为了进一步开发一种用于保护至少一种数据处理装置,特别是至少一种嵌入式系统,例如至少一种芯片卡或智能卡,免受至少一种攻击,特别是免受至少一种侧通道攻击,例如免受至少一种电流轨迹分析的设备和方法,该数据处理装置,特别是该数据处理装置的至少一种集成电路,执行计算特别是密码运算,其中攻击例如是一种EM[电磁]辐射攻击,或者分析例如是DPA[差分功率分析],尤其旨在找出私有密钥的这种攻击或分析将被安全地避免,提出通过至少一个随机变量隐蔽计算的所有中间结果,而不对计算的任何操作数求逆。
【技术实现步骤摘要】
【国外来华专利技术】本专利技术总体上涉及阻止密码分析的
,特别是涉及保护至少一种数据处理装置免受至少一种攻击(例如免受至少一种EM[电磁]辐射 攻击)或者免受至少一种分析(例如免受至少一种DPA[差分功率分析]) 的
更具体而言,本专利技术涉及保护至少一种数据处理装置,特别是至少 一种嵌入式系统(例如至少一种芯片卡或智能卡)免受至少一种攻击, 特别是免受至少一种侧通道(side-channel )攻击(例如免受至少一种 电流轨迹(current trace)分析)的设备和方法,该数据处理装置,特别 是该数据处理装置的至少一种集成电路,执行计算特别是密码运算。数据处理装置,特别是诸如芯片卡或智能卡的嵌入式系统,使用用 于交换密钥的公共密钥基础设施[PKI]系统并且必须被保护以免受若干形 式的旨在找出私有密钥的攻击。 一种这样的攻击通过以下方式来影响计 算,特别是密码运算-将一个或更多光源引导到芯片上,特别是棵露(并因此光敏)的 芯片上,或者-将某种类型的EM [电磁]辐射源引导到芯片上。对于基于RSA[Rivest Shamir Adleman]算法和/或ECC[椭圆曲线密 码术]算法的计算,需要大量的乘法运算。通常,这些计算在不受保护以 免受侧通道攻击(例如电流轨迹分析)的情况下被执行。由于每次执行同 一乘法运算时攻击者可能获得大量的电流轨迹,因 此这样可能易于受到DPA[差分功率分析]攻击。在增加这些轨迹之后, 绝大多数的噪声被消除。当攻击者对于不同的输入执行相同的操作时, 攻击者能够比较所述电流轨迹并且逐比特(即一个比特对一个比特)获 悉密钥。现有技术文献WO01/97009A1公开了一种用于包括模数取幂例程 (modular exponentiation routine)的密石马i十算的方法。该已》口的方法 利用两个随机变量隐蔽(blind)中间结果进行工作;在该上下文中,现有 技术文献W001/97009A1还通过增加随机变量工作,但是仅乘法运算被隐蔽。然而,在所述结果被用于下一个计算之前,该结果首先不被隐蔽, 这使得结果再次易于受到攻击;不仅乘法对于DPA[差分功率分析]敏感, 而且未隐蔽结果的RAM[随机存取存储器]访问也是如此。现有技术文章Jean-S6bastien Coron和Louis Goubin的0n Boolean and Arithmetic Masking against Differential Power Analysis 讨 论了 DPA[差分功率分析]攻击并且在第2页的第四和第五段落中建议掩 盖所有输入和输出。第五段落讨论了通过乘法的RSA[Rivest Shamir Adleman]的掩盖,其中参考Thomas S. Messerges的文章 Securing the AES Finalists Against Power Analysis Attacks, FSE 2000, Springer - Verlag。现有技术论文Radu Muresan的 Modeling and applications of current dynamics in a complex processor core在第 33到37页中 论及在应用ECC [椭圆曲线密码术]之前隐蔽椭圆曲线上的点。有关本专利技术的技术背景,还可以参考-现有技术文章Luca Ben in i 、 Angel o Galati 、 Alberto Maci i 、 Enrico Macii以及Massimo Poncino的 Energy-Efficient Data Scrambling on Memory—Processor Interfaces;-现有技术文章Tom Lash的 A Study of Power Analysis and the Advanced Encryption Standard - Recommendations for Designing Power Analysis Resistant Devices;-现有技术文献£ 1014617人2;-现有技术文献EP1267514A9;-现有技术文献GB2345229A;-现有技术文献US2QG3/Q194Q86A1;-现有冲支术文献WO00/42511Al;-现有技术文献¥001/08012入1;-现有技术文献W0Q1/31436A1;-现有技术文献¥002/50658人1;-现有技术文献W0G3/1Q1Q39A1;和一现有技术论文Larry T. McDaniel III的An Investigation of Differential Power Analysis Attacks on FPGA-based Encryption Systems,'。本专利技术的目的是进一步开发在
