[发明专利]用于形成签名的装置和方法

说明书

技术领域

本发明涉及一种用于从输入信号形成签名的装置。

此外，本发明还涉及一种用于从输入信号形成签名的方法。

背景技术

例如在密码学方法中，上述类型的装置和方法被用于从可由用户预先给定的输入信号形成签名。例如根据AES（高级加密标准）的现代密码学方法由于相对较大的密钥长度和该方法的复杂度在目前的计算技术情况下通常足够好地防止“蛮力”攻击。因此，对密码学方法的攻击目前正日益增长地针对通常通过某些电子电路实现的特定实施。例如，在所谓的侧通道攻击范围中，攻击者尝试通过实现密码学方法的装置的电流消耗来获取信息，通过该信息可推断由该装置使用的算法或者密钥。类似的推断也可以从由该装置辐射的电磁场来获得。

在亦被称为差分功率分析（DPA）的攻击方法中，在尽可能多地不同的输入数据中确定密码学方法的子函数的取决于操作数的电流变化过程，并且在使用受攻击的密码学算法的模型情况下使该方法经受相关分析的不同密钥。

发明内容

因此，本发明的任务在于，改善开头部分所提及类型的装置和方法，以使得尤其基于差分功率分析方法的攻击方法难以分析密码学算法。

根据本发明，在开头部分所提及类型的装置的情况下通过以下方式来解决该任务：设置多个分别具有状态自动机的变换元件，能将输入信号和/或取决于该输入信号的信号分别在输入侧输送给这些变换元件，所有状态自动机是相同类型的且如此构造，尤其可初始化，以使得每个状态自动机始终分别具有不同于所有其他状态自动机的另一状态，并且签名可根据至少一个状态自动机的状态信息来形成。

通过根据本发明设置多个分别具有状态自动机的变换元件有利地确保，根据本发明的装置与传统配置相比不会仅导致如在传统地将单个变换元件用于形成签名时所给出的那样的电磁波辐射或者电流消耗或功率消耗的时间曲线。由此使得基于统计分析的攻击方法变得困难，因为根据本发明设置的其他变换元件连同其相应的辐射或者关于电流消耗或功率消耗的附加时间曲线使得统计上重要的关于所实施算法的信息的获取变得困难。

特别有利地，在根据本发明的装置的一个实施方式中提出，变换元件的数目对应于状态自动机的最大可能不同状态的数目。即，根据状态自动机的实施，选择待使用的变换元件的数目。由此有利地确保，根据本发明的装置的每个状态自动机在特定的观察时刻具有不同于所有其他状态自动机的另一状态，并且此外所有最大可能的不同状态在此观察时刻实际上分别在根据本发明装置的恰好一个变换元件中实现。这意味着，由外部进行的对根据本发明装置的分析始终仅能得到所有最大可能的状态被同时实现的结果，以使得基于统计分析的侧通道攻击、尤其是根据DPA原理的这些侧通道攻击完全不成功，而与攻击次数和所使用的输入数据的类型无关。

在根据本发明的装置的另一个优选实施方式中，可将输入信号以可预先给定长度的数据字的形式并行地输送给变换元件，并且签名可被形成为表示多个变换元件的状态自动机的状态信息的数据字的级联。

“签名形成”在本发明中不是指不可擦除意义下的密码学签名形成，而是更确切地在一般意义上来说是将签名中由输入信号表示的输入数据变换成相应的输出数据。这种一般的签名形成可按本身已知的方式借助具有多个输入端的移位寄存器、MISR、多输入移位寄存器进行。

为了确保通过根据本发明的变换元件来实现不同状态的理论上最大可能的数目，所涉及的状态自动机被构造成根据输入信号从初态转入到次态，从而对于任意的可预先给定的输入信号分别具有明确的次态，其中尤其不存在在相同输入信号下导致相同次态的两个不同的初态。

为了在形成签名时提高灵活性，因此在根据本发明装置的另一个有利的实施方式中提出，设置多组变换元件，其中可以分别将相同的输入信号和/或取决于该输入信号的相同信号输送给同一组的所有变换元件。

根据本发明将变换元件分成多个组有利地使得能够形成聚集签名，该聚集签名由第一组变换元件的输出信号分量和第二组变换元件的输出信号分量组成，由此进一步使得用于签名形成的算法的可追溯性变得困难。

在将相同类型的状态自动机既使用在第一组变换元件中又使用在第二组变换元件的情况下，可以有利地将输入信号输送给第一组变换元件并将经反相的输入信号输送给第二组变换元件，以便确保在不同的组中尽管有相同类型地构造的状态自动机，仍能分别得到不同的状态变化过程。

替换地或补充地可以提出，属于不同组的变换元件的状态自动机彼此不是相同类型的。