[发明专利]密钥信息生成装置以及密钥信息生成方法

说明书

技术领域

本发明涉及认证处理、加密处理等的保密装置（密钥信息生成装置）。本发明涉及用于长期间稳定并且安全地管理在密码处理中使用的秘密信息、为了对装置进行认证而所需的装置固有的标识符的装置、方法。

背景技术

近年来，伴随以便携电话为代表的嵌入设备的网络化，为了在嵌入设备中处理的数据的隐匿、完备性的保持、以及对嵌入设备自身进行认证，嵌入设备进行与信息保密有关的处理的必要性变高。与信息保密有关的处理通过加密算法、认证算法来实现。此处，为了执行所述算法而成为大前提的是，各嵌入设备分别“安全地”保持唯一的秘密信息、设备固有的标识符。该“安全地”的意思是指，可合法地利用该嵌入设备的人员以外的人员难以进行标识符的读取、篡改。

作为用于安全地保持标识符的手段，有使用搭载有各种传感器（光传感器、电压传感器、频率检测器），并通过物理性的保护膜（金属壳体、基于树脂的模）防止来自外部的非法访问的框体、保密芯片等防篡改机构的保护方法。这些保护方法是以保护非易失性地在装置内作为数字数据存在的标识符为前提的手段。

另一方面，作为通过与上述手段不同的作法来安全地保持标识符的方法，有被称为PUF（Physical Unclonable Function，物理不可克隆功能）的技术。PUF的大的特征点在于，未在装置内作为非易失性的数字数据保持标识符。关于PUF的实施方式有几个。专利文献1公开的“以信号发生器为基础的装置保密”、专利文献2公开的“半导体设备标识符的生成方法以及半导体设备”是其代表例子。

如专利文献1、专利文献2那样的通过PUF生成的标识符具有每当进行生成时，未必生成唯一的比特串这样的特征。即，标识符被生成为包含噪声的数据。以下，说明将包含噪声的标识符变换为唯一的数据的专利文献1所记载的技术。

在专利文献1中，首先，标识符的生成被分成2个步骤（“初始生成”、和“再生成”）。在初始生成中生成的比特串成为该设备的标识符。在再生成中，进行生成与在初始生成中生成的比特串相同的比特串那样的处理。

<初始生成步骤>

首先，通过PUF生成比特串。此处，作为简单的例子，生成5比特的数据。将该比特串设为

w=（w1，w2，w3，w4，w5）=10110。

接下来，计算该比特串的辅助数据s。此处，设为使用（5，1，5）重复码来进行计算。

在该情况下，成为

s=（w1xor w2，w1xor w3，w1xor w4，w1xor w5）=1001

这4比特的比特串。

另外，辅助数据的计算方法依赖于所使用的纠错码的结构。辅助数据是公开也可的数据，保管于非易失性区域中。即，储存辅助数据的非易失性区域无需是安全的环境。

<再生成步骤>

在再生步骤中，与初始生成同样地，通过PUF生成比特串和辅助数据。将该比特串设为

w’=（w’1，w’2，w’3，w’4，w’5）=10000。

在该例子中，与在初始生成步骤中生成的w相比，输出2比特不同的数据。该比特串的错误相应于在上述中叙述的噪声。w’的辅助数据s’成为

s’=1111。

接下来，读出在初始生成步骤中计算并保管的s，计算

e=s xor s’。

即，成为

e=s xor s’=1001xor1111=0110

=（e1，e2，e3，e4）。

接下来，在下述步骤中，确定w’的错误比特位置。

此处，设为

SUM（e1，e2，e3，e4）=e1+e2+e3+e4，

SL（e1，e2，e3，e4）=（e1xor e2，e1xor e3，e1xor e4，e1）。

<步骤1>

在SUM（e1，e2，e3，e4）=2中，

满足小于3。因此，w’1未错。

<步骤2>

在（e1，e2，e3，e4）<=SL（e1，e2，e3，e4）=1100、

SUM（e1，e2，e3，e4）=2中，

满足小于3。因此，w’2未错。

<步骤3>

在（e1，e2，e3，e4）<=SL（e1，e2，e3，e4）=0111、

SUM（e1，e2，e3，e4）=3中，

不满足小于3。w’3错误。

<步骤4>