本公開內(nèi)容一般地涉及密碼學(xué)領(lǐng)域，并且具體地涉及完整性保護(hù)。

背景技術(shù)：

1、基于格的密碼方案kyber[abd+21]和dilithium[ldk+21]兩者都由nist出于標(biāo)準(zhǔn)化目的而選擇，kyber[abd+21]和dilithium[ldk+21]使用了大隨機(jī)矩陣。該矩陣專用于每個(gè)密鑰對(duì)，其在密鑰生成期間被定義并且被包括在公鑰和私鑰兩者中。這適用于kyber和dilithium。

2、為了應(yīng)對(duì)有限的存儲(chǔ)空間，僅存儲(chǔ)矩陣的一部分：生成并存儲(chǔ)隨機(jī)種子ρ作為公鑰和私鑰的一部分。然后，在需要時(shí)以確定性的方式根據(jù)該種子ρ(重新)編譯矩陣。更詳細(xì)地，種子ρ用于饋入偽隨機(jī)數(shù)生成器(prng)以生成隨機(jī)比特串，然后對(duì)該隨機(jī)比特串執(zhí)行用于根據(jù)期望的輸出格式導(dǎo)出值(即，范圍[0，q-1]內(nèi)的系數(shù))的采樣算法。kyber和dilithium使用shake作為prng。

3、由于種子ρ是公共的(即，公鑰的一部分)，因此重新編譯的矩陣可能不必被保護(hù)以防止側(cè)信道攻擊。然而，仍然存在攻擊可以將故障注入到矩陣中的問題，該問題需要確保矩陣被正確編譯的措施。本文所解決的另一問題是找到有效的方法來提供驗(yàn)證長(zhǎng)比特串的完整性的手段。

技術(shù)實(shí)現(xiàn)思路

1、本文中提出的示例尤其可以基于以下解決方案中的至少一種?？梢岳靡韵绿卣鞯慕M合來達(dá)到期望的結(jié)果。該方法的特征可以與設(shè)備、裝置或系統(tǒng)的任何特征組合，反之亦然。

2、提出了一種用于基于種子生成比特序列的方法，

3、-?其中，使用生成器來基于種子生成第一比特集，

4、-?其中，使用生成器來生成第二比特集，其中，第二比特集基于第一比特集或基于第一比特集的一部分，

5、-其中，比特序列包括第一比特集和第二比特集。

6、該方法使得能夠通過重新計(jì)算第二比特集來驗(yàn)證比特序列的完整性。這樣的驗(yàn)證可以用于確認(rèn)生成器的完整性，因?yàn)檫@樣的驗(yàn)證尤其可以檢測(cè)(注入)故障。

7、注意，“基于x”并不局限于僅涉及x；相反，“基于x”意指其“也基于x”，即，基于x和其他輸入或者基于x和中間結(jié)果。例如，第一比特集基于種子，其中，第一比特集可以在比特的一部分中被確定，其中，比特的每個(gè)后續(xù)部分也基于種子和比特的(例如，所有)先前部分。因此，第二比特集基于第一比特集(即，其所有部分)和種子。

8、還應(yīng)指出，生成器通?？梢苑Q為隨機(jī)數(shù)生成器或偽隨機(jī)數(shù)生成器。在本文中使用的上下文中，生成的數(shù)字的隨機(jī)性是否是真正的隨機(jī)性并不是決定性的，數(shù)字的偽隨機(jī)性甚至與確定性計(jì)算的數(shù)字相關(guān)。所生成的數(shù)字可以特別地至少在某種程度上看起來是任意的。在這方面，對(duì)熵的級(jí)別沒有特別的要求。

9、有利地，本文中描述的方法可以用于根據(jù)任何種子生成或重新生成比特序列的情況，該比特序列尤其可以是至少部分隨機(jī)的比特序列。

10、種子可以包括若干比特，而比特序列可以包括(基本上)比種子更多的比特。

11、可以在連續(xù)的處理步驟中生成比特，其中，每個(gè)后續(xù)步驟基于前一步驟的結(jié)果。在示例中，可以在基于第一比特集的(至少)一個(gè)后續(xù)步驟中生成第二比特集。作為替選，第二比特集可以基于由先前步驟產(chǎn)生的第一比特集的一部分，而第一比特集的剩余部分和第二比特集是最近的(最新的)處理步驟的結(jié)果。

12、根據(jù)實(shí)施方式，生成器循環(huán)地操作，其中，每個(gè)循環(huán)取決于前一循環(huán)并且利用函數(shù)f。

13、因此，生成器可以操作成包括若干循環(huán)(即，處理步驟)的狀態(tài)機(jī)，其中，每個(gè)循環(huán)基于前一循環(huán)的計(jì)算。在吸收階段處理種子。第一比特集和第二比特集是在密碼海綿結(jié)構(gòu)的擠出階段中被確定的。

14、根據(jù)實(shí)施方式，生成器是偽隨機(jī)數(shù)生成器prng，偽隨機(jī)數(shù)生成器prng利用吸收種子的吸收階段和確定第一比特集和第二比特集的擠出階段。

15、根據(jù)實(shí)施方式，使用shake作為prng。

16、根據(jù)實(shí)施方式，第二比特集是用于驗(yàn)證比特序列的校驗(yàn)和比特。

17、因此，校驗(yàn)和比特可以用于驗(yàn)證生成器的完整性。該驗(yàn)證可以在解封裝期間(在kyber的情況下)或者在簽名期間(在dilithium的情況下)完成。

