[发明专利]用于加密操作的密钥序列生成的方法、设备和计算机可读介质

说明书

提供了从主密钥生成用于加密操作的子密钥序列的方法、系统和设备。用包括一个或多个单向函数的变换仅操作主密钥一次以生成该序列的子密钥。使用一个或多个单向函数的相应位值来设置该序列的子密钥的相应位值。有利的，从一个或多个单向函数的相应的输出位中得出子密钥位去除或至少减少了主密钥和子密钥之间的关联、以及子密钥之间的关联，使从单个子密钥恢复主密钥或其他子密钥(如所发现的使用边信道攻击的例子)更困难或甚至是不可能的。同时，通过仅使用一次主密钥(而不是在每次生成子密钥时使用主密钥)，减少了主密钥对边信道攻击的脆弱性，因为减少了用于恢复物理信息(可能导致发现主密钥)的机会。具体实施例使用子函数的并行或链式执行以生成相应的子密钥。其他具体实施例从单个单向函数中一次性生成所有子密钥。

技术领域

本公开涉及从主密钥生成用于加密操作(cryptographic operation)的子密钥序列。更具体地，尽管不是唯一地，本公开涉及具有依照序列的密钥调度的分组密码和利用分组密码用于消息的加密和解密。

背景技术

加密分组密码，例如DES或AES，无论是以硬件还是软件实现，都可成为物理攻击的目标。在这样的攻击中，攻击者在分组密码的操作中收集各种类型的信息。此类攻击中使用的信息的类型包括：

·由于分组密码的执行而泄露的边信道信息，例如功耗、时序信息或磁辐射；

·来自差分故障分析或碰撞故障分析的信息

·以上两者

攻击者可利用这些信息来发现在分组密码的执行中使用的秘密密钥。

分组密码作用在回合密钥(round key)上，回合密钥是通过通常被称为密钥调度的算法、根据密钥调度从秘密密钥或者主密钥得出的子密钥。通常来说，边信道攻击或故障攻击导致回合密钥的恢复。由于在分组密码(比如AES或DES)的密钥调度中固有的主密钥和回合密钥之间的关联，从被恢复的回合密钥中得出秘密密钥是相对容易的。

攻击者可把密钥调度的执行(在这种情况下，攻击很可能是模拟从边信道获得的信号及其噪声的模板攻击)、分组密码在加密或解密中的应用、或密钥调度和分组密码执行两者作为目标。在现有技术中，主密钥可以通过使用单边信道攻击的操作或对单个子密钥的其他攻击而恢复。可能的攻击的例子包括加密/解密操作的边信道分析(CPA-相关功耗分析，DPA-差分功耗分析)、或DFA-差分故障分析。对于密钥调度算法，模板边信道攻击是可行攻击的一个例子。

在文献(P.朱诺和S.沃德尼，FOX：一个新的分组密码家族。密码学的选定领域2004：滑铁卢，加拿大，8月9-10日，2004.计算机科学讲义，施普林格出版社)中提出的一种方法中，密钥调度已被设计为使得通过对秘密主密钥应用加密、抗碰撞和单向函数来生成每个回合密钥。这样，回合密钥之间的关联和回合密钥与秘密密钥之间的关联被减少或消除了，从而使得基于使用边信道或故障分析信息来恢复单个回合密钥的攻击不太可能成功。尽管这种使用单向函数以减少密钥间的关联是向前迈进的一步，会期望进一步改进对于攻击、尤其是边信道或其他物理攻击的抵抗。

发明内容

本公开的一些方面在所附独立权利要求中阐述。特定实施例的一些可选特征在其从属权利要求中阐述。

在一些实施例中，用于加密操作的子密钥序列从主密钥生成，其中每个子密钥都由相应位值限定。使用变换，例如包括一个或多个单向函数的一系列的操作，对主密钥仅操作一次以生成序列的子密钥。使用一个或多个单向函数的相应位值来设定序列的子密钥的相应位值。例如，在一些实施例中，一个或多个单向函数的输出的每一位仅被使用一次以设置子密钥的所有位值的对应位值。因此，在一个或多个单向函数的输出的位值和其子密钥的对应位值之间存在一对一关系。