用于產(chǎn)生單向函數(shù)的方法
【專利摘要】本發(fā)明涉及用于產(chǎn)生單向函數(shù)的方法��。提出用于產(chǎn)生單向函數(shù)的方法和實(shí)施該單向函數(shù)的電路裝置����。在該方法中,對(duì)兩個(gè)操作數(shù)進(jìn)行運(yùn)算�,將該運(yùn)算的結(jié)果劃分為兩個(gè)部分結(jié)果,將這兩個(gè)部分結(jié)果相互比較并且依據(jù)該比較將兩個(gè)部分結(jié)果相互邏輯關(guān)聯(lián)�。
【專利說明】用于產(chǎn)生單向函數(shù)的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種用于產(chǎn)生用于密碼方法的單向函數(shù)的方法和一種電路裝置。該電 路裝置尤其是用于實(shí)施或?qū)崿F(xiàn)該單向函數(shù)�。
【背景技術(shù)】
[0002] 單向函數(shù)是能被"輕易"計(jì)算但是"難以"逆轉(zhuǎn)的數(shù)學(xué)函數(shù)。密碼單向函數(shù)被需要����, 由此攻擊者不能或只能以也許不合理的耗費(fèi)從所生成的數(shù)據(jù)中計(jì)算內(nèi)部狀態(tài)����、所使用的輸 入數(shù)據(jù)或者先前輸出的數(shù)據(jù)�����。這樣的行動(dòng)也稱為回溯(backtracking)�����。
[0003] 對(duì)于這種單向函數(shù)�,通常使用乘法、拉賓(Rabin)函數(shù)(X2 mod N)����、離散指數(shù)函數(shù) 或散列函數(shù)。也可以采用無傳遞的乘法����,如這例如在出版物US 20 1001 257 28 A1中所描 述的。在此利用的是����,乘法可以被簡(jiǎn)單地執(zhí)行����,但是反演運(yùn)算或因子分解由于尤其是提供多 種可能性而變得復(fù)雜�����。該多樣性在未使用傳遞或者如在拉賓函數(shù)情況下那樣使用模N函數(shù) 時(shí)還被增加��。
[0004] 在沒有傳遞或模X的情況下單獨(dú)乘法尤其是不為針對(duì)一些應(yīng)用具有小比特寬度 的操作數(shù)提供所要求的復(fù)雜性和非線性性�����。
[0005] 所提出的方法在產(chǎn)生隨機(jī)輸出比特序列時(shí)被采用并且由此被用于生成隨機(jī)數(shù)��。稱 為隨機(jī)元件的結(jié)果的隨機(jī)數(shù)為很多應(yīng)用所需要�。為了產(chǎn)生隨機(jī)數(shù)采用所謂的隨機(jī)生成器��。 隨機(jī)生成器是提供隨機(jī)數(shù)序列的方法��。隨機(jī)數(shù)的決定性準(zhǔn)則是生成的結(jié)果是否能被看作與 早先的結(jié)果無關(guān)��。
[0006] 為了產(chǎn)生隨機(jī)的比特序列采用在輸入輸入比特序列的情況下提供隨機(jī)輸出比特 序列的隨機(jī)比特生成器(Random Bit Generator)��。
[0007] 例如對(duì)于密碼方法來說隨機(jī)數(shù)被需要���。這些隨機(jī)數(shù)被用于生成用于加密方法的密 鑰��。對(duì)這樣的密鑰提出涉及隨機(jī)特性的高要求�����。
[0008] 尤其是隨機(jī)的量或程度�����、也就是每比特的熵應(yīng)當(dāng)是足夠的���。此外對(duì)于來自{0��,1} 的值的比特概率應(yīng)當(dāng)是同概率的�����。要注意的是����,為此由已知的隨機(jī)源生成的隨機(jī)值大多 不滿足這些要求��。因此需要附加的方法,其中這些方法被概括在概念"后處理"("post processing")下�。對(duì)于這樣的后處理典型地米用 DRBG (Deterministischer Random Bit Generator,確定性隨機(jī)比特生成器)�����,如這例如通過在2001年9月25日的BSI AIS 31中 的 das Bundesamt fiir Sicherheit in der Informationstechnik(BSI����,聯(lián)邦局信息技術(shù)安 全性)中描述的那樣�。這樣的生成器產(chǎn)生確定性的比特序列,但是該比特序列看起來是隨 機(jī)的���。也將這樣的生成器稱為偽隨機(jī)生成器��。如果未知的種子(Seed)被用作偽隨機(jī)序列 的起始點(diǎn)��,則該序列不允許是可預(yù)測(cè)的��,即使人們知道該偽隨機(jī)序列的已經(jīng)輸出的比特�,但 不知道種子�����。
