本发明专利技术涉及用于产生单向函数的方法。提出用于产生单向函数的方法和实施该单向函数的电路装置。在该方法中,对两个操作数进行运算,将该运算的结果划分为两个部分结果,将这两个部分结果相互比较并且依据该比较将两个部分结果相互逻辑关联。
【技术实现步骤摘要】
本专利技术涉及一种用于产生用于密码方法的单向函数的方法和一种电路装置。该电 路装置尤其是用于实施或实现该单向函数。
技术介绍
单向函数是能被轻易计算但是难以逆转的数学函数。密码单向函数被需要, 由此攻击者不能或只能以也许不合理的耗费从所生成的数据中计算内部状态、所使用的输 入数据或者先前输出的数据。这样的行动也称为回溯(backtracking)。 对于这种单向函数,通常使用乘法、拉宾(Rabin)函数(X2 mod N)、离散指数函数 或散列函数。也可以采用无传递的乘法,如这例如在出版物US 20 1001 257 28 A1中所描 述的。在此利用的是,乘法可以被简单地执行,但是反演运算或因子分解由于尤其是提供多 种可能性而变得复杂。该多样性在未使用传递或者如在拉宾函数情况下那样使用模N函数 时还被增加。 在没有传递或模X的情况下单独乘法尤其是不为针对一些应用具有小比特宽度 的操作数提供所要求的复杂性和非线性性。 所提出的方法在产生随机输出比特序列时被采用并且由此被用于生成随机数。称 为随机元件的结果的随机数为很多应用所需要。为了产生随机数采用所谓的随机生成器。 随机生成器是提供随机数序列的方法。随机数的决定性准则是生成的结果是否能被看作与 早先的结果无关。 为了产生随机的比特序列采用在输入输入比特序列的情况下提供随机输出比特 序列的随机比特生成器(Random Bit Generator)。 例如对于密码方法来说随机数被需要。这些随机数被用于生成用于加密方法的密 钥。对这样的密钥提出涉及随机特性的高要求。 尤其是随机的量或程度、也就是每比特的熵应当是足够的。此外对于来自{0,1} 的值的比特概率应当是同概率的。要注意的是,为此由已知的随机源生成的随机值大多 不满足这些要求。因此需要附加的方法,其中这些方法被概括在概念后处理(post processing)下。对于这样的后处理典型地米用 DRBG (Deterministischer Random Bit Generator,确定性随机比特生成器),如这例如通过在2001年9月25日的BSI AIS 31中 的 das Bundesamt fiir Sicherheit in der Informationstechnik(BSI,联邦局信息技术安 全性)中描述的那样。这样的生成器产生确定性的比特序列,但是该比特序列看起来是随 机的。也将这样的生成器称为伪随机生成器。如果未知的种子(Seed)被用作伪随机序列 的起始点,则该序列不允许是可预测的,即使人们知道该伪随机序列的已经输出的比特,但 不知道种子。 在此情况下,DRBG的特性被更准确地检查并且由国家标准技术局(NIST)在2007 年3月的Special Paper NIST SP 800-90中给出针对DRBG的建议。 根据现有技术的后处理典型地通过弹性函数(Resilient Function)、线性反馈移 位寄存器(LFSR)和多输入 LFSR 或 MISR (Multiple Input Signature Register,多输入签 名寄存器)加以实现。 根据现有技术的方法要么非常费事,例如弹性函数,要么所述方法不精确地满足 50%比特概率,例如LFSR。上述两种方法此外不具有识别装置中例如由于误攻击而导致的 错误。
技术实现思路
