[发明专利]密码设备、密码方法、计算设备和计算机可读存储介质

说明书

一种用于对块密码输入（105）计算块密码（500）并产生块密码输出（106）的密码设备（100），块密码计算对编码值（210）操作，密码设备包括用于应用实现块密码的多轮密码处理的最后一轮（118）的轮函数单元（140;300）、用于对编码输出数据（132,152）解码的第一输出单元（160）和第二输出单元（180）。

发明领域

本发明涉及用于计算块密码的密码设备、用于计算块密码的密码方法、计算机系统和计算机可读介质。

背景技术

在S. Chow等人的论文“A White-Box DES Implementation for DRMApplications”中，提出数据加密标准（DES）的白盒实现（在下面被称为“Chow”并通过引用被并入本文）。白盒实现是设计成抵抗在白盒上下文中的攻击的密码实现。在白盒上下文中，攻击者具有对软件实现和执行的完全可见性。然而，即便如此，白盒实现旨在防止从程序提取密钥。

Chow形成完全由表查找操作组成的DES的实现。通过几个中间方法，正常密码转换成以这种形式的实现。输入和输出编码用于保护所有这些表。

发明内容

发明人发现，块密码的基于表的实现可能仍然易受一些攻击。发明人认识到，即使可能不从观察在白盒实现中的变量直接导出密钥，对变量的访问可用于执行以前只从物理攻击的领域已知的攻击。

例如，在Biham等人的论文“Differential Fault Analysis of Secret KeyCryptosystems”中，通过改变电源电压来在智能卡中引入短暂的故障，使DES计算产生不正确的结果。通过分析导致的错误，得到关于密钥的信息。

发明人有下面的见识：这样的物理故障攻击可能适合于攻击白盒实现。即使不可能从对攻击者可见的变量的分析得到秘密信息，攻击者可能仍然能够通过修改编码变量来导出秘密信息以试图仿真物理攻击。

在实验中，发明人确实能够通过有意修改变量来发现在Chow中所述的DES白盒实现中使用的密钥。变量的有意修改充当暂时故障。发明人发现，增加复杂性的对策能够渐增地阻止对白盒DES实现的故障攻击或完全彻底地避免它们。

提出了一种用于计算块密码的密码设备，其具有在轮函数之前和在对编码值解码的输出单元之前的防篡改移位函数。微分故障攻击被这些功能阻止，因为它们限制了可被做出的修改以及从因而产生的错误学到的东西。本发明由独立权利要求限定；从属权利要求限定有利的实施例。

密码设备是电子设备，且可以是移动电子设备，例如移动电话、机顶盒、计算机等。可在广泛范围的实际应用中应用本文所述的密码设备。这样的实际应用包括银行业务应用、内容保护系统、通信系统等。

根据本发明的方法可在计算机上作为计算机实现的方法或在专用硬件中或在这两者的组合中被实现。根据本发明的方法的可执行代码可存储在计算机程序产品上。计算机程序产品的示例包括存储器设备、光学存储设备、集成电路、服务器、在线软件等。优选地，计算机程序产品包括存储在计算机可读介质上的非临时程序代码装置，以用于在所述程序产品在计算机上被执行时执行根据本发明的方法。

在优选实施例中，计算机程序包括适合于在计算机程序在计算机上运行时执行根据本发明的方法的所有步骤的计算机程序代码装置。优选地，计算机程序体现在计算机可读介质上。

本发明的另一方面提供了一种制造可用于下载的计算机程序的方法。当计算机程序被上传到例如苹果的App Store、谷歌的Play Store或微软的Windows Store时以及当计算机程序可用于从这样的商店下载时，使用这个方面。

附图说明

将参考附图仅作为示例来描述本发明的另外的细节、方面和实施例。附图中的元件为了简单和清楚而图示出，且并不一定按比例绘制。在附图中，与已经描述的元件相应的元件可具有相同的参考数字。在附图中，