对于 RSA 蒙哥马利乘法,不同 MWR2MM 算法的 Bizzare 相同错误结果
Bizzare identical incorrect results across different MWR2MM algorithms for RSA montgomery multiplication
背景
我正在尝试使用各种不同的蒙哥马利方法在硬件 (xilinx ZYNQ FPGA) 中实现 RSA 2048。我正在使用 Xilinx HLS(本质上是合成到硬件中的 C++ 代码)来实现该算法。
注意:为了这个 post,把它当作一个标准的 C++ 实现,除了我可以有像位向量一样高达 4096 位宽的变量,并使用 foo[bit] 或 foo.range(7,0) 语法访问各个位。我还没有将它并行化,所以它应该像标准 C++ 代码一样运行。请不要害怕并停止阅读,因为我说了 FPGA 和 HLS 这个词。就像 C++ 代码一样对待这个。
我已经能够得到一个工作原型,它使用标准的平方和乘法进行模幂运算,并使用标准的 radix-2 MM 算法进行模乘,但是它占用了太多空间 space 在 FPGA 上,我需要使用较少的资源密集型算法。
为了节省 space,我正在尝试实施 Tenka-koc 可缩放多字基数 2 蒙哥马利乘法 (MWR2MM) 提议 here。我已经为此苦苦挣扎了一个月,但无济于事。然而,由于我的努力,我无法弄清楚一个有趣的问题。
问题
我的问题是 MWR2MM 在执行蒙哥马利乘法时没有 return 正确答案。但是,我开始认为这不是编码错误,而是我只是误解了有关算法使用的一些关键内容。
MWR2MM 算法有多种变体,实现方式也大相径庭,我已经尝试实现其中的许多变体。我目前编码了 4 种不同的 MWR2MM 实现,所有这些都是基于对许多论文中提出的算法的修改。 是什么让我认为我的实现实际上是正确的,因为所有这些不同版本的算法都是return相同的错误答案!我不认为这是巧合,但我也不认为已发布的算法是错误的……因此,我认为实际上正在发生更邪恶的事情,而我的算法实现是正确的。
示例 1
例如,以tenca-koc的论文中提出的最初提议的MWR2MM为例,我们称之为MWR2MM_CSA,因为该算法的加法运算在硬件实现时都使用进位保存加法器(CSA) .
- S是部分和
- M是模数
- Y是被乘数
- X 是乘数,x_i(下标)是单个位(例如 X = (x_n,...,x_1,x_0)。
- 上标是词向量(例如M = (0,M^{e-1},...,M^1,M^0)
- (A,B) 是两个位向量的串联。
- m为操作数宽度
- w是选择词的宽度
- e 是完成向量所需的 w 位字数,(例如 e = ceil((m+1)/w) )
我对该算法的实现使用了以下参数:
MWR2MM_m = 2048 (operand size, m from above)MWR2MM_w = 8 (word size, w from above)MWR2MM_e = ceil( (e+1)/w ) = 257 (number of words + 1 per operand, e from above)ap_uint<NUM_BITS> 是您在 HLS
我的代码:
void mwr2mm_csa( ap_uint<MWR2MM_m> X,
ap_uint<MWR2MM_w> Y[MWR2MM_e+1],
ap_uint<MWR2MM_w> M[MWR2MM_e+1],
ap_uint<MWR2MM_m> *out)
{
// Declare and zero partial sum S
ap_uint<MWR2MM_w> S[MWR2MM_e] = 0;
for (int i=0; i<MWR2MM_e; i++)
S[i] = 0;
// Two Carry bits
ap_uint<1> Ca=0, Cb=0;
for (int i=0; i<MWR2MM_m; i++)
{
(Ca,S[0]) = X[i]*Y[0] + S[0]; // this is how HLS concatenates vectors, just like in the paper!
