CN102405615A - 防御观测攻击、特别是高阶观测攻击的加密电路 - Google Patents

Abstract

本发明涉及一种防御观测攻击的加密电路。该加密电路包括提供被掩码m屏蔽的变量x的至少一个寄存器R(22)，所述被屏蔽的变量被第一替换盒S(1)周期性地加密。所述电路还包括寄存器掩码M(23)，所述寄存器掩码M(23)在每个周期中提供掩码m，m的变换，所述掩码m取自被第二替换盒S′(21)加密前的m，在所述盒S′(21)的输出端获得的新掩码m′在被存储到掩码寄存器M(23)之前被变换为掩码m′。转换包括能够根据寄存器R和M的活动模型来降低或消除任何高阶攻击的双向单射或合成律。本发明特别可以用于保护加密电路免受对基于屏蔽的设备的高阶观测攻击。

Description

防御观测攻击、特别是高阶观测攻击的加密电路

技术领域

本发明涉及一种防御观测攻击的加密电路。其特别用于保护加密电路免受对基于屏蔽(masking)的设备的高阶观测攻击(observationattack)。

背景技术

加密的目的主要在于保护：

-通过加密和对偶操作(dual operation)——解密来保护信息项的机密性；

-或者通过签名和验证的操作、通过签名和签名验证的操作来保护信息项的真实性。

加密使用已被证明导致安全系统的数学方法。例如，当证明现有的公知知识中不存在任何明显快于与尝试所有可能的密匙相对应的穷举攻击的攻击方法时，认为加密是安全的。

通常，加密方法涉及系统的安全所必须的复杂计算。这种复杂度不会对计算机造成任何特别的问题，但是在通常由低成本的“8位”微处理器驱动的不具有高计算能力的设备的情况下，则会成为严重的缺点。可能出现几种后果，例如：

-妨碍正常使用，典型的例子是银行卡会花费几分钟来签单；

-拒绝服务，典型的例子是按次计费的电视解码器不能跟踪所传输的信息吞吐量。

为了缓解这种困难，而不提高系统的价格，惯用的做法是，以专用于加密的协处理器的形式，增加一种用于辅助所使用的设备的中央单元的系统。

但是，无论是通过中央单元实现还是通过专用的协处理器实现，加密算法都是通过物理设备来实现的，目前是电子型的物理设备。这些物理设备呈现出与电学基本定律的固有特性有关的不可避免的缺陷。

因此，利用实施该算法的物理系统的固有缺陷，可以攻击从数学观点看来是安全的加密系统，因此：

-运算的持续时间可取决于数据的值，特别是对于速度优化软件系统，这会引发“定时攻击”型攻击，P.Kocher等人的文献TimingAttack on Implementation of Diffie-Hellman，RSA，DSS and other systemsIn Proceedings of CRYPTO′96，volume 1109 of LNCS，pages 104-113，Springer-Verlag，1996中对此有特别描述，在某些情况下，这些攻击基于简单的执行时间测试就可以重获所有的秘密密钥；

-瞬时消耗也可能取决于数据，这会引发一系列攻击，例如：

-SPA(Simple Power Analysis，简单功率分析)攻击，Thomas S.Messerges等人的文献Investigations of Power Analysis Attacks onSmartcards，In USENIX-Smartcard′99，pages 151-162，May 10-11，1999，Chicago USA中对此有特别描述，这种攻击试图基于测量在加密操作期间测量到的中央单元的电耗来区分中央单元所执行的操作；

-DPA(Differential Power Analysis，差分功率分析)，S.Guilley等人的文献Differential Power Analysis Model and some Results，InProceedings of WCC/CARDIS，pages 127-142，Aug 2004，Toulouse，France中对此有特别描述，这种攻击对在针对随机消息和使用固定密匙的加密操作期间所执行的许多的电耗测量使用统计操作，以便验证对密钥的有限部分所作的假设的有效或无效。

