用於形成籤名的裝置和方法

2023-10-10 11:34:54

專利名稱：用於形成籤名的裝置和方法
技術領域：
本發明涉及一種用於從輸入信號形成籤名的裝置。此外，本發明 還涉及一種用於從輸入信號形成籤名的方法。
背景技術：
例如在密碼學方法中，上述類型的裝置和方法被用於從可由用戶預先給定的輸入信號形成籤名。例如根據AES (高級加密標準)的現代密碼學方法由於相對較大的密鑰長度和該方法的複雜度在目前的計算技術情況下通常足夠好地防止「蠻力」攻擊。因此，對密碼學方法的攻擊目前正日益增長地針對通常通過某些電子電路實現的特定實施。例如，在所謂的側通道攻擊範圍中，攻擊者嘗試通過實現密碼學方法的裝置的電流消耗來獲取信息，通過該信息可推斷由該裝置使用的算法或者密鑰。類似的推斷也可以從由該裝置輻射的電磁場來獲得。在亦被稱為差分功率分析(DPA)的攻擊方法中，在儘可能多地不同的輸入數據中確定密碼學方法的子函數的取決於操作數的電流變化過程，並且在使用受攻擊的密碼學算法的模型情況下使該方法經受相關分析的不同密鑰。

發明內容
因此，本發明的任務在於，改善開頭部分所提及類型的裝置和方法，以使得尤其基於差分功率分析方法的攻擊方法難以分析密碼學算法。根據本發明，在開頭部分所提及類型的裝置的情況下通過以下方式來解決該任務設置多個分別具有狀態自動機的變換元件，能將輸入信號和/或取決於該輸入信號的信號分別在輸入側輸送給這些變換元件，所有狀態自動機是相同類型的且如此構造，尤其可初始化，以使得每個狀態自動機始終分別具有不同於所有其他狀態自動機的另一狀態，並且籤名可根據至少一個狀態自動機的狀態信息來形成。通過根據本發明設置多個分別具有狀態自動機的變換元件有利地確保，根據本發明的裝置與傳統配置相比不會僅導致如在傳統地將單個變換元件用於形成籤名時所給出的那樣的電磁波輻射或者電流消耗或功率消耗的時間曲線。由此使得基於統計分析的攻擊方法變得困難，因為根據本發明設置的其他變換元件連同其相應的輻射或者關於電流消耗或功率消耗的附加時間曲線使得統計上重要的關於所實施算法的信息的獲取變得困難。特別有利地，在根據本發明的裝置的一個實施方式中提出，變換元件的數目對應於狀態自動機的最大可能不同狀態的數目。即，根據狀態自動機的實施，選擇待使用的變換元件的數目。由此有利地確保，根據本發明的裝置的每個狀態自動機在特定的觀察時刻具有不同於所有其他狀態自動機的另一狀態，並且此外所有最大可能的不同狀態在此觀察時刻實際上分別在根據本發明裝置的恰好一個變換元件中實現。這意味著，由外部進行的對根據本發明裝置的分析始終僅能得到所有最大可能的狀態被同時實現的結果，以使得基於統計分析的側通道攻擊、尤其是根據DPA原理的這些側通道攻擊完全不成功，而與攻擊次數和所使用的輸入數據的類型無關。在根據本發明的裝置的另一個優選實施方式中，可將輸入信號以可預先給定長度的數據字的形式並行地輸送給變換元件，並且籤名可被形成為表示多個變換元件的狀態自動機的狀態信息的數據字的級聯。「籤名形成」在本發明中不是指不可擦除意義下的密碼學籤名形成，而是更確切地在一般意義上來說是將籤名中由輸入信號表示的輸入數據變換成相應的輸出數據。這種一般的籤名形成可按本身已知的方式藉助具有多個輸入端的移位寄存器、MISR、多輸入移位寄存器進行。 為了確保通過根據本發明的變換元件來實現不同狀態的理論上最大可能的數目，所涉及的狀態自動機被構造成根據輸入信號從初態轉入到次態，從而對於任意的可預先給定的輸入信號分別具有明確的次態，其中尤其不存在在相同輸入信號下導致相同次態的兩個不同的初態。為了在形成籤名時提高靈活性，因此在根據本發明裝置的另一個有利的實施方式中提出，設置多組變換元件，其中可以分別將相同的輸入信號和/或取決於該輸入信號的相同信號輸送給同一組的所有變換元件。根據本發明將變換元件分成多個組有利地使得能夠形成聚集籤名，該聚集籤名由第一組變換元件的輸出信號分量和第二組變換元件的輸出信號分量組成，由此進一步使得用於籤名形成的算法的可追溯性變得困難。在將相同類型的狀態自動機既使用在第一組變換元件中又使用在第二組變換元件的情況下，可以有利地將輸入信號輸送給第一組變換元件並將經反相的輸入信號輸送給第二組變換元件，以便確保在不同的組中儘管有相同類型地構造的狀態自動機，仍能分別得到不同的狀態變化過程。替換地或補充地可以提出，屬於不同組的變換元件的狀態自動機彼此不是相同類型的。在根據本發明裝置的另一個非常有利的實施方式中提出，能夠分別用可預先給定的初始狀態來初始化至少一個、但是優選所有狀態自動機，由此尤其能夠確保不能同時通過兩個不同的狀態自動機實現理論上可能的狀態。在根據本發明裝置的另一個特別可靠的實施方式中，能將初始狀態存儲在秘密存儲器中並能為了初始化而傳送到一個或多個狀態自動機中。秘密的存儲器可例如通過以下方式來實現該存儲器完全集成在根據本發明的裝置中並且該存儲器的存在不能從外部識別出。為了生成用於籤名形成的分別個體的初態，根據另一個非常有利的本發明變型可以提出，在用初始狀態進行初始化之後首先對狀態自動機施加基於隨機的輸入信號，以使得後續的籤名形成(其中最終對該裝置施加期望的輸入信號)始終從另一隨機的初態開始。在根據本發明裝置的另一個非常有利的在其中不需要用於對狀態自動機初始化的秘密數據的實施方式中提出，分別用可預先給定的初始狀態來初始化所有的狀態自動機，其中每個狀態自動機是用另一個個別的初始狀態來初始化的。隨後，使狀態自動機的各個初始狀態彼此轉置，這尤其可以取決於隨機地和/或根據密鑰進行。在根據本發明裝置的另一個特別優選的實施方式中提出，該裝置至少部分地是以優選具有單片集成的電子元件和/或光學元件的電路裝置的形式實現的。
