CN101213512A - 保护数据处理设备以抵御攻击或分析的装置和方法 - Google Patents

保护数据处理设备以抵御攻击或分析的装置和方法 Download PDF

Info

Publication number
CN101213512A
CN101213512A CNA2006800234489A CN200680023448A CN101213512A CN 101213512 A CN101213512 A CN 101213512A CN A2006800234489 A CNA2006800234489 A CN A2006800234489A CN 200680023448 A CN200680023448 A CN 200680023448A CN 101213512 A CN101213512 A CN 101213512A
Authority
CN
China
Prior art keywords
data processing
calculating
processing equipment
attack
hidden
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2006800234489A
Other languages
English (en)
Inventor
G·T·M·休伯特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips Electronics NV filed Critical Koninklijke Philips Electronics NV
Publication of CN101213512A publication Critical patent/CN101213512A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7223Randomisation as countermeasure against side channel attacks
    • G06F2207/7233Masking, e.g. (A**e)+r mod n
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7223Randomisation as countermeasure against side channel attacks
    • G06F2207/7233Masking, e.g. (A**e)+r mod n
    • G06F2207/7238Operand masking, i.e. message blinding, e.g. (A+r)**e mod n; k.(P+R)
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/728Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic using Montgomery reduction

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

为了进一步开发装置和方法,以保护至少一个数据处理设备,特别是至少一个嵌入式系统,例如至少一个芯片卡或智能卡,抵御至少一个攻击,特别是抵御至少一个旁道攻击,例如抵御至少一个电流踪迹分析,所述数据处理设备,特别是该数据处理设备的至少一个集成电路,执行计算,特别是密码运算,其中,一个攻击(例如一个电磁辐射(EM)攻击)或一个分析(例如一个差分功率分析(DPA))一这样的攻击或这样的分析特别是以找出私钥为目标—要被安全地避开,已提出通过至少一个随机变量来隐蔽该计算的所有中间结果。

