[发明专利]用于可靠地检验码的方法

说明书

技术领域

本发明涉及一种用于可靠地检验码的方法以及一种用于执行所介绍的方法的电路装置，该电路装置也称为测试器或检验器并且被保护安全以免遭故障攻击。

背景技术

冗余码被采用在安全相关的系统中，在这些系统中如果存在故障则通过码检验器识别故障并由此可以避开临界状况。在此，n中取m码也发挥作用。此外对于密码应用需要随机发生器，所述随机发生器根据NIST（国家标准和技术局）的建议（为此参见单独的公开物“Recommendation for Random Number Generation Using Deterministic Random Bit Generators”，SP 800-90,2007年3月）应当具有自测试。对于任意的确定性随机发生器，自测试的实现可能导致高的耗费。如果为了该实现而使用n中取m码，则建议的自测试可以简单地通过码检验器来实现。

n中取m码（m-out-of n-Code）在此是具有n比特码字长度的错误检测码，其中每个码字恰好包括m个1的实例。

为了产生n中取m码，例如可以使用具有n中取m编码的掩码发生器。这样的掩码发生器的可能结构例如在图1中示出并且在此在对应的位置上加以解释。

掩码发生器与应当被用于操纵或读出受保护数据的其它密码设备和密码算法一样受到攻击。在目前常见的加密方法——例如高级加密标准AES中，采用基于具有128和更多比特的秘钥长度而即使在采用快速计算技术的情况下也不能通过“尝试”（所谓的暴力破解）来求得的秘钥。攻击者因此也检查实现的副作用，如电流消耗的时间变化曲线、持续时间或在加密操作时电路的电磁辐射。由于攻击并非直接以功能为目标，因此将这样的攻击称为旁路攻击。

所述旁路攻击（side channel attacks，SCA）使用密码系统在设备中的物理实现。在此，观察在实施密码算法时具有密码功能的控制设备，以找出所观察的数据与秘密秘钥的假设之间的相关性。

已知很多旁路攻击，例如在Mangard, Oswald和Popp的公开物“Power Analysis Attacks”，Springer 2007中描述的旁路攻击。尤其是使用差分功率分析DPA可以实际上对AES的秘密秘钥执行成功的攻击。

在DPA中绘出微处理器在密码计算期间的电流消耗并且通过统计方法将所述电流消耗的轨迹与假设进行比较。

在使DPA更难的已知方法中，干预该算法本身。在此在掩码的情况下实施具有随机变化的运算对象的运算并且结果是又计算出随机值，这意味着随机并没有影响结果。另一种可能性是所谓的隐藏，其中尝试通过对应的低-高转换来补偿高-低转换。

现代的例如高级加密标准AES的密码方法如上面已经讲述地通过秘钥的长度和方法的复杂度即使在目前的计算技术水平情况下也被很好地保护以免遭所谓的暴力破解，也就是尝试所有可能性。潜在攻击者的攻击因此越来越多地针对实现。攻击者尝试用所谓的旁路攻击经由在处理算法时的电流消耗、经由电磁辐射或处理的取决于运算对象的持续时间来获得可以推断出秘密秘钥的信息。但是如果将秘密秘钥或者密码运算的输入/输出信号与攻击者未知的掩码关联，则攻击变难或者甚至被阻止。攻击者于是尝试首先找出秘密掩码。

一种用于改善针对这样的旁路攻击的鲁棒性的可能性在于，在掩码发生器中使用相同构建的状态自动机或状态机的装置，向这些状态自动机或状态机在输入侧输送输入信号并且这些状态自动机或状态机依据其状态产生输出信号，其中每个状态机始终具有与该装置的其它状态机不同的状态。在此假定，由于分别相同的1和0的数目（以及由此相同的汉明权重）并且由于在具有分别相同的汉明距离的相同输入信号情况下这些状态的转换，电流消耗与所使用的状态机的相应状态无关。

已知通过所谓的错误攻击可以将电路置于实际上不是为正常运行而设置的状态下。该非正常的运行提供了简单地求得秘密秘钥的可能性。由此例如可以通过有针对性地改变运行电压（Spike攻击）、通过电磁场或者通过例如Alpha微粒或激光的辐射来引起所使用的单个状态机或所有状态机的状态向状态（0,0,…,0）的改变。如果由此产生的比特向量被用于掩蔽秘钥，则完全或至少部分地失去对该密钥的原始设置的免遭旁路攻击的保护。由此秘密秘钥可以轻松地被求得。通过专用的码检验器尤其是可以在n中取m码的情况下非常轻松地检验一个或多个比特（尤其是在一个方向上）是否被篡改。