FUMY WALTER (DE)
HORVATH OLAF (DE)
NXP: "PUF-Physical uncloneable functions : Protecting next-generation Smart Cards ICs with SRAM-based PUS", 1 October 2013 (2013-10-01), XP055313039, Retrieved from the Internet
MICHAL VARCHOLA: "FPGA Based True Random Number Generators for Embedded Cryptographic Applications", 1 December 2008 (2008-12-01), XP055298209, Retrieved from the Internet
HERDER CHARLES ET AL: "Physical Unclonable Functions and Applications: A Tutorial", PROCEEDINGS OF THE IEEE, IEEE. NEW YORK, US, vol. 102, no. 8, 1 August 2014 (2014-08-01), pages 1126 - 1141, XP011553689, ISSN: 0018-9219, [retrieved on 20140718], DOI: 10.1109/JPROC.2014.2320516
"Introduction to Hardware Security and Trust", 1 January 2012, SPRINGER NEW YORK, New York, NY, ISBN: 978-1-44-198080-9, article ULRICH RÜHRMAIR ET AL: "Security Based on Physical Unclonability and Disorder", pages: 65 - 102, XP055158364, DOI: 10.1007/978-1-4419-8080-9_4
| PATENTANSPRÜCHE 1 . Verfahren (100) zum Erzeugen eines Zufallssignals unter Verwendung einer Physikalisch Unklonbaren Funktion, welche ausgebildet ist, ansprechend auf ein bestimmtes Stimulationssignal mit einem Antwortsignal zu reagieren, das ein Nutzsignal umfasst, mit: Beaufschlagen (101 ) der Physikalisch Unklonbaren Funktion mit dem bestimmten Stimulationssignal; Detektieren (103) des Antwortsignals von der Physikalisch Unklonbaren Funktion, wobei das Antwortsignal ein Rauschsignal sowie das Nutzsignal umfasst; Extrahieren (105) des Rauschsignals aus dem Antwortsignal; und Erzeugen (107) des Zufallssignals auf der Basis des Rauschsignals. 2. Verfahren (100) nach Anspruch 1 , wobei das Extrahieren (105) des Rauschsignals aus dem Antwortsignal das Bestimmen des Nutzsignals umfasst. 3. Verfahren (100) nach Anspruch 2, wobei das bestimmte Nutzsignal in dem Antwortsignal unterdrückt oder aus dem Antwortsignal herausgefiltert wird, um das Rauschsignal zu extrahieren. 4. Verfahren (100) nach einem der vorstehenden Ansprüche 1 bis 3, das ferner das Authentifizieren des Zufallssignals durch das extrahierte Nutzsignal umfasst. 5. Verfahren (100) nach einem der vorstehenden Ansprüche 1 bis 4, das ferner eine Fehlerkorrektur in dem Nutzsignal umfasst. 6. Verfahren (100) nach einem der vorstehenden Ansprüche, wobei das Zufallssignal durch eine Filterung oder eine Transformation oder eine De-Korrelation des Rauschsignals erzeugt wird, um Schwankungen eines Leistungsdichtespektrums des Rauschsignals zu reduzieren oder Abtastwerte des Rauschsignals zu de-korrelieren. 7. Verfahren (100) nach einem der vorstehenden Ansprüche, wobei das Rauschsignal ein digitales Rauschsignal ist, welches das Zufallssignal darstellt. 8. Verfahren (100) nach einem der vorstehenden Ansprüche, wobei das Rauschsignal in dem Schritt (107) des Erzeugens des Zufallssignals binarisiert wird, um ein binäres Rauschsignal zu erhalten, welches das Zufallssignal repräsentiert. 9 Verfahren (100) nach einem der vorstehenden Ansprüche, wobei das Zufallssignal eine Zufallszahl oder eine Folge von Zufallszahlen repräsentiert. 10. Verfahren (100) nach einem der vorstehenden Ansprüche, wobei das Rauschsignal ein analoges Rauschsignal ist, und wobei das analoge Rauschsignal in dem Schritt (107) des Erzeugens des Zufallssignals quantisiert wird, um ein digitales Rauschsignal zu erhalten, wobei das digitale Rauschsignal das Zufallssignal ist. 1 1 . Verfahren (200) zum Erzeugen eines kryptographischen Schlüssels unter Verwendung einer Physikalisch Unklonbaren Funktion, mit: Erzeugen des Zufallssignals durch das Verfahren nach einem der vorstehenden Ansprüche; Erzeugen (209) des kryptographischen Schlüssels auf der Basis des Zufallssignals. 