MbedTLS中的Montgomery算法实现解析(三)

最新推荐文章于 2023-11-05 14:05:02 发布
最新推荐文章于 2023-11-05 14:05:02 发布
阅读量1k 收藏 2
点赞数 4
文章标签: 算法 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43324702/article/details/121281735
版权

MbedTLS中的Montgomery算法实现解析(三)

在前面的两篇博客中,我们详细讨论了Montgomery算法的数学原理以及MbedTLS中是如何快速求得-N-1(mod n)。在这一篇博客中,我们将探讨MbedTLS中的蒙哥马利约减(Montgomery reduction)和蒙哥马利模乘(Montgomery multiplication)是如何实现的。

在阅读本博客之前,建议先掌握MbedTLS的大数表示方式

蒙哥马利约减Montgomery reduction

在我们的数学推导中,蒙哥马利约减是蒙哥马利模乘的基础,也就是说我们首先有:

X ≡ a × R-1 (mod n)

然后才有:

X = a × R × b × R × R-1 (mod n)

但是MbedTLS将这两者结合了起来,在MbedTLS中定义的蒙哥马利模乘式为:

X = A × B × R-1 (mod n)

既包含了模乘(Montgomery multiplication),又包含了约减(Montgomery reduction),这样的好处就是约减可以写成模乘的一种特殊情况,即当B=1时:

X = A × B × R-1 (mod n) = A × R-1 (mod n)

因此在MbenTLS中,约减就是模乘的一种特殊情况。

下面我们来看代码。

// Montgomery reduction: A = A * R^-1 mod N
static int mpi_montred( mbedtls_mpi *A, const mbedtls_mpi *N, mbedtls_mpi_uint mm, const mbedtls_mpi *T )
{
    mbedtls_mpi_uint z = 1;
    mbedtls_mpi U;

    U.n = U.s = (int) z;
    U.p = &z;

    return( mpi_montmul( A, &U, N, mm, T ) );
}

可以看到这里初始化了一个值为1的大数变量U,随后调用了蒙哥马利模乘函数mpi_montmul

蒙哥马利模乘Montgomery multiplication

下面我们来看看这个蒙哥马利模乘函数mpi_montmul

// Montgomery multiplication: A = A * B * R^-1 mod N
static int mpi_montmul( mbedtls_mpi *A, const mbedtls_mpi *B, const mbedtls_mpi *N, mbedtls_mpi_uint mm,const mbedtls_mpi *T )
{
    size_t i, n, m;
    mbedtls_mpi_uint u0, u1, *d;

    if( T->n < N->n + 1 || T->p == NULL )
        return( MBEDTLS_ERR_MPI_BAD_INPUT_DATA );

    memset( T->p, 0, T->n * ciL );

    d = T->p;
    n = N->n;
    m = ( B->n < n ) ? B->n : n;

    for( i = 0; i < n; i++ )
    {
        /*
         * T = (T + u0*B + u1*N) / 2^biL
         */
        u0 = A->p[i];
        u1 = ( d[0] + u0 * B->p[0] ) * mm;

        mpi_mul_hlp( m, B->p, d, u0 );
        mpi_mul_hlp( n, N->p, d, u1 );

        *d++ = u0; d[n + 1] = 0;
    }

    memcpy( A->p, d, ( n + 1 ) * ciL );

    if( mbedtls_mpi_cmp_abs( A, N ) >= 0 )
        mpi_sub_hlp( n, N->p, A->p );
    else
        /* prevent timing attacks */
        mpi_sub_hlp( n, A->p, T->p );

    return( 0 );
}

函数有五个形参:
mbedtls_mpi*A :第一个乘数
const mbedtls_mpi*B:第二个乘数
const mbedtls_mpi*N:模除的大数N
mbedtls_mpi_uint mm:预计算结果-N-1(mod n)
const mbedtls_mpi*T:用来保存中间计算结果的T

函数没有提到R的取值,在后面的实现中函数采用232×n作为R。而在每一轮的运算中,我们针对的是232,之所以这样实现是因为MbedTLS中的大整数采用的字长是32位,这样在涉及到模除运算的时候,我们只需要关注大整数的最后一个字即可。

我们一步一步来看代码,首先是:

 if( T->n < N->n + 1 || T->p == NULL )
        return( MBEDTLS_ERR_MPI_BAD_INPUT_DATA );

