執行加密操作的方法、處理裝置和計算機程序產品制造方法及圖紙

本公開的實施例涉及用于在處理裝置中執行加密操作的方法、相應的處理裝置和計算機程序產品。通過執行多個加密操作而從主密鑰導出一個或多個密鑰。第一加密操作使用主密鑰來加密具有多個字節的明文輸入。使用由先前加密操作生成的相應中間密鑰來執行多個中間加密操作，以加密具有多個字節的相應明文輸入。明文輸入的至少兩個字節具有基于初始化向量的多組比特中的相應一組比特的值，其中，相應的所述一組比特的各個比特引入到明文輸入的相應的各個字節中，并且相應的所述一組比特具有至少兩個比特以及至多等于明文輸入的字節數目的比特數目。的比特數目。的比特數目。

【技術實現步驟摘要】
執行加密操作的方法、處理裝置和計算機程序產品


[0001]本說明書涉及用于在處理裝置中執行加密操作的技術，包括泄漏彈性加密過程，泄漏彈性加密過程包括將導出密鑰從主密鑰導出的泄漏彈性導出函數。
[0002]各種實施例可以應用于例如智能卡、微控制器、物聯網芯片、使用加密或數字簽名方案的機頂盒。在特定實施例中，可以應用于未受保護的加密硬件加速器。