12. Verfahren (200) nach Anspruch 1 1 , wobei das Zufallssignal als Eingangssignal einem Zufallszahlengenerator zugeführt wird, um den kryptographischen Schlüssel zu erzeugen. 13. Zufallssignalgenerator (300) zum Erzeugen eines Zufallssignals unter Verwendung einer Physikalisch Unklonbaren Funktion (301 ), welche ausgebildet ist, ansprechend auf ein bestimmtes Stimulationssignal mit einem Antwortsignal zu reagieren, das ein Nutzsignal umfasst, mit: einem Sender (303) zum Beaufschlagen der Physikalisch Unklonbaren Funktion (301 ) mit dem bestimmten Stimulationssignal; einem Detektor (305) zum Detektieren des Antwortsignals von der Physikalisch Unklonbaren Funktion (301 ), wobei das Antwortsignal ein Rauschsignal sowie das Nutzsignal umfasst; und einem Prozessor (307), welcher ausgebildet ist, das Rauschsignal aus dem Antwortsignal zu extrahieren und das Zufallssignal auf der Basis des Rauschsignals zu erzeugen. 14. Zufallssignalgenerator (300) nach Anspruch 13, wobei die Physikalisch Unklonbare Funktion (301 ) Teil des Zufallssignalgenerators (300) ist. 15. Sicherheits- oder Wertdokument mit einem Zufallssignalgenerator nach Anspruch 13 oder 14. |
ERZEUGEN EINES ZUFALLSSIGNALS
Die vorliegende Erfindung betrifft einen Zufallssignalgenerator und ein Verfahren zum Erzeugen eines Zufallssignals. Ferner betrifft die Erfindung ein Verfahren zum Erzeugen eines kryptographischen Schlüssels.
Bei sicherheitsrelevanten Anwendungen, beispielsweise bei asymmetrischen
Authentifikationsverfahren, werden kryptographische Schlüssel oftmals aus einer Folge von Zufallszahlen, die ein Zufallssignal darstellen, gewonnen. Dabei ist es
wünschenswert, insbesondere bei mobilen Anwendungen, beispielsweise bei Chipkarten, einen möglichst geringen Hardwareaufwand zu betreiben. Bekannte Maßnahmen, um
Zufallszahlen zu erzeugen, sind beispielsweise Pseudozufallszahlengeneratoren, analoge Zufallsquellen, Ringoszillatoren und deren Abwandlungen.
Bei Pseudozufallszahlengeneratoren werden sogenannte Seeds verwendet, von denen ausgehend deterministische Pseudozufallszahlen berechnet werden. Zur Erzeugung des Seeds wird in der Regel ein physikalischer Zufallsgenerator verwendet. Als analoge Zufallsquellen werden Rauschquellen, wie z.B. das Rauschen von Zenerdioden, verstärkt und digitalisiert. Dabei ist die Verbindung von digitaler mit analoger Schaltungstechnik meist nur aufwändig zu verwirklichen.
Bei Ringoszillatoren, die aus einer ungeraden Anzahl von hintereinander geschalteten Invertern aufgebaut sind, ergeben sich zufällige Jitter aus schwankenden Durchlaufzeiten der Signale durch die Inverter. Diese Jitter, also eine unregelmäßige zeitliche
Schwankung in Zustandsänderungen der durch die Inverter geschickten Signale, können bei mehrfachen Durchläufen durch die Ringoszillatorschaltung akkumuliert werden, so dass letztlich ein zufälliges analoges Signal entsteht. Nachteilig bei Ringoszillatoren ist häufig die notwendige lange Zeit vom Start der Schwingung bis ein brauchbar zufälliges Signal aufgrund der Jitter-Akkumulierung entsteht. Daher ergeben sich meist niedrige nicht akzeptable Datenerzeugungsraten bei Ringoszillatoren. Ferner ist möglich, dass die sich addierenden Jitter-Beiträge sich auch selbst wieder aufheben, so dass im Mittel zufällige kurze Gatterlaufzeiten durch zufällige längere Gatterlaufzeiten kompensiert werden.
Bei digitalen Schaltungen hängt der Stromverbrauch im Wesentlichen von der Anzahl der Umschaltvorgänge pro Zeit ab. Bei entsprechenden digitalen Schwingschaltungen muss dies ständig stattfinden, so dass ein eher ungünstiger Energieverbrauch bei auf
Ringoszillatoren basierenden Zufallszahlengeneratoren entsteht. Insbesondere bei mobilen Anwendungen ist es wünschenswert, den Energieverbrauch bzw. die
Stromaufnahme der hardwaremäßig implementierten Schaltungen gering zu halten. Dennoch soll ein statistisch guter physikalischer Zufall entstehen.
Es ist daher die Aufgabe der vorliegenden Erfindung, ein effizientes und kostengünstiges Konzept zum Erzeugen von Zufallssignalen bzw. Zufallszahlen zu schaffen.
Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Ausbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Figuren.
Die Erfindung basiert auf der Erkenntnis, die obige Aufgabe durch die Verwendung einer Physikalisch Unklonbaren Funktion (PUF) lösen zu können. Bei herkömmlichen
Anwendungen von Physikalisch Unklonbaren Funktionen wird bei einem
rauschbehafteten Antwortsignal, das beim Beaufschlagen einer PUF mit einem definierten Stimulationssignal erzeugt wird, das Rauschen eliminiert, um ein Nutzsignal zu erhalten, mit dem sich beispielsweise die Integrität der PUF verifizieren lässt. Stattdessen schlägt die Erfindung einen anderen Weg vor, nämlich aus dem rauschbehafteten Antwortsignal das mit der PUF in einem eindeutigen Zusammenhang stehende Nutzsignal zu eliminieren, um somit ein Rauschsignal zu erhalten, das insbesondere zum Erzeugen von kryptographischen Schlüsseln genutzt werden kann.
Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum Erzeugen eines Zufallssignals unter Verwendung einer Physikalisch Unklonbaren Funktion, welche ausgebildet ist, ansprechend auf ein bestimmtes Stimulationssignal mit einem
Antwortsignal zu reagieren, das ein Nutzsignal umfasst, mit den Schritten: Beaufschlagen der Physikalisch Unklonbaren Funktion mit dem bestimmten Stimulationssignal,
Detektieren des Antwortsignals von der Physikalisch Unklonbaren Funktion, wobei das Antwortsignal ein Rauschsignal sowie das Nutzsignal umfasst, Extrahieren des
Rauschsignals aus dem Antwortsignal und Erzeugen des Zufallssignals auf der Basis des Rauschsignals.
Gemäß einer Ausführungsform umfasst das Extrahieren des Rauschsignals aus dem Antwortsignal das Bestimmen des Nutzsignals. Das bestimmte Nutzsignal kann in dem Antwortsignal unterdrückt oder aus dem
Nutzsignal herausgefiltert werden, um das Rauschsignal zu extrahieren.
Gemäß einer Ausführungsform kann das Verfahren ferner das Authentifizieren des Zufallssignals durch das extrahierte Nutzsignal umfassen.
Das Verfahren kann ferner eine Fehlerkorrektur des Nutzsignals und/oder des
Antwortsignals umfassen. Gemäß einer Ausführungsform wird das Zufallssignal als Eingangssignal einem
Zufallszahlengenerator zugeführt, um den kryptographischen Schlüssel zu erzeugen. Ein Ausgangssignal des Zufallszahlengenerators liefert eine Zufallszahl, welche den kryptographischen Schlüssel repräsentiert. Gemäß einer Ausführungsform wird das Zufallssignal durch eine Filterung oder eine
Glättung oder eine Transformation oder eine De-Korrelation des Rauschsignals erzeugt, um Schwankungen eines Leistungsdichtespektrums des Rauschsignals zu reduzieren oder Abtastwerte des Rauschsignals zu de-korrelieren. Das Rauschsignal kann ein digitales Rauschsignal sein, welches das Zufallssignal darstellt.