首先T是用来保存两个大数相乘的中间变量,Tlimbs数必须足够大,当不够大或者为空的时候要返回错误。

// 将T的内容全部置为0
memset( T->p, 0, T->n * ciL );

d = T->p; //d指向T->p
n = N->n; //n记录N->n
m = ( B->n < n ) ? B->n : n; //m记录N->n和B->n中较小的一个

接下来是Montgomery multiplication的核心,一个循环:

for( i = 0; i < n; i++ )
    {
        /*
         * T = (T + u0*B + u1*N) / 2^biL
         */
        u0 = A->p[i];
        u1 = ( d[0] + u0 * B->p[0] ) * mm;

        mpi_mul_hlp( m, B->p, d, u0 );
        mpi_mul_hlp( n, N->p, d, u1 );

        *d++ = u0; d[n + 1] = 0;
    }

首先,有一点我们需要明确的是,函数接收的A和B其实是:

A = a × R (mod n)
B = b × R (mod n)

这也就是说明:

0 < A , B < n - 1

这意味着A和B只是低n×Bil上的内容是有意义的,在高于n×Bil位上的内容全部是0.

在这里插入图片描述
因此我们在处理的时候只需要考虑A和B的低n×Bil上的内容即可。

在这个循环中,u0=A->p[i],经过循环后u0会遍历A->p中的内容。

u1计算的内容是我们在博客一中提到的:s ≡ - a0 × n-1 (mod R)

d[0] + u0 × B->p[0] = A->p[i] × B->p[0] + T->p[0]

相当于每一轮计算的低32位再加上之前计算结果中的低32位。为什么要只计算低32位呢?这就是蒙哥马利算法很巧妙的地方,因为R的取值是232,这说明一个数在模232之后只用看他的低32位内容即可,也就是说我们只用关注第一个字即可(MbedTLS中低位放在前面的字中)。

再乘上mm,我们在博客二中提到了mm ≡ -n-1 (mod R)

于是我们现在就得到了u1 ≡ - T0 × n-1 (mod R)

读者可能会注意到,为什么u1是两个字相乘的结果,应该占2个字的存储空间,为什么我们只用了一个字来存放?这是因为高位字的内容模R等于0,我们只需要关注低位字就行了。

mpi_mul_hlp( m, B->p, d, u0 );
mpi_mul_hlp( n, N->p, d, u1 );

这里计算了:

d + = u0 × B + u1 × N

在这里我们讨论一下d现在有多少个字长?
首先u0u1都是一个字长,而B的长度小于等于n个字,N的长度等于n个字。那么d的长度应该不超过n+1个字。

图解如下:

在这里插入图片描述

到这里我们就只差最后一步了,这个时候的d[0]的内容已经全是0(原因可以见博客一,这里就不解释了),下面我们需要进行右移操作,将整个d向右移动一个字,在这里MbedTLS采用了一种非常聪明的办法,并不是右移数字,而是左移指针

*d++ = u0;

在这里插入图片描述
最后d[n+1]=0,是为了防止内存中出现其它的数据干扰计算结果。
因为我们通过图解可以看到d的数据不可能超过d[n],d[n+1]用来保存的是
d[n]的内容,在下一个循环开始之前,我们将这个内容清空,方便保存d[n]。

每左移一次指针,就相当于除以232,一共左移了n次指针,一共就相当于除以了232×n,就相当于除以R

在这个循环结束后,我们就得到了一个长度为n+1个字的d,此时的
d=d[n]

此时的d[0]d[n-1]也记录了A->pn个字的内容。
在这里插入图片描述

在这个循环结束之后,我们就已经计算到了:
X = A × B × R-1 (mod n)

下面我们将这(n+1)个字的值copy给A:

 memcpy( A->p, d, ( n + 1 ) * ciL );

就相当于完成了:

A = A × B × R-1 (mod n)

最后我们需要检查一下A是否大于N,如果大于N的话就直接 A=A-N就行,在数学上有严格的证明可以证明 A < 2×N

if( mbedtls_mpi_cmp_abs( A, N ) >= 0 )
        mpi_sub_hlp( n, N->p, A->p );
    else
        /* prevent timing attacks */
        mpi_sub_hlp( n, A->p, T->p );

最后将T->p中的低n个字(也就是A->p)的内容清除是为了防止时序攻击,与算法的实现原理关系不大。

写在最后

从刚开始研究蒙哥马利到写完这篇博客,已经断断续续地过了一个星期的时间,在这个时间里我慢慢了解到了蒙哥马利算法的精巧,同时在实现的过程中也有很多小技巧需要去琢磨。在师兄们的无私帮助之下,我总算写完了这三篇博客,博客内也可能有一些错误,欢迎大家的批评指正。