為了使由根據本發明的裝置輸出到周圍環境並由此輸出到潛在攻擊者的關於籤名形成的內部過程的信息最小化，因此按照一個非常有利的本發明變型可以提出，此類元件組和/或接觸此類元件組的實現變換元件或其狀態自動機的數據線路是相同類型地構造的，尤其是以與電路裝置對應的布局中的重複結構的形式構造的。特別優選地，在空間上儘可能緊密地彼此毗鄰地布置實現根據本發明狀態自動機的所有元件或者元件組，以便使通過對幹擾輻射的差分分析獲得信息變得困難。在根據本發明裝置的另一個非常有利的實施方式中提出，藉助優選具有多個輸入端的非線性反饋的移位寄存器來實現至少一個狀態自動機，但是優選所有狀態自動機。此類在英語中稱為「nonlinear multiple input shift register (非線性多輸入移位寄存器)」NLMISR的移位寄存器特別良好地適用於實現根據本發明地將輸入信號變換成對於籤名形成而言必需的輸出信息。NLMISR還特別合適用於 實現狀態自動機。本發明的一個特別優選的變型提出，NLMISR具有多個串聯的、優選被構造為觸發器的存儲元件，以及轉接單元，該轉接單元被構造成根據輸入信號來修改NLMISR的反饋支路，以便可通過NLMISR來實現對應於輸入信號的狀態的多項式。在這個本發明變型中，由NLMISR實現的狀態自動機的狀態信息通過存儲元件或觸發器的內容形成。例如,NLMISR可被構造成處理I位到4位寬的輸入信號並且選擇性地實現本原多項式X4 + X3 + I和X4 + X +1。此類NLMISR優選具有總共四個觸發器，以使得由NLMISR實現的狀態自動機的不同狀態的最大可能數目對應於24=16。在根據本發明裝置的另一個優選的實施方式中，NLMISR被構造成處理I位到3位寬的輸入信號並且選擇性地實現本原多項式X3 + X + I和X3 + X2 + I。根據本發明的用於形成籤名的裝置由於為每個狀態轉移設置了多個變換元件而精確地具有相同的電流消耗，從而得到與傳統配置相比顯著提升的抗DPA攻擊的穩健性。相反，在根據現有技術的所謂的「dual-rail (雙軌)」方法中，通過同時進行的「高-低」轉換來補償數字開關元件的低-高轉換。然而，此傳統方法不利地要求兩個所涉及的轉換的準確的平衡。此外，例如充電電晶體(CMOS中P溝道)的閾值電壓相對於放電電晶體(CMOS中N溝道)的技術波動會導致平衡被破壞。此問題在根據本發明的原理中不存在。在根據本發明裝置的一個優選實施中，其中尤其是還將連接所有不同元件組的數據線路對稱地構造並且因此在不同的經信號處理的分量之間僅有最小的時延，DPA攻擊的成功率不僅通過測量次數的提升來改善，因為根據本發明的裝置具有完全獨立於經信號處理的分量的內部狀態的電流消耗和電磁波輻射。作為本發明的任務的另一種解決方案，說明根據權利要求21的方法。根據本發明的方法提出，在輸入側分別將輸入信號和/或取決於該輸入信號的信號輸送給多個分別具有狀態自動機的變換元件，所有狀態自動機是相同類型的，並且優選被初始化，以使得每個狀態自動機始終分別具有不同於所有其他狀態自動機的另一狀態，並且根據至少一個狀態自動機的狀態信息來形成籤名。通過根據本發明地設置多個相同類型的變換元件和相應的狀態自動機，有利地使從根據本發明運行的裝置的電功率消耗或者從由該裝置發射的電磁波得到關於內部處理狀態的推斷的可能性大為降低。
特別有利地，使用與狀態自動機的最大可能的不同狀態一樣多的變換元件，以使得在根據本發明的裝置的每個處理周期中各個狀態機自動機分別具有一個可能的狀態，並且總體通過所有狀態自動機實現該處理周期中的每個可能狀態。在後一處理周期中，根據由每個狀態自動機實現的多項式和根據對於該狀態自動機存在的輸入數據，該狀態自動機改變其狀態，以使得根據本發明的裝置的每個狀態自動機又具有可能的狀態之一。結果，這導致在該後一處理周期中，所有理論上可能的狀態通過根據本發明的裝置的恰好一個狀態自動機實現，並且因此不能從電流消耗和/或功率消耗的觀察或者從根據本發明的裝置的幹擾輻射信號推斷出籤名形成範圍內的內部處理過程。本發明的其他有利的設計方案是從屬權利要求的主題。


從以下參照附圖示出本發明的不同實施例的描述中得到其他的優點、特徵和細節。在此，在權利要求和說明書中所提及的特徵可以分別各自獨立地或任意組合地對於本發明而言是重要的。在附圖中
圖I示出根據本發明的裝置的第一實施方式，
圖2、3、4分別示出根據本發明的具有多組變換元件的裝置的其他實施方式，
圖5a、5b分別示出圖I中的本發明裝置在初始化過程期間的不同運行狀態，
圖6a示出根據本發明的非線性反饋移位寄存器形式的狀態自動機的實現，
圖6b示出根據本發明的非線性反饋移位寄存器形式的狀態自動機的另一實現，
圖7示出經修改的用於容易地設置初始化狀態的非線性反饋移位寄存器，
圖8示意性地示出用於實現根據本發明的裝置的簡化電路布置，
圖9示出根據圖6a的非線性反饋移位寄存器的狀態轉換圖，
圖10a、10b示出根據本發明的分別具有用於實現狀態自動機的非線性反饋移位寄存器的變換元件，
圖10c、10d、IOeUOf示出用於與根據圖10a、IOb的變換元件一同使用的電路布置以及對應的運行參數的時間變化過程，
圖Ila示出根據本發明的具有5位狀態存儲器的、非線性反饋移位寄存器形式的狀態自動機的實現，
圖IlbUlc示出通過根據圖Ila的移位寄存器實現的線性反饋移位寄存器，
圖12示出根據圖11 a的非線性反饋移位寄存器的狀態轉換圖，
圖13示出根據本發明的具有3位狀態存儲器的、非線性反饋移位寄存器形式的狀態自動機的實現，以及
圖14示出根據圖13的非線性反饋移位寄存器的狀態轉換圖。
具體實施例方式圖I示意性地示出根據本發明的用於從輸入信號input形成籤名S的裝置100的第一實施方式。在此，輸入信號input以亦被稱為nibble (半字節)的半字節的形式輸送給裝置100。為此，如從圖I可見，相應地設置四條數據線路，它們與變換元件TE_0、TE_1、TE_2.....TE_15的相應輸入端連接。始終存在使用較少輸入線路的可能性。為清楚明了
的目的，在圖I中僅描繪了總共16個變換元件TE_0.....TE_15中的四個。根據本發明，數
據連接是如下實現的將相同的輸入數據input或者相同的輸入信號輸送給每個變換元件TE_0、…、TE_15。變換元件TE_0.....TE_15按以下更詳細描述的方式從輸送給其的輸入信號