Gemäß einer Ausführungsform kann das Rauschsignal in dem Schritt des Erzeugens des Zufallssignals binarisiert werden, um ein binäres Rauschsignal zu erhalten, welches das Zufallssignal repräsentiert oder welches einem Zufallszahlengenerator als Eingangssignal zugeführt wird.
Das Zufallssignal kann eine Zufallszahl oder eine Folge von Zufallszahlen repräsentieren. Gemäß einer Ausführungsform kann das Rauschsignal ein analoges Rauschsignal sein, wobei das analoge Rauschsignal in dem Schritt des Erzeugens des Zufallssignals quantisiert wird, um ein digitales Rauschsignal zu erhalten, wobei das digitale
Rauschsignal das Zufallssignal ist. Gemäß einem zweiten Aspekt betrifft die Erfindung ein Verfahren zum Erzeugen eines kryptographischen Schlüssels unter Verwendung einer Physikalisch Unklonbaren Funktion. Dabei umfasst das Verfahren das Erzeugen des Zufallssignals durch eines der Verfahren gemäß dem ersten Aspekt der Erfindung und das Erzeugen des
kryptographischen Schlüssels auf der Basis des Zufallssignals.
Gemäß einem dritten Aspekt betrifft die Erfindung einen Zufallssignalgenerator zum Erzeugen eines Zufallssignals unter Verwendung einer Physikalisch Unklonbaren Funktion, welche ausgebildet ist, ansprechend auf ein bestimmtes Stimulationssignal mit einem Antwortsignal zu reagieren, das ein Nutzsignal umfasst. Dabei umfasst der Zufallssignalgenerator einen Sender zum Beaufschlagen der Physikalisch Unklonbaren Funktion mit dem bestimmten Stimulationssignal, einen Detektor zum Detektieren des Antwortsignals von der Physikalisch Unklonbaren Funktion, wobei das Antwortsignal ein Rauschsignal sowie das Nutzsignal umfasst, und einen Prozessor, welcher ausgebildet ist, das Rauschsignal aus dem Antwortsignal zu extrahieren und das Zufallssignal auf der Basis des Rauschsignals zu erzeugen.
Die Erfindung kann in Hardware und/oder Software realisiert werden.
Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Figuren näher erläutert. Es zeigen:
Fig. 1 ein schematisches Diagramm eines Verfahrens zum Erzeugen eines
Zufallssignals unter Verwendung einer Physikalisch Unklonbaren Funktion gemäß einer Ausführungsform;
Fig. 2 ein schematisches Diagramm eines Verfahrens zum Erzeugen eines
kryptographischen Schlüssels unter Verwendung einer Physikalisch
Unklonbaren Funktion gemäß einer Ausführungsform; und Fig. 3 ein schematisches Diagramm eines Zufallssignalgenerators zum Erzeugen eines Zufallssignals unter Verwendung einer Physikalisch Unklonbaren Funktion gemäß einer Ausführungsform. Figur 1 zeigt ein schematisches Diagramm eines Verfahrens 100 zum Erzeugen eines Zufallssignals unter Verwendung einer Physikalisch Unklonbaren Funktion (PUF) gemäß einer Ausführungsform.
Das Verfahren 100 umfasst das Beaufschlagen 101 der PUF mit dem bestimmten Stimulationssignal, das Detektieren 103 des Antwortsignals von der PUF, wobei das Antwortsignal ein Rauschsignal sowie das Nutzsignal umfasst, das Extrahieren 105 des Rauschsignals aus dem Antwortsignal und das Erzeugen 107 des Zufallssignals auf der Basis des Rauschsignals. Das Zufallssignal kann eine Zufallszahl oder eine Folge von Zufallszahlen repräsentieren.
Gemäß einer Ausführungsform kann der Schritt 105 des Extrahierens des Rauschsignals aus dem Antwortsignal das Bestimmen des Nutzsignals umfassen.
Das bestimmte Nutzsignal kann in dem Antwortsignal unterdrückt oder aus dem
Antwortsignal herausgefiltert werden, um das Rauschsignal zu extrahieren.