-导体中流动的任何电流产生电磁场，这种电磁场的测量会引发EMA(ElectroMagnetic Attack，电磁攻击)型攻击，其原理与关于电耗的攻击相同；

-某些攻击会故意干扰系统的操作，以便利用错误的结果来重获系统的秘密，这些攻击被称为故障注入攻击(fault injection attack)。

实现加密算法并且容易泄露与设备的存储器中所保存的秘密有关的信息的物理设备的任何缺陷被称为隐藏通道(hidden channel)。

主要基于以下两点，提出了对这些针对隐藏通道的攻击的防御：

-隐藏，其包括使泄露为恒定的，在这种情况下不依赖于秘密；

-屏蔽，其包括使泄露为随机的，不可预测的，进而为不可利用的。

这两种技术可以提高目的在于重获信息的攻击的难度，但是对于那些利用实现缺陷的攻击而言，它们仍然是脆弱的。存在许多潜在的或已被证实的弱点的例子，例如：

-对于针对计算阶段、估值阶段和预充电阶段中的一个或另一个之间的累积组合延迟的差异的攻击而言，基于差分逻辑(例如WDDL)的隐藏可能是脆弱的；

-可能对被称为HO-DPA的高阶攻击敏感的屏蔽。

发明内容

本发明的目的主要在于能够有效地防御高阶观测攻击。为此目的，本发明的主题是一种加密电路，包括提供被掩码变量m屏蔽的变量x的至少一个寄存器R，其特征在于，所述被屏蔽的变量被第一替换盒S以周期性的方式加密，所述电路包括在每个周期中提供变换掩码m_t的掩码寄存器M，所述变换掩码m_t等于通过修改函数变换的掩码m，该掩码m被第二替换盒S′加密，在该盒S′的输出端获得的新掩码m′被用来屏蔽所述变量。

例如，在所述第二替换盒S′的输出端经过相反的修改之后，新的变换掩码m′_t被引入所述掩码寄存器M。

在第一种可能的实施方式中，所述修改可为双向单射B，从而所述变换掩码m_t被存储在寄存器M中，应用到所述替换盒的掩码m等于B(m_t)，将要存储到所述寄存器中的新的值为B^-1(m′)，m′为所述第二替换盒S′(21)的输出。

所述双向单射B例如使得所述掩码m的汉明重量与其在所述双向单射下的像B(m)的汉明重量不总相同。

在第二种可能的实施方式中，所述掩码m的修改可以通过分解成两个子掩码m₁和m₂以使m＝m₁θm₂来执行，其中θ为群合成律(groupcomposition law)，第一子掩码m₁被存储到第一掩码寄存器M1中，第二子掩码m₂被存储到第二掩码寄存器M2中，将要存储到所述寄存器M1中的新的值为m′₁＝m′θ^-1m′₂，将要存储的新的值为m′₂，m′为所述第二替换盒S′输出的掩码的值。

所述合成律例如为XOR“异或”运算、加法运算、乘法运算或者是s＝a*b+(a+b)/2型运算，其中*为乘法，+为加法。

所述合成从一个周期到另一个周期的两个连续子掩码m₂之间具有例如非零的汉明距离Δm₂。

所述子掩码m₁，m₂的位数为偶数，群合成律(α)可以基于子掩码m₁，m₂来获得掩码m，例如满足：

-每个2位群组Δm₂＝1；

-如果m₂MSB＝1，则

或者如果m₂MSB＝0，则m＝m₁m₂MSB，m₂LSB分别为子掩码m₂的高阶位和低阶位。

所述电路例如包括随机值生成器，所述生成器提供所述第二子掩码m′₂的值。

来自于所述第一掩码寄存器M1的该子掩码m₁在周期结束时可以被保存在所述第二掩码寄存器M2中，所述第一寄存器M1则接收新掩码m′₁，以便重建新的完整掩码m′＝m′₁θm′₂。

加密算法为DES型的，数据x、m的路径被分成左右两部分，除了左掩码寄存器ML和右掩码寄存器MR以外，所述电路还包括例如第三个掩码寄存器M，所述寄存器MR存放右子掩码m_r1，所述寄存器ML存放左子掩码m_l2，所述寄存器M存放等于子掩码m_l1的子掩码m_r2，右掩码m_r和左掩码m_i的有效值为：

