EP1969459A1 - Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée - Google Patents
Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associéeInfo
- Publication number
- EP1969459A1 EP1969459A1 EP06841618A EP06841618A EP1969459A1 EP 1969459 A1 EP1969459 A1 EP 1969459A1 EP 06841618 A EP06841618 A EP 06841618A EP 06841618 A EP06841618 A EP 06841618A EP 1969459 A1 EP1969459 A1 EP 1969459A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- mod
- calculate
- exponentiation
- operand
- mgt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000000873 masking effect Effects 0.000 claims abstract description 10
- 239000004300 potassium benzoate Substances 0.000 claims description 6
- 239000004322 Butylated hydroxytoluene Substances 0.000 claims description 4
- 239000004262 Ethyl gallate Substances 0.000 claims description 4
- 239000001679 citrus red 2 Substances 0.000 claims description 3
- 239000000555 dodecyl gallate Substances 0.000 claims description 3
- 239000000787 lecithin Substances 0.000 claims description 3
- 239000000574 octyl gallate Substances 0.000 claims description 3
- 239000004299 sodium benzoate Substances 0.000 claims description 3
- 239000003623 enhancer Substances 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 description 16
- 238000011144 upstream manufacturing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 2
- TVZRAEYQIKYCPH-UHFFFAOYSA-N 3-(trimethylsilyl)propane-1-sulfonic acid Chemical compound C[Si](C)(C)CCCS(O)(=O)=O TVZRAEYQIKYCPH-UHFFFAOYSA-N 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/723—Modular exponentiation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7223—Randomisation as countermeasure against side channel attacks
- G06F2207/7233—Masking, e.g. (A**e)+r mod n
- G06F2207/7238—Operand masking, i.e. message blinding, e.g. (A+r)**e mod n; k.(P+R)
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7223—Randomisation as countermeasure against side channel attacks
- G06F2207/7257—Random modification not requiring correction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/728—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic using Montgomery reduction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/04—Masking or blinding
- H04L2209/046—Masking or blinding of operations, operands or results of the operations
Definitions
- Cryptoqr ⁇ phiqu ⁇ method comprising a secure modular exponentiation against hidden channel attacks, cryptoprocessor for implementing the method and associated smart card
- El hide the operand A by a number s, s is a random number, or a number resulting from a function generating a sequence of deterministic numbers, or a fixed secret number,
- A is then according to the application a message to sign, to verify, to encrypt or to decipher.
- Bl is according to the application a public or private key. This is a result depending on the application a signed message, or decrypted.
- Masking the number A by a number s is a known countermeasure for securing modular exponentiation operations, especially when implemented in smart card microcircuits, against so-called auxiliary channel or hidden channel attacks ( Side Chanel Attacks) which provide information on the number Bl.
- a first known countermeasure of Dl is to draw a hazard s, calculate s B2 , where B2 is a private or public key associated with Bl, then multiply s B2 by A (s B2 .A), raise the result of the multiplication to the power Bl ((s B2 .A) B1 ) then reduce modulo N.
- Bl and B2 being a public key and an associated private key, we have Bl.
- B2 1 modulo ⁇ (N), where ⁇ represents the function of Euler, so that the result ((s B2 .A) B1 ) modulo N is simplified to give (sA B1 ) modulo N.
- This solution is certainly effective, but its implementation is expensive. Indeed, for the measurement to be effective, it is essential that s B2 is larger than the size of A. This assumes that s is large, more precisely larger than the size of A divided by size. B2.
- B2 is small (for example less than seventeen bits)
- s must be large (for example, more than the number of bits in the module divided by seventeen).
- Producing random numbers of large sizes requires the use of a large generator, which on the one hand consumes a large current and on the other hand requires a relatively large time, which is not always compatible with applications smart card type. Moreover the time to realize the division can be long.
- a second countermeasure known in particular from the document D2 (J. S. Coron, P. Paillier "Countermeasure method in an electronic component which uses RSA-type public key cryptography algorithm" Patent number FR 2799851.
- An object of the invention is to provide a solution for performing a modular operation type A B1 mod N more interesting than the known solutions because inexpensive to implement.
- B1 and B2 are naturally associated private and public keys.
- the hazard s is on the one hand multiplied by B2 and on the other hand it is placed in exponent.
- the parameter ⁇ s - B2 is large enough to mask the operand A, even when s is small. With the invention, it is therefore not necessary to have a large random generator.
- Another object of the invention is to provide a rapid process to implement.
- the steps of E1 masking, E2 exponentiation and E3 unmasking are carried out using a Montgomery multiplier, which has the advantage of making modular multiplications which are particularly quick to execute compared to conventional multipliers and very useful for exponentiation.
- the constant K equal to 2 P is chosen, p being an integer between 0 and n, n being an enhancer of the size of the module N.
- N we mean here an equal number or slightly larger than the size of n, and conventionally dependent on the choice of implementation of Montgomery multiplication and / or the hardware capabilities of the processor in which the multiplication is implemented. For example, if N is a number of 520 bits, and if the processor used works with words of 576 bits, advantageously n will be chosen equal to 576 bits.
- the invention also relates to a cryptoprocessor including in particular a Montgomery multiplier for the implementation of a method as described above.
- the invention finally relates to a smart card comprising a cryptoprocessor as described above.
- operand A is multiplied by a parameter of the form K S ' B2 , where K is a constant and B2 is a second exponent such that B1 is a constant.
- step E3 the contribution K s brought by the hazard is removed at C to find the desired result vs.
- the invention is preferably implemented using a Montgomery multiplier.
- One advantage of this multiplier is its speed of computation.
