23、复合域上安全求逆的改进实现与公钥加密的KDM安全研究

复合域上安全求逆的改进实现与公钥加密的KDM安全研究

复合域上安全求逆的改进实现

在AES S盒的实现中，最耗费资源的操作是在有限域GF(2⁸)上计算乘法逆元。为了加速求逆操作的评估，人们提出了几种复合域方法。Kim等人利用复合域方法加速了Rivian - Prouff提出的AES S盒的安全高阶掩码，但由于使用了RefreshMaks过程，容易受到相关攻击。下面将详细介绍克服该攻击的方法。

复合域方法

在典型的复合域方法中，首先使用同构函数δ将GF(2⁸)中的元素映射到复合域中的元素，然后在复合域中计算逆元，最后通过逆映射函数δ⁻¹将结果转换回GF(2⁸)中的元素。具体步骤如下：
1. 应用同构函数δ，使得A = aₕγ + aₗ = δ(x) ∈ GF((2⁴)²)，其中aₗ, aₕ ∈ GF(2⁴)。
2. 计算A¹⁷，即d = λaₕ² + (aₕ + aₗ)aₗ ∈ GF(2⁴)。
3. 计算A¹⁷的逆元，即d′ = d⁻¹。
4. 计算A的逆元A⁻¹ = (A¹⁷)⁻¹ · A¹⁶ = aₕ′λ + aₗ′，其中aₕ′ = d′aₕ ∈ GF(2⁴)，aₗ′ = d(aₕ + aₗ) ∈ GF(2⁴)。
5. 应用逆映射函数δ′计算x的逆元，即x⁻¹ = δ′(aₕ′γ + aₗ′)。

复合域上的安全求逆

Kim等人通过对上述五个步骤进行安全掩码处理，实现了复合域上的安全求逆。线性函数δ和δ′可以通过对每个份额分别应用该函数来进行掩码处理。GF(2⁴)中的域乘法可以按照特定算法进行掩码处理，GF(2⁴)中的乘法逆元（即对操作数进行14次幂运算）可以通过两个线性操作（平方和