-m_r＝m_r1θm_r2

-m_l＝m_l1θm_l2。

所述第二替换盒S′例如包括与所述第一替换盒S相同的两个盒和两个XOR门，所述两个盒的输出连接到通过输出来提供新掩码m′的XOR门，被屏蔽的变量

进入盒，通过另一个输入来接收掩码m的另一个XOR门的输出进入另一个盒。

ROM存储器执行例如所述XOR门的逻辑和所述盒的替换。

附图说明

通过接下来结合附图进行的描述，本发明的其他特点和优点将得以显现，附图表示：

-图1a和图1b显示了替换盒(substitution box)的屏蔽的原理；

-图2显示了替换盒那一级的屏蔽；

-图3对于寄存器的变量x的两个连续的字之间的汉明距离(Hamming distance)的各个值呈现了寄存器的输出处的活动(activity)分布的示例；

-图4显示了根据本发明的电路中的掩码路径的可能修改的第一种模式；

-图5表示与上述模式相对应的活动分布；

-图6显示了根据本发明的电路中的掩码路径的第二种可能的实施例；

-图7表示与上述模式相对应的活动分布；

-图8是具有不使用随机值生成器的掩码分解的修改的示例；

-图9是在使用DES算法的情况下，根据本发明的屏蔽的示意性实现；

-图10是根据本发明的电路中所使用的群合成律的示意性实现；

-图11a、图11b和图11c是根据本发明的电路中所使用的第二替换盒的示意性实施例。

具体实施方式

图1a和图1b显示了通常被称为“S盒”的替换盒1的屏蔽的原理，其中替换盒1具有恒定的掩码m。S盒是应用于消息的非线性函数，其目的主要在于使消息在S盒输出时是有熵的(entropic)。

在图1a中，在S盒1的输入端将数据项(datum)x与加密密匙(cryptography key)k组合。在该示例中，通过“异或”逻辑运算来组合数据项和密匙，其中“异或”逻辑运算也叫做xor，在下文中用

来表示。在图1a的情况下，例如n位编码的消息

因此被输入到S盒。相应的输出消息为

图1b显示了具有恒定掩码m的S盒的屏蔽。屏蔽技术依靠掩码m对依赖于秘密的敏感内部变量的干扰。在图1a和图1b的示例中，x为这样的变量。假设攻击者无法预测m，则在针对x的直接攻击的框架内，泄漏是不可利用的。变量x不再如此地存在，但是可以通过信号对(m，x_m)重建，其中x_m＝xθm为要被屏蔽的变量，θ为群算子(groupoperator)，其特别可以为逻辑的或算术的。在图1b的示例中，屏蔽使用xor函数，即

这种类型的屏蔽特别适合于防御在二进制域中执行线性运算的DES(数据加密标准)和AES(高级加密标准)算法。可以对通常为位、字、加密函数的向量的内部变量应用掩码。字级的屏蔽使其既可以应用于软件实现，又可以应用于硬件实现。当使用屏蔽变量的函数f作为群运算律(group law)的函数是线性的，即f(xθm)＝f(x)θf(m)时，屏蔽的实现是简单的。

可以基于f(xθm)和m来重建f(x)的值。因此，正好在算法结束时提取出f(x)，以避免源于变量x的信息泄漏。xθm和m的计算与x不相关，不存在秘密的直接泄漏。

如果函数f是非线性的，由于无法基于f(xθm)和f(m)在数学上重现f(x)，屏蔽机制变得更加复杂。在对称加密算法中，非线性部分对应于替换盒或S盒，因此对应于例如图1a和图1b的S盒1。常见的软件技术使用产生S盒的非线性函数的ROM存储器，用S_m表示该函数，因此：

$S_m(x\⊕m)=S\left(x\right)\⊕m$

S为屏蔽之前的S盒的函数。

因此，存储器的大小从S时的2ⁿ变成S_m时的2²ⁿ，n为掩码的位数。图1a和图1b显示了这种变化。

使用在时钟周期中执行加密算法的迭代的硬件设备时，这种实现是不安全的。在这种情况下，寄存器那一级的传输将数据自动解除屏蔽(demask)。实际上，例如考虑算子

可以通过下面的关系式来描述传输：

$x\⊕m\⊕S\left(x\right)\⊕m=x\⊕S\left(x\right)$

该关系式中的项

是输入到S盒S_m的初始值，项

为从S盒输出的最终值，这两项之间的算子

表示转换(transition)。上述关系式实际上显示出转换的结果不依赖于掩码m。

屏蔽所提供的效果被证明可以抵抗只考虑内部变量x的一阶攻击，特别如J.Blomer等人的文献Provably Secure Masking of AES，In LNCS，editor，Proceedings of SAC′04，volume 3357，pages 69-83，Springer，August 2004，Waterloo，Canada所示。但是，源自屏蔽电路的信息泄漏可能受到二阶攻击，或者是实际上更高阶的攻击。