if (S[0][0] == 1) // if the 0th bit of the 0th word is 1
{
(Cb,S[0]) = S[0] + M[0];
for (int j=1; j<=MWR2MM_e; j++)
{
(Ca, S[j]) = Ca + X[i]*Y[j] + S[j];
(Cb, S[j]) = Cb + M[j] + S[j];
S[j-1] = ( S[j][0], S[j-1].range(MWR2MM_w-1,1) );
}
}
else
{
for (int j=1; j<=MWR2MM_e; j++)
{
(Ca, S[j]) = Ca + X[i]*Y[j] + S[j];
S[j-1] = ( S[j][0], S[j-1].range(MWR2MM_w-1,1) );
}
}
}
// copy the result to the output pointer
for (int i=0; i<MWR2MM_e-1; i++)
out->range(MWR2MM_w*i+(MWR2MM_w-1), MWR2MM_w*i) = S[i].to_uchar();
}
现在,我的理解是(引用上面的论文)
the Montgomery Multiplication (MM) algorithm on two integers X and Y ,
with required parameters for n bits of precision, will result in the
number MM(X,Y,M) = XY(2^-n) (modulo m), where r=2^n and M is an
integer in the range (2^(n-1), 2^(n)) such that gcd(r,M)=1. Since
r=2^n , it is sufficient that the modulus M be an odd integer.
因此,我们应该期待以下结果(已通过软件库验证):
X = 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
Y = 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
M = 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
MM(X,Y,M) = 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
但是,我的算法 returns
MWR2MM_csa(X,Y,M) = 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
示例 2
好吧,也许那个实现是错误的。让我们尝试另一个修改版本,MWR2MM_CPA 算法(以硬件中使用的进位传播加法器命名):
我的实现 MWR2MM_CSA:
void mwr2mm_cpa(rsaSize_t X, rsaSize_t Yin, rsaSize_t Min, rsaSize_t* out)
{
// extend operands to 2 extra words longer
ap_uint<MWR2MM_m+2*MWR2MM_w> Y = Yin;
ap_uint<MWR2MM_m+2*MWR2MM_w> M = Min;
ap_uint<MWR2MM_m+2*MWR2MM_w> S = 0;
ap_uint<2> C = 0;
bit_t qi = 0;
// unlike the previous example, we store the concatenations in a temporary variable
ap_uint<10> temp_concat=0;
for (int i=0; i<MWR2MM_m; i++)
{
qi = (X[i]*Y[0]) xor S[0];
// C gets top two bits of temp_concat, j'th word of S gets bottom 8 bits of temp_concat
temp_concat = X[i]*Y.range(MWR2MM_w-1,0) + qi*M.range(MWR2MM_w-1,0) + S.range(MWR2MM_w-1,0);
C = temp_concat.range(9,8);
S.range(MWR2MM_w-1,0) = temp_concat.range(7,0);
for (int j=1; j<=MWR2MM_e; j++)
{
temp_concat = C + X[i]*Y.range(MWR2MM_w*j+(MWR2MM_w-1), MWR2MM_w*j) + qi*M.range(MWR2MM_w*j+(MWR2MM_w-1), MWR2MM_w*j) + S.range(MWR2MM_w*j+(MWR2MM_w-1), MWR2MM_w*j);
C = temp_concat.range(9,8);
S.range(MWR2MM_w*j+(MWR2MM_w-1), MWR2MM_w*j) = temp_concat.range(7,0);
S.range(MWR2MM_w*(j-1)+(MWR2MM_w-1), MWR2MM_w*(j-1)) = (S.bit(MWR2MM_w*j), S.range( MWR2MM_w*(j-1)+(MWR2MM_w-1), MWR2MM_w*(j-1)+1));
}
S.range(S.length()-1, S.length()-MWR2MM_w) = 0;
C=0;
}
*out = S;
}
当 运行 具有相同的 X、Y 和 M 时,这也是 return 与 MWR2MM_CSA 完全相同的错误结果,尽管不同的位级操作。
MWR2MM_cpa(X,Y,M) = 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
为简洁起见,我将为您省去其他两种算法,它们也 return 同样的错误结果。我应该注意到,当使用 4 位操作数大小和 2 位字大小时,这两种算法都能正常工作。然而,任何其他操作数 size/word 大小组合都是不正确的,但对于所有四种不同的位级实现都有相同的错误结果。
我一辈子都弄不明白为什么所有四种算法 return 的结果都是一样的错误。我在第一个示例中的代码与 tenca-koc 论文中提出的算法逐字逐句相同!
