-
Die
vorliegende Anmeldung teilt gemeinsame Elemente der Offenbarung
mit der gemeinsam beauftragten, anhängigen
Europäischen
Anmeldung Nr.: 99125306.3 , eingereicht am 17. Dezember
1999, veröffentlicht
als
EP-A-1 022 683 und
mit dem Titel: SYSTEM AND METHOD FOR SUPPRESSING CONDUCTED EMISSIONS
BY A CRYPTOGRAPHIC DEVICE (übersetzt:
System und Verfahren zum Unterdrücken
geführter
Aussendungen durch eine kryptographische Vorrichtung) und der
Europäischen Anmeldung Nr. 00 126
516.4 , veröffentlicht
als
EP-A-1 107 502 mit
dem Titel: SYSTEM AND METHOD FOR PREVENTING DIFFERENTIAL POWER ANALYSIS
ATTACKS (DPA) ON A CRYPTOGRAPHIC DEVICE (übersetzt: System und Verfahren zum
Verhindern differenzieller Leistungsanalyseangriffe (DPA) auf eine
kryptographische Vorrichtung), die am gleichen Tag wie die vorliegende
eingereicht worden ist.
-
Die
vorliegende Erfindung bezieht sich allgemein auf Systeme zum Ausführen von
kryptographischen Vorgängen,
und insbesondere auf Systeme und Verfahren zum Erhöhen der
Sicherheit derartiger Systeme; insbesondere auf solche Systeme,
die zum Überprüfen der
Bezahlung von Porto verwendet werden.
-
US-A-5,533,123 beschreibt
ein Verfahren zum Begrenzen von geführten Aussendungen durch eine
gesicherte Verarbeitungseinheit SPU (Englisch: Secured Processing
Unit), die Verschlüsselung
und Entschlüsselung
und verschiedene Algorithmen ausführt, wobei die SPU einen SPU-Chip
umfasst und mindestens einen wesentlichen Teil der kryptographischen
Vorgänge
ausführt.
Das Verfahren umfasst die Schritte des Einbauens der SPU in eine
fälschungs- bzw.
manipulationssichere Struktur, Bereitstellen von Leistung an die
SPU von einer externen Batterie und einer Systemspannungsleitung,
und Isolieren von zumindest einem Teil der SPU von der externen
Batterie, wenn die Systemleistung abgeschaltet wird.
-
EP-A-0 463 261 beschreibt
eine IC Karte mit verbesserten Schaltkreisen zur Leistungszuführungsumschaltung,
in denen ein Spannungsabfall über
eine Diode des Schaltkreises zur Leistungszuführungsumschaltung klein gehalten
wird, so dass die IC Karte stets richtig betrieben werden kann.
-
Kryptographische
Systeme haben viele Anwendungen, sowohl für die sichere Übertragung
von Information als auch für
die Authentifizierung und Überprüfung der
Quelle der Information. Eine derartige Anwendung ist die Überprüfung von
Porto bzw. Postgebühren.
-
Die überwältigende
Mehrheit der Postdienste rund um die Welt erfordert eine Vorauszahlung
für die
von den Postdiensten bereitgestellten, postalischen Diensten. Vorauszahlung
erfordert jedoch einen überprüfbaren Beweis
von bezahltem Porto. Die traditionelle Gebührenbriefmarke ist ein wichtigstes Beispiel
eines derartigen Beweises.
-
Eine
andere (Anwendung) ist die Verwendung von Postgebührenmessgeräten, die
einige Nachteile von Postgebührenbriefmarken
mindern. Die ersten Postgebührenmessgeräte waren
mechanische Geräte,
die Druck- und Rechnungsfunktionen gesichert miteinander verbunden
hatten. Das mechanische Messgerät,
das über
viele Jahre perfekt war, wurde zu einem weit verbreiteten, grundlegenden Geschäftsgerät. Die Abrechnungs-
und Maschinensteuerungsfunktionen wurden computerisiert als in den
späten
70'ern elektronische
Postgebührenmessgeräte eingeführt wurden.
Dies ermöglichte
neue Merkmale, einschließlich
nach Abteilungen unterschiedener Abrechnung, und computergesteuerter Rücksetzung
des Messgeräts.
Die grundlegende Sicherheit des Postgebührennachweises blieb jedoch dieselbe,
und hängt
von zwei Merkmalen ab: 1) physikalische Sicherheit des Druckvorgangs,
d.h. das Drucken des Portonachweises kann nicht ohne entsprechende
Abrechnung auftreten, und 2) forensische bzw. kriminaltechni sche
Erkennbarkeit, das heißt
betrügerische
postalische Freimachungsvermerke können von rechtmäßigen Freimachungsvermerken
unterschieden werden.
-
Das
Zusammenkoppeln des Druck- und Abrechnungsmechanismus innerhalb
eines abgesicherten, fälschungs-
bzw. manipulationssicheren Rahmens sorgt für die physikalische Sicherheit
des Druckens. Eine Inspektion der Vorrichtung zeigt normalerweise
Fälschungen.
Die effektive forensische Erkennbarkeit von gefälschten postalischen Freimachungsvermerken
hängt ab
von der Nichtverfügbarkeit
alternativer Mechanismen, die zum Fälschen von Freimachungsvermerken
geeignet sind. Bis vor kurzem waren ernsthafte Versuche zum Erzeugen
gefälschter
Freimachungsvermerke unter Verwendung eines alternativen Druckmechanismus
erkennbar.
-
Heute
bietet die mögliche
Verwendung von leicht verfügbaren,
preiswerten, computer-getriebenen Druckern zum Drucken von Portonachweisen neue
Möglichkeiten
für Kundenannehmlichkeit
bzw. Verbraucherfreundlichkeit und wesentliche Kostenvorteile. Jedoch
erfordert die Verwendung derartiger Drucker neue Wege des Überprüfens des
Portozahlungsnachweises, so wie das zuerst in den
US-Patenten 4,641,347 ,
4,641,346 ,
4,757,537 und
4,775,246 angeregt war. Zu dieser
Zeit wurde bemerkt, dass die Sicherheit von Portonachweisen abhängt von
der Sicherheit der in dem Freimachungsvermerk gedruckten Information,
einschließlich
der Nachrichtenauthentifizierung und Integrität.
