本公開(kāi)涉及一種具有低時(shí)延和降低復(fù)雜度的受保護(hù)免于邊信道攻擊的門(mén)。一種使用針對(duì)每個(gè)輸入變量具有d+1份額布爾掩蔽的、受保護(hù)免于邊信道攻擊的掩蔽邏輯門(mén)，其中d是表示保護(hù)階的至少等于1的整數(shù)，該門(mén)包括第一輸入、第二輸入和(d+1)個(gè)份額的輸出，第一輸入被配置為接收多個(gè)份額yj(j＝0,1,2…)；第二輸入被配置為接收(d+1)²個(gè)份額xi(i＝0,1,2…)，該(d+1)²個(gè)份額xi表示由實(shí)現(xiàn)具有保護(hù)階d的低時(shí)延掩蔽的門(mén)樹(shù)的一個(gè)層級(jí)所輸出的中間結(jié)果；并且(d+1)個(gè)份額的輸出是通過(guò)使用面向域的掩蔽向第一輸入和第二輸入施加該掩蔽門(mén)的邏輯函數(shù)所獲得的。

技術(shù)領(lǐng)域

本發(fā)明涉及使用布爾掩蔽而免于邊信道攻擊(SCA)的受到保護(hù)的安全數(shù)字電路。

背景技術(shù)

利用布爾掩蔽，被輸入到數(shù)字電路的邏輯函數(shù)的每個(gè)二進(jìn)制變量被劃分為d+1個(gè)份額，其中d是被指定為“保護(hù)階”的至少等于1的整數(shù)。變量的份額被隨機(jī)地初始化，使得將它們異或(XOR)在一起產(chǎn)生該變量的原始狀態(tài)。

在一個(gè)邏輯函數(shù)內(nèi)，可以根據(jù)各種技術(shù)對(duì)份額進(jìn)行處理，該各種技術(shù)盡力防止變量的狀態(tài)從中間結(jié)果“泄漏”。一種這種技術(shù)被稱(chēng)作面向域的掩蔽(DOM)，該掩蔽以增加時(shí)延為代價(jià)具有相對(duì)低的復(fù)雜度，例如參見(jiàn)[“Domain-Oriented Masking:Compact MaskedHardware Implementations with Arbitrary Protection Order”,Hannes Gross等,2016年10月,2016ACM研討會(huì)]。

應(yīng)當(dāng)注意的是，邏輯函數(shù)內(nèi)的復(fù)雜度和時(shí)延問(wèn)題主要是通過(guò)使用非線性門(mén)(諸如AND、NAND、OR或者NOR門(mén))而產(chǎn)生的。作為對(duì)比，諸如XOR的線性門(mén)則非常適用于無(wú)泄漏設(shè)計(jì)。

圖1圖示了實(shí)現(xiàn)DOM技術(shù)的第一階掩蔽AND門(mén)。該掩蔽AND門(mén)由AND22_M2所指定，其中第一比特指示每輸入的份額數(shù)目(這里針對(duì)兩個(gè)輸入中的每個(gè)輸入有兩個(gè)份額)，并且第二比特是與輸出融合的份額數(shù)目(這里為兩個(gè)份額)。該掩蔽門(mén)包括四個(gè)基元AND門(mén)。第一基元AND門(mén)接收兩個(gè)輸入變量x和y的第一份額x0、y0，而最后一個(gè)基元AND門(mén)則接收該輸入變量的第二份額x1、y1。兩個(gè)中間基元AND門(mén)則分別接收對(duì)(x0,y1)和(x1,y0)。

最終，兩個(gè)第一基元AND門(mén)的輸出被異或以產(chǎn)生輸出變量z的第一份額z0，并且兩個(gè)其余基元AND門(mén)的輸出被異或以產(chǎn)生輸出變量z的第二份額z1。

事實(shí)是每個(gè)輸出份額傳送輸入變量中的一個(gè)輸入變量的兩個(gè)份額(例如針對(duì)z0的y0和y1)，這一事實(shí)導(dǎo)致了該輸入變量的狀態(tài)的泄漏。為了避免此問(wèn)題，利用附加隨機(jī)性對(duì)一些中間結(jié)果進(jìn)行“再掩蔽”。例如，相同隨機(jī)比特r0被異或到兩個(gè)中間基元AND門(mén)的輸出中。每個(gè)輸出份額因此傳送對(duì)輸入變量的狀態(tài)進(jìn)行掩蔽的相同隨機(jī)比特r0。最后，當(dāng)該輸出被異或以恢復(fù)該輸出的狀態(tài)時(shí)，存在于兩個(gè)份額中的隨機(jī)比特r0被消除。

隨機(jī)比特r0通常由隨機(jī)數(shù)生成器提供，該隨機(jī)數(shù)生成器在時(shí)鐘CK的每個(gè)周期產(chǎn)生新的隨機(jī)字(例如32比特的字)。因此，在掩蔽門(mén)的四個(gè)分支被異或以產(chǎn)生輸出份額z0、z1之前，它們由觸發(fā)器的層級(jí)同步到時(shí)鐘CK。因此，這種掩蔽AND門(mén)引入了一個(gè)時(shí)鐘周期的時(shí)延。

圖2圖示了實(shí)現(xiàn)LOLA技術(shù)的第一階掩蔽AND門(mén)的示例。該掩蔽AND門(mén)由AND22_M4指定，其中第一比特指示每輸入的份額數(shù)目(這里針對(duì)兩個(gè)輸入中的每個(gè)輸入有兩個(gè)份額)，并且第二比特是與輸出融合的份額數(shù)目(這里為四個(gè)份額)。該掩蔽門(mén)簡(jiǎn)單地包括如圖1中那樣連接的四個(gè)基元AND門(mén)。該基元AND門(mén)的輸出表示輸出變量的四個(gè)份額z0至z3。

輸出變量的狀態(tài)能夠通過(guò)將該四個(gè)份額z0至z3異或在一起而獲得。不要求隨機(jī)性，由此沒(méi)有引入時(shí)延周期。然而，后續(xù)邏輯層級(jí)被設(shè)計(jì)為處理四份額變量，這使得復(fù)雜度隨著邏輯函數(shù)中層級(jí)數(shù)目平方地增加。