黑羽令之王
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Montgomery算法安全漏洞的SPA攻击算法
01-15
针对Montgomery算法本身存在可被侧信道攻击利用的信息泄露问题,从理论和实际功耗数据2方面分析了Montgomery算法存在的安全漏洞,并基于该漏洞提出了对使用Montgomery算法实现的模幂运算进行简单能量分析(SPA,...
MbedTLSMontgomery算法实现解析(二)
qq_43324702的博客
11-11 518
MbedTLSMontgomery函数 Montgomery initialization 在第一篇博客,我们主要介绍了Montgomery算法的数学原理,下面我们将介绍在代码上要如何实现Montgomery算法。 在MbedTLS,采用了232作为R,这是为了便于处理大数,在这里我们的mbedtls_mpi_uint类型数据定义的是32位的整数。那么如果涉及到模除**232**的操作,我们只需要针对X->p[0],也就是低32位即可。 \\mm = -N ^-1 mod R static v
蒙哥马利算法详解
ayang1986的专栏
12-28 9684
转载自:https://blog.csdn.net/zgzczzw/article/details/52712980 这篇文章为大家梳理一下整个蒙哥马利算法的本质,蒙哥马利算法并不是一个独立的算法,而是个相互独立又相互联系的算法集合,其包括 蒙哥马利乘模,是用来计算x⋅y(modN)x⋅y(modN) 蒙哥马利约减,是用来计算t⋅ρ−1(modN)t⋅ρ−1(modN) 蒙...
蒙哥马利约减
weixin_39057744的博客
02-25 1389
蒙哥马利解决的问题 x≡x1mod  qx \equiv x_1 \mod qx≡x1​modq 模运算在硬件非常的慢,运比乘法慢的多,要进行优化,因此要想办法用乘 法及其它简单运算来替代模运算。 取R=2nR=2^{n}R=2n,则在R上的模运算和除运算都非常简单,假设n=32; xR=x>>32 \frac{x}{R} = x>>32Rx​=x>>32 xmod  R=x&((1<<32)−1)mod  Rx\mod R= x\&((1
【转】蒙哥马利算法学习
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
05-21 920
普通算法,在计算模N时,利用的是带余除法,除法运算需要太多次乘法,计算复杂度较高,蒙哥马利算法的思想就是利用进制表示简化除法运算,转化成位运算。根据重复平方-乘方法,模幂运算就有很多步的模乘运算,这恰恰可以发挥蒙哥马利模乘的优势。具体的,在重复平方法的每一次模乘都利用蒙哥马利模乘进行计算,把需要的参数提前计算好就行。蒙哥马利算法是为了简化模N NN的复杂度,当N是比较大的数时,模N需要多次的加、减、乘运算。而且前面提到,蒙哥马利算法的主要思想是把取模运算变得简单,到底是怎么做到的呢?
MbedTLSMontgomery算法实现解析(一)
qq_43324702的博客
11-11 1224
MbedTLSMontgomery算法实现解析(一) 蒙哥马利算法模乘介绍 蒙哥马利模乘算法主要是为了进行大数运算a×b mod n,并且针对CPU进行了并行优化,来快速计算模乘。 在介绍蒙哥马利模乘之前,先让我们来了解蒙哥马利约减(Montgomery reduction) 蒙哥马利约减(Montgomery reduction) 首先,让我们来考虑一个简单的问题: a mod n 如果a是一个2048位的整数,n是一个1024位的整数,那我们要如何来计算结果呢? 如果我们直接采用相除的方式,不论在时
测试堆空间常用jvm参数
小鲁班-JAVA开发
09-05 417
-Xms:设置初始分配大小,默认为物理内存的“1/64”-Xmx:最大分配内存,默认为物理内存的“1/4” 1.设置初始堆大小:-Xms10M 或-Xms1000K
一种改进的Montgomery阶梯算法及其实现
10-17
《一种改进的Montgomery阶梯算法及其实现》 在信息技术领域,大数模幂运算扮演着至关重要的角色,尤其在密码学的Diffie-Hellman和RSA加密系统。模幂运算,即求解ax(mod m),是这些系统的核心计算之一。然而,大...
Montgomery算法在ARM上的快速实现
04-23
Montgomery算法在ARM上的快速实现,详细讲解了该算法实现,绝对是好东西
基于Karatsuba递归思想的Montgomery模乘算法
10-25
通过增加硬件资源并利用并行和流水线技术,基于Karatsuba递归思想的Montgomery模乘算法可以被高效地实现在硬件上,适用于高速密码芯片的构建,不仅限于RSA系统,还能够应用于其他公钥体制的加解密处理器。...