- the disadvantage of this multiplier is that it introduces into the computation a constant R, called the Montgomery constant.
- the Montgomery constant is intrinsic to the multiplier and it is necessary to suppress its contribution upstream of the computation, during the calculation or at the end.
- Mgt (CA, B, N) AB mod N.
- the Montgomery multiplications and exponentiations are used to accelerate the exponentiation calculation masked by the hazard K S ' B2 .
- step E1 of masking operand A the following sub-steps are carried out, consisting of:
- step E3 of unmasking the masked result the following sub-steps are carried out:
- E012 choose a random number s and multiply it by B2 to get if, E013: calculate R 2 ,
- the same register or the same part of memory can be used to store intermediate variables whose name includes the same letter: Ml, M2 can be stored successively in a register M, likewise the variables II, 12, V can be stored in the same register I, and the variables U1, U2, U3, U4 can be stored in the same register U.
- Step ElIl also becomes unnecessary since R2 has been calculated during step E013
- step E211 becomes useless
- the invention can also be advantageously combined with the Chinese remainder theorem to accelerate the calculation of the exponentiation, it is commonly referred to as RSA-CRT.
- step E3 the value K 2 in (K 2 ) ⁇ s is appropriate for the Montgomery modular operations on the module N, given that the size of N is less than or equal to the sum of the sizes of p. and q, size (N) ⁇ size (p) + size (q) ⁇ 2 * max (size (p), size (q)).
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
L'invention concerne un procédé cryptographique pour réaliser une exponentiation modulaire de type C = AB1 mod N, où A est un opérande, B1 un premier exposant, N est un module et C est un résultat, pour les étapes suivantes : E1 : masquer l'opérande A par un nombre s, E2 : réaliser une exponentiation modulaire de l'opérande masqué par l'exposant B1, puis E3 : démasquer le résultat de l'exponentiation, en enlevant au résultat de l'exponentiation une contribution du nombre aléatoire s. Selon l'invention, lors de l'étape E1 de masquage de l'opérande A, on multiplie l'opérande A par un paramètre de la forme Ks.B2, où K est une constante et B2 est un deuxième exposant tel que B1.B2 = 1 mod N. Le procédé est mis en oeuvre de préférence en utilisant un multiplieur de Montgomery. Le choix préféré de la constante K est K = 2p, p étant un entier compris entre 0 et n, n étant un majorant de la taille du module N et classiquement dépendant du choix d'implémentation de la multiplication de Montgomery.
Description
Procédé cryptoqrαphiquβ comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuyre du procédé et carte à puce associée
L' invention concerne un procédé cryptographique sécurisé contre les attaques à canaux cachés au cours duquel, pour réaliser une exponentiation modulaire de type C = AB1 mod N, où A est un opérande, Bl un premier exposant, N est un module et C est un résultat, on réalise les étapes suivantes, consistant à :
• El : masquer l'opérande A par un nombre s, s est un nombre aléatoire, ou un nombre résultant d'une fonction générant une suite de nombres s déterministe, ou une nombre secret fixe,
• E2 : réaliser une exponentiation modulaire de l'opérande masqué par l'exposant Bl, puis
• E3 : démasquer le résultat de l'exponentiation, en enlevant au résultat de l'exponentiation une contribution du nombre aléatoire s.
De tels procédés sont notamment intéressants pour des applications asymétriques de signature et de chiffrement. A est alors selon l'application un message à signer, à vérifier, à chiffrer ou à déchiffrer. Bl est selon l'application une clé publique ou privée. C est un résultat selon l'application un message signé, ou déchiffré .
Masquer le nombre A par un nombre s est une contre-mesure connue pour sécuriser les opérations d'exponentiation modulaire, notamment lorsqu'elles sont implémentées dans les microcircuits de type carte à puce, contre des attaques dites par canaux auxiliaires ou à canaux cachés (en anglais Side Chanel Attacks) qui permettent d'obtenir de 1 ' information sur le nombre Bl .
Une première contre-mesure connue du document Dl (Timing Attack on Implementations of Diffie-Hellman, RSA, DSS and Other Systems, Paul Rocher, Crypto 1996, LNCS Springer) consiste à tirer un aléa s, calculer sB2, où B2 est une clé privée ou publique associée à Bl, puis multiplier sB2 par A (sB2.A), élever le résultat de la multiplication à la puissance Bl ((sB2.A)B1) puis réduire modulo N. Bl et B2 étant une clé publique et une clé privée associée, on a Bl. B2 = 1 modulo φ (N), où φ représente la fonction d'Euler, de sorte que le résultat ((sB2.A)B1) modulo N se simplifie pour donner (s.AB1) modulo N. Une division par s permet finalement d'obtenir le résultat recherché C = AB1 mod N. Cette solution est certes efficace, mais sa mise en œuvre est onéreuse. En effet, pour que la mesure soit efficace, il est indispensable que sB2 soit de taille supérieure à la taille de A. Ce qui suppose que s soit de grande taille, plus précisément de taille supérieure à la taille de A divisée par la taille de B2. Si B2 est de petite taille (par exemple de moins de dix-sept bits) , s doit être de grande taille (par exemple de plus du nombre de bits du module divisé par dix-sept) . Produire des nombres aléatoires de grandes tailles nécessite l'utilisation d'un générateur de grande taille, qui d'une part consomme un courant important et d'autre part nécessite un temps relativement important, ce qui n'est pas toujours compatible avec des applications de type carte à puce. De plus le temps pour réaliser la division peut être long.
Une deuxième contre-mesure, connue notamment du document D2 (J. S. Coron, P. Paillier « Countermeasure method in an electronic component which uses on RSA-type public key cryptographie algorithm » Patent number FR 2799851.