Gemäß einer Ausführungsform kann das Verfahren 100 ferner den Schritt des
Extrahierens des Nutzsignals aus dem Antwortsignal umfassen. Gemäß einer Ausführungsform kann das Verfahren 100 ferner das Authentifizieren des Zufallssignals durch das extrahierte Nutzsignal umfassen. Das extrahierte Nutzsignal kann mit einem einer PUF eindeutig zugeordneten Referenzsignal verglichen werden. Bei hinreichender Übereinstimmung des extrahierten Nutzsignals mit dem Referenzsignal kann davon ausgegangen werden, dass es sich bei der PUF, aus deren Antwortsignal das Nutzsignal extrahiert worden ist, um dieselbe PUF handelt, auf deren Basis das
Referenzsignal bestimmt worden ist. Somit lässt sich die Integrität der PUF und des mittels der PUF erzeugten Zufallssignals verifizieren.
Das Verfahren 100 kann ferner eine Fehlerkorrektur des Nutzsignals umfassen.
Gemäß einer Ausführungsform kann das Zufallssignal durch eine Filterung oder eine Transformation oder eine De-Korrelation des Rauschsignals erzeugt werden, um
Schwankungen eines Leistungsdichtespektrums des Rauschsignals zu reduzieren oder Abtastwerte des Rauschsignals zu de-korrelieren. Je nachdem was für eine PUF zur Erzeugung eines Zufallssignals mit dem Verfahren 100 verwendet wird, kann es sich bei dem Rauschsignal um ein analoges oder ein digitales Rauschsignal handeln.
Im Fall eines analogen Rauschsignals kann das Verfahren 100 ferner einen Schritt umfassen, bei dem das analoge Rauschsignal quantisiert wird, beispielsweise im Rahmen von Schritt 107, um ein digitales Rauschsignal zu erhalten, wobei das digitale
Rauschsignal das Zufallssignal ist.
Gemäß einer Ausführungsform kann im Fall eines digitalen Rauschsignals dieses direkt als Zufallssignal verwendet werden.
Insbesondere für Anwendungen, bei denen Zufallszahlen in Form von Zufallsbinärfolgen eingesetzt werden, kann das Rauschsignal in dem Schritt 107 des Erzeugens des Zufallssignals binarisiert werden, um ein binäres Rauschsignal zu erhalten, welches das Zufallssignal repräsentiert.
Figur 2 zeigt ein schematisches Diagramm eines Verfahrens 200 zum Erzeugen eines kryptographischen Schlüssels unter Verwendung einer PUF gemäß einer
Ausführungsform.
Das Verfahren 200 umfasst das Beaufschlagen 201 der PUF mit dem bestimmten Stimulationssignal, das Detektieren 203 des Antwortsignals von der PUF, wobei das Antwortsignal ein Rauschsignal sowie das Nutzsignal umfasst, das Extrahieren 205 des Rauschsignals aus dem Antwortsignal, das Erzeugen 207 des Zufallssignals auf der Basis des Rauschsignals und das Erzeugen 209 eines kryptographischen Schlüssels auf der Basis des Zufallssignals. Beispielsweise kann aus dem Zufallssignal eine Bitfolge einer gewünschten Länge N abgeleitet werden, um diese als kryptographischen Schlüssel zu verwenden. Wie der Fachmann dies erkennt, sind die Schritte 201 bis 207 des Verfahrens 200 identisch zu den vorstehend beschriebenen Schritten 101 bis 107 des Verfahrens 100. Weitere Ausführungsformen des Verfahrens 200 ergeben sich aus den vorstehend beschriebenen weiteren Ausführungsformen des Verfahrens 100. Figur 3 zeigt ein schematisches Diagramm eines Zufallssignalgenerators 300 zum Erzeugen eines Zufallssignals unter Verwendung einer PUF 301 gemäß einer
Ausführungsform. Dabei ist die PUF 301 ausgebildet, ansprechend auf ein bestimmtes Stimulationssignal mit einem Antwortsignal zu reagieren, das ein Nutzsignal umfasst. Der Zufallssignalgenerator 300 umfasst einen Sender 303 zum Beaufschlagen der PUF 301 mit dem bestimmten Stimulationssignal, einen Detektor 305 zum Detektieren des Antwortsignals von der PUF 301 , wobei das Antwortsignal ein Rauschsignal sowie das Nutzsignal umfasst, und einen Prozessor 307, welcher ausgebildet ist, das Rauschsignal aus dem Antwortsignal zu extrahieren und das Zufallssignal auf der Basis des
Rauschsignals zu erzeugen. Wie in Figur 3 schematisch dargestellt, kann die PUF 301 Bestandteil des Zufallssignalgenerators 300 sein.
