借助于物理不可克隆函數創(chuàng)建從加密密鑰中推導的密鑰的制作方法
【技術領域】
[0001]本發(fā)明涉及用于借助于至少一個物理不可克隆函數創(chuàng)建從加密密鑰中推導的密鑰的方法和設備。
【背景技術】
[0002]對于執(zhí)行密碼方法來說需要密碼密鑰。在此，密碼密鑰例如在對稱加密方法中使用，以便加密兩個設備之間的通信。密碼密鑰同樣在鑒權方法中使用。例如產生、分配和存儲密碼密鑰屬于密碼密鑰的密鑰管理。此外，對于大量的應用來說需要從一個密碼密鑰中推導出多個密鑰，因為在設備通信中給不同的設備例如分配不同的密鑰。
[0003]已知密碼密鑰推導函數，所謂的Key Derivat1n Funct1n (密鑰推導函數，簡稱KDF)。該密鑰推導函數確定性地根據輸入密鑰和推導參數確定推導的密鑰。為此需要以下密碼算法，這些算法保證了對所推導的密鑰提出的要求。
[0004]已知使用用于確定密碼密鑰的物理不可克隆函數，所謂的Physical UnclonableFunct1n (物理不可克隆函數，下面簡稱PUF)。在此，該PUF被施加請求值(也稱挑戰(zhàn)值或下稱挑戰(zhàn))并且從應答值(在下面也稱為響應值或響應)借助于密鑰提取函數來產生密碼密鑰。在響應經受的統(tǒng)計波動的情況下也可以通過錯誤糾正方法借助于所謂的輔助數據來明確地產生密鑰。只要例如在其上實現PUF的電路不被毀壞，則一直如此可靠地產生相同的密鑰。

【發(fā)明內容】

[0005]本發(fā)明的所基于的任務是提供以下方法和設備，所述方法和設備使得從密碼密鑰中推導出密鑰的簡化的密鑰推導成為可能。
[0006]該任務通過根據在獨立權利要求中說明的特征的方法和設備來解決。有利的實施方式和改進方案在從屬權利要求中說明。
[0007]下面提到的優(yōu)點不必一定通過獨立權利要求的主題來實現。更確切地說，也可以涉及僅僅通過各個實施方式或改進方案實現的優(yōu)點。
[0008]根據本發(fā)明，用于創(chuàng)建從密碼密鑰中推導的密鑰的方法具有以下步驟:給密碼密鑰和至少一個推導參數分配至少一個請求值。在電路單元上借助于至少一個物理不可克隆函數根據各至少一個請求值來產生應答值。從該至少一個應答值中推導所推導的密鑰。
[0009]物理不可克隆函數尤其理解為所謂的Physical Unclonable Funct1n (簡稱PUF)，該物理不可克隆函數在傳送請求值(下稱挑戰(zhàn)值)時產生應答值(下稱響應值)ο PUF從現有技術中以不同的實施方式已知并且根據固有物理特性可靠地識別對象。諸如半導體電路的物體的物理特性在此作為單獨的指紋來使用。通過物理特性定義PUF根據挑戰(zhàn)值提供屬于該物體的響應值。
[0010]密碼密鑰理解為以下密鑰，該密鑰已經存在于密鑰推導方法的輸出情形中并且用作原始密鑰或主密鑰，以便產生多個其它密鑰。
[0011]在本申請中，密碼密鑰此外理解為以下密鑰，該密鑰滿足密鑰在其中使用的加密方法的要求，諸如足夠的密鑰長度。
[0012]推導的密鑰理解為以下密鑰，該密鑰從現有密碼密鑰一一例如特別安全地存放在設備上的原始密鑰或可配置或可讀入的原始密鑰一一中生成。推導的密鑰也受到關于根據應用情況變化的密碼安全方面的要求。
[0013]借助于所描述的方法來提供借助于PUF個別化的密鑰推導函數。密鑰推導的計算結果取決于在哪種硬件(也即例如在哪種芯片上)上實施用于密鑰推導的方法。
[0014]與從現有技術中已知的方法不同，所述方法能夠以低電路耗費在硬件中實現，因為不需要密碼算法。
[0015]所推導的密鑰可以作為用于密碼保護的數據通信一一諸如根據IEEE MAC安全標準(MACsec IEEE802.lae)、根據互聯網協議安全(IPsec)或根據傳輸層安全(TLS)——的會話密鑰來使用。所推導的密鑰還可以用于為了復制保護目的來解密軟件模塊或者用于檢查軟件模塊或投影數據的密碼檢查和。密碼密鑰還可以用于數據載體或數據載體的一部分(例如分區(qū)、目錄或各個文件)的加密和解密。所推導的密鑰可以用于諸如DES、AES、MD5、SHA-256的密碼算法，但是也可以用作偽隨機數生成器或移位寄存器裝置的密鑰參數。利用這種偽隨機數生成器或這種移位寄存器裝置可以產生在例如無線電傳輸路段的調制方法的情況下使用的噪聲信號或擴展信號。這具有如下優(yōu)點:在諸如物理傳感器或RFID標簽的極端受限的環(huán)境中(在該環(huán)境中不能轉化常規(guī)的密碼算法)能夠實現受保護的信息傳輸。
[0016]通過所推導的密鑰與推導參數的關聯來生成與目標綁定的密鑰，該密鑰的目標能夠通過推導參數控制。