Publication date 2001-04-20. Int Pub Numb . WO0128153), consiste à utiliser deux nombres aléatoires si, s2 pour réaliser l'opération (A+sl.N)B1 mod (s2.N). On enlève ensuite à la fin du calcul la contribution apportée par
si et s2. Comme si, s2 peuvent être de petite taille, leur obtention est plus aisée. Toutefois, cette méthode nécessite de réaliser une opération modulo s2.N. Ceci nécessite l'utilisation d'un multiplieur de plus grande taille et n'est pas toujours compatible avec des applications de type carte à puce.
Un but de 1 ' invention est de proposer une solution pour réaliser une opération modulaire de type AB1 mod N plus intéressante que les solutions connues car peu onéreuse à mettre en œuvre.
Pour cela, l'invention propose de masquer l'opérande A en multipliant l'opérande A par un paramètre de la forme KS'B2, où K est une constante (éventuellement publique) et B2 est un deuxième exposant tel que Bl. B2 = 1 mod φ(N) .
Pour les applications cryptographiques envisagées, Bl et B2 sont naturellement des clés privée et publique associées .
Lors de l'étape de démasquage après exponentiation, on enlève la contribution Ks apportée par l'aléa s.
Dans l'invention, l'aléa s est d'une part multiplié par B2 et d'autre part il est placé en exposant. Ainsi, le paramètre κs-B2 est suffisamment grand pour masquer l'opérande A, même lorsque s est petit. Avec l'invention, il n'est donc pas nécessaire de disposer d'un générateur aléatoire de grande taille.
Un autre but de 1 ' invention est de proposer un procédé rapide à mettre en œuvre.
Pour cela, dans un mode préféré de mise en œuvre de l'invention, on réalise les étapes de masquage El, d'exponentiation E2 et de démasquage E3 en utilisant un multiplieur de Montgomery, qui a l'avantage de réaliser des multiplications modulaires qui sont particulièrement
rapides à exécuter par rapport à des multiplieurs classiques et très utiles pour les exponentiations.
De préférence également, on choisit la constante K égale à 2P, p étant un nombre entier compris entre 0 et n, n étant un majorant de la taille du module N. Par majorant de la taille de N, on entend ici un nombre égal ou légèrement supérieur à la taille de n, et classiquement dépendant du choix d' implémentation de la multiplication de Montgomery et /ou des possibilités matérielles du processeur dans lequel la multiplication est implémentée. Par exemple, si N est un nombre de 520 bits, et si le processeur utilisé travaille avec des mots de 576 bits, on choisira avantageusement n égal à 576 bits. Le choix de la constante K = 2P permet d'utiliser avantageusement les propriétés des multiplieurs de Montgomery pour accélérer les calculs tout en garantissant la sécurité du procédé. Le choix d'un nombre p = n tel que K = 2n est optimal comme on le verra mieux par la suite.
L'invention concerne également un cryptoprocesseur comprenant notamment un multiplieur de Montgomery pour la mise en œuvre d'un procédé tel que décrit ci-dessus. L'invention concerne enfin une carte à puce comprenant un cryptoprocesseur tel que décrit ci-dessus.
L'invention sera mieux comprise, et d'autres caractéristiques et avantages de l'invention ressortiront clairement de la description qui est faite ci-après, à titre indicatif et nullement limitatif, du mode préféré de mise en œuvre de l'invention.
Comme on l'a dit précédemment, l'invention concerne un procédé cryptographique sécurisé au cours duquel, pour réaliser une exponentiation modulaire de type C = AB1 mod N, où A est un opérande, Bl un premier exposant, N est un module et C est un résultat, on réalise les étapes suivantes, consistant à :
• El : masquer l'opérande A par un nombre aléatoire s,
• E2 : réaliser une exponentiation modulaire de l'opérande masqué par l'exposant Bl, puis
• E3 : démasquer le résultat de l'exponentiation, en enlevant au résultat de l'exponentiation une contribution du nombre aléatoire s.
Selon l'invention, lors de l'étape El de masquage de l'opérande A, on multiplie l'opérande A par un paramètre de la forme KS'B2, où K est une constante et B2 est un deuxième exposant tel que Bl. B2 = 1 mod φ(N) . On obtient ainsi un opérande masqué A' = KS'B2.A. L'exponentiation de
A' (étape E2) par Bl donne le résultat masqué C = KS.AB1 mod N. Enfin, lors de l'étape E3, on enlève à C la contribution Ks apportée par l'aléa s pour retrouver le résultat recherché C.
L'invention est mise en œuvre de préférence en utilisant un multiplieur de Montgomery.
Avant de décrire plus complètement le procédé de l'invention, il convient de rappeler quelques propriétés connues d'un multiplieur de Montgomery, décrites par exemple dans le document D3 (P. L. Montgomery, Modular Multiplication without trial division, Mathematics of computation, 44(170) pp 519-521, april 1985).
Un multiplieur de Montgomery permet de réaliser des multiplications du type Mgt(A,B,N) = A. B. R"1 mod N. Un avantage de ce multiplieur est sa rapidité de calcul. Un
inconvénient de ce multiplieur est qu'il introduit dans le calcul une constante R, appelée constante de Montgomery. R est une puissance de 2 co-première avec N : R = 2n avec n tel que PGCD(R, N) = 1. La constante de Montgomery est intrinsèque au multiplieur et il est nécessaire de supprimer sa contribution en amont du calcul, au cours du calcul ou à la fin. Ainsi, pour calculer C = A. B mod N, on peut par exemple calculer d'abord A. R puis Mgt(A.R,B,N) = A. B mod N. On peut également réaliser une lere multiplication Co = Mgt(A.R, B. R, N) = A. B. R mod N puis une deuxième multiplication de type C = Mgt(l,C0, N) = A. B mod N.