Gemäß einer Ausführungsform kann der Zufallssignalgenerator 300 in einem Sicherheitsoder Wertdokument 309 eingebettet sein. Bei dem Sicherheits- oder Wertdokument 309 kann es sich beispielsweise um eine Chipkarte handeln. Dies ist beispielsweise insofern vorteilhaft, als in einigen Chipkarten PUFs bereits für andere Anwendungen zum Einsatz kommen und eine solche PUF zum erfindungsgemäßen Erzeugen eines Zufallssignals eingesetzt werden könnte. Bei Ausführungsformen, bei denen der Zufallssignalgenerator 300 Teil eines Sicherheits- oder Wertdokuments ist, kann die Funktion des Prozessors 307 vom Prozessor des Sicherheits- oder Wertdokuments übernommen werden.
Gemäß Ausführungsformen der Erfindung können elektronische oder nicht-elektronische, insbesondere optische PUF-Ausführungen verwendet werden. Dabei können
elektronische Eigenschaften wie beispielsweise eine Schwellenspannung eines
Transistors oder eine Verzögerung in einem Schaltelement ebenso wie nichtelektronische Eigenschaften, beispielsweise optische Eigenschaften der PUF 301 oder magnetische Eigenschaften usw., vermessen werden. Das Nutzsignal ist in allen Fällen für die PUF 301 charakteristisch und spezifisch und nicht praktikabel reproduzierbar. Die PUF 301 kann auch als eine Delay-PUF, eine Arbiter-PUF, eine SRAM-PUF, eine Ring- Oscillator PUF, eine Bistable Ring PUF, eine Flip-Flop-PUF, eine Glitch PUF, eine Cellular Non-Iinear Network PUF oder eine Butterfly-PUF ausgebildet sein. So kann abhängig von den Randbedingungen eine geeignete PUF-Variante ausgewählt werden.
Gemäß einer Ausführungsform kann der Sender 303 ausgebildet sein, die PUF 301 mit einem Stimulationssignal in Form von elektromagnetischer Strahlung zu beaufschlagen. Vorzugsweise ist die elektromagnetische Strahlung Licht im UV-, sichtbaren und/oder IR- Bereich.
Bei einer solchen Ausführungsform kann die PUF 301 beispielsweise durch
herstellungsbedingte Materialinhomogenitäten gebildet werden. Diese
Materialinhomogenitäten können beispielsweise durch Partikel, Pigmente, Strukturen oder Einschlüsse in fester, gasförmiger oder fester Form mit farbigen, transparenten, reflektierenden, absorbierenden, streuenden, diffraktiven, leitfähigen, dielektrischen, magnetischen, radioaktiven, lumineszierenden, fluoreszierenden, up-konvertierenden, elektrochromen, thermochromen, photochromen, elastomeren, piezoelektrischen, chemisch reaktiven Materialien definiert werden.
Gemäß einer Ausführungsform ist der Detektor 305 ein auf elektromagnetische Strahlung ansprechender Detektor. In diesem Falle wird das Antwortsignal durch
elektromagnetische Strahlung gebildet. Der Detektor 305 kann beispielsweise ein auf CMOS-Technologie beruhender Detektor sein.
BEZUGSZEICHENLISTE
100 Verfahren zum Erzeugen eines Zufallssignals
101 Beaufschlagen einer PUF mit einem Stimulationssignal 103 Detektieren eines Antwortsignals
105 Extrahieren eines Rauschsignals
107 Erzeugen des Zufallssignals
200 Verfahren zum Erzeugen eines kryptographischen Schlüssels
201 Beaufschlagen einer PUF mit einem Stimulationssignal 203 Detektieren eines Antwortsignals
205 Extrahieren eines Rauschsignals
207 Erzeugen eines Zufallssignals
209 Erzeugen des kryptographischen Schlüssels 300 Zufallssignalgenerator
301 Physikalisch Unklonbare Funktion (PUF)
303 Sender
305 Detektor
307 Prozessor
309 Sicherheits- oder Wertdokument