[发明专利]用于产生随机的输出位序列的方法

说明书

技术领域

本发明涉及用于产生随机的位序列的方法和用于执行该方法的随机位发生器。

背景技术

为了产生随机的位序列采用随机位发生器，该随机位发生器在输入输入位序列的情况下产生随机的输出位序列。

如果随机位发生器被用于密码设备和密码算法，那么随机位发生器遭受攻击，利用这些攻击可以操纵或读出受保护的数据。在目前通常的加密方法、诸如高级加密标准AES中，采用密钥，这些密钥基于具有128以及更多位的密钥长度本身在使用快速计算技术的情况下通过“试验”（所谓的暴力攻击）不能被确定。因此，攻击者也研究实施的副作用，例如在进行加密操作时电流消耗的时间过程、持续时间或电路的电磁辐射。因为攻击不直接针对功能，所以将这样的攻击称为侧信道攻击。

这些侧信道攻击（side channel attacks SCA）利用设备中的密码系统的物理实施。在此，具有密码功能的控制设备在执行密码算法时被观察，以便找到被观察的数据和秘密密钥的假设之间的相互关系。

已知很多的侧信道攻击，如例如在Mangard、Oswald和Popp 以“Power Analysis Attacks（功率分析攻击）”，Springer 2007发表的公开物中所描述的。特别是利用差分功率分析DPA，对AES的秘密密钥的成功的攻击实际上是可行的。

在DPA中，在密码计算期间微处理器的电流消耗被记录并且电流吸收的迹线通过统计方法与假设进行比较。

在已知的使DPA变得困难的方法中，介入到算法本身中。在此，在掩蔽的情况下操作以随机改变的操作数来执行并且结果之后又计算出随机值，这意味着，随机性（Zufall）不对结果产生影响。另一种可能性是所谓的隐匿，在隐匿的情况下尝试通过相应的低-高过渡来补偿高-低过渡。

对于不同的安全性重要的应用需要随机位发生器。特别是可以采用随机值，以便在借助AES算法加密时交换操作（混洗）或者还插入附加的所谓的伪操作。由此使诸如DPA的侧信道攻击变得困难，因为要攻击的操作随机地在另外的时间点被执行。对于DPA，于是需要多个测量，以便可以确定秘密密钥，这使攻击变得困难。

然而，到目前为止的随机位发生器本身不被保护以免受DPA。如果攻击者首先通过DPA攻击确定秘密随机数，那么他可以利用对这些随机数的认识攻击加密算法本身。在混洗的情况下和在伪操作的情况下，对随机数的认识能够实现时间点的确定，该时间点对于DPA攻击来说是有关的。

发明内容

在这个背景下介绍根据权利要求1的用于产生随机的输出位序列的方法和根据权利要求7的随机位发生器。扩展方案由从属权利要求和说明书得出。

或多或少也不受侧信道攻击影响或特别是不受DPA影响的已知的随机位发生器需要很高的电路花费。其原因在于，这些发生器总是需要专用的反措施，以便抵抗DPA攻击。与此相反，在此介绍的解决方案固有地不受DPA攻击影响并且相对于现有技术提供具有很少的电路花费的确定性随机位发生器（DRBG），该DRBG相对于DPA攻击是稳健的。

此外，所介绍的方法提供下述优点，即所有被选择的位以50％的概率选择0或1。

本发明的其他的优点和扩展方案由说明书和附图得出。

易于理解的是，上面提到的和下面还要阐明的特征不仅可以以分别所说明的组合而且也可以以其他组合或单独地被使用，而不离开本发明的范围。

附图说明

图1示出所介绍的随机位发生器的一种实施方式。

图2示出从16个状态机选择4位。

图3示出4位NLMISR。

图4示出输入级的一种实施方式。

图5示出输入信号的一种可能的组成。

图6示出输入信号的另一种可能的组成。

图7示出码缩减器。

图8示出借助码检验的自测试。

图9示出错误信号的构成。

具体实施方式

本发明借助实施方式在图中示意性地被示出并且在下面参照图详细地被描述。

在图1中示出了随机位发生器的一种实施方式，该随机位发生器总体上配备有附图标记100。该随机位发生器包括输入级102，直至64个输入位可以作为输入信号被输入到该输入级中。这些输入位以直至4位的部分必要时在插入奇偶校验位的情况下被构成为修改后的输入位d′（3）…d′（0），这些修改后的输入位在生成接通位（Schalt-Bit）y之后被转交。