[发明专利]配置有表格网络的计算设备

说明书

技术领域

本发明涉及被配置成计算关于函数-输入值的数据函数的计算设备，该设备包括存储被配置用于数据函数的第一表格网络的电子存储装置，该计算设备包括耦合至所述存储装置并且被配置成获取用于第一表格网络的多个第一表格输入的电子处理器，多个第一表格输入包括函数-输入值，并且该计算设备被配置成通过向多个第一表格输入应用第一表格网络以产生多个第一表格输出来计算数据函数，多个第一表格输出包括函数-输出值，函数-输出值对应于向函数-输入值应用数据函数的结果。

背景技术

在传统的密码学中，通常假定攻击者仅能访问安全系统的输入和输出值。例如，攻击者将能够观察进入系统中的普通文本以及从系统出来的加密文本。尽管攻击者可能通过分析这样的输入/输出对、甚至可能使用在计算上强烈的方法来尝试得到优势，但是没有想到他直接访问实施输入/输出行为的系统。

最近，将其中假定攻击者对实施有一些了解的威胁模型考虑进去已经成为必要。例如，人们可考虑边-信道分析以及逆向工程的威胁。此外，之前大多与安全性问题关联的关注已经延伸至其它的领域，诸如私密（privacy）。尽管处理诸如密钥的安全性信息的密码系统仍然是主要的关注点，但是其它程序（例如，处理私密相关的信息的那些程序）的保护也已经变得重要。

很久已经知道计算机系统通过所谓的边-信道泄露一些信息。观察计算机系统的输入-输出行为可能不会提供关于敏感信息（例如由计算机系统使用的密钥）的任何有用的信息。但是，计算机系统具有可以被观察的其它的信道，例如，其功耗或者电磁辐射，这些信道被称为边-信道。例如，可以测量由不同的指令所消耗的功率方面的变化以及在执行指令时所消耗的功率方面的变化。所测量到的变化可与敏感信息（例如密钥）有关。这种超越可观察和意图的输入-输出行为的关于秘密信息的附加信息被叫做边-信道。通过边-信道，计算机系统在其使用期间可能“泄露”秘密信息。观察和分析边-信道可能让攻击者访问比仅从输入-输出行为的密码分析获取的信息更佳的信息。一种已知的类型的边-信道攻击是所谓的差分功率分析（DPA）。

当前针对边-信道问题的方法在计算中引入了随机性。例如，在执行程序的真正的操作之间，虚拟指令可能被插入以模糊功耗和程序正在对其起作用的数据之间的关系。

计算机上的甚至更强的攻击是所谓的逆向工程。在许多安全性情境中，攻击者可完全地访问计算机。这给予它们分解程序并且获取关于计算机和程序的任何信息的机会。给予足够的努力，攻击者可能发现比如隐藏在程序中的任何钥匙。

保护对抗该攻击情境已经证明是非常困难的。一种类型的对策是所谓的白盒密码学。在白盒密码学中，钥匙和算法被组合。所得到的算法只针对一个特定的钥匙起作用。接下来，算法可以被实施为所谓的查找表网络。计算被变换成依赖于钥匙的表格中的一系列查找。例如，对于该方法的示例，参见S. Chow, P. Eisen, H. Johnson, P.C. van Oorschot的“白盒密码学和AES实施（White-Box Cryptography and an AES Implementation）”。

发明内容

对抗针对计算机系统的边-信道攻击的已知的对策不是完全地令人满意的。例如，通过统计分析可反击随机性的引入。通过对程序的操作的更加高级的分析，可以反击软件的混淆。因而，存在针对更多且更佳的对策的需要。

例如，一种混淆计算机程序的方式是对输入值进行编码并且在被编码的值上尽可能多地进行操作。人们甚至可使用所谓的表格网络来实行计算。这样的表格网络可以手工制作或者通过专门的程序制作（例如，在白盒密码学的情形中），或者通过通用的编译器来制作。一般而言，相信表格会混淆被实行的操作的类型。然而，发明人已经发现后者一般不是真实的。

即使函数的（多个）输入和（多个）输出被编码，输入/输出关系的统计属性可揭示哪个函数正在被编码。该现象的示例如下。

考虑W= {0,1,...,N-1}, 编码E, 和其对应的解码D=E^-1。让 F 和 G 分别表示被编码的模数N 加法以及被编码的模数N 乘法。也就是说，将                                                定义为其中 表示模数N加法, 以及将定义为 其中表示模数N乘法。

对于每个固定的x, 我们具有 {F(x,y)| 而且，对于每个非零的, 以及 N 素数，我们具有以及. 对于非素数的N ，发生类似的模式。