EP2162820A1 - Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches - Google Patents

Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches

Info

Publication number
EP2162820A1
EP2162820A1 EP08749996A EP08749996A EP2162820A1 EP 2162820 A1 EP2162820 A1 EP 2162820A1 EP 08749996 A EP08749996 A EP 08749996A EP 08749996 A EP08749996 A EP 08749996A EP 2162820 A1 EP2162820 A1 EP 2162820A1
Authority
EP
European Patent Office
Prior art keywords
ace
mgt
mod
montgomery
acc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP08749996A
Other languages
German (de)
English (en)
Inventor
Mathieu Ciet
Benoît FEIX
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales DIS France SA
Original Assignee
Gemalto SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemalto SA filed Critical Gemalto SA
Priority to EP08749996A priority Critical patent/EP2162820A1/fr
Publication of EP2162820A1 publication Critical patent/EP2162820A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/728Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic using Montgomery reduction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • H04L2209/046Masking or blinding of operations, operands or results of the operations

Definitions

  • the invention relates to a cryptographic method comprising a secure modular exponentiation against hidden channel attacks that does not require knowledge of the public exponent, a crypto processor for the implementation of the method and an associated smart card.
  • M is then according to the application a message to sign or to decipher, d is a private key.
  • S is a result, depending on the application a signed or decrypted message. Hiding the number M by a random number s is a known countermeasure for securing the modular exponentiation operations, especially when they are implemented in smart card microcircuits, against so-called auxiliary channel or hidden channel attacks. (Side Channel Attacks) that provide information on the number of d.
  • a second countermeasure particularly known from the document by JS Coron, P. Paillier "Countermeasure method in an electronic component which uses RSA-type public key cryptography algorithm" Patent number FR 2799851. Publication date 2001-04-20. Int Pub Numb. WO0128153, consists in using two random numbers if, s2 to perform the operation (M + sl.N) of mod (s2.N). Then, at the end of the calculation, the contribution made by si and s2 is removed by performing a modulo N reduction. and s2 can be small, obtaining them is easier. However, this method requires performing modulo s2.N. This requires the use of a multiplier of a size larger than the module and is not always compatible with smart card type applications.
  • An object of the invention is to propose a solution for performing a modular operation of the type M d mod N more interesting than the known solutions because not requiring the knowledge of e, nor a crypto processor of size greater than that of the module.
  • the invention proposes to effectively protect the operation of exponentiation by a random mask, without the knowledge of e.
  • N the modulo chosen, it defines the set ⁇ 0, ..., N-1 ⁇ of the integers in which one does the operations
  • the invention is a cryptographic method for signing or decrypting a message M, comprising a modular exponentiation comprising the steps of: drawing a random value s, initialization of variables with the aid of s, application of an algorithm making it possible to keep a loop invariant thanks to the properties of the Montgomery Mgt multiplier, unmasking the result in order to obtain the result S, corresponding as appropriate to the signature of M or to the decrypted message.
  • the initialization step uses a selected module N, the Montgomery R variable, and comprises initializing at least four variables Ace, MO, M1 and M3 according to the following operations:
  • the algorithm comprises, for each bit of the exponent d the following steps, - squared Ace ⁇ - Mgt (Ace, Ace, N) if the current bit is equal to 1 and the next bit also then o Acc ⁇ - Mgt (Ace, Ace, N), where Acc ⁇ - Mgt (Ace, M 3 , N), o Two bits are shifted. if the current bit is equal to 1 and the next bit is 0, then o Acc ⁇ - Mgt (Ace, M 1 , N), o One bit is shifted. if the current bit is equal to 0, then o Acc ⁇ - Mgt (Ace, M 0 , N), o One bit is shifted.
  • the invention thus makes it possible to effectively protect the exponentiation operation with a random mask whose inverse is rapidly calculable, and without randomizing the module.
  • the invention also relates to a cryptoprocessor including in particular a Montgomery multiplier for the implementation of a method as described above.
  • the invention finally relates to a smart card comprising a cryptoprocessor as described above.
  • the invention relates to a cryptographic method for signing or decrypting a message M, comprising a modular exponentiation comprising the steps of: drawing a random value s initialization of variables with the help of application s an algorithm to keep a loop invariant thanks to the properties of the Montgomery Mgt multiplier, unmasking the result to obtain the signature S of the message M.
  • the invention is preferably implemented using a Montgomery multiplier.
  • An advantage of this multiplier is its speed of computation.
  • R " 1 mod N MgtExp ( M.R, B, N) M B. R mod N
  • Montgomery's multiplications and exponentiations introduce into the result a contribution function of Montgomery's R constant.
  • This constant can be eliminated at the end of each multiplication, for example by performing a Montgomery multiplication by R 2 after a calculation. Where possible, and especially for exponentiation, it is easier to compensate for the constant R upstream by multiplying the operand by the constant R rather than to compensate for a power of R (a fortiori a negative power of R). output.
  • the same register or the same part of memory can be used to store intermediate variables whose name includes the same letter: Ml, M2 can to be stored successively in a register M.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