[0017]目標的概念在本申請中理解為以下信息，所推導的密鑰通過密鑰推導方法與該信息固定地關聯。如果所推導的密鑰例如出于鑒權原因被使用，則所述密鑰僅僅在如下情況下是有效的，即所推導的密鑰的在密鑰推導中所使用的目標與所述目標(該目標也被傳送給鑒權實體或分配給被鑒權的實體)一致。
[0018]因此提供以下方法，該方法一方面實現以硬件表征的方式根據該硬件(在該硬件上生成所推導的密鑰)生成所推導的密鑰。同時可以借助于推導參數利用在硬件的電路單元上實現的PUF來產生不同的密鑰。因此，提供根據電路單元來生成密鑰的密鑰復制方法，所述電路單元不能在第二電路單元上復制。
[0019]根據一種改進方案，給密碼密鑰和至少一個推導參數分配至少兩個請求值。
[0020]因此，基于在必要時薄弱的PUF—一該PUF在單個問詢的情況下借助于請求值不可靠地使用可用的密鑰空間，確定在密碼方面強的密鑰。
[0021]通過分配至少兩個請求值來產生請求值的擴展的值范圍，使得以高概率針對可確定的推導參數來生成所屬的一次性所推導的密鑰。
[0022]例如可以針對第一推導參數通過遞增第一請求值來分配第二請求值。還可以將第一請求值與例如二進制編碼的計數值連結(Konkatenieren )。
[0023]根據另一改進方案，根據至少兩個請求值分別產生至少兩個應答值之一。
[0024]物理不可克隆函數先后被用請求值施加并且每個請求值產生一個應答值。
[0025]根據另一改進方案，在電路單元上兩個或更多物理不可克隆函數分別被用至少一個請求值施加并且分別產生取決于至少一個請求值的應答值。
[0026]根據一個改進方案，從至少兩個應答值中推導所推導的密鑰。
[0027]在此，例如從至少兩個應答值中產生輸入值，該輸入值通過連結至少兩個應答值來形成。根據輸入值然后借助于密鑰提取方法來創(chuàng)建所推導的密鑰。
[0028]輸入值還可以針對密鑰提取通過至少兩個請求值的異或關聯來確定。
[0029]對于至少兩個應答值來說首先還分別能夠計算前密鑰(VorschlUssel)，其中針對至少兩個應答值中的每個執(zhí)行密鑰提取。所推導的密鑰于是根據前密鑰來確定，例如作為前密鑰的連結、作為前密鑰的異或關聯或借助于哈希函數。
[0030]根據另一改進方案，密碼密鑰借助于至少一個物理不可克隆函數來創(chuàng)建。
[0031]因此，密碼密鑰可以借助于至少一個存在于電路單元上的物理不可克隆函數來創(chuàng)建。這最小化了密鑰推導方法中的計算以及硬件耗費。也不需要密碼算法用于計算密碼密鑰。例如將相同的PUF用于創(chuàng)建密碼密鑰以及用于推導所推導的密鑰。因此不必以特別高的安全要求來存儲主密鑰，因為具有PUF的電路單元表示在嘗試讀出密鑰的情況下被毀壞的密鑰存儲器。
[0032]根據一種實施方式，將電路單元構造為集成半導體電路單元。
[0033]優(yōu)選涉及模擬集成半導體電路單元，涉及所謂的具有模擬和數字電路單元的混合信號集成電路單元，涉及數字集成半導體電路單元(Applicat1n Specific IntegratedCircuit，專用集成電路，簡稱ASIC)或者涉及可編程集成半導體電路單元(FieldProgrammable Gate Array (現場可編程門陣列，簡稱 FPGA)、Central Processing Unit (中央處理單元，簡稱CPU)、System on Chip (片上系統(tǒng)))。這具有以下優(yōu)點，這種集成電路單元是價格便宜的以及大量可用的并且具有緊湊的尺寸。
[0034]根據一種實施方式，所述至少一個物理不可克隆函數被構造為延遲PUF、仲裁PUF、SRAM-PUF、環(huán)振蕩器PUF、雙穩(wěn)環(huán)PUF、觸發(fā)器PUF、短時脈沖(Glitch) PUF、蜂窩非線性網絡PUF或者蝴蝶PUF。因此可以根據邊界條件一一諸如可用的電路面、集成半導體電路單元的物理實現、對電流消耗或運行時間或所要求的安全水平的要求一一來選擇合適的PUF變型。
[0035]根據一種有利的改進方案，推導參數由至少一個確定目標的參數形成。
[0036]因此提供以下方法，在該方法中給所推導的密鑰分配專門的使用目標。所推導的密鑰于是例如可以在設備的不同通信伙伴中用于專門的通信。針對每個使用目標推導不同的密鑰。這具有以下優(yōu)點，密鑰對于確定的使用目標來說是有效的并且同時對于與確定的使用目標不同的使用目標來說不是有效的。由此減少濫用危險。
[0037]根據一種有利的實施方式，確定目標的參數從下面的參數之一中選擇:網絡地址、節(jié)點標識符、接口標識符、應用的標識符、數據包的內容、隨機值、計數值、固定地分配給使用目標的字符串或比特序列、軟件模塊或固件鏡像的版本信息、中央單元的序列號、來自環(huán)境的上下文信息的參數或者數據塊或配置參數的檢驗和。
[0038]因此，如果例如對于多個應用來說必須提供多個不同的密鑰，則簡化密鑰管理。<