[发明专利]密码操作里的电能攻击和时间攻击的对策

说明书

对相关申请的参考

本发明要求申请于1999年6月11日的美国临时申请No.60/138,909的优先权。

背景技术

本发明一般涉及加密领域并且具体涉及防止通过使用电能监视和时间监视而攻破加密系统的私人密钥。

最近，已经发现可以通过监视处理器实行编码和/或解码操作所用的时间从安全处理器获得加密密钥信息。而且，监视此操作持续时间中的电能也可以应用于攻击处理器的保密性。例如，当乘法运算和平方运算所使用的时间和电能量不同时会发生此情况。从而，攻击者可以通过跟踪安全设备处理许多不同的输入信息所需的时间和电能来破解私人密码。可以观察电能使用和花费时间最终将暴露密钥。

尽管存在对通过电能或者时间攻击觉察密钥的对策，但这些对策没有一种对两种监视都有效的技术。而且，使用这些对策需要大量的存储器、处理器循环，附加电路，电能或者其他资源。这是不可接受的，例如，当保密处理器在电能有限的环境(例如电池供电的“智能卡”，其中电路的电能，速度和可利用表面是和重要的)。

从而，期望有一种可以有效的对抗电能和时间监视并且仍有较低资源要求的对策技术。也期望以有限的性能损失对抗这些电能和时间攻击。

发明概述

本发明使用模拟密码操作以伪装密码系统使用的时间和/或电能。例如，为了伪装在此算法里是否真的实行了数学运算或者储存，本发明的一个具体实施例中实行了非必要的数学运算和/或非必要的数据储存。可以控制模拟操作的总数，这样模拟运算所使用的电能和处理器循环时间仍然保持有效率。

在一个具体实施例中，本发明提供了在使用私人密钥实行加密操作的处理系统里伪装电能使用量和花费时间的方法。为了掩盖密钥的一位或者多位，处理器实行了模拟的乘法运算。本发明的此具体实施例可以有利的伪装显示是否应该实行乘法操作的密钥。因为非必要的乘法操作，攻击者观察到不可预料的时间花费和相似的电能使用量，而与密钥里字位的值无关。从而，密钥值保持保密。进一步，模拟乘法运算的结果可以储存于伪储存位置一它进一步伪装了当密钥指示了必要的乘法/储存特征时的随后操作。

参考附图，考虑下面的说明，本领域技术熟练人员将明白本发明的进一步优点和特征。应该认识到本发明并不局限于这里揭示的细节，而包含落在本发明的精神和权利要求的范围里的所有这些变化和修改。

附图简述

图1显示说明实行一个本发明具体实施例的方法的流程图。

图2显示说明伪装电能使用量和花费时间的具体实施例的流程图。

图3显示了说明怎样可以伪装电能使用量和花费时间的另一个本发明具体实施例的流程图。

图4显示了实行一个本发明具体实施例的系统的框图。

图5显示了本发明一个具体实施例的用于实行模数乘法的储存位置的框图。

图6显示了本发明具体实施例中使用的私钥的二进制表示，也显示了对于在私钥里出现的前128个零，而实行模拟运算的位值地址。

图7显示了本发明一个具体实施例中使用的私钥的二进制表示，也显示了如果私钥位的值是零，预定的模拟操作将出现的位置表示。

图8，9和10显示了怎样使用本发明伪装Montgomery算法。

具体实施例的描述

现在参考解密系统说明本发明。然而，应该认识到本发明也可以应用于其他不包含解密的密码系统。例如，本发明可应用于本技术领域一般技术的人员所指的基于私钥的系统，特别是离散的对数系统和整数因数分解系统。然而，将使用此解密例子帮助说明本发明。

现在参考图1，可以看到一个说明本发明的一个具体实施例的总体视图的流程图，其中实行了解密。在图1里，消息首先被加密100。可以通过业内人士熟知的许多不同的加密方法实行加密。当消息被加密后，它被送(104)往其目的地。可以想像，当到达加密消息企图传递给的终点使用者前，此传输将包含不仅仅是一个简单的点对点的传送而且涉及更曲折的传递过程。最终收到加密发送消息(108)。当接收到后，开始了对传送消息的处理，例如，解密此消息。如图1所示，当加密消息被解密120时，加密112所需的时间和解密消息116所需的电能是被伪装了。以此方式，本发明抵御了攻击者发起的时间攻击和电能攻击。而且，可以同时完成抵御这类时间攻击和电能攻击。