[发明专利]保护密码设备对抗实现攻击

说明书

描述了保护密码设备对抗实现攻击的方法。公开的方法包括以下步骤：从密码设备的存储器获得密钥(230)；向加密模块(240)提供密钥和恒定输入(210)；使用加密模块(240)导出加密数据比特的输出(250)；向密钥更新模块(260)提供输出(250)、密钥(230)和输入向量(270)；以及使用所述密钥更新模块(260)基于输入向量(270)的至少一部分(270^a)修改密钥以导出已更新密钥(230^a)。这防止使用已更新密钥或者通过使用边信道攻击来导出密钥的值，因为输入对于所有的密钥而言是恒定的。此外，通过改变输入向量，已更新密钥也发生了改变。

技术领域

本公开描述了用于保护密码设备的方法和集成电路，并且具体地，描述了用于保护密码设备对抗实现攻击的方法。

背景技术

智能设备，尤其是具有低功率要求的智能设备(通常被称作无源智能设备)被广泛用于认证和访问控制。这样的设备的示例包括作为射频识别(RFID)标签的子集的非接触智能卡。这样的无源智能设备通常使用专用集成电路(ASIC)。

考虑到无源智能设备在安全关键应用中的应用，使用密码术来认证正在使用的无源智能设备。相反地，由于对无源智能设备可以保存或允许访问的信息的渴求，它们也是恶意的试图使用的兴趣所在。

大量的时间和努力花费在了对安全集成电路(IC，例如智能卡)中的边信道对策的实现和分析。边信道攻击是以根据密码系统的物理信息获得的信息为基础的任何攻击。这样的攻击不同于软件强力攻击或者加密算法中的开发或弱点。边信道攻击通常检查系统的内部操作(例如系统汲取的功率、电磁(EM)辐射或其它‘边信道’)来确定模式和实现步骤。一种这样的已知边信道攻击是差分功耗分析(DPA)。这可以包括恶意用户研究设备使用期间功率使用的痕迹，并且利用统计分析来确定加密算法的特征。

随着当前可用的标准化算法和协议的使用(像是在银行业务或电子政务中使用的算法和协议)，针对差分功耗分析(DPA)(以及差分故障攻击)的攻击情形是存在的，导致设备实现受这样的边信道攻击威胁的协议(例如，由于始终以相同的(主)密钥来加密变化的输入，系统的功率签名中的变化仅取决于或一般取决于加密算法的变化)。

对这种攻击的一种解决方案是使用密钥更新(re-keying)方法。在这样的方法中，会话密钥从主密钥导出，随后将该会话密钥用于实际操作。该会话密钥有规律地变化，以减少针对具体的(主)密钥可以从设备获取的功率痕迹的量。

该密钥更新的特殊实例已经应用在CIPURSE协议中。在该方法中，通过使用随机输入以及更容易进行保护以对抗实现攻击的函数(称作NLM(非线性映射))，使用主密钥导出中间会话密钥。然后，该中间会话密钥与主密钥一起使用，以得到所使用的会话密钥(参见参考US2010316217A1)。上述对这样的DPA攻击的解决方案依靠双方之间的随机数协定。这样的方法防止验证先前交易。具体地，在没有随机数的情况下不可能重复会话。

相对新的研究领域是泄露弹性密码术。在泄露弹性(LR)中寻求避免典型的DPA情形，在典型的DPA情形中，可以以针对每个执行的改变的输入，逐组块地(即以组块为单位，例如逐字节地)攻击分组密码的密钥。在LR方法中，多次执行分组密码，其中仅逐组块地(例如，每次1个比特)来使用完整的输入向量并且将其复制到分组密码的整个输入状态。在每个迭代中，下一个输入组块被用作输入(再次地，复制到整个状态)。这限制了数据复杂性，即可以用于攻击的痕迹的数量，并且在不同密钥组块的边信道信息之间创建依从性。然而，由于针对每个密钥有N＞1个痕迹，对手仍然可以应用DPA攻击。

总的来说，在没有实现重大对策且不需要详细的边信道调查的低成本IC上执行对称密码安全服务时仍然存在问题。以下公开旨在处理这些问题。

发明内容

根据本发明的第一方案，提供了用于保护密码设备对抗边信道攻击的方法，该方法包括：

从密码设备的存储器获得密钥；