Le multiplieur de Montgomery permet également de réaliser des exponentiations modulaires de type C = MgtExp (A, B, N) = AB.R~{B~1] mod N ou C = MgtExp (A. R, B, N) = AB . R mod N (on compense dans ce cas la constante R~B introduite par le calcul en multipliant A par R en amont du calcul) . Concrètement, pour réaliser une exponentiation de Montgomery, on exécute un algorithme comme par exemple celui communément appelé "square and multiply" consistant, dans une boucle indicée par i variant entre q-1 et 0, q étant la taille du nombre B, en une succession de multiplications de type U1 = Mgt (U1-I, U1-I, N) et éventuellement Mgt (U1, A, N) (ou Mgt (U1, A. R, N) ), selon la valeur d'un bit B1 de B associé à l'indice i, U1 étant une variable de boucle initialisée à la valeur Uq = R. Cette exponentiation est expliquée plus en détails dans le document D4 (Handbook of Applied Cryptography par A. Menezes, P. Van Oorschot et S. Vanstone, CRC Press 1996, chapitre 14, algorithme 14.94). Ce calcul d'exponentiation a l'avantage d'être particulièrement rapide .
Les opérations de Montgomery ont notamment les propriétés suivantes, qui seront utilisées par la suite :
Mgt(A,B,N) = A. B. R"1 mod N
Mgt (A. R, B. R, N) = A. B. R mod N
Mgt (1,1,N) = Mgt (N-I, N-I, N) = R"1 mod N
Mgt (A, 1,N) = Mgt (N-A, N-I, N) = A. R"1 mod N
MgtExp (A. R, B, N) = AB . R mod N
Dans le mode préféré de mise en œuvre du procédé de l'invention, on utilise les multiplications et les exponentiations de Montgomery pour accélérer le calcul d'exponentiation masqué par l'aléa KS'B2.
Tout d'abord, lors de l'étape El de masquage de l'opérande A on réalise les sous-étapes suivantes, consistant à :
• EIl : réaliser une première exponentiation de Montgomery de la constante K par le produit du nombre aléatoire s par le deuxième exposant B2 ; on obtient ainsi le masque κs'B2 mod N puis
• E12 : réaliser une multiplication de Montgomery du résultat de la première exponentiation de Montgomery (= le masque KS'B ) par l'opérande A pour produire un opérande masqué A' (A' = KS'B2.A mod N) .
Ensuite, lors de l'étape d'exponentiation E2 de l'opérande masqué A', on réalise la sous-étape suivante :
• E212 : réaliser une deuxième exponentiation de Montgomery de l'opérande masqué A' par le premier exposant Bl pour produire un résultat masqué C
Enfin, lors de l'étape E3 de démasquage du résultat masqué, on réalise les sous-étapes suivantes :
• E31 : réaliser une troisième exponentiation de Montgomery pour calculer le paramètre K~s,
• E32 : réaliser une multiplication de Montgomery du résultat masqué C par K~s .
Comme on l'a vu précédemment, les multiplications et les exponentiations de Montgomery introduisent dans le résultat une contribution fonction de la constante R de
Montgomery. Cette constante peut être éliminée en fin de chaque multiplication, par exemple en réalisant une multiplication de Montgomery par R2 après un calcul.
Lorsque cela est possible, et notamment pour les exponentiations, il est plus facile de compenser la constante R en amont, en multipliant l'opérande par la constante R, plutôt que de compenser une puissance de R
(à fortiori une puissance négative de R) en sortie.
Egalement, un choix approprié de la constante K permet d'accélérer encore le calcul, et notamment l'étape E31 de calcul de K~s . Plus précisément, choisir une constante K = 2P (p compris entre 0 et n) de la même forme que la constante de Montgomery R = 2n, permet de simplifier les calculs. On a en particulier :
Mgt(l,l,N) = Mgt (N-I, N-I, N) = R"1 mod N Mgt (A, 1,N) = Mgt (N-A, N-I , N) = A. R"1 mod N Mgt(2p,l,N) = Mgt (N-2P,N-1,N) = 2p.2"n mod N
= (2""P)"1 mod N
Mgt (2n"p, 1,N) = Mgt (N-2n"p, N-I , N) = 2n"p.2"n mod N = (2p)~λ mod N, avec 2n"p = R/K Le calcul de l'inverse de K puis de K~s est ainsi facilité .
Après diverses simplifications suite au choix de K = 2P, on obtient finalement un procédé comprenant l'ensemble des étapes suivantes. EO : initialisation :
EOIl : choisir un entier j et calculer la constante K = R/2:, (comme R = 2n, K = 2P avec p=n-j )
E012 : choisir un nombre aléatoire s et le multiplier par B2 pour obtenir si,
E013 : calculer R2,
El : masquer A en A'
EIl : calculer le masque Ksl
ElIl : calculer Tl = Mgt(K,R2,N) = K*R mod N ; cette étape permet de compenser en amont la contribution de R dans l'exponentiation qui suit
E112 : calculer Ul = MgtExp (Tl, si, N) = Ksl*R mod N E12 : masquer A en A'
E121 : calculer Ml = Mgt(Ul,A,N) = Ksl.A mod N E2 : calculer C = A'B1 mod N
E211 : calculer M2 = Mgt(Ml,R2,N) = Ksl.A.R mod N cette étape permet de compenser en amont la contribution de R dans l'exponentiation qui suit
E212 : calculer U2 = MgtExp (Ml, Bl, N) = AB1.KS.R mod N
E3 : retrouver C à partir de C E31 : calculer K"s
E311 : calculer II = Mgt(2:,l,N) = K"1 mod N E312 : calculer 12 = Mgt(Il,R2,N) = K"1. R mod N E313 : calculer V = MgtExp (12, s, N) = K"S.R mod N
E32 : calculer C = C'.K"S
E321 : calculer U3 = Mgt(U2,V,N) = AB1.R mod N E322 : calculer U4 = Mgt(U3,l,N) = AB1 mod N
A noter que, lors de la mise en œuvre du procédé ci- dessus dans un cryptoprocesseur, un même registre ou une même partie de mémoire peut être utilisé pour mémoriser des variables intermédiaires dont le nom comprend la même lettre : Ml, M2 peuvent être stockées successivement dans un registre M, de même les variables II, 12, V peuvent être stockées dans un même registre I, et les variables Ul, U2, U3, U4 peuvent être stockées dans un même registre U.