input形成在此未詳細命名的輸出信號。根據本 發明，輸出信號例如在級聯意義下由多個變換元件TE_0、TE_15組成，以便獲得籤名S。因為在本示例中，每個變換元件TE_0、TE_1...生成4位寬的輸出信號(S卩，半字節)，因而通過所有16個變換元件的輸出信號合計得到具有總共64位的籤名S。根據本發明的變換元件TE_0.....TE_15分別具有狀態自動機ZA，該狀態自動機
ZA的狀態信息例如以可預先給定寬度的數字數據字的形式存儲。例如，狀態自動機ZA可具有4位存儲容量，以使得總共16個不同的狀態是可能的。根據本發明，變換元件TE_0.....TE_15的所有狀態自動機ZA是相同類型地構造
的。在本發明的意義下，相同類型意味著每個狀態自動機ZA-從相同的輸入信號input
和相同的初始化狀態出發——在下一處理周期中採用與另一相同類型的狀態自動機ZA相同的次態。根據本發明還提出，每個狀態自動機ZA始終分別具有不同於籤名裝置100的所有其他狀態自動機ZA的另一狀態。由此有利地使DPA攻擊變得困難，這些DPA攻擊根據對本發明裝置100的電流消耗和/或功率消耗的分析或者從本發明裝置100的幹擾輻射來嘗試推斷裝置100或各個變換元件TE_0.....TE_15的內部處理狀態。特別有利地，根據本發明設置的變換元件TE_0.....TE_15的數目對應於狀態自
動機ZA的最大可能不同狀態的數目，即在此為16。由此，在根據本發明的裝置100中，在狀態自動機ZA的恰好之一中始終(即，在每個處理周期中)存在每個理論上可能的狀態，以使得所有16個可能狀態的分別僅一個組合向外(S卩，相對於執行DPA攻擊的可能的攻擊者而目)是「可見的」。在儘管各個狀態自動機ZA分別按照預先給定的規則改變其狀態的後一處理周期中，又總共在16個狀態自動機ZA的每個狀態自動機中存在16個可能狀態中的恰好一個狀態，從而所有16個狀態又向外是同時「可見」的。這意味著，可能的攻擊者不能從在藉助電子元件實現根據本發明的裝置100時給
出的相應的電子輻射或者從裝置100的電功率消耗推斷出變換元件TE_0.....TE_15中的
內部信號處理的狀態，因為在所有組件的理想對稱設計情況下，電功率消耗始終恆定，並且所輻射的電磁場在相繼的處理周期之間的狀態轉換時分別不經歷顯著的變化。為了形成次態，除了例如與定義相繼的處理周期的時鐘信號同步地變化的輸入信號input之外，所涉及的狀態自動機ZA的相應的當前狀態也以本身已知的方式共同起作用。以下參照圖6a、6b說明對此的示例。這意味著，在每個處理周期之後，在變換元件TE_0、...的輸出端存在具有4位的輸出數據，該輸出數據是根據輸入數據input和所涉及的狀態自動機ZA的狀態信息形成的。所有狀態自動機ZA或者包括這些狀態自動機ZA的變換元件TE_0.....TE_15的
輸出信號的可以例如在級聯意義下執行的連結最終得到具有64位的籤名S。
在根據本發明的籤名裝置100的後一處理周期中，參與的變換元件TE_0、...、TE_15的輸出信號又相應地變化，從而隨後存在另一籤名S。儘管設置與所使用的狀態自動機ZA的不同狀態的最大可能數目對應的變換元件的這種數目是特別合適的，但是本發明的裝置100配備有較小數目的變換元件、例如總共僅配備有三個變換元件也是可能的。即使在這種情形中也已有利地使DPA攻擊變得困難，因為不同的信號或者總共三個變換元件的功率消耗重疊並且因此降低了能由攻擊者檢測的關於籤名裝置100中的信號處理的信號的重要性。如果希望具有不同於64位長度的籤名S，那麼可以例如僅分別使用存在的變換元件TE_0.....TE_15的輸出信號的子集。
圖2示出了根據本發明的籤名裝置的另一實施方式100_1，其中設置兩組變換元件G_0、G_1。每一組G_0、G_1具有總共16個不同的變換元件TE_0、 、TE_15或TE_16、 、TE_31，這些變換元件均是相同類型地構造的並且擁有相同類型地構造的狀態自動機。為了清楚明了未在圖2中描繪狀態自動機。根據圖2的第一組變換元件G_0實現與上述參照圖I解釋的原理相當的根據本發明的籤名形成。第二組變換元件6_1以相當的方式工作，然而並不將輸送給第一組G_0的變換元
件TE_0.....TE_15的常規輸入信號input作為輸入信號。屬於第二組G_1的變換元件
TE_17.....TE_31更確切地說將通過反相器101從常規的輸入信號input獲得的經反相的
輸入信號input』作為輸入信號。例如，形成輸入信號input的半字節中的每一位本身是通過反相器101反相的，以便形成經反相的半字節input』。通過圖2中說明的本發明變型有利地處理組G_0、G_1的彼此互補的或反相的輸入信號input、input』，從而相應地補償輸入信號input的變化。當輸入信號input本身不是已知的並且還應當對可能的攻擊者保密時，這種補償是特別有利的。通過根據圖2的籤名裝置100_1總共得到128位的最大籤名長度。圖3示出了根據本發明的籤名裝置的另一實施方式100_2，其中又設置兩組變換元件 G_0、G_1。與以上參照圖2描述的本發明變型不同，將相同的輸入信號input輸送給圖3中描繪的籤名裝置100_2的兩個組G_0、G_1。通過第二組G_1的變換元件TE_16、. . .、TE_31生成不同的輸出信號在此是通過以下方式來確保的屬於第二組G_1的變換元件的狀態自動機ZA』被構造成不同於第一組G_0的變換元件的狀態自動機ZA。通過參與的變換元件的所有輸出信號的組合，又有利地得到具有128位長度的籤名。圖4示出根據本發明的籤名裝置的另一實施方式100_3。在此實施方式中，將具有3位的數據字形式的輸入信號input_l輸送給在此僅具有8個變換元件而不是迄今16個變換元件的第二組變換元件G_l。狀態自動機ZA』生成具有同樣3位字寬的輸出信號。總共可以從參與的變換元件TE_0.....TE_23的輸出信號得到具有88位最大長度的籤名。與圖4中的描繪不同，第二組變換元件G_1的狀態自動機ZA』也可以被構造成與第一組G_0的狀態自動機ZA相同,然而提供不同的輸出信號，因為將與第一組G_0的第一輸入信號input_0不同的第二輸入信號input_l輸送給第二組G_1的狀態自動機。