我假设 MWR2MM 算法应该 return 与标准 radix-2 MM 算法的结果相同(在蒙哥马利域中),我是否不正确?它们具有相同的基数,因此无论字长如何,结果都应该相同。我应该不能相互交换这些算法吗?
抱歉冗长 post,但我想非常准确和连贯地解释问题所在。 我不是在寻求帮助来调试我的代码,而是想弄清楚我是否误解了蒙哥马利乘法算法的基本特征。也很好奇为什么不同的实现会给出相同的 WRONG 结果。
谢谢!
问题是你的算法实际上 returns:
0x116c27cbc37...
^
大于 M。如果从中减去 M,您将得到预期的答案:
两种算法return 0 到 2*M 范围内的值,因此如果答案大于或等于 M,则需要最后的减法阶段。
换句话说,如果您使用随机选择的 X 和 Y 测试您的算法,您应该会发现它有一半的时间给出了正确答案。
来自论文的第 2 部分:
Thus only one conditional subtraction is necessary to bring S[n] to the required range 0 ≤ S[n] < M.
This subtraction will be omitted in the subsequent discussion since it is independent of the specific algorithm and architecture and can be treated as a part of post processing.
背景
我正在尝试使用各种不同的蒙哥马利方法在硬件 (xilinx ZYNQ FPGA) 中实现 RSA 2048。我正在使用 Xilinx HLS(本质上是合成到硬件中的 C++ 代码)来实现该算法。
注意:为了这个 post,把它当作一个标准的 C++ 实现,除了我可以有像位向量一样高达 4096 位宽的变量,并使用 foo[bit] 或 foo.range(7,0) 语法访问各个位。我还没有将它并行化,所以它应该像标准 C++ 代码一样运行。请不要害怕并停止阅读,因为我说了 FPGA 和 HLS 这个词。就像 C++ 代码一样对待这个。
我已经能够得到一个工作原型,它使用标准的平方和乘法进行模幂运算,并使用标准的 radix-2 MM 算法进行模乘,但是它占用了太多空间 space 在 FPGA 上,我需要使用较少的资源密集型算法。
为了节省 space,我正在尝试实施 Tenka-koc 可缩放多字基数 2 蒙哥马利乘法 (MWR2MM) 提议 here。我已经为此苦苦挣扎了一个月,但无济于事。然而,由于我的努力,我无法弄清楚一个有趣的问题。
问题
我的问题是 MWR2MM 在执行蒙哥马利乘法时没有 return 正确答案。但是,我开始认为这不是编码错误,而是我只是误解了有关算法使用的一些关键内容。
MWR2MM 算法有多种变体,实现方式也大相径庭,我已经尝试实现其中的许多变体。我目前编码了 4 种不同的 MWR2MM 实现,所有这些都是基于对许多论文中提出的算法的修改。 是什么让我认为我的实现实际上是正确的,因为所有这些不同版本的算法都是return相同的错误答案!我不认为这是巧合,但我也不认为已发布的算法是错误的……因此,我认为实际上正在发生更邪恶的事情,而我的算法实现是正确的。
示例 1
例如,以tenca-koc的论文中提出的最初提议的MWR2MM为例,我们称之为MWR2MM_CSA,因为该算法的加法运算在硬件实现时都使用进位保存加法器(CSA) .
- S是部分和
- M是模数
- Y是被乘数
- X 是乘数,x_i(下标)是单个位(例如 X = (x_n,...,x_1,x_0)。
- 上标是词向量(例如M = (0,M^{e-1},...,M^1,M^0)
- (A,B) 是两个位向量的串联。
- m为操作数宽度
- w是选择词的宽度
- e 是完成向量所需的 w 位字数,(例如 e = ceil((m+1)/w) )
我对该算法的实现使用了以下参数:
MWR2MM_m = 2048 (operand size, m from above)MWR2MM_w = 8 (word size, w from above)MWR2MM_e = ceil( (e+1)/w ) = 257 (number of words + 1 per operand, e from above)ap_uint<NUM_BITS>是您在 HLS 中声明位向量的方式
我的代码:
void mwr2mm_csa( ap_uint<MWR2MM_m> X,
ap_uint<MWR2MM_w> Y[MWR2MM_e+1],
ap_uint<MWR2MM_w> M[MWR2MM_e+1],
ap_uint<MWR2MM_m> *out)
{
// Declare and zero partial sum S
ap_uint<MWR2MM_w> S[MWR2MM_e] = 0;
for (int i=0; i<MWR2MM_e; i++)
S[i] = 0;
// Two Carry bits
ap_uint<1> Ca=0, Cb=0;
for (int i=0; i<MWR2MM_m; i++)
{
(Ca,S[0]) = X[i]*Y[0] + S[0]; // this is how HLS concatenates vectors, just like in the paper!