w_
Le choix particulier de K = 2n permet encore d'accélérer le calcul car le fait que K = R permet des simplifications supplémentaires.
Après simplifications, on obtient le procédé ci-dessous : EO : initialisation
E012 : choisir le nombre aléatoire s et calculer si = S.B2+1,
E013 : calculer R2,
El : masquer A en A' EIl : calculer le masque Rsl
E112 : calculer Ul = MgtExp (R2, si, N) = Rsl.R mod N
E12 : masquer A en A'
E E112211 :: ccaa.lculer Ml = Mgt(Ul,A,N) = Rsl.A mod N = RS'B2.A.R mod N E2 : calculer C = A'B1 mod N
E212 : calculer U2 = MgtExp (Ml, Bl, N) = AB1.RS.R mod N
E3 : retrouver C à partir de C
E31 : calculer R-(s+1) E313 : calculer V = MgtExp (1, s+1, N) = R"(s+1).R mod
N E32 : calculer C = C'.K"(s+1)
E321 : calculer U3 = Mgt(U2,V,N) = AB1 mod N
Par rapport au cas général où K = 2P, les simplifications suivantes ont été faites :
• K étant égal à R, l'étape EOIl devient inutile,
• l'étape ElIl devient également inutile puisque R2 a été calculé lors de l'étape E013
• en calculant si =s.B2+l (au lieu de si = s.B2) lors de l'étape E012, l'étape E211 devient inutile
• le calcul de R'1 est immédiat de sorte que les étapes E311 et E312 deviennent inutiles
n_
• en choisissant à l'étape E31 s = s+1 on évite ainsi l'étape E322.
Bien sûr, dans le procédé détaillé ci-dessus, certaines étapes peuvent être déplacées ou permutées par rapport aux autres. Par exemple, dans l'étape d'initialisation EO, les sous-étapes peuvent être réalisées dans un ordre différent .
Comme on vient de le voir ci-dessus, l'invention peut être avantageusement mise en œuvre pour la réalisation de l'exponentiation C = AB1 mod N selon les 3 principales étapes suivantes :
• El : A' = A.KS-B2 (masquage de A) • E2 : C = A'B1 mod N (exponentiation)
• E3 : C = C'*K~S (démasquage)
L'invention peut également être avantageusement combinée avec le théorème des restes Chinois pour accélérer le calcul de l'exponentiation, on parle alors communément de RSA-CRT.
Selon le théorème des restes chinois (ou CRT pour Chinese Remainder Theorem, connue du document D5 (Cryptography Theory and Practice, chapter 4, Douglas R. Stinson, 1995, CRC Press), un calcul d'exponentiation classique C = AB1 mod N peut se décomposer de la manière suivante :
• Cp = (A mod p) Bpl mod p
• Cq = (A mod q) Bql mod q
• C = Cq + q* (Iq* (Cp-Cq) mod p) mod N où • p et q sont deux entiers premiers tels que p*q = N,
• BpI = Bl mod (p-1)
• BqI = Bl mod (q-1)
• Iq = q"1 mod p
Appliquée à cette décomposition CRT, l'invention conduit au procédé suivant :
• El : masquer l'opérande A (A' = KU'B2 * A) par un nombre u égal à deux fois le nombre s, en multipliant l'opérande A par un paramètre KU'B2,
• E2 : calcul de C par le théorème des Restes Chinois
(exponentiation) :
Cp' = (A' mod p)Blp mod p ; Cq' = (A' mod q)Blq mod q ;
C = Cq' + q* (Iq. (Cp '-Cq' ) mod p) mod N = KU*AB1 mod N = K2s*C mod N
• E3 : C = C * K"2s mod N (démasquage) De préférence, pour un calcul plus facile, on calculera d'abord K2, puis (K2)"3.
Dans une variante, on peut aussi réaliser :
• El : masquer l'opérande A par un nombre u égal à deux fois le nombre s, de la manière suivante : Ap' = KU'B2 * A mod p
Aq' = KU'B2 * A mod q
• E2 : calcul de C' par le théorème des Restes Chinois (exponentiation) :
Cp' = (Ap' )Blp mod p ; Cq' = (Aq' ) Blq mod q ;
C = Cq' + q* (Iq. (Cp '-Cq' ) mod p) mod N
= KU*AB1 mod N
= K2s*C mod N
• E3 : C = C * K"2s mod N (démasquage)
Dans un mode préféré de réalisation, on choisira une constante K = 2 maκ(taille(p) ' tanieiqn = 2^ QÙ r est la plus grande taille parmi la taille de p et la taille de q. Ce
u_
choix permet des simplifications lors de la mise en œuvre du procédé à l'aide d'un processeur de Montgomery.