技術介紹

[0003]加密協議是執行安全相關功能并應用加密方法的抽象或具體協議，通常作為加密原語的序列。
[0004]在使用加密算法的裝置(例如，實現加密算法(諸如ECC或RSA)的微控制器)中的側信道攻擊保護領域中，已知垂直側信道攻擊(SCA)，其中，攻擊者可以使用該裝置對任意數據(輸入)進行加密，以便獲得加密算法所使用的加密密鑰。攻擊者在已知輸入數據的加密期間記錄側信道信息，側信道由功耗、電磁輻射或其他類似量來表示。
[0005]側信道與由裝置處理的數據鏈接，所述數據是加密密鑰和作為輸入饋送的攻擊者的數據，所述數據因此代表已知數據。
[0006]攻擊者記錄許多具有不同已知輸入數據和恒定未知密鑰的“軌跡”，對加密密鑰的一部分的值做出假設，并且使用統計方法來驗證使用軌跡的這些假設。為了應用這種統計方法，攻擊者需要使用許多軌跡，每個軌跡具有不同的和已知的輸入數據和恒定密鑰。
[0007]防御這種攻擊的已知解決方案是使用具有SCA保護的實現方式，然而該實現方式不能使用現有的未受保護的硬件，同時通常太晚或太昂貴而不能嵌入受保護的硬件。而且，由于反逆向工程的限制，不可能總是切換到受保護的軟件實現方式，因為受保護的軟件必須對攻擊者不可見。受保護的軟件還需要軟件的保護以及秘密隨機數(甚至對于合法用戶也是秘密的)的生成。最后，可能存在性能的顯著降級。
[0008]另一方面，可以在現有硬件上方定義泄漏彈性(抗DPA)的操作。
[0009]泄漏彈性加密的基本要求尤其對于公鑰加密而言是：加密密鑰可以使用非常有限的次數。然而，用戶可能希望擁有持續長時間、例如數年的主密鑰。
[0010]因此，在泄漏彈性加密方案中，提供了從相同的主密鑰導出用于每個消息的不同密鑰。這需要多次使用主密鑰的密鑰導出函數或者說KDF。因此，KDF本身必須是泄漏彈性的，例如泄漏彈性密鑰導出函數(LR
?
KDF)。
[0011]因此，如果不能提供DPA保護的解決方案和/或想要利用現有硬件，則在通常可用的未保護加密硬件加速器上實現的LR
?
KDF可以表示有吸引力的解決方案。
[0012]使用泄漏彈性加密的解決方案是已知的，例如在Oded Goldreich、Shafi Goldwasser和Silvio Micali的“如何構造隨機函數”(ACM雜志，1986年8月)中描述的所謂的GGM方案。
[0013]為此，在圖1中示出從主密鑰獲得導出密鑰的鏈。主密鑰MK被提供用于接收初始化向量NC的第一比特NC0的密碼11(例如，執行AES(高級加密標準)加密的密碼塊11)的調用。
初始化向量(有時也稱為新鮮值)具有獨特性的性質，這意味著在相同密鑰下沒有初始化向量可以被重復使用。初始化向量NC可以隨機生成，盡管在變型實施例中，可以使用例如使用單調遞增的計數器的遞增生成。初始化向量NC可以被看作要由AES 11加密的明文。由加密塊11加密的中間加密密鑰IK0與初始化向量NC的隨后的比特NC1一起被再次饋送用于AES密碼11的另一調用。重復該過程，直到初始化向量NC的最后第n比特NC
n
，這給出了加密輸出IK
n
。然后，在第n加密輸出IK
n
上執行最終加密，提供零串作為明文而不是初始化向量NC比特用于AES密碼11的調用，最終獲得導出密鑰DK作為輸出。
[0014]該過程具有對每個初始化向量比特加一執行一次加密的限制，例如導致對128比特的初始化向量的129次加密。
[0015]從Medwed，Standaert，Joux的出版物，“具有高效泄漏彈性PRF的超指數側信道安全性(Towards Super
?
Exponential Side
?
Channel Security with Efficient Leakage
?
Resilient PRFs)”，載于：Prouff，E.，Schaumont，P.(eds.)加密硬件和嵌入式系統
?
CHES 2012
?
14屆國際研討會，比利時魯汶，2012年9月9日至12日會議記錄，計算機科學講義，卷7428，第193
?
212頁，Springer(2012)，已知一種比GGM更快的方法，稱為LR
?
PRF(Leakage Resilient Pseudo Random Function泄漏彈性偽隨機函數)。這種方法在狀態的每個輸入字節中提供多達8個初始化向量比特。這種方法規定，每個輸入字節中的初始化向量比特的數目可以被配置在1和8之間。如果每個輸入字節中的初始化向量比特的數目n是1，則這對應于GGM方法，其中，兩個輸入與主密鑰一起使用。如果每個輸入字節中的初始化向量比特的數目n是8，則存在與同一密鑰一起使用的256個輸入。
[0016]由于加密這樣的AES通常通過第一輪SBOX來攻擊，在該LR
?
PRF解決方案中，SBOX與字節無關地工作。而且，這種LR
?
PRF解決方案并行計算所有字節，使得其最大化噪聲。這樣，即使攻擊者能夠恢復所有密鑰字節，攻擊者也不會知道它們的來源并且將必須測試16！＝244個密鑰。
[0017]LR
?
PRF算法需要加密操作的一定數目，該數目等于初始化向量大小除以每個輸入字節中的初始化向量比特的數目n加上初始化向量_大小/n+1加密之一。因此，對于n＝1，存在要執行的129次加密操作，對于n＝8，僅17次。
[0018]然而，這種解決方案存在缺點，因為：
[0019]它僅考慮對第一輪SBOX的攻擊；
[0020]它需要所有SBOX的并行計算；
[0021]它忽略了極度局部化的電磁側信道。

