借助于物理不可克隆函数创建从加密密钥中推导的密钥的制作方法
【技术领域】
[0001]本发明涉及用于借助于至少一个物理不可克隆函数创建从加密密钥中推导的密钥的方法和设备。
【背景技术】
[0002]对于执行密码方法来说需要密码密钥。在此,密码密钥例如在对称加密方法中使用,以便加密两个设备之间的通信。密码密钥同样在鉴权方法中使用。例如产生、分配和存储密码密钥属于密码密钥的密钥管理。此外,对于大量的应用来说需要从一个密码密钥中推导出多个密钥,因为在设备通信中给不同的设备例如分配不同的密钥。
[0003]已知密码密钥推导函数,所谓的Key Derivat1n Funct1n (密钥推导函数,简称KDF)。该密钥推导函数确定性地根据输入密钥和推导参数确定推导的密钥。为此需要以下密码算法,这些算法保证了对所推导的密钥提出的要求。
[0004]已知使用用于确定密码密钥的物理不可克隆函数,所谓的Physical UnclonableFunct1n (物理不可克隆函数,下面简称PUF)。在此,该PUF被施加请求值(也称挑战值或下称挑战)并且从应答值(在下面也称为响应值或响应)借助于密钥提取函数来产生密码密钥。在响应经受的统计波动的情况下也可以通过错误纠正方法借助于所谓的辅助数据来明确地产生密钥。只要例如在其上实现PUF的电路不被毁坏,则一直如此可靠地产生相同的密钥。
【发明内容】
[0005]本发明的所基于的任务是提供以下方法和设备,所述方法和设备使得从密码密钥中推导出密钥的简化的密钥推导成为可能。
[0006]该任务通过根据在独立权利要求中说明的特征的方法和设备来解决。有利的实施方式和改进方案在从属权利要求中说明。
[0007]下面提到的优点不必一定通过独立权利要求的主题来实现。更确切地说,也可以涉及仅仅通过各个实施方式或改进方案实现的优点。
[0008]根据本发明,用于创建从密码密钥中推导的密钥的方法具有以下步骤:给密码密钥和至少一个推导参数分配至少一个请求值。在电路单元上借助于至少一个物理不可克隆函数根据各至少一个请求值来产生应答值。从该至少一个应答值中推导所推导的密钥。
[0009]物理不可克隆函数尤其理解为所谓的Physical Unclonable Funct1n (简称PUF),该物理不可克隆函数在传送请求值(下称挑战值)时产生应答值(下称响应值)ο PUF从现有技术中以不同的实施方式已知并且根据固有物理特性可靠地识别对象。诸如半导体电路的物体的物理特性在此作为单独的指纹来使用。通过物理特性定义PUF根据挑战值提供属于该物体的响应值。
[0010]密码密钥理解为以下密钥,该密钥已经存在于密钥推导方法的输出情形中并且用作原始密钥或主密钥,以便产生多个其它密钥。
[0011]在本申请中,密码密钥此外理解为以下密钥,该密钥满足密钥在其中使用的加密方法的要求,诸如足够的密钥长度。
[0012]推导的密钥理解为以下密钥,该密钥从现有密码密钥一一例如特别安全地存放在设备上的原始密钥或可配置或可读入的原始密钥一一中生成。推导的密钥也受到关于根据应用情况变化的密码安全方面的要求。
[0013]借助于所描述的方法来提供借助于PUF个别化的密钥推导函数。密钥推导的计算结果取决于在哪种硬件(也即例如在哪种芯片上)上实施用于密钥推导的方法。
[0014]与从现有技术中已知的方法不同,所述方法能够以低电路耗费在硬件中实现,因为不需要密码算法。
[0015]所推导的密钥可以作为用于密码保护的数据通信一一诸如根据IEEE MAC安全标准(MACsec IEEE802.lae)、根据互联网协议安全(IPsec)或根据传输层安全(TLS)——的会话密钥来使用。所推导的密钥还可以用于为了复制保护目的来解密软件模块或者用于检查软件模块或投影数据的密码检查和。密码密钥还可以用于数据载体或数据载体的一部分(例如分区、目录或各个文件)的加密和解密。所推导的密钥可以用于诸如DES、AES、MD5、SHA-256的密码算法,但是也可以用作伪随机数生成器或移位寄存器装置的密钥参数。利用这种伪随机数生成器或这种移位寄存器装置可以产生在例如无线电传输路段的调制方法的情况下使用的噪声信号或扩展信号。这具有如下优点:在诸如物理传感器或RFID标签的极端受限的环境中(在该环境中不能转化常规的密码算法)能够实现受保护的信息传输。
[0016]通过所推导的密钥与推导参数的关联来生成与目标绑定的密钥,该密钥的目标能够通过推导参数控制。
[0017]目标的概念在本申请中理解为以下信息,所推导的密钥通过密钥推导方法与该信息固定地关联。如果所推导的密钥例如出于鉴权原因被使用,则所述密钥仅仅在如下情况下是有效的,即所推导的密钥的在密钥推导中所使用的目标与所述目标(该目标也被传送给鉴权实体或分配给被鉴权的实体)一致。