然而，由於第一組G_0的狀態自動機ZA在此包括四個存儲元件並且第二組G_1的狀態自動機ZA』僅包括三個存儲元件，因而不能實現第一組G_1中所有可能的初態，這可通過將多達8個其他的變換元件添加到第二組G_1加以改變。以下參照圖5a、5b、5c來描述根據本發明的籤名裝置100的初始化過程。在此情況下，從根據圖I的籤名裝置100的基本結構出發。對於籤名裝置100的初始化，在第一步驟中(參見圖5a)，用可預先給定的初始狀態init來初始化在此未詳細命名的變換單元的所有狀態自動機TA。特別有利地，在此情況下用與其餘狀態自動機ZA不同的個體初始狀態來初始化每個狀態自動機TA，這意味著用唯一的初始狀態來初始化根據圖5a的籤名裝置100的總共16個狀態自動機ZA中的每個狀態自動機ZA。 此個體初始狀態在此從秘密存儲器102調用並且在初始化期間傳送到狀態自動機ZA的狀態存儲器中。輸入信號input的狀態在上述步驟期間對於初始化而言不是決定性的，因此相應的信號流通過虛線來表示。同樣，在此時刻，在變換元件的輸出端處還未施加有意義的籤名值S。在第二步驟中，參見圖5b，對每個狀態自動機ZA施加基於隨機的輸入信號input_rnd。由此有利地確保，用於後續的籤名形成的每個隨機自動機ZA位於與例如在先前的籤名形成時或者直接在初始化之後呈現的初態不同的初態。這意味著，儘管秘密存儲器102包括用於狀態自動機的個體初始化的在籤名裝置100的壽命上恆定的初始狀態，但是對於籤名裝置100的每個操作周期，在使用基於隨機的輸入信號input_rnd的情況下從存儲的初始狀態init (圖5a)可以得到較新的特定於隨機的(zufal Isbestimmt)初態。可以為一個或多個處理周期對狀態自動機ZA施加基於隨機的輸入信號input_rnd。在這些處理周期期間，同樣尚不存在對應於特定的輸入數據input的有效籤名S。直至圖5c中所示的、對籤名裝置100施加常規的輸入信號input的運行狀態，才在變換元件的輸出端處存在由狀態自動機ZA生成的籤名S。圖6a示出非線性反饋移位寄存器200的簡化電路布置，該非線性反饋移位寄存器200具有能與輸入信號input的不同位連接的多個輸入端input
、input [I]、input [2]、input [3]。如從圖6a可見，被簡稱為NLMISR(非線性多輸入移位寄存器)的移位寄存器200具有多個串聯的優選被構造為觸發器的存儲元件204a、204b、204c、204d。存儲元件204a、204b、204c、204d以本身已知的方式通過異或元件202a、202b、202c、202d彼此連結，這些異或元件對輸送給其的輸入量執行模2加法。非線性反饋移位寄存器200具有有利地實現可變反饋支路的轉接單元210。根據輸入信號input
和存儲元件204d的狀態或輸出信號，轉接單元210修改移位寄存器200的反饋機制，從而選擇性地通過移位寄存器200來實現第一本原多項式或第二本原多項式。其他輸入信號input [I]、...、input [3]也可流入到轉接單元210中。特別優選地，非線性反饋移位寄存器200在此被構造成處理總共4位寬的輸入信號input (圖I),該輸入信號的位分量與輸入端input
、input [I ]、input [2]、input [3]對應。
在圖6a中描繪的轉接單元210的配置中，存儲元件204d的輸出信號和輸入信號input
對UND元件210c起作用，UND元件210c的輸出信號又對異或元件202b起作用。此外，輸入信號input
和存儲元件204d的經反相的輸出信號對實現「或」邏輯的功能塊210a起作用。如從圖6a可見，功能塊210a的輸出信號被引到異或元件202d上。存儲元件204d的經反相的輸出信號在此通過反相器210b獲得。基於轉接單元210的上述電路配置，非線性反饋移位寄存器200根據輸入信號input
選擇性地實現本原多項式X4 + X3 + I和X4 + x+1。由此有利地得到藉助移位寄存器200實現的狀態自動機的在圖9中示意性地描繪的狀態或狀態轉移。在圖9中通過相應地描繪的橢圓來表徵總 共16個不同的可能狀態Z0、ZU ,Z15。如果最低有效位(least significant bit，LSB)存儲在存儲元件204a中並且最高有效位(most significant bit, MSB)存儲在存儲元件204d中，那麼狀態的序號在此情況下對應於由移位寄存器200的存儲器204a.....204d表示的半字節的十進位表示。用虛線箭頭和用實線箭頭來表徵不同狀態之間的狀態轉移。在此，虛線箭頭說明由於為I的輸入信號input
的輸入信號值而得到的狀態轉移，而實線箭頭說明由於為0的輸入信號值而得到的狀態轉移。對於圖9中所示的狀態轉移，認為輸入信號input [I]=input[2] = input[3] = O。此外在圖9中，由於為0的輸入信號值而導致的從初態到次態的狀態轉移(替代於實線箭頭)的特徵還在於，表示初態和次態的橢圓部分重疊，其中圖9中的次態分別直接位於對應於該次態的初態的右下方。例如，如果輸入信號input
具有為0的值，那麼通過根據圖6a的非線性反饋移位寄存器200實現的狀態自動機從初態Zl轉到次態Z2。相反，如果輸入信號input
具有為I的值(參見從初態Zl出發指向另一次態Z6的虛線箭頭)，那麼狀態自動機從初態Zl轉到次態Z6。通過根據圖6a的非線性反饋移位寄存器200的配置有利地確保，根據輸入信號向次態的轉移恰好如此進行，即對於輸入信號的任意的固定佔用都佔據明確的次態，並且不存在兩個不同的、在輸入信號的相同佔用情況下導致相同次態的狀態。由根據圖6a的移位寄存器200實現的狀態自動機的在圖9中描繪的可能狀態中的每個狀態因此在恆定的輸入信號的情況下分別對於恆定的輸入信號具有恰好一個次態和恰好一個前態。由此，在與以上參照圖5a、5b、5c描述的初始化相組合的情況下有利地確保，籤名裝置100 (圖I)的每個狀態自動機在每個處理周期具有與所有其他狀態自動機ZA在相同的處理周期中的狀態不同的狀態。圖6b示出以特別的方式適用於執行根據本發明的方法的非線性反饋移位寄存器200_1的另一實施方式。不同於參照圖6a描述的方式，將輸入信號input
