技術(shù)領(lǐng)域

本發(fā)明涉及一種用于使電路或程序免受旨在發(fā)現(xiàn)由所述電路或程序處理的機密數(shù)據(jù)的值(特別是由加密或解密算法用于變換消息的私鑰)的側(cè)信道分析的方法和設(shè)備。

本發(fā)明特別涉及實現(xiàn)諸如AES(高級加密標(biāo)準(zhǔn))之類的密碼算法的智能卡集成電路或集成到計算機和其它電子和IT設(shè)備(USB驅(qū)動器、電視解碼器、游戲控制臺等)的母板上的硬件加密組件。本發(fā)明還涉及實現(xiàn)這種算法的程序，該程序用于在安全或不安全的環(huán)境中執(zhí)行。

更一般地說，本發(fā)明涉及實現(xiàn)組合了需要隱藏的兩個數(shù)據(jù)的運算的電路和軟件。

背景技術(shù)

實現(xiàn)密碼算法的電路可以包括中央處理單元(CPU)，并且可能包括專用于密碼計算的電路，例如密碼協(xié)處理器。這些電路可以包括根據(jù)所執(zhí)行的運算以不同的方式切換的數(shù)千個邏輯門。這些切換操作在電流消耗上產(chǎn)生短暫變化(例如幾納秒)，并且這些變化可以被測量。具體而言，CMOS型集成電路包括在切換時(即，當(dāng)邏輯節(jié)點將其狀態(tài)變?yōu)?或0時)才消耗電流的邏輯門。因此，電流消耗取決于中央處理單元所處理的數(shù)據(jù)及其各種外圍設(shè)備(存儲器、在數(shù)據(jù)或地址總線上流動的數(shù)據(jù)、密碼協(xié)處理器等)。

此外，使用加密或模糊技術(shù)(例如白盒密碼技術(shù))的某些軟件程序可以以非常難以通過逆向工程確定的方式來集成機密數(shù)據(jù)。某些軟件程序還可以通過安全通信通道從外部接收機密數(shù)據(jù)。

基于觀察這些電路的電流消耗、或它們的磁或電磁輻射時，這些電路可能會受到所謂的側(cè)信道分析攻擊。此類攻擊旨在發(fā)現(xiàn)機密數(shù)據(jù)，特別是加密密鑰。當(dāng)前側(cè)信道攻擊實施諸如SPA(“單功耗分析”)、DPA(“差分功耗分析”)、CPA(“相關(guān)功耗分析”)或EMA(“電磁分析”)之類的統(tǒng)計分析方法。SPA分析(參考文獻(xiàn)[1])通常只需要獲取單個電流消耗蹤跡。其目的是通過觀察對應(yīng)于密碼計算的消耗蹤跡的一部分來獲得關(guān)于集成電路的活動的信息，因為當(dāng)前蹤跡根據(jù)所執(zhí)行的運算和所處理的數(shù)據(jù)而變化。

軟件在被電路執(zhí)行期間也可能經(jīng)歷這種側(cè)信道攻擊。

DPA(參考文獻(xiàn)[2])和CPA分析使得能夠通過獲取大量電路消耗蹤跡并通過對這些蹤跡進(jìn)行統(tǒng)計分析以查找目標(biāo)信息來找到加密算法的密鑰。它們基于這樣的前提：即，當(dāng)寄存器中或總線上的位從0變?yōu)?時，CMOS型集成電路的消耗發(fā)生變化，以及當(dāng)位保持等于0、保持等于1或從1變?yōu)?(MOS晶體管的寄生電容的放電)時，消耗不發(fā)生變化。或者，可以認(rèn)為當(dāng)位從0變?yōu)?或從1變?yōu)?，CMOS型集成電路的消耗變化，并且當(dāng)位保持等于0或保持等于1時，CMOS型集成電路的消耗不變。該第二假設(shè)使得能夠使用常規(guī)的“漢明距離”或“漢明權(quán)重”函數(shù)來開發(fā)不需要知道集成電路的結(jié)構(gòu)即可應(yīng)用的消耗模型。DPA分析涉及通過對大量消耗蹤跡的統(tǒng)計處理來放大該消耗差異，目的在于突出根據(jù)公式假設(shè)區(qū)分的兩個消耗蹤跡族之間的測量差異。

CPA分析(參考文獻(xiàn)[3])基于線性電流消耗模型，并且涉及計算首先所測量的形成所捕獲的消耗蹤跡的消耗點與其次根據(jù)線性消耗模型和有關(guān)由微電路處理的待發(fā)現(xiàn)的數(shù)據(jù)以及有關(guān)加密密鑰的值的假設(shè)而計算出的推定消耗值之間的相關(guān)系數(shù)。

電磁分析(EMA)基于如下原理：即，集成電路可以以近場或遠(yuǎn)場電磁輻射的形式發(fā)送信息。假設(shè)晶體管和連接它們的電線在其狀態(tài)改變時發(fā)射電磁信號，則可以通過諸如SPA、DPA和CPA分析中的一種或其它分析，像電流消耗變化信號那樣處理這些信號。此分析的一個應(yīng)用實例由Jean-Jacques Quisquater(參考文獻(xiàn)[4])在2001年做出。

存在其它側(cè)信道分析，例如“模板分析”(參考文獻(xiàn)[5])和“交互信息分析”(MIA)(參考文獻(xiàn)[6])。所有上述分析都基于所有被分析的蹤跡的時間對準(zhǔn)。換言之，在給定時間(例如從命令的執(zhí)行被電路激活的時間)執(zhí)行的所有測量都必須對應(yīng)于由算法處理的相同數(shù)據(jù)。