评估密码熵制造技术

描述了用于在密码系统中评估熵的系统、方法、软件及其组合。在一些方面，由熵源系统产生采样值。可以确定采样值中的每一个的典型性。基于采样值的典型性来确定预先选择的分布的分级。基于分级来选择预先选择的分布的子集。基于多个分布的子集来计算熵源系统的熵。

【技术实现步骤摘要】
本申请是2014年5月30日(国际申请日：2012年9月26日)向中国专利局递交并进入中国国家阶段的题为“评估密码熵”的专利技术专利申请No.201280059138.8(PCT国际申请No.PCT/CA2012/050672)的分案申请。
本申请要求于2011年11月30日提交的欧洲专利申请No.11191302.6的优先权，其全部内容通过引用的方式并入本文。
技术介绍
本说明书涉及在密码系统中评估熵。密码系统实现通过公共信道进行安全通信。例如，在公钥密码系统中，消息发送方使用加密算法对明文消息进行加密，并且向接收方发送加密的消息。接收方可以使用秘密密钥值来从加密消息中恢复明文消息。在一些密码系统中，秘密密钥值的熵使得密码系统相对于特定类型的攻击是鲁棒的。附图说明图1是示例性密码系统的示意图。图2是用于在密码系统中评估熵的示例性方法。具体实施方式密码系统可以产生和利用密码秘密(例如，秘密密钥值、密码等)。在一些实例中，密码秘密可以包括来自熵源的熵。例如，从对手的角度来看，产生密码秘密的伪随机数发生器可以以随机的值作为种子，从而防止对手的特定类型的攻击。熵可以与这些和其他方式结合使用以减小复杂的对手攻击的有效性或效率。本公开描述了适合于在密码系统中使用的几种形式的熵。本公开还描述了适合于在密码系统中评估熵的统计推断技术。例如，密码秘密包括用于避免被对手猜出的熵。例如，可以评估针对密钥收集的熵，使得可以可靠地对攻击的风险进行估计。本公开描述了可以用于一些密码系统的示例性熵源。本公开还描述了与表征熵源的概率有关的一些示例性假设。在本公开的一些方面，通过使用统计推断来产生对熵量的保守估计。可以进行多种类型的熵评估。在一些实例中，例如，为了生成保守评估，可以将评估的最小值作为总评估或实际评估。可以基于从熵源直接获得的采样值来评估熵。在一些实例中，与其他类型的测量(例如，基于密码操作的输出的熵测量)相比，基于从熵源获得的值的熵测量提供了更准确或更有用的评估。诸如散列函数和分组密码等的一些密码操作通常可以被设计为产生看似均匀分布的输出，即使输入是非均匀的也是如此。在一些实例中，不具体考虑密码操作的推断方法可能潜在地获得超过实际熵的评估熵。在此类实例中，熵评估的任务可能潜在地被弱化或者甚至被消弱。在一些实现中，可以使用考虑密码操作的熵评估。图1是示例性密码系统100的示意图。示例性密码系统100包括熵源系统102、密码秘密产生器模块106、熵评估器模块108、以及密码通信模块110a。在一些实例中，如图1所示的示例中一样，密码系统100包括额外的密码通信模块(例如，密码通信模块110b以及可能更多的密码通信模块)以及对手112。密码系统100可以包括额外或不同的特征和组件，并且可以关于图1所示和所述的或者以不同的方式来配置密码系统100。在操作的一个示例性方面，熵源系统102向密码秘密产生器模块106提供输出值。由熵源系统102提供的输出值可以用作密码秘密产生器模块106的熵的源。例如，密码秘密产生器模块106可以是以来自熵源系统102的输出值为种子的伪随机数发生器模块。密码秘密产生器模块106产生密码秘密(例如，私钥)，并且向密码通信模块110a提供密码秘密。密码通信模块110a基于密码秘密与密码系统100中的其他实体进行通信。例如，密码通信模块110a可以基于由密码秘密产生器模块106提供的密钥来产生加密消息、数字签名、数字凭证、密码密钥(例如，公钥和私钥、短期密钥和长期密钥等)或者这些和其他类型的密码数据的组合。