用于從用作物理不可克隆功能的存儲(chǔ)器中生成密碼密鑰的系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于生成密碼密鑰(cryptographic key)的電子系統(tǒng)�����,該系統(tǒng)包括:被用作物理不可克隆功能的存儲(chǔ)器���,該存儲(chǔ)器是可寫的����、易失的并且被配置成在該存儲(chǔ)器每次上電時(shí)��,該儲(chǔ)存器安置取決于該存儲(chǔ)器的至少部分隨機(jī)物理特性的存儲(chǔ)器內(nèi)容���,通過存儲(chǔ)器接口該存儲(chǔ)器是可訪問的���;以及密鑰導(dǎo)出單元,其被配置成從該存儲(chǔ)器安置的存儲(chǔ)器內(nèi)容中導(dǎo)出該密碼密鑰���。
【背景技術(shù)】
[0002]物理不可克隆功能(PUF)已被證明是多種形式的安全識(shí)別一一包括安全存儲(chǔ)器中密鑰���、識(shí)別符等的存儲(chǔ)一一的有利替代���。
[0003]物理不可克隆功能采用制造變化來獲得數(shù)字識(shí)別符�。該數(shù)字識(shí)別符因此被綁定到物理媒質(zhì)。因?yàn)槲锢聿豢煽寺」δ苋Q于隨機(jī)工藝變化���,因此易于形成PUF�����,但是即使不是完全不可能也非常難于形成產(chǎn)生特定預(yù)定識(shí)別符的PUF���。制造變化導(dǎo)致存儲(chǔ)器元件的不同物理特性。例如�����,物理特性可包括:摻雜濃度����、氧化層厚度����、溝道長度��、結(jié)構(gòu)寬度(例如����,金屬層的結(jié)構(gòu)寬度)、寄生現(xiàn)象(例如�����,電阻����、電容)等。當(dāng)多次制造數(shù)字電路設(shè)計(jì)時(shí)����,這些物理特性會(huì)稍微變化并且它們共同引起IC元件(例如,存儲(chǔ)器元件)的行為在一些情況下表現(xiàn)為不同�����。例如,啟動(dòng)行為是由物理特性中的制造變化確定的���。
[0004]對(duì)于PUF來說����,合意選擇是易失存儲(chǔ)器�,尤其是基于存儲(chǔ)器的觸發(fā)器,更具體地是靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)���。這樣的存儲(chǔ)器易于評(píng)估并且制造成本低����?;赟RAM的PUF被稱作SRAM PUF����。SRAM具有的屬性是在上電之后,它們被填充以隨機(jī)模式的開比特和關(guān)比特���。盡管該模式在下一次SRAM上電時(shí)不可準(zhǔn)確度地重復(fù)自身���,但是兩個(gè)這樣的模式之間的差異通常遠(yuǎn)小于該狀態(tài)中比特?cái)?shù)的一半。相同SRAM的存儲(chǔ)器上電內(nèi)容之間的差異一般遠(yuǎn)小于不同SRAM的存儲(chǔ)器上電內(nèi)容之間的差異�����。
[0005]由于當(dāng)相同的詢問(challenge)被評(píng)估兩次時(shí)PUF可能未給出完全相同的結(jié)果,因此可使用所謂的輔助數(shù)據(jù)(Helper Data)算法(也被稱作模糊提取)來確保每次導(dǎo)出的密鑰相同��。例如����,在國際專利申請(qǐng) WO 2006/129242,“Template Renewal in Helper DataSystems”等描述了一種使用輔助數(shù)據(jù)以根據(jù)噪聲測(cè)量構(gòu)造可復(fù)寫的值的方式�。
[0006]PUF(尤其是SRAM PUF)的一個(gè)應(yīng)用是導(dǎo)出電子電路上的密碼密鑰。該電子電路通常包括集成電路(IC)和/或可編程邏輯�����。