中描述的S备以及在
中 所描述类型的方法,以便能够安全地避开攻击(例如EM[电磁]辐射攻击) 或者分析(例如DPA[差分功率分析]),这种攻击或这种分析尤其是旨在 找出私有密钥。本专利技术的目的通过包括权利要求1所述特征的设备以及通过包括权 利要求8所述特征的方法来实现。本专利技术的有利实施例和有利改进在相 应的从属权利要求中/>开。本专利技术主要基于这样一种思想使用隐蔽中间结果以用来提供耐攻 击性,特别是耐DPA[差分功率分析]攻击性的设备以及方法;尤其是, 通过采用至少一个随机变量,这种隐蔽例如通过加法被应用在乘法中, 被计算特别是被密码运算所包括,其中不需要任何操作数的求逆 (invers ion)计算。更具体而言,消息M能够利用变量V来隐蔽。该变量V能够从随机 选择的变量v中导出。通过这种方式,所有中间结果也被隐蔽;这些中 间结果保持隐蔽直到计算结束为止,特别是直到密码运算结束为止。根据本专利技术的有利实施例,所有中间结果都通过随机变量隐蔽,该 随机变量在整个RSA[Rivest Shamir Adleman]计算或整个ECC[椭圆曲线 密码术]计算期间保持恒定但是当开始新的计算时被改变。通过这样,由于随机变量不相同,即使当所有输入都相同时,所有的电流轨迹也被改变。在本专利技术的优选实施例中,使用了 Montgomery约简(reduction)的 原理。Montgomery约简是一种用于Peter L. Montgomery在1985年提出 的模算术中的乘法的有效算法。更具体而言,Montgomery约简是一种用 于计算c-abm。d(n)的方法,其中a、 b和n是k比特二进制数。Montgomery约简现在被特别地应用于密码术中。令m为正整数,令 R和T是整数,以^更R〉m, gcd[最大/^约数](m, R)=l,以及0《T〈mR。 计算TR_1mod( m )而不使用经典方法,这被称为关于R的T模m的Montgomery 约简。利用适当选I奪的R,能够有效地计算Montgomery约简。有利地,本专利技术并不局限于Montgomery约简,而是本专利技术还能够适 于其他约简原理。本专利技术不需要计算操作数的逆的能力,这对于RSA[Rivest Shamir Ad 1 eman]应用可能是合适的。本专利技术还涉及一种数据处理装置,特别是涉及一种嵌入式系统,本文档来自技高网...
【技术保护点】
一种设备(100),用于保护至少一种数据处理装置,特别是至少一种嵌入式系统,例如至少一种芯片卡或智能卡,以免受至少一种攻击,特别是免受至少一种侧通道攻击,例如免受至少一种电流轨迹分析,该数据处理装置,特别是该数据处理装置的至少一种集成电路,执行计算特别是密码运算,其特征在于,通过至少一个随机变量隐蔽计算的所有中间结果,而不对该计算的任何操作数求逆。
【技术特征摘要】
【国外来华专利技术】EP 2005-6-29 05105806.31.一种设备(100),用于保护至少一种数据处理装置,特别是至少一种嵌入式系统,例如至少一种芯片卡或智能卡,以免受至少一种攻击,特别是免受至少一种侧通道攻击,例如免受至少一种电流轨迹分析,该数据处理装置,特别是该数据处理装置的至少一种集成电路,执行计算特别是密码运算,其特征在于,通过至少一个随机变量隐蔽计算的所有中间结果,而不对该计算的任何操作数求逆。2. 根据权利要求1所述的设备,其特征在于,该随机变量 -在完整的计算期间被保持恒定,和-当开始新的计算时被改变。3. 根据权利要求1或2所述的设备,其特征在于,所述计算基于 RSA[Rivest Shamir Adleman]算法和/或基于ECC [椭圆曲线密码术]算法。4. 根据权利要求1到3的其中至少之一所述的设备,其特征在于, 4吏用Montgomery约简(Mr)或其他类型的约简。5. 根据权利要求1到4的其中至少之一所述的设备,其特征在于,-至少一个存储器单元(20 ),用于存储所述计算的操作数特别是所 有操作数,以及所述计算的结果特别是所有结果,-被连接(12a, 12b)到存储器单元(20)的至少一个乘法器单元 (10),-至少一个状态机(30)- -用于控制乘法器单元(10)以执行所需类型的计算, --用于从存储器单元(20)读取输入操作数,和/或- -用于写入所述计算的结果特别是所有结果到存储器单元(20)。6. 根据权利要求5所述的设备,其特征在于,所述乘法器单元(IO)包括-至少一个c-寄存器...
【专利技术属性】
技术研发人员:GTM休伯特,
申请(专利权)人:皇家飞利浦电子股份有限公司,
类型:发明
国别省市:NL[荷兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。