[0018]因此提供以下方法,该方法一方面实现以硬件表征的方式根据该硬件(在该硬件上生成所推导的密钥)生成所推导的密钥。同时可以借助于推导参数利用在硬件的电路单元上实现的PUF来产生不同的密钥。因此,提供根据电路单元来生成密钥的密钥复制方法,所述电路单元不能在第二电路单元上复制。
[0019]根据一种改进方案,给密码密钥和至少一个推导参数分配至少两个请求值。
[0020]因此,基于在必要时薄弱的PUF—一该PUF在单个问询的情况下借助于请求值不可靠地使用可用的密钥空间,确定在密码方面强的密钥。
[0021]通过分配至少两个请求值来产生请求值的扩展的值范围,使得以高概率针对可确定的推导参数来生成所属的一次性所推导的密钥。
[0022]例如可以针对第一推导参数通过递增第一请求值来分配第二请求值。还可以将第一请求值与例如二进制编码的计数值连结(Konkatenieren )。
[0023]根据另一改进方案,根据至少两个请求值分别产生至少两个应答值之一。
[0024]物理不可克隆函数先后被用请求值施加并且每个请求值产生一个应答值。
[0025]根据另一改进方案,在电路单元上两个或更多物理不可克隆函数分别被用至少一个请求值施加并且分别产生取决于至少一个请求值的应答值。
[0026]根据一个改进方案,从至少两个应答值中推导所推导的密钥。
[0027]在此,例如从至少两个应答值中产生输入值,该输入值通过连结至少两个应答值来形成。根据输入值然后借助于密钥提取方法来创建所推导的密钥。
[0028]输入值还可以针对密钥提取通过至少两个请求值的异或关联来确定。
[0029]对于至少两个应答值来说首先还分别能够计算前密钥(VorschlUssel),其中针对至少两个应答值中的每个执行密钥提取。所推导的密钥于是根据前密钥来确定,例如作为前密钥的连结、作为前密钥的异或关联或借助于哈希函数。
[0030]根据另一改进方案,密码密钥借助于至少一个物理不可克隆函数来创建。
[0031]因此,密码密钥可以借助于至少一个存在于电路单元上的物理不可克隆函数来创建。这最小化了密钥推导方法中的计算以及硬件耗费。也不需要密码算法用于计算密码密钥。例如将相同的PUF用于创建密码密钥以及用于推导所推导的密钥。因此不必以特别高的安全要求来存储主密钥,因为具有PUF的电路单元表示在尝试读出密钥的情况下被毁坏的密钥存储器。
[0032]根据一种实施方式,将电路单元构造为集成半导体电路单元。
[0033]优选涉及模拟集成半导体电路单元,涉及所谓的具有模拟和数字电路单元的混合信号集成电路单元,涉及数字集成半导体电路单元(Applicat1n Specific IntegratedCircuit,专用集成电路,简称ASIC)或者涉及可编程集成半导体电路单元(FieldProgrammable Gate Array (现场可编程门阵列,简称 FPGA)、Central Processing Unit (中央处理单元,简称CPU)、System on Chip (片上系统))。这具有以下优点,这种集成电路单元是价格便宜的以及大量可用的并且具有紧凑的尺寸。
[0034]根据一种实施方式,所述至少一个物理不可克隆函数被构造为延迟PUF、仲裁PUF、SRAM-PUF、环振荡器PUF、双稳环PUF、触发器PUF、短时脉冲(Glitch) PUF、蜂窝非线性网络PUF或者蝴蝶PUF。因此可以根据边界条件一一诸如可用的电路面、集成半导体电路单元的物理实现、对电流消耗或运行时间或所要求的安全水平的要求一一来选择合适的PUF变型。
[0035]根据一种有利的改进方案,推导参数由至少一个确定目标的参数形成。
[0036]因此提供以下方法,在该方法中给所推导的密钥分配专门的使用目标。所推导的密钥于是例如可以在设备的不同通信伙伴中用于专门的通信。针对每个使用目标推导不同的密钥。这具有以下优点,密钥对于确定的使用目标来说是有效的并且同时对于与确定的使用目标不同的使用目标来说不是有效的。由此减少滥用危险。
[0037]根据一种有利的实施方式,确定目标的参数从下面的参数之一中选择:网络地址、节点标识符、接口标识符、应用的标识符、数据包的内容、随机值、计数值、固定地分配给使用目标的字符串或比特序列、软件模块或固件镜像的版本信息、中央单元的序列号、来自环境的上下文信息的参数或者数据块或配置参数的检验和。
[0038]因此,如果例如对于多个应用来说必须提供多个不同的密钥,则简化密钥管理。<