18、根據(jù)實(shí)施方式，通過基于種子重新計(jì)算第二比特集并將這些重新計(jì)算的第二比特集與校驗(yàn)和比特進(jìn)行比較，來驗(yàn)證比特序列。

19、根據(jù)實(shí)施方式，第二比特集是在密鑰生成期間被計(jì)算的，并且與密鑰一起被存儲(chǔ)。

20、根據(jù)實(shí)施方式，該方法在基于格的密碼方法的背景下使用。

21、根據(jù)實(shí)施方式，確定比特序列以編譯用于密鑰對(duì)的矩陣，該矩陣尤其用于kyber或dilithium。

22、根據(jù)實(shí)施方式，該方法至少部分地針對(duì)以下之一實(shí)施：

23、-安全設(shè)備，

24、-安全云，

25、-安全服務(wù)，

26、-集成電路，

27、-硬件安全模塊，

28、-可信平臺(tái)模塊，

29、-密碼單元，

30、-fpga，

31、-處理單元，

32、-控制器，

33、-智能卡。

34、此外，提出了一種用于基于種子生成比特序列的設(shè)備，其中，該設(shè)備被布置成執(zhí)行以下步驟：

35、-基于種子生成第一比特集，

36、-生成第二比特集，其中，第二比特集基于第一比特集或者基于第一個(gè)比特集的一部分，其中，比特序列包括第一比特集和第二比特集。

37、設(shè)備可以是用于實(shí)施這樣的步驟的任何處理單元，或者該設(shè)備可以利用用于實(shí)施這樣的步驟的任何處理單元。該處理單元可以包括被布置成執(zhí)行本文中描述的方法的各步驟的至少一個(gè)裝置，特別地若干裝置。裝置可以在邏輯上或物理上分離；特別地，若干邏輯上獨(dú)立的裝置可以被組合在至少一個(gè)物理單元中。處理單元可以包括至少一個(gè)處理器和/或微控制器(mcu)。

38、根據(jù)實(shí)施方式，該設(shè)備是以下之一，或者該設(shè)備包括以下中至少一個(gè)：

39、-安全設(shè)備，

40、-安全云，

41、-安全服務(wù)，

42、-集成電路，

43、-硬件安全模塊，

44、-可信平臺(tái)模塊，

45、-密碼單元，

46、-fpga，

47、-處理單元，

48、-控制器，

49、-智能卡。

50、此外，提供了一種可加載到數(shù)字處理設(shè)備的存儲(chǔ)器中的計(jì)算機(jī)程序產(chǎn)品，其包括用于執(zhí)行本文中描述的方法的各步驟的軟件代碼部分。

技術(shù)特征：

1.一種用于基于種子生成比特序列的方法，

2.根據(jù)權(quán)利要求1所述的方法，其中，所述生成器循環(huán)地操作，其中，每個(gè)循環(huán)取決于前一個(gè)循環(huán)并且利用函數(shù)f。

3.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法，其中，所述生成器是偽隨機(jī)數(shù)生成器prng，所述prng利用吸收所述種子的吸收階段和確定所述第一比特集和所述第二比特集的擠出階段。

4.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法，其中，使用shake作為所述prng。

5.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法，其中，所述第二比特集是用于驗(yàn)證所述比特序列的校驗(yàn)和比特。

6.根據(jù)權(quán)利要求5所述的方法，其中，通過基于所述種子重新計(jì)算所述第二比特集并且將重新計(jì)算的第二比特集與所述校驗(yàn)和比特進(jìn)行比較，來驗(yàn)證所述比特序列。

7.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法，其中，所述第二比特集是在密鑰生成期間被計(jì)算的，并且與所述密鑰一起被存儲(chǔ)。

8.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法，其中，所述方法在基于格的密碼方法的背景下使用。

9.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法，其中，確定所述比特序列以編譯用于密鑰對(duì)的矩陣。

10.根據(jù)權(quán)利要求9所述的方法，其中，所述矩陣用于kyber或dilithium。

11.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法，其中，所述方法至少部分地在以下之一上實(shí)施：

12.一種用于基于種子生成比特序列的設(shè)備，其中，所述設(shè)備被布置成執(zhí)行以下步驟：

13.根據(jù)權(quán)利要求12所述的設(shè)備，其中，所述設(shè)備是以下中之一或者所述設(shè)備包括以下中的至少一個(gè)：

14.一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品能夠直接加載到數(shù)字處理設(shè)備的存儲(chǔ)器中，并且包括用于執(zhí)行根據(jù)權(quán)利要求1至11中任一項(xiàng)所述的方法的各步驟的軟件代碼部分。

技術(shù)總結(jié)
公開了一種用于基于種子生成比特序列的方法和設(shè)備以及計(jì)算機(jī)程序產(chǎn)品。生成器用于基于種子生成第一比特集，其中，生成器用于生成第二比特集，其中，第二比特集基于第一比特集或者基于第一比特集的一部分，并且其中，比特序列包括第一比特集和第二比特集。

技術(shù)研發(fā)人員：彼得·佩斯?fàn)?br/>受保護(hù)的技術(shù)使用者：英飛凌科技股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/11/26