[0009] 在此情況下,DRBG的特性被更準(zhǔn)確地檢查并且由國家標(biāo)準(zhǔn)技術(shù)局(NIST)在2007 年3月的Special Paper NIST SP 800-90中給出針對(duì)DRBG的建議���。
[0010] 根據(jù)現(xiàn)有技術(shù)的后處理典型地通過彈性函數(shù)(Resilient Function)��、線性反饋移 位寄存器(LFSR)和多輸入 LFSR 或 MISR (Multiple Input Signature Register�����,多輸入簽 名寄存器)加以實(shí)現(xiàn)���。
[0011] 根據(jù)現(xiàn)有技術(shù)的方法要么非常費(fèi)事,例如彈性函數(shù)��,要么所述方法不精確地滿足 50%比特概率�����,例如LFSR�。上述兩種方法此外不具有識(shí)別裝置中例如由于誤攻擊而導(dǎo)致的 錯(cuò)誤。
【發(fā)明內(nèi)容】
[0012] 以此為背景提出一種具有權(quán)利要求1的特征的方法和一種根據(jù)權(quán)利要求9的電路 裝置���。其它實(shí)施由從屬權(quán)利要求和說明書得出�。
[0013] 利用乘法的結(jié)果比特的上半部與下半部的邏輯關(guān)聯(lián)以及由此與這兩個(gè)部分的值 關(guān)系以及具有值0的操作數(shù)的特殊函數(shù)有關(guān)的低位(niederwertig)半部���,可以獲得均衡的 分配表�����,但是該分配表也可以作為關(guān)于表值的ROM版本簡(jiǎn)單地借助組合電路實(shí)現(xiàn)����。
[0014] 所提出的電路裝置可以在用于產(chǎn)生隨機(jī)輸出比特序列的方法的范圍中被用于實(shí) 施單向函數(shù),下面將討論該方法�����。
[0015] 為此首先提出一種用于生成偽隨機(jī)輸出比特序列的方法�,其中使用2n個(gè)分別相同 構(gòu)建的狀態(tài)自動(dòng)機(jī)的裝置�,其中這些狀態(tài)自動(dòng)機(jī)分別包括η個(gè)狀態(tài)比特,其中每個(gè)狀態(tài)自 動(dòng)機(jī)總是采取與該裝置的其它狀態(tài)自動(dòng)機(jī)不同的狀態(tài)��,其中在輸入側(cè)向這些狀態(tài)自動(dòng)機(jī)分 別輸送相同的輸入信號(hào)�����,并且這些狀態(tài)自動(dòng)機(jī)分別依據(jù)其狀態(tài)而產(chǎn)生η個(gè)簽名比特���,這些 簽名比特一起形成簽名比特序列�,其中通過從該裝置的所有狀態(tài)自動(dòng)機(jī)的簽名比特序列中 選擇各個(gè)比特來產(chǎn)生隨機(jī)輸出比特序列。
[0016] 該方法例如利用用于用未知種子(Seed)生成隨機(jī)輸出比特序列的偽隨機(jī)比特生 成器來執(zhí)行�,該偽隨機(jī)比特生成器包括2"個(gè)分別相同構(gòu)建的狀態(tài)自動(dòng)機(jī)的裝置,其中這些 狀態(tài)自動(dòng)機(jī)分別包括η個(gè)狀態(tài)比特�,其中每一個(gè)總是采取與該裝置的其它狀態(tài)自動(dòng)機(jī)不同 的狀態(tài),其中在輸入側(cè)能夠向這些狀態(tài)自動(dòng)機(jī)輸送輸入信號(hào)��,并且這些狀態(tài)自動(dòng)機(jī)分別依 據(jù)其狀態(tài)而產(chǎn)生η個(gè)簽名比特��,這些簽名比特一起形成簽名比特序列���,其中通過從該裝置 的所有狀態(tài)自動(dòng)機(jī)的簽名比特序列中選擇各個(gè)比特來產(chǎn)生隨機(jī)輸出比特序列��。