L' invention concerne un procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés ne nécessitant pas la connaissance de l'exposant public, cryptoprocesseur pour la mise en oevre du procédé et carte à puce associée. Le procédé selon l'invention destiné à chiffrer un message M, comprend une exponentiation modulaire et les étapes suivantes : tirage d'une valeur aléatoire s; initialisation de variables avec l'aide de s; application d'un algorithme permettant de garder un invariant de boucle grâce aux propriétés du multiplicateur de Montgomery Mgt; démasquage du résultat afin d'obtenir la signature S du message M.

Description

MISE A LA PUISSANCE MODULAIRE SELON MONTGOMERY
SECURISEE CONTRE LES ATTAQUES A
CANAUX CACHES
L' invention concerne un procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés ne nécessitant pas la connaissance de l'exposant public, un crypto processeur pour la mise en œuvre du procédé et une carte à puce associée .
L' invention porte en particulier sur un procédé cryptographique sécurisé contre les attaques à canaux cachés au cours duquel, pour réaliser une exponentiation modulaire de type S = Md mod N, où M est un opérande, d un premier exposant, N est un module et S est un résultat.
De tels procédés sont notamment intéressants pour des applications asymétriques de signature et de déchiffrement. M est alors selon l'application un message à signer ou à déchiffrer, d est une clé privée. S est un résultat, selon l'application un message signé ou déchiffré . Masquer le nombre M par un nombre aléatoire s est une contre-mesure connue pour sécuriser les opérations d'exponentiation modulaire, notamment lorsqu'elles sont implémentées dans les microcircuits de type carte à puce, contre des attaques dites par canaux auxiliaires ou à canaux cachés (en anglais Side Channel Attacks) qui permettent d'obtenir de l'information sur le nombre d. Une première contre-mesure connue du document intitulé « Timing Attack on Implementations of Diffie-Hellman, RSA, DSS and Other Systems », de Paul Rocher, Crypto 1996, LNCS Springer, consiste à tirer un aléa s, calculer se, où e est une clé privée ou publique associée à d, puis multiplier M par se (se.M), élever le résultat de la multiplication à la puissance d ((se.M)d) puis réduire modulo N. d et e étant une clé publique et une clé privée associée, on a d.e = 1 modulo φ (N), où φ représente la fonction d'Euler, de sorte que le résultat ((se.M)d) modulo N se simplifie pour donner (s.Md) modulo N. Une division modulaire par s permet finalement d'obtenir le résultat recherché S = Md mod N. Cette solution est certes efficace, mais sa mise en œuvre est onéreuse. En effet, pour que la mesure soit efficace, il est indispensable que se soit de taille supérieure à la taille de M. Ceci suppose que s soit de grande taille, plus précisément de taille supérieure à la taille de M divisée par e. Si e est de petite taille (par exemple de moins de dix-sept) , s doit être de grande taille (dans l'exemple, de plus du nombre de bits du module divisé par dix-sept) . Produire des nombres aléatoires de grande taille nécessite l'utilisation d'un générateur de grande taille, qui d'une part consomme un courant important et d'autre part nécessite un temps de calcul relativement important, ce qui n'est pas toujours compatible avec des applications de type carte à puce.
Une deuxième contre-mesure, connue notamment du document de J. S. Coron, P. Paillier « Countermeasure method in an electronic component which uses on RSA-type public key cryptographie algorithm » Patent number FR 2799851. Publication date 2001-04-20. Int Pub Numb . WO0128153, consiste à utiliser deux nombres aléatoires si, s2 pour réaliser l'opération (M+sl.N)d mod (s2.N) . On enlève ensuite à la fin du calcul la contribution apportée par si et s2, en effectuant une réduction modulo N. Comme si et s2 peuvent être de petite taille, leur obtention est plus aisée. Toutefois, cette méthode nécessite de réaliser des opérations modulo s2.N. Ceci nécessite l'utilisation d'un multiplieur d'une taille supérieure au module et n'est pas toujours compatible avec des applications de type carte à puce.