[0007]PUF的一個(gè)優(yōu)點(diǎn)是它們本質(zhì)上擁有抗篡改特性�����。沒有PUF的話�����,通過在其中密鑰以常規(guī)方式存儲(chǔ)的非易失存儲(chǔ)器上安裝物理攻擊�����,攻擊者可恢復(fù)密碼密鑰。例如��,攻擊者可打開存儲(chǔ)器并且探查它的內(nèi)容�����。使用PUF使得這種類型的攻擊困難得多�����,原因在于打開PUF通常會(huì)干擾它��;探查例如SRAM的動(dòng)態(tài)內(nèi)容比探查嵌入式非易失存儲(chǔ)器困難得多�����。因此�����,攻擊者從他的探查獲得的信息與用于創(chuàng)建密碼密鑰的交互無關(guān)���。這樣使得攻擊者更難以使用物理攻擊找到密鑰。
[0008]遺憾的是,侵入的物理攻擊不是攻擊者可獲得有關(guān)PUF的內(nèi)部狀態(tài)的至少一些信息所依據(jù)的唯一攻擊矢量�����。所謂的側(cè)信道也可能泄漏信息����。側(cè)信道是系統(tǒng)上與該系統(tǒng)內(nèi)部出現(xiàn)的物理現(xiàn)象有關(guān)的信息源,該信息源可以從該系統(tǒng)的外部觀察到并且該信息源除了揭示該系統(tǒng)的預(yù)期可觀察的輸入輸出行為之外還揭示至少在某種程度上與該系統(tǒng)的內(nèi)部操作和/或狀態(tài)相關(guān)聯(lián)的信息���。
[0009]功率消耗���、時(shí)間消耗和電磁福射是與密碼系統(tǒng)相關(guān)的側(cè)信道的實(shí)例。例如����,系統(tǒng)使用密碼密鑰時(shí)監(jiān)測(cè)的密碼系統(tǒng)的功率消耗可在一定程度上與密鑰相關(guān)聯(lián)。由于將密碼密鑰保密是最重要的���,因此與該密鑰相關(guān)聯(lián)的任何信息泄露是有問題的����。
[0010]在公布為W0/2010/100015����、標(biāo)題為“Systemfor establ ishing a cryptographickey depending on a physical system” 的國際專利申請(qǐng) PCT/EP2010/051631 中公開了減少在從PUF導(dǎo)出密鑰的誤差校正部分期間(即����,在執(zhí)行輔助數(shù)據(jù)算法期間)出現(xiàn)的側(cè)信道泄漏的解決方案�。誤差校正是避免側(cè)信道泄漏的特別重要的階段,原因是它多次處理敏感數(shù)據(jù)����,引入多個(gè)非線性相關(guān)。此外��,如果誤差校正被實(shí)施在軟件中則泄漏被放大�����。
【發(fā)明內(nèi)容】
[0011]已經(jīng)證明���,一旦解決了可能在誤差校正期間出現(xiàn)的側(cè)信道泄漏����,則留下較小的側(cè)信道泄漏源����。盡管這些較小的源需要更復(fù)雜的測(cè)量并且甚至在成功測(cè)量之后僅提供相對(duì)少的敏感信息,但仍然期望解決可能在機(jī)密密鑰的導(dǎo)出期間出現(xiàn)的其它側(cè)信道泄漏源�����。
[0012]當(dāng)測(cè)量基于PUF的存儲(chǔ)器(諸如SRAM PUF)的功率消耗時(shí)�����,在該存儲(chǔ)器的讀出過程期間出現(xiàn)一個(gè)側(cè)信道��。例如����,當(dāng)PUF控制塊讀出通過存儲(chǔ)器接口連接的存儲(chǔ)器的啟動(dòng)值(上電存儲(chǔ)器內(nèi)容)時(shí)。存儲(chǔ)器接口的功率消耗取決于所轉(zhuǎn)移的數(shù)據(jù)字的漢明權(quán)重(hammingweight)���。讀出SRAM存儲(chǔ)器內(nèi)容可能泄漏通過功率分析或電磁分析或甚至光電發(fā)射攻擊所讀的數(shù)據(jù)字節(jié)的漢明權(quán)重信息���。
[0013]如果假設(shè)漢明權(quán)重與功率消耗之間存在完美的對(duì)應(yīng)關(guān)系,則對(duì)于8比特寬的存儲(chǔ)器接口�,數(shù)據(jù)泄漏理論上將高達(dá)約每字節(jié)2.54比特,S卩���,約30%�����。盡管實(shí)際上��,該對(duì)應(yīng)關(guān)系遠(yuǎn)不完美����,并且因此信息泄漏小得多,但是仍需要減少基于PUF的存儲(chǔ)器的存儲(chǔ)器接口中的側(cè)信道泄漏�。理論上隨著存儲(chǔ)器接口變得更寬每比特最大泄漏急劇下降。例如�,如果存儲(chǔ)器接口增加到16比特,則每比特的理論泄漏幾乎減半�。然而,較大的存儲(chǔ)器接口成本較高并且吸取更多功率�,阻礙了它們?cè)谀承┉h(huán)境下的使用。
