[发明专利]用于生成比特向量的方法

说明书

技术领域

本发明涉及一种用于生成比特向量的方法以及用于实施该方法的电路装置。

背景技术

密码设备和密码算法容易遭受攻击，其中应该通过其来操纵或读出受保护的数据。在当今常用的加密方法中比如“advanced encryption standard，先进加密标准”AES中使用密钥，其由于具有128和更多比特的密钥长度甚至在采用快速计算技术的情况下也不能通过“尝试”（所谓的“蛮力”攻击）来确定。攻击者因此还检查一种实施的副效应，如电流耗用的时间变化曲线、在加密操作时电路的时长或电磁辐射。因为攻击并不是直接针对函数，所以把这种攻击称作侧信道攻击。

这种侧信道攻击（side channel attacks）利用了在设备中密码系统的的物理实施。在此该控制设备利用密码函数在实施密码算法时被观测，以找到在所观测的数据与密钥假设之间的关联。

已知有许多侧信道攻击，如其例如在Mangard、Oswald和Popp的出版物在“Power Analysis Attacks（功率分析攻击）”（Springer 2007）中所述的一样。尤其利用“differential power analysis（差分功率分析）”（DPA）在实际中能够实施对AES密钥的成功攻击。

其中在密码计算期间微处理器的电流消耗被记录，并通过静态方法把电流耗用的痕迹与假设相比较。

在已知的使得DPA变得困难的方法中，其介入算法本身。在此在掩蔽时利用随机变化的操作数来实施操作，并在结果中然后再次计算出该随机值，这意味着，这种随机并不影响结果。另一可能性是所谓的隐藏，其中通过相应的低-高过渡来尝试对高-低过渡进行补偿。

在文献US 6 510 518 B1中公开了用于所谓智能卡的一种密码方法以及其他的密码逻辑系统。在该文献中描述了一种采用密钥的方法，以便用密码方式处理消息。在此所接收的消息在硬件单元中被处理，其中实施了多个子操作。每个子操作都把输入通过中间级传输给输出，其中实施了一定数量的状态变换，该状态变换的数量又与要处理的消息以及所使用的密钥无关。

文献US 6 327 661 B1描述了用于保护密码系统以防止外部攻击的一种方法。在此降低了可用信息的量。为此在密码处理时记录不可预测的数据或信息。其描述了采用不同技术、诸如降低信噪比的实施。所介绍的技术可以以硬件或软件来实现，可以采用数字和模拟技术的组合，并且可以在许多密码装置中被应用。

发明内容

在此背景下，本发明推荐了具有权利要求1所述特征的用于生成比特向量的方法以及根据权利要求8所述的用于生成比特向量的电路装置。实施由从属权利要求、说明书和附图得到。

与现有技术相反，所推荐的方法并不介入算法，并从而可以应用于任意的密码方法。另外，对附加硬件和处理时间具有较低的要求。所介绍的方法不仅适用于加密，而且适用于解密。在此可以生成掩码备用。其可以分别针对多个密码操作来应用。因此掩码生成并不降低操作的效率，因此该方法适合作为防护边信道攻击的措施。

在一个实施中，从而设置了一种电路装置，其用于由预给定的输入信号来生成比特向量（掩码），以掩蔽密码操作的至少一个密钥和/或数据（纯文本、密文），以保护所述的密码操作以防边信道攻击，诸如DPA（differential power analysis，差分功率分析）攻击。在此该电路装置具有至少两个如下装置：所述装置分别由m个相同构造并且相同控制的、各具有n个相关的（也即确定状态自动机状态的）存储器单元的状态自动机构成，其中m=2ⁿ。所述m个状态自动机在掩码生成开始时或者在比特向量生成开始时利用各一个另外的起始状态而被初始化，其中在一装置中的所有这些状态自动机以相同方式与相同输入信号连接，并且使用每个装置的至少一个输出信号来形成所述的比特向量。对于这两个装置，值m以及从而n也可以是不同的。

也可以由第一计数器来输入计数器比特。该计数器对直到现在为止所提供的输入向量的数量进行计数。

在另一扩展中，在一装置中所使用的m个状态自动机被构造为：使得在利用m个不同的状态来初始化所有这些状态自动机时保证了所有的状态自动机根据任意的输入信号而总是具有不同的状态。

另外还可以规定，由输入信号来形成切换信号y。该切换信号尤其用于改变该状态自动机的传输函数，使得根据输入信号而在两个简单的线性传输函数之间进行切换。所述切换应该在不同的装置中尽可能不同地进行。