Ces contre-mesures ont comme inconvénient majeur de nécessiter de connaître la valeur de e, exposant public, ou de nécessiter un crypto processeur de taille supérieure à celle du module.
Un but de 1 ' invention est de proposer une solution pour réaliser une opération modulaire de type Md mod N plus intéressante que les solutions connues car ne nécessitant pas la connaissance de e, ni un crypto processeur de taille supérieure à celle du module.
Pour cela, l'invention propose de protéger efficacement l'opération d'exponentiation par un masque aléatoire, sans la connaissance de e.
On notera dans ce document
• Mgt (A, B, N) la multiplication modulaire de Montgomery de A par B modulo N, • A et B deux entiers,
• N le modulo choisi, il définit l'ensemble {0, ..., N- 1} des entiers dans lequel on fait les opérations,
• n = nombre de bits de N, soit la longueur de N en base 2, • R = 2n, une constante co-prime avec N, et qui dépend de la taille de N,
• M le message à signer ou à déchiffrer, • S la signature du message M ou le message déchiffré.
L' invention est un procédé cryptographique destiné à signer ou déchiffrer un message M, comprenant une exponentiation modulaire comprenant les étapes de : tirage d'une valeur aléatoire s, initialisation de variables avec l'aide de s, application d'un algorithme permettant de garder un invariant de boucle grâce aux propriétés du multiplicateur de Montgomery Mgt, démasquage du résultat afin d'obtenir le résultat S, correspondant selon les cas à la signature de M ou au message déchiffré.
Dans un mode de réalisation, l'étape de pré-calcul peut comprendre l'étape d'initialisation utilise une valeur j, calculée par j=(3s)/2, un module choisi N, la variable de Montgomery R et comprend l'initialisation d'au moins cinq variables Ace, M2, Mo, Mi et M3 conformément aux opérations suivantes :
- Ace <~ RS+1.M mod N
- M2 <~ R"D+1.M mod N
- M0 <~ R"3s+1 mod N
- M1 <- R"3s+1.M mod N - M3 <~ R"3s+1.M3 mod N
Dans ce cas, l'algorithme peut comporter, pour chaque bit de l'exposant d les étapes suivantes : élévation au carré, Ace ^- Mgt (Ace, Ace, N) - initialisation d'une variable k tel que k = Cl1Cl1-.! - Si k = 2 o Acc<- Mgt(Acc, M2, N) o Acc<- Mgt (Ace, Ace, N) Sinon o Acc<- Mgt (Ace, Ace, N) o Acc<- Mgt (Ace, Mk, N) On se décale de deux bits
Dans un autre mode de réalisation, l'étape d' initialisation utilise un module choisi N, la variable de Montgomery R et comprend l'initialisation de au moins quatres variables Ace, MO, Ml et M3 conformément aux opérations suivantes :
- Ace <~ RS+ 1 . M mod N - M0 <~ R" s+ 1 mod N
- M1 <- R" S+ 1 . M mod N
- M3 <- R"3 s+ 1 . M3 mod N
Dans ce cas, l'algorithme comporte, pour chaque bit de l'exposant d les étapes suivantes, - élévation au carré Ace ^- Mgt (Ace, Ace, N) si le bit en cours est égal à 1 et le bit suivant aussi, alors o Acc<- Mgt (Ace, Ace, N) , o Acc<- Mgt (Ace, M3, N) , o On se décale de deux bits. si le bit en cours est égal à 1 et le bit suivant est égal à 0, alors o Acc<- Mgt (Ace, M1, N) , o On se décale d'un bit. si le bit en cours est égal à 0, alors o Acc<- Mgt (Ace, M0, N) , o On se décale d'un bit.
Dans tous les cas, l'opération de démasquage comporte au moins les opérations suivantes : calcul de R~s , calcul de la signature S dudit message M, S = Mgt (Ace, R~S,N), correspondant selon les cas à la signature de M ou au message déchiffré.
L'invention permet ainsi de protéger efficacement l'opération d'exponentiation par un masque aléatoire dont l'inverse est rapidement calculable, et sans randomiser le module.
L'invention concerne également un cryptoprocesseur comprenant notamment un multiplieur de Montgomery pour la mise en œuvre d'un procédé tel que décrit ci-dessus. L'invention concerne enfin une carte à puce comprenant un cryptoprocesseur tel que décrit ci-dessus.
Comme on l'a dit précédemment, l'invention concerne un procédé cryptographique destiné à signer ou déchiffrer un message M, comprenant une exponentiation modulaire comprenant les étapes de : tirage d'une valeur aléatoire s initialisation de variables avec l'aide de s application d'un algorithme permettant de garder un invariant de boucle grâce aux propriétés du multiplicateur de Montgomery Mgt, démasquage du résultat afin d'obtenir la signature S du message M.