由密码秘密产生器模块106提供的秘密值可以用作或者可以用于产生用于密码通信的密码密钥。在操作的一些方面，熵评估器模块108评估由熵源系统102产生的输出值的熵。例如，熵评估器模块108可以从熵源系统获得采样输出值，并且从示例性对手112的角度或者从其他人的角度来评估熵源系统102的熵。在一些情况下，熵评估器模块108使用下述技术中的一个或更多个。熵评估器模块108可以例如结合制造熵源系统102、密码秘密产生器模块106或者密码系统100的这些和其他组件的任意组合来评估熵。熵评估器模块108可以例如结合在使用密码系统100期间或者在其他实例中部署或测试密码系统100的方面或组件来评估熵。在一些实现中，当指示熵源系统102向密码秘密产生器模块106提供输出值时，熵评估器模块108评估熵源系统102的熵。可以以硬件、软件、固件或其组合的任意适当组合来实现图1中所示的示例性密码系统100的组件。在一些实例中，熵源系统102、密码秘密产生器模块106、熵评估器模块108和密码通信模块110a可以实现为由一个或更多个通用处理器执行的软件模块。在一些实例中，熵源系统102、密码秘密产生器模块106、熵评估器模块108或者密码通信模块110a中的一个或更多个可以实现为一个或更多个硬件组件。硬件组件可以包括专用处理器或预编程逻辑、执行软件的通用处理器、或者其他类型的数据处理装置。密码秘密产生器模块106基于从熵源系统102提供的值来产生输出。例如，密码秘密产生器模块106可以包括伪随机数发生器或者另一种类型的系统或过程。可以用硬件、软件或其任意组合来实现伪随机数发生器。伪随机数发生器可以确定性地操作，并且提供从对手的角度来看随机的输出。因此，伪随机数发生器的输出可以称作随机输出值，但是伪随机数发生器本身确定性地操作。在一些实现中，从伪随机数发生器获得的输出值取决于伪随机数发生器的状态。例如，伪随机数发生器可以定义多种不同的状态，每一个状态与不同的输出值相对应。例如可以通过每当伪随机数发生器提供输出值时前进至下一个状态，来更新状态。可以例如刷新(或者重新播种)状态，以周期性地或者在特定条件时将熵添加至状态。密码通信模块110a可以包括可操作于执行密码操作的任何适当的硬件、软件、固件或其组合。在一些实例中，密码通信模块110a被配置为执行数据加密。例如，密码通信模块110a可以被配置为基于密码秘密产生器模块106提供的密钥来对消息或其他类型的数据进行加密。在一些实例中，密码通信模块110a被配置为提供数据认证。例如，密码通信模块110a可以被配置为基于密码秘密产生器模块106提供的密钥来生成数字签名或认证标记。在一些实例中，密码通信模块110a被配置为生成数字凭证或其他类型的密码对象。例如，密码通信模块110a可以被配置为凭证管理中心，以基于密码秘密产生器模块106提供的密钥发出数字凭证。密码通信模块110a可以被配置为执行额外或不同类型的操作。在一些实现中，密码通信模块110a和110b可以通过开放信道彼此通信。例如，密码通信模块110a可以通过对手112可部分或完全观测的通信信道来向密码通信模块110b发送密码数据(例如，加密的消息、签名的消息、密码凭证、公钥、密钥协商数据等)。在一些实例中，密码通信模块110a和110b可以通过一个或更多个数据通信网络、通过无线或有线通信链路、或者通过其他类型的通信信道来进行通信。通信网络可以包括例如蜂窝网络、电信网络、企业网络、专用公共网络、局域网(LAN)、广域网(WAN)、私有网络、公共网络(例如，互联网)、WiFi网络、包括卫星链路的网络、或者另一种类型的数本文档来自技高网...

