[发明专利]用于从用作物理不可克隆功能的存储器中生成密码密钥的系统

说明书

技术领域

本发明涉及用于生成密码密钥(cryptographic key)的电子系统，该系统包括：被用作物理不可克隆功能的存储器，该存储器是可写的、易失的并且被配置成在该存储器每次上电时，该储存器安置取决于该存储器的至少部分随机物理特性的存储器内容，通过存储器接口该存储器是可访问的；以及密钥导出单元，其被配置成从该存储器安置的存储器内容中导出该密码密钥。

背景技术

物理不可克隆功能(PUF)已被证明是多种形式的安全识别——包括安全存储器中密钥、识别符等的存储——的有利替代。

物理不可克隆功能采用制造变化来获得数字识别符。该数字识别符因此被绑定到物理媒质。因为物理不可克隆功能取决于随机工艺变化，因此易于形成PUF，但是即使不是完全不可能也非常难于形成产生特定预定识别符的PUF。制造变化导致存储器元件的不同物理特性。例如，物理特性可包括：掺杂浓度、氧化层厚度、沟道长度、结构宽度(例如，金属层的结构宽度)、寄生现象(例如，电阻、电容)等。当多次制造数字电路设计时，这些物理特性会稍微变化并且它们共同引起IC元件(例如，存储器元件)的行为在一些情况下表现为不同。例如，启动行为是由物理特性中的制造变化确定的。

对于PUF来说，合意选择是易失存储器，尤其是基于存储器的触发器，更具体地是静态随机存取存储器(SRAM)。这样的存储器易于评估并且制造成本低。基于SRAM的PUF被称作SRAM PUF。SRAM具有的属性是在上电之后，它们被填充以随机模式的开比特和关比特。尽管该模式在下一次SRAM上电时不可准确度地重复自身，但是两个这样的模式之间的差异通常远小于该状态中比特数的一半。相同SRAM的存储器上电内容之间的差异一般远小于不同SRAM的存储器上电内容之间的差异。

由于当相同的询问(challenge)被评估两次时PUF可能未给出完全相同的结果，因此可使用所谓的辅助数据(Helper Data)算法(也被称作模糊提取)来确保每次导出的密钥相同。例如，在国际专利申请WO 2006/129242，“Template Renewal in Helper Data Systems”等描述了一种使用辅助数据以根据噪声测量构造可复写的值的方式。

PUF(尤其是SRAM PUF)的一个应用是导出电子电路上的密码密钥。该电子电路通常包括集成电路(IC)和/或可编程逻辑。

PUF的一个优点是它们本质上拥有抗篡改特性。没有PUF的话，通过在其中密钥以常规方式存储的非易失存储器上安装物理攻击，攻击者可恢复密码密钥。例如，攻击者可打开存储器并且探查它的内容。使用PUF使得这种类型的攻击困难得多，原因在于打开PUF通常会干扰它；探查例如SRAM的动态内容比探查嵌入式非易失存储器困难得多。因此，攻击者从他的探查获得的信息与用于创建密码密钥的交互无关。这样使得攻击者更难以使用物理攻击找到密钥。

遗憾的是，侵入的物理攻击不是攻击者可获得有关PUF的内部状态的至少一些信息所依据的唯一攻击矢量。所谓的侧信道也可能泄漏信息。侧信道是系统上与该系统内部出现的物理现象有关的信息源，该信息源可以从该系统的外部观察到并且该信息源除了揭示该系统的预期可观察的输入输出行为之外还揭示至少在某种程度上与该系统的内部操作和/或状态相关联的信息。

功率消耗、时间消耗和电磁辐射是与密码系统相关的侧信道的实例。例如，系统使用密码密钥时监测的密码系统的功率消耗可在一定程度上与密钥相关联。由于将密码密钥保密是最重要的，因此与该密钥相关联的任何信息泄露是有问题的。

在公布为WO/2010/100015、标题为“System for establishing a cryptographic key depending on a physical system”的国际专利申请PCT/EP2010/051631中公开了减少在从PUF导出密钥的误差校正部分期间(即，在执行辅助数据算法期间)出现的侧信道泄漏的解决方案。误差校正是避免侧信道泄漏的特别重要的阶段，原因是它多次处理敏感数据，引入多个非线性相关。此外，如果误差校正被实施在软件中则泄漏被放大。

发明内容

已经证明，一旦解决了可能在误差校正期间出现的侧信道泄漏，则留下较小的侧信道泄漏源。尽管这些较小的源需要更复杂的测量并且甚至在成功测量之后仅提供相对少的敏感信息，但仍然期望解决可能在机密密钥的导出期间出现的其它侧信道泄漏源。