DE10162584A1 - Verfahren und Vorrichtung zum Absichern einer Exponentiations-Berechnung mittels dem chinesischen Restsatz (CRT) - Google Patents

Verfahren und Vorrichtung zum Absichern einer Exponentiations-Berechnung mittels dem chinesischen Restsatz (CRT)

Info

Publication number
DE10162584A1
DE10162584A1 DE10162584A DE10162584A DE10162584A1 DE 10162584 A1 DE10162584 A1 DE 10162584A1 DE 10162584 A DE10162584 A DE 10162584A DE 10162584 A DE10162584 A DE 10162584A DE 10162584 A1 DE10162584 A1 DE 10162584A1
Authority
DE
Germany
Prior art keywords
result
algorithm
prime number
exponentiation
auxiliary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10162584A
Other languages
English (en)
Inventor
Wieland Fischer
Jean-Pierre Seifert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=7702733&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE10162584(A1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE10162584A priority Critical patent/DE10162584A1/de
Priority to EP02785220A priority patent/EP1454260B1/de
Priority to DE50203303T priority patent/DE50203303D1/de
Priority to PCT/EP2002/011530 priority patent/WO2003034268A2/de
Publication of DE10162584A1 publication Critical patent/DE10162584A1/de
Priority to US10/825,625 priority patent/US7496758B2/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Bei einem Verfahren zum Absichern einer Exponentiations-Berechnung mittels chinesischem Restsatz wird insbesondere der Zusammenfügungsschritt (16), bei dem vorzugsweise der Zusammenfügungsalgorithmus nach Garner verwendet wird, auf seine Korrektheit hin vor der Ausgabe (24) des Ergebnisses des Zusammenfügungs-Schritts überprüft (18). Damit wird unmittelbar vor der Ausgabe des Ergebnisses der Exponentiations-Berechnung der Zusammenfügungs-Algorithmus überprüft, um die Ausgaben eines falschen Ergebnisses beispielsweise aufgrund einer Hardware-Fehlerattacke zu unterbinden, um die Fehlerattacke abzuwehren.

Description

  • Die vorliegende Erfindung bezieht sich auf die Kryptographie und insbesondere auf Verfahren und Vorrichtungen zum Absichern einer Exponentiations-Berechnung mittels chinesischem Restsatz (CRT) gegen Fehlerattacken.
  • Die modulare Exponentiation ist eine der Kernberechnungen für verschiedene kryptographische Algorithmen. Ein Beispiel für einen weit verbreiteten kryptographischen Algorithmus ist das RSA-Kryptosystem, das beispielsweise in "Handbook of Applied Cryptography", Menezes, von Oorschot, Vanstone, CRC Press, 1996, Kapitel 8.2, beschrieben ist. Das RSA-Kryptosystem arbeitet folgendermaßen. Bei der Verschlüsselung verschlüsselt eine Partei B eine Nachricht m für eine andere Partei A. Die Partei A soll die von B erhaltene verschlüsselte Nachricht entschlüsseln. Die Partei B erhält zunächst den öffentlichen Schlüssel von der Partei A. Die Partei B stellt dann die zu verschlüsselnde Nachricht als Ganzzahl m dar. Dann verschlüsselt die Partei B die Nachricht m folgendermaßen:

    c = me mod n (1)
  • In Gleichung (1) stellt m die Klartext-Nachricht dar. e ist der öffentliche Schlüssel. n ist der Modul und ist ebenfalls öffentlich. c stellt die verschlüsselte Nachricht dar.
  • Die Partei B sendet nun die verschlüsselte Nachricht c zu der Partei A.
  • Zur Entschlüsselung, also um den Klartext m wieder aus dem Geheimtext c zu erhalten, führt A folgende Berechnung aus:

    m = cd mod n (2)
  • In Gleichung (2) stellt d den privaten Schlüssel der Partei A dar, der vor Angriffen zu schützen ist.
  • In der Technik ist ferner auch ein RSA-Signaturalgorithmus bekannt. Hierbei wird folgendermaßen vorgegangen. Jede Entität A erzeugt zunächst zwei große Primzahlen p und q und berechnet dann den Modul n aus dem Produkt von p und q. Daraus wird dann, wie es ebenfalls im oben bezeichneten Fachbuch im Kapitel 11.3 beschrieben ist, eine Schlüsselerzeugung vorgenommen, so daß jede Partei einen öffentlichen Schlüssel hat, der aus n, also dem Modul, und e besteht, während jede Partei zusätzlich einen privaten Schlüssel d hat.
  • Zur RSA-Signaturerzeugung und Verifikation signiert die Entität A eine Nachricht m. Jede Entität B soll dann die Signatur von A verifizieren und die Nachricht m aus der Signatur wiedergewinnen.
  • Bei der Signaturerzeugung berechnet die Entität A zunächst eine Ganzzahl m' = R(m). Danach führt die Entität A folgende Berechnung durch:

    s = m'd mod n (3)

    s ist dabei die Signatur von A für die Nachricht m.
  • Zur Verifikation der Signatur der Partei A und zum Wiedergewinnen der Nachricht m muß die Partei B folgendermaßen vorgehen:
    Zunächst muß die Partei B den öffentlichen Schlüssel (n, e) von A erhalten. Dann führt die Partei B folgende Berechnung durch:

    m' = se mod n (4)
  • In Gleichung (4) ist e der öffentliche Schlüssel von A.
  • Die Partei B wird dann verifizieren, ob m' das Element aus einem Raum MR ist. Wenn dies nicht der Fall ist, wird die Signatur zurückgewiesen. Wenn dies der Fall ist, wird die Nachricht m wiedergewonnen, indem m = R-1 (m') berechnet wird.
  • Aus der obigen Darstellung wird ersichtlich, daß die modulare Exponentiation an vielerlei Stellen benötigt wird. Insbesondere wird zur RSA-Verschlüsselung in Gleichung (2) und zur RSA-Signaturerzeugung in Gleichung (3) mit dem geheimen Schlüssel d gerechnet.
  • Nachdem der geheime Schlüssel - genauso wie der öffentliche Schlüssel - bei typischen RSA-Systemen beträchtliche Längen annehmen kann, wie z. B. 1024 oder 2048 Bits, ist die modulare Exponentiation eine relativ aufwendige Berechnung.
  • Um die modulare Exponentiation schneller berechnen zu können, ist es bekannt, den sogenannten chinesischen Restsatz (CRT; CRT = Chinese Remainder Theorem) einzusetzen, der im Absatz 2.120 des oben bezeichneten Fachbuchs beschrieben ist. Für RSA-Systeme wird insbesondere der Algorithmus von Garner bevorzugt, der ebenfalls in dem oben beschriebenen Fachbuch im Abschnitt 14.5.2 beschrieben ist. Der klassische Algorithmus für den CRT benötigt typischerweise eine modulare Reduktion mit dem Modul M, während dies bei dem Algorithmus nach Garner nicht der Fall ist. Statt dessen wird hier die eine "große" modulare Exponentiation in zwei "kleine" modulare Exponentiationen aufgeteilt, deren Ergebnisse dann gemäß dem chinesischen Restsatz zusammengesetzt werden. Obwohl hier zwei Exponentiationen benötigt werden, ist es dennoch günstiger, zwei "kleine" modulare Exponentiationen zu berechnen, als eine "große" modulare Exponentiation.
  • Zur Darstellung des RSA-CRT-Verfahren unter Verwendung des Algorithmus von Garner wird auf Fig. 3 Bezug genommen. In einem Block 100 sind die Eingangsparameter dargelegt, die alle lediglich von p und q sowie vom Schlüssel d abhängen, jedoch nicht von der beispielsweise zu signierenden Nachricht m. In einem Block 102 ist die Ausgabe des Algorithmus dargestellt, wie sie anhand von Gleichung (2) oder Gleichung (3) dargestellt worden ist.
  • Aus den im Block 100 dargestellten Eingangsgrößen wird dann in einem Block 104 eine erste modulare Hilfs-Exponentiation (sp) berechnet. Analog dazu wird in einem Block 106 dann eine zweite modulare Hilfs-Exponentiation (sq) berechnet. Die Ergebnisse der ersten und der zweiten modularen Hilfs- Exponentiation werden dann in einem Block 108 gemäß dem chinesischen Restsatz zusammengesetzt, um das Ergebnis s = md mod n zu erhalten. Generell ist das in Fig. 3 dargestellte RSA-CRT-Verfahren etwa um das Vierfache schneller als die direkte Berechnung der im Block 102 dargestellten Ausgabe beispielsweise mittels des Square-and-Multiply-Algorithmus.
  • Aufgrund der Recheneffizienz ist der RSA-CRT-Algorithmus, der in Fig. 3 dargestellt ist, dem Square-and-Multiply-Algorithmus in jedem Fall vorzuziehen. Nachteilig am RSA-CRT-Algorithmus ist jedoch die Tatsache, daß er gegenüber kryptographischen "Angriffen" dahingehend sehr anfällig ist, daß der geheime Schlüssel d ermittelt werden kann, wenn eine fehlerhafte Berechnung des RSA-CRT-Algorithmus entsprechend ausgewertet wird. Diese Tatsache ist in "On the Importance of Eliminating Errors in Cryptographic Computations", Boneh, De-Millo, Lipton, J. Cryptology (2001) 14, S. 101 bis 119, beschrieben. Es wird ausgeführt, daß der geheime Signaturschlüssel, der bei einer Implementation des RSA-Verfahrens, das auf dem chinesischen Restsatz (CRT) basiert, aus einer einzigen fehlerhaften RSA-Signatur ermittelt werden kann.
  • Eine fehlerhafte RSA-Signatur kann dadurch erhalten werden, daß die Software oder die Hardware, die den Algorithmus ausführt, zu Fehlern gebracht wird, beispielsweise durch Aussetzen des Kryptoprozessors gegenüber einer mechanischen oder thermischen Belastung.
  • Als Gegenmaßnahmen gegen solche Angriffe, die auf Hardware- Fehlern basieren, wird vorgeschlagen, die Ausgabe jeder Berechnung zu überprüfen, bevor dieselbe aus dem Chip ausgegeben wird. Obwohl dieser zusätzliche Verifikationsschritt das Systemverhalten verschlechtern kann, wird davon gesprochen, daß diese zusätzliche Verifikation aus Sicherheitsgründen wesentlich ist.
  • Die einfachste Art und Weise der Verifikation besteht darin, eine Gegenrechnung mit dem öffentlichen Exponenten e durchzuführen, wobei folgende Identität festgestellt werden soll:

    (md)e = m mod n (5)
  • Dieser zusätzliche Verifikationsschritt ist jedoch vom Rechenaufwand her unmittelbar vergleichbar mit dem eigentlichen Signatur- bzw. Entschlüsselungs-Schritt und führt daher zu einer starken Verringerung des Systemverhaltens, liefert jedoch eine hohe Sicherheit.
  • Nachteilig ist jedoch, daß der öffentliche Schlüssel e in üblichen Protokollen, wie z. B. der ZKA-lib, nicht verfügbar ist. Die ZKA-lib ist eine Sammlung von Spezifikationen des zentralen Kreditausschusses, die regeln, welche Daten verfügbar sind. Für das RSA-CRT-Verfahren sind lediglich die im Block 100 von Fig. 3 gegebenen Eingangsdaten verfügbar. Der öffentliche Schlüssel e ist hierbei nicht Teil der in der ZKA-lib-Beschreibung vorgegebenen Parameter. Der Exponent e müßte daher aufwendig berechnet werden, um die "Gegenrechnung" gemäß Gleichung (5) durchführen zu können. Dies würde die Leistung der Signatur-Chipkarte weiter reduzieren und dürfte dazu führen, daß solche Algorithmen aufgrund ihrer langsamen Arbeitsweise keine Chance auf eine Durchsetzung am Markt haben.
  • In der Fachveröffentlichung von A. Shamir, "How to check modular Exponentiation", Rump Session, Eurocrypt 97, ist ein weiteres Verfahren beschrieben, um Signaturen zu verifizieren, die durch RSA-CRT-Verfahren erzeugt werden. In dieser Fachveröffentlichung wird vorgeschlagen, eine kleine Zufallszahl r (beispielsweise 32 Bits) zu verwenden und statt der Berechnung im Block 104 folgende Berechnung auszuführen:

    sp' = md mod pr (6)
  • Statt dem Block 106 wird folgende Berechnung ausgeführt:

    sp' = md mod qr (7)
  • Dann, unmittelbar nach den Berechnungen gemäß den Gleichungen (6) und (7) werden folgende Überprüfungsberechnungen durchgeführt:

    sp' mod r = sq' mod r (8)
  • Wenn die Überprüfung gemäß Gleichung (8) wahr ist, wird sp und sq aus folgender Gleichung (9) erhalten:

    sp' mod p = sp; sq' mod q = sq (9)
  • Aus den durch Gleichung (9) erhaltenen Werten sp und sq wird dann die im Block 108 in Fig. 3 dargestellte Berechnung durchgeführt, um aus den modularen Hilfs-Exponentiationen das Gesamtergebnis s mittels des chinesischen Restsatzes zusammenzufügen.
  • Nachteilig an diesem Verfahren ist, daß zur Überprüfung lediglich der Hilfsparameter r sowie die Zwischenergebnisse sp' und sq' herangezogen werden, wobei die Überprüfung nicht zur Unterdrückung eines Ausgabewerts führt, wenn eine kryptographische Attacke stattgefunden hat, die möglicherweise nicht die Zwischenergebnisse sp', sq' oder den Parameter r beeinträchtigt hat, aber dann, beispielsweise in den in Gleichung (9) gegebenen Schritten und der abschließenden Zusammensetzung des Algorithmus zu einem Hardware-Fehler führt, der dazu verwendet werden kann, um den geheimen Schlüssel d unerlaubterweise auszuspähen.
  • Darüber hinaus wird in der zitierten Fachveröffentlichung von Boneh u. a. beispielsweise als Abwehrmaßnahme zur Sicherung des Fiat-Shamir-Schemas vorgeschlagen, Registerfehler, die auftreten, während der Prozessor auf eine Antwort von außen wartet, dadurch abzuwehren, daß Fehlererfassungsbits zum Schutz des internen Speichers eines Prozessors eingesetzt werden. Weitere Maßnahmen, um RSA-Signaturen zu schützen, bestehen darin, eine Zufälligkeit in das Signaturverfahren einzuführen. Die Zufälligkeit stellt sicher, daß der Unterzeichner niemals die gleiche Nachricht zweimal unterzeichnet. Ferner weiß der Verifizierer, wenn er eine fehlerhafte Signatur vorliegen hat, nicht den vollständigen Klartext, der unterzeichnet worden ist.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, ein verbessertes Konzept zum Absichern einer Exponentiations- Berechnung mittels chinesischem Restsatz (CRT) gegen Fehlerattacken zu schaffen.
  • Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1 oder eine Vorrichtung gemäß Anspruch 11 gelöst.
  • Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daß ein Sicherheitsleck dahingehend besteht, wenn das Zusammenfügen zweier Hilfsgrößen, die modulare Exponentiationen mit einem "kleinen" Modul sind, mittels chinesischem Restsatz, um das Ergebnis einer modularen Exponentiation mit einem "großen" Modul zu erhalten, nicht überprüft wird. Wenn lediglich die Berechnung der Hilfsgrößen überprüft wird, jedoch dann, im Zusammenfügungsschritt, keine Überprüfung mehr vorgenommen wird, kann eine Fehlerattacke, die erst nach der Berechnung der Hilfsgrößen zu einer Fehlfunktion des Rechenwerks im Kryptographieprozessor führt, zu einer falschen Ausgabe führen. Insbesondere RSA-Berechnungen mittels dem chinesischen Restsatz sind aus Effizienzgründen erwünscht, da sie einen Rechenzeitgewinn um einen Faktor 4 ermöglichen. Andererseits sind RSA Berechnungen mit CRT besonders anfällig für Sicherheitslecks. Schließlich soll die Überprüfung des Zusammenfügungsschritts nicht besonders aufwendig sein, um nicht den Rechenzeitgewinn durch Verwendung des CRT durch das erneute Berechnen des Zusammenfügungsschritts wieder zunichte gemacht werden. Erfindungsgemäß wird daher nach dem Zusammenfügen der ersten Hilfsgröße und der zweiten Hilfsgröße, um ein Ergebnis der Exponentiations-Berechnung zu erhalten, das Ergebnis der Exponentiations-Berechnung mittels eines Prüfalgorithmus überprüft, der sich von dem Zusammenfügungsalgorithmus unterscheidet, und der auf eine erste Primzahl bzw. eine zweite Primzahl zugreift. Falls die Überprüfung ergibt, daß der Prüfalgorithmus ein anderes als ein vorbestimmtes Ergebnis liefert, wird die Ausgabe des Ergebnisses der Exponentiations-Berechnung unterdrückt. Ansonsten kann davon ausgegangen werden, daß keine Hardware-Attacke stattgefunden hat, so daß das Ergebnis der Exponentiations-Berechnung ausgegeben werden kann.
  • Ein Vorteil der vorliegenden Erfindung besteht darin, daß das Sicherheitsleck, das bisher beim Zusammenfügen mittels chinesischem Restsatz bestand, "gestopft" wird.
  • Ein weiterer Vorteil der vorliegenden Erfindung besteht darin, daß zur Überprüfung keine erneute Zusammenfügungsberechnung stattfinden muß, sondern daß mit einfachen Mitteln unter Verwendung der ersten bzw. der zweiten Primzahl eine Überprüfung der Exponentiations-Berechnung durchgeführt werden kann.
  • Ein weiterer Vorteil der vorliegenden Erfindung besteht darin, daß nunmehr nicht irgendwo in der Mitte des RSA-CRT- Algorithmus, sondern unmittelbar vor der Ausgabe des für einen Angreifer relevanten Ergebnisses eine Sicherheitsüberprüfung durchgeführt wird.
  • Ein weiterer Vorteil der vorliegenden Erfindung besteht darin, daß die Überprüfung des Zusammenfügungsschritts gemäß der vorliegenden Erfindung ohne weiteres mit weiteren Überprüfungsmaßnahmen, beispielsweise zur Überprüfung der Ergebnisse der Hilfs-Exponentiationen oder aber zur Abwehrung von Hardware-Attacken durch Überprüfung der Eingangsdaten nach der kryptographischen Berechnung kombiniert werden können, um einen nach allen Seiten abgesicherten RSA-CRT-Algorithmus zu erhalten, bei dem der Mehraufwand zur Absicherung des Algorithmus gegenüber Hardware-Attacken im Vergleich zum Gewinn durch Verwendung des RSA-CRT-Verfahrens klein ist.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen detailliert erläutert. Es zeigen:
  • Fig. 1 ein Blockschaltbild des erfindungsgemäßen Konzepts;
  • Fig. 2 ein bevorzugtes Ausführungsbeispiel für ein sicheres RSA-CRT-Verfahren, bei dem neben der Überprüfung des Zusammenfügungsschritts auch eine Überprüfung einer Veränderung von Eingangsdaten und eine Überprüfung von Zwischenergebnissen vorgenommen wird; und
  • Fig. 3 ein Blockschaltbild des RSA-CRT-Verfahrens unter Verwendung des Algorithmus von Garner.
  • Fig. 1 zeigt ein Blockdiagramm des erfindungsgemäßen Konzepts zum Absichern einer Exponentiations-Berechnung mittels chinesischem Restsatz. Zunächst werden zwei Primzahlen p, q bereitgestellt, deren Produkt gleich dem Modul n ist (Block 10). Hierauf wird unter Verwendung der ersten Primzahl p und unter Verwendung des chinesischen Restsatzes eine erste Hilfsgröße sp berechnet (Block 12). Analog wird unter Verwendung der zweiten Primzahl q ebenfalls mittels des CRT eine zweite Hilfsgröße sq berechnet. Die erste und die zweite Hilfsgröße sp, sq werden nunmehr zusammengefügt (Block 16), um aus den beiden Hilfs-Exponentiationen sp und sq mit jeweils "kleinem" Modul p bzw. q eine Exponentiation mit "großem" Modul n zu erhalten. Der beste Gewinn wird dann erreicht, wenn die beiden Primzahlen p, q etwa die gleiche Länge haben, also jeweils halb so groß sind wie der "große" Modul n.
  • Erfindungsgemäß wird nunmehr in einem Block 18 die Zusammenfügung der ersten und der zweiten Hilfsgröße mittels eines Überprüfungsalgorithmus überprüft, der sich von dem Zusammenfügungsalgorithmus, der im Block 16 ausgeführt wird, unterscheidet, und der das Ergebnis s der Zusammenfügung und die erste Primzahl und/oder die zweite Primzahl verwendet, wie es durch Primzahl-Eingangsleitungen 20a, 20b symbolisch dargestellt ist. Ergibt die Überprüfung im Block 18, daß der in Block 18 verwendete Prüfalgorithmus ein anderes als ein vorbestimmtes Ergebnis liefert, wird zu einem Block 22 gesprungen, der eine Ausgabe des Ergebnisses des Zusammenfügungsschritts 16 unterdrückt. Ergibt der Überprüfungsalgorithmus im Block 18 dagegen, daß sich das vorbestimmte Resultat ergibt, so kann zu einem Block 24 gesprungen werden, um eine Ausgabe des Ergebnisses des Zusammenfügungsschritts 16 zu veranlassen. Diese Ausgabe kann beispielsweise eine digitale Signatur oder ein entschlüsselter Klartext sein.
  • Bei einem bevorzugten Ausführungsbeispiel der vorliegenden Erfindung lautet der Überprüfungsalgorithmus folgendermaßen:

    s mod p = sp und/oder (10)

    s mod q = sq (11)
  • Dieser Überprüfungsalgorithmus kann unmittelbar auf den Zusammenfügungsschritt im Block 108 von Fig. 3 angewendet werden. Hierzu wird folgendermaßen vorgegangen. Zunächst wird das Zwischenergebnis s, das der Block 108 liefert, und das beispielsweise in einem Ausgangsregister des Kryptoprozessors vorliegt, verwendet. Darüber hinaus wird an eine Eingangsdaten-Speicherstelle zugegriffen, an der die erste Primzahl p abgespeichert ist. Hierauf wird s mod p berechnet und das erhaltene Ergebnis zwischengespeichert. Dann wird auf eine Zwischenergebnis-Speicherstelle zugegriffen, an der das Ergebnis des Blocks 104, als sp, gespeichert ist. Das Ergebnis der Berechnung s mod p wird mit dem gespeicherten sp verglichen. Stellt sich heraus, daß die Gleichheitsbedingung erfüllt ist, so hat der erste Teil des Überprüfungsalgorithmus zu keinem Fehler geführt. Die analoge Vorgehensweise kann mit der zweiten Primzahl q durchgeführt werden, um s mod q zu berechnen, und um dieses Ergebnis dann mit sq zu vergleichen. Ergibt sich auch hier die Gleichheitsbedingung, so kann davon ausgegangen werden, daß der Zusammenfügungsschritt korrekt stattgefunden hat, und daß auch an der Eingangsdaten- Speicherstelle, wo p und q gespeichert sind, als auch an der Zwischenergebnisspeicherstelle, wo sp und sq gespeichert sind, keine Veränderung aufgetreten ist, die auf eine Hardware-Attacke hindeuten würde. Ergibt dagegen zumindest ein Teil des Überprüfungsalgorithmus einen Fehler, so wird die Ausgabe unterdrückt, da bei der Zusammenfügung selbst und/oder an den Speicherplätzen für sp, sq, p, q, Veränderungen aufgetreten sind.
  • Im nachfolgenden wird der erste Teil des Überprüfungsalgorithmus s mod p = sp näher erläutert. Aus der im Block 108 dargestellten Gleichung wird ersichtlich, daß dieselbe nach einer modularen Reduktion mit der ersten Primzahl p zu s = sq + (sp-sq) "entartet", so daß sich die Terme +sq und -sq gegenseitig aufheben, und daß sp verbleibt.
  • Wird dagegen mit dem zweiten Teil des Überprüfungsalgorithmus mit s mod q = sq gearbeitet, so ergibt sich bei näherer Betrachtung der im Block 108 befindlichen Gleichung, daß diese den Wert sq + einem ganzzahligen Faktor multipliziert mit q ist, wobei die modulare Reduktion mittels des Moduls q von q mal einer konstanten Zahl den Wert 0 ergibt, so daß aus der im Block 108 befindlichen Gleichung noch sq verbleibt.
  • Aus näherer Analyse der im Block 108 befindlichen Gleichung für s können unter Verwendung der obigen Ausführungen weitere Überprüfungsalgorithmen abgeleitet werden, um das Ergebnis der Zusammenfügung auf irgendeine Art und Weise zu verarbeiten, um ein vorbestimmtes Resultat zu erhalten, wenn kein Fehler aufgetreten ist, bzw. um ein von dem vorbestimmten Resultat abweichendes Resultat zu erhalten, wenn ein Fehler beim Zusammenfügen aufgetreten ist.
  • Im nachfolgenden wird anhand von Fig. 2 ein bevorzugtes Ausführungsbeispiel der vorliegenden Erfindung dargestellt, bei dem der Zusammenfügungsschritt als Block 64 gekennzeichnet ist, während der erste Teil des Überprüfungsalgorithmus im Block 66a dargestellt ist, und der zweite Teil des Überprüfungsalgorithmus im Block 66b dargestellt ist. Das in Fig. 2 gezeigte gesamte RSA-CRT-Verfahren verwendet ferner zur weiteren Absicherung gegenüber Fehlerattacken eine Fehlerüberprüfung anhand der Eingangsdaten als auch anhand der ersten und der zweiten Hilfsgröße, um die korrekte Berechnung dieser Größen nachzukontrollieren.
  • Ferner wird zusätzlich bei dem in Fig. 2 gezeigten bevorzugten Ausführungsbeispiel zum sicheren Ausführen des RSA-CRT- Verfahrens eine Überprüfung der Eingangsdaten vor der Ausgabe von Ausgangsdaten eines kryptographischen Algorithmus an mehreren Stellen innerhalb des Algorithmus verwendet.
  • Des weiteren wird bei dem in Fig. 2 gezeigten Ausführungsbeispiel auch die Berechnung des kryptographischen Algorithmus selbst, und zwar insbesondere die Berechnung der beiden Hilfs-Exponentiationen überprüft.
  • Zunächst werden, wie es bereits anhand von Fig. 3 dargestellt worden ist, die Parameter p, q, dp, dq, qinv bereitgestellt, die die üblichen Eingabeparameter für das RSA-CRT-Verfahren sind. Ferner werden, wie es in einem Block 50 von Fig. 2 dargestellt ist, die zu verschlüsselnde Nachricht m sowie eine Zahl t und eine Zufallszahl rand als Eingangsdaten bereitgestellt. Vorzugsweise ist die Zahl t eine Primzahl, und vorzugsweise eine kleine Primzahl, welche beispielsweise nicht länger als 16 Bits ist, um den Vorteil des CRT-Verfahrens nicht zu stark zu schmälern, nämlich daß die beiden Hilfs- Exponentiationen mit kleinerem Modul im Vergleich zu einer einzigen modularen Exponentiation mit dem Modul n = p mal q stattfinden. Ist die Zahl t keine Primzahl, so ist dieser Fall ebenfalls möglich, in den Gleichungen müßte jedoch dann der Ausdruck (t-1) durch die Eulersche Phi-Funktion von t ersetzt werden.
  • Zunächst werden Eingangsdaten in Blöcken 52a, 52b verarbeitet. Als Verarbeitungsalgorithmus wird die Multiplikation des ursprünglichen Parameters p bzw. q mit der Primzahl t verwendet. Ferner wird als Verarbeitungsvorschrift die Addition von dp mit dem Produkt aus der Zufallszahl rand und der Zahl (p-1) bzw. entsprechend für q verwendet.
  • Es sei darauf hingewiesen, daß prinzipiell auch eine einzige der vier in den Blöcken 52a, 52b gegebenen Verarbeitungsvorschriften einen erfindungsgemäßen Effekt ergeben würde. Nach der Vollendung der Blöcke 52a, 52b werden die durch die Verarbeitung erhaltenen Sicherheitsinformationen p', dp', q' und dq' an einer Sicherheitsinformationen-Speicherstelle gespeichert. Diese Speicherstelle könnte beispielsweise der Arbeitsspeicher eines Kryptoprozessors sein, oder ein inneres Register, das dem Rechenwerk des Kryptoprozessors zugeordnet ist. Dann wird durch das Rechenwerk, wie es durch Blöcke 54a, 54b dargestellt ist, als Berechnung innerhalb des kryptographischen Algorithmus sowohl die erste Hilfs-Exponentiation (sp') als auch die zweite Hilfs-Exponentiation (sq') durchgeführt, wie es in Fig. 2 gezeigt ist. Nach dem Durchführen der Blöcke 54a, 54b werden die Ausgangsdaten der Berechnungen, nämlich sp' und sq' nicht unmittelbar entweder ausgegeben bzw. für eine weitere Berechnung weitergegeben, sondern es wird erfindungsgemäß zunächst in Blöcken 56a, 56b mittels eines Kontrollalgorithmus überprüft, ob die Eingangsdaten für die Berechnung in den Blöcken 54a, 54b während der Berechnung durch die Blöcke 54a, 54b verändert worden sind. Hierzu wird als Kontrollalgorithmus eine modulare Reduktion verwendet, wobei als vorbestimmtes Ergebnis entweder 0 erwartet wird, wie es in den ersten Zeilen der beiden Blöcke 56a, 56b dargestellt ist, oder entweder dp oder dq als vorbestimmtes Resultat erwartet wird. Das vorbestimmte Resultat ergibt sich, wenn die Größe p', die in der Terminologie der vorliegenden Erfindung die Sicherheitsinformation ist, nicht beispielsweise durch eine Fehlerattacke verändert worden ist. Dasselbe gilt für die weitere Sicherheitsinformation dp'.