L'invention est mise en œuvre de préférence en utilisant un multiplieur de Montgomery.
Avant de décrire plus complètement le procédé de l'invention, il convient de rappeler quelques propriétés connues d'un multiplieur de Montgomery, décrites par exemple dans le document D3 (P. L. Montgomery, Modular Multiplication without trial division, Mathematics of computation, 44(170) pp 519-521, april 1985).
Un multiplieur de Montgomery permet de réaliser des multiplications du type Mgt(M,B,N) = M. B. R"1 mod N. Un avantage de ce multiplieur est sa rapidité de calcul. Un inconvénient de ce multiplieur est qu'il introduit dans le calcul une constante R, appelée constante de Montgomery. R est une puissance de deux, co-première avec N : R = 2n avec n tel que R ait le même nombre de bits que N.
La constante de Montgomery est intrinsèque au multiplieur et il est nécessaire de supprimer sa contribution en amont du calcul, au cours du calcul ou à la fin. Ainsi, pour calculer S = M. B mod N, on peut par exemple calculer d'abord M. R puis Mgt(M.R,B,N) = M. B mod N. On peut également réaliser une première multiplication S0 = Mgt(M.R, B. R, N) = M. B. R mod N puis une deuxième multiplication de type S = Mgt(l,S0, N) = M. B mod N.
Le multiplieur de Montgomery permet également de réaliser des exponentiations modulaires de type S = MgtExp (M, B, N) = MB.R"<B"υ mod N ou S = MgtExp (M. R, B, N) = MB . R mod N (on compense dans ce cas la constante R~B introduite par le calcul en multipliant M par R en amont du calcul) . Concrètement, pour réaliser une exponentiation de Montgomery, on exécute un algorithme comme par exemple celui communément appelé "square and multiply" consistant, dans une boucle indicée par i variant entre q-1 et 0, q étant la taille du nombre d, en une succession de multiplications de type U1 = Mgt (U1-I, U1-I, N) et éventuellement Mgt (U1, M, N) (ou Mgt (U1, M. R, N) ), selon la valeur d'un bit Cl1 de d associé à l'indice i, U1 étant une variable de boucle initialisée à la valeur Uq = R. Cette exponentiation est expliquée plus en détails dans le document « Handbook of Applied Cryptography » par M. Menezes, P. Van Oorschot et S. Vanstone, CRC Press 1996, chapitre 14, algorithme 14.94. Ce calcul d'exponentiation a l'avantage d'être particulièrement rapide.
Les opérations de Montgomery ont notamment les propriétés suivantes, qui seront utilisées par la suite :
Mgt (M, B, N) = M. B. R"1 mod N Mgt (M. R, B. R, N) = M. B. R mod N
Mgt (1,1,N) = Mgt (N-I, N-I, N) = R"1 mod N Mgt (M, 1,N) = Mgt (N-M, N-I, N) = M. R"1 mod N MgtExp (M. R, B, N) = MB . R mod N
Comme on l'a vu précédemment, les multiplications et les exponentiations de Montgomery introduisent dans le résultat une contribution fonction de la constante R de Montgomery. Cette constante peut être éliminée en fin de chaque multiplication, par exemple en réalisant une multiplication de Montgomery par R2 après un calcul. Lorsque cela est possible, et notamment pour les exponentiations, il est plus facile de compenser la constante R en amont, en multipliant l'opérande par la constante R, plutôt que de compenser une puissance de R (a fortiori une puissance négative de R) en sortie. A noter que, lors de la mise en œuvre du procédé ci- dessus dans un crypto-processeur, un même registre ou une même partie de mémoire peut être utilisé pour mémoriser des variables intermédiaires dont le nom comprend la même lettre : Ml, M2 peuvent être stockées successivement dans un registre M.
Bien sûr, dans le procédé détaillé ci-dessus, certaines étapes peuvent être déplacées ou permutées par rapport aux autres. Par exemple, dans l'étape d'initialisation, les sous-étapes peuvent être réalisées dans un ordre différent .
A noter enfin que le procédé de 1 ' invention peut être combiné avec des procédés antérieurs pour augmenter encore la sécurité du procédé. Par exemple, en plus du masquage de M, on pourra également utiliser un aléa s2 pour masquer N, comme décrit dans le document D2 et l'art antérieur de la présente demande. Si le théorème des restes Chinois est utilisé, on pourra de même masquer p et q par s2.