、input [I]、input [2]、input [3]輸送給圖6b中描繪的移位寄存器200_1。圖6a中說明的非線性反饋移位寄存器200可以例如用於實施具有以第一方式構造的狀態自動機的第一組變換元件G_0，而根據圖6b的非線性反饋移位寄存器200_1例如適用於構造第二組變換元件G_1的狀態自動機ZA』。圖7示出具有相對於圖6a、6b修改過的電路拓撲的非線性反饋移位寄存器200_2。圖7中描繪的非線性反饋移位寄存器200_2附加地具有功能塊206，該功能塊206在存儲元件204d的輸出信號out與控制信號shift之間實現NOR邏輯。由此可以根據控制信號shift的邏輯狀態來激活或禁用根據圖7的非線性反饋移位寄存器200_2的反饋。這在籤名裝置100或其狀態自動機ZA的初始化範圍中不應當使用存儲在秘密存儲器102 (圖5a)中的初始狀態時是特別有利的。更確切地說，通過控制信號shift的狀態的相應選擇和以下參照圖IOa更詳細描述的在環形存儲器的意義下對根據本發明的籤名裝置100的多個狀態自動機ZA的特殊接線，可以對這些狀態自動機之間的狀態值進行轉置，從而不必設置秘密存儲器102，這對製造成本而 言起積極作用。為此，圖IOa示出根據本發明的變換元件TE_1的電路布置，該變換元件TE_1具有被構造為根據圖7的非線性反饋移位寄存器200_2的狀態自動機。除了移位寄存器200_2之外，變換元件TE_1還具有輸入復用器220、功能塊230和輸出復用器240。所描繪的變換元件TE_1的配置允許變換元件TE_1連同相同類型地構造的其他變換元件TE_0、TE_2... 一起連接成環形移位寄存器，其中每個變換元件的輸入復用器220位於所觀察的變換元件TE_1的移位寄存器200_2與在環形結構中前部的變換元件TE_0的輸出復用器240之間。在使用以上參照圖7描述的控制信號shift的情況下，為所有變換元件禁用反饋機制，以使得每個處理周期均分別移位存儲在環形移位寄存器中的位，而不是在例如籤名形成的意義下進行修改。控制環形移位寄存器TE_0、TE_1、...的第n級的復用器220、240的位X應當在此如從圖IOa可見的那樣既取決於隨機位Z』又取決於密鑰的至少一位Git5所有Xi值是同時施加的並且分別對於四個處理周期而言保持恆定。位Xi分別決定所涉及的非線性反饋移位寄存器200_2是否是大移位寄存器環的組成部分，或者是否跳過該大移位寄存器環。根據Xi的值，按照以上描述的四個處理周期，在非線性移位寄存器200_2的四個存儲元件204a、204b、204c、204d (圖7)中或者存在先前的狀態值，或者存在移位寄存器環中的前部非線性反饋移位寄存器200_2的狀態值。隨著分別變化的Xi的值，在特定數目的處理周期之後，有利地存在狀態自動機的初始狀態的隨機的且對於可能的攻擊者而言未知的轉置。例如，形成位Xi的功能塊230可被構造為UND元件，從而在假定輸入信號消失(即，input
=input [I ]=input[2]=input[3]=0)並且藉助控制信號 shift (圖 7)禁用的內部反饋的情況下，每個移位寄存器200_2得到以下情景
隨機位V =0
籤名裝置100的所有移位寄存器200_2的所有觸發器204a、204b、204c、204d在環形拓撲中彼此接線，以使得關於環形拓撲的第n個移位寄存器的觸發器204a在後一處理周期中的狀態對應於第(n-1)個移位寄存器的觸發器204d的狀態等。因此，屬於變換元件T_15(圖I)的最後一個(即此處的第16個)移位寄存器202_2的觸發器204d的狀態值在周期變化時移至屬於變換元件T_0 (圖I)的第一移位寄存器200_2的觸發器204a中。隨機位Z』 =1並目.密鑰的位Gi= I
所觀察的移位寄存器200_2通過用邏輯I的值控制其輸出復用器240而從環形拓撲除去。在移位寄存器200_2內進行狀態值的局部反饋，從而在四個周期之後再次產生該輸出狀態。位於電流上遊的移位寄存器的狀態位將在繞過從環形拓撲除去的移位寄存器的情況下直接傳送至位於電流下遊的移位寄存器中。隨機位Z』 =1並目密鑰的位Gi= 0
所觀察的移位寄存器200_2是環形拓撲的一部分。對於秘密位Gi有Gi=O的那些移位寄存器200_2的所有觸發器204a、204b、204c、204d彼此接線在環形拓撲中，並且相應的狀態值在周期變化時在環形拓撲內繼續移位。移位寄存器200_2的所有狀態位連續地由位於環形拓撲中電流上遊(圖IOa中的左邊)的移位寄存器200_2的狀態位取代。如果在根據圖IOa的電路布置中施加多個不同的隨機值Z』分別達4個時鐘周期，那麼移位寄存器200_2的初態按照以上實施方式交換和移動。由於這些交換取決於具有其秘密位Gi的密鑰G並且這些交換在隨機值Z』 =0時由移位取代，因而在足夠數目的隨機位的情況下達到用於根據本發明的籤名形成的初態 ，該初態一方面是隨機的(由於隨機位序列Z』的使用)並且對於攻擊者而言也是不可預測的，這是因為該初態即使在知道隨機位Z』的情況下也不能計算當前的轉置，因為所達到的狀態還取決於密鑰G。與將整個初態存儲在根據圖5a的秘密存儲器102中不同，密鑰G通常具有較小的位寬，這在存儲在秘密存儲器時被證明是有利的。上述移位操作的電流消耗是恆定的，因為移位存儲器200_2中的位數不變。復用器220、240始終驅動相同的負載。但是，復用器的輸出信號的狀態根據該復用器的所選擇的輸入端處的值而變。圖IOa中所有輸入復用器220的總和在每個周期中均呈現相同的狀態位，僅分別在環形拓撲中的不同位置處。對於輸出復用器240，不施加所有理論上可能的位值；旁通支路的位不通過此復用器240上引導。這取決於有多少位Xi=I以及有多少I依次相鄰(級聯)。此處，如果級聯變得過大，則在電流消耗並且主要在時延方面存在差異。因此，通過秘密位Gi的合適設計來避免級聯可以是有意義的。如果例如Gg = 1，則例如得出Gi = O。