本發(fā)明涉及一種對(duì)產(chǎn)生隨機(jī)數(shù)或隨機(jī)源的方法的改進(jìn)，特別涉及一種在密碼記錄系統(tǒng)中開發(fā)的源，諸如智能卡上的隨機(jī)數(shù)發(fā)生器。

具體來講，它用于在以下類型電子設(shè)備的測試和驗(yàn)證中實(shí)現(xiàn)：智能卡；個(gè)人計(jì)算機(jī)存儲(chǔ)卡國際協(xié)會(huì)(PCMCIA)卡；徽章；非接觸卡，或其他手持、便攜或手提的設(shè)備。

大多數(shù)公鑰密碼系統(tǒng)(也稱為“非對(duì)稱密碼”系統(tǒng))和大多數(shù)密鑰系統(tǒng)(也稱為“對(duì)稱密碼”系統(tǒng))需要形成秘密隨機(jī)數(shù)。這樣的隨機(jī)數(shù)(隨后將作為密鑰使用)，必須是不可預(yù)測的先驗(yàn)以及沒有任何規(guī)律使它們能夠通過窮舉或改進(jìn)的窮舉搜索策略被找到，在這些搜索策略中首先查找最可能的密鑰。

在一個(gè)很難計(jì)算反函數(shù)的函數(shù)的基礎(chǔ)上構(gòu)建一個(gè)隨機(jī)源是可能的。用f表示這樣一個(gè)函數(shù)。有可能通過這樣來構(gòu)建一個(gè)隨機(jī)源：開始先選擇一個(gè)隨機(jī)初始化變量s，并將函數(shù)f應(yīng)用于一序列值s，s+1，s+2，……。該隨機(jī)源的輸出被定義為f(s)，f(s+1)，f(s+2)，……。作為所用函數(shù)f的性質(zhì)的一個(gè)函數(shù)，最好僅保留輸出f(s)，f(s+1)，f(s+2)，……的幾位。

在美國國家標(biāo)準(zhǔn)協(xié)會(huì)標(biāo)準(zhǔn)X9.17中規(guī)定了一種用于在很難計(jì)算反函數(shù)的函數(shù)的基礎(chǔ)上產(chǎn)生隨機(jī)數(shù)的方法。該方法使用帶有一個(gè)必須只在該算法中使用的密鑰K的數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)算法。該用于產(chǎn)生隨機(jī)數(shù)的方法將一個(gè)64位隨機(jī)秘密整數(shù)s和一個(gè)整數(shù)m作為輸入，并返回m個(gè)64位隨機(jī)整數(shù)x₁，x₂，...，x_m作為輸出。該方法地特征在于以下三個(gè)步驟：

1)利用DES算法，使用密鑰K對(duì)一個(gè)表示日期數(shù)據(jù)的值D加密，并將結(jié)果放入整數(shù)變量I。

2)對(duì)j從1到m的范圍，執(zhí)行以下步驟；

??2)a)用s?XOR?I替換s。

2)b)將通過使用密鑰K的DES算法加密s的結(jié)果放入x_j。

??2)c)用x_j?XOR?I替換s。

2)d)將通過使用密鑰K的DES算法加密s所得的結(jié)果放入s。

3)返回序列(x₁，x₂，...，x_m)作為輸出。

有可能在一個(gè)應(yīng)用中使用這個(gè)隨機(jī)數(shù)發(fā)生器，該應(yīng)用中已經(jīng)具有該隨機(jī)數(shù)發(fā)生器，但被視為品質(zhì)不充分，例如在一個(gè)智能卡的微處理器板上的隨機(jī)數(shù)發(fā)生器。在該情況中，使用上述方法以改進(jìn)隨機(jī)數(shù)發(fā)生器的品質(zhì)。該方法將一個(gè)64位隨機(jī)秘密整數(shù)s和一個(gè)整數(shù)m作為輸入，并返回m個(gè)64位隨機(jī)整數(shù)x₁，x₂，...，x_m作為輸出。該方法使用帶有必須只在該算法中使用的密鑰K的數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)算法。該方法使用一個(gè)源S，其品質(zhì)被視為對(duì)于不充分的64位隨機(jī)整數(shù)。該方法的特征在于以下三個(gè)步驟：

1)對(duì)j從1到m的范圍；

1)a)通過源S產(chǎn)生整數(shù)I。

1)b)用s?XOR?I替換s。

1)c)將通過使用密鑰K的DES算法加密s的結(jié)果放入x_j。

1)d)通過源S產(chǎn)生一個(gè)整數(shù)I。

1)e)用x_j?XOR?I替換s。

1)f)將通過使用密鑰K的DES算法加密s所得的結(jié)果放入s。

2)返回序列(x₁，x₂，...，x_m)作為輸出。

顯然在一個(gè)智能卡上實(shí)現(xiàn)一個(gè)密鑰密碼算法(例如DES算法)會(huì)遭受包含電流消耗的示差分析也就是差動(dòng)功率分析(DPA)使之可能發(fā)現(xiàn)密鑰的攻擊。這種DPA攻擊的原理是基于微處理器執(zhí)行指令的功率消耗(也就是消耗的電流)會(huì)根據(jù)被處理的數(shù)據(jù)項(xiàng)而變化這一事實(shí)。為了發(fā)現(xiàn)該密鑰，必須知道該密碼算法的輸入或輸出消息。

因此，上述兩種產(chǎn)生隨機(jī)數(shù)的方法都會(huì)遭受DPA類型的攻擊。作為上述兩種方法的輸出返回的隨機(jī)數(shù)是密碼算法的輸出消息。于是在該智能卡的功率消耗的基礎(chǔ)上，有可能發(fā)現(xiàn)密碼密鑰K，然后因此可以預(yù)測出該隨機(jī)數(shù)發(fā)生器的輸出。

本發(fā)明中的方法包括對(duì)上述產(chǎn)生隨機(jī)數(shù)的方法的一個(gè)改進(jìn)，以便使它們能夠經(jīng)得起DPA類型的攻擊。