[发明专利]在电子组件中使用密钥密码算法的对抗方法

说明书

本发明涉及在电子组件中使用密钥密码算法的对抗方法。这些电子组件使用在对服务或数据的访问受到严格控制的应用中。它们具有形成在微处理器及存储器周围的结构，其中一个程序存储器包含密钥。

这些组件主要使用在芯片卡中，用于它们的一些应用。例如，它们为访问某些数据库的应用；银行业务的应用；远程付费的应用，如用于电视，配给汽油，或通过高速公路的交费站。

因此这些组件或这些卡要使用密钥密码算法，其中最著名的是DES算法(英美语Data Encryption Standard的缩写)也具有另外的密钥密码，如RC5算法或COMP128算法。当然，这种列举没有穷尽。

总地并简要地，这些算法的功能是根据由主系统(服务器，银行自动取款机…)在输入端(对卡)提供的信息及根据包含在卡中的密钥计算加密信息，及将该加密信息送回到主系统，由此，允许譬如主系统认证该组件或卡，允许交换数据…。

但是，显然这些组件或卡易于受到侵袭，这种侵袭在于对消耗电流的差分分析并使心怀叵测的第三者能找出密钥。这种侵袭被称为DPA侵袭，为英语Differential Power Analysis的缩写。

该DPA侵袭的原理是基于这样的事实，即微处理器执行指令的电流损耗将根据被操作数据而变化。

尤其是，操作一个数据位的微处理器的指令将根据该位为值“1”还是“0”产生出两种电流幅值。典型地，如果指令操作“0”，则在执行时刻得到消耗电流的第一幅值，及如果指令操作“1”则得到不同于第一幅值消耗电流的第二幅值。

密码算法的特征是公知的：执行计算，及使用参数。唯一未知的是包含在程序存储器中的密钥。密钥不能仅从知道施加在输入端的信息及返回的编码信息来推导出。

但是，在密码算法中，某些计算数据项仅依赖于以明码施加在卡输入端的信息及卡中所包含的密钥。在程序中计算的其它数据也可仅根据编码信息(通常以明码在卡的输出端向主系统提供)及分组含在卡中的密钥来重计算。更确切地，这些具体数据的每个位可根据输入端或输出端的信息及密钥有限的具体位数来确定。

因此，具体数据的每个位相应于由密钥位的具体组形成的子钥。

这些具体数据的位可被预计及在以下被称为“目标位”。

DPA侵袭的基本思想是，使用依赖其操作的是“1”还是“0”的指令所消耗电流幅值的差别，及使用根据已知输入及输出信息及对相应子钥的假定由算法指令计算目标位的可能性。

因此，DPA侵袭的原理是，通过对大量电流测量曲线应用选择布尔函数来检验给出的子钥假定，每个电流测量曲线相应于侵袭者已知的输入数据，其选择布尔函数为子钥假定函数并对于每个曲线由对目标位的预计值来确定。

在对相关的子钥作出假定时，实际上对于一个给定的输入或输出信息可以预计目标位将取得的值“0”或“1”。

作为选择布尔函数，可应用对于相关子钥的假定由目标位取得的值“0”或“1”来将这些曲线分为两个分组：第一分组将观察到目标位操作在“0”上的曲线集中起来，及第二分组将观察到根据子钥假定目标位的操作在“1”上的曲线集中起来。通过对每个分组中的消耗电流取平均值，可获得第一分组的平均耗电曲线M0(t)及第二分组的平均耗电曲线M1(t)。

如果子钥的假定是正确的，则第一分组正确地将N个曲线中观察到目标位操作在“0”上的所有曲线集中起来，及第二分组正确地将N个曲线中观察到目标位的操作在“1”上的曲线集中起来。第一分组的平均耗电曲线M0(t)在任何地方均具有平均耗电值，但在执行关键指令(critical instruction)的时刻除外，以及具有目标位操作在“0”上的电流耗电属性特征(profile₀)。换言之，对于所有曲线，所有被操作位具有值为“0”与值为“1”的相同机会，但总是为“0”值的目标位除外。这可写成下式：

M0(t)＝[(profile₀＋profile₁)/2]_t≠tci＋[profile₀]_tci即

M0(t)＝[Vm_t]_t≠tci＋[profile₀]_tci

式中tci表示执行关键指令的关键时刻。