[发明专利]包括表网络的计算设备

说明书

提供了一种计算设备，其被配置为根据函数输入值计算数据函数，其包括电子存储装置和与存储装置耦合的电子处理器，该电子存储装置存储被配置用于数据函数的表网络，该电子处理器被配置为通过应用表网络来计算数据函数，其中该设备被配置为获得函数输入值作为编码的输入值，编码的输入值将被一起加密到单个值中的状态输入值与函数输入值组合在一起，表网络被配置为将编码的输入值当作输入并且生成编码的输出值作为输出，编码的输出值将被一起加密到单个值中的状态输出值与函数输出值组合在一起，其中函数输出值等于对函数输入值应用数据函数的结果以及状态输出值等于对状态输入值应用状态函数的结果。

技术领域

本发明涉及被配置为根据函数输入值计算数据函数的计算设备，该设备包括电子存储装置和与存储装置耦合的电子处理器，电子存储装置存储被配置用于数据函数的表网络，电子处理器被配置为通过应用表网络来计算数据函数，其中，该设备被配置为获得函数输入值作为编码的输入值，表网络被配为将编码的输入值当作输入并且生成编码的输出值、编码的函数输出值作为输出，函数输出值等于对函数输入值应用了数据函数的结果。

本发明还涉及对应的方法和编译器。

背景技术

US 2012/0300922公开了一种用于生成适合于用在密码学处理方法中的对应关系表并且包括将多个输入数据和多个输出数据存储在该表中的方法，每个输入数据与该表中的至少一个输出数据相关联。对于每个输入数据，所述输出数据中的至少一个是通过对第一辅助数据和根据输入数据加密的中间数据应用编码化函数而获得的。

US 2012/0155638公开了在启用计算机的密码学领域，通过保护密码密钥，通过在使用一个密钥加密或解密消息之前对其应用预定线性置换来硬化诸如块密码之类的密码来对抗攻击。这在“白盒”环境中特别有利，在“白盒”环境中，攻击者在密码算法的执行期间具有对于密码算法(包括算法内部状态)的完全访问权。该方法和关联的计算装置是有用的，其中密钥通过一个过程导出，因此其在具体实现密码的软件代码被编译时是未知的。这典型地是以下情况，其中存在密码的许多用户并且每个用户具有他自己的密钥，或者其中每个用户会话具有它自己的密钥。

在传统密码学中，典型地假设，攻击者仅仅有权访问安全系统的输入和输出值。例如，攻击者将能够观察到将进入系统的明文文本并且观察到离开系统的加密的文本。尽管攻击者可以尝试通过分析这样的输入/输出对，可能地甚至使用在计算上加强的方法，来得到益处，但是他不会想到有权直接访问实施输入/输出行为的系统。

近来，考虑威胁模型已经变得必要，其中假设攻击者对于实现方式有一些了解。例如，可以考虑边信道分析和反向工程的威胁。此外，先前与安全问题最关联的关注点已经延展到其他领域，比如机密性。尽管处理诸如密码学密钥之类的安全信息的密码学系统仍然是主要的关注点，但是其他程序(例如，处理机密性相关的信息的那些程序)的保护也变得重要。

长期已知的是，计算机系统通过所谓的边信道泄露一些信息。观察计算机系统的输入-输出行为可以不提供关于敏感信息(比如计算机系统所使用的秘密密钥)的任何有用的信息。但是计算机系统具有可以被观察的其他信道，例如其功耗或电磁辐射；这些信道被称作边信道。例如，不同指令所消耗的功率的小变化和在执行指令时消耗的功率的变化可以被测量。所测量的变化可以是关于敏感信息的，比如密码学密钥。超出可观察的有意的输入-输出行为的关于秘密信息的该附加信息被称为边信道。通过边信道，计算机系统可以在其使用期间“泄露”秘密信息。与可以仅仅从输入-输出行为的密码学分析获得信息相比，观察并分析边信道可以使攻击者访问到更好的信息。一种已知类型的边信道攻击是所谓的差分功率分析(DPA)。

针对边信道问题的当前方法引入了计算上的随机性。例如，在执行程序的真实操作之间可以插入空(dummy)指令以弄模糊功率消耗与程序正在其上工作的数据之间的关系。