专利名称:用于保护分组密码免受模板攻击的方法和装置的制作方法
技术领域:
本发明涉及保护分组密码免受模板攻击。
背景技术:
分组密码是一种对称加密方法,其中要加密的明文被分解成长度相等的、例如64位或128位长度的分组序列。每个明文分组都被映射到相同长度的密码分组。分组密码的典型示例为具有组宽度为64位的DES算法(DES, Data Encryption Standard数据加密标准)和分组宽度为128位的AES算法(AES, Advanced Encryption Standard高级加密标准)。常规地当要对大数据量进行加密时使用分组密码。通常,分组密码的实现有时借助于模板攻击而被攻击。模板攻击属于侧通道攻击的类别。这是针对密码方法的具体实现的攻击,所述攻击利用了密码流程的物理边际效应。这样的物理边际效应的示例为所需的计算时间、得出的电流谱和电磁辐射。因此,模板攻击不是针对密码方法本身的攻击。在模板攻击的情况下,出发点是,攻击者具有对密码方法的训练实现的完全访问,所述训练实现在硬件和软件方面与应攻击的实际的目标实现结构相同。在训练实现中,仅仅其实现应被攻击的密码方法的一个或多个密钥不可用。所有模板攻击的共性在于,根据来自明文的一定数目的输入数据以及自己选择的密钥绘制出电流消耗曲线的变化过程并且接着发展出一种模型,该模型尽可能好地描述电流消耗对输入数据的依赖性。这可以称为学习阶段。在该利用训练实现的学习阶段以后,然后在随后的测量阶段绘出实际的目标平台的取决于未知密钥的电流谱。借助于之前创建的关于输入数据与电流谱之间的关联的模型,然后尝试确定先验未已知的密钥。在理想情况下,这利用唯一的测量就成功。显然,不总是存在基于模板攻击的攻击场景的特殊情况。因此,例如可以通过逻辑手段防止平台利用可更换的密钥完全进入运作。另外,可以用电子方式锁住潜在的训练平台的密钥存储器,使得实际上不可能利用自己选择的输入数据完全取得所需的测量数据。但是如果给出模板攻击的可能性,则模板攻击完全是最有效的侧通道攻击。对抗模板攻击的常规技术措施首先是也可以用于对抗DPA攻击(DPA,Differential Power Analysis,差分功率分析)的相同措施。例如通过对实现进行电平滑,例如通过双轨逻辑,可以减小电流消耗对输入数据的个别的依赖性。另外,密码算法在其流程中例如通过使用随机掩码或者通过在方法流程中引入所谓的“随机等待状态”而被随机化。另外,可以足够频繁地更换所使用的密钥。但是存在不能通过外部预先给定、例如通过标准来进行密钥更换的实现情况。
发明内容
因此,本发明的任务是,保护在其中使用固定密钥的分组密码免受模板攻击。因此,提出一种用于保护利用有效密钥(NutzschlUssel) K。加密的分组密码F免
权利要求
1.用于保护利用有效密钥(Ktl)加密的分组密码(F)免受模板攻击的方法,具有步骤: a)提供(101)由分组密码(F)和有效密钥(K。)所确定的有效置换(F(K0)); b)提供(102)数目N个哑元置换(G(K1),…G (Kn)),所述哑元置换(G (K1),…G (Kn))由N个哑元密钥(K1,…Kn)和分组密码(F)或分组密码(F)的逆(F—1)确定;以及 c)将有效置换(F(K。))和哑元置换(G (K1),…G (Kn))联结(103)成联结(H),使得联结(H)和有效置换(F (Ktl))得出相同的映射。
2.根据权利要求1所述的方法, 其特征在于, 所述数目N个哑元置换(G (K1),…G (Kn))被提供为使得所述N个哑元置换(G (K1),…G (Kn))的每个联结都得出分组密码(F)的原像集(Μ)。
3.根据权利要求2所述的方法, 其特征在于, 通过第一构型利用 Ig.ο g I': ο 1.g o g " ! c o ;q o g ':来实现N个哑元置换的联结,其中q.- G:K.;,其中G表示分组密码(F)或者分组密码的逆(F—1),并且其中Ki表示N个哑元密钥(K1,…Κη),其中i € [I,…η]。
4.根据权利要求2所述的方法, 其特征在于, 通过第二构型利用》:.. .ο α ο...::; g I o ++ c....0 g +++ c- -g —)来实现 N 个哑元置换的联结,其中(J.二 G: K:,其中G表亍分组密码(F)或者分组密码的逆(Γ1),并且其中Ki表示N个哑元密钥(K1,…Kn),其中I E [I,...η]。
5.根据权利要求2所述的方法, 其特征在于, 通过第三构型利用 α- 。α ο g...丨:> g ο α ο :! ο i, g ο q ο g..ο:g.ο ( ο α, , ο…来实现N个哑元置换的联结,其中g: G:,其中G表示分组密码(F)或者分组密码的逆(F—1),并且其中&表示N个哑元密钥(K1,...!( ),其中i E LI,...η] ο
6.根据权利要求5所述的方法, 其特征在于, 借助于第三构型来保护三元DES加密的实现。
7.根据权利要求1至6之一所述的方法, 其特征在于, 在每次应用步骤a)至c)以前置换N个哑元密钥(K1,…!^)。
8.根据权利要求1至6之一所述的方法, 其特征在于,在每次应用步骤a)至c)以前重新形成N个哑元密钥(K1,…!^)。
9.根据权利要求1至8之一所述的方法, 其特征在于, 将有效密钥(Ktl)固定地分配给分组密码(F)。
10.计算机程序产品,所述计算机程序产品在程序控制的设备上促使执行根据权利要求I至9之一所述的方法。
11.用于保护利用有效密钥(Ktl)加密的分组密码(F)免受模板攻击的装置(200),具有: 第一装置(201),用于提供由分组密码(F)和有效密钥(Ktl)确定的有效置换(F(Ktl)),第二装置(202),用于提供数目N个哑元置换(G (K1),…G (Kn)),所述哑元置换(G(K1),…G (Kn))由N个哑元密钥(K1,…!^)和分组密钥(F)或分组密码(F)的逆(F —O确定,以及 第三装置(203),用于将有效置换(F(Ktl))和哑元置换(G (K1),…G (Kn))联结为联结(H),使得联结(H)和有效置换(F (K0))得出相同的映射。
12.具有根据权利 要求11所述的装置(200)的处理器(300)。
全文摘要
用于保护分组密码免受模板攻击的方法和装置。提出一种用于保护利用有效密钥K0加密的分组密码F免受模板攻击的方法。在此,提供由分组密码F和有效密钥K0所确定的有效置换F(K0)和数目N个哑元置换G(K1),…G(Kn)。所述N个哑元置换G(K1),…G(Kn)由N个哑元密钥K1,…Kn和分组密码F或分组密码F的逆F-1来确定。将有效置换F(K0)和N个哑元置换G(K1),…G(Kn)联结成联结H,使得联结H和有效置换F(K0)得出相同的映射(H=F(K0))。由此保护在其中使用固定密钥K0的分组密码F免受模板攻击。另外提出一种用于保护分组密码F免受模版攻击的计算机程序产品和装置。
文档编号H04L9/06GK103166751SQ20121054166
公开日2013年6月19日 申请日期2012年12月14日 优先权日2011年12月14日
发明者E.黑斯 申请人:西门子公司