[发明专利]密码设备、方法、装置和计算机可读介质和编码设备、方法、装置和计算机可读介质

说明书

提供了一种密码设备(200)以针对输入消息计算依赖密钥的密码函数。所述密码设备具有数据存储器，所述数据存储器被布置为存储多个变量(w)，所述密码设备作用于所述多个变量以计算所述密码函数，变量(w)被分布在多个份额(w^j)上并且在所述数据存储器中被表示为多个编码份额(x^j)，编码份额是对份额(w^j)与状态(s^j)一起的编码(x^j＝Enc_j(w^j,s^j))，对应于同一变量(w)的多个状态(s^j)与所述输入消息(M)具有关系，使得存在从所述输入消息(M)到所述多个状态的单射映射(Σ)，(Σ(M)＝(s⁰,…,s^n‑1))。

技术领域

本发明涉及密码设备、编码设备、密码方法、编码方法、计算机程序以及计算机可读介质。

背景技术

在构建密码设备时，人们不仅要考虑选择合理的密码原语，还要考虑防止边信道。通过边信道，攻击者可以获得关于超出正常输入-输出行为的密码计算的信息。边信道攻击是基于从密码系统的物理实施方式得到的信息，而不仅仅是基于对密码算法和/或暴力(brute force)算法的分析。

一个尤其强大的边信道是所谓的白盒攻击模型。在白盒攻击模型中，攻击者在其实行期间可以完全访问算法的内部。尤其地，攻击者能够观察变量，甚至可以在实施期间修改数据。保护秘密信息(例如，密钥)在白盒模型中尤其困难。

在Goubin和Patarin的论文“DES and the Differential Power Analysis,The“Duplication”method”中给出了如何防止一些边信道攻击的建议。在该论文中，变量v由k个变量v₁,…,v_k表示，使得v＝∑v_i。在该论文中考虑的边信道是微控制器的电力消耗。

发明人已经发现，这种解决方案在白盒模型中不够用，并且可能被破解。因此，对在白盒攻击模型下的密码函数的实施方式的阻碍进行改进是一个问题。

发明内容

提供了一种密码设备，所述密码设备被布置为计算依赖密钥的密码函数或输入消息。所述密码设备包括：

-数据存储器，其被布置为存储多个变量，所述密码设备作用于所述多个变量以计算所述密码函数，变量被分布在多个份额上并且在所述数据存储器中被表示为多个编码份额，编码份额是对份额与状态一起的编码，对应于同一变量的多个状态与所述输入消息具有关系，使得存在从所述输入消息到所述多个状态的单射映射，

-表格存储器，其存储多个查找表，查找表采用一个或多个变量的一个或多个编码份额作为输入，所述多个查找表一起形成实施所述密码函数的表格网络，

-控制单元，其被配置为通过将所述多个查找表应用于所述数据存储器中表示的所述变量来将所述密码函数应用于所述输入消息。

如将在说明书中更充分地解释的那样，对密码函数的实施方式的可能攻击是冲突攻击。在冲突攻击中，攻击者试图找到两个不同的输入消息，使得一些内部变量对于这两个不同的输入消息都具有相同的值。这种情况可能会提供关于密钥的信息。

编码份额表示变量的份额和多个状态的份额两者。由于存在从输入消息到多个状态的单射映射，因此不会有使得对应的多个状态的两个集合相同的两个不同的输入消息。由于状态是编码份额的部分，因此不会有使得对应的编码份额相同的两个不同的输入消息。因此，避免了在编码份额上的冲突攻击。由此产生的密码设备在白盒模型下更能抵御攻击。

密码设备还提供了一种针对差分功率分析的保护机制。虽然随机编码禁用了对不同发生值之间的关系的成功的统计分析，但是它们仍然可以允许成功地进行冲突统计。由于后者被阻止，因此差分功率分析类型攻击所使用的统计分析受到干扰。