Claims

REVENDICATIONS
1. Procédé cryptographique destiné à déchiffrer ou signer un message M, comprenant une exponentiation modulaire caractérisé en ce qu' il comprend les étapes de : - tirage d'une valeur aléatoire s, initialisation de variables avec l'aide de s, application d'un algorithme permettant de garder un invariant de boucle grâce aux propriétés du multiplicateur de Montgomery Mgt, - démasquage du résultat afin d'obtenir le résultat S) , correspondant selon les cas à la signature de M ou au message déchiffré.
2. Procédé selon la revendication 1 caractérisé en ce que l'étape d'initialisation utilise une valeur j, calculée par j=(3s)/2, un module choisi N, la variable de Montgomery R et comprend l'initialisation d'au moins cinq variables Ace, M2, Mo, Mi et M3 conformément aux opérations suivantes : - Ace <~ RS+1.M mod N
- M2 <~ R"D+1.M mod N
- M0 <~ R"3s+1 mod N
- M1 <- R"3s+1.M mod N
- M3 <~ R"3s+1.M3 mod N
3. Procédé selon la revendication 2 caractérisé en ce que l'algorithme comporte, pour chaque bit de l'exposant d les étapes suivantes, élévation au carré, Ace ^- Mgt (Ace, Ace, N), initialisation d'une variable k tel que k = Ci1Ci1-I,
- Si k = 2 o Acc<- Mgt (Ace, M2, N) o Acc<- Mgt (Ace, Ace, N)
Sinon o Acc<- Mgt (Ace, Ace, N) o Acc<- Mgt (Ace, Mk, N) On se décale de deux bits.
4. Procédé selon la revendication 1 caractérisé en ce que l'étape d'initialisation utilise un module choisi N, la variable de Montgomery R et comprend l'initialisation de au moins quatre variables Ace, MO, Ml et M3 conformément aux opérations suivantes :
- Ace <~ RS+1.M mod N
- M0 <~ R"s+1 mod N
- M1 <- R"S+1.M mod N
- M3 <- R"3s+1.M3 mod N
5. Procédé selon la revendication 4 caractérisé en ce que l'algorithme comporte, pour chaque bit de l'exposant d les étapes suivantes : élévation au carré Ace ^- Mgt (Ace, Ace, N), - si le bit en cours est égal à 1 et le bit suivant aussi, alors o Acc<- Mgt (Ace, Ace, N) , o Acc<- Mgt (Ace, M3, N) , o On se décale de deux bits. si le bit en cours est égal à 1 et le bit suivant est égal à 0, alors o Acc<- Mgt (Ace, M1, N) , o On se décale d'un bit. - si le bit en cours est égal à 0, alors o Acc<- Mgt (Ace, M0, N) , o On se décale d'un bit.
6. Procédé selon les revendications 3 ou 5 caractérisé en ce que l'opération de démasquage comporte au moins les opérations suivantes : calcul de R~s, calcul du résultat S = Mgt (Ace, R~S,N), correspondant selon les cas à la signature de M ou au message déchiffré.
7. Cryptoprocesseur comprenant notamment un multiplieur de Montgomery pour la mise en œuvre d'un procédé selon l'une des revendications 1 à 6.
8. Carte à puce comprenant un cryptoprocesseur selon la revendication 7.
EP08749996A 2007-06-29 2008-05-02 Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches Withdrawn EP2162820A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP08749996A EP2162820A1 (fr) 2007-06-29 2008-05-02 Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP07301194A EP2015171A1 (fr) 2007-06-29 2007-06-29 Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés sans la connaissance de l'exposant public, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée
EP08749996A EP2162820A1 (fr) 2007-06-29 2008-05-02 Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches
PCT/EP2008/055427 WO2009003740A1 (fr) 2007-06-29 2008-05-02 Mise a la puissance modulaire selon montgomξry securisee contre les attaques a canaux caches

Publications (1)

Publication Number Publication Date
EP2162820A1 true EP2162820A1 (fr) 2010-03-17

Family

ID=38645771

Family Applications (2)

Application Number Title Priority Date Filing Date
EP07301194A Withdrawn EP2015171A1 (fr) 2007-06-29 2007-06-29 Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés sans la connaissance de l'exposant public, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée
EP08749996A Withdrawn EP2162820A1 (fr) 2007-06-29 2008-05-02 Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP07301194A Withdrawn EP2015171A1 (fr) 2007-06-29 2007-06-29 Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés sans la connaissance de l'exposant public, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée

Country Status (3)

Country Link
US (1) US20100177887A1 (fr)
EP (2) EP2015171A1 (fr)
WO (1) WO2009003740A1 (fr)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2972064B1 (fr) * 2011-02-25 2013-03-15 Inside Secure Procede de cryptographie comprenant une operation d'exponentiation
CN103207770B (zh) * 2013-04-16 2016-09-28 飞天诚信科技股份有限公司 一种在嵌入式系统中实现大数预计算的方法
CN104793919B (zh) * 2015-04-15 2017-11-07 深圳国微技术有限公司 一种蒙哥马利模乘装置及具有其的嵌入式安全芯片
US10020932B2 (en) * 2015-11-13 2018-07-10 Nxp B.V. Split-and-merge approach to protect against DFA attacks
EP3242202A1 (fr) * 2016-05-04 2017-11-08 Gemalto Sa Contre-mesure contre des attaques par injection de défaut exempte d'erreur sur des algorithmes d'exponentiation cryptographique
US10243937B2 (en) * 2016-07-08 2019-03-26 Nxp B.V. Equality check implemented with secret sharing
EP3276880A1 (fr) * 2016-07-28 2018-01-31 Gemalto Sa Calcul et vérification de signature ecdsa efficaces
CN111712816B (zh) * 2018-03-28 2024-05-03 密码研究公司 使用密码蒙蔽以用于高效地使用蒙哥马利乘法
FR3095709B1 (fr) * 2019-05-03 2021-09-17 Commissariat Energie Atomique Procédé et système de masquage pour la cryptographie
US11508263B2 (en) 2020-06-24 2022-11-22 Western Digital Technologies, Inc. Low complexity conversion to Montgomery domain
US11468797B2 (en) 2020-06-24 2022-10-11 Western Digital Technologies, Inc. Low complexity conversion to Montgomery domain
CN112491543B (zh) * 2020-11-24 2022-06-07 杭州电子科技大学 基于改进的蒙哥马利模幂电路的ic卡解密方法
WO2023141935A1 (fr) 2022-01-28 2023-08-03 Nvidia Corporation Techniques, dispositifs et architecture d'ensemble d'instructions pour des calculs d'échelle équilibrés et sécurisés
WO2023141934A1 (fr) * 2022-01-28 2023-08-03 Nvidia Corporation Masquage efficace de données sécurisées dans calculs cryptographiques de type échelle
CN116830076A (zh) 2022-01-28 2023-09-29 辉达公司 用于高效模除法和模求逆的技术、设备和指令集架构