這種確定可以在選擇秘密位Gi時就已經考慮或者還通過在獨立於秘密位Gi的選擇的情況下防止兩個為I的位值彼此相繼的電路來考慮。在圖IOb中示出了具有根據本發明的變換元件TE_1的電路布置，如果多個位Xi相繼具有為I的值，則該電路布置實現兩個方向上的級聯。這是通過附加的復用器241、221達成的。第i個變換元件TE_1的復用器根據前一元件TE_0或後一元件TE_2的Xi值進行切換。復用器221由Xp1控制並且復用器241由Xi+1控制。此電路布置由此提供以下優點在其他情況下不被包括在級聯中的位對電流消耗具有相應的影響。這些位被接線成單獨的局部環。因此，前向支路中的旁通操作由後向支路疊加。兩條支路中的定時是等效的在前向支路中通過復用器240並且在後向支路中通過復用器241。同樣，子環中的定時也是相同的在全局環中通過復用器240、220，在子環中通過復用器221、220。轉置的生成因此也在級聯時非常難以通過電流消耗來觀察。此外，根據圖IOb的電路布置導致用於狀態自動機的初始化的初值的較大混勻，因為圖IOb中的狀態信息的移動也可以向左進行。如果現在在根據圖IOb的電路中同樣將諸如圖IOa中的電路用來生成調節移位鏈的轉接的Xi值，那麼潛在的攻擊由此是可能的，因為所使用的秘密位Gi的值是恆定的。在圖IOc中說明有利地從秘密位Gi生成可變值Xi的電路布置。為此，其他隨機值Zi"連同秘密位Gi —起流入控制位Xi的生成。如從圖IOc可見，例如對應於根據本發明的籤名裝置100的第i個變換元件TE_i的控制位Xi是根據另一隨機值Zi'秘密位Gi和控制位Xi形成，其中當前該另一隨機值Zi"和秘密位Gi被輸送給XOR元件250。XOR元件250的輸出信號連同隨機位Z』 一起被輸送給UND元件251，因此在該UND元件251的輸出端處得到控制位Xi。為了向潛在的攻擊者提供更少的攻擊可能性，尤其在隨機值是已知的或甚至外部預先給定的情況下，考慮此隨機值不直接接到根據圖IOa或圖IOc的電路的輸入端Z』上。有利的是，隨機值Z例如通過經修改的線性反饋移位寄存器LFSR生成具有隨機值Z』的許多信號變化的偽隨機序列。為此，隨機值例如被輸送給根據圖IOf的LFSR 260。LFSR 260具有通過異或元件262a、262b彼此 連接的四個觸發器261a、261b、261c、261d。各個觸發器261a、261b、261c、261d的狀態值如從圖IOf可見的那樣通過不同的未更詳細命名的邏輯元件連同隨機值Z—起反饋到異或元件262a。在LFSR 260的輸出端處，最後得到經修改的隨機值Z』作為LFSR 260的最高有效的狀態位。其他觸發器261a、261b、261c的輸出可被用作根據圖IOc的電路中的經修改的隨機值Zi"。在使用通過LFSR 260在籤名裝置100內部中生成的隨機值Z』、Zi〃並結合足夠長的用於狀態自動機ZA的初始化的轉置階段的情況下，考慮初始值的充分交換並且因此考慮關於根據本發明的籤名形成的降低的攻擊可能性。圖IOd說明根據本發明的用於從傳統地獲得的隨機位Z生成根據本發明經修改的隨機位Z』的裝置。隨機位Z可以或者在籤名裝置100內部生成或者由外部源提供。LFSR260在此以通過分頻器270從參考時鐘T獲得的時鐘頻率T/4來以時鐘方式工作。參考時鐘T被直接輸送給根據本發明的移位寄存器200_2 (圖IOa)並且定義其處理周期。圖IOe示例性地示出參考時鐘T和根據本發明獲得的隨機位Z』的時序圖。在使用根據本發明獲得的隨機值Z』、Zi"的情況下確定的Xi值(參見圖IOc)有利地實現了包括或跳過整個環形拓撲的各個移位寄存器200_2 (圖IOa)的可變設計。因此，達成了不同的移位寄存器200_2或狀態自動機下的狀態值的較好混勻，但是還使攻擊者的可觀察性變得困難。在本發明的另一個設計方案中，可以在根據圖IOc的電路中限制在移動狀態值時跳過的初始值的最大數目。為此，使控制位值Xi取決於先前級i_l、i-2的值Xi+ Xi_2。如果兩個等式Xp1= 0或\_2: 0中的至少一個成立，則例如在電路技術上僅允許值Xi= I。由此例如將級聯限制到兩級。以上的初始化過程可應用於兩組變換元件G_0、G_1 (圖2)的所有狀態自動機ZA。可以為第二組G_1的狀態自動機或移位寄存器設置附加的秘密位(Gi值)。替換地，還可以使用用於第一組G_0的狀態自動機的秘密位Gi或從中推導出的值。此外，使用經反相的秘密位也是可能的，以便還關於初始化達成組G_0、G_1之間的進一步補償。還存在如下可能性將第一組G_0的狀態自動機的所生成或載入的原始初始狀態載入第二組G_1的狀態自動機並且隨後在必要時還進一步操縱該初始狀態，例如通過施加隨機的輸入序列input_rnd(參見圖5b)。在圖10a、10b、IOc中描繪的組件應當在電路技術的實現中儘可能被實現為籤名裝置100的布局中的重複結構，以使得對根據本發明的裝置100或各個組件的電磁輻射的未經授權的分析變得困難。圖8示意性地示出根據本發明的電路布置形式的籤名裝置100的實現，該電路布置具有多個電子元件。電路布置100具有時鐘輸入端CLK作為輸入連接端，以及例如可通過其提供輸入信號input (圖I)的數據輸入端DAT。此外，電路布置100擁有電源連接端Vsup和可以例如是接地連接端的另一參考電位連接端GND。為清楚明了，圖8中僅描繪了時鐘線路CLK的線路段110，該線路段110向示例性
地描繪的四個變換元件TE_0.....TE_3提供時鐘信號。同樣，這樣的線路段120由數據線
路來描繪，該數據線路將變換元件TE_0.....TE_3與電路布置100的輸出連接端OUT相連接。
根據本發明，時鐘線路CLK和數據線路OUT的線路段110、120在長度、傳輸特性、容量等方面彼此協調一致，以使得經由線路段110、120從共用的連接端CLK傳送的信號或者傳送至共用的連接端OUT的信號同時抵達各個組件TE_0、TE_1、...。通過由此得到的關於變換元件TE_0.....TE_3的信號處理的對稱性和同步性使得DPA攻擊進一步變得困難。圖Ila示出根據本發明的非線性反饋移位寄存器220_3的另一個實施方式，該非線性反饋移位寄存器220_3擁有總共5個存儲元件204a、204b、204c、204d、204e，這些存儲元件如從圖Ila可見的那樣通過異或元件202a、202b、202c、202d彼此連結。在圖11中所描繪的拓撲中，非線性反饋是通過包括功能塊205、206的反饋支路實現的。附加地將輸入信號input
