一種以安全方式執(zhí)行密碼學(xué)過程的方法，其中密碼學(xué)過程基于輸入數(shù)據(jù)生成輸出數(shù)據(jù)，生成輸出數(shù)據(jù)涉及基于一定量的數(shù)據(jù)生成值，值是來自針對整數(shù)的多個盒的輸出的根據(jù)線性變換L的組合，每個盒實現(xiàn)函數(shù)，函數(shù)是：第一函數(shù)和線性或仿射第二函數(shù)的復(fù)合，使；或第一函數(shù)、線性或仿射第二函數(shù)和第三函數(shù)的復(fù)合，使，方法包括：執(zhí)行第一和第二處理階段，以基于一定量數(shù)據(jù)生成值，其中第一處理階段使用多個第一查找表生成輸出，輸出基于一定量數(shù)據(jù)的至少一部分，針對每個盒由第一查找表實現(xiàn)第一函數(shù)；第二處理階段組合來自多個第二查找表的輸出以生成值，至每個第二查找表的輸入由多個第一查找表的輸出形成，并且第二查找表的集合基于第二函數(shù)和線性變換。

技術(shù)領(lǐng)域

本發(fā)明涉及用于以安全方式來執(zhí)行密碼學(xué)過程以及用于生成密碼學(xué)過程的安全實現(xiàn)方式的方法和系統(tǒng)。

背景技術(shù)

“白盒”密碼學(xué)是密碼學(xué)中的已知話題。在白盒攻擊中，假定密碼學(xué)方案在不可信的平臺上執(zhí)行，并且假定白盒敵對方具有對該執(zhí)行的內(nèi)部細(xì)節(jié)的完全控制權(quán)。因此，白盒環(huán)境是針對軟件項目的執(zhí)行環(huán)境，在該環(huán)境中，假定軟件項目的攻擊者對正在被操作的數(shù)據(jù)（包括中間值）、存儲器內(nèi)容、以及軟件項目的執(zhí)行/處理流程具有完全訪問權(quán)和可見性。此外，在白盒環(huán)境中，假定攻擊者能夠例如通過使用調(diào)試器來修改正在被操作的數(shù)據(jù)、存儲器內(nèi)容、以及軟件項目的執(zhí)行/處理流程——以這種方式，攻擊者可以在軟件項目上進(jìn)行實驗并且嘗試操縱軟件項目的操作，其目的是規(guī)避最初預(yù)期的功能和/或標(biāo)識秘密信息和/或用于其他目的。事實上，甚至可以假定攻擊者知道軟件項目正在執(zhí)行的底層算法。然而，軟件項目可能需要使用秘密信息（例如，一個或多個密碼學(xué)密鑰），其中該信息需要對攻擊者保持隱藏。

在白盒攻擊下，許多傳統(tǒng)的密碼學(xué)方案無法為私有信息提供保護(hù)。白盒密碼學(xué)旨在提供密碼學(xué)系統(tǒng)的實現(xiàn)方式的魯棒性，并且構(gòu)造可以在白盒攻擊下成功實現(xiàn)其功能（諸如，加密、解密和認(rèn)證）的密碼學(xué)系統(tǒng)。

白盒攻擊變得越來越多樣化和強大。這使得敵對方能夠進(jìn)行許多攻擊（靜態(tài)和動態(tài)攻擊這兩者）。例如，諸如DPA（差分功率分析）之類的灰盒攻擊已經(jīng)以名稱DCA（差分計算分析）被重新利用，并且針對白盒實現(xiàn)方式直接可使用。DCA成功的主要原因是由于預(yù)期值（來自標(biāo)準(zhǔn)密碼規(guī)范）與對應(yīng)的被掩蔽的中間值（來自白盒實現(xiàn)方式）之間不可忽略的相關(guān)性。這樣的相關(guān)性通常是由一些白盒實現(xiàn)方式中使用的編碼中的線性失衡引起的。

在許多密碼學(xué)過程（諸如，加密和解密算法）中，S盒（或替換盒）被用作非線性組件，其對于混淆通常是至關(guān)重要的。S盒是公知的——例如，參見https://en.wikipedia.org/wiki/S-box，其全部公開內(nèi)容通過引用并入本文中。在大多數(shù)白盒實現(xiàn)中方式，密碼學(xué)密鑰將被隱藏在一個或多個S盒中。因此，為了具有密碼學(xué)過程的安全實現(xiàn)方式，如何保護(hù)S盒的問題是需要考慮的事情。在白盒攻擊、尤其是DCA攻擊（其包括使用仿射變換、聯(lián)網(wǎng)編碼、掩碼注入等）下，一些保護(hù)被證明是脆弱的。這些保護(hù)的共同之處在于：輸入的統(tǒng)計分布影響了輸出的統(tǒng)計分布，并且預(yù)期值與被掩蔽的中間值之間存在不可忽略的相關(guān)性。

發(fā)明內(nèi)容

本發(fā)明的實施例旨在使用S盒的改進(jìn)/安全實現(xiàn)方式來解決這種問題。