二阶攻击考虑两个变量x₁和x₂。例如，如果x₁和x₂被相同的掩码屏蔽，则二阶攻击利用了 $x_1\⊕x_2=x_1\⊕m\⊕x_2\⊕m$ 的事实。

已经研究了用于克服高阶攻击的实现方式，特别如M.Akkar等人的文献A generic protection against High-oder differential Power Analysis，In LNCS，editor，Proceedings of FSE′03，volume 2887of LNCS，Springer，2003，Berlin所示，该文献使用了恒定掩码。但是，为了获得显著的效果，必须大大提高复杂度。举例而言，已经证实，在DES算法中，每个S盒需要至少三种不同的掩码和六个另外的S盒，以便通过这种方法抵抗高阶攻击，如J.Lv等人的文献Enhanced DES implementationsecure against differential power analysis ins mart-cards，In InformationSecurity and Privacy，10th Australasian Conference，volume 3574 of LNCS，pages 195-206，Brisbane，July 2005，Springer Verlag所不。

在另一种已知的方法中，每次迭代都计算新的掩码m。F-X.Standaert等人的文献FPGA Implementations of the DES andTriple-DES Masked Against Power Analysis Attack，In Proceedings ofFPL 2006，August 2006，Madrid中特别描述了这种方法。寄存器R的屏蔽变量

在每一轮中与来自于寄存器M的新的变量m关联。因此，在一轮结束时，变量

变换为

其中通过具有函数S′的新S盒来计算作为m和

的函数的新的掩码m′。由于这种方法只将单一的新S盒S′与每个现有的S盒S关联，因此提供了良好的复杂度折衷。

但是，这种实现方法仍然易受二阶攻击，特别是如E.Peeters等人的文献Improved Higher-Order Side-Channel Attacks with FPGAExperiments，In CHES，volume 3659 of LNCS，pages 309-323，Springer-Verlag，2005所示。

图2显示了S盒S和S′的实现方式。用R来表示的寄存器22提供屏蔽变量

密匙k例如通过XOR门24与变量

组合，输入到具有函数S的S盒1，函数S提供变量

作为输出，

环回到寄存器22，R的输入端。并行地，用M来表示的寄存器23提供输入到具有函数S′的S盒21的掩码m，S盒21的另一个输入是与S盒1的输入共同的。S盒21，S′的输出提供新的掩码m′并且环回到寄存器M的输入端。使用这个新的掩码来屏蔽寄存器R所提供的变量x。在本说明书的其余部分中将使用包括掩码寄存器23和S盒21，S′的掩码环(mask loop)20所产生的掩码来屏蔽变量x。

环回到寄存器R和M均是在一个时钟周期(clock tick)中完成的。为了简化起见，图2忽略了DES算法专用的扩展(expansion)和置换(permutation)函数。

Peeters等人所描述的HO-DPA攻击是关于来自于寄存器的变量

和m。其原理在于对变量x的不同的值，研究寄存器输出端的活动的分布。在CMOS逻辑中，用A来表示的活动的模型可以是两个连续的字之间的汉明距离，用DH来表示。特别地：

$A(x\⊕m,m)=\mathrm{DH}(x_i\⊕m_i,x_{i-1}\⊕m_{i-1})+\mathrm{DH}(m_i,m_{i-1})---\left(1\right)$

即 $A(x\⊕m,m)=\mathrm{PH}(\mathrm{\Δx}\⊕\mathrm{\Δm})+\mathrm{PH}\left(\mathrm{\Δm}\right)---\left(2\right)$

PH相当于汉明重量(Hamming weight)，Δx相当于变量x的两个连续的字x_i、x_i-1之间的汉明距离。

如果x和m具有单个位的话，如果Δx＝0，则活动相当于2.PH(Δm)。如果Δx＝1，则活动相当于

并且恒等于1。

因此，知晓了每个Δx的消耗分布，通过观测消耗分布，并且就变量x中所包括的密匙k的假设来比较该消耗分布与所预测的活动，可以建立HO-DPA攻击。

如果x和m是4位编码的，则汉明重量PH可以取5个值：0，1，2，3，4。因此，活动 $A(x\⊕m,m)=\mathrm{PH}(\mathrm{\Δx}\⊕\mathrm{\Δm})+\mathrm{PH}\left(\mathrm{\Δm}\right)$ 可以取9个值：0，1，2，3，4，5，6，7，8。

图3显示了就4位掩码对Δx的不同的可能值显示了活动A的分布，在这种情况下Δx取24个值：0，1，2，3，4，5，6，7，8，9，10，11，12，13，14，15。因此，图3对Δx的这组值呈现了五种不同的分布31、32、33、34、35。在每个分布31中，Δx的值作为可以取九个值0，1，2，3，4，5，6，7和8的活动的函数来分布或者分配。这些分布之间的巨大差异是很明显的，这些差异可能被HO-DPA攻击利用。