-
US Patente 4,841, 555 und
4,725,718 erweiterten diese
Idee auf nicht gesichertes Drucken von Porto bzw. Postgebühren; und
offenbarten die Notwendigkeit, dass zumindest ein Teil der Information
in dem Freimachungsvermerk für
eine Partei, die nicht im Besitz einer gewissen geheimen Information
ist, zufällig
erscheinen muss. Derartige zufällig
aussehen de Information wird normalerweise als ein digitales Merkmal
bzw. Token bezeichnet.
-
Die
Grundlage für
die Sicherheit von postalischen Rückflüssen bzw. Gewinnen in der digitalen Welt
sind zwei neue Erfordernisse: 1) Sicherheit des Vorgangs zum Erzeugen
des digitalen Merkmals, und 2) automatische Erkennbarkeit, d.h.
gefälschte digitale
Merkmale können
durch automatische Mittel erkannt werden.
-
Eine
kryptographische Transformation, die auf ausgewählte Daten auf dem Poststück angewendet
wird, erzeugt das digitale Merkmal. Die Daten können folgendes umfassen: Portowert,
Datum, Postleitzahl des geographischen Auslieferungsgebiets, Information über die
Empfängeradresse,
Messgerätedaten
und Stückzähler. Derartige
Daten werden normalerweise als postalische Daten bezeichnet. Die
zum Erzeugendes digitalen Merkmals verwendete, geheime Information
ist im allgemeinen ein kryptographischer Schlüssel, der innerhalb der Abrechnungsvorrichtung
gehalten wird. Ein Überprüfungsgerät mit Zugang
zu einem Überprüfungsschlüssel, der
der geheimen Information der Abrechnungsvorrichtung entspricht,
validiert das digitale Merkmal. Einige kryptographische Algorithmen
und Protokolle sind für
diesen Zweck untersucht worden.
US
Patent 4,853,961 beschreibt entscheidende Aspekte von Kryptographie
mit öffentlichen
Schlüsseln für Postversendungsanwendungen.
Siehe Jose Pastor, CRYPTOPOST, "A
Universal Information-Based Franking System for Automated Mail Processing" (übersetzt: "Ein universelles,
informations-basiertes Frankierungssystem für automatisierte Postverarbeitung"), Proceedings of
the Fourth Advanced Technology Conference of the U.S. Postal Service,
Vol. I, Seiten. 429-442, Nov. 1990. Siehe auch Jose Pastor, CRYPTOPOST, „A Cryptographic
Application to Mail Processing" (übersetzt: „Eine kryptographische
Anwendung für
Postverarbeitung"),
Journal of Cryptology, 3 (2), Seiten 137-146, Nov. 1990.
-
Zwei
Verfahren zum Vorlegen eines postalischen Prüfzeichens mit betrügerischem
Nachweis der Bezahlung sind ein gefälschter Freimachungsvermerk
und ein kopierter Freimachungsvermerk. Der erstere ist ein rechtmäßig erscheinender,
nicht bezahlter Freimachungsvermerk, der insbesondere einen kryptographischen Überprüfungsprozess
erfüllt.
Der letztere ist eine Nachbildung eines rechtmäßigen, bezahlten Freimachungsvermerks.
Derartige gefälschte
Freimachungsvermerke werden notwendigerweise jeglichen kryptographischen Überprüfungsprozess
erfüllen
und müssen
durch andere Mittel erkannt werden, beispielsweise doppelte Poststücknummern,
usw., was keinen Teil der vorliegenden Erfindung bildet. Die vorliegende
Erfindung richtet sich auf die Vorbeugung bzw. den Schutz vor gefälschten
Freimachungsvermerken.
-
Ein
gefälschter
Freimachungsvermerk kann durch Überprüfen des
digitalen Merkmals erkannt werden. Die Überprüfung zeigt, dass das digitale Merkmal
durch einen kryptographischen Algorithmus mit Zugang zu dem geheimen
Schlüssel
des Messgeräts
erzeugt worden ist. Die in dem Freimachungsvermerk gedruckte Information
und ein Zugang zu einem Überprüfungsschlüssel sind
ausreichend zum Erkennen von gefälschten
Freimachungsvermerken solange der geheime Schlüssel des Messgeräts vertraulich
ist. In einem System mit öffentlichem
Schlüssel
liefert eine digitale Signatur die Datenauthentifizierung und den
Integritätsnachweis.
In einem System mit symmetrischem Schlüssel liefert ein Nachrichtenauthentifizierungscode
(MAC, Englisch: Message Authentication Code) eine vergleichbare Überprüfung.
-
Unter
Annahme der Integrität
der Überprüfungssoftware
und Hardware kann nur ein beeinträchtigter Geheimschlüssel des
Messgeräts überprüfbare gefälschte Freimachungsvermerke
erzeugen. Messgeräte
können
durch Zerstören
des physikalischen Schutzes des Schlüssels durch Verfälschen oder
durch Ableiten des Schlüssels
aus Freimachungsvermerkdaten durch Kryptoanalyse beeinträchtigt bzw.
kompromittiert werden. Allgemein ist ein Fälschen erkennbar, wenn der
physikalische Schutz der Sicherheitskomponente des Porto- bzw. Postgebührenmesssystems
ausreichend ist, wie beispielsweise erläutert in FIPS 140-1, „Security
Requirements for Cryptographic Modules" (übersetzt: „Sicherheitserfordernisse
für kryptographische
Module"), National
Institute for Standards and Technology (übersetzt: Nationales Institut
für Standards
und Technologie), Jan. 1994 und ein Schutz vor physikalischem Verfälschen bildet
keinen Teil der vorliegenden Erfindung.