  • Sind die Überprüfungen in den Blöcken 56a, 56b erfolgreich, also werden vorbestimmte Ergebnisse durch den Kontrollalgorithmus erhalten, so wird zu Blöcken 58a, 58b weitergegangen. Die Blöcke 58a, 58b zeigen bevorzugte Vorberechnungen, um neben dem Eingangsdaten-Überprüfungskonzept auch ein Ergebnisdaten-Überprüfungskonzept durchzuführen. Mittels eines Ergebnis-Kontrollalgorithmus (Block 60 in Fig. 2) wird dann überprüft, ob die Berechnung der Hilfs-Exponentiationen in den Blöcken 54a, 54b korrekt stattgefunden hat.
  • In Blöcken 62a, 62b werden die Hilfs-Exponentiationen der Blöcke 54a, 54b entsprechend modular reduziert, um den Einfluß des Parameters t bzw. der Zufallszahl zu eliminieren. In einem Block 64 wird schließlich, wie es anhand des Blocks 108 von Fig. 3 klargestellt worden ist, der Zusammensetzungsschritt ausgeführt, um aus den Hilfs-Exponentiationsergebnisse sp, sq die signierte Nachricht s zu erzeugen.
  • Bei einem bevorzugten Ausführungsbeispiel der vorliegenden Erfindung wird dieses Ergebnis jedoch nicht unmittelbar verwendet, sondern es wird nach dem Zusammensetzen durch den Block 64 eine Überprüfung dahingehend durchgeführt, ob das Zusammensetzen erfolgreich war.
  • Dies wird dadurch erreicht, daß zunächst die erhaltene signierte Nachricht s unter Verwendung der Primzahl p als Modul modular reduziert wird. Dieser Kontrollalgorithmus sollte als Ergebnis sp ergeben, wobei dieses sp gleich dem im Block 62a ausgerechneten Wert sp sein muß.
  • Analog wird in einem Block 66b vorgegangen, um die Korrektheit des Ergebnisses s auch anhand einer modularen Reduktion mit der Primzahl q als Modul zu überprüfen. Hierzu wird zur Ausführung der in Block 66a gegebenen Berechnung zunächst auf die Zwischenspeicherstelle zugegriffen, an der das Ergebnis des Blocks 64 abgespeichert wurde. Zusätzlich wird auf die Speicherstelle zugegriffen, an der das Eingangsdatum p gespeichert ist. Schließlich wird, um den Vergleich des Blocks 66a durchzuführen, auf die Speicherstelle zugegriffen, in der das Ergebnis des Blocks 62a, also sp, gespeichert ist. Analog wird im Block 66b für s, q und sq vorgegangen.
  • Liefert die Berechnung im Block 66a ein vorbestimmtes Resultat dahingehend, daß die linke und die rechte Seite der im Block 66a gegebenen Gleichung nicht gleich sind, so wird ein Fehler ausgegeben, und die Ausgabe des Ergebnisses s des Blocks 64 wird unterdrückt. Dieselbe Unterdrückung des Ergebnisses s findet statt, wenn die Berechnung im Block 66b ergibt, daß ein Fehler stattgefunden hat. Eine Unterdrückung findet somit vorzugsweise bereits dann statt, wenn ein einziger Block einen Fehler ergeben hat bzw., in anderen Worten ausgedrückt, findet eine Ergebnisausgabe mittels eines Blocks 68 nur dann statt, wenn sowohl die Berechnung im Block 66a als auch die Berechnung im Block 66b korrekt waren.
  • Anhand des Beispiels in Block 66a wird deutlich, daß dieser Ergebnis-Kontrollalgorithmus dahingehend vorteilhaft ist, daß er unmittelbar das Ergebnis des Blocks 64 zur Überprüfung verwendet, daß er jedoch auch auf den Eingangsdaten- Speicherbereich zugreift, um die Primzahl p zu erhalten bzw. den Inhalt der Speicherstelle, an der p stehen sollte, und daß zusätzlich auch ein Zwischenergebnis verwendet wird, nämlich sp, das im Schritt 62a erhalten worden ist. Mittels einer Berechnung wird somit sowohl überprüft, ob sich Eingangsdaten verändert haben, als auch wird überprüft, ob der Zusammensetzungsschritt 64 des RSA-CRT-Verfahrens von dem Krypto- Rechenwerk korrekt durchgeführt worden ist. Schließlich wird auch ein Zwischenergebnis sp verwendet, so daß in eine einzige einfache Berechnung auch Zwischenergebnis-Register mit einbezogen werden.
  • Aus dem in Fig. 2 gezeigten Ausführungsbeispiel wird deutlich, daß sowohl der Verarbeitungsalgorithmus, um die Sicherheitsinformationen zu erzeugen, als auch der Kontrollalgorithmus zum Überprüfen der Eingangsdaten einfache Algorithmen sind, die ohnehin in einem Krypto-Rechenwerk vorhanden sind, wie z. B. ein Multiplikationsalgorithmus oder ein Algorithmus zur Durchführung einer modularen Reduktion. Dasselbe trifft zu für die Verarbeitungsalgorithmen in den Blöcken 62a, 62b, die ebenfalls auf einer modularen Reduktion basieren, und auch für den Kontrollalgorithmus in den Blöcken 66a, 66b, der wiederum auf einer modularen Reduktion basiert.
  • Obgleich in dem vorhergehenden in Fig. 2 gezeigten Ausführungsbeispiel als Verarbeitungsalgorithmus die Multiplikation einer Zahl mit einer Konstanten, und als - dazu korrespondierender - Kontrollalgorithmus die modulare Reduktion des Multiplikationsergebnisses mit der ursprünglichen Zahl dargestellt worden sind, ist es für Fachleute offensichtlich, daß eine Vielzahl von miteinander korrespondierenden Verarbeitungsalgorithmen und Kontrollalgorithmen existiert, die es ermöglichen, zu überprüfen, ob Eingangsdaten während der Durchführung einer Berechnung in einem kryptographischen Algorithmus z. B. durch Fehlerattacken verändert worden sind.
  • Aus Fig. 2 wird ferner deutlich, daß die Verarbeitungsalgorithmen genauso wie die Kontrollalgorithmen sehr einfach gestaltet werden können, und keine zusätzlichen Parameter benötigen, als die ohnehin vorhandenen Parameter. Insbesondere wird es erfindungsgemäß bevorzugt, nicht zusätzliche Parameter, wie z. B. den öffentlichen Schlüssel e, zunächst aufwendig zu berechnen und dann für eine "Gegenrechnung" zu verwenden, sondern möglichst viele Eingangsdaten, Zwischenergebnisdaten etc. miteinander zu verknüpfen, da damit mittels eines einzigen Überprüfungsschritts mögliche Fehler im Arbeitsspeicher, in den inneren Registern oder in dem Rechenwerk selbst detektiert werden können, um im Falle eines Fehlers eine Datenausgabe zu unterdrücken, damit keine geheimen Informationen aus einer falschen Ausgabe ermittelbar sind. Bezugszeichenliste 10 Bereitstellen zweier Primzahlen
    12 Berechnen einer ersten Hilfsgröße sp
    14 Berechnen einer zweiten Hilfsgröße sq
    16 Zusammenfügen der ersten und der zweiten Hilfsgröße zu s
    18 Überprüfen der Zusammenfügung
    20a Leitung für erste Primzahl
    20b Leitung für zweite Primzahl
    22 Unterdrücken der Ausgabe von s
    24 Ausgabe von s
    50 Eingangsdaten für RSA-CRT-Algorithmus
    52a, 52b Verarbeiten der Eingangsdaten um Sicherheitsinformationen zu erhalten
    54a, 54b Rechnung des kryptographischen Algorithmus
    56a, 56b Verarbeiten der Sicherheitsinformationen mittels Kontrollalgorithmus und Überprüfen, ob vorbestimmtes Resultat erreicht ist
    58a, 58b Ergebnis-Kontrollalgorithmus
    60 Überprüfen mittels Ergebnis-Kontrollalgorithmus
    62, 62b Reduzieren von sp' bzw. sq'
    64 Zusammenfügungsalgorithmus
    66a, 66b erster Teil und zweiter Teil des Prüfalgorithmus
    68 Ausgabe der digitalen Signatur s
    100 Eingangsdaten in das RSA-CRT-Verfahren
    102 Ausgangsdaten des RSA-CRT-Verfahrens
    104 Berechnen einer ersten Hilfs-Exponentiation
    106 Berechnen einer zweiten Hilfs-Exponentiation
    108 Zusammenfügen der ersten und der zweiten Hilfs-Exponentiation