以此为背景提出一种具有权利要求1的特征的方法和一种根据权利要求9的电路 装置。其它实施由从属权利要求和说明书得出。 利用乘法的结果比特的上半部与下半部的逻辑关联以及由此与这两个部分的值 关系以及具有值0的操作数的特殊函数有关的低位(niederwertig)半部,可以获得均衡的 分配表,但是该分配表也可以作为关于表值的ROM版本简单地借助组合电路实现。 所提出的电路装置可以在用于产生随机输出比特序列的方法的范围中被用于实 施单向函数,下面将讨论该方法。 为此首先提出一种用于生成伪随机输出比特序列的方法,其中使用2n个分别相同 构建的状态自动机的装置,其中这些状态自动机分别包括η个状态比特,其中每个状态自 动机总是采取与该装置的其它状态自动机不同的状态,其中在输入侧向这些状态自动机分 别输送相同的输入信号,并且这些状态自动机分别依据其状态而产生η个签名比特,这些 签名比特一起形成签名比特序列,其中通过从该装置的所有状态自动机的签名比特序列中 选择各个比特来产生随机输出比特序列。 该方法例如利用用于用未知种子(Seed)生成随机输出比特序列的伪随机比特生 成器来执行,该伪随机比特生成器包括2个分别相同构建的状态自动机的装置,其中这些 状态自动机分别包括η个状态比特,其中每一个总是采取与该装置的其它状态自动机不同 的状态,其中在输入侧能够向这些状态自动机输送输入信号,并且这些状态自动机分别依 据其状态而产生η个签名比特,这些签名比特一起形成签名比特序列,其中通过从该装置 的所有状态自动机的签名比特序列中选择各个比特来产生随机输出比特序列。 该方法与已知方法相比具有识别误攻击的可能性。此外提供了比LFSR更好的比 特概率。但是该方法具有以下缺点:可能出现冲突,也就是可能出现不同输入比特序列的相 同输出序列。通过这样的冲突可能有利于攻击者或袭击者的攻击。此外在该方法情况下对 所输出的输出信号的回溯可能比这里在下面提出的方法情况下更为简单。 上述方法现在通过以下方式加以扩展,即输入被处理两次,而且这些输入一次直 接进入状态机的装置(也称为C0SSMA装置(Complete Set of State Machines,完整的状 态机组)),并且附加地与单向函数逻辑关联地进入。 直接输入保证,在处理时不丢失熵并且第二次逻辑关联的输入有助于避免冲突, 使得难以回溯(Backtracking),也就是说难以计算出前任输出值,并且在种子(Seed)未 知的情况下使得难以预告或预测未来的输出值。如果可以证明在与单向函数逻辑关联 (Verkniipfung)的情况下不丢失熵并且冲突也不由此加强地出现,贝U也可以放弃直接输入。 附加地,如果在处理最后的输入比特之后也还计算出奇偶性并且该奇偶性进入输 出值中,则所有输入比特对输出值的影响可以被同等化。 本专利技术的其它优点和构型从说明书和附图中得到。 不言而喻,上面提到以及下面还要阐述的特征不仅能以分别说明的组合,而且还 能以其它组合或者单独地加以使用,而不脱离本专利技术的范围。 【附图说明】 图1示出单向函数。 图2示出所提出的方法的实施布置。 图3示出所描述的用于执行所述方法的设备的实施方式。 图4示出状态自动机的装置。 图5示出4比特状态自动机。 图6示出状态过渡。 图7示出DRBG输出级。 【具体实施方式】 本专利技术借助实施方式在附图中被示意性示出并在下面参照附图加以详尽描述。 图1阐明具有输入半字节X和在此期间的输出y的反馈作为输入参量的单向函数 g=x*y。由此得到g的较高半字节180和g的较低半字节182,这些半字节经历修改184,从 而获得结果186。 如在图1中本文档来自技高网...
【技术保护点】
用于产生用于密码功能的单向函数(60)的方法,其中对两个操作数进行运算,将该运算的结果划分为两个部分结果,将这两个部分结果相互比较并且依据该比较将两个部分结果相互逻辑关联。
【技术特征摘要】
2013.03.22 DE 102013205166.21. 用于产生用于密码功能的单向函数(60)的方法,其中对两个操作数进行运算,将该 运算的结果划分为两个部分结果,将这两个部分结果相互比较并且依据该比较将两个部分 结果相互逻辑关联。2. 根据权利要求1所述的方法,其中作为运算执行与至少两个操作数的乘法。3. 根据权利要求2所述的方法,其中对于两个操作数都为0的情况输出确定的值。4. 根据权利要求1至3之一所述的方法,其中对于第一操作数为0的情况,根据预先给 定的规定仅修改第二操作数的值,并且选择该修改为,使得当第二操作数被改变使...
【专利技术属性】
技术研发人员:E贝尔,K达姆,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。