Description

保护数据处理设备以抵御攻击或分析的装置和方法
本发明总地涉及阻止密码分析的技术领域,尤其涉及到保护至少一个数据处理设备以抵御至少一个攻击,例如抵御至少一个电磁(E[lectro]M[agnetic],EM)辐射攻击,或抵御至少一个分析,例如抵御至少一个DPA(差分功率分析,Differential Power Analysis)。
更具体地,本发明涉及装置和方法,用于保护至少一个数据处理设备,特别是至少一个嵌入式系统,例如至少一个芯片卡或智能卡,以抵御至少一个攻击,特别是抵御至少一个旁道攻击,例如抵御至少一个电流踪迹分析(currenttrace analysis),该数据处理设备,特别是该数据处理设备的至少一个集成电路,执行计算,特别是密码运算(cryptographic operation)。
数据处理设备,特别是嵌入式系统,例如芯片卡或智能卡,使用PKI(公钥基础设施)系统交换密钥,且必须被保护以抵御以找出私钥为目标的几种形式的攻击。一种这样的攻击是通过以下方式来影响计算,特别是密码运算:
-将一个或多个光源指引到芯片上,特别是指引到裸的(naked)(并且因而是光敏的)芯片上,或者
-将某种EM(电磁)辐射源指引到芯片上。
对于基于李维斯特-萨莫尔-阿德曼(R[ivest-]S[hamir-]A[dleman],RSA)算法和/或椭圆曲线密码(E[lliptic]C[urve]C[ryptography],ECC)算法的计算而言,需要许多乘法运算。正常地,这些计算是在没有抵御旁道攻击,例如电流踪迹分析的保护的情况下执行的。
这可能易受差分功率分析攻击,因为一个攻击者可能在每一次执行相同的乘法运算时取许多电流踪迹。在添加这些踪迹之后,就移除了大部分的噪声。当攻击者做相同的事情、但是是对不同的输入来做时,攻击者能够比较电流踪迹并按位方式,也就是逐位对应(bit for bit)地来学习秘密密钥。
现有技术文档WO 01/97009A1揭示了一种用于密码计算的方法,其包含一个模块化求幂例程(modular exponentiation routine)。这种已知的方法会通过两个随机变量工作来隐蔽(blind)中间结果;在这个上下文中,现有技术文档WO01/97009A1也通过一个随机变量的添加来工作,但是只隐蔽了乘法运算。
然而,在结果被用于下一步计算之前,此结果首先被解除隐蔽(unblind),这也使得该结果再次易受攻击;不仅仅是乘法运算对差分功率分析(DPA)敏感,而且对解除隐蔽的结果的随机存取存储器(RAM)访问也敏感。
由Jean-Sébastien Coron和Louis Goubin所著的现有技术文章“On Booleanand Arithmetic Masking against Differential Power Analysis”讨论了差分功率分析(DPA)攻击并且在第2页的第4和5段建议屏蔽所有输入和输出。第5段讨论了通过乘法运算的RSA屏蔽,其中参考了Thomas S.Messerges的“Securing theAES Finalists Against Power Analysis Attacks”,FSE2000,Springer-Verlag。
Radu Muresan的现有技术论文“Modeling and applications of current dynamicsin a complex processor core”在33页到37页提到了在应用椭圆曲线密码(ECC)算法之前椭圆曲线上的点的隐蔽。
关于本发明的技术背景,可以附加参考:
-Luca Benini,Angelo Galati,Alberto Macii,Enrico Macii和Massimo Poncino的现有技术文章“Energy-Efficient Data Scrambling on Memory-ProcessorInterfaces”;
-Tom Lash的现有技术文章“A Study of Power Analysis and the AdvancedEncryption Standard-Recommendations for Designing Power Analysis ResistantDevices”;
-现有技术文献EP1267514A9
-现有技术文献GB2345229A
-现有技术文献US2003/0194086A1
-现有技术文献WO00/42511A1
-现有技术文献WO01/08012A1
-现有技术文献WO02/50658A1
-现有技术文献WO03/101039A1;以及
-Larry T.McDaniel III的现有技术论文“An Investigation of Differential PowerAnalysis Attacks on FPGA-based Encryption Systems”。
从上述的不足和缺点出发并且考虑到所讨论的现有技术,本发明的目的是进一步开发如在本技术领域所描述的装置以及如在本技术领域所描述的方法,以便能够安全地避开一个攻击一例如一个电磁辐射攻击或者一个分析-例如一个差分功率分析,这样的攻击或者这样的分析是以找出私钥为目标的。
本发明的目的由包括权利要求1特征的装置以及包括权利要求7特征的方法来实现。本发明的有利实施例和有益改进在各个从属权利要求中公开。
本发明主要基于以下思路:使用隐蔽中间结果的装置和方法来提供耐攻击性,特别是差分功率分析耐攻击性;特别地,这种隐蔽是通过采用至少一个随机变量,来在由计算,特别是密码运算所包括的乘法运算中采用的。
