[发明专利]用于产生单向函数的方法

说明书

技术领域

本发明涉及一种用于产生用于密码方法的单向函数的方法和一种电路装置。该电路装置尤其是用于实施或实现该单向函数。

背景技术

单向函数是能被“轻易”计算但是“难以”逆转的数学函数。密码单向函数被需要，由此攻击者不能或只能以也许不合理的耗费从所生成的数据中计算内部状态、所使用的输入数据或者先前输出的数据。这样的行动也称为回溯（backtracking）。

对于这种单向函数，通常使用乘法、拉宾（Rabin）函数（x² mod N）、离散指数函数或散列函数。也可以采用无传递的乘法，如这例如在出版物US 20 1001 257 28 A1中所描述的。在此利用的是，乘法可以被简单地执行，但是反演运算或因子分解由于尤其是提供多种可能性而变得复杂。该多样性在未使用传递或者如在拉宾函数情况下那样使用模N函数时还被增加。

在没有传递或模x的情况下单独乘法尤其是不为针对一些应用具有小比特宽度的操作数提供所要求的复杂性和非线性性。

所提出的方法在产生随机输出比特序列时被采用并且由此被用于生成随机数。称为随机元件的结果的随机数为很多应用所需要。为了产生随机数采用所谓的随机生成器。随机生成器是提供随机数序列的方法。随机数的决定性准则是生成的结果是否能被看作与早先的结果无关。

为了产生随机的比特序列采用在输入输入比特序列的情况下提供随机输出比特序列的随机比特生成器（Random Bit Generator）。

例如对于密码方法来说随机数被需要。这些随机数被用于生成用于加密方法的密钥。对这样的密钥提出涉及随机特性的高要求。

尤其是随机的量或程度、也就是每比特的熵应当是足够的。此外对于来自{0,1}的值的比特概率应当是同概率的。要注意的是，为此由已知的随机源生成的随机值大多不满足这些要求。因此需要附加的方法，其中这些方法被概括在概念“后处理”（“post processing”）下。对于这样的后处理典型地采用DRBG（Deterministischer Random Bit Generator，确定性随机比特生成器），如这例如通过在2001年9月25日的BSI AIS 31中的das Bundesamt für Sicherheit in der Informationstechnik(BSI，联邦局信息技术安全性)中描述的那样。这样的生成器产生确定性的比特序列，但是该比特序列看起来是随机的。也将这样的生成器称为伪随机生成器。如果未知的种子（Seed）被用作伪随机序列的起始点，则该序列不允许是可预测的，即使人们知道该伪随机序列的已经输出的比特，但不知道种子。

在此情况下，DRBG的特性被更准确地检查并且由国家标准技术局（NIST）在2007年3月的Special Paper NIST SP 800-90中给出针对DRBG的建议。

根据现有技术的后处理典型地通过弹性函数（Resilient Function）、线性反馈移位寄存器（LFSR）和多输入LFSR或MISR（Multiple Input Signature Register，多输入签名寄存器）加以实现。

根据现有技术的方法要么非常费事，例如弹性函数，要么所述方法不精确地满足50%比特概率，例如LFSR。上述两种方法此外不具有识别装置中例如由于误攻击而导致的错误。

发明内容

以此为背景提出一种具有权利要求1的特征的方法和一种根据权利要求9的电路装置。其它实施由从属权利要求和说明书得出。

利用乘法的结果比特的上半部与下半部的逻辑关联以及由此与这两个部分的值关系以及具有值0的操作数的特殊函数有关的低位（niederwertig）半部，可以获得均衡的分配表，但是该分配表也可以作为关于表值的ROM版本简单地借助组合电路实现。

所提出的电路装置可以在用于产生随机输出比特序列的方法的范围中被用于实施单向函数，下面将讨论该方法。

为此首先提出一种用于生成伪随机输出比特序列的方法，其中使用2ⁿ个分别相同构建的状态自动机的装置，其中这些状态自动机分别包括n个状态比特，其中每个状态自动机总是采取与该装置的其它状态自动机不同的状态，其中在输入侧向这些状态自动机分别输送相同的输入信号，并且这些状态自动机分别依据其状态而产生n个签名比特，这些签名比特一起形成签名比特序列，其中通过从该装置的所有状态自动机的签名比特序列中选择各个比特来产生随机输出比特序列。