32位DeepCover安全微控制器（MAXQ1050、MAXQ1850和MAXQ1103）为执行模块化运算提供硬件支持。这是使用称为模块化算术加速器 （MAA） 的引擎完成的。本应用笔记给出了各种模量尺寸、关键类型和优化级别的典型执行时间。

介绍

(资料图片仅供参考)

模幂用于几种加密算法，特别是RSA公钥算法和椭圆曲线数字签名算法（ECDSA）。它还用于发现素数和查找模逆。本应用笔记描述了什么是模幂，概述了MAA，并列出了执行各种大小幂的典型时间。

MAXQ30架构采用精简指令集计算机（RISC），所有指令长度为16位，在一个周期内执行。32 位算术和逻辑单元 （ALU） 在连接到 32 位总线时与 32 位寄存器和值一起工作。

模幂

模幂由以下等式描述：

结果 = 基数指数模量。

例如：9 = 7² mod 10。

在此示例中，9 是结果，7 是底数，2 是指数，10 是模数。在这种情况下，由于模数 10 在二进制中为 4 位长，因此大小为 4。

MAA 执行模加法、减法、乘法、平方、平方，然后乘法和模幂。所有这些操作都可以以最大 2048 位长度的模数完成。

MAA 从加密时钟运行。该时钟可能来自系统时钟，该系统时钟由外部晶体频率决定，或者从加密环运行。DeepCover安全微控制器（MAXQ1050和MAXQ1850）的内部加密环工作频率为55MHz至75MHz，典型速度为65MHz。DeepCover安全微控制器（MAXQ1103）的内部加密环可以以45MHz至65MHz的速度运行，典型速度为55MHz。®

MAXQ1050和MAXQ1850上的MAA相同，因此从加密环运行时的时序相同。这两部分的MAA使用32位×16位乘法器和32位数据总线。在MAXQ1103上实现MAA具有64位×32位乘法器和64位数据总线。MAXQ1103上的MAA执行速度更快，但代价是使用更多的硅面积。

在启用优化的情况下运行时，简单功耗分析 （SPA） 和差分功耗分析 （DPA） 等功耗分析攻击可能能够提取指数信息。建议始终使用私钥进行非优化计算。

表 1至 3中的数据是典型的运行时间。每个条目是 400 次计算的平均时间，使用基数、模数和指数的统一随机数，最高有效位设置为模数。在公钥计算的情况下，使用 0x10001 的十六进制值而不是随机数。这是 RSA 中公共指数的典型值。计算的时间是从操作开始到完成。不包括将值加载到内存中进行计算的时间。

通过采用中国余数定理（CRT），可以实现模指数运算的显著速度改进。使用 CRT 需要两个较小的模块化幂运算，而不是一个大的运算。不是对大模量执行模块化指数计算，而是对模量的两个因子进行模块化指数计算。例如，在 RSA 中，模数是两个素数 p 和 q 的乘积。如果p和q都是1024位，使用MAXQ1103对这些位进行两次模指数运算大约需要165ms。如果没有 CRT，则需要 2048 位模块化指数运算，大约需要 557 毫秒。CRT算法需要额外的计算，这将增加总时间，但预计速度会快两倍以上。

表1左侧的数据最有趣。这些是在非优化模式下从加密环运行时执行模块化幂运算的典型经过时间。使用优化和公钥的典型运行时间位于右侧两列中。

表 2 列出了在优化和非优化模式下对私钥数据执行模块化幂的典型时间。表 3 列出了在优化和非优化模式下使用公钥对这三个部分执行模幂的典型时间。