On remarque alors qu'à l'étape E3 la valeur K2 dans (K2) ~s est appropriée pour les opérations modulaires de Montgomery sur le module N sachant que la taille de N est inférieure ou égale à la somme des tailles de p et q, taille (N)≤taille (p) +taille (q)< 2*max (taille (p) , taille (q) ) .
A noter enfin que le procédé de 1 ' invention peut être combiné avec des procédés antérieurs pour augmenter encore la sécurité du procédé.
Par exemple, en plus du masquage de A par KS'B2, on pourra également utiliser un aléa s2 pour masquer N, comme décrit dans le document D2 et l'art antérieur de la présente demande. Si le théorème des restes Chinois est utilisé, on pourra de même masquer p et q par s2.
Claims
1. Procédé cryptographique au cours duquel, pour réaliser une exponentiation modulaire de type C = AB1 mod N, où A est un opérande, Bl est un premier exposant, N est un module et C est un résultat, on réalise les étapes suivantes, consistant à :
• El : masquer l'opérande A par un nombre s,
• E2 : réaliser une exponentiation modulaire de l'opérande masqué par l'exposant Bl, puis
• E3 : démasquer le résultat de l'exponentiation, en enlevant au résultat de l'exponentiation une contribution du nombre s, le procédé étant caractérisé en ce que, lors de l'étape El de masquage de l'opérande A, on multiplie l'opérande A par un paramètre de la forme KS'B2, où K est une constante et B2 est un deuxième exposant tel que Bl. B2 = 1 mod φ(N) .
2. Procédé selon la revendication 1, dans lequel l'étape El de masquage de l'opérande A comprend les sous-étapes suivantes, consistant à : • EIl : réaliser une première exponentiation de Montgomery de la constante K par le produit du nombre s par le deuxième exposant B2, puis • E12 : réaliser une multiplication de Montgomery du résultat de la première exponentiation de Montgomery par l'opérande A pour produire un opérande masqué A' (A' = KS'B2) .
3. Procédé selon la revendication 2, dans lequel l'étape E2 d'exponentiation comprend la sous-étape suivante consistant à : 11
E212 : réaliser une deuxième exponentiation de Montgomery de l'opérande masqué A' par le premier exposant Bl pour produire un résultat masqué C
4. Procédé selon la revendication 3, dans lequel l'étape de démasquage E3 du résultat de l'exponentiation comprend les sous-étapes suivantes, consistant à :
• E31 : réaliser une troisième exponentiation de
Montgomery pour calculer le paramètre K~s, • E32 : réaliser une multiplication de Montgomery du résultat masqué C par K~s .
5. Procédé selon l'une des revendications 2 à 4, dans lequel la constante K est égale à 2P, p étant un nombre entier compris entre 0 et n, n étant un majorant de la taille du module N.
6. Procédé selon la revendication 5, dans lequel la constante K est égale à 2n.
7. Procédé selon la revendication 5 ou 6, comprenant l'ensemble des étapes et sous-étapes suivantes :
EO : initialisation :
EOIl : choisir un entier j et calculer la constante K = 2n/2:,
E012 : choisir le nombre s et le multiplier par B2 pour obtenir si,
E013 : calculer R2, R étant une constante de Montgomery égale à 2n, El : masquer A en A'
EIl : calculer le masque Ksl
ElIl : calculer Tl = Mgt(K,R2,N) = K*R mod N
E112 : calculer Ul = MgtExp (Tl, si, N) = Ksl*R mod N E12 : masquer A en A'
E121 : calculer Ml = Mgt(Ul,A,N) = Ksl.A mod N
E2 : calculer C = A'B1 mod N
E211 : calculer M2 = Mgt(Ml,R ,N) = Ksi.A.R mod N E212 : calculer U2 = MgtExp (Ml, Bl, N) = AB1.KS.R mod N
E3 : retrouver C à partir de C E31 : calculer K"s
E311 : calculer II = Mgt (N-2: , N-I, N) = Mgt(2:,l,N) = K"1 mod N
E312 : calculer 12 = Mgt (II, R2, N) = K"1. R mod N E313 : calculer V = MgtExp (12, s, N) = K"S.R mod N E32 : calculer C = C'.K"S
E321 : calculer U3 = Mgt (U2, V, N) = AB1.R mod N E322 : calculer U4 = Mgt(U3,l,N) = AB1 mod N
8. Procédé selon la revendication 6, comprenant l'ensemble des étapes et sous-étapes suivantes :
EO : initialisation E012 : choisir le nombre aléatoire s et calculer si = S.B2+1,
E013 : calculer R2,
El : masquer A en A'
EIl : calculer le masque Rsl E112 : calculer Ul = MgtExp (R2, si, N) = Rsl.R mod N
E12 : masquer A en A'
E121 : calculer Ml = Mgt (Ul, A, N) = Rsl.A mod N = RS'B2.A.R mod N
E2 : calculer C = A'B1 mod N E212 : calculer U2 = MgtExp (Ml, Bl, N) = AB1.RS.R mod N
E3 : retrouver C à partir de C E31 : calculer R-(s+1) IZ
E313 : calculer V = MgtExp (1, s+1, N) = R"(s+1).R mod N E32 : calculer C = C'.K"(s+1)
E321 : calculer U3 = Mgt(U2,V,N) = AB1 mod N
9. Procédé selon l'une des revendications précédentes, dans lequel les étapes El à E3 sont modifiées comme suit:
• El : masquer l'opérande A (A' = κu'B2 * A) par un nombre u égal à deux fois le nombre s, en multipliant l'opérande A par un paramètre KU'B ,
• E2 : réaliser une exponentiation modulaire de l'opérande masqué par l'exposant Bl, décomposée selon le Théorème des Restes Chinois selon les sous- étapes suivantes : Cp' = (A' mod p)Bpl mod p ;
Cq' = (A' mod q)Bql mod q ; C = Cp' + q* (Iq. (Cp '-Cq' ) mod p) mod N
• E3 : démasquer le résultat de l'exponentiation (C), en multipliant le résultat de l'exponentiation (C) par K"2s mod N, où p et q sont deux nombres entiers dont le produit est égal à N (p*q = N), BpI est égal à Bl modulo p-1, BqI est égal à Bl mod q-1, Iq est égal à q'1 mod p
10. Procédé selon la revendication 9, dans lequel K est égal à 2r, où r est la plus grande taille parmi la taille de p et la taille de q
11. Cryptoprocesseur comprenant notamment un multiplieur de Montgomery pour la mise en œuvre d'un procédé selon l'une des revendications 2 à 10.