-
Im
allgemeinen sind vielfältige
kryptographische Vorgänge
zum Erzeugen von digitalen Merkmalen zum Authentifizieren von postalischen
Freimachungsvermerken und zum Überprüfen derartiger Freimachungsvermerke
wohlbekannt und die Einzelheiten von verschiedenen Systemen brauchen
hier für
ein Verständnis
der vorliegenden Erfindung nicht weiter besprochen zu werden, außer anzumerken, dass
die Robustheit aller derartiger Operationen in Bezug auf Kryptoanalyse
von der Schwierigkeit des Lösens
bestimmter mathematischer Probleme abhängt, beispielsweise diskrete
logarhithmische Probleme oder dem Faktorisieren einer großen zusammengesetzten
Zahl (siehe: „The
USPS published draft specifications: The INFORMATION BASED INDICIA
PROGRAMM (IBIP) INDICIUM SPECIFICATION" (übersetzt: „Die veröffentlichenden
Entwurfspezifikationen des US Postdiensts: Die Spezifikation des
Freimachungsvermerks nach dem informationsbasierten Freimachungsvermerkprogramm
(IBIP)), datiert 13. Juni 1996; „The INFORMATION BASED INDICIA
PROGRAMM POSTAL SECURITY DEVICE SPECIFICATION" (übersetzt: „Die Spezifikation
für ein
postalisches Sicherheitsgerät
des informationsbasierten Freimachungsvermerkprogramms"), datiert 13. Juni
1996; und „The
INFORMATION BASED INDICIA PROGRAMM HOST SYSTEM SPECIFICATION" (übersetzt: „Die Spezifikation
für ein
Leitrechner system des informations-basierten Freimachungsvermerkprogramms),
datiert 09. Oktober 1996, die zusammengenommen die vom US Postdienst
(U.S.P.S.) vorgeschlagenen Erfordernisse für ein auf kryptographisch gesicherten
Freimachungsvermerken basiertes Portobezahlungssystem definieren).
-
Als
Teil eines vorgeschlagenen, informationsbasierten Freimachungsvermerkprogramms (IBIP,
Englisch: Information-Based Indicia Programm) hat der US Postdienst
(USPS) als Maße
für Robustheit
vorgeschlagen: 1024 Bit RSA, 124 Bit DSS oder 160 Bit ECDSA.
-
Derzeit
gibt es zwei Postgebührenmesssystemtypen:
geschlossene Systeme und offene Systeme. In einem geschlossenen
System ist die Systemfunktionalität ausschließlich auf die Messaktivität gerichtet.
Eine Messvorrichtung eines offenen Systems ist eine Postgebührennachweisvorrichtung
mit einem nicht-dedizierten Drucker, d.h. einem, der nicht sicher mit
einem gesicherten Abrechnungsmodul verbunden ist und der für andere
Zwecke benutzt werden kann. Freimachungsvermerke von offenen Systemen,
die durch den nicht-dedizierten Drucker gedruckt werden, werden
dadurch sicher gemacht, dass Information über den Adressaten in dem verschlüsselten
Nachweis des auf das Poststück
gedruckten Freimachungsvermerks für eine nachfolgende Überprüfung eingeschlossen
wird. Beispiele von Messvorrichtungen in offenen Systemen umfassen
auf Personalcomputern (PC) basierte Geräte mit Einfach-/Multi-Tasking
Betriebssystemen, Mehrfachbenutzeranwendungen und digitale Drucker.
-
Herkömmliche
mechanische und elektronische Postgebührenmessvorrichtungen als geschlossenes
System haben bisher die Verbindung zwischen dem Drucken und dem
Abrechnen gesichert. Die Integrität der physikalischen Messbox
ist durch periodische Inspektionen des Messgeräts überwacht worden. Digital druckende
Postgebührenmessgeräte, die
Postgebühren messgeräte vom geschlossenen
System sind, enthalten typischerweise einen digitalen Drucker, der
an ein Mess-(Abrechungs-)Gerät gekoppelt
ist, was hierin als eine postalische Sicherheitsvorrichtung (PSD,
Englisch: Postal Security Device) bezeichnet wird. Digital druckende
Postgebührenmessvorrichtungen
haben die Notwendigkeit für eine
physikalische Inspektion aufgehoben, in dem die Verbindung zwischen
den Abrechnungs- und den Druckmechanismen kryptographisch gesichert
wird. Im Wesentlichen erzeugen neue, digital druckende Postgebührenmessgeräte eine
sichere Punkt-zu-Punkt Kommunikationsverbindung zwischen der Abrechnungseinheit
und dem Druckkopf. Siehe beispielsweise
US Patent Nr. 4,802,218 , erteilt an
Christopher B. Wright et al. und nun dem Rechtsnachfolger der vorliegenden
Erfindung abgetreten.
-
Ein
Beispiel eines digital druckenden Postgebührenmessgeräts mit sicherer Druckkopfkommunikation
ist der Personal PostTM, das von Pitney
Bowes Inc. aus Stamford, CT hergestellt wird. Ein Beispiel eines
digital druckenden Postgebührenmessgeräts in einem
sicheren Gehäuse
bzw. Rahmen ist der PostPerfectTM, der ebenfalls
von Pitney Bowes Inc. hergestellt wird. Beide Typen von digital
druckenden Systemen können
kryptographisch gesicherte, digitale Merkmale verwenden.
-
Wie
oben angemerkt, beruht die Sicherheit von kryptographisch gesicherten
Postgebührenmesssystemen,
ebenso wie andere kryptographische Informationssysteme, auf einer
Annahme, dass die geheime Information, d.h. der Kryptoschlüssel, der
innerhalb einer gesicherten kryptographischen Vorrichtung gespeichert
ist, gegenüber
einer Offenlegung gegenüber
jedweden Angreifer geschützt
sind. Wenn die physikalische Sicherheit in Wirkung getreten ist,
wurde angenommen, dass ein Angreifer den Kryptoschlüssel nur
erhalten kann, indem er alle möglichen,
dem verwendeten Algorithmus zugeordneten Kryptoschlüssel probiert
(symmetrische Algorithmen) oder durch Ausführen einer komplexen mathematischen
Suche (asymmetrische Algorithmen). Für akzeptierte kryptographische
Algorithmen ist diese Suche unerschwinglich teuer, beispielsweise
erfordert das Erhalten eines 1024 Bit RSA Schlüssels 230 Jahre Berechnung
mit einem 300 MHz PC.
