0081]本公開(kāi)減少對(duì)密鑰隨機(jī)性的需要����。允許基于任何常數(shù)的加密。通過(guò)改變輸入向量的值����,最終的已更新密鑰230k也發(fā)生變化。此外��,對(duì)于每個(gè)密鑰來(lái)說(shuō)只存在一個(gè)輸入,并因此只存在單個(gè)功率測(cè)量��。因此����,統(tǒng)計(jì)方式的邊信道攻擊(如差分功耗攻擊)是低效的����。
[0082]本公開(kāi)描述了逐比特地處理輸入。因此����,針對(duì)任意長(zhǎng)度輸入的輸出將會(huì)是η個(gè)比特的輸出。一般而言����,使用密鑰來(lái)加密常數(shù)。在本示例中使用了 0值�����,然而輸入可以具有任意長(zhǎng)度和任意值����。在使用密鑰對(duì)常數(shù)進(jìn)行加密之后,對(duì)輸入因子進(jìn)行細(xì)分�����,并將其用于逐步地修改密鑰。這針對(duì)密鑰創(chuàng)建了樹(shù)狀的結(jié)構(gòu)����。這還創(chuàng)建了偽隨機(jī)函數(shù)。
[0083]密鑰更新模塊260的密鑰更新函數(shù)可以應(yīng)用到任何加密協(xié)議���。通過(guò)針對(duì)每個(gè)密鑰只產(chǎn)生單個(gè)功率痕跡��,防止了邊信道攻擊���。此外,不存在從外部不能控制的隨機(jī)性�����??梢詫?duì)每個(gè)交易進(jìn)行相同的重放。如果提供的輸入向量270相同���,則最終的已更新密鑰230k也將會(huì)是相同的����。
[0084]不同于其它加密密鑰更新方法,不存在會(huì)話密鑰���。相反,針對(duì)輸入向量的比特值的每個(gè)迭代���,對(duì)先前的密鑰進(jìn)行重寫(xiě)����。因此����,不可能根據(jù)會(huì)話密鑰來(lái)確定或重新創(chuàng)建先前的密鑰,并且因此主密鑰對(duì)于攻擊而言并不脆弱�。
[0085]本公開(kāi)的另一個(gè)應(yīng)用可以在認(rèn)證中。參照?qǐng)D2����,臨近集成電路芯片能夠在客戶端存儲(chǔ)器146中存儲(chǔ)主密鑰230。在客戶端設(shè)備140與主機(jī)設(shè)備120之間的接觸期間����,標(biāo)準(zhǔn)認(rèn)證協(xié)議可被用于確定主機(jī)和客戶端兩者之間是相互可信任的。客戶端設(shè)備140可以應(yīng)用上述的偽隨機(jī)函數(shù)���,該偽隨機(jī)函數(shù)使用從主機(jī)設(shè)備120接收的輸入向量以生成輸出�。在這個(gè)階段���,該輸出可以被看做是消息認(rèn)證碼(MAC)��,并且然后可以通過(guò)I/O和卡接口 134�����、142向主機(jī)設(shè)備傳遞�。
[0086]通過(guò)閱讀本公開(kāi)���,其它變化和修改對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)將會(huì)是顯而易見(jiàn)的�����。這樣的變化和修改可以包括等同物和其它特征��,該等同物和其它特征在密碼領(lǐng)域中是已知的�,并且可以使用來(lái)替代或附加本文已經(jīng)公開(kāi)的特征����。
[0087]雖然附帶的權(quán)利要求針對(duì)特征的特定組合�����,但是應(yīng)該理解的是��,本發(fā)明的公開(kāi)范圍還包括這里明確或隱含公開(kāi)的或由此歸納的任何新特征或特征的任何新組合����,不管其是否涉及與任何權(quán)利要求中當(dāng)前所要求保護(hù)的發(fā)明相同的發(fā)明或是否如本發(fā)明一樣解決了部分或全部的相同技術(shù)問(wèn)題�。
[0088]分離的實(shí)施方式的上下文中描述的特征也可在單個(gè)實(shí)施方式中組合提供��。反過(guò)來(lái)���,為了簡(jiǎn)明而在單個(gè)實(shí)施方式的上下文中描述的各個(gè)特征也可被分別提供或以任何適當(dāng)?shù)淖咏M合來(lái)提供�����。
[0089]申請(qǐng)人在這里注明�,可在本申請(qǐng)或由此導(dǎo)出的任何進(jìn)一步申請(qǐng)的答辯過(guò)程中對(duì)這種特征或特征的組合構(gòu)成新的權(quán)利要求�����。
[0090]為了完整起見(jiàn),還注明術(shù)語(yǔ)“包括”不排除其他元素或步驟��,術(shù)語(yǔ)“一”不排除多個(gè)���,單個(gè)處理器或其它單元可實(shí)現(xiàn)權(quán)利要求中所記載的若干裝置的功能��,而且權(quán)利要求中的參考符號(hào)不應(yīng)被理解為限制權(quán)利要求的范圍�����。
【主權(quán)項(xiàng)】
1.一種用于保護(hù)密碼設(shè)備對(duì)抗實(shí)現(xiàn)攻擊的方法�����,所述方法包括: a)從所述密碼設(shè)備的存儲(chǔ)器中獲得密鑰����; b)向加密模塊提供所述密鑰和恒定輸入���; c)使用所述加密模塊導(dǎo)出加密數(shù)據(jù)比特的輸出�; d)向密鑰更新模塊提供所述輸出�、所述密鑰和輸入向量; e)基于所述輸入向量的至少一部分�����,使用所述密鑰更新模塊來(lái)修改所述密鑰以導(dǎo)出已更新密鑰。2.根據(jù)權(quán)利要求1所述的方法�,還包括以下步驟: f)向所述加密模塊提供所述已更新密鑰和所述恒定輸入;以及 g)使用所述加密模塊導(dǎo)出已更新輸出���。3.根據(jù)權(quán)利要求2所述的方法�����,還包括以下步驟: h)向所述密鑰更新模塊提供所述已更新輸出�、所述已更新密鑰和所述輸入向量�;以及 i)基于所述輸入向量的至少第二部分���,使用所述密鑰更新模塊修改所述已更新密鑰��。4.根據(jù)權(quán)利要求3所述的方法�����,其中�,所述輸入向量包括兩個(gè)或兩個(gè)以上部分�,以及針對(duì)所述輸入向量的每個(gè)部分重復(fù)方法步驟f)到i)����,使得所述方法形成偽隨機(jī)函數(shù)�����,以及所述方法還包括以下步驟: 借助所述偽隨機(jī)函數(shù)導(dǎo)出偽隨機(jī)輸出�。5.根據(jù)權(quán)利要求4所述的方法,還包括以下步驟: 提供一個(gè)或多個(gè)附加輸入向量�����; 使用所述偽隨機(jī)函數(shù)導(dǎo)出針對(duì)每個(gè)附加輸入向量的偽隨機(jī)輸出�����;以及 級(jí)聯(lián)所述偽隨機(jī)輸出���,以形成更大的偽隨機(jī)輸出��。6.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法��,其中�,所述輸入向量的所述部分是所述輸入向量的至少一個(gè)比特的值�����。7.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中��,所述密鑰更新模塊使用壓縮�、展開(kāi)或排列操作中的一個(gè)或多個(gè)來(lái)修改所述密鑰或先前更新的密鑰。8.根據(jù)權(quán)利要求7所述的方法�,其中,根據(jù)向所述密鑰更新模塊提供的所述輸入向量的至少一部分的值來(lái)選擇用于修改所述密鑰或所述已更新密鑰的操作����。9.根據(jù)權(quán)利要求2到8中任一項(xiàng)所述的方法,其中�,所述已更新密鑰是所述密鑰或先前更新的密鑰的至少一部分與所述已更新輸出的至少一部分的級(jí)聯(lián)。10.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法�����,其中����,所述密鑰更新模塊將所述輸出或所述已更新輸出的與所述密鑰或所述已更新密鑰的部分相級(jí)聯(lián)的部分循環(huán)多個(gè)比特���。11.根據(jù)權(quán)利要求10所述的方法����,其中,所述比特的數(shù)量取決于所述輸入向量的至少一部分的值���。12.—種在客戶端設(shè)備與主機(jī)設(shè)備之間提供安全的數(shù)據(jù)通信的方法�����,所述方法包括: 向客戶端設(shè)備提供客戶端微處理器和客戶端存儲(chǔ)器�,其中所述客戶端設(shè)備包括存儲(chǔ)在所述客戶端存儲(chǔ)器中的密鑰�����; 向主機(jī)設(shè)備提供主機(jī)微處理器和主機(jī)存儲(chǔ)器�����; 在所述主機(jī)設(shè)備與所述客戶端設(shè)備之間建立安全連接����; 從所述主機(jī)設(shè)備向所述客戶端設(shè)備提供至少一個(gè)輸入向量; 使用權(quán)利要求2到11中任一項(xiàng)的方法�,基于所述輸入向量導(dǎo)出至少一個(gè)已更新密鑰和至少一個(gè)已更新輸出;以及 通過(guò)使用所述已更新輸出作為密鑰流,使用所述已更新輸出來(lái)加密所述客戶端設(shè)備與所述主機(jī)設(shè)備之間的通信�。13.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中�����,所述加密模塊是根據(jù)任何加密算法的分組密碼器�����,所述加密算法例如是PRESENT算法或高級(jí)加密標(biāo)準(zhǔn)算法���。14.一種用于密碼設(shè)備的集成電路����,所述集成電路包括微處理器和存儲(chǔ)器��,其中所述設(shè)備包括存儲(chǔ)在所述存儲(chǔ)器中的密鑰��、加密模塊和密鑰更新模塊����,從而所述集成電路被配置為執(zhí)行前述權(quán)利要求中任一項(xiàng)的方法�。15.一種消息認(rèn)證碼生成方法,所述方法包括: 向密碼設(shè)備提供根據(jù)權(quán)利要求14所述的集成電路; 向所述設(shè)備提供輸入向量�����; 向所述設(shè)備提供恒定輸入��; 基于所述輸入向量���,使用權(quán)利要求2或其任一從屬權(quán)利要求所述的方法����,導(dǎo)出已更新密鑰和已更新輸出��;以及 使用所述已更新輸出作為消息認(rèn)證碼�����。
【專利摘要】描述了保護(hù)密碼設(shè)備對(duì)抗實(shí)現(xiàn)攻擊的方法����。公開(kāi)的方法包括以下步驟:從密碼設(shè)備的存儲(chǔ)器獲得密鑰(230);向加密模塊(240)提供密鑰和恒定輸入(210)��;使用加密模塊(240)導(dǎo)出加密數(shù)據(jù)比特的輸出(250)���;向密鑰更新模塊(260)提供輸出(250)�、密鑰(230)和輸入向量(270);以及使用所述密鑰更新模塊(260)基于輸入向量(270)的至少一部分(270a)修改密鑰以導(dǎo)出已更新密鑰(230a)��。這防止使用已更新密鑰或者通過(guò)使用邊信道攻擊來(lái)導(dǎo)出密鑰的值�����,因?yàn)檩斎雽?duì)于所有的密鑰而言是恒定的�。此外,通過(guò)改變輸入向量�,已更新密鑰也發(fā)生了改變。
【IPC分類】H04L9/00
【公開(kāi)號(hào)】CN105406957
【申請(qǐng)?zhí)枴緾N201510497587
【發(fā)明人】馬塞爾·梅德韋德, 馬丁·費(fèi)爾德霍弗, 韋茨斯拉夫·尼科夫
【申請(qǐng)人】恩智浦有限公司
【公開(kāi)日】2016年3月16日
【申請(qǐng)日】2015年8月13日
【公告號(hào)】EP2996277A1, US20160072779