[0017] 該方法與已知方法相比具有識(shí)別誤攻擊的可能性����。此外提供了比LFSR更好的比 特概率���。但是該方法具有以下缺點(diǎn):可能出現(xiàn)沖突���,也就是可能出現(xiàn)不同輸入比特序列的相 同輸出序列。通過這樣的沖突可能有利于攻擊者或襲擊者的攻擊����。此外在該方法情況下對(duì) 所輸出的輸出信號(hào)的回溯可能比這里在下面提出的方法情況下更為簡(jiǎn)單��。
[0018] 上述方法現(xiàn)在通過以下方式加以擴(kuò)展�����,即輸入被處理兩次���,而且這些輸入一次直 接進(jìn)入狀態(tài)機(jī)的裝置(也稱為C0SSMA裝置(Complete Set of State Machines,完整的狀 態(tài)機(jī)組)),并且附加地與單向函數(shù)邏輯關(guān)聯(lián)地進(jìn)入���。
[0019] 直接輸入保證�,在處理時(shí)不丟失熵并且第二次邏輯關(guān)聯(lián)的輸入有助于避免沖突�, 使得難以回溯(Backtracking),也就是說難以計(jì)算出前任輸出值,并且在種子(Seed)未 知的情況下使得難以預(yù)告或預(yù)測(cè)未來的輸出值��。如果可以證明在與單向函數(shù)邏輯關(guān)聯(lián) (Verkniipfung)的情況下不丟失熵并且沖突也不由此加強(qiáng)地出現(xiàn)���,貝U也可以放棄直接輸入。
[0020] 附加地���,如果在處理最后的輸入比特之后也還計(jì)算出奇偶性并且該奇偶性進(jìn)入輸 出值中�����,則所有輸入比特對(duì)輸出值的影響可以被同等化�����。
[0021] 本發(fā)明的其它優(yōu)點(diǎn)和構(gòu)型從說明書和附圖中得到�。
[0022] 不言而喻,上面提到以及下面還要闡述的特征不僅能以分別說明的組合�����,而且還 能以其它組合或者單獨(dú)地加以使用����,而不脫離本發(fā)明的范圍。
【專利附圖】
【附圖說明】
[0023] 圖1示出單向函數(shù)����。
[0024] 圖2示出所提出的方法的實(shí)施布置。
[0025] 圖3示出所描述的用于執(zhí)行所述方法的設(shè)備的實(shí)施方式���。
[0026] 圖4示出狀態(tài)自動(dòng)機(jī)的裝置����。
[0027] 圖5示出4比特狀態(tài)自動(dòng)機(jī)�。
[0028] 圖6示出狀態(tài)過渡���。
[0029] 圖7示出DRBG輸出級(jí)。
【具體實(shí)施方式】
[0030] 本發(fā)明借助實(shí)施方式在附圖中被示意性示出并在下面參照附圖加以詳盡描述����。
[0031] 圖1闡明具有輸入半字節(jié)X和在此期間的輸出y的反饋?zhàn)鳛檩斎雲(yún)⒘康膯蜗蚝瘮?shù) g=x*y。由此得到g的較高半字節(jié)180和g的較低半字節(jié)182,這些半字節(jié)經(jīng)歷修改184,從 而獲得結(jié)果186�。
[0032] 如在圖1中所示,單向函數(shù)通過兩個(gè)操作數(shù)的乘法實(shí)現(xiàn)�����。該運(yùn)算的結(jié)果典型地具 有雙倍比特寬度�����,在兩個(gè)具有單倍比特寬度的部分結(jié)果中可以將該雙倍比特寬度分為上比 特和下比特���。要注意�,可能需要將雙倍比特寬度化為單倍比特寬度���。為此,兩個(gè)部分結(jié)果的 數(shù)值被相互比較并且根據(jù)比較結(jié)果不同地被邏輯關(guān)聯(lián)����。為此在該實(shí)施例中觀察各具有4比 特的操作數(shù)并且在將結(jié)果的下半字節(jié)和上半字節(jié)相互邏輯關(guān)聯(lián)之前將兩者相比較���。對(duì)于一 個(gè)或兩個(gè)操作數(shù)等于〇的情況,使用沒有乘法的特殊運(yùn)算����。如果操作數(shù)為〇,則另一個(gè)操作 數(shù)作為負(fù)值產(chǎn)生,但是沒有符號(hào)���,并且將值2加到該值上����。