[0014]光電發(fā)射攻擊利用可在集成電路中狀態(tài)改變時(shí)發(fā)射的少量光子形成的光學(xué)側(cè)信道��。
[0015]提供一種用于生成密碼密鑰的電子系統(tǒng)����,所述系統(tǒng)包括:被用作物理不可克隆功能的存儲(chǔ)器,該存儲(chǔ)器是可寫的�、易失的并且被配置成在該存儲(chǔ)器每次上電時(shí),該存儲(chǔ)器安置(settle into)取決于該存儲(chǔ)器的至少部分隨機(jī)物理特性的存儲(chǔ)器內(nèi)容����,該存儲(chǔ)器是通過存儲(chǔ)器接口可訪問的;以及密鑰導(dǎo)出單元����,其被配置成從該存儲(chǔ)器安置的存儲(chǔ)器內(nèi)容中導(dǎo)出所述密碼密鑰。
[0016]該用于生成密碼密鑰的電子系統(tǒng)還包括存儲(chǔ)器讀出單元�����,該存儲(chǔ)器讀出單元通過存儲(chǔ)器接口連接到該存儲(chǔ)器����,并連接到該密鑰導(dǎo)出單元,該存儲(chǔ)器讀出單元包括地址加擾器�����,用于經(jīng)該存儲(chǔ)器接口按加擾的順序檢索該存儲(chǔ)器內(nèi)容����。
[0017]因?yàn)樵摯鎯?chǔ)器內(nèi)容是經(jīng)存儲(chǔ)器接口以加擾的順序轉(zhuǎn)移的,因此減少了側(cè)信道泄漏����。盡管數(shù)據(jù)字本身的漢明權(quán)重仍被泄漏����,但是失去了漢明權(quán)重與存儲(chǔ)器內(nèi)容的特定數(shù)據(jù)字之間的對(duì)應(yīng)關(guān)系��。如果與組成該存儲(chǔ)器內(nèi)容的個(gè)體數(shù)據(jù)字的大小相比該存儲(chǔ)器內(nèi)容的數(shù)據(jù)字是大的��,則側(cè)信道泄漏減少的多���。這是由于在這種情況下測(cè)量的漢明權(quán)重可屬于許多可能的數(shù)據(jù)字����。這是尤其方便的���,原因在于對(duì)于小數(shù)據(jù)字(8比特以及更少比特)來說可能的泄漏更大�����。據(jù)估計(jì)�����,1024比特的存儲(chǔ)器內(nèi)容或更多比特的存儲(chǔ)器內(nèi)容的側(cè)信道泄漏是可忽略的����。
[0018]注意到,許多試圖減少從依賴漢明權(quán)重的功率差泄漏的信息量的對(duì)策是不適用的�。例如���,所謂的恒定權(quán)重(constant-weight)代碼已經(jīng)被提出作為對(duì)策�。在恒定權(quán)重代碼中����,所有的敏感數(shù)據(jù)被編碼在具有固定漢明權(quán)重(通常等于數(shù)據(jù)字比特大小的一半)的數(shù)據(jù)字中。盡管此對(duì)策減少了依賴漢明權(quán)重的功率差(在例如存儲(chǔ)在安全存儲(chǔ)器中的密鑰)�����,但是它不適用于基于PUF的存儲(chǔ)器�。確定存儲(chǔ)器內(nèi)容的物理特性是隨機(jī)的,即�����,不能夠規(guī)定用于存儲(chǔ)器內(nèi)容的特定編碼類型��。
[0019]用于生成密碼密鑰的電子系統(tǒng)可被包含在移動(dòng)計(jì)算設(shè)備(諸如智能卡)�����、移動(dòng)通信設(shè)備(諸如移動(dòng)電話、平板等)中����。從存儲(chǔ)器內(nèi)容導(dǎo)出的密鑰可用在詢問響應(yīng)協(xié)議中,在該詢問響應(yīng)協(xié)議中���,該系統(tǒng)證實(shí)擁有該密鑰���。該密鑰可用于例如加密的存儲(chǔ)或通信中的機(jī)密性保護(hù)。該導(dǎo)出的密鑰可以是對(duì)稱密鑰��,但是甚至可以是非對(duì)稱公共/私有的密鑰對(duì)����,例如,通過將該密鑰用作找到非對(duì)稱密鑰的種子��。
