DS5250微控制器的模幂时序

DS5250高速、安全微控制器具有MAA（模块化算术加速器）。本应用笔记解释了MAA的幂法配置，讨论了执行时间的权衡，并显示了典型的执行时间。

介绍

模幂用于许多加密算法。任何实现这些算法之一的人都必须知道操作大约需要多长时间。本应用笔记描述了如何在DS5250高速、安全微控制器上完成模幂运算。它列出了运行各种表达式的典型时间，并描述了获取计时的代码流。

基本 MAA 操作

模幂是函数，（基数指数） 模量。例如，（29mod 10） 等于 （512 mod 10），等于 2。答案始终是介于 0 和模数 1 之间的数字。

DS5250上的MAA（模算术加速器）始终使用MAA寄存器“a”作为基数，MAA寄存器“e”作为指数，MAA寄存器“m”作为模数。MAA 寄存器“b”在操作前初始化为 1，并包含操作后的结果。MAA 大小寄存器（MAS1 和 MAS0 位于 A2h 和 A1h）告诉 MAA 这些寄存器中的最大位数。m 寄存器必须设置最高位才能工作。大小寄存器的值可以介于 2 到 4096 之间。

模块化算术加速器控制寄存器（A3h时的MACT）包含用于控制MAA操作的位。计算配置位（MACT 寄存器的 CLC1 和 CLC0）确定要执行的四个操作中的哪一个。运算可以是模乘法;模平方;模平方和乘法;以及这里讨论的操作，模幂。

模幂是用重复的平方和乘法计算的。平方运算是针对指数中的每个位完成的。只有在设置指数中的相应位时，才需要执行乘法运算。图 1 给出了模幂运算的伪代码。优化计算控制位（MACT 寄存器的 OCALC）确定是否对每个位执行乘法运算。启用 OCALC 位后，每次在指数中找到 1 位时，都会执行乘法运算。当禁用 OCALC 位时，对指数中的每个位（零或 1）进行乘法，从而为任何特定模量大小提供类似的时间计算。所有私钥计算都应在 OCALC=0（禁用）以及从环 （RNGSEL=1） 运行以避免定时攻击的情况下完成。

MAA 可以使用系统时钟运行，也可以从环运行。选择此选项时，MAA 以系统时钟速度的一半运行。因此，对于22.1MHz晶体，MAA将以10.05MHz运行。从系统时钟运行时，执行相同的值需要相同的时间。当MAA从环上运行时，执行时间可能因电压、温度和环的固有速度而异，这些速度因部件而异。MAA以环的全速运行。在表1和表2中的典型数据中，环在22Mhz附近运行。 MACT 寄存器的环形振荡器选择 （RNGSEL） 控制用于模幂运算的时钟。

典型的 MAA 时序

已收集的时间分为两组。第一组查看每个模数、基数和指数中的大数。第二组查看使用仅设置了 2 位的小指数（具体而言，值 10001h）时的时序。此数字有时用作 RSA 算法中的公共指数。在每个组中，有两半。前半部分已启用优化 （OCALC=1），后半部分禁用了优化。在每一半内，列出不同时钟源的典型定时值。这些计时均以毫秒 （ms） 为单位显示。

表中给出的典型时序值是使用每个寄存器中的随机值进行十种不同计算的平均值。模数是随机的，直到最高有效数字，始终为 1。通常，在每个参数中设置了大约一半的位。

每次计算的时序都是使用定时器0作为12分频时钟来测量的。当 16 位定时器 0 滚动更新时，将发生中断，并将 1 添加到六个外部计数字节中。在计算结束时，计时器停止，外部计数字节和 16 位计时器计数显示为 64 位数字，用于给出计算的长度。22.1MHz振荡器每个定时器的分辨率为543ns。分辨率在11.0592MHz时为1.085μs。图 2 包含用于对 MAA 计算进行计时的伪代码。

表 1.以毫秒为单位的模幂时间
（a、e 和 m 是随机值）

表 2.以毫秒为单位的模幂时间

（e = 10001h;a 和 m 是随机值）

图1.用于模幂的伪代码。

图2.用于对模块化幂计算进行计时的伪代码。

审核编辑：郭婷