Claims (11)

1. Verfahren zum Absichern einer Exponentiations-Berechnung mittels chinesischem Restsatz (CRT) unter Verwendung zweier Primzahlen (p, q), die Hilfs-Module für eine Berechnung von Hilfsgrößen bilden, die zusammensetzbar sind, um eine modulare Exponentiation für einen Modul zu berechnen, der gleich dem Produkt der Hilfsgrößen ist, mit folgenden Schritten:
Berechnen (12) der ersten Hilfsgröße (sp) unter Verwendung der ersten Primzahl (p) als Modul;
Berechnen (14) der zweiten Hilfsgröße (sq) unter Verwendung der zweiten Primzahl (q) als Modul;
Zusammenfügen (16) der ersten Hilfsgröße (sp) und der zweiten Hilfsgröße (sq) unter Verwendung eines Zusammenfügungsalgorithmus, um ein Ergebnis der Exponentiations-Berechnung zu erhalten;
nach dem Schritt des Zusammenfügens, Überprüfen (18) des Ergebnisses der Exponentiations-Berechnung mittels eines Prüfalgorithmus (66a, 66b), der sich von dem Zusammenfügungsalgorithmus unterscheidet, unter Verwendung der ersten Primzahl (p) und/oder der zweiten Primzahl (q), wobei der Prüfalgorithmus ein vorbestimmtes Resultat liefert, wenn der Schritt des Zusammenfügens (16) korrekt abgelaufen ist; und
falls der Schritt des Überprüfens (18) ergibt, daß der Prüfalgorithmus ein anderes als das vorbestimmte Resultat liefert, Unterdrücken (22) einer Ausgabe des Ergebnisses der Exponentiations-Berechnung.
2. Verfahren nach Anspruch 1, bei dem der Prüfalgorithmus als Eingangsdaten neben dem Ergebnis (s) der Exponentiations- Berechnung einen Inhalt einer Speicherstelle verwendet, an der die erste Hilfsgröße (sp), die zweite Hilfsgröße (sq), die erste Primzahl (p) oder die zweite Primzahl (q) gespeichert sind.
3. Verfahren nach Anspruch 1 oder 2, bei dem die Exponentiations-Berechnung eine RSA- Verschlüsselung, eine RSA-Entschlüsselung, eine RSA- Signaturberechnung oder eine RSA-Signatur- Verfikationsberechnung ist.
4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Zusammenfügungsalgorithmus der Algorithmus nach Garner ist.
5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Prüfalgorithmus eine modulare Reduktion des Ergebnisses der Exponentiations-Berechnung mit der ersten Primzahl (p) und/oder der zweiten Primzahl (q) als Modul umfaßt.
6. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die erste Hilfsgröße folgendermaßen berechnet wird:

sp = mdp mod p;

bei dem die zweite Hilfsgröße folgendermaßen berechnet wird:

sq = mdq mod q;

bei dem der Zusammenfügungsalgorithmus folgendermaßen definiert ist:

s = sq + {[(sp-sq).qinv]mod p}.q; und

bei dem der Überprüfungsalgorithmus folgendermaßen definiert ist:

s mod p = sp; und/oder

s mod q = sq; und

bei dem das Vorbestimmte Resultat eine Gleichheitsbedingung in dem Überprüfungsalgorithmus ist.
7. Verfahren nach einem der Ansprüche 1 bis 5, das ferner folgenden Schritt aufweist:
nach dem Schritt des Zusammenfügens der ersten Hilfsgröße und der zweiten Hilfsgröße, Überprüfen, ob Eingangsdaten für die Exponentiations-Berechnung verändert wurden, und, wenn dies der Fall ist, Unterdrücken des Ergebnisses der Exponentiations-Berechnung.
8. Verfahren nach Anspruch 7, bei dem zur Überprüfung von Hilfs-Exponenten (dp, dq) eine Zufallszahl (rand) verwendet wird.
9. Verfahren nach Anspruch 7 oder 8, bei dem zur Überprüfung der ersten Primzahl (p) und der zweiten Primzahl (q) als Eingangsdaten eine Primzahl (t) verwendet wird.
10. Verfahren nach Anspruch 9, bei der die Primzahl (t) eine Stellenzahl hat, die kleiner als eine Stellenzahl der ersten Primzahl (p) und der zweiten Primzahl (q) ist.
11. Vorrichtung zum Absichern einer Exponentiations- Berechnung mittels chinesischem Restsatz (CRT) unter Verwendung zweier Primzahlen (p, q), die Hilfs-Module für eine Berechnung von Hilfsgrößen bilden, die zusammensetzbar sind, um eine modulare Exponentiation für einen Modul zu berechnen, der gleich dem Produkt der Hilfsgrößen ist, mit folgenden Merkmalen:
einer Einrichtung zum Berechnen (12) der ersten Hilfsgröße (sp) unter Verwendung der ersten Primzahl (p) als Modul;
einer Einrichtung zum Berechnen (14) der zweiten Hilfsgröße (sq) unter Verwendung der zweiten Primzahl (q) als Modul;
einer Einrichtung zum Zusammenfügen (16) der ersten Hilfsgröße (sp) und der zweiten Hilfsgröße (sq) unter Verwendung eines Zusammenfügungsalgorithmus, um ein Ergebnis der Exponentiations-Berechnung zu erhalten;
einer Einrichtung zum Überprüfen (18) des Ergebnisses der Exponentiations-Berechnung mittels eines Prüfalgorithmus (66a, 66b), der sich von dem Zusammenfügungsalgorithmus unterscheidet, unter Verwendung der ersten Primzahl (p) und/oder der zweiten Primzahl (q), wobei der Prüfalgorithmus ein vorbestimmtes Resultat liefert, wenn die Einrichtung zum Zusammenfügen (16) ein korrektes Ergebnis geliefert hat; und
einer Einrichtung zum Unterdrücken (22) einer Ausgabe des Ergebnisses der Exponentiations-Berechnung, falls die Einrichtung zum Überprüfen (18) anzeigt, daß der Prüfalgorithmus ein anderes als das vorbestimmte Resultat liefert.
DE10162584A 2001-10-17 2001-12-19 Verfahren und Vorrichtung zum Absichern einer Exponentiations-Berechnung mittels dem chinesischen Restsatz (CRT) Ceased DE10162584A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE10162584A DE10162584A1 (de) 2001-10-17 2001-12-19 Verfahren und Vorrichtung zum Absichern einer Exponentiations-Berechnung mittels dem chinesischen Restsatz (CRT)
EP02785220A EP1454260B1 (de) 2001-10-17 2002-10-15 Verfahren und vorrichtung zum absichern einer exponentiations-berechnung mittels dem chinesischen restsatz (crt)
DE50203303T DE50203303D1 (de) 2001-10-17 2002-10-15 Verfahren und vorrichtung zum absichern einer exponentiations-berechnung mittels dem chinesischen restsatz (crt)
PCT/EP2002/011530 WO2003034268A2 (de) 2001-10-17 2002-10-15 Verfahren und vorrichtung zum absichern einer exponentiations-berechnung mittels dem chinesischen restsatz (crt)
US10/825,625 US7496758B2 (en) 2001-10-17 2004-04-15 Method and apparatus for protecting an exponentiation calculation by means of the chinese remainder theorem (CRT)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10151139 2001-10-17
DE10162584A DE10162584A1 (de) 2001-10-17 2001-12-19 Verfahren und Vorrichtung zum Absichern einer Exponentiations-Berechnung mittels dem chinesischen Restsatz (CRT)

Publications (1)

Publication Number Publication Date
DE10162584A1 true DE10162584A1 (de) 2003-05-08

Family

ID=7702733

Family Applications (3)

Application Number Title Priority Date Filing Date
DE10162584A Ceased DE10162584A1 (de) 2001-10-17 2001-12-19 Verfahren und Vorrichtung zum Absichern einer Exponentiations-Berechnung mittels dem chinesischen Restsatz (CRT)
DE10162496A Expired - Fee Related DE10162496C5 (de) 2001-10-17 2001-12-19 Verfahren und Vorrichtung zum Absichern einer Berechnung in einem kryptographischen Algorithmus
DE50203303T Expired - Lifetime DE50203303D1 (de) 2001-10-17 2002-10-15 Verfahren und vorrichtung zum absichern einer exponentiations-berechnung mittels dem chinesischen restsatz (crt)

Family Applications After (2)