12. Carte à puce comprenant un cryptoprocesseur selon la revendication 11.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0513305A FR2895609A1 (fr) | 2005-12-26 | 2005-12-26 | Procede cryptographique comprenant une exponentiation modulaire securisee contre les attaques a canaux caches, cryptoprocesseur pour la mise en oeuvre du procede et carte a puce associee |
| PCT/EP2006/070206 WO2007074149A1 (fr) | 2005-12-26 | 2006-12-22 | Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP1969459A1 true EP1969459A1 (fr) | 2008-09-17 |
Family
ID=36782564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP06841618A Ceased EP1969459A1 (fr) | 2005-12-26 | 2006-12-22 | Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8265266B2 (fr) |
| EP (1) | EP1969459A1 (fr) |
| CN (1) | CN101346691A (fr) |
| FR (1) | FR2895609A1 (fr) |
| WO (1) | WO2007074149A1 (fr) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2015171A1 (fr) * | 2007-06-29 | 2009-01-14 | Gemplus | Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés sans la connaissance de l'exposant public, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée |
| CN101808089A (zh) * | 2010-03-05 | 2010-08-18 | 中国人民解放军国防科学技术大学 | 基于非对称加密算法同态性的秘密数据传输保护方法 |
| EP2437160A1 (fr) * | 2010-10-04 | 2012-04-04 | Nagravision S.A. | Mise à la puissance modulaire dissimulée |
| WO2012090289A1 (fr) * | 2010-12-27 | 2012-07-05 | 富士通株式会社 | Dispositif et procédé de traitement de chiffrement |
| FR2972064B1 (fr) * | 2011-02-25 | 2013-03-15 | Inside Secure | Procede de cryptographie comprenant une operation d'exponentiation |
| DE102011117236A1 (de) * | 2011-10-28 | 2013-05-02 | Giesecke & Devrient Gmbh | Effiziente Primzahlprüfung |
| ITMI20111992A1 (it) * | 2011-11-03 | 2013-05-04 | St Microelectronics Srl | Metodo per crittografare un messaggio mediante calcolo di funzioni matematiche comprendenti moltiplicazioni modulari |
| DE102012005427A1 (de) * | 2012-03-16 | 2013-09-19 | Giesecke & Devrient Gmbh | Verfahren und System zur gesicherten Kommunikation zwischen einen RFID-Tag und einem Lesegerät |
| US9959429B2 (en) * | 2013-03-15 | 2018-05-01 | Cryptography Research, Inc. | Asymmetrically masked multiplication |
| CN103207770B (zh) * | 2013-04-16 | 2016-09-28 | 飞天诚信科技股份有限公司 | 一种在嵌入式系统中实现大数预计算的方法 |
| CN104796250B (zh) * | 2015-04-11 | 2018-05-25 | 成都信息工程学院 | 针对RSA密码算法M-ary实现的侧信道攻击方法 |
| US10181944B2 (en) | 2015-06-16 | 2019-01-15 | The Athena Group, Inc. | Minimizing information leakage during modular exponentiation and elliptic curve point multiplication |
| IL239880B (en) * | 2015-07-09 | 2018-08-30 | Kaluzhny Uri | Simplified montgomery multiplication |
| US10462498B2 (en) * | 2017-02-07 | 2019-10-29 | The Directv Group, Inc. | Providing options to live stream multimedia content |
| CN111712816B (zh) | 2018-03-28 | 2024-05-03 | 密码研究公司 | 使用密码蒙蔽以用于高效地使用蒙哥马利乘法 |
| CN108599951B (zh) * | 2018-08-10 | 2021-10-01 | 北京奇虎科技有限公司 | 加密方法、加密装置、计算设备及计算机存储介质 |
| FR3095709B1 (fr) * | 2019-05-03 | 2021-09-17 | Commissariat Energie Atomique | Procédé et système de masquage pour la cryptographie |
| US11468797B2 (en) | 2020-06-24 | 2022-10-11 | Western Digital Technologies, Inc. | Low complexity conversion to Montgomery domain |
| US11508263B2 (en) | 2020-06-24 | 2022-11-22 | Western Digital Technologies, Inc. | Low complexity conversion to Montgomery domain |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005048008A2 (fr) * | 2003-11-16 | 2005-05-26 | M-Systems Flash Disk Pioneers Ltd. | Masquage naturel d'exposant amélioré effectué avec l'arithmétique de montgomery |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6748410B1 (en) * | 1997-05-04 | 2004-06-08 | M-Systems Flash Disk Pioneers, Ltd. | Apparatus and method for modular multiplication and exponentiation based on montgomery multiplication |
| US6064740A (en) * | 1997-11-12 | 2000-05-16 | Curiger; Andreas | Method and apparatus for masking modulo exponentiation calculations in an integrated circuit |
| US6304658B1 (en) * | 1998-01-02 | 2001-10-16 | Cryptography Research, Inc. | Leak-resistant cryptographic method and apparatus |
| CA2333095C (fr) * | 1998-06-03 | 2005-05-10 | Cryptography Research, Inc. | Perfectionnement de normes cryptographiques et autres procedes cryptographiques a reduction des fuites pour cartes a puces et autres systemes cryptographiques |
| FR2799851B1 (fr) | 1999-10-14 | 2002-01-25 | Gemplus Card Int | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type rsa |
| JP4086503B2 (ja) * | 2002-01-15 | 2008-05-14 | 富士通株式会社 | 暗号演算装置及び方法並びにプログラム |
| FR2848753B1 (fr) * | 2002-12-11 | 2005-02-18 | Gemplus Card Int | Procede de division entiere ou de reduction modulaire securise contre les attaques a canaux caches |
