[发明专利]评估密码熵

说明书

技术领域

本申请要求于2011年11月30日提交的欧洲专利申请No.11191302.6的优先权，其全部内容通过引用的方式并入本文。

背景技术

本说明书涉及在密码系统中评估熵。密码系统实现通过公共信道进行安全通信。例如，在公钥密码系统中，消息发送方使用加密算法对明文消息进行加密，并且向接收方发送加密的消息。接收方可以使用秘密密钥值来从加密消息中恢复明文消息。在一些密码系统中，秘密密钥值的熵使得密码系统相对于特定类型的攻击是鲁棒的。

附图说明

图1是示例性密码系统的示意图。

图2是用于在密码系统中评估熵的示例性方法。

具体实施方式

密码系统可以产生和利用密码秘密(例如，秘密密钥值、密码等)。在一些实例中，密码秘密可以包括来自熵源的熵。例如，从对手的角度来看，产生密码秘密的伪随机数发生器可以以随机的值作为种子，从而防止对手的特定类型的攻击。熵可以与这些和其他方式结合使用以减小复杂的对手攻击的有效性或效率。

本公开描述了适合于在密码系统中使用的几种形式的熵。本公开还描述了适合于在密码系统中评估熵的统计推断技术。例如，密码秘密包括用于避免被对手猜出的熵。例如，可以评估针对密钥收集的熵，使得可以可靠地对攻击的风险进行估计。本公开描述了可以用于一些密码系统的示例性熵源。本公开还描述了与表征熵源的概率有关的一些示例性假设。在本公开的一些方面，通过使用统计推断来产生对熵量的保守估计。

可以进行多种类型的熵评估。在一些实例中，例如，为了生成保守评估，可以将评估的最小值作为总评估或实际评估。可以基于从熵源直接获得的采样值来评估熵。在一些实例中，与其他类型的测量(例如，基于密码操作的输出的熵测量)相比，基于从熵源获得的值的熵测量提供了更准确或更有用的评估。诸如散列函数和分组密码等的一些密码操作通常可以被设计为产生看似均匀分布的输出，即使输入是非均匀的也是如此。在一些实例中，不具体考虑密码操作的推断方法可能潜在地获得超过实际熵的评估熵。在此类实例中，熵评估的任务可能潜在地被弱化或者甚至被消弱。在一些实现中，可以使用考虑密码操作的熵评估。

图1是示例性密码系统100的示意图。示例性密码系统100包括熵源系统102、密码秘密产生器模块106、熵评估器模块108、以及密码通信模块110a。在一些实例中，如图1所示的示例中一样，密码系统100包括额外的密码通信模块(例如，密码通信模块110b以及可能更多的密码通信模块)以及对手112。密码系统100可以包括额外或不同的特征和组件，并且可以关于图1所示和所述的或者以不同的方式来配置密码系统100。

在操作的一个示例性方面，熵源系统102向密码秘密产生器模块106提供输出值。由熵源系统102提供的输出值可以用作密码秘密产生器模块106的熵的源。例如，密码秘密产生器模块106可以是以来自熵源系统102的输出值为种子的伪随机数发生器模块。密码秘密产生器模块106产生密码秘密(例如，私钥)，并且向密码通信模块110a提供密码秘密。密码通信模块110a基于密码秘密与密码系统100中的其他实体进行通信。例如，密码通信模块110a可以基于由密码秘密产生器模块106提供的密钥来产生加密消息、数字签名、数字凭证、密码密钥(例如，公钥和私钥、短期密钥和长期密钥等)或者这些和其他类型的密码数据的组合。由密码秘密产生器模块106提供的秘密值可以用作或者可以用于产生用于密码通信的密码密钥。

在操作的一些方面，熵评估器模块108评估由熵源系统102产生的输出值的熵。例如，熵评估器模块108可以从熵源系统获得采样输出值，并且从示例性对手112的角度或者从其他人的角度来评估熵源系统102的熵。在一些情况下，熵评估器模块108使用下述技术中的一个或更多个。熵评估器模块108可以例如结合制造熵源系统102、密码秘密产生器模块106或者密码系统100的这些和其他组件的任意组合来评估熵。熵评估器模块108可以例如结合在使用密码系统100期间或者在其他实例中部署或测试密码系统100的方面或组件来评估熵。在一些实现中，当指示熵源系统102向密码秘密产生器模块106提供输出值时，熵评估器模块108评估熵源系统102的熵。