Montgomery Powering Ladder算法笔记
01-08
算法出处 Koc C K, Paar C. The Montgomery Powering Ladder[C]. CHES 2002, LNCS 2523, pp. 291–302, 2003. 1. 目的 计算 可并行性:R0和R1的乘法和平方可以交给两个不同的乘法器来并行。   作者:网糸隹
蒙哥马利模乘算法简介
zhushuanghe的博客
12-15 7055
蒙哥马利模乘算法 标签(空格分隔): 蒙哥马利模乘 解决的问题: 快速求解大整数的模乘: 已知x<N,y<N,求xymod  N已知 x < N, y < N,求xy \mod N已知x<N,y<N,求xymodN 推荐博客 维基百科:https://en.wikipedia.org/wiki/Montgomery_modular_multiplication csdn: https://blog.csdn.net/zgzczzw/article/details/5
蒙哥马利算法(Montgomery Algorithm)|蒙哥马利约简、模乘、模幂
热门推荐
国科大网安二班的博客
01-22 1万+
Montgomery Algorithm(蒙哥马利算法) 蒙哥马利算法分为3种,蒙哥马利模乘,蒙哥马利约简,蒙哥马利模幂 1、从蒙哥马利模乘说起 模乘是为了计算ab(modN)ab\pmod{N}ab(modN)。普通算法,在计算模N时,利用的是带余除法,除法运算需要太多次乘法,计算复杂度较高,蒙哥马利算法的思想就是利用进制表示简化除法运算,转化成位运算。 蒙哥马利形式:为了计算ab(modN)ab\pmod{N}ab(modN),找一个RRR,然后使得a′≡aR(modN),b′≡bR(modN)a'
蒙哥马利约减和barret约减代码
weixin_39057744的博客
11-13 1300
#include<iostream> using namespace std; pair<int, int> exgcd(int a, int b) { int r0 = a, y0 = 1, u0 = 0; int r1 = b, y1 = 0, u1 = 1; int r2, y2, u2; while (r1 = a * y1 + b * u1) { auto q = r0 / r1; y2 = y0 - q * y1, u2 = u0 - q * u1;
加密算法基础- Montgomery(蒙哥马利)乘法介绍
问题的博客
08-28 1万+
Montgomery乘法是公钥算法实现的一个核心算法,其主要作用是为模乘运算加速。 在公钥算法实现,通常需要计算a mod M、a*b mod M、a^b mod M等,一般看见mod M,最直接想到的当然是除法,可是除法运算慢且实现难,于是,就有人发明了一种不需要计算除法的计算模的方法,这就是所谓的Montgomery乘法。 Montgomery乘法的数学表达是A*B*R^(-1) mo
Montgomery模乘算法
aiyimo_的博客
12-04 9898
本文节选自《密码学引论》第二版。        Montgomery算法把部分积对任意的n取模运算转化为对数基R的取模,由于R比n小得多,对数基R的取模运算要比对n的取模运算简单得多。对于特别选择的R可使得对R的取模运算变为移位运算,从而可以提高模乘运算的速度。因为利用Montgomery算法可以实现快速模幂运算,所以Montgomery算法在RSA密码的软硬件实现得到广泛应用。      ...
牛客国庆Day5B(蒙哥马利算法)
qkoqhh
12-26 429
题目链接:https://ac.nowcoder.com/acm/contest/205/B?&amp;amp;amp;amp;headNav=www 原来窝被这算法虐过么= =! 这个算法其实是用来解决RSA计算公钥的问题的,是个底层常数优化算法。。 主要解决两个问题: 蒙哥马利约减,即tp−1&amp;amp;amp;nbsp;(mod&amp;amp;amp;nbsp;m)tp^{-1}\ (mod\ m)tp−1&amp;amp;amp;nbsp;(
蒙哥马利算法模乘(四)
最新发布
qq_32100199的博客
11-05 433
一 蒙哥马利算法模乘介绍 蒙哥马利模乘算法主要为了进行大数运算a*b mod n,在介绍蒙哥马利模乘之前,先让我们来了解蒙哥马利约减。
RSA算法的VLSI实现:系统级设计与性能优化
本文主要探讨了位级RSA算法的VLSI(Very Large Scale Integration)实现,特别是在现场可编程门阵列(FPGA)和应用特定集成电路(ASIC)设计的应用。RSA算法,因其基于大数因子分解的特性,是现代数据加密和数字...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值