本发明专利技术涉及一种用于生成比特向量的方法和电路装置。在此采用了分别相同构造的状态自动机的至少两个装置,在输入侧给它们输送输入信号,并根据其状态来分别生成输出信号,其中每个状态自动机始终具有与一装置的其他状态自动机不相同的状态,其中该比特向量通过各个不同装置的状态自动机的输出信号的线性逻辑运算而生成。
【技术实现步骤摘要】
用于生成比特向量的方法
本专利技术涉及一种用于生成比特向量的方法以及用于实施该方法的电路装置。
技术介绍
密码设备和密码算法容易遭受攻击,其中应该通过其来操纵或读出受保护的数据。在当今常用的加密方法中比如“advancedencryptionstandard,先进加密标准”AES中使用密钥,其由于具有128和更多比特的密钥长度甚至在采用快速计算技术的情况下也不能通过“尝试”(所谓的“蛮力”攻击)来确定。攻击者因此还检查一种实施的副效应,如电流耗用的时间变化曲线、在加密操作时电路的时长或电磁辐射。因为攻击并不是直接针对函数,所以把这种攻击称作侧信道攻击。这种侧信道攻击(sidechannelattacks)利用了在设备中密码系统的的物理实施。在此该控制设备利用密码函数在实施密码算法时被观测,以找到在所观测的数据与密钥假设之间的关联。已知有许多侧信道攻击,如其例如在Mangard、Oswald和Popp的出版物在“PowerAnalysisAttacks(功率分析攻击)”(Springer2007)中所述的一样。尤其利用“differentialpoweranalysis(差分功率分析)”(DPA)在实际中能够实施对AES密钥的成功攻击。其中在密码计算期间微处理器的电流消耗被记录,并通过静态方法把电流耗用的痕迹与假设相比较。在已知的使得DPA变得困难的方法中,其介入算法本身。在此在掩蔽时利用随机变化的操作数来实施操作,并在结果中然后再次计算出该随机值,这意味着,这种随机并不影响结果。另一可能性是所谓的隐藏,其中通过相应的低-高过渡来尝试对高-低过渡进行补偿。在文献US6510518B1中公开了用于所谓智能卡的一种密码方法以及其他的密码逻辑系统。在该文献中描述了一种采用密钥的方法,以便用密码方式处理消息。在此所接收的消息在硬件单元中被处理,其中实施了多个子操作。每个子操作都把输入通过中间级传输给输出,其中实施了一定数量的状态变换,该状态变换的数量又与要处理的消息以及所使用的密钥无关。文献US6327661B1描述了用于保护密码系统以防止外部攻击的一种方法。在此降低了可用信息的量。为此在密码处理时记录不可预测的数据或信息。其描述了采用不同技术、诸如降低信噪比的实施。所介绍的技术可以以硬件或软件来实现,可以采用数字和模拟技术的组合,并且可以在许多密码装置中被应用。
技术实现思路
在此背景下,本专利技术推荐了具有权利要求1所述特征的用于生成比特向量的方法以及根据权利要求8所述的用于生成比特向量的电路装置。实施由从属权利要求、说明书和附图得到。与现有技术相反,所推荐的方法并不介入算法,并从而可以应用于任意的密码方法。另外,对附加硬件和处理时间具有较低的要求。所介绍的方法不仅适用于加密,而且适用于解密。在此可以生成掩码备用。其可以分别针对多个密码操作来应用。因此掩码生成并不降低操作的效率,因此该方法适合作为防护边信道攻击的措施。在一个实施中,从而设置了一种电路装置,其用于由预给定的输入信号来生成比特向量(掩码),以掩蔽密码操作的至少一个密钥和/或数据(纯文本、密文),以保护所述的密码操作以防边信道攻击,诸如DPA(differentialpoweranalysis,差分功率分析)攻击。在此该电路装置具有至少两个如下装置:所述装置分别由m个相同构造并且相同控制的、各具有n个相关的(也即确定状态自动机状态的)存储器单元的状态自动机构成,其中m=2n。所述m个状态自动机在掩码生成开始时或者在比特向量生成开始时利用各一个另外的起始状态而被初始化,其中在一装置中的所有这些状态自动机以相同方式与相同输入信号连接,并且使用每个装置的至少一个输出信号来形成所述的比特向量。对于这两个装置,值m以及从而n也可以是不同的。也可以由第一计数器来输入计数器比特。该计数器对直到现在为止所提供的输入向量的数量进行计数。在另一扩展中,在一装置中所使用的m个状态自动机被构造为:使得在利用m个不同的状态来初始化所有这些状态自动机时保证了所有的状态自动机根据任意的输入信号而总是具有不同的状态。另外还可以规定,由输入信号来形成切换信号y。该切换信号尤其用于改变该状态自动机的传输函数,使得根据输入信号而在两个简单的线性传输函数之间进行切换。所述切换应该在不同的装置中尽可能不同地进行。通过输入信号的附加的奇偶校验位,保证了在状态自动机中至少一次地在不同的线性函数之间被切换,并从而形成了整体非线性的传输函数。为了能够不可计算地形成所产生的比特向量,非线性传输函数是必要的。否则“蛮力”攻击可能更容易。另外还可以规定,该切换信号y加权地输入第二计数器值z中,并且该加权的大小按照装置和第一计数器值而变化。在该方法的一个扩展中,根据该第二计数器值z在一个装置中来进行状态自动机(状态)内容的交换。所述交换可以是在该装置中状态的旋转(Rotation)。对于不同的装置,该计数器值z并且从而所述旋转是不同的,因为该切换值y以及加权也是不同的。在该电路装置的一种可能的扩展中,状态自动机的存储器单元由两部分(主部分/从部分(Master/Slaves))来构造,这两部分相继地被设置,并且这两部分不仅是单独可擦除的(复位值任意0或1,但对于所有的主部分及从部分都是一致的),而且相互无关地记录数据。为了交换状态,它们典型地被控制为使得首先该主部分被擦除,然后该主部分接收所待处理的(来自另一状态的)输入信息,之后该从部分被擦除,并接着该从部分接收该主部分的内容。因为否则在简单交换(或者旋转)的情况下在交换时的电流消耗与在交换时有多少个0-1和1-0过渡有关,因此该方法是必要的。在所推荐的方法中,在一个装置中在主部分擦除到值0时正好进行m*n/2个1-0过渡,并且在加载新值时正好进行m*n/2个0-1过渡。过渡的数量分别与相应的状态无关。因此功率耗用总是相同的,并从而是不可观测的以及不可攻击的。为此,状态的旋转以及交换是必要的,从而所生成比特向量的各个比特尽可能平均地与起始状态的所有n*m个比特或其中的至少许多相关。另外该比特向量(掩码)可以由不同装置的不同状态自动机的不同输出的逻辑运算来形成。此外所述逻辑运算操作的操作数可以平衡地、也即利用相同的导线长度和/或电容而被输送到该逻辑运算元件。在该电路装置以及该方法的另一可能的实施中,该逻辑运算操作部分地依次来实施,并且此外在每个子操作之后来交换状态自动机的状态,其中所述交换通过同时单独擦除以及之后同时写所有存储器单元的主以及从单元来进行。另外还可以给定,不与逻辑运算元件相连接的所有状态自动机的输出与负载元件相连接,并且这些负载元件具有与输出上的、与逻辑运算元件相连的负载相同的电特性(比如电容值)。此外也可以在状态的交换操作期间并且还在输入信号的处理期间把输送给逻辑运算元件以及负载元件的信号全部设置为一个相同的固定值(0或1)。在又另一实施中,用于生成比特向量的输入信号至少部分地是不可事先预测的(随机的)值和/或与计数器有关。然后由输入信号来生成奇偶校验位,奇偶校验位在可预给定数量的输入比特之后被添加到该信号序列中。在另一实施中,在两个奇偶校验位之间的输入比特的数量是奇数,并且该奇偶校验位本身是奇数,也即在有关输入比特以及所属奇偶校验位中本文档来自技高网...
【技术保护点】
1.一种用于生成比特向量(130)的方法,其中采用了分别相同构造的状态自动机(ZA)的至少两个装置(104,106,108,110),在输入侧给它们输送输入信号(102),并根据其状态来分别生成输出信号,其中每个状态自动机(ZA)始终具有与一装置(104,106,108,110)的其他状态自动机(ZA)不相同的状态,其中该比特向量(130)通过各个不同装置(104,106,108,110)的状态自动机(ZA)的输出信号的线性的逻辑运算(122)来生成。
【技术特征摘要】
2010.06.07 DE 102010029735.61.一种用于生成比特向量(130)以掩蔽密码操作的至少一个密钥和/或数据的方法,其中采用了分别相同构造的状态自动机(ZA)的至少两个装置(104,106,108,110),在输入侧给它们输送输入信号(102),并根据其状态来分别生成输出信号,其中每个状态自动机(ZA)在每个处理周期中根据输入信号和初始状态对应于预给定的规则分别改变状态,其中每个状态自动机(ZA)始终具有与一装置(104,106,108,110)的其他状态自动机(ZA)不相同的状态,其中该比特向量(130)通过各个不同装置(104,106,108,110)的状态自动机(ZA)的输出信号的线性的逻辑运算(122)来生成。2.根据权利要求1所述的方法,其中进行状态自动机(ZA)的状态的旋转。3.根据权利要求2所述的方法,其中在通过擦除以及后继的写入来进行所述旋转时,电流消耗与在前的和后继的状态无关。4.根据权利要求1至3之一所述的方法,其中给相应装置(104,106,108,110)的状态自动机(ZA)输送同一输入信号(102)。5.根据权利要求4所述的方法,其中输送第一计数器值,并且不同的装置(104,106,108,110)以不同的方式来处理所述输入信号和计数器信号。6.根据权利要求1至3之一所...
【专利技术属性】
技术研发人员:E博伊尔,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。