Application Number Title Priority Date Filing Date
DE10162496A Expired - Fee Related DE10162496C5 (de) 2001-10-17 2001-12-19 Verfahren und Vorrichtung zum Absichern einer Berechnung in einem kryptographischen Algorithmus
DE50203303T Expired - Lifetime DE50203303D1 (de) 2001-10-17 2002-10-15 Verfahren und vorrichtung zum absichern einer exponentiations-berechnung mittels dem chinesischen restsatz (crt)

Country Status (1)

Country Link
DE (3) DE10162584A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005038228A1 (de) * 2005-08-12 2007-02-15 Giesecke & Devrient Gmbh Geschütztes kryptographisches Verfahren
DE102017006169A1 (de) * 2017-06-29 2019-01-03 Giesecke+Devrient Mobile Security Gmbh Mikroprozessor-Einrichtung mit Schlüssel-Prüfungs-Routine

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004008180A1 (de) * 2004-02-19 2005-09-01 Giesecke & Devrient Gmbh Verfahren zum sicheren Betrieb eines tragbaren Datenträgers

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks
US6282290B1 (en) * 1997-03-28 2001-08-28 Mykotronx, Inc. High speed modular exponentiator
DE10024325A1 (de) * 2000-05-17 2001-12-06 Giesecke & Devrient Gmbh Kryptographisches Verfahren und kryptographische Vorrichtung

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4234165C1 (de) * 1992-10-09 1994-03-03 Detecon Gmbh Verfahren zur Ermöglichung der nachträglichen Überprüfung bereits übermittelter Daten
FR2704341B1 (fr) * 1993-04-22 1995-06-02 Bull Cp8 Dispositif de protection des clés d'une carte à puce.
GB9510035D0 (en) * 1995-05-18 1995-08-02 Cryptech Systems Inc Strengthened public key protocols
US6092229A (en) * 1996-10-09 2000-07-18 Lsi Logic Corporation Single chip systems using general purpose processors
DE19725167A1 (de) * 1997-06-13 1998-12-17 Utimaco Safeware Ag Verfahren zur sicheren Anzeige bei der Übertragung von Daten oder Dateien zwischen Teilnehmern
DE19961838A1 (de) * 1999-12-21 2001-07-05 Scm Microsystems Gmbh Verfahren und Vorrichtung zur Überprüfung einer Datei

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6282290B1 (en) * 1997-03-28 2001-08-28 Mykotronx, Inc. High speed modular exponentiator
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks
DE10024325A1 (de) * 2000-05-17 2001-12-06 Giesecke & Devrient Gmbh Kryptographisches Verfahren und kryptographische Vorrichtung

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
BONEH, D. u.a.: On the Importance of Checking Cryptographic Protocols for Faults, Lecture Notes in Computer Science, Bd. 1233, Berlin 1997, Springer, S. 37-51 *
MENEZES, A. u.a.: Handbook of Applied Cryptogra- phy. Boca Raton, CRC Press, 1997, S. 612-613 *
SCHNORR, C.: Efficient Identification and Signa- tures for Smart Cards. Lecture Notes in Computer Science, Bd. 434, Berlin 1990, Springer,S.239-252 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005038228A1 (de) * 2005-08-12 2007-02-15 Giesecke & Devrient Gmbh Geschütztes kryptographisches Verfahren
DE102017006169A1 (de) * 2017-06-29 2019-01-03 Giesecke+Devrient Mobile Security Gmbh Mikroprozessor-Einrichtung mit Schlüssel-Prüfungs-Routine
DE102017006169B4 (de) 2017-06-29 2019-01-24 Giesecke+Devrient Mobile Security Gmbh Mikroprozessor-Einrichtung mit Schlüssel-Prüfungs-Routine

Also Published As

Publication number Publication date
DE10162496B4 (de) 2004-02-05
DE10162496C5 (de) 2009-02-26
DE10162496A1 (de) 2003-05-08
DE50203303D1 (de) 2005-07-07

Similar Documents

Publication Publication Date Title
DE69828787T2 (de) Verbessertes verfahren und vorrichtung zum schutz eines verschlüsselungsverfahrens mit öffentlichem schlüssel gegen angriffe mit zeitmessung und fehlereinspeisung
DE2843583C2 (de) Verfahren für den zugriffsicheren Nachrichtenverkehr über einen ungesicherten Nachrichtenübertragungskanal
EP2901611B1 (de) Seitenkanalgeschützte maskierung
EP3593483B1 (de) Übergang von einer booleschen maskierung zu einer arithmetischen maskierung
DE10143728B4 (de) Vorrichtung und Verfahren zum Berechnen eines Ergebnisses einer modularen Exponentiation
DE102008051447B9 (de) Verfahren und Vorrichtung zum Schützen einer RSA-Berechnung an einer Ausgabe mit Hilfe des chinesischen Restsatzes
DE102005037598A1 (de) Verfahren und System zur Sicherung von Daten
DE102005024609A1 (de) Bestimmung einer modularen Inversen
DE602004006628T2 (de) Verfahren zur gesicherten ausführung eines rsa kryptographischen algorithmus, sowie diesbezüglicher baustein.
DE10304451B3 (de) Modulare Exponentiation mit randomisiertem Exponenten
EP1987421B1 (de) Verfahren, vorrichtung und system zum verifizieren von auf einer elliptischen kurve ermittelten punkten
EP1540880B1 (de) Geschützte kryptographische berechnung
EP1454260B1 (de) Verfahren und vorrichtung zum absichern einer exponentiations-berechnung mittels dem chinesischen restsatz (crt)
EP1442391B1 (de) Verfahren und vorrichtung zum absichern einer berechnung in einem kryptographischen algorithmus
DE102004061312B4 (de) Vorrichtung und Verfahren zum Detektieren eines potentiellen Angriffs auf eine kryptographische Berechnung
DE10111987A1 (de) Verfahren und Vorrichtung zum modularen Multiplizieren
DE60218421T2 (de) Verfahren und Vorrichtung zur Erzeugung von Digitalsignaturen
DE10162584A1 (de) Verfahren und Vorrichtung zum Absichern einer Exponentiations-Berechnung mittels dem chinesischen Restsatz (CRT)
DE10042234C2 (de) Verfahren und Vorrichtung zum Durchführen einer modularen Exponentiation in einem kryptographischen Prozessor
EP1478999B1 (de) Vorrichtung und verfahren zum umrechnen eines terms
DE10328860A1 (de) Vorrichtung und Verfahren zum Verschlüsseln von Daten
DE602005003984T2 (de) Kryptografisches Verfahren und Gerät
EP1760929B1 (de) Geschütztes kryptographisches Verfahren
DE102004001659A1 (de) Vorrichtung und Verfahren zum Konvertieren einer ersten Nachricht in eine zweite Nachricht
DE10250810A1 (de) Geschützte kryptographische Berechnung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection