物理不可克隆函数在公钥密码学中的适用性

Question

在公钥密码体制中，物理不可克隆函数(PUF)能被用来保护秘密免受物理篡改吗？

有些解决方案(即ChipDNA或QuiddiKey)显然使用PUF来保护用于执行ECDSA的私钥。一些关于物理不可复制函数和应用程序的麻省理工学院幻灯片提到了私钥/公钥，这意味着这是可能的。

根据我对PUFs的基本理解，在制造过程中创建了一个挑战响应对的数据库，当它提供正确的挑战响应(S)到挑战(S)时，我们就可以验证它的身份，只要不重复使用挑战。PUF的“指纹”是如何衍生成密匙的？

Answer 1

注意:我对物理功能的理解是部分的，我有限的暴露在潜在的PUF系统中是很古老的。我提出了一个暂时的观点，跳到那里会有建设性的矛盾，我会学到一些新的东西。

我不知道有一个实用的系统(或这方面的可信蓝图)，即拥有PUF可以等同于拥有私钥(就像我们用智能卡持有私钥一样，只要它能抵制按设计提取私钥的企图)。

在使用PUF读取设备(下称读取器)注册PUF之后，我们知道如何做到这一点：

• reader+PUF可以执行私钥操作.
• 当PUF与读取器分离时，无法从读取器中提取私钥(即使读取器不是防篡改的)，并且读取器不能再执行私钥操作。
• PUF本身不能被克隆到未经修改的读取器将接受克隆的PUF (以及perfom私钥操作)。

然而：

• 将PUF移动到新读取器只能将与PUF关联的私钥移动到新读取器，如果某些关联的注册数据也被移动到新读取器(例如，通过联机连接，或者使用沿PUF移动的一些传统数据存储)。
• 攻击者使用PUF，并表示注册数据，以及读取器的完整设计(或者读取器本身，如果不防篡改)可以找到私钥，然后在不使用PUF或/和模拟reader+PUF的情况下执行私钥操作。

一些实现(至少在原型阶段存在)集成了PUF、读取器，也许还集成了同一片硅上的注册数据。这确实阻止了制作精确的硅级拷贝的尝试，但不会拒绝提取私钥或更有教养的攻击。

注意:如果我们用秘密密钥替换私钥，上述所有内容都有效。