-
Eine
kürzlich
veröffentlichte
Technik, differenzielle Leistungsanalyse (DPA, Englisch: Differential
Power Analysis) unterminiert diese Annahme und bedroht in ernsthafter
Weise die Sicherheit von kryptographischen Vorrichtungen. Die Technik
umfasst das Beobachten und die Analyse von Fluktuationen in der
Leistungsleitung bzw. Netzleitung einer kryptographischen Vorrichtung
(im Folgenden gelegentlich "geführte Aussendungen" (Englisch: "Conducted Emissions") genannt), um das
von der Vorrichtung benutzte kryptographische Geheimnis, d.h. den Kryptoschlüssel, zu
bestimmen. Ein DPA Angriff ermöglicht
es, geheime geschützte
Information von einer als sicher eingestuften, kryptographischen
Vorrichtung zu extrahieren, indem die Fluktuationen der Leistungsaufnahme über der
Zeit gemessen werden und dann eine komplizierte Analyse dieser Information
ausgeführt
wird. Wenn der kryptographische Prozessor seine kryptographischen
Funktionen ausführt, wie
etwa das Verschlüsseln
oder Signieren, dann schalten sich in dem Prozessor enthaltene Transistoren
an und aus, was die Menge des Stroms verändert, der von der den Prozessor
mit Leistung versorgenden Quelle gezogen wird. Angenommen, dass der
Angreifer einiges Wissen über
die von dem kryptographischen Prozessor ausgeführten Funktionen hat, kann
der Angreifer die Stromänderungen
mit Daten, die verarbeitet werden, und den verwendeten Kryptoschlüsseln korrelieren.
Jeder Typ einer gesicherten kryptographischen Vorrichtung, der seine Betriebsleistung
von einer externen Quelle bezieht, ist potentiell gegenüber einem
Angriff gefährdet.
Derartige Geräte
umfassen Smartcards, PC (PCMCIA) Karten und Platinen, einschließlich Vorrichtungen, die
innerhalb eines geschützten
Rahmens untergebracht sind. Wenn eine derartige kryptographische Vorrichtung
einem DPA Angriff ausgesetzt ist, dann kann der Kryptoschlüssel in
einem Zeitraum von Tagen oder Wochen erhalten werden. Viele der
gegen die DPA Angriffe vorgeschlagenen Gegenmaßnahmen umfassen das Einführen von
Signalrauschen oder Filtern auf der Netz- bzw. Leistungsleitung,
zufällige
Zeitsteuerung und Verzögerungen
während der
kryptographischen Verarbeitung und das Einfügen von zusätzlichen Operationen. Diese
Maßnahmen
machen den Angriff viel schwieriger. Jedoch kann ein Angreifer diese überwinden,
indem er mehr Abtastwerte der Netzleitungsfluktuationen erhält und kompliziertere
analytische Techniken anwendet.
-
Während es
wichtig ist, dass die Sicherheitsgemeinschaft (Englisch: Security
Community) in ihrer Gesamtheit Mittel findet, um entweder diese
Angriffe abzuwehren oder um die zu ihrer Ausführung erforderliche Zeit und
das erforderliche Wissen in großem Maße zu verlängern, wird
dies als besonders wichtig für
die erfolgreiche Anwendung von kryptographisch gesicherten Postgebührenmesssystemen
angesehen. In vielen, wenn nicht den meisten, anderen kryptographischen
Systemen, sind die kryptographischen Vorrichtungen und ihre zugeordneten
Schlüssel
unter der Aufsicht des "Besitzers", der im Prinzip
ein Interesse daran hat, diese zu beschützen. Postgebührenmesssysteme
sind jedoch nicht unter der Aufsicht von irgendeiner Partei, die
sich am meisten mit der Systemintegrität befasst, dem Systemverkäufer oder dem
Postdienst, sondern bei einem Postversender, der, wenn er unehrlich
ist, jeden Grund hat, zu versuchen, das System zu bezwingen. Um
das Problem weiter zu verkomplizieren, ist die verringerte Notwendigkeit
für physikalische
Inspektionen ein erwünschter
Vorteil von digitalen Postgebührenmesssystemen,
was das Fenster der Möglichkeiten
für unehrliche
Postversender weiter öffnet.
Und die große
Anzahl von Systemen im Gebrauch wird die Wahrscheinlichkeiten stark
ver größern, dass
einige in die Hände
der Unehrlichen fallen; und selbst ein einziges Messgerät, das beeinträchtigt bzw.
kompromittiert wird, kann verwendet werden, um wesentliche Mengen
von gefälschten
Freimachungsvermerken zu erzeugen, weil ein erfolgreich gefälschter
Freimachungsvermerk durch die zum Erkennen von einfach gefälschten
Freimachungsvermerken verwendeten Verfahren nicht leicht erkannt
wird. Darüber
hinaus können
Postgebührenmesssysteme
Tausende von verschlüsselten
Nachrichten, d.h. postalische Freimachungsvermerke, pro Tag versenden,
was die Datensammlungsaufgabe eines DPA Angreifers stark vereinfacht.
Und alle diese Probleme müssen
gelöst werden,
ohne wesentliche zusätzliche
Postversendungskosten hinzuzufügen.
-
Vergleichbare
Betrachtungen gelten auch für andere
Typen von Wertmesssystemen, was Systeme sind, die in ähnlicher
Weise die Auslieferung, den Empfang oder die Bezahlung für andere
Formen von Werten (beispielsweise Steuerstempelmessgeräte) abrechnen
oder überprüfen, indem
Freimachungsvermerke oder anderen Typen von Nachrichten, die kryptographisch
gesichert werden können,
erzeugt werden.
-
Folglich
ist es eine Aufgabe der vorliegenden Erfindung, kryptographische
Vorrichtungen und insbesondere krypotographisch gesicherte Postgebührenmesssysteme
bereitzustellen, die einen Schutz gegenüber DPA Angriffen bereitstellen.