if (S[0][0] == 1) // if the 0th bit of the 0th word is 1
{
(Cb,S[0]) = S[0] + M[0];
for (int j=1; j<=MWR2MM_e; j++)
{
(Ca, S[j]) = Ca + X[i]*Y[j] + S[j];
(Cb, S[j]) = Cb + M[j] + S[j];
S[j-1] = ( S[j][0], S[j-1].range(MWR2MM_w-1,1) );
}
}
else
{
for (int j=1; j<=MWR2MM_e; j++)
{
(Ca, S[j]) = Ca + X[i]*Y[j] + S[j];
S[j-1] = ( S[j][0], S[j-1].range(MWR2MM_w-1,1) );
}
}
}
// copy the result to the output pointer
for (int i=0; i<MWR2MM_e-1; i++)
out->range(MWR2MM_w*i+(MWR2MM_w-1), MWR2MM_w*i) = S[i].to_uchar();
}
现在,我的理解是(引用上面的论文)
the Montgomery Multiplication (MM) algorithm on two integers X and Y , with required parameters for n bits of precision, will result in the number MM(X,Y,M) = XY(2^-n) (modulo m), where r=2^n and M is an integer in the range (2^(n-1), 2^(n)) such that gcd(r,M)=1. Since r=2^n , it is sufficient that the modulus M be an odd integer.
因此,我们应该期待以下结果(已通过软件库验证):
X = 0xABA5E025B607AA14F7F1B8CC88D6EC01C2D17C536508E7FA10114C9437D9616C9E1C689A4FC54744FA7DFE66D6C2FCF86E332BFD6195C13FE9E331148013987A947D9556A27A326A36C84FB38BFEFA0A0FFA2E121600A4B6AA4F9AD2F43FB1D5D3EB5EABA13D3B382FED0677DF30A089869E4E93943E913D0DC099AA320B8D8325B2FC5A5718B19254775917ED48A34E86324ADBC8549228B5C7BEEEFA86D27A44CEB204BE6F315B138A52EC714888C8A699F6000D1CD5AB9BF261373A5F14DA1F568BE70A0C97C2C3EFF0F73F7EBD47B521184DC3CA932C91022BF86DD029D21C660C7C6440D3A3AE799097642F0507DFAECAC11C2BD6941CBC66CEDEEAB744
Y = 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
M = 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
MM(X,Y,M) = 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
但是,我的算法 returns
MWR2MM_csa(X,Y,M) = 0x16C27CBC37C109B048B0F8B860C3501DB2E90F07D9BF9F6A63839453AC6603776C8CBD7AE8974544C52F078AD035AF1AC58CBBD5DB5801CDF3CF876C43F29FC1719ADF46804928D8BB621FCD48988160602C47812299603181FD97AEC74B7BE563EA0B0CB9EC9B2559191D8EE6AE8092FF9E50ADC1B874BC40C9256D785A4920DC1C1A5DF2B8492B181D16841EEA5377524BDF9BCC8A6DC3919DD4FDF6BBD7BB9D8FC35D06D7A4135363A2AA7FA6AE43B335A2704B007E405731A0D5D352EF7C51AD58241D201E07FA86AA395BB8F5AB3C9B966D5DB966777B45FE47B1838B97AFED23907D7AF61CF809D0B934FC3899998BFEF5B11516CA76C62D999CED8840
示例 2
好吧,也许那个实现是错误的。让我们尝试另一个修改版本,MWR2MM_CPA 算法(以硬件中使用的进位传播加法器命名):
我的实现 MWR2MM_CSA:
void mwr2mm_cpa(rsaSize_t X, rsaSize_t Yin, rsaSize_t Min, rsaSize_t* out)
{
// extend operands to 2 extra words longer
ap_uint<MWR2MM_m+2*MWR2MM_w> Y = Yin;
ap_uint<MWR2MM_m+2*MWR2MM_w> M = Min;
ap_uint<MWR2MM_m+2*MWR2MM_w> S = 0;
ap_uint<2> C = 0;
bit_t qi = 0;
// unlike the previous example, we store the concatenations in a temporary variable
ap_uint<10> temp_concat=0;
for (int i=0; i<MWR2MM_m; i++)
{
qi = (X[i]*Y[0]) xor S[0];
// C gets top two bits of temp_concat, j'th word of S gets bottom 8 bits of temp_concat
temp_concat = X[i]*Y.range(MWR2MM_w-1,0) + qi*M.range(MWR2MM_w-1,0) + S.range(MWR2MM_w-1,0);
C = temp_concat.range(9,8);
S.range(MWR2MM_w-1,0) = temp_concat.range(7,0);
for (int j=1; j<=MWR2MM_e; j++)
{
temp_concat = C + X[i]*Y.range(MWR2MM_w*j+(MWR2MM_w-1), MWR2MM_w*j) + qi*M.range(MWR2MM_w*j+(MWR2MM_w-1), MWR2MM_w*j) + S.range(MWR2MM_w*j+(MWR2MM_w-1), MWR2MM_w*j);
C = temp_concat.range(9,8);
S.range(MWR2MM_w*j+(MWR2MM_w-1), MWR2MM_w*j) = temp_concat.range(7,0);
S.range(MWR2MM_w*(j-1)+(MWR2MM_w-1), MWR2MM_w*(j-1)) = (S.bit(MWR2MM_w*j), S.range( MWR2MM_w*(j-1)+(MWR2MM_w-1), MWR2MM_w*(j-1)+1));
}
S.range(S.length()-1, S.length()-MWR2MM_w) = 0;
C=0;
}
*out = S;
}
当 运行 具有相同的 X、Y 和 M 时,这也是 return 与 MWR2MM_CSA 完全相同的错误结果,尽管不同的位级操作。
MWR2MM_cpa(X,Y,M) = 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
为简洁起见,我将为您省去其他两种算法,它们也 return 同样的错误结果。我应该注意到,当使用 4 位操作数大小和 2 位字大小时,这两种算法都能正常工作。然而,任何其他操作数 size/word 大小组合都是不正确的,但对于所有四种不同的位级实现都有相同的错误结果。
我一辈子都弄不明白为什么所有四种算法 return 的结果都是一样的错误。我在第一个示例中的代码与 tenca-koc 论文中提出的算法逐字逐句相同!
我假设 MWR2MM 算法应该 return 与标准 radix-2 MM 算法的结果相同(在蒙哥马利域中),我是否不正确?它们具有相同的基数,因此无论字长如何,结果都应该相同。我应该不能相互交换这些算法吗?
抱歉冗长 post,但我想非常准确和连贯地解释问题所在。 我不是在寻求帮助来调试我的代码,而是想弄清楚我是否误解了蒙哥马利乘法算法的基本特征。也很好奇为什么不同的实现会给出相同的 WRONG 结果。
谢谢!
问题是你的算法实际上 returns:
0x116c27cbc37...
^
大于 M。如果从中减去 M,您将得到预期的答案:
两种算法return 0 到 2*M 范围内的值,因此如果答案大于或等于 M,则需要最后的减法阶段。
换句话说,如果您使用随机选择的 X 和 Y 测试您的算法,您应该会发现它有一半的时间给出了正确答案。
来自论文的第 2 部分:
Thus only one conditional subtraction is necessary to bring S[n] to the required range 0 ≤ S[n] < M. This subtraction will be omitted in the subsequent discussion since it is independent of the specific algorithm and architecture and can be treated as a part of post processing.