TW200830832A

TW200830832A - Key protection mechanism

Info

Publication number: TW200830832A
Application number: TW096143280A
Authority: TW
Inventors: Michel Douguet; Vincent Dupaquis
Original assignee: Atmel Corp
Priority date: 2006-12-22
Filing date: 2007-11-15
Publication date: 2008-07-16
Also published as: TWI434565B; US7822207B2; WO2008079524A3; WO2008079524A2; US20080152144A1; CN101569131B; CN101569131A; DE112007003061T5

Description

200830832 九、發明說明：【發明所屬之技術領域】本發明係關於可抵抗差異過失分析或過失插入攻擊以保護秘密密鑰之完整性的密碼編譯系統。【先前技術】使用以秘密密鑰為基礎之演算法時，可能需要一過失插入保護機制。此一機制係一安全的用以保護秘密密鑰以防與密鑰操控有關之差異過失分析的方法。差異過失分析係 • 一強制產生瞬變硬體過失及所得計算錯誤（例如在一密鑰排程演算法或上一加密輪回之執行期間）以便擷取密碼編譯密鑰資訊之密碼編譯攻擊。此過失分析係可應用於公用密鑰與秘密密鑰密碼編譯系統兩者，包括智慧卡上之抗篡改裝置。例如，Eli Biham與 Adi Shamir在「Differential Fault Analysis of Secret Key Cryptosystems」（密碼學進展 • CRYPTO ‘97，LNCS 1294，第 513 至 525 頁（8?14叫6卜 Verlag，1997))中說明似〇£8密碼上之差異過失分析攻擊。 ® 目前可用保護機制係離線實施且並不適於所有應用。例如，現有機制不會為會話密鑰（其係需要時產生而非提前 ^ 產生）提供保護。

Hagai Bar-El 等人在「The Sorcerer’s Apprentice Guide to Fault Attacks」（2004年6月30日在意大利佛羅倫薩之密碼學過失偵測與容錯研討會上所發佈之離散技術白皮書）（密碼學e印歸標（eprint.iacr.org)報告2004/100 ;此外， CiteSeer文章705084)中說明各種在電子密碼編譯電路上實 126307.doc 200830832 〜，亚提出許多對策施此類過失攻擊处y彻上一 3取。钱寺對策在不 -複製相同過失之假設下主要涉及引入冗餘，丨中算並比較結果。所得系統可能會較慢且較不有效，但：係讓步為安全成本之部分。 "" 尋求更有效的用於保護秘密密鑰完整性之對策。【發明内容】 =月係’碼編譯方法，其在於一密碼編譯應用程式中使用-秘㈣鑰之前驗證該秘密密餘之完整性。特〜言之，制原始未遮罩密鑰所獲得之—加密結果之_加= 檢查碼係在隨後採用—已遮罩密鑰解密該結果時用作一：

效資料驗證簽章。 W 硬體密碼編譯“中保護秘密密衫整性之方該硬體密碼編料統會遭受過失攻擊）包含= 錄以自已知資料獲得並保存—加密結果且亦獲得並佯= 加密結果之-加總檢查碼，然後遮罩該秘密密^隨後二在-密碼編譯應用程式中使用該已遮罩㈣時，首該密鑰之完整性。衫言之，採用該已遮罩密输解穷％保存加密結m較時發現該解密結果不等於有p 料，則該完整性檢查失效，將與該已遮罩密鑰有關之= 資料從該系統消除並用旗標標記一過失插入。若該解密結果確實等於有效資料，則該已遮罩密鑰之— 整性已得以認證且可用於該密碼編譯系統中。凡【實施方式】本發明之密錄保護方法可於其中運作的—範例性硬體環 126307.doc 200830832 境可包括一硬體亂數產生器（RNG)、一用於安全密鑰儲存之隨機存取記憶體（RAM)或非揮發性記憶體（例如，快閃 EPROM)、一微處理器或微控制器及某一用以儲存一程式之記憶體。此外，該硬體可能包括一用於計算以秘密密鑰為基礎之演算法（DES、AES等）之硬體共處理器。此一共處理器（若存在的話）將處理一以X0R為基礎密鑰解遮罩機制·

Real—Key: = Masked—Key XOR Masking—Value，及同樣地

Masked—Key: = Real—Key XOR Masking_Value 〇因此，不再強制在密鑰之真形式下操控或儲存密鑰，而可採用其已遮罩形式。此外，該硬體可能包括一用於執行完整性檢查之硬體循環冗餘檢查（CRC)模組。16位元模組就足夠了，不過其他CRC大小也適合。不過，無共處理器且無硬體CRC模組，本發明之密鑰保護方法也會相當好地工作。參考圖1，一種依據本發明之密鑰保護方法可方便地藉由用種子值植入一亂數產生器（RNG)之開始而開始（如步驟 11所示）。不同種子值自亂數產生器產生不同隨機序列。已植入種子值之亂數產生器將在隨後步驟中用於密鑰遮罩。因此，亂數產生器之種子值植入（步驟11)可發生在密鑰遮罩所需要之隨機位元組之產生（步驟16)之前的任何時間。程序之第一主要部分（步驟12至15)獲得一加密結果及對應加總檢查碼，以便在隨後秘密密鑰之完整性檢查中使 126307.doc 200830832 用。將一欲受保護秘密密鑰以〜鑰从純文字載入至（步驟12)—密鑰暫存器中。該讀可視^碼編譯演算法而具有任何合適長度。再者，可存在多個密輪，例如在三元刪中，其在用' ^加技與解密之連續輪回集中使用兩個或三個獨立密输。密碼編譯演算法可包括一宓、 ^在鑰產生常式，在該密鑰產生常

式中使用剛剛載入至寧輪I + π I 戟主山鑰暫存态中之秘密密鑰（或多個秘

岔袷鑰）產生一用於演算法之不同輪回的輪回子密鑰序列。所有此等變化為本發明之密鑰保護所涵蓋。接下來使用密碼編譯演算法及該欲受保護密鑰來加密用於在饴鑰驗證中使用之已知資料（VERIF一data)(步驟 13)。例如，藉由使用一循環冗餘檢查（crc)常式來計算加密結果之加總檢查碼（步驟14)。例如，藉由儲存於一安全圯k體中將該加密結果及其對應加總檢查碼保存為一用於該加雄結果之驗證簽章。然後完全消除密鑰暫存器（步驟 15) 〇接下來使用先前已植入種子值之亂數產生器產生（步驟 16) 用於一密錄遮罩操作之隨機位元組。使用（例如）密錄位元與隨機位元組之一或多者的一逐位元X〇R，採用隨機位元組來遮罩原始秘密密鑰（或多個原始秘密密鑰）（步驟 17) ：

Masked—Key: = Real」Cey XOR Masking-Value 〇遮罩所需要的隨機位元組之數目將取決於密鑰大小及欲遮罩密鑰數。使用多個密鑰時，可使用相同或不同隨機位元 126307.doc 200830832 組來遮罩不同密鑰。一旦遮罩，便將已遮罩密鑰（或多個已遮罩密鑰)儲存於一安全非揮發性記憶體（例如EEPR〇M) 之一規定位置處。將已遮罩密鑰（或多個已遮罩密鑰）從該規定記憶體位置載入至（步驟18)—密鑰暫存器（或多個暫存器）中。接著使用已遮罩密鑰（或多個已遮罩密鑰）來解密先前加密結果（步驟19)，該解密自原始加密以一相反方向使用相同密碼編譯演算法。（應注意，在加密期間使用多個密鑰之情況下，例如在三元DES中，通常必須以相反順序使用該等密錄以便正確解密）。若考量一加密函式Encrypt (Data，Key， Mask)及一對應解密函式 Decrypt (Data, Key，Mask)，且若採用 Encrypt (VALID …DATA，Real一Key，0)作為先前加密結果（步驟19)，則步驟20中之解密應為Decrypt(Encrypt (VALID—DATA，Real—Key，0))，Masked—Key，Masking—Value) =VALID—DATA(若 Real Key=Masked一Key XOR Masking—Value) o 將使用已遮罩密鑰之解密結果與有效資料 (VALID一DATA)作比較（步驟20)。已遮罩密鑰應對應於加密VALID一DATA時所產生之驗證簽章（加總檢查碼）。若解密結果不等於VALID一DATA，則已遮罩密鑰未通過完整性檢查，並用旗標標記一過失插入（步驟21)。不過，若解密結果等於VALID—D ΑΤΑ ’則已遮罩密錄通過完整性檢查，且可加以使用。一旦完成完整性檢查，便將用於解密及完整性檢查之所有硬體暫存器消除（步驟22)。【圖式簡單說明】 126307.doc -10- 200830832 圖1係依據本發明之一密鑰保護方法之一範例性具體實施例的流程圖。