为了比较不同的屏蔽方案的效果，可以使用通过已知的测试--χ2测试得到的度量值(metric quantity)来比较分布31、32、33、34、35，χ2测试由下面的关系式定义：

$\mathrm{\χ}2=\underset{i=1}{\overset{C}{\mathrm{\Σ}}}\frac{{(P_i-P_i\mathrm{ref})}^2}{P_i\mathrm{ref}}=\frac{1}{N}\underset{i=1}{\overset{C}{\mathrm{\Σ}}}\frac{(N_i-N_i\mathrm{ref})}{N_i\mathrm{ref}}---\left(3\right)$

其中：

-C代表分布的类别数目，例如对于具有4位编码的掩码的活动分布而言，C＝9，C-1代表χ2运算法则的自由度；

-N为样本总数；

-P_i为具有类别i中的元素的观测概率，P_i也等于

N_i为在类别i中观测到的元素的数目；

-P_iref为具有类别i中的元素的参考概率(reference probability)，P_iref也等于

N_iref为类别i中的预期的元素数目。

认为参考分布(reference distribution)是当掩码为4位编码时，对Δx全部值所得到的16个分布的平均值。在这种情况下，通过χ2的值可以判断全部分布的均匀性。作为参考，对于具有4位掩码的分布，χ2等于21.89。为了避免容易被HO-DPA攻击所利用的分布31、32、33、34、35之间的区别，这个值必须尽可能的低。换言之，χ2的值必须尽可能地低，以防止HO-DPA攻击。

通过对于同一个掩码减小活动的各个分布之间的区别或者差异，本发明可以防止这样的观测攻击，包括高阶观测攻击。作为示例，在下文中将考虑4位编码的掩码。

特别地，例如参考图2，本发明使存放掩码m的寄存器M的活动独立于存放屏蔽变量

的寄存器R的活动。如果变量x不影响这两个寄存器22、23特有的消耗的分布，则不再可能成功进行HO-DPA攻击，例如Peeters等人的文献中所描述的HO-DPA攻击。通过修改掩码的路径结构，但不触动屏蔽变量的路径，可以取得平衡。可以通过变换掩码来在空间上进行所提出的修改，或者也可以通过改变掩码的演变来在时间上进行这种修改。有利地，本发明涉及掩码的变换。根据本发明，几种掩码修改是可能的。

图4显示了掩码的第一种可能修改，即通过双向单射(bijection)修改。在这种情况下，在掩码寄存器23，寄存器M和具有函数S′的S盒21之间插入用B来表示的双向单射变换41。在S盒的输出处应用用B-1来表示的逆双向单射变换42。因此，S盒S′所提供的掩码m′在存储到寄存器M之前经过双向单射变换B^-1。双向单射使得m与它的像B(m)之间的汉明距离不总为零，以便修改变量

和B(m)之间的活动的相关性(correlation)。可以通过预先确定的表格来实现双向单射B。

从S盒S′输出的掩码m′是屏蔽变量实际使用的掩码。图4显示了掩码的路径。

图5对Δx的16个值显示了在掩码通过诸如图4所示的双向单射变换之后所获得的16种分布51，其中掩码是如同图3的情况那样的4位编码的，因此具有可以是从0到8的相同的活动值。这些分布51表现出很小的相互差异，与图3的分布截然不同。活动的分布要均匀得多，这被χ2测试证实，其通过该双向单射变换给出1.85的平均值，与对应于图3的分布的21.89的值形成对比。

图6显示了根据本发明的另一种可能的修改。其涉及通过分解来修改掩码。在这种情况下，掩码m被分解为两个子掩码m₁和m₂，从而：

m＝m₁θm₂

θ实现群内部合成律(group internal composition law)，类似于上文所提到的算子θ。θ为群算子(group operator)，其承认逆算子θ^-1。

因此，上述图中的寄存器M被两个寄存器231、232代替。一个寄存器M1存放值m₁，一个寄存器M2存放值m₂。这些寄存器的输出连接到实现合成律θ的电路61。在该算子61的输出端，在按照上述路径、特别是按照图2和图4所示的路径被S盒S′，21变换成新的掩码m′之前，掩码m被运算m＝m₁θm₂重组(recomposed)。

通过置于S盒S′21的输出端的算子62来执行逆运算θ^-1。该算子可以将掩码m′分成m′₁和m′₂，以使m′₁＝m′θ^-1m′₂。可以通过如图6所示的随机值生成器RNG来产生掩码m′₂。在加密算法的每次迭代中，存放m₂的寄存器M2取来源于随机值生成器71的新值m′₂。存放m₁的寄存器M1取新值m′₁＝m′θ^-1m′₂，该值是由执行群运算(group operation)θ^-1的算子62基于S盒21所提供的输入数据项m′和随机值生成器71所提供的输入数据项m′₂来提供的。

因此，存放屏蔽变量

的寄存器R和两个寄存器M1和M2那一级的活动A变成：

$A(x\⊕m)=\mathrm{PH}(\mathrm{\Δx}\⊕\mathrm{\Δm})+\mathrm{PH}\left(\mathrm{\Δ}{m}_1\right)+\mathrm{PH}\left(\mathrm{\Δ}{m}_2\right)---\left(4\right)$

考虑这种活动模型，对各种运算法则θ应用χ2测试，结果例如如下表所示：

θ	无修改	B(a)	A XOR b	a+b	a＊b	a＊b+(a+b)/2	aαb
								χ2	21.89	1.85	16.69	0.31	0.36	0.18	0

该表显示出，可以使用加法+和乘法*之类的简单算子来获得均衡分布，所得到的结果分别为0.31和0.36，从而将攻击重新推向会被捕获的极大数量的消耗轨迹(consumption trace)，以便在分布之间进行区分。通过双向单射B的变换可以获得1.85的结果。

有利地，随后描述的运算法则α可以具有零χ2，也就是说所得到的分布在所考虑的活动模型的意义上是完全相同的，因此能够抵抗更高阶的攻击。

图7显示了每个变量为4位并且考虑运算法则α的情况下的16种可能的分布70。

使用XOR逻辑算子所获得的分布不能充分降低χ2的值，因为它们作为Δx的汉明重量

的奇偶性的函数产生两大类分布。如果Δx为偶数，则活动总是具有偶数值，而如果Δx为奇数，则活动总是具有偶数值。

图8显示了示意性实施方式，其给出与前一方案类似的结果，但是除了初始化计算以外没有使用随机值生成器。为了避免每个周期都使用随机值生成器所带来的经常性开支，两个子掩码其中之一可以代替前一示例中生成的随机变量。例如，可以使用来自寄存器M1，231的子掩码。在周期结束时，来自于寄存器M1的该子掩码被存储到寄存器M2，232中，就寄存器M1而言，其接收新掩码m′₁，以便重建完整的掩码。因此，每个周期所产生的新掩码为m′＝m′₁θm₁，下一个周期所产生的新掩码为m″＝m″₁θm′₁，如此类推。

图9显示了用于DES算法的屏蔽的示例。在该图中，为了易读起见，忽略了扩展和置换函数。

关于DES算法，数据路径被分成左右两部分，就像在任何的Feistel方案中一样。特别地，前一示例中的屏蔽变量寄存器22被分成两个寄存器，左寄存器221和右寄存器222。

关于屏蔽部分，除了两个掩码寄存器91、92(一个是右寄存器MR，另一个是左寄存器ML)以外，还加入用M表示的第三个寄存器93，以便分解左右两个掩码。DES算法的实现使用上文结合图7和图8所阐述的方案，不过不在每个周期中使用随机值生成器，而是使用三个链式寄存器(chained register)。寄存器MR存放子掩码m_r1，寄存器ML存放子掩码m_l2。寄存器M存放等于子掩码m_l1的子掩码m_r2。分别存放在寄存器MR和寄存器ML中的右掩码m_r和左掩码m_l的有效值由以下关系式给出：

-m_r＝m_r1θm_r2

-m_l＝m_l1θm_l2。

执行群关系(group relation)θ的算子611和算子612被置于寄存器MR、寄存器M和寄存器ML的输出端，以便执行上述两个运算。右掩码m_r被S盒S′，21变换为新的右掩码m′_r，S盒21的另一个输入是之后被加密的来自于右寄存器R 222的屏蔽变量

新的右掩码m′_r被与掩码m_l组合以给出输入到执行运算θ^-1的算子62的

算子62将

与m′_r2组合。在一种与图8的示例类似的方式中，输入到算子62的子掩码m′_r2不是由随机值生成器来提供，而是等于寄存器MR所输送的子掩码m_r1。每个寄存器221、222、91、92、93接收初始值94、95、96、97。