[0020]用于生成密碼密鑰的電子系統(tǒng)可被包含在集成電路中�。例如,該集成電路可以是ASSP���,S卩�����,實(shí)施適用于廣闊市場(chǎng)的特定功能的專用集成電路�����。ASSP例如用于實(shí)施音頻/視頻編解碼��。通過用本文中所描述的用于生成密碼密鑰的電子系統(tǒng)生成密碼密鑰來改進(jìn)使用密碼密鑰、支持密碼功能的ASSP的安全性�����。
[0021]例如��,該集成電路可以是DSP���。這將改進(jìn)使用例如用PUF生成的密鑰或它的導(dǎo)出物進(jìn)行加密的應(yīng)用;例如�,保護(hù)流內(nèi)容(streaming content)同時(shí)保持密鑰安全。
[0022]PUF生成的密鑰可被用作用于認(rèn)證和/或用于建立安全通信信道的信任根�����。建立安全通信信道例如對(duì)于包括該用于生成密碼密鑰的電子系統(tǒng)的NFC芯片是重要的�����。
[0023]該存儲(chǔ)器被用作物理不可克隆功能��。該存儲(chǔ)器可包括多個(gè)可被配置成兩個(gè)穩(wěn)定狀態(tài)的二進(jìn)制存儲(chǔ)元件�����。在啟動(dòng)時(shí)��,每個(gè)二進(jìn)制存儲(chǔ)元件安置處于這兩個(gè)移動(dòng)狀態(tài)中的一個(gè)。它安置處于哪個(gè)狀態(tài)主要由存儲(chǔ)元件的精確的制造(例如��,摻雜水平)決定��,盡管元件安置處于的狀態(tài)也受偶然波動(dòng)影響���。例如,該存儲(chǔ)器可包括多個(gè)觸發(fā)器���,尤其是D型觸發(fā)器����,尤其該存儲(chǔ)器可以是SRAM存儲(chǔ)器。該存儲(chǔ)器的上電內(nèi)容受到噪聲和擾動(dòng)的影響����。一些FPGA包括可被用作作為物理不可克隆功能的存儲(chǔ)器使用的未初始化的SRAM塊。
[0024]該存儲(chǔ)器接口可包括地址信道和數(shù)據(jù)信道���。通過加擾(例如���,在將存儲(chǔ)器地址放在地址信道之前加擾所述存儲(chǔ)器地址加擾)可實(shí)現(xiàn)對(duì)存儲(chǔ)器的加擾的訪問。在這種情況下���,通過選擇不同的密鑰可獲得不同的加擾順序。優(yōu)選地����,加擾順序是攻擊者不知道的(即,機(jī)密)���,更優(yōu)選地���,該加擾順序?qū)τ谠O(shè)備是唯一的���,例如,在制造時(shí)選擇的�,更優(yōu)選地,由該系統(tǒng)本身經(jīng)常改變?cè)摷訑_順序���,甚至更優(yōu)選地���,該加擾順序是在存儲(chǔ)器讀出單元啟動(dòng)時(shí)至少部分地隨機(jī)確定的。
[0025]功率分析����、電磁分析和光電發(fā)射攻擊通常需要許多重復(fù)測(cè)量(跟蹤)以得到良好的信噪比。然后對(duì)重復(fù)的測(cè)量執(zhí)行統(tǒng)計(jì)分析��。通過使讀出順序隨機(jī)化�����,或者甚至有規(guī)律地改變讀出順序���,阻礙了此分析。
[0026]該密鑰導(dǎo)出單元被配置成從存儲(chǔ)器安置的存儲(chǔ)器內(nèi)容中導(dǎo)出密碼密鑰�。該導(dǎo)出單元將噪聲從存儲(chǔ)器內(nèi)容中移除��。例如�,該密鑰導(dǎo)出單元包括:非易失輔助數(shù)據(jù)存儲(chǔ)器����,該輔助數(shù)據(jù)存儲(chǔ)器存儲(chǔ)為用作物理不可克隆功能的存儲(chǔ)器構(gòu)造的輔助數(shù)據(jù);組合器��,用于建立可校正的比特串����,該可校正的比特串位于誤差校正代碼的可校正的鄰域中,該組合器被配置成從輔助數(shù)據(jù)存儲(chǔ)器檢索輔助數(shù)據(jù)并且將檢索的輔助數(shù)據(jù)與存儲(chǔ)器安置的存儲(chǔ)器內(nèi)容進(jìn)行組合��;以及誤差校正器�,其被配置成使用誤差校正算法從可校正的比特串建立誤差校正代碼的代碼字。
[0027]該輔助數(shù)據(jù)被構(gòu)造用于存儲(chǔ)器的一個(gè)特定的物理實(shí)例�����,原因在于不同存儲(chǔ)器芯片的存儲(chǔ)器啟動(dòng)內(nèi)容非常不同�����。如果按