-
Nach
einem Aspekt der Erfindung wird ein Verfahren bereitgestellt zum
Begrenzen geführter Aussendungen
(englisch: conducted emissions) von einer kryptographischen Vorrichtung,
die kryptographische Funktionen ausführt, wobei die kryptographische
Vorrichtung einen integrierten Schaltkreis mit einem Sicherheitsgehäuse umfasst,
wobei der integrierte Schaltkreis eine Reihe von Zellen enthält und mindestens
einen Teil der kryptographischen Funktionen ausführt, das Verfahren umfassend
die folgenden Schritte: Bereitstellen von Leistung für den integrierten
Schaltkreis aus einer ersten Leistungsquelle bzw. einem ersten Netzteil,
wobei das erste Netzteil extern in Bezug auf das Sicherheitsgehäuse ist;
Anordnen eines Leistungsspeicherschaltkreises innerhalb des Sicherheitsgehäuses für den integrierten Schaltkreis,
wobei der Leistungsspeicherschaltkreis eine zweite Leistungsquelle
bzw. ein zweites Netzteil und einen Ladeschaltkreis enthält, wobei
der Ladeschaltkreis an einem Ende der Reihe der Zellen des integrierten
Schaltkreises angeordnet ist; Isolieren von mindestens einem Teil
des die Reihe von Zellen enthaltenden, integrierten Schaltkreises
von dem ersten Netzteil während
zumindest eines Teils des Teils der kryptographischen Funktionen;
und Bereitstellen von Leistung an den mindestens einen Teil des
die Reihe von Zellen enthaltenden, integrierten Schaltkreises des
zweiten Netzteils für
zumindest einen Teil der Zeit, während
der der integrierte Schaltkreis den mindestens einen Teil des Teils
der kryptographischen Funktionen ausführt.
-
Gemäß einer
Ausführungsform
umfasst das Bereitstellen von Leistung die folgenden Schritte: Umschalten
von mindestens einem Teil des die Reihe der Zellen enthaltenden,
integrierten Schaltkreises von dem ersten Netzteil auf das zweite
Netzteil vor oder während
des Teils der kryptographischen Funktionen; und Umschalten von mindestens
dem Teil des die Reihe von Zellen enthaltenden, integrierten Schaltkreises
von dem zweiten Netzteil auf das erste Netzteil, nachfolgend auf
oder während
des Teils der kryptographischen Funktionen.
-
Gemäß einer
anderen Variante speichert das zweite Netzteil Leistung von dem
ersten Netzteil und stellt Leistung an zumindest einen Teil des
die Reihe von Zellen enthaltenden, integrierten Schaltkreises bereit
während
zumindest dem Teil der Zeit, während der
der integrierte Schaltkreis den mindestens einen Teil des Teils
der kryptographischen Funktionen ausführt.
-
Gemäß einer
anderen Variante sind die kryptographischen Funktionen in eine Vielzahl
von Segmenten unterteilt und das zweite Netzteil speichert Leistung
von dem ersten Netzteil zwischen alternierenden einzelnen der Segmente.
-
Gemäß einer
anderen Variante enthält
das zweite Netzteil eine Vielzahl von Kondensatoren, wobei jeder
der Vielzahl der Kondensatoren in der Nähe einer entsprechenden einzelnen
der Zellen angeordnet ist.
-
Gemäß einer
anderen Variante ist die Erfindung auf andere Typen von Wertmesssystemen,
in denen kryptographisch gesicherte Freimachungsvermerke als Nachweis
für den
empfangenen, ausgelieferten oder gekauften Wert verwendet werden,
anwendbar.
-
In
einer Variante erzeugen die kryptographischen Operationen ein digitales
Merkmal für
einen postalischen Freimachungsvermerk.
-
Nach
einem anderen Aspekt der Erfindung wird ein kryptographisches System
bereitgestellt zum Ausführen
von kryptographischen Funktionen bzw. Operationen, umfassend: einen
integrierten Schaltkreis mit einem Sicherheitsgehäuse, wobei
der integrierte Schaltkreis eine Reihe von Zellen umfasst, die einen
Teil eines Prozessors zum Ausführen
von kryptographischen Funktionen ausbilden; eine erste Leistungsquelle
bzw. ein erstes Netzteil, das mit dem Prozessor verbunden ist und
diesen mit Leistung versorgt, wobei das erste Netzteil extern in
Bezug auf das Sicherheitsgehäuse
des integrierten Schaltkreises ist; einen Leistungsspeicherschaltkreis
innerhalb des Sicherheitsgehäuses
des in tegrierten Schaltkreises, der mit zumindest einem Teil des
aus der Reihe von Zellen ausgebildeten Prozessors verbunden ist und
diese mit Leistung versorgt, wobei der Leistungsspeicherungsschaltkreis
eine zweite Leistungsquelle bzw. ein zweites Netzteil und einen
Aufladeschaltkreis umfasst, wobei der Aufladeschaltkreis physikalisch
an einem Ende der Reihe der Zellen angeordnet ist; und wobei der
Leistungsspeicherungsschaltkreis antwortend ist auf ein Leistungssteuerungssignal
von dem Prozessor zum Umschalten zwischen dem ersten Netzteil und
dem zweiten Netzteil, wobei der Leistungsspeicherungsschaltkreis
so betreibbar ist, dass er zumindest einen Teil des aus der Reihe
von Zellen ausgebildeten Prozessors von dem ersten Netzteil isoliert,
so dass das zweite Netzteil so betreibbar ist, dass Leistung an
zumindest einem Teil des aus der Reihe von Zellen ausgebildeten
Prozessors bereitgestellt wird, wenn der Prozessor zumindest einen
Teil der kryptographischen Funktionen ausführt.
-
Andere
Aufgaben und Vorteile der vorliegenden Erfindung werden dem Fachmann
auf dem technischen Gebiet offensichtlich beim Betrachten der beigefügten Zeichnungen
und der ausführlichen
Beschreibung, die unten gegeben wird. In den Zeichnungen gilt:
-
1 ist
Blockdiagramm einer herkömmlichen
kryptographischen Vorrichtung (Stand der Technik);
-
2 ist
ein Schaltkreis für
vorübergehende Leistungsspeicherung
zur Verwendung mit der Vorrichtung der 1 gemäß einer
Ausführungsform der
vorliegenden Erfindung;
-
3 ist
ein halbschematisches Blockdiagramm eines herkömmlichen Entwurfs eines integrierten
Schaltkreises, der eine Anordnung von Standardzellen umfasst;
-
4 ist
ein halbschematisches Blockdiagramm eines integrierten Schaltkreises
mit einem Speicherschaltkreis gemäß einer Ausführungsform der
vorliegenden Erfindung;
-
5 ist
ein halbschematisches Blockdiagramm eines integrierten Schaltkreises
mit einem Speicherschaltkreis gemäß einer alternativen Ausführungsform
der vorliegenden Erfindung;
-
6 ist
ein Schaubild, das für
den Strom, der von einem Teil einer von dem in 1 gezeigten Gerät ausgeführten Erzeugung
einer RSA Signatur repräsentativ
ist, vor der Implementierung der vorliegenden Erfindung;
-
7 ist
ein Schaubild, das für
den Strom, der von einem Teil der von dem Gerät in 1 ausgeführten Erzeugung
einer RSA Signatur gezogen wird, repräsentativ ist, nach der Implementierung
der vorliegenden Erfindung; und
-
8 ist
ein Zeitsteuerungsdiagramm von alternativen Ausführungsformen der vorliegenden
Erfindung.
-
Mit
Verweis nun auf 1 wird ein Blockdiagramm einer
allgemein mit 10 bezeichneten, herkömmlichen kryptographischen
Vorrichtung gezeigt. Die kryptographische Vorrichtung 10 umfasst
einen herkömmlichen
Prozessor 20, der zum Ausführen von kryptographischen
Operationen mit einem optionalen kryptographischen Koprozessor 22 verbunden ist,
einen nicht-flüchtigen
Speicher 24, einen Direktzugriffsspeicher 26 und
einen Nur-Lese-Speicher 28. Die kryptographische Vorrichtung 10 ist
innerhalb eines gesicherten Gehäuses 34 eingeschlossen.
Das gesicherte Gehäuse 34 kann
jedes herkömmliche Mittel
zum Verhindern von Zugriff auf die kryptographische Vorrichtung 10 sein.
Beispielsweise kann das sichere Gehäuse 34 ein in einem
Epoxy- oder Keramikgehäuse
eingekapselter Chip mit integriertem Schaltkreis, wobei das Gehäuse einen
Zugriff auf den integrierten Schaltkreis ohne Zerstörung des
integrierten Schaltkreises verhindert. Die Leistung für die kryptographische
Vorrichtung 10 wird an der Netzleitung bzw. Leitungsleitung 30 eingegeben.
Eingabe-/Ausgabekommunikationen treten an der Eingabe-/Ausgabe-Leitung 32 auf.
Es sollte verstanden werden, dass die kryptographische Vorrichtung 10 als
eine Anzahl von einzelnen Komponenten oder als ein einziger integrierter
Schaltkreis, wie etwa eine Smartcard, implementiert werden kann.
-
In
einer bevorzugten Ausführungsform
kann die Vorrichtung 10 ein Postgebührenmesssystem umfassen, in
dem der Prozessor 20 durch ein in dem Nur-Lese-Speicher 28 gespeicherten
Programmcode gesteuert wird, um die Funktionen eines Postgebührenmesssystems
auszuführen,
wie etwa das Abrechnen von Postgebühren bzw. Porto in dem nicht-flüchtigen
Speicher 24 und das Steuern eines Druckers (nicht gezeigt)
zum Ausdrucken eines postalischen Freimachungsvermerks einschließlich eines
digitalen Merkmals, das durch Verschlüsselung von postalischer Information
durch den Coprozessor 22 ausgebildet worden ist. Einzelheiten
des Aufbaus, der Programmierung und des Betriebs eines derartigen Postgebührenmesssystems
sind bekannt und brauchen für
ein Verständnis
der vorliegenden Erfindung hier nicht weiter besprochen zu werden,
außer
dass anzumerken ist, wie oben besprochen, dass der Schutz der verwendeten
Kryptoschlüssel
von Seitenkanalangriffen, wie etwa DPA, sowohl entscheidend für die Sicherheit
eines derartigen Postgebührenmesssystems
als auch innerhalb der Randbedingungen eines derartigen Systems
schwierig zu erzielen ist.
-
In
anderen Ausführungsformen
der vorliegenden Erfindung kann die Vorrichtung 10 andere
Typen von Wertmesssystemen umfassen.
-
Mit
Verweis nun auf 2 wird ein allgemein mit 40 bezeichnetes
Leistungsspeicherungssystem gezeigt, das mit der kryptographischen
Vorrichtung 10 gemäß der vorliegenden
Erfindung verwendet werden kann. Der Leistungsspeicherschaltkreis 40, der
bei der Leitung 36 mit der Netzleitung 30 verbunden
ist, umfasst einen Kondensator C1 und einen Ladeschaltkreis 41,
der aus dem Transistor Q1 und den drei Widerständen R1, R2 und R3 aufgebaut
ist. Durch Anordnen des Leistungsspeicherschaltkreises 40 zwischen
der externen Leistungseingabeleitung 30 und dem Krypto-Koprozessor 22 wirkt
der Transistor Q1 als ein Schalter unter der Steuerung der Leistungs-
bzw. Netzsteuerleitung 42, so dass der Schaltkreis 40 steuert,
ob Leistung durch die externe Leistungseingabe bei der Netzleitung 30 oder
dem Kondensator C1 zugeführt
wird.
-
Wenn
der Prozessor 20 (oder der Koprozessor 22, abhängig von
den Einzelheiten der Programmierung) erkennt, dass kryptographische
Operationen nicht ausgeführt
werden, dann wird die allgemein mit 42 bezeichnete Leistungssteuerungsleitung
verwendet, um den Schalter 41, d.h. den Transistor Q1, zu
schließen,
was es dem Kondensator C1 erlaubt, Ladung zu akkumulieren. Während kryptographischer
Operationen öffnet
der Prozessor 20 den Schalter 41 und die in dem
Kondensator C1 gespeicherte Ladung wird verwendet, um den kryptographischen
Koprozessor 22 durch die allgemein mit 44 bezeichnete
Kryptonetz- bzw. Kryptoleistungsleitung mit Leistung zu versorgen.
Wenn der Schalter 41 geöffnet
ist, werden aus der externen Leistungseingabeleitung 30 keine
Leistungsfluktuationen des kryptographischen Koprozessors 22 geführt und
folglich können
Fluktuationen auf der Leitung 30 nicht mit individuellen
kryptographischen Vorgängen
korreliert werden, und DPA kann nicht ausgeführt werden.
-
Bestimmte
Werte für
Komponenten des Schaltkreises 40 in bestimmten Anwendungen
werden von der durch die Last des Koprozessors 22 gezogenen
Leistung, der Zeit, während
der Leistung von dem Kondensator C1 zu ziehen ist, der für den Betrieb
erforderlichen, minimalen Spannung und der zum Wiederaufladen verfügbaren Energie
abhängen. Die
Auswahl dieser Werte für
bestimmte Anwendungen liegt innerhalb der Fähigkeiten eines Fachmanns auf
dem technischen Gebiet.
-
In
einigen Implementierungen kann eine Speichervorrichtung, die groß genug
ist, um Leistung für
die gesamte kryptographische Operation bereitzustellen, nicht implementiert
werden. Wenn beispielsweise die kryptographische Vorrichtung 10 ein einzelner
integrierter Schaltkreis ist und die Leistungsspeichereinheit 40 Teil
des integrierten Schaltkreises ist, dann kann ein ausreichend großer Kondensator
C1 zum Zuführen
von Leistung für
die gesamte kryptographische Operation nicht verfügbar sein.
In derartigen Implementierungen kann eine kleinere Speichervorrichtung
verwendet werden, um Leistung für
einen Teil der kryptographischen Operation bereitzustellen. Die
kryptographische Verarbeitung kann angehalten werden, während die
Speichervorrichtung sich wieder auflädt, und wieder aufgenommen
werden, nachdem die Speichervorrichtung ausreichend aufgeladen worden
ist. Alternativ kann die Verarbeitung weiterlaufen, während die Speichervorrichtung
sich wieder auflädt.
Jedoch wird in beiden Fällen
Information bezüglich
des in der kryptographischen Operation verwendeten kryptographischen
Schlüssels
aus der externen Leistungseingabeleitung 30 herausgeführt, jedoch
nicht in dem gleichen Maß wie
ohne den Schaltkreis in Funktion. Wenn jede dieser Techniken zusammen
mit den vorhergehend besprochenen vorgeschlagenen Gegenmaßnahmen
benutzt wird (die Einführung
eines Signalrauschens oder eines Filters auf der Leistungsleitung,
zufällige
Zeitsteuerung und Verzögerungen während der
kryptographischen Verarbeitung, und das Einführen von zusätzlichen
Operationen), dann kann ein hoher Grad an Widerstandsfähigkeit
gegenüber
DPA erzielt werden.
-
Es
ist aus einer Betrachtung der 2 unmittelbar
offensichtlich, dass der Schaltkreis 40 innerhalb des Gehäuses 34 sein
muss und dass die Sicherheit gegenüber DPA Angriffen von der Integrität des Gehäuses 34 abhängt. Wenn
ein Angreifer in das Gehäuse 34 eindringen
kann, dann kann DPA auf der Leitung 44 ausgeführt werden,
wenn der Koprozessor 22 von der externen Leistungsleitung
bzw. Netzleitung 36 mit Leistung versorgt wird oder nicht.
Aus diesem Grunde sind Ausführungsformen
der vorliegenden Erfindung wünschenswert,
bei denen die Vorrichtung 10, oder zumindest der kryptographische Operationen
ausführende
Teil der Vorrichtung, beispielsweise der Koprozessor 22,
in einem integrierten Schaltkreis, der auch den Schaltkreis 40 enthält, aufgenommen
ist. Das hermetisch abgedichtete Gehäuse eines integrierten Schaltkreises
kann nicht ohne große
Schwierigkeit durchdrungen werden, ohne dass der Schaltkreis unbrauchbar
gemacht wird. Folglich ist man der Meinung, dass das herkömmliche
Gehäuse
eines integrierten Schaltkreises eine hocheffektive Ausführungsform
von, oder eine Ergänzung
für, das
Gehäuse 34 darstellt,
ohne wesentliche Erhöhung
der Kosten des integrierten Schaltkreises. Wie oben besprochen,
wird dies in Postgebührenmesssystemen
besonders vorteilhaft.
-
Unglücklicherweise
sind Speichersysteme mit ausreichender Kapazität zum Versorgen eines wesentlichen
Teils der kryptographischen Operationen mit Leistung nach der heutigen
Technologie zu groß,
um auf einen integrierten Schaltkreis implementiert zu werden. Diese
Schwierigkeit wird gemäß der vorliegenden
Erfindung überwunden,
indem der Vorteil des herkömmlichen
Entwurfs von integrierten Schaltkreisen ausgenutzt wird.
-
3 zeigt
den herkömmlichen
Entwurf eines integrierten Schaltkreises, der aus einer Vielzahl von
Standardzellen 50 ausgebildet ist. Die Zellen 50 umfassen
viele Konfigurationen von Bauteilen bzw. Komponenten 52A, 52B, 52C, 52Z usw.
und sind in einer Matrix angeordnet und durch Metallisierung (nicht
gezeigt) miteinander verbunden, um einen integrierten Schaltkreis
auszubilden. Die Zellen 50 sind von einer Standardhöhe h und
weisen Leistungs- und Erdverbindungen auf, die über die Oberseite und die Unterseite
ge leitet sind, so dass, wenn die Zellen 50 in Reihen 54 angeordnet
sind, die Leistungs- und Erdverbindungen aufeinander stoßen, um
den Leistungsbus Vdd und den Erdebus Gnd auszubilden, die dann mit dem Vdd Anschluss und dem Erdeanschluss zusammen
verbunden werden, um dem Schaltkreis Leistung bereitzustellen.
-
4 zeigt
den Einbau der oben beschriebenen Speichereinheit in den integrierten
Schaltkreis der 3. Schaltkreise 40,
im wesentlichen wie in 2 gezeigt (mit geeigneten Komponentenwerten), werden
zwischen den Kryptoleistungsbussen 44 (physikalisch dieselben
wie die Busse Vdd) und dem Vdd Anschluss
und den Bussen Gnd an dem Ende einer jeweiligen,
oder ausgewählten,
der Reihen 54 angeschlossen. Ein Leistungssteuersignal
kann zugeführt
werden, entweder intern von dem integrierten Schaltkreis, um zumindest
während
eines wesentlichen Teils der von dem Schaltkreis ausgeführten kryptographischen
Operationen eine jeweilige Reihe von den Schaltkreisen 40 mit
Leistung zu versorgen; oder von einer externen Vorrichtung, die
Kenntnis hat, wann kryptographische Operationen ausgeführt werden.
-
Weil
eine jeweilige Speichereinheit die Leistung nur zu einem Bruchteil
der integrierten Schaltkreise bereitstellt, können die Kondensatoren sehr klein
gemacht werden, und es wird angenommen, dass die einzelnen Schaltkreise
an den Enden von jeweiligen Reihen 54 mit einer minimalen
Veränderung im
Layout des integrierten Schaltkreises angeordnet werden können, während die
Bereitstellung einer einzelnen Speichereinheit, zum Versorgen des
gesamten integrierten Schaltkreises mit Leistung innerhalb der Randbedingungen
der Geometrie des integrierten Schaltkreises sehr schwierig oder
unmöglich
wäre. Insbesondere
sollte angemerkt werden, dass keine Veränderung an dem Entwurf oder
dem Layout der Anordnung der Standardzellen benötigt wird.
-
5 zeigt
eine andere Ausführungsform der
vorliegenden Erfindung, bei der nur an den Enden der Reihen 54 Ladeschaltkreise 41 angeordnet sind,
und eine jeweilige der Zellen 50 durch die Aufnahme von
Kondensatoren 56 zwischen dem Bus 44 und dem Bus
Gnd für
diese Reihe geringfügig
abgeändert
wird. Es wird angenommen, dass Kondensatoren zum Versorgen von nur
einer einzigen Zelle mit Leistung ausreichend klein sind, so dass
sie in einen integrierten Schaltkreis, der keinen Platz für zum Versorgen
einer gesamten Reihe mit Leistung größenmäßig ausgelegten Speicherschaltkreise
aufweisen würde,
eingebaut werden können,
dies jedoch auf Kosten eines Neuentwurfs der Standardzellen.
-
Mit
Verweis nun auf 6 wird ein Schaubild gezeigt,
das repräsentativ
ist für
den gezogenen Strom, wie an der Leitung 30 gemessen, durch
einen Teil einer von der kryptographischen Vorrichtung 10 ausgeführten Erzeugung
einer RSA Signatur, vor der Implementierung der Erfindung. Der Unterschied
zwischen den Quadrierungs- und Multiplikationsvorgängen kann
deutlich gesehen werden. Multiplikationsvorgänge 62 erfordern mehr
Leistung und sind daher durch höhere
Peaks dargestellt als Quadrierungsvorgänge 60. Der verwendete
RSA Schlüssel
kann von dem Schaubild der 5 leicht
abgeleitet werden. Eine Eins ist dargestellt durch ein Quadrat gefolgt von
einem Multiplizieren (60–62 und 60'' –62''),
während
eine Null einfach durch ein Quadrat (60') dargestellt ist.
-
Mit
Verweis nun auf 7 wird ein Schaubild gezeigt,
das die Wirksamkeit der vorliegenden Erfindung veranschaulicht.
Derselbe Teil der Erzeugung einer RSA Signatur, wie in 6 gezeigt,
wird in 7 dargestellt, nachdem der Leistungsspeichereinheit 40 in
der Form eines externen Schaltkreises zu der kryptographischen Vorrichtung 10 hinzugefügt worden
ist. Es sei angemerkt, dass die Peaks, die für die Quadrierungs- und Multiplikationsvorgänge, die vorher
in 6 zu beobachten waren, repräsentativ sind, in 7 nicht
mehr länger
zu beobachten sind.
-
Wie
oben besprochen, kann die erforderliche Speicherkapazität weiter
verringert werden, in dem die Leistung aus den Speicherschaltkreisen
nur für einen
Teil der kryptographischen Operationen bereitgestellt wird. Die
kryptographischen Operationen werden unterteilt in Segmente, die
jeweils abwechselnd von den Speicherschaltkreisen und der externen
Leistungsquelle bzw. Netzteil mit Leistung versorgt werden. 8 zeigt
verschiedene Ausführungsformen
der vorliegenden Erfindung, bei der die kryptographischen Operationen
in vielfältiger
Weise segmentiert werden.
-
Die
Zeitachse 70 zeigt kryptographische Operationen, die zwischen
Zeiten T0 und T1, T2 und T3 usw. auftreten. (Es ist zu beachten,
dass die kryptographischen Operationen nur zur Erleichterung der Darstellung
als gleichmäßig bzw.
regelmäßig auftretend
dargestellt sind, und im allgemeinen sowohl hinsichtlich der Frequenz
als auch ihrer Dauer variieren werden.) Die Zeitachse 72 zeigt
eine Ausführungsform
der vorliegenden Erfindung, bei der die Leistung für die gesamte
Dauer der kryptographischen Operationen von den Speicherschaltkreisen
bezogen wird. Diese Ausführungsform
stellt den maximalen Schutz gegenüber DPA bereit, erfordert jedoch
die größte Kapazität. Die Zeitachse 74 zeigt
eine Ausführungsform,
bei der abwechselnd mit Leistung versorgte Segmente regelmäßig über die
kryptographischen Operationen und in einer festen Reihenfolge über aufeinanderfolgende
Operationen verteilt sind. Die Zeitachse 76 zeigt eine
Ausführungsform,
in der abwechselnd mit Leistung versorgte Segmente selektiv über die
kryptographischen Operationen verteilt sind, so dass die kritischsten
Operationen auftreten, wenn über
aufeinanderfolgende Operationen Leistung aus den Speicherschaltkreisen
entnommen wird, und in einer fes ten Reihenfolge. Die Zeitachse 76 zeigt
eine Ausführungsform,
in der abwechselnd mit Leistung versorgte Segmente zufällig über die
kryptographischen Operationen verteilt sind.
-
Es
wird angenommen, dass eine feste Reihenfolge der Segmentierung den
größten Grad
an Schutz gegenüber
fortgeschrittenen DPA Angriffen bereitstellt.