技術實現思路

[0022]在實施例中，一種方法包括：使用加密電路對輸入數據執行加密操作；并且在執行期間使用加密電路保護加密操作。所述保護包括迭代地執行多個加密操作以從主密鑰和具有多組比特的初始化向量生成至少一個導出密鑰。所述多個加密操作包括：第一加密操作，第一加密操作使用所述主密鑰對具有多個字節的明文輸入進行加密，生成第一中間密鑰，所述明文輸入的至少兩個字節具有基于所述初始化向量的所述多組比特中的一組比特的值，其中，所述一組比特的各個比特被引入到所述輸入字節的相應各個字節中，并且所述一組比特具有至少兩個比特以及至多等于所述明文輸入的字節數目的比特數目；以及多個中
間加密操作，其中，本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種方法，包括：使用加密電路對輸入數據執行加密操作；以及在所述執行期間使用所述加密電路來保護所述加密操作，所述保護包括迭代地執行多個加密操作以從主密鑰和具有多組比特的初始化向量生成至少一個導出密鑰，其中，所述多個加密操作包括：第一加密操作，所述第一加密操作使用所述主密鑰對具有多個字節的明文輸入進行加密，生成第一中間密鑰，所述明文輸入的至少兩個字節具有基于所述初始化向量的所述多組比特中的一組比特的值，其中，所述一組比特的各個比特被引入到所述輸入字節的相應各個字節中，并且所述一組比特具有至少兩個比特以及至多等于所述明文輸入的字節數目的比特數目；以及多個中間加密操作，其中，所述多個中間加密操作中的加密操作使用由所述多個加密操作中的先前加密操作生成的相應中間密鑰來加密具有一定字節數目的相應明文輸入，生成相應附加中間密鑰，所述相應明文輸入的至少兩個字節具有基于所述初始化向量的所述多組比特中的相應一組比特的值，其中，相應的所述一組比特的各個比特被引入到相應的明文輸入的相應的各個字節中，并且相應的所述一組比特具有至少兩個比特以及至多等于相應的明文輸入的所述字節數目的比特數目。2.根據權利要求1所述的方法，其中，所述明文輸入均具有16個字節，并且一組比特的所述比特數目具有2到16的范圍。3.根據權利要求1所述的方法，其中，所述字節數目是16，所述初始化向量的每組比特的所述比特數目是16，并且每個明文輸入的每個字節包括所述初始化向量的單個比特。4.根據權利要求1所述的方法，其中，所述多個加密操作包括附加加密操作，所述附加加密操作使用在所述多個中間加密操作的最后一個中間加密操作中生成的中間密鑰來加密零串的明文輸入，從而生成所述至少一個導出密鑰中的導出密鑰。5.根據權利要求1所述的方法，其中，所述多個加密操作是AES加密操作。6.根據權利要求1所述的方法，其中：所述保護包括執行泄漏彈性導出函數，所述泄漏彈性導出函數從所述主密鑰為多個消息中的每個消息導出不同密鑰；以及所述方法包括使用為所述消息導出的密鑰來對所述多個消息執行泄漏彈性加密操作。7.根據權利要求6所述的方法，包括從所述主密鑰并行生成多個導出密鑰。8.根據權利要求1所述的方法，包括從所述主密鑰并行生成多個導出密鑰。9.根據權利要求1所述的方法，其中：具有基于初始化向量的比特的值的明文輸入的字節取決于該比特的值而具有為零的值或為一的值；以及所述明文輸入的其他字節具有為零的值。10.一種裝置，包括：存儲器；以及耦聯到所述存儲器的加密電路，其中，所述加密電路在操作中對輸入數據執行加密操作并且在所述執行期間保護所述加密操作，所述保護包括迭代地執行多個加密操作以從主密鑰和具有多組比特的初始化向量生成至少一個導出密鑰，其中，所述多個加密操作包括：
第一加密操作，所述第一加密操作使用所述主密鑰對具有多個字節的明文輸入進行加密，生成第一中間密鑰，所述明文輸入的至少兩個字節具有基于所述初始化向量的所述多組比特中的一組比特的值，其中，所述一組比特的各個比特被引入到所述輸入字節的相應各個字節中，并且所述一組比特具有至少兩個比特以及至多等于所述明文輸入的字節數目的比特數目；以及多個中間加密操作，其中，所述多個中間加密操作中的加密操作使用由所述多個加密操作中的先前加密操作生成的相應中間密鑰來加密具有一定字節數目的相應明文輸入，生成相應附加中間密鑰，所述相應明文輸入的至少兩個字節具有基于所述初始化向量的所述多組比特中的相應一組比特的值，其中，相應的所述一組比特的各個比特被引入到相應的明文輸入的相應的各個字節中，并且相應的所述一組比特具有至少兩個比特以及至多等于相應的明文輸入的字節數目的比特數目。11.根據權利要求10所述的裝置，其中，所述明文輸入均具有16個字節，并且一組比特的所述比特數目具有2到16的范圍。12.根據權利要求10所述的裝置，其中，所述字節數是目16，所述初始化向量的每組比特的所述比特數目是16，并且每個明文輸入的每個字節包括所述初始化向量的單個比特。13.根據權利要求10所述的裝置，其中，所述多個加密操作包括附加加密操作，所述附加加密操作使用在所述多個中間加密操作的...

【專利技術屬性】
技術研發人員：R，
申請(專利權)人：意法半導體股份有限公司，
類型：發明
國別省市：