呈現(xiàn)了用于保護存儲在存儲器中的秘密數(shù)據(jù)以防止未授權訪問和數(shù)據(jù)操縱的系統(tǒng)和方法。各個實施例可以應用于隱藏或屏蔽RSA指數(shù)，所述RSA指數(shù)用于公鑰加密術并且存儲在使用不可擦除工作存儲器進行計算的加密硬件塊中。在某些實施例中，屏蔽RSA指數(shù)是通過兩步過程來完成的，所述兩步過程將特別計算的隨機值和秘密值與所述秘密指數(shù)組合。所述隨機值存儲在可擦除存儲器中，使得如果發(fā)生攻擊則所述可擦除存儲器和所述不可擦除存儲器二者都不泄露任何嵌入秘密。附加的存儲器資源花費僅輕微地影響系統(tǒng)性能。

發(fā)明人：

揚·伊夫·雷內(nèi)·盧瓦澤爾(Yann Yves Rene Loisel)

弗蘭克·拉赫邁(Frank Lhermet)

杰里米·杜伯夫(Jeremy Dubeuf)

A.技術領域

本公開涉及用于執(zhí)行非對稱加密方法的安全系統(tǒng)和方法，并且更具體地涉及通過提供針對利用李維斯特-沙米爾-阿德爾曼(Rivest-Shamir-Adleman，RSA)運算的設備的攻擊的對策來保持數(shù)據(jù)機密性和認證的系統(tǒng)和方法。

B.相關技術說明

已知的是，RSA公鑰加密術對加密數(shù)據(jù)的潛在攻擊者而言是個很大的障礙，這是由于分解兩個很大的秘密質(zhì)數(shù)的乘積耗費巨大精力。與任何其他形式的加密術一樣，RSA并不是不受潛在攻擊者進行的攻擊和或不想要的訪問或檢查的影響。因此，各種計算機安全標準如例如用于郵政模塊的FIPS 140-2或例如用于支付終端的PCIPTS要求在使用加密硬件設備檢測到篡改企圖的標記之后立即擦除機密數(shù)據(jù)。一般而言，雖然對于如旁路攻擊(side-channel attack)等某些類型的攻擊，存在保護可信環(huán)境的對策，但是針對更具侵入性的攻擊，如旨在通過物理手段或嵌入式軟件手段侵入存儲器的攻擊，不存在提供令人滿意的保護水平的已知解決方案。尤其是在RSA公鑰加密術領域中，當面對這種侵入式攻擊時，無法依賴于常見的基于軟件的擦除機制以符合安全標準。

圖1展示了用于保護存儲在存儲器中的機密數(shù)據(jù)的常規(guī)系統(tǒng)和方法。系統(tǒng)100包括模算術加速器(Modular Arithmetic Accelerator，MAA)102，所述MAA通常是與具有其自身資源并且提供數(shù)學計算支持的協(xié)處理器類似的硬件設備。MAA102常常用于公鑰加密術，所述公鑰加密術在計算能力方面要求很高，尤其是在軟件實施方式不夠強大的情況下。

MAA 102包括接收操作數(shù)、執(zhí)行計算、并輸出結果例如消息m的寄存器和存儲器106例如SRAM。如圖1中所描繪的，MAA 102耦合至在操作中將秘密104加載到MAA 102的存儲器106中的非易失性安全隨機存取存儲器(Non-Volatile Secure Random Access Memory，NVSRAM)110，使得MAA 102可以根據(jù)所述秘密計算消息m。

如果系統(tǒng)100遭到攻擊，則軟件擦除命令130例如由篡改檢測系統(tǒng)發(fā)出且傳送到NVSRAM 110，使得可以清除或擦除存在于存儲器114中的任何秘密以防止對機密數(shù)據(jù)的未授權訪問。然而，在如系統(tǒng)100等現(xiàn)有設計中，無法以及時的方式擦除MAA 102的存儲器106，這是因為按照設計，無論是在硬件還是軟件中都不存在可以依賴以對MAA存儲器106執(zhí)行足夠快速、完全且有保證的擦除的機制或安全特征。部分地，這是由于存儲器106的總體上很大的存儲器區(qū)域造成的。因此，已經(jīng)被執(zhí)行并存儲在MAA存儲器106內(nèi)并且包括任何類型的秘密的計算保留在MAA存儲器106內(nèi)并且使機密信息易被潛在攻擊者訪問。

作為示例，可能設法發(fā)出例如通過干擾對不可屏蔽中斷(Non-MaskableInterrupt，NMI)處理程序的調(diào)度以防止執(zhí)行或完成中斷來使基于軟件的擦除機制中斷的足夠快速的重置命令的攻擊者可以獲得對MAA存儲器106中的待保護秘密的訪問。因此，符合要求立即從包括機密數(shù)據(jù)的存儲器中進行擦除的標準的任何企圖都可能由此受挫于成功的攻擊。