126307.doc -11-

Claims

200830832 十、申請專利範圍： l 一種在硬體密碼編譯系統令保護秘密密鎗完整性受過失攻擊之方法，該方法包含：方化自已知資料及一欲受保護秘密密鑰獲得一加對應加總檢查碼；、、D果及遮罩該秘密密鑰以獲得一已遮罩密鑰；將該已遮罩密鑰載入至一密餘暫存器中；在於該硬體密碼編譯系統中使用一已遮罩密餘之前的任何訏間’ f先藉由採用該已遮罩密鑰解密該加密結果以獲侍一解密結果並將該解密結果與有效資料作比較來檢查該已遮罩密鑰之完整性；及若該解密結果不等於有效資料，則將與該已遮罩密輪有關之所有資料消除並用旗標標記一過失插入。 2·如請求項丨之方法，其中獲得一加密結果及對應加總檢查碼包含：將該欲受保護秘密密鑰以純文字載入至一密鑰暫存器中；將已知資料呈現給一加密演算法並使用該秘密密鑰加密該已知資料以獲得該加密結果；在該加密結果上執行一加總檢查碼計算以獲得該對應加總檢查碼；及將該加检結果及加總檢查碼保存於一安全記憶體中。 3.如請求項2之方法，其中該加總檢查碼計算係一循環冗餘檢查（CRC)常式。 126307.doc 200830832 4 · 如請求項1之t^ 去，其中遮罩該秘密密鑰包含使用亂數產生益硬體產生隨嫉^ — 座生奴機位7〇組亚使用一遮罩常式將該等隨機位元組應用於該秘密密鑰。 5. 如請求項4之方法，彡中該遮罩常式㈣等隨機位元組與該秘狯猪輪的一逐位元x〇R運算。 6. 如請二項4之方法，其中採用一已知種子值植入該亂數產生Θ硬體之後產生該等隨機位元組，不同種子值產生不同隨機位元組序列。 7. -種在硬體密碼編譯系統中保護秘密密鑰完整性以防遭受過失攻擊之方法，該方法包含：將一欲受保護秘密密鑰以純文字載入至一密鑰暫存器中； —將已知貧料呈現給—加密演算法並使用該秘密密錄加密該已知資料以獲得一加密結果；在該加密結果上執行一加總檢查碼計算以獲得一對應加總檢查碼；及 “ 保存該加密結果及加總檢查碼，並將該秘密密鑰從該密鑰暫存器清除；、使用亂數產生器硬體產生隨機位元組並使用一遮罩常式將該專酼機位元組應用於該秘密密錄以獲得一已遮罩密鑰； ^ 將該已遮罩密鑰載入至一密鑰暫存器中；採用該已遮罩密鑰解密該已保存加密結果以獲得一解密結果； 126307.doc 200830832 將該解密結果與有效資料作比較；及若該解密結果不等於有效資料，則將與該已遮罩密鑰有關之所有資料消除並用旗標標記一過失插入，不過若該解岔結果等於有效資料，則認證該已遮罩密鑰之完整性以便在該密碼編譯系統中使用。 8 · 如請求頊7 3^ 士、〇» u 、万法，其中該加總檢查碼計算係一循環冗餘檢查（CRC)常式。 9 ·如請求項7 > 士與該秘密/二^該料常式係該等隨機位元組山輸的一逐位元XOR運算。 10·如請求項7 、、万法，其中採用一已知種早估括X斗/ 產生器硬騁♦ ^ 禋子值植入該亂數後產生該等隨機位元組，不η德工处+ 不同隨機你-, 不冋種子值產生位兀組序列。土

126307.doc