下表呈现了连续三轮中在掩码寄存器91、92、93中(最后三列)和在屏蔽变量寄存器221、222中(前两列)同样都可以使用的掩码：

轮	右掩码	左掩码	MR	M	ML
						0	ML0	MR0	M0	MR0θ-1M0	ML0θ-1M0
1	MR0	m′r	MR0θ-1M0	m′-1	M0
						2	m′r	m″r	m′r1	m″r1	MR0θ-1M0

该表显示出，掩码寄存器中所使用的掩码以及屏蔽变量寄存器中所使用的掩码是不同的，因此可以特别避免HO-DPA型攻击。

图10显示了函数α的一种实现方式，其可以获得均衡分布，因此χ2为零。

该运算法则依赖于Δm₂总也不会为零的事实。事实上，如果m的变化Δm＝Δm₂＝0，则群运算律(group law)θ意味着Δm₁也等于0。在这种情况下，只有在Δx为零时，上一个等式(4)所给出的活动才可能为零。由于Δx没有其他的值能够获得零活动，这就表明活动永远不会对于Δx的所有的值完全均衡。另一方面，如果Δm₂的值是非零的，则可能存在可以满足活动分布完全均衡、从而获得χ2＝0的运算法则。关于屏蔽的不可能性的证明(例如，特别是G.Piret等人的文献SecurityAnalysis of Higher-Order Boolean Masking Schemes for Block Ciphers，IET Information Security，2(1)：1-11，2008中特别设想的)，本发明提供了两个掩码m₁和m₂之间的联系，这在G.Piret等人的文献中没有被考虑进去。

举例而言，考虑每个2位连续包的子掩码，于是掩码的位数为偶数，这种情况经常出现，无论Δx的值是什么，下面的叫做α的运算法则都可以获得均衡分布。子掩码m₂的高阶位形成的2位群组(用m₂MSB来表示)以及低阶位形成的2位群组(用m₂LSB来表示)以如下方式制约通过运算法则α的掩码产生：

-每个2位群组Δm₂＝1；

-如果m₂MSB＝1，则

或者如果m₂MSB＝0，则m＝m₁该运算法则α是对合的，在S盒21的输入端通过算子61来实现。

图10还呈现了位于S盒21的输出处的算子62的示意性的可能实现方式100，其中该算子62对2掩码位的群组实施函数m′₁＝m′α^-1m′₂。

电路100使用随机值生成器101来产生子掩码m₂。该生成器101所提供的随机变量在接收m′₂MSB和m′₂LSB作为输入的编码器102中对格雷编码(或反射二进制代码)的寄存器M2选择增量或减量，以便确保条件Δm′₂＝1。从S盒21所产生的掩码m′开始，算子62提供子掩码m′₁，其高阶位m′₁MSB等于

m′MSB为m′的高阶位，m′₂MSB根据在编码器102的输入端生成的随机变量来取值0或值1。如果m′₂MSB的值分别等于0或者等于1，则低阶位m′₁LSB等于m′MSB或者等于 $m^{\′}\mathrm{LSB}\⊕{m^{\′}}_2\mathrm{LSB}.$

图11a、图11b和图11c呈现了对产生新掩码m′的替换盒S′，21的可能改进。可以根据几种级别的鲁棒性和复杂度，通过XOR门和ROM存储器的混合来产生盒S′。

图11a呈现了第一种方案，其使用两个盒S，1和两个XOR门110、111来重建未屏蔽的信息x和新掩码m′。因此，通过第一个门111来实现

第二个门112提供新掩码m′作为盒S′的输出，其中 $m^{\′}=S(x\⊕m)\⊕S\left(x\right).$

图11b所显示的第二种方案使用ROM存储器113来执行XOR门的逻辑以及图11a的设置中的盒S的替换。然后，存储器接收两个字m和 $x\⊕m.$

图11c呈现了第三种方案，其不需要随机寄存器71就可以用于空间分解。该方案使用接收三个字

m₁和m₂的ROM存储器114。该存储器结合了图11b的方案的存储器113所执行的逻辑和函数115、函数115的输入端的用于重建掩码m的群运算律θ以及例如该函数115的输出端的逆群运算律θ^-1。

Claims (16)

1.一种加密电路，包括提供被掩码变量m屏蔽的变量x的至少一个寄存器R(22)，其特征在于，所述被屏蔽的变量被第一替换盒S(1)以周期性的方式加密，所述电路包括在每个周期中提供变换掩码m_t的掩码寄存器M(23)，所述变换掩码m_t等于通过修改函数(41，61)变换的掩码m，该掩码m被第二替换盒S′(21)加密，在该盒S′(21)的输出端获得的新掩码m′被用来屏蔽所述变量。

2.根据权利要求1所述的电路，其特征在于，在所述第二替换盒S′(21)的输出端经过与所述修改函数(41，61)相反的修改(42，62)之后，新的变换掩码m′_t被引入所述掩码寄存器M。

3.根据前述权利要求中任一项所述的电路，其特征在于，所述修改为双向单射(41)B，从而所述变换掩码m_t被存储在寄存器M中，应用到所述替换盒的掩码m等于B(m_t)，将要存储到所述寄存器中的新的值为B^-1(m′)，m′为所述第二替换盒S′(21)的输出。

4.根据前述权利要求中任一项所述的电路，其特征在于，所述双向单射B使得所述掩码m的汉明重量与其在所述双向单射下的像B(m)的汉明重量不总相同。

5.根据权利要求1至2中任一项所述的电路，其特征在于，所述掩码m的修改是通过分解成两个子掩码m₁和m₂以使m＝m₁θm₂来执行的，其中θ为群合成律，第一子掩码m₁被存储到第一掩码寄存器M1(231)中，第二子掩码m₂被存储到第二掩码寄存器M(232)中，将要存储到所述寄存器M1中的新的值为m′₁＝m′θ^-1m′₂，将要存储的新的值为m′₂，m′为所述第二替换盒S′(21)输出的掩码的值。

6.根据权利要求1、2和5中任一项所述的电路，其特征在于，所述合成律为XOR“异或”运算。

7.根据权利要求1、2和5中任一项所述的电路，其特征在于，所述合成律为加法运算。

8.根据权利要求1、2和5中任一项所述的电路，其特征在于，所述合成律为乘法运算。

9.根据权利要求1、2和5中任一项所述的电路，其特征在于，所述合成律为s＝a*b+(a+b)/2型运算，其中*为乘法，+为加法。

10.根据权利要求1、2和5中任一项所述的电路，其特征在于，所述合成律在从一个周期到另一个周期的两个连续子掩码m₂之间具有非零的汉明距离Δm₂。

11.根据权利要求10所述的电路，其特征在于，所述子掩码m₁，m₂的位数为偶数，群合成律(α)能够基于子掩码m₁，m₂来获得掩码m，满足：

-每个2位群组Δm₂＝1；

-如果m₂MSB＝1，则

或者如果m₂MSB＝0，则m＝m₁m₂MSB，m₂LSB分别为子掩码m₂的高阶位和低阶位。

12.根据除权利要求3和4以外的前述权利要求中任一项所述的电路，其特征在于，所述电路包括随机值生成器(71)，所述生成器提供所述第二子掩码m′₂的值。

13.根据除权利要求3和4以外的前述权利要求中任一项所述的电路，其特征在于，来自于所述第一掩码寄存器M1的该子掩码m₁在周期结束时被保存在所述第二掩码寄存器M2中，所述第一寄存器M1接收新掩码m′₁，以便重建新的完整掩码m′＝m′₁θm′₂。

14.根据除权利要求3和4以外的前述权利要求中任一项所述的电路，其特征在于，加密算法为DES型的，数据x、m的路径被分成左(91，221)和右(92，222)两部分，除了左掩码寄存器ML(91)和右掩码寄存器MR(92)以外，所述电路还包括第三个掩码寄存器M(93)，所述寄存器MR存放右子掩码m_r1，所述寄存器ML存放左子掩码m_l2，所述寄存器M存放等于子掩码m_l1的子掩码m_r2，右掩码m_r和左掩码m_l的有效值为：

-m_r＝m_r1θm_r2

-m_l＝m_l1θm_l2。

15.根据前述权利要求中任一项所述的电路，其特征在于，所述第二替换盒S′(21)包括与所述第一替换盒S(1)相同的两个盒和两个XOR门(111，112)，所述两个盒(1)的输出连接到通过输出来提供新掩码m′的XOR门(112)，被屏蔽的变量

进入盒(1)，通过另一个输入来接收掩码m的另一个XOR门(111)的输出进入另一个盒(1)。

16.根据权利要求15所述的电路，其特征在于，ROM存储器(113)执行所述XOR门(111，112)的逻辑和所述盒(1)的替换。

Images