該負(fù)值與操作數(shù)的二進(jìn)制補(bǔ)碼對(duì) 應(yīng)��,該二進(jìn)制補(bǔ)碼通過將所有比特求逆以及接著遞增來實(shí)現(xiàn)�。也可以計(jì)算出所得到的值,其 方式是將該操作數(shù)的所有比特求逆并且將值3與之相加�����。這是遞增與加上2的聯(lián)合�。在這 些加法運(yùn)算中不考慮傳遞。如果兩個(gè)操作數(shù)是0,則輸出所確定的值。為此在所示出的實(shí)施 中使用值2�����。通過這些運(yùn)算����,在表1中對(duì)所有行和列實(shí)現(xiàn)了所有可能值的均勻分布。如果兩 個(gè)操作數(shù)不同于〇,則從下部的4比特中減去較高的4比特并且或者添加1或者添加2,這 根據(jù)低位的半字節(jié)是否大于較高位的半字節(jié)而定���。在此對(duì)于操作數(shù)也使用在負(fù)值情況下的 二進(jìn)制補(bǔ)碼表示��。
[0033] 可以規(guī)定�,對(duì)于第一操作數(shù)為0的情況��,僅根據(jù)預(yù)先給定的規(guī)定修改第二操作數(shù) 的值并且這樣來選擇該修改��,使得當(dāng)?shù)诙僮鲾?shù)被改變使得所有可能的值--包括〇在 內(nèi)--都被采用時(shí)對(duì)于每個(gè)任意第二操作數(shù)出現(xiàn)所有可能的值--包括〇在內(nèi)��。
[0034] 表1是代表單向函數(shù)的結(jié)果表:
【權(quán)利要求】
1. 用于產(chǎn)生用于密碼功能的單向函數(shù)(60)的方法��,其中對(duì)兩個(gè)操作數(shù)進(jìn)行運(yùn)算���,將該 運(yùn)算的結(jié)果劃分為兩個(gè)部分結(jié)果�,將這兩個(gè)部分結(jié)果相互比較并且依據(jù)該比較將兩個(gè)部分 結(jié)果相互邏輯關(guān)聯(lián)。
2. 根據(jù)權(quán)利要求1所述的方法�,其中作為運(yùn)算執(zhí)行與至少兩個(gè)操作數(shù)的乘法�。
3. 根據(jù)權(quán)利要求2所述的方法,其中對(duì)于兩個(gè)操作數(shù)都為0的情況輸出確定的值�����。
4. 根據(jù)權(quán)利要求1至3之一所述的方法��,其中對(duì)于第一操作數(shù)為0的情況�,根據(jù)預(yù)先給 定的規(guī)定僅修改第二操作數(shù)的值,并且選擇該修改為�����,使得當(dāng)?shù)诙僮鲾?shù)被改變使得采用 所有可能的值時(shí)����,對(duì)于每個(gè)任意的第二操作數(shù)出現(xiàn)所有可能的值。
5. 根據(jù)權(quán)利要求1至4之一所述的方法����,其中用至少兩個(gè)操作數(shù)執(zhí)行運(yùn)算,其中對(duì)于第 一操作數(shù)的任意固定的值能夠選擇第二操作數(shù)為��,使得能夠達(dá)到每個(gè)可能的結(jié)果值。
6. 根據(jù)權(quán)利要求1至5之一所述的方法�,其中創(chuàng)建代表單向函數(shù)的表,并且將該表存儲(chǔ) 在存儲(chǔ)裝置中����。
7. 根據(jù)權(quán)利要求1至6之一所述的方法,其中借助電子電路裝置來實(shí)施所述單向函數(shù) (60)�����。
8. 根據(jù)權(quán)利要求1至7之一所述的方法�,其中考慮操作數(shù)的弱點(diǎn)。
9. 代表按照根據(jù)權(quán)利要求1至8之一的方法產(chǎn)生的單向函數(shù)的電路裝置�。
10. 根據(jù)權(quán)利要求9所述的電路裝置,其是組合的邏輯電路��。
【文檔編號(hào)】G06F7/58GK104063202SQ201410107208
【公開日】2014年9月24日 申請(qǐng)日期:2014年3月21日 優(yōu)先權(quán)日:2013年3月22日
【發(fā)明者】E.貝爾, K.達(dá)姆 申請(qǐng)人:羅伯特·博世有限公司