【技术保护点】
一种用于在密码系统中评估熵的方法，所述方法包括：由硬件数据处理装置获得由熵源系统产生的多个采样值；由所述硬件数据处理装置确定预先选择的多个概率分布中的每一个概率分布的典型性分级，所述典型性分级提供所述多个概率分布之间的比较，每一个单独的概率分布的典型性分级是基于从所述单独的概率分布中选择多个采样值的相应概率来确定的，其中每一个单独的概率分布的典型性分级是基于关于所述单独的概率分布的累积概率来确定的；由所述硬件数据处理装置基于所述典型性分级来选择所述多个概率分布的子集；由所述硬件数据处理装置基于所述多个概率分布的所述子集来计算所述熵源系统的熵，其中计算出的熵用于确定所述熵源系统的安全性风险；确定所述熵源系统是否具有足够的熵以达到所述密码系统中指定的安全性级别；以及基于确定所述熵源系统具有不足的熵来修改所述熵源系统。

【技术特征摘要】
2011.11.30 EP 11191302.61.一种用于在密码系统中评估熵的方法，所述方法包括：由硬件数据处理装置获得由熵源系统产生的多个采样值；由所述硬件数据处理装置确定预先选择的多个概率分布中的每一个概率分布的典型性分级，所述典型性分级提供所述多个概率分布之间的比较，每一个单独的概率分布的典型性分级是基于从所述单独的概率分布中选择多个采样值的相应概率来确定的，其中每一个单独的概率分布的典型性分级是基于关于所述单独的概率分布的累积概率来确定的；由所述硬件数据处理装置基于所述典型性分级来选择所述多个概率分布的子集；由所述硬件数据处理装置基于所述多个概率分布的所述子集来计算所述熵源系统的熵，其中计算出的熵用于确定所述熵源系统的安全性风险；确定所述熵源系统是否具有足够的熵以达到所述密码系统中指定的安全性级别；以及基于确定所述熵源系统具有不足的熵来修改所述熵源系统。2.根据权利要求1所述的方法，其中，确定所述典型性分级包括：确定所述采样值中的每一个采样值的典型性。3.根据权利要求2所述的方法，其中，给定采样值的典型性指示从所述熵源系统中随机选择的采样值至多与所述给定采样值同概率的概率。4.根据权利要求1所述的方法，还包括：基于由所述熵源系统产生的采样值来给伪随机数发生器播种；以及基于经播种的伪随机数发生器的输出来获得密码秘密。5.根据权利要求1所述的方法，包括：确定每一个采样值的典型性和似然性，其中，所述典型性分级是基于采样值的典型性和所述采样值的似然性来确定的。6.根据权利要求1所述的方法，其中，基于所述典型性分级选择所述多个概率分布的子集包括以下中的至少一个：选择具有最大典型性分级的一个或更多个概率分布；或者选择具有高于指定的阈值典型性分级的典型性分级的一个或更多个概率分布。7.根据权利要求1所述的方法，其中，计算所述熵包括：识别对手可得到的辅助信道信息和计算资源；针对所述概率分布子集中的每一个概率分布，确定所述对手使用所述对手可得到的所述辅助信道信息和所述资源猜出所述密码秘密的最大概率的对数；以及将针对所述概率分布子集所确定的对数的最小值识别为所述熵。8.一种密码装置，包括：物理熵源组件；熵评估器组件，操作于：由硬件数据处理装置获得由所述熵源组件产生的多个采样值；由所述硬件数据处理装置针对预先选择的多个概率分布中的每一个概率分布确定典型性分级，所述典型性分级提供所述多个概率分布之间的比较，每一个单独的概率分布的典型性分级是基于从所述单独的概率分布中选择多个采样值的相应概率来确定的，其中每一个单独的概率分布的典型性分级是基于关于所述单独的概率分布的累积概率来确定的；由所述硬件数据处理装置基于所述典型性分级来选择所述多个概率分布的子集；由所述硬件数据处理装置基于所述多个概率分布的所述子集来计算所述熵源组件的熵，其中计算出的熵用于确定所述熵源组件的安全性风险；确定所述熵源组件是否被配置为针对所述密码系统中指定的安全性级别产生足够的熵；以及基于确...

【专利技术属性】
技术研发人员：丹尼尔·理查德·L·布朗，
申请(专利权)人：塞尔蒂卡姆公司，
类型：发明
国别省市：加拿大;CA