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6748410B1 (en) * 1997-05-04 2004-06-08 M-Systems Flash Disk Pioneers, Ltd. Apparatus and method for modular multiplication and exponentiation based on montgomery multiplication
US7046800B1 (en) * 2000-03-31 2006-05-16 State Of Oregon Acting By And Through The State Board Of Higher Education On Behalf Of Oregon State University Scalable methods and apparatus for Montgomery multiplication
JP3785044B2 (ja) * 2001-01-22 2006-06-14 株式会社東芝 べき乗剰余計算装置、べき乗剰余計算方法及び記録媒体
JP3950638B2 (ja) * 2001-03-05 2007-08-01 株式会社日立製作所 耐タンパーモジュラ演算処理方法
FR2822260A1 (fr) * 2001-03-14 2002-09-20 Bull Sa Procedes et dispositifs pour accelerer le temps de calcul d'un produit de montgomery d'un multiplication et d'une exponentiation modulaire
US6917956B2 (en) * 2001-08-14 2005-07-12 Sun Microsystems, Inc. Apparatus and method for efficient modular exponentiation
JP4086503B2 (ja) * 2002-01-15 2008-05-14 富士通株式会社 暗号演算装置及び方法並びにプログラム
FR2838210B1 (fr) * 2002-04-03 2005-11-04 Gemplus Card Int Procede cryptographique protege contre les attaques de type a canal cache
KR100459732B1 (ko) * 2002-12-30 2004-12-03 삼성전자주식회사 4-2 컴프레서를 이용한 몽고메리 모듈러 승산기 및 그승산 방법
JP4616169B2 (ja) * 2003-07-31 2011-01-19 富士通株式会社 モンゴメリ乗算剰余における変換パラメータの計算装置、方法およびそのプログラム
ATE472769T1 (de) * 2003-11-16 2010-07-15 Sandisk Il Ltd Verbesserte natürliche montgomery- exponentenmaskierung
JP4626148B2 (ja) * 2004-01-07 2011-02-02 株式会社日立製作所 復号または署名作成におけるべき乗剰余算の計算方法
FR2884005B1 (fr) * 2005-04-01 2007-06-01 Thales Sa Methode d'implementation de la multiplication modulaire de montgomery et son dispositif
FR2895609A1 (fr) * 2005-12-26 2007-06-29 Gemplus Sa Procede cryptographique comprenant une exponentiation modulaire securisee contre les attaques a canaux caches, cryptoprocesseur pour la mise en oeuvre du procede et carte a puce associee

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2009003740A1 *

Also Published As

Publication number Publication date
WO2009003740A1 (fr) 2009-01-08
EP2015171A1 (fr) 2009-01-14
US20100177887A1 (en) 2010-07-15

Similar Documents

Publication Publication Date Title
EP2162820A1 (fr) Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches
EP1969459A1 (fr) Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée
EP1166494B1 (fr) Procedes de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique
EP2946284A1 (fr) Procede de cryptographie comprenant une operation de multiplication par un scalaire ou une exponentiation
EP2296086B1 (fr) Protection d&#39;une génération de nombres premiers contre des attaques par canaux cachés
EP2458776A1 (fr) Procédé et système de protection d&#39;un dispositif de cryptographie
WO2012041942A1 (fr) Protection d&#39;exponentiation modulaire dans des opérations cryptographiques
JP2008542802A (ja) モジュラ逆数の決定
WO2001093014A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un alrogithme de cryptographie a cle publique sur courbe elliptique
FR2941798A1 (fr) Appareil pour calculer un resultat d&#39;une multiplication scalaire
FR2926652A1 (fr) Procede et dispositifs de contre-mesure pour cryptographie asymetrique a schema de signature
FR2880750A1 (fr) Carte a microprocesseur et procede cryptographique pour proteger une cle secrete
WO2000059157A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique
FR2888690A1 (fr) Procede cryptographique pour la mise en oeuvre securisee d&#39;une exponentiation et composant associe
WO2006103149A1 (fr) Procede et dispositif cryptographique permettant de proteger les logiques de cles publiques contre les attaques par faute
EP1804160B1 (fr) Protection d&#39;un calcul cryptographique effectué par un circuit intégré
CA2257907A1 (fr) Procede de cryptographie a cle publique
EP2530867B1 (fr) Procédé de traitement cryptographique de données
EP1839125A1 (fr) Procédé d&#39;exponentiation sécurisée et compacte pour la cryptographie
EP1639451A2 (fr) Procédé de contre-mesure par masquage de l&#39;accumulateur
EP1639450A1 (fr) Procede de contre-mesure dans un composant electronique
WO2006010692A2 (fr) Procede de protection d’un algorithme a cle publique dans un composant electronique
EP4024753B1 (fr) Procédé et module électronique de calcul d&#39;une quantité cryptographique avec multiplications sans retenue, procédé et dispositif électronique de traitement d&#39;une donnée et programme d&#39;ordinateur associés
Somsuk et al. Possible prime modified fermat factorization: New improved integer factorization to decrease computation time for breaking rsa
WO2002001343A1 (fr) Procedes de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique de koblitz

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20091224

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

RIN1 Information on inventor provided before grant (corrected)

Inventor name: FEIX, BENOIT

Inventor name: CIET, MATHIEU

17Q First examination report despatched

Effective date: 20100714

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20120613