| EP1840732A1 (fr) * | 2006-03-31 | 2007-10-03 | Axalto SA | Protection contre les attaques latérales de la chaîne |
| EP2154604A1 (fr) * | 2008-08-06 | 2010-02-17 | Gemalto SA | Contre-mesure pour sécuriser la cryptographie à base d'exponentiation |
| US8572406B2 (en) * | 2010-03-31 | 2013-10-29 | Inside Contactless | Integrated circuit protected against horizontal side channel analysis |
| KR101610917B1 (ko) * | 2010-03-08 | 2016-04-11 | 삼성전자주식회사 | 암호 알고리즘의 복호 방법 및 그것을 포함하는 암호 시스템 |
-
2005
- 2005-12-26 FR FR0513305A patent/FR2895609A1/fr active Pending
-
2006
- 2006-12-22 WO PCT/EP2006/070206 patent/WO2007074149A1/fr active Application Filing
- 2006-12-22 CN CN200680049130.8A patent/CN101346691A/zh active Pending
- 2006-12-22 EP EP06841618A patent/EP1969459A1/fr not_active Ceased
- 2006-12-22 US US12/086,619 patent/US8265266B2/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005048008A2 (fr) * | 2003-11-16 | 2005-05-26 | M-Systems Flash Disk Pioneers Ltd. | Masquage naturel d'exposant amélioré effectué avec l'arithmétique de montgomery |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2895609A1 (fr) | 2007-06-29 |
| US8265266B2 (en) | 2012-09-11 |
| WO2007074149A1 (fr) | 2007-07-05 |
| CN101346691A (zh) | 2009-01-14 |
| US20100014656A1 (en) | 2010-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1969459A1 (fr) | Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée | |
| EP2162820A1 (fr) | Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches | |
| EP2946284B1 (fr) | Procédé de cryptographie comprenant une opération de multiplication par un scalaire ou une exponentiation | |
| EP1757009B1 (fr) | Procédé et dispositif d'exécution d'un calcul cryptographique | |
| EP1166494B1 (fr) | Procedes de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique | |
| EP2296086B1 (fr) | Protection d'une génération de nombres premiers contre des attaques par canaux cachés | |
| WO2013088066A1 (fr) | Procede de generation de nombres premiers prouves adapte aux cartes a puce | |
| FR2926652A1 (fr) | Procede et dispositifs de contre-mesure pour cryptographie asymetrique a schema de signature | |
| FR2809893A1 (fr) | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique sur courbe elliptique | |
| EP2391051B1 (fr) | Procédé de détermination d'une représentation d'un produit d'éléments d'un corps fini | |
| WO2000059157A1 (fr) | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique | |
| FR2888690A1 (fr) | Procede cryptographique pour la mise en oeuvre securisee d'une exponentiation et composant associe | |
| EP1291763A1 (fr) | Procédé de brouillage d'un calcul à quantité secrète | |
| WO2006103149A1 (fr) | Procede et dispositif cryptographique permettant de proteger les logiques de cles publiques contre les attaques par faute | |
| EP1804160B1 (fr) | Protection d'un calcul cryptographique effectué par un circuit intégré | |
| CA2257907A1 (fr) | Procede de cryptographie a cle publique | |
| EP2530867B1 (fr) | Procédé de traitement cryptographique de données | |
| WO2004111831A2 (fr) | Procede de contre-mesure par masquage de l'accumulateur | |
| EP1820297A1 (fr) | Procédé de génération de signature avec preuve de sécurité "tight", procédé de vérification et schéma de signature associés basés sur le modèle de diffie-hellman | |
| EP1639450A1 (fr) | Procede de contre-mesure dans un composant electronique | |
| EP3929726A1 (fr) | Procede de traitement cryptographique,dispositif electronique et programme d'ordinateur associes | |
| FR2864390A1 (fr) | Procede cryptographique d'exponentiation modulaire protege contre les attaques de type dpa. | |
| FR2843507A1 (fr) | Procede securise de realisation parallele d'une exponentiation modulaire, procede cryptographique et circuit de calcul associes | |
| FR3010562A1 (fr) | Procede de traitement de donnees et dispositif associe | |
| FR2797126A1 (fr) | Procede d'amelioration de performance de l'operation de multiplication sur corps fini de caracteristique 2 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| 17P | Request for examination filed |
Effective date: 20080728 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR |
|
| RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: GEMALTO SA |
|
| 17Q | First examination report despatched |
Effective date: 20090904 |
|
| DAX | Request for extension of the european patent (deleted) | ||
| REG | Reference to a national code |
Ref country code: DE Ref legal event code: R003 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED |
|
| 18R | Application refused |
Effective date: 20131104 |