[发明专利]在实现密钥加密算法的电子元件中的对抗方法

说明书

本发明涉及一种在实现密钥加密算法的电子元件中的对抗方法。它们被用于对服务或数据的访问被严格控制的情况下。它们具有在微处理器和存储器周围形成的结构，其中一个是含有密钥的程序存储器。

这些元件尤其被用于某种用途的智能卡中。所述的用途例如有访问某个数据库，银行应用或者远方支付应用，例如电视费，汽油费或者高速公路的通行费。

因此这些元件或这些卡执行密钥加密算法，最常用的一种算法是DES(数据加密标准)算法。其它的加密算法例如有RC5算法或COMP128算法。上面列出的当然并非穷举。

简短并且一般地说，这些算法的功能是由主系统(服务器，自动柜员机等)和包含在卡中的密钥由输入(对于卡的输入)提供的信息计算加密信息，并然后对主系统提供所述加密信息，这例如使得主系统准许所述元件或卡交换数据等。

然而，已经发现，这些元件或这些卡易于受到攻击，其中包括差动电流消耗分析，这使得具有不良企图的第三方能够求出密钥。这些攻击被称为DPA攻击(差动功率分析)。

DPA攻击的原理基于这样的事实，即执行指令的微处理器的电流消耗按照被处理的数据而改变。

尤其是，处理数据位的微处理器的指令根据所述数据位的值是“1”或者是“0”产生两个不同的电流曲线。一般地说，如果指令正在处理“0”，则在执行该指令的时刻具有一个第一消耗电流幅值，如果指令正在处理“1”，则具有和第一个不同的第二消耗电流幅值。

加密算法的特征是公知的：进行的计算和使用的参数是公知的。唯一未知的是含在程序存储器中的密钥。这不能从在输入提供的唯一的已知信息和接着提供的加密信息导出。

不过，在加密算法中，某个计算的数据只取决于在卡的输入明确提供的信息和在卡中包含的密钥。在所述算法中计算的其它数据也可以由加密信息(一般在卡对主系统的输出被明确地提供)和卡中包含的密钥被唯一地再次计算。更精确地说，这些特定数据项的每一位可以由输入或输出信息和密钥的特定位的有限的数量确定。

因而，特定数据项的每一位具有和其相应的由密钥的位的特定的组构成的子密钥。

这些可以被预测的特定数据项的位在本文的其余部分被称为目标位。

因而DPA攻击的基本思想是根据指令正在处理“1”或者“0”使用指令的电流消耗曲线(Current consumption Profile)的差别，并且能够通过来自已知的输入或输出信息的算法的指令和假设相应的子密钥计算目标位。

因此DPA攻击的原理是通过对大量的电流测量曲线(Currentmeasurement curves)，每个曲线和攻击者已知的输入信息相关，应用布尔选择函数，子密钥假设的函数，以及利用对目标位预测的值对于每个曲线规定的函数检测一个已知的子密钥假设。

作出有关的子密钥假设事实上使得能够预测对于给定的输入或输出这个目标位应当取“0”或者取“1”的值。

然后，作为布尔选择函数，可以应用对于所考虑的子密钥假设预测的目标位的值“0”或者“1”，以便按照子密钥假设把这些曲线分成两束：第一束把目标位作为“0”被处理的曲线收集在一起，第二束以目标位作为“1”被处理的曲线收集在一起。

通过计算每束中的电流消耗平均值，获得用于第一束的平均消耗曲线M0(t)和用于第二束的平均消耗曲线M1(t)。

如果子密钥的假设是正确的，则第一束实际上收集了在N个曲线当中所有目标位以“0”被处理的曲线，第二束实际上收集了N个曲线当中目标位以“1”被处理的曲线。此时第一束的平均消耗曲线M0(t)，除去在关键的指令被执行的时刻之外，将任何时刻具有平均消耗，具有以“0”为目标位被处理的电流消耗曲线特征(曲线0)。换句话说，对于所有这些曲线，所有被处理的位具有“0”值的机会和具有“1”值的机会一样多，除去总是具有“0”值的目标位之外。这可以被写成：

M0(t)＝〔(曲线0+曲线1)/2〕_t≠tci+〔曲线0〕_tci，即

M(t)＝〔Vm_t〕_t≠tci+〔曲线0〕_tci

其中tci代表关键指令被执行时的关键时刻。

类似地，第二束的平均消耗曲线M1(t)相应于除去在执行关键指令的时刻的任何时间的平均消耗，具有以“1”为目标位被处理的电流消耗曲线特征(曲线1)。可以写成下式：