文档章节

256位NIST素域椭圆曲线运算优化细节之一(单个素数p的加减法)

safedead
 safedead
发布于 2015/10/10 19:17
字数 1041
阅读 608
收藏 3

在素域椭圆曲线运算过程中,256位加法和减法运算结果常常位于区间[0,p)之外的情形,需要做+p或是-p的运算

256位NIST素域椭圆曲线参数p的生成公式为:

p = 2^256 − 2^224 + 2^192 + 2^96 − 1

按照符号将此式分解得:

p = (2^256 + 2^192 + 2^96) - (2^224 + 1)

转化为16进制并按64位分节,变成下面的形式:

+: 0000000000000001 0000000000000000 0000000100000000 0000000000000000
-: 0000000100000000 0000000000000000 0000000000000000 0000000000000001
=: ffffffff00000001 0000000000000000 00000000ffffffff ffffffffffffffff

仔细观察可以发现,所涉及64位加法和减法中,只出现一个64位立即数:

0000000100000000

假设某次256位减法最终发生借位,其低256位数值保存于寄存器r8:r11中,现在需要+p运算以修正之,若是用构成p的4个立即数直接运算的话,其代码如下:

#   --------------
#   r8:r11 += p256
#   --------------
    addq    $0xffffffffffffffff, %r8
    adcq    $0xffffffff, %r9
    adcq    $0, %r10
    adcq    $0xffffffff00000001, %r11

由x64指令特性可知,这么书写是不允许的,大于32位的立即数会使编译通不过,通过前面的分析可知,可以将4个加法转化为3个加法和4个减法来实现,其代码如下:

    movq    $0x100000000, %rax
    addq    %rax, %r9
    adcq    $0x0, %r10
    adcq    $0x1, %r11
#   ----
    subq    $0x1, %r8
    sbbq    $0, %r9
    sbbq    $0, %r10
    sbbq    %rax, %r11

有没有其它方法呢?当然有,比如可以预先将素数p的4个64位数值保存于寄存器r12:r15中,其代码如下:

#   --------------
#   r12:r15 = p256
#   r8:r11 += p256
#   --------------
    addq    %r12, %r8
    adcq    %r13, %r9
    adcq    %r14, %r10
    adcq    %r15, %r11

为了一个256位常数牺牲4个通用寄存器是万不得已的选择,除非此运算占据整体运算的大部分,才值得这么做,比如对素数p求乘法逆时,超过80%的运算都是+/-p,此时有必要将素数p直接保存在通用寄存器中以便随时使用。

利用x64立即数书写规则,使用两个寄存器RAX:RDX生成素数p的内容,其代码如下:

#   ------------------------
#   rax = 0x00000000ffffffff
#   rdx = 0xffffffff00000001
#   ------------------------
    movq    $0xffffffff, %rax
    movq    %rax, %rdx
    negq    %rdx
#   --------------
#   r8:r11 += p256
#   --------------
    addq    $-1, %r8
    adcq    %rax, %r9
    adcq    $0, %r10
    adcq    %rdx, %r11

这里特别要注意立即数-1的实际数值,在x86汇编里相当于0xffffffff,即32个连续的二进制1,在x64汇编则是64个连续的二进制1,相当于0xffffffffffffffff,其它立即数的书写规则和x86一致,都是32位有符号立即数,只有movq指令对rax操作时,才支持64位立即数,千万要小心。

在编写256位NIST素域椭圆曲线倍点函数时,最终采用的方案是使用两个通用寄存器分别保存素数p的最高64位和最低64位,同时利用x64汇编的立即数书写规则,其数值的生成代码如下:

#   ------------------------
#   rbx = 0x00000000ffffffff
#   rbp = 0xffffffff00000001
#   ------------------------
    xorq    %rbp, %rbp
    movq    $0xffffffff, %rax
    movq    %rax, %rbx
    subq    %rax, %rbp

倍点函数内计算+p的代码如下:

#   ---------------
#   r12:r15 += p256
#   ---------------
    addq    $-1, %r12
    adcq    %rbx, %r13
    adcq    $0, %r14
    adcq    %rbp, %r15

倍点函数内计算-p的代码如下:

#   ---------------
#   r12:r15 -= p256
#   ---------------
    subq    $-1, %r12
    sbbq    %rbx, %r13
    sbbq    $0, %r14
    sbbq    %rbp, %r15

