[发明专利]用于估计秘密值的方法和设备

说明书

本发明的实施方案提供一种用于根据由泄露迹统计分布单元(14)确定的一组多变量泄露迹(12)的统计分布来确定由在密码系统(11)中实现的至少一个密码机制(11)使用的至少一个秘密值的估计值的秘密值估计设备(13)。每个泄露迹是包括多个随机数值的向量，所述随机数值的数量是大于或等于1的整数，所述统计分布是表示多变量泄露模型的一组泄露模型基向量的参数化线性组合的函数，所述基向量的数量是大于或等于1的整数，所述线性组合由实数值矩阵定义。

技术领域

本发明大体上涉及密码系统，具体地涉及用于估计密码机制中使用的秘密值的方法和设备。

背景技术

密码机制被用于许多领域，以确保在数据的存储和/或传输过程中数据的安全性、认证、保护和保密性。随着计算机科学和计算机硬件技术的迅速发展和进步，密码低成本、快速和小型设备已经成为不同应用和多个系统(如通信系统和数据处理系统)部署的必备项目。

密码机制通常使用密钥从原始数据(也称为“明文”)生成加密数据(也称为“密文”)以防止黑客恢复原始数据，同时访问输入数据需要通过解密机制访问用于加密原始数据的密钥。

与密码算法有关的大多数改进旨在增强安全性以针对对于通过通信系统传输的数据的攻击，而不是针对对于密码机制的实现的物理属性的攻击。然而，诸如边信道攻击、故障攻击和物理篡改等物理攻击成为日益严重的威胁。对密码算法的物理实现的攻击可能对数据安全性产生重大影响(例如，隐私丧失，保护和安全性丧失等)。

对密码机制的硬件实现方式的示例性硬件攻击包括边信道攻击。这种边信道攻击已经在以下文献中公开：

-“P.Kocher，J.Jaffe和B.Jun，Differential Power Analysis，Advances inCryptology-CRYPTO，Series Lecture Notes in Computer Science，第1666卷，第388-397页，1990年”。

-“J.Berkes，Hardware attacks on Cryptographic Devices,Implementationattacks on Embedded Systems and Other Portable Hardware，滑铁卢大学为ECE628.2006准备”。

边信道指的是任何物理泄露的信息，攻击者可以使用这些信息作为密码机制的物理实现的额外知识来源。边信道的示例包括功耗、时间延迟、电磁辐射、声音和红外辐射。这些泄露的信息可能会统计地显示在受攻击的设备上运行的密码机制的特征。例如，能够对受攻击的设备进行物理访问的攻击者可以测量密码设备运行密钥计算操作所需的时间，或者监测在与密码处理相关的时间内的功耗。有权访问依赖于受攻击设备的内部状态的这种物理可观察数据可能会披露关于正在执行的指令的信息，从而危及底层密码系统的敏感秘密参数。

通常，无论底层加密数据如何，通过提供在恒定时间内运行的密码机制或开发在恒定程序流下运行的密码程序，可以对抗边信道攻击。这些技术可以缓解边信道攻击。然而，在硬件资源(存储空间，处理能力)由于例如成本或尺寸考虑而受到限制的应用中，它们的实际实施是不可行的。此外，由算法操纵的数据的值也可能泄露。因此，其他边信道缓解解决方案已在以下文献中公开：

-“S.Chari，C.S.Jutla，J.R.Rao和P.Rohatgi，Towards Sound Approaches toCounteract Power-Analysis Attacks，Advances in Cryptology-CRYPTO，SeriesLecture Notes in Computer Science，第1666卷，第398-412页，1999年”。