更具体地,一个消息M可以用一个变量V来隐蔽。这个变量V可从一个随机选择的变量v得出。这样,所有的中间结果也被隐蔽;这些中间结果一直保持被隐蔽,直到计算结束,特别是直到密码运算结束。
根据本发明的有利实施例,所有中间结果被通过一个随机变量隐蔽,该随机变量在整个RSA计算或整个ECC计算过程中保持不变,但它在开始一个新的计算时改变。这时,即使在所有的输入都相同时,所有的电流踪迹也会被改变,因为随机变量是不同的。
在本发明的一个优选实施例中,使用了蒙哥马利约简(Montgomeryreduction)的原理。蒙哥马利约简是由Peter L.Montgomery于1985年提出的、对于模算术中的乘法运算很有效的算法。更具体地,蒙哥马利约简是一种计算c=a·b mod(n)的方法,其中,a,b,n都是k位的二进制数。
蒙哥马利约简现在特别应用于密码学中。令m为一正整数,而令R和T为整数,使得R>m,最大公约数gcd(m,R)=1,且0≤T<m·R。不使用传统方法计算TR-1mod(m)被称为相对于R的T模m的蒙哥马利约简。通过合适地选择R,蒙哥马利约简能有效地计算。
有利的是,本发明不限于蒙哥马利约简,而且本发明也能适应于其他约简原理。
本发明可应用于GF(p)和GF(2n)。在本上下文中,如果一个体系结构能通过prime(p)扩展域和binary(2n)扩展域中的操作数工作,则该体系结构被称为是统一的:
如果p是一个素数,整数模P形成一个带有p个元素的域,用GF(p)表示。一个有限域是一个带有有限域阶,即有限数量的元素的域,也被称为一个伽罗瓦域(Galois Field)或GF。一个有限域的阶总是一个素数或者一个素数的幂。对于每一个素数幂,存在刚好一个(具有通常的防止误解的说明:“刚好一个(exactly one)”是指“刚好一个直到同构(up to an isomorphism)”)有限域GF()。GF(p)被称为阶p的素数域,且是剩余类模p的域。
当n>1,GF()能被表示为多项式的等价类的域,该多项式的系数属于GF(p)。度数n的任何不可约多项式产生相同的域直到同构。
本发明还涉及一种数据处理装置,特别是一嵌入式系统,例如一芯片卡或智能卡,包括执行计算特别是密码运算的至少一个集成电路,其中该集成电路被通过用至少一随机变量来隐蔽该计算的所有中间结果而进行保护:
-以抵御至少一个攻击,特别是抵御至少一个电磁辐射攻击,或
-以抵御至少一个密码分析,特别是抵御至少一个差分功率分析。
最后,本发明涉及至少一个如上所述的装置和/或如上所述的方法在至少一个如上所述的、要被保护以抵御差分功率分析的数据处理设备中的使用。
如上所述,有几种选项来以一种有利的方式具体化以及改善本发明的教导。为了这个目的,分别参考从属于权利要求1和权利要求7的权利要求;本发明进一步的改进、特征和优势在下面通过作为示例的优选实施例和附图来更详细地说明,这里
图1概要地显示了一个遵从本发明方法工作的、按照本发明的装置的实施例。
一个数据处理设备的实施例,也就是包括执行密码运算的集成电路的芯片卡或智能卡形式的嵌入式系统,被称为公钥基础设施系统并根据本发明的方法工作,即,由保护装置100(参见图1)保护以免遭滥用和/或免遭操纵。
基本地,假设变量X和Y被X=X/v’mod(N)和Y=Y/v’mod(N)隐蔽,在这个上下文中,下划线表明该变量被隐蔽。
接着,如下地计算X·Y的乘积:RX·Y·v’mod(N)。用隐蔽XY的同样方式来隐蔽R,且因此在下一步操作中就可以使用R了。代替乘以v’,用v=v’B来相乘,有B=2n,即,有B是2的幂,以便补偿随后由蒙哥马利约简引起的除以B。
然而,为了使隐蔽修正保持为尽可能简单,期望v是一个单字(single word)。所以,代替选择v’,将v选择作为随机单字,有v’=v/B mod(n)。为了减少额外约简的可能性,v的一些最高有效位(MSB)可以被选为0,使得乘积R·v同样数目的位更小。
本发明需要计算一个操作数的逆的能力。
集成电路的密码计算可以基于RSA算法(参见现有技术文档US4405829或者由Ron Rivest,Adi Shamir和Len Adleman在1978年2月的Communicationsof the ACM,21(2)的“A Method for Obtaining Digital Signatures and Public-KeyCryptosystems”的第120-126页)计算,用于加密C=Me mod(N),其中,
-M是要被加密的消息,
-N=p·q,
-e与(p-1)(q-1)互素,
-d是使得xedmod[(p-1)(q-1)]=1;
解密计算M=Cd mod(N)。
计算Me(或Cd)的一种方式如下所示:
第一步:从R=1开始;
第二步:从左至右扫描指数e;
第三步:总是计算R=R2 mod(N);
第四步:当e的被扫描的位=1时,此外计算R=R.M mod(N)
这样,计算中包含了多次自乘(squaring)和乘法运算。
假设模数N和所有操作数包含许多n位的字m。在模约简后,尽管最高有效字可能有多几位,但是变量也包含n位的m字。在模约简前,结果将会有更多的字,通常是1或m。
初始隐蔽的第一阶段计算M=M·v’-1=M·B·v-1mod(N)。虽然v是一个单字,但是M乘以B·v-1的模乘法运算完全改变了M的所有字。只有初始的隐蔽需要一个求逆运算。
在隐蔽乘法运算X·Y的第二阶段,首先如在解除隐蔽的情况中被计算为
Figure S2006800234489D00051
接着计算
Figure S2006800234489D00052
在这个上下文中,应该指出的是
Figure S2006800234489D00053
也被隐蔽,但不是按指定的方式。这需要完全
Figure S2006800234489D00054
乘以v的一个字的乘法运算以及随后的蒙哥马利约简。
在这个上下文中,应该指出的是,首先计算X=X·v是可能的、但不是如此有效,因为这将对操作数中的一个解除隐蔽。当X和Y包含n个字时,则X·Y的乘法和约简会花费2n2+n次乘法运算。隐蔽修正操作额外地花费2n+1次乘法运算。对于1024位的RSA,例如n=有64位的16个字,这就花费大约附加的6%的运算能力。
在隐蔽自乘X2的第三个阶段,首先如在解除隐蔽的情况中被计算为R=X 2mod(N)。接着,计算
Figure S2006800234489D00061
在这个上下文中,应该指出的是
Figure S2006800234489D00062
被隐蔽、但不是按规定的方式。这需要完全乘以v的一个字的一次乘法以及随后的蒙哥马利约简。
模自乘(modular squaring)可以通过3/2(n2+n)次乘法运算来执行。隐蔽修正操作附加地花费2n+1次乘法运算。对于1024位的RSA,例如n=有64位的16个字,这花费大约附加的8%的运算能力。
在最终的解除隐蔽的最后一步,当所有的RSA计算都已经执行时,最终的结果R必须被解除隐蔽。这个最终的解除隐蔽是使用蒙哥马利约简、通过计算R=R·v mod(N)来进行的。
对于椭圆曲线密码ECC(参见M.Ernst,M.Jung,F.Madlener等的现有技术文章“A Reconfigurable System on Chip Implementation for Elliptic CurveCryptography over GF(2n)”的第381至399页),选择一椭圆曲线和那个曲线上的一个点P。
在第一个实例A处,选择一个随机数a;计算a·P并将其作为公钥发送到第二个实例B。在此第二个实例B,同样选择一个随机数b,计算b·P并将其作为公钥发送到第一个实例A。接着,第一实例A计算K=a·(b·P),且第二实例B计算K’=b·(a·p)。现在,K=K’,且这是两个实例A和B的共同秘密。
基本运算是点P乘以标量a的乘法运算。这是一个重复的点加法X=aP=P+P+...+P(a次):
-从R=P开始;
-从左向右扫描标量a;
-总是计算R=2R mod(N)(所谓的点加倍)
-当a的被扫描的位=1时,此外计算R=R+P mod(N)(所谓的点加法)
所谓的点加倍的算法和所谓的点加法的算法使用如X·Y±Z mod(N)和X2±Zmod(N)的运算(和RSA算法类似,但是也有一个第三操作数Z被相加或被相减)。
这些运算以与用于RSA算法同样的方式来隐蔽。
点加倍算法和点加法算法也需要一个计算X-1的求逆运算,有X·X-1mod(N)=1。
隐蔽修正(也就是结果的乘法)可以只应用于乘法或自乘,但不用于相加或相减。因此,首先计算X·Y mod(N)或X2mod(N)。
在初始隐蔽的第一阶段,点P的X坐标和Y坐标都必须首先被隐蔽。初始隐蔽以与如上对RSA算法所述的相同方式进行。
在乘法运算(R=X·Y±Z)和自乘(R=X2±Z)的第二阶段,首先,计算乘积
Figure S2006800234489D00071
或自乘
Figure S2006800234489D00072
接着,计算
Figure S2006800234489D00073
在这个上下文中,应该指出的是,对于有m=3和n=64的192位ECC,被解除隐蔽的乘法采用21次乘法运算,而被隐蔽的乘法采用27次乘法运算,即:多出28%;二者均没有附加的约简。被解除隐蔽的自乘采用18次乘法运算,而被隐蔽的自乘采用24次乘法运算,即:多出33%。
在求逆的最后一步,被解除隐蔽的求逆会计算R=X-1 mod(N)。被隐蔽的求逆会计算R=(X·v2)-1mod(N)。这可以被看成如下所示:R=R/v=X-1/v=(X·v)-1·v-1=(X·v2)-1
优选地首先计算v2,然后用X乘以v2,这与首先用v乘以X、然后再次乘以v形成对比,因为这给出了一个解除隐蔽的中间结果。
本发明的实现可能至少部分地是在软件的基础上的;在这个上下文中,适合于RSA编程和/或ECC编程的处理器也可以实施如上所述的隐蔽。
图1显示了依据本发明的保护装置100的一个示范硬件实现,且其包括执行以下项的能力:
-带有这样已知的乘法器10的实现的类型X·Y+R+C的乘法运算,以及
-带有这样已知的求逆算法的实现的类型X-1mod(N)的求逆。
乘法器10和逆变器(inverter)30分别连接(=附图1中的参考标记12和32)到一存储器20,存储器中存储有所有的操作数。结果也存储在这个存储器20中。
此外,存在一个状态机40
-  控制乘法器10来执行所需类型的计算,
-  控制逆变器30进行求逆运算,
-  从存储器20中读取输入操作数,以及
-  向存储器20中写入结果。
附图标识的列表
100装置
10  装置100的乘法器单元
11  乘法器单元10和存储器单元20之间的连接
20  装置100的存储器单元
30  装置100的逆变器单元
32  逆变器单元30和存储器单元20之间的连接
40  装置100的状态机

Claims (11)

1.一种装置(100),用于保护至少一个数据处理设备,特别是至少一个嵌入式系统,例如至少一个芯片卡或智能卡,抵御至少一个攻击,特别是抵御至少一个旁道攻击,例如抵御至少一个电流踪迹分析,所述数据处理设备,特别是该数据处理设备中的至少一个集成电路,实行计算,特别是密码运算,其特征是通过至少一个随机变量隐蔽该计算的所有中间结果。
2.根据权利要求1的装置,其特征在于该随机变量:
在一个完整计算期间保持不变,且
在一个新计算开始时变化。
3.根据权利要求1或2的装置,其特征在于该计算是基于李维斯特-萨莫尔-阿德曼RSA算法和/或椭圆曲线密码ECC算法。
4.根据权利要求1至3中至少一个的装置,其特征在于使用蒙哥马利约简或另一类型的约简。
5.根据权利要求1至4中至少一个的装置,其特征在于
-至少一个存储器单元(20),用于存储特别是所有操作数和特别是该计算的所有结果;
-至少一个乘法器单元(10),其连接于(12)该存储器单元(20);
-至少一个逆变器单元(30),其连接于(32)该存储器单元(20);
-至少一个状态机(40)
-用于控制乘法器单元(10)来执行所需类型的计算,
-用于控制逆变器单元(30)来执行求逆运算,
-用于从存储器单元(20)读取输入操作数,和/或
-用于向存储器单元(20)写入特别是该计算的所有结果。
6.一种数据处理设备,特别是一嵌入式系统,例如一芯片卡或一智能卡,包括至少一个执行计算特别是密码运算的集成电路,其特征是根据权利要求1至5中至少一个的至少一个装置。
7.一种保护至少一个数据处理设备,特别是至少一个嵌入式系统,例如至少一个芯片卡或智能卡的方法,抵御至少一个攻击,特别是抵御至少一个旁道攻击,例如抵御至少一个电流踪迹分析,所述数据处理设备,特别是该数据处理设备的至少一个集成电路,执行计算,特别是密码运算,其特征是通过至少一个随机变量隐蔽该计算的所有中间结果。
8.根据权利要求7的方法,其特征在于该随机变量:
在一个完整计算期间保持不变,且
在一个新计算开始时变化。
9.根据权利要求7或8的方法,其特征在于该计算是基于RSA算法和/或椭圆曲线密码算法。
10.根据权利要求7至9中至少一个的方法,其特征在于使用蒙哥马利约简或另一类型的约简。
11.根据权利要求1至5中至少一个的至少一个装置(100)和/或根据权利要求7至10中至少一个的方法在要被保护以抵御差分功率分析的根据权利要求6的至少一个数据处理设备中的使用。
CNA2006800234489A 2005-06-29 2006-06-23 保护数据处理设备以抵御攻击或分析的装置和方法 Pending CN101213512A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP05105803.0 2005-06-29
EP05105803 2005-06-29

Publications (1)

Publication Number Publication Date
CN101213512A true CN101213512A (zh) 2008-07-02

Family

ID=37479306

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2006800234489A Pending CN101213512A (zh) 2005-06-29 2006-06-23 保护数据处理设备以抵御攻击或分析的装置和方法

Country Status (5)

Country Link
US (1) US20100287384A1 (zh)
EP (1) EP1899803A2 (zh)
JP (1) JP2009500710A (zh)
CN (1) CN101213512A (zh)
WO (1) WO2007000701A2 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010045843A1 (zh) * 2008-10-23 2010-04-29 国民技术股份有限公司 抵御差分能量攻击的aes加密方法
CN102412965A (zh) * 2011-08-09 2012-04-11 深圳市德卡科技有限公司 椭圆曲线密码协处理器
CN103684763A (zh) * 2012-09-19 2014-03-26 北京握奇数据系统有限公司 基于rsa算法的数据加密方法、装置及智能卡

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1899804B1 (en) * 2005-06-29 2012-11-07 Irdeto B.V. Arrangement for and method of protecting a data processing device against a cryptographic attack or analysis
FR2889005A1 (fr) * 2005-07-19 2007-01-26 Gemplus Sa Integrite materielle permanente des donnees
US8352752B2 (en) * 2006-09-01 2013-01-08 Inside Secure Detecting radiation-based attacks
DE102007000589B9 (de) * 2007-10-29 2010-01-28 Bundesdruckerei Gmbh Verfahren zum Schutz einer Chipkarte gegen unberechtigte Benutzung, Chipkarte und Chipkarten-Terminal
WO2011148558A1 (ja) 2010-05-28 2011-12-01 日本電気株式会社 署名生成装置、署名方法、及び署名生成プログラムが格納された非一時的なコンピュータ可読媒体
FR2977952A1 (fr) * 2011-07-13 2013-01-18 St Microelectronics Rousset Protection d'un calcul d'exponentiation modulaire par multiplication par une quantite aleatoire
DE102011117219A1 (de) * 2011-10-28 2013-05-02 Giesecke & Devrient Gmbh Bestimmen eines Divisionsrests und Ermitteln von Primzahlkandidaten für eine kryptographische Anwendung

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
RU2153191C2 (ru) * 1998-09-29 2000-07-20 Закрытое акционерное общество "Алкорсофт" Способ изготовления вслепую цифровой rsa-подписи и устройство для его реализации (варианты)
US7599491B2 (en) * 1999-01-11 2009-10-06 Certicom Corp. Method for strengthening the implementation of ECDSA against power analysis
DE19963407A1 (de) * 1999-12-28 2001-07-12 Giesecke & Devrient Gmbh Tragbarer Datenträger mit Zugriffsschutz durch Nachrichtenverfremdung
JP2002358010A (ja) * 2001-05-31 2002-12-13 Mitsubishi Electric Corp べき乗剰余演算器
FR2829335A1 (fr) * 2001-09-06 2003-03-07 St Microelectronics Sa Procede de brouillage d'un calcul a quantite secrete
US7403620B2 (en) * 2002-07-02 2008-07-22 Stmicroelectronics S.A. Cyphering/decyphering performed by an integrated circuit
CA2470422C (en) * 2003-06-09 2013-01-15 Certicom Corp. Method and apparatus for exponentiation in an rsa cryptosystem
GB0313663D0 (en) * 2003-06-13 2003-07-16 Hewlett Packard Development Co Mediated rsa cryptographic method and system
AU2003304629A1 (en) * 2003-07-22 2005-02-04 Fujitsu Limited Tamper-resistant encryption using individual key
US7363499B2 (en) * 2003-09-18 2008-04-22 Sun Microsystems, Inc. Blinded encryption and decryption
US7739521B2 (en) * 2003-09-18 2010-06-15 Intel Corporation Method of obscuring cryptographic computations
US7742596B2 (en) * 2004-08-24 2010-06-22 General Dynamics C4 Systems, Inc. Reliable elliptic curve cryptography computation
KR100617384B1 (ko) * 2004-09-24 2006-08-31 광주과학기술원 Rsa 보안 모듈의 몽고메리 곱셈기
JP4351987B2 (ja) * 2004-11-19 2009-10-28 株式会社東芝 モンゴメリ変換装置、演算装置、icカード、暗号装置、復号装置及びプログラム
EP1899804B1 (en) * 2005-06-29 2012-11-07 Irdeto B.V. Arrangement for and method of protecting a data processing device against a cryptographic attack or analysis