国密素域椭圆曲线SM2从公式上来讲和NIST素域椭圆曲线有相似之处,同样可以优化+/-素数p的汇编代码,首先我们回顾一下国密SM2的素数p取值:

p256 = FFFFFFFEFFFFFFFF FFFFFFFFFFFFFFFF FFFFFFFF00000000 FFFFFFFFFFFFFFFF

现仍旧使用2个通用寄存器缓存素数p的部分数值,其数值生成代码如下:

#   ------------------------
#   rbx = 0xFFFFFFFF00000000
#   rbp = 0xFFFFFFFEFFFFFFFF
#   ------------------------
    movq    $-0x100000000, %rbx
    movq    $-0x100000001, %rbp

SM2倍点函数内计算+p的代码如下:

#   --------------
#   r8:r11 += p256
#   --------------
    addq    $-1, %r8
    adcq    %rbx, %r9
    adcq    $-1, %r10
    adcq    %rbp, %r11

SM2倍点函数内计算-p的代码如下:

#   --------------
#   r8:r11 -= p256
#   --------------
    subq    $-1, %r8
    sbbq    %rbx, %r9
    sbbq    $-1, %r10
    sbbq    %rbp, %r11


© 著作权归作者所有

共有 人打赏支持
safedead
粉丝 2
博文 19
码字总数 16374
作品 0
海淀
国密SM2素域椭圆曲线快速约减算法x64编程研究(上)

这是NIST公开资料公布的256位素域椭圆曲线快速约减算法描述: p256 = (2 ^ 256) − (2 ^ 224) + (2 ^ 192) + (2 ^ 96) − 1p256 = ffffffff 00000001 00000000 00000000 00000000 ffffffff ......

safedead
2015/02/10
0
0
ECC非对称加密算法

椭圆曲线 椭圆曲线在代数上的表示是下面这个方程: y2 = x3 + ax + b 其中,a = 0, b = 7 (比特币系统所使用的版本),它的图形如下: 椭圆曲线有一些很有用的特征 一条非垂直的直线与椭圆曲线...

14142135623731
01/17
0
0
[以太坊源代码分析] IV. 椭圆曲线密码学和以太坊中的椭圆曲线数字签名算法应用

数字签名算法在Ethereum中的应用不少,目前已知至少有两处:一是在生成每个交易(Transaction, tx)对象时,对整个tx对象进行数字签名;二是在共识算法的Clique算法实现中,在针对新区块进行授...

teaspring
2017/09/04
0
0
椭圆曲线加解密及签名算法的技术原理及其Go语言实现

  椭圆曲线加密算法,即:Elliptic Curve Cryptography,简称ECC,是基于椭圆曲线数学理论实现的一种非对称加密算法。相比RSA,ECC优势是可以使用更短的密钥,来实现与RSA相当或更高的安全...

莫名2013
06/26
0
0
支持国密算法和标准的OpenSSL分支--GmSSL

GmSSL (http://gmssl.org) 是支持国密算法和标准的OpenSSL分支,增加了对国密SM2/SM3/SM4算法和ECIES、CPK、ZUC算法的支持,实现了这些算法与EVP API和命令行工具的集成。GmSSL由北京大学信息...

SimonZhao
2016/05/09
7.7K
8

没有更多内容

加载失败,请刷新页面

加载更多

Flask 开发填坑

插件的选择: flask-security 真的是个鸡肋啊。自带的页面,好丑。还不如用flask-login来做呢。

pearma
58分钟前
2
0
讲述下 :LVM逻辑卷管理遇到的问题

LVM学习逻辑卷管理创建逻辑卷遇到的问题 1 实验环境 系统 内核 发行版本 CentOS 2.6.32-754.2.1.el6.x86_64 CentOS release 6.10 (Final) 由于是最小化安装没有xfs命令,yum安装如下包支持此...

linuxprobe16
今天
1
0
day95-20180922-英语流利阅读-待学习

Hey Jude 半个世纪传唱不衰的背后故事 毛西 2018-09-22 1.今日导读 2004 年,The Beatles 被《滚石》杂志选为“历史上最伟大的 50 位流行音乐家的第一位”。这四名来自英国利物浦的男孩不仅对...

飞鱼说编程
今天
3
0
OSChina 周六乱弹 —— 放假前期焦虑症晚期

Osc乱弹歌单(2018)请戳(这里) 【今日歌曲】 @andonny :分享Matteo的单曲《Panama》: 《Panama》- Matteo 手机党少年们想听歌,请使劲儿戳(这里) @新垣吉衣OSC :我发现只要去有小朋友...

小小编辑
今天
339
10
wait()被notify()后,接着执行wait()后面的语句

wait()被notify()后,接着执行wait()后面的语句

noteman
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部