輸送給功能塊206。以上參照圖Ila描述的非線性反饋移位寄存器220_3的拓撲根據輸入信號input
實現兩個不同的本原多項式X5 + X2 + I和X5 + X3 + X2 + X + I ,參見結構圖llb、llc，這些本原多項式說明了圖Ila中的移位寄存器220_3的根據輸入信號input
得到的基本結構。圖12示出狀態轉換圖，其說明了由根據圖Ila的非線性反饋移位寄存器220_3實現的狀態自動機的所有可能的狀態Z0、. . .、Z31。已參照根據圖9的狀態轉換圖解釋的相互關係適用於這些狀態轉換。圖13示例性地示出具有三個存儲元件204a、204b、204c的非線性反饋移位寄存器220_4，這些存儲元件通過未詳細命名的異或元件彼此連結。通過其他功能塊207、208、209根據輸入信號input
引起非線性反饋。圖13中描繪的非線性反饋移位寄存器220_4又根據輸入信號input
的狀態實現本原多項式X3 + X +1和X3 + X2 + I。圖14示出圖13中的非線性反饋移位寄存器220_4的可能狀態的狀態轉換圖。由於NLMISR類型的移位寄存器具有衝突，即可從不同、兩者都進入NLMISR的相同終態的輸入數據序列的某個初態得出的特性，因而根據本發明可有利地提出，如此構造根據NLMISR原理工作的根據本發明的狀態自動機TA、ZA』，以使得它們在無衝突的情況下工作。為此必須確保，輸入信號input (圖I)對於相繼處理周期的可預先給定的最大數目不保持恆定。這可有利地例如通過如下方式達成向輸入信號input添加至少一個奇偶校驗位，其中該奇偶校驗位如同輸入信號本身一樣被輸送給變換元件TE_0，...以供處理。通過在輸入信號的合適位值處添加奇偶校驗位有利地確保了，輸入信號以不長於處理周期的最大數目的方式保持恆定。替換地或補充地，還可向輸入信號input補償具有相同效果的填充位。用於根據上述準則修改輸入信號input的合適裝置可被設置在各個根據本發明的變換元件TE_0，…中。
權利要求
1.ー種用於從輸入信號(input)形成籤名(S)的裝置(100)，其特徵在於，設置多個分別具有狀態自動機(ZA)的變換元件(TE_0、TE_1、 )，所述輸入信號(input)和/或取決於所述輸入信號的信號(input』 )能分別在輸入側輸送給所述變換元件，所有狀態自動機(ZA)是相同類型的且如此構造，尤其能初始化，以使得每個狀態自動機(ZA)始終分別具有不同於所有其他狀態自動機(ZA)的另ー狀態，並且所述籤名(S)能根據至少ー個狀態自動機(ZA)的狀態信息來形成。
2.根據權利要求I所述的裝置(100)，其特徵在於，所述變換元件(TE_0、TE_1、 )的數目對應於所述狀態自動機的最大可能不同狀態的數目。
3.根據以上權利要求之一所述的裝置(100)，其特徵在於，所述輸入信號(input)能並行地以能預先給定長度的數據字的形式輸送給所述變換元件(TE_0、TE_1、. . . ;TE_16、TE_17,…)。
4.根據以上權利要求之一所述的裝置(100)，其特徵在於，所述籤名(S)能被形成為表示多個變換元件(TE_0、TE_1、 ;TE_16、TE_17,...)的狀態自動機的狀態信息的數據字的級聯。
5.根據以上權利要求之一所述的裝置(100)，其特徵在幹，所述狀態自動機被構造成根據所述輸入信號(input、input』)進行從初態(Z8)到次態(Z9)的轉移，從而對於任意的能預先給定的輸入信號(input、input』 )分別得到明確的次態(Z9)，其中尤其不存在在相同輸入信號(input、input』 )的情況下導致相同次態(Z9)的兩個不同的初態。
6.根據以上權利要求之一所述的裝置(100)，其特徵在於，設置多組(G_0、G_1)變換元件(TE_0、TE_1、 ;TE_16、TE_17, )，其中相同的輸入信號(input)和/或取決於所述輸入信號的相同信號(input』 )能分別被輸送給同一組(G_0、G_l)的所有變換元件(TE_0、TE_1、. . ;TE_16、TE_17, )。
7.根據權利要求6所述的裝置(100)，其特徵在於，所述輸入信號(input)能輸送給第ー組(G_0)的變換元件(TE_0、TE_1、...)，並且經反相的輸入信號(input』 )能輸送給第二組(G_l)的變換元件(TE_16、TE_17、. .)。
8.根據權利要求6到7之一所述的裝置(100)，其特徵在於，屬於不同組(G_0、G_1)的變換元件(TE_0、TE_1、. ;TE_16、TE_17、.)的狀態自動機(ZA、ZA』 )彼此不是相同類型的。
9.根據以上權利要求之一所述的裝置(100)，其特徵在於，能分別用能預先給定的初始狀態(init)來初始化至少ー個狀態自動機(ZA)、但是優選所有狀態自動機(ZA)。
10.根據權利要求9所述的裝置(100)，其特徵在於，所述初始狀態(init)能存儲在秘密存儲器(102)中並且為了所述初始化能傳送至所述ー個或多個狀態自動機(ZA)中。
11.根據權利要求10所述的裝置(100)，其特徵在於，在用所述初始狀態(init)進行初始化之後能對所述狀態自動機(ZA)施加基於隨機的輸入信號(input_rnd)。
12.根據權利要求9到11之一所述的裝置(100)，其特徵在於，能分別用能預先給定的初始狀態(init)來初始化所有狀態自動機(ZA、ZA』)，其中能用另ー個個體初始狀態來初始化每個狀態自動機。
13.根據權利要求12所述的裝置(100)，其特徵在於，所述狀態自動機(ZA;ZA』 )的各個初始狀態能尤其是取決於隨機地和/或根據密鑰彼此轉置。
