[发明专利]密码学过程的安全执行

说明书

一种以安全方式执行密码学过程的方法，其中密码学过程基于输入数据生成输出数据，生成输出数据涉及基于一定量的数据生成值，值是来自针对整数的多个盒的输出的根据线性变换L的组合，每个盒实现函数，函数是：第一函数和线性或仿射第二函数的复合，使；或第一函数、线性或仿射第二函数和第三函数的复合，使，方法包括：执行第一和第二处理阶段，以基于一定量数据生成值，其中第一处理阶段使用多个第一查找表生成输出，输出基于一定量数据的至少一部分，针对每个盒由第一查找表实现第一函数；第二处理阶段组合来自多个第二查找表的输出以生成值，至每个第二查找表的输入由多个第一查找表的输出形成，并且第二查找表的集合基于第二函数和线性变换。

技术领域

本发明涉及用于以安全方式来执行密码学过程以及用于生成密码学过程的安全实现方式的方法和系统。

背景技术

“白盒”密码学是密码学中的已知话题。在白盒攻击中，假定密码学方案在不可信的平台上执行，并且假定白盒敌对方具有对该执行的内部细节的完全控制权。因此，白盒环境是针对软件项目的执行环境，在该环境中，假定软件项目的攻击者对正在被操作的数据（包括中间值）、存储器内容、以及软件项目的执行/处理流程具有完全访问权和可见性。此外，在白盒环境中，假定攻击者能够例如通过使用调试器来修改正在被操作的数据、存储器内容、以及软件项目的执行/处理流程——以这种方式，攻击者可以在软件项目上进行实验并且尝试操纵软件项目的操作，其目的是规避最初预期的功能和/或标识秘密信息和/或用于其他目的。事实上，甚至可以假定攻击者知道软件项目正在执行的底层算法。然而，软件项目可能需要使用秘密信息（例如，一个或多个密码学密钥），其中该信息需要对攻击者保持隐藏。

在白盒攻击下，许多传统的密码学方案无法为私有信息提供保护。白盒密码学旨在提供密码学系统的实现方式的鲁棒性，并且构造可以在白盒攻击下成功实现其功能（诸如，加密、解密和认证）的密码学系统。

白盒攻击变得越来越多样化和强大。这使得敌对方能够进行许多攻击（静态和动态攻击这两者）。例如，诸如DPA（差分功率分析）之类的灰盒攻击已经以名称DCA（差分计算分析）被重新利用，并且针对白盒实现方式直接可使用。DCA成功的主要原因是由于预期值（来自标准密码规范）与对应的被掩蔽的中间值（来自白盒实现方式）之间不可忽略的相关性。这样的相关性通常是由一些白盒实现方式中使用的编码中的线性失衡引起的。

在许多密码学过程（诸如，加密和解密算法）中，S盒（或替换盒）被用作非线性组件，其对于混淆通常是至关重要的。S盒是公知的——例如，参见https://en.wikipedia.org/wiki/S-box，其全部公开内容通过引用并入本文中。在大多数白盒实现中方式，密码学密钥将被隐藏在一个或多个S盒中。因此，为了具有密码学过程的安全实现方式，如何保护S盒的问题是需要考虑的事情。在白盒攻击、尤其是DCA攻击（其包括使用仿射变换、联网编码、掩码注入等）下，一些保护被证明是脆弱的。这些保护的共同之处在于：输入的统计分布影响了输出的统计分布，并且预期值与被掩蔽的中间值之间存在不可忽略的相关性。

发明内容

本发明的实施例旨在使用S盒的改进/安全实现方式来解决这种问题。