ES2240766T3 - Procedimiento criptografico para la proteccion de un chip electronico contra el fraude. - Google Patents

Procedimiento criptografico para la proteccion de un chip electronico contra el fraude.

Info

Publication number
ES2240766T3
ES2240766T3 ES02747515T ES02747515T ES2240766T3 ES 2240766 T3 ES2240766 T3 ES 2240766T3 ES 02747515 T ES02747515 T ES 02747515T ES 02747515 T ES02747515 T ES 02747515T ES 2240766 T3 ES2240766 T3 ES 2240766T3
Authority
ES
Spain
Prior art keywords
chip
certificate
bits
electronic
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02747515T
Other languages
English (en)
Inventor
David Arditti
Jacques Burger
Henri Gilbert
Marc Girault
Jean-Claude Pailles
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Application granted granted Critical
Publication of ES2240766T3 publication Critical patent/ES2240766T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Fittings On The Vehicle Exterior For Carrying Loads, And Devices For Holding Or Mounting Articles (AREA)
  • Slot Machines And Peripheral Devices (AREA)

Abstract

Procedimiento criptográfico para la protección contra el fraude de un chip (23) electrónico, en transacciones entre una aplicación (25) y el chip electrónico, que consiste en calcular en el chip electrónico un certificado (S) a partir de parámetros de entrada (Em), que comprende las etapas que consiste en - efectuar (2) el cambio de estado de un dispositivo automático con estados finitos haciéndolo pasar desde un estado antiguo hasta un estado nuevo según una función que depende, al menos, del estado antiguo y de un valor de una serie de bitios E¿ = (e¿1, e¿2, ...e¿n, ...e¿N) - calcular (3) el certificado (S) por medio de una función de salida, que tenga por argumento de entrada, al menos, un estado del dispositivo automático, caracterizado porque el procedimiento comprende, además, la etapa que consiste en - mezclar (1) la totalidad o una parte de los parámetros de entrada (Em) por medio de una función de mezcla y proporcionar, a la salida de la función de mezcla, un dato E¿ = (e¿1, e¿2,...e¿n, ...e¿N), efectuándose la mezcla por medio, al menos, un registro de desfasado con retroacción, en el que los bitios de los parámetros de entrada, que están mezclados, comprenden, al menos, bitios de una clave secreta K, almacenada en una zona-memoria protegida del chip (23), son introducidos sucesivamente e influyen sobre la iniciación del registro y/o sobre el valor de los bitios de retroacción, para proporcionar, en la salida del registro, el dato E¿ = (e¿1, e¿2, ...e¿n, ...e¿N), que resulta de la mezcla.

Description

Procedimiento criptográfico para la protección de un chip electrónico contra el fraude.
Campo de la invención
La presente invención se refiere al campo de la criptografía. En particular la invención se refiere a un procedimiento criptográfico para la protección contra el fraude de un chip electrónico en transacciones entre una aplicación y el chip. La invención se refiere, además, a un dispositivo con chip electrónico que permite la realización de un procedimiento criptográfico de protección contra el fraude del chip electrónico.
La invención encuentra una aplicación muy ventajosa en cuanto a que permite proteger contra el fraude microchips de circuito integrado con lógica cableada o con microprocesador, principalmente los chips que equipan las tarjetas de prepago utilizadas en transacciones diversas tales como el establecimiento de comunicaciones telefónicas, el pago de objetos en un distribuidor automático, la localización de emplazamientos de estacionamiento a partir de un parquímetro, el pago de un servicio como un transporte público o como la puesta a disposición de infraestructuras (peaