHESS)的L.Goubin于2001年提 出的方法中，采用了5个n-位之间的异或运算(这里，n表示一个自然数)和2个 n-位的模数相减运算来将布尔掩蔽转换成算术掩蔽。而且，在该方法中，算术掩蔽 能够通过采用(2n+4)个n-位之间的异或运算、(2n+1)个n-位之间的与运算，以 及n个n-位的左移运算被转换成布尔掩蔽，然而，该方法由于需要大量的处理开销 而不能很好地投入实际应用。
最后，在由CHESS工作室的J.S.Coron等人于2003年提出的方法中，一个表 被预先计算，以减少将算术掩蔽转换成布尔掩蔽的Goubin算法的开销。然而，所需 的存储设备有其固有的开销。
图1表示依照本发明的优选实施例的加密装置的方块示意图。参照图1，加密 装置100包括第一掩蔽模块110和第二掩蔽模块200。
当第一掩蔽模块110为布尔掩蔽模块时，第二掩蔽模块200为算术掩蔽模块。 也就是说，第一掩蔽模块110接收数据(X)和第一随机数(R1)，响应于第一随机 数(R1)将数据(X)转换成布尔掩蔽数据(X′)，并输出布尔掩蔽数据(X′)。
第二掩蔽模块200接收布尔掩蔽数据(X′)和第二随机数(R2)，响应于第二 随机数(R2)将布尔掩蔽数据(X′)转换成算术掩蔽数据(OUT)，并输出该算术掩 蔽数据(OUT)。这里，若第一随机数(R1)和第二随机数(R2)为相同的数则更好。
然而，当第一掩蔽模块110为算术掩蔽模块时，第二掩蔽模块200为布尔掩蔽 模块。也就是说，第一掩蔽模块110接收数据(X)和第一随机数(R1)，响应于第 一随机数(R1)将数据(X)转换成算术掩蔽数据(X′)，并输出算术掩蔽数据(X′)。
第二掩蔽模块200接收算术掩蔽数据(X′)和第二随机数(R2)，响应于第二 随机数(R2)将算术掩蔽数据(X′)转换成布尔掩蔽数据(OUT)，并输出该算术掩 蔽数据(OUT)。这里，若第一随机数(R1)和第二随机数(R2)为相同的数则更好。
图2表示当如图1所示的第二掩蔽模块是将布尔掩蔽数据转换成算术掩蔽数据 的模块时的第二掩蔽模块的第一电路示意图。
参照图1和图2，现将进一步描述第二掩蔽模块200的运算。首先，根据本发 明的优选实施例，将应用了布尔掩蔽的数据(以下称为“布尔掩蔽数据”)转换成应 用了算术掩蔽的数据(以下称为“算术掩蔽数据”)的第一算法为：
输入： $X^{\prime }(=X\oplus R1),R2$
输出：OUT＝X-R2
1.temp＝X′∧R2
2.temp＝(temp<<1)
3.Return(X′-temp)
这里，“∧”表示与运算，“<<”表示逻辑左移1位，表示异或运算，并且 “-”表示减法运算。还有，“temp”表示数据的暂时存储，并能用数据存储电路实 现，例如，包括门电路或寄存器。
图2表示根据本发明，实现将布尔掩蔽数据转换成算术掩蔽数据的算法的硬件。 在图2中，第二掩蔽模块200包括与电路210，移位电路220和减法器230。
与电路210接收布尔掩蔽数据(X′)和第二随机数(R2)，在接收的数据(X′) 和数(R2)之间执行按位之间的与运算，并输出与运算的结果到移位电路220。布尔 掩蔽数据(X′)和第二随机数(R2)都包括n-位。
移位电路220接收由与电路210输出的n-位数据，向左手方向和右手方向中任 一个将该数据移m位(这里，m为一个自然数，比如，m为1)。例如，移位电路220 可以执行左移1位。移位电路220的输出提供给减法器230。
减法器230接收布尔掩蔽数据(X′)和移位电路220的输出信号，执行从布尔 掩蔽数据(X′)中减去移位电路220的输出信号的减法运算，并输出由移位运算结 果所产生的算术掩蔽数据(OUT)。因此，本发明的加密装置能够提供一个圆满的反 DPA攻击的对策。
图3表示当图1所示的第二掩蔽模块为将布尔掩蔽数据转换成算术掩蔽数据的 模块时的第二掩蔽模块的第二电路示意图。
现将参照图1和图3，详细介绍第二掩蔽模块200的第二实施例的操作。根据 本发明的优选实施例，将布尔掩蔽数据转换成算术掩蔽数据的第二算法为：
输入： $X^{\prime }(=X\oplus R1),R2$
输出：OUT＝X+R2
1.
2.temp＝(temp<<1)
3.Return(X′+temp)
这里，“+”表示算术加法运算。
图3表示根据本发明，执行将布尔掩蔽数据转换成算术掩蔽数据的算法的硬件。 在图3中，第二掩蔽模块200包括与电路240，异或电路250，移位电路260和加法 器270。
与电路240接收布尔掩蔽数据(X′)和第二随机数(R2)，执行接收的数据(X′) 和数(R2)之间的按位与运算，并将与运算的结果输出到异或电路250。布尔掩蔽数 据(X′)和第二随机数(R2)都包括n-位。
异或电路250接收与电路240的输出信号和第二随机数(R2)，执行与电路的 输出信号和第二随机数(R2)之间的按位之间的异或运算，并将结果输出到移位电 路260。
移位电路260接收由异或电路250输出的n-位数据，向左手方向或者右手方向 中任一个将该数据移m位(这里，m为一个自然数，比如，m为1)。例如，移位电路 260可以执行左移1位。
加法器270接收布尔掩蔽数据(X′)和移位电路260的输出信号，执行布尔掩 蔽数据(X′)和输出信号之间的加法运算，并输出由移位运算结果所产生的算术掩 蔽数据(OUT)。因此，本发明的加密装置能够提供一个圆满的反DPA攻击的对策。
图4表示当如图1所示的掩蔽模块为将算术掩蔽数据转换成布尔掩蔽数据时的 第二掩蔽模块的电路示意图。
根据本发明的优选实施例，将算术掩蔽数据转换成布尔掩蔽数据的算法如下：
输入：X′(＝X-R2)＝an，...，a1，R2＝rn，...，r1
输出： $\mathrm{OUT}=X\oplus R2=y_n,...,y_1$
1.y1＝a1
2.temp＝y1∧r1
$y_2=a_2\oplus \mathrm{temp}$
carry＝a2∧temp
3.For k＝3 to(n-1)by 1
temp＝yk-1∧rk-1；
$y_k=a_k\oplus \mathrm{temp}\oplus \mathrm{carry};$
carry＝(ak∧temp)∨(ak∧carry)∨(temp∧carry)；
4.temp＝yn-1∧rn-1；
$y_n=a_n\oplus \mathrm{temp}\oplus \mathrm{carry};$
5.Return(yn，...，y1)
这里，“∨”表示或运算，而“carry”表示一个进位。因此，将算术掩蔽数据 转换成布尔掩蔽数据的算法，通过应用(2n-3)个1-位异或电路、(4n-9)个1-位与电 路和2(n-3)个1-位或电路，能够实现。
图4表示根据本发明，执行将算术掩蔽数据转换成布尔掩蔽数据的算法的硬件。 也就是说，第二掩蔽模块200包括多个与门201、203、205、215、225和227，多个 或门207和209，多个异或门211、213、217、219和223。在图4所示的电路示意 图中，输入和输出数据的宽度n等于4，以便于说明。
与门201执行算术掩蔽数据(X<4:1>)的LSB(X′<1>)和第二随机数(R2<4:1>) 的LSB(R2<1>)之间的与运算，与门203执行算术掩蔽数据(X′<4:1>)的第二位 (X′<2>)和与门201的输出信号之间的与运算，以及与门205执行算术掩蔽数据 (X′<4:1>)的第三位(X′<3>)和与门203的输出信号之间的与运算。
或门207执行与门205的输出信号和与门225的输出信号之间的或运算，或门 209执行或门207的输出信号和与门227的输出信号的或运算，以及异或门211执行 或门209的输出信号和异或门223的输出信号的异或运算。
异或门213执行与门201的输出信号和算术掩蔽数据(X′<4:1>)的第二位 (X′<2>)之间的异或运算，与门215执行第二随机数(R2<4:1>)的第二位(R2<2>)和异 或门213的输出信号之间的与运算。
异或门217执行与门215的输出信号和算术掩蔽数据(X′<4:1>)的第三位 (X′<3>)之间的异或运算，异或门219执行与门203的输出信号和异或门217的输出 信号之间的异或运算。
与门221执行第二随机数(R2<4:1>)的第三位(R2<3>)和异或门219的输出信号 之间的与运算，异或门223执行与门221的输出信号和算术掩蔽数据(X′<4:1>)的 MSB(X′<4>)之间的异或运算。与门225执行算术掩蔽数据(X′<4:1>)的第三位 (X′<3>)和与门215的输出信号之间的与运算，与门227执行与门215的输出信号和 与门203的输出信号之间的与运算。
因此，第二掩蔽模块200的输出信号 $(X\oplus R=\mathrm{OUT}<4:1>)$ 的最低有效位 LSB(OUT<1>)与算术掩蔽数据(X′<4:1>)的最低有效位LSB(X′<1>)相同，并且第二掩 蔽模块200的输出信号(OUT<4:1>)的第二位(OUT<2>)是异或门213的输出信号。第 二掩蔽模块200的输出信号(OUT<4:1>)的第三位(OUT<3>)是异或门219的输出信号， 并且第二掩蔽模块200的输出信号(OUT<4:1>)的最高有效位MSB(OUT<4>)是异或门 211的输出信号。
因此，本发明的第二掩蔽模块200，与CHESS的L.Goubin于2001年提出的方 法相比，能够大大地减少了系统和计算的开销。另外，由于本发明的第二掩蔽模块 200不运用预先计算好的查表，本发明的第二掩蔽模块200不需要附加存储模块的开 销，而其在CHESS的J.S.Coron等于2003年提出的方法中是需要的。
本发明的加密装置能够应用于各种用于加密技术的装置中，如小功率消耗的装 置，如智能卡或其他形式的有源式存储介质。而且，该加密方法和加密装置及其记 录媒体提供圆满反DPA攻击的算法，或同时利用布尔运算和算术运算执行该算法的 硬件。
如上所述，本发明的加密装置和方法使硬件和计算的开销降低。
尽管参照实施方式具体地展示并说明了本发明，但本领域技术人员应当 理解，在不脱离权利要求限定主旨和范围内，可以对其的形式和细节作各种 变化。
本申请要求2004年1月7日在韩国知识产权局申请的专利申请号为 NO.2004-879的韩国专利申请作为优先权，在此引用了其所披露的全部内容。