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010045843A1 (zh) * 2008-10-23 2010-04-29 国民技术股份有限公司 抵御差分能量攻击的aes加密方法
CN101729241B (zh) * 2008-10-23 2012-01-25 国民技术股份有限公司 抵御差分能量攻击的aes加密方法
CN102412965A (zh) * 2011-08-09 2012-04-11 深圳市德卡科技有限公司 椭圆曲线密码协处理器
CN102412965B (zh) * 2011-08-09 2013-11-27 深圳市德卡科技有限公司 椭圆曲线密码协处理器
CN103684763A (zh) * 2012-09-19 2014-03-26 北京握奇数据系统有限公司 基于rsa算法的数据加密方法、装置及智能卡

Also Published As

Publication number Publication date
JP2009500710A (ja) 2009-01-08
WO2007000701A3 (en) 2007-03-22
WO2007000701A2 (en) 2007-01-04
US20100287384A1 (en) 2010-11-11
EP1899803A2 (en) 2008-03-19

Similar Documents

Publication Publication Date Title
EP1899804B1 (en) Arrangement for and method of protecting a data processing device against a cryptographic attack or analysis
Fan et al. An updated survey on secure ECC implementations: Attacks, countermeasures and cost
CN107040362B (zh) 模乘设备和方法
CN101213512A (zh) 保护数据处理设备以抵御攻击或分析的装置和方法
JP4668931B2 (ja) 電力解析攻撃に対する耐タンパ性を持った暗号化処理装置
Danger et al. A synthesis of side-channel attacks on elliptic curve cryptography in smart-cards
EP1840732A1 (en) Protection against side channel attacks
Oswald Enhancing simple power-analysis attacks on elliptic curve cryptosystems
Koziel et al. Low-resource and fast binary edwards curves cryptography
JP5182364B2 (ja) サイドチャネル攻撃に対する耐タンパ性を有する暗号処理方法
US20090175455A1 (en) Method of securing a calculation of an exponentiation or a multiplication by a scalar in an electronic device
Batina et al. SCA-secure ECC in software–mission impossible?
EP3226120B1 (en) Non-modular multiplier, method for non-modular multiplication and computational device
WO2019121747A1 (en) Device and method for protecting execution of a cryptographic operation
Fournaris Fault and power analysis attack protection techniques for standardized public key cryptosystems
Tunstall et al. Coordinate blinding over large prime fields
Batina et al. SoK: SCA-secure ECC in software–mission impossible?
Fournaris et al. Efficient crt rsa with sca countermeasures
Kim Thwarting side-channel analysis against RSA cryptosystems with additive blinding
Boscher et al. Fault resistant RSA signatures: Chinese remaindering in both directions
Monfared et al. Secure and efficient exponentiation architectures using Gaussian normal basis
Greuet et al. Modular Polynomial Multiplication Using RSA/ECC Coprocessor
Kasiri et al. A Novel Algebraic Approach to Power Analysis Attack-Resistant Countermeasure for Koblitz Curve Cryptosystems in Mobile Devices
Gueron Data and computational fault detection mechanism for devices that perform modular exponentiation

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: IRDETO EINDHOVEN COMPANY

Free format text: FORMER OWNER: KONINKLIJKE PHILIPS ELECTRONICS N.V.

Effective date: 20080905

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20080905

Address after: Holland Ai Hoff Dop

Applicant after: Koninkl Philips Electronics NV

Address before: Holland Ian Deho Finn

Applicant before: Koninklijke Philips Electronics N.V.

REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1122883

Country of ref document: HK

C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Open date: 20080702