14.根據以上權利要求之一所述的裝置(100)，其特徵在於，所述裝置(100)至少部分地是以優選具有單片集成的電子元件和/或光學元件的電路布置的形式實現的。
15.根據權利要求14所述的裝置(100)，其特徵在於，實現所述變換元件(TE_0、TE_1、...)或其狀態自動機(ZA)的元件組和/或接觸所述元件組的數據線路尤其以對應於所述電路布置的布局中的重複結構的形式被相同類型地構造。
16.根據權利要求14到15之一所述的裝置，其特徵在幹，時鐘線路和/或數據線路和/或供電線路的、與實現所述多個變換元件(了￡_03￡_1、...)或其狀態自動機(ZA)的元件組相連接的線路段彼此協調一致，以使得從共用連接端(CLK、OUT)通過所述線路段傳送的信號同時抵達所述各個組。
17.根據以上權利要求之一所述的裝置(100)，其特徵在於，至少ー個狀態自動機(ZA、ZA』)、但是優選所有狀態自動機(ZA、ZA』)是藉助優選具有多個輸入端的非線性反饋移位寄存器 NLMISR (200、200_1、200_2、200_3、200_4)實現的。
18.根據權利要求17所述的裝置(100)，其特徵在於，所述NLMISR(200)具有多個串聯的優選被構造為觸發器的存儲元件(204a、204b、204c、204d)，以及轉接單元(210、210』)，所述轉接單元被構造成根據所述輸入信號(input
、input [I]、input [2]、input [3])修改所述NLMISR (200)的至少一條反饋支路，以使得能夠通過所述NLMISR (200)實現與所述輸入信號(input
、input [I]、input [2]、input [3])的狀態對應的多項式。
19.根據權利要求17到18之一所述的裝置(100)，其特徵在於，所述NLMISR(200)被構造成處理4位寬的輸入信號(input_0)並且選擇性地實現本原多項式x4+x3+l和x4+x+l。
20.根據權利要求17到19之一所述的裝置(100)，其特徵在於，所述NLMISR(200)被構造成處理3位寬的輸入信號(input_l)並且選擇性地實現本原多項式x3+x+l和x3+x2+l。
21.ー種用於從輸入信號(input)形成籤名(S)的方法，其特徵在於，在輸入側分別將所述輸入信號(input)和/或取決於所述輸入信號的信號(input』)輸送給多個分別具有狀態自動機(ZA)的變換元件(TE_0、TE_1、…)，所有狀態自動機(ZA)是相同類型的且優選被初始化為使得每個狀態自動機(ZA)始終分別具有不同於所有其他狀態自動機(ZA)的另ー狀態，並且所述籤名(S)根據至少一個狀態自動機(ZA)的狀態信息來形成。
22.根據權利要求21所述的方法，其特徵在於，使用與所述狀態自動機(ZA)的最大可能不同狀態(Z0、Z1、 、Z15) 一樣多的變換元件(TE_0、TE_1、…、TE_15)。
23.根據權利要求21到22之一所述的方法，其特徵在幹，所述輸入信號(input)並行地以能預先給定長度的數據字的形式輸送給所述變換元件(TE_0、TE_1、. . . ;TE_16、TE_17,...)和/或所述籤名(S)能被形成為表示多個變換元件(TE_0、TE_1、. . . ;TE_16、TE_17,...)的狀態自動機(ZA)的狀態信息的數據字的級聯。
24.根據權利要求21到23之一所述的方法，其特徵在於，每個狀態自動機(ZA)根據所述輸入信號(input, input』 )從初態(Z8)轉入次態(Z9),使得對於任意的能預先給定的輸入信號(input，input』)分別得到明確的次態(Z9)，其中尤其不存在在相同輸入信號(input, input』 )的情況下導致相同次態(Z9)的兩個不同的初態。
25.根據權利要求21到24之一所述的方法，其特徵在於，設置多組(G_0，G_l)變換元件(TE_0，TE_1， ； TE_16, TE_17， )，其中相同的輸入信號(input)和/或取決於所述輸入信號的相同信號(input』 )分別被輸送給同一組(G_0，G_l)的所有變換元件(TE_0，TE_1， ； TE_16, TE_17，...)，其中尤其將所述輸入信號(1即此)輸送給第一組(6_0)的變換元件(TE_0、TE_1、...)，並且將經反相的輸入信號(input』 )輸送給第二組(G_l)的變換元件(TE_16、TE_17、.)。
26.根據權利要求21到25之一所述的方法，其特徵在於，分別用能預選給定的初始狀態(init)初始化至少ー個、但是優選所有的狀態自動機(ZA)，其中尤其用另ー個個體初始狀態來初始化組(G_0、G_1)內的每個狀態自動機(ZA)。
27.根據權利要求26所述的方法，其特徵在於，所述初始狀態(init)被存儲在秘密存儲器(102)中並且為了所述初始化被傳送至所述ー個或多個狀態自動機(ZA)中。
28.根據權利要求26到27之一所述的方法，其特徵在於，在用所述初始狀態(init)進行初始化之後對所述狀態自動機(ZA)施加基於隨機的輸入信號(input_rnd)0
29.根據權利要求26到28之一所述的方法，其特徵在於，所述狀態自動機(ZA)的各個初始狀態尤其是取決於隨機地和/或根據密鑰彼此轉置。
全文摘要
本發明涉及一種用於從輸入信號(input)形成籤名(S)的裝置(100)。根據本發明，設置多個分別具有狀態自動機(ZA)的變換元件(TE_0、TE_1、…)，可分別將輸入信號(input)和/或取決於該輸入信號的信號(input')輸送給這些變換元件，所有狀態自動機(ZA)是相同類型的並且被如此構造，尤其是能初始化，以使得每個狀態自動機(ZA)始終分別具有不同於所有其他狀態自動機的另一狀態，並且籤名(S)能根據至少一個狀態自動機(ZA)的狀態信息來形成。
文檔編號H04L9/32GK102804681SQ201080027909
公開日2012年11月28日 申請日期2010年6月8日 優先權日2009年6月23日
發明者E.伯爾, M.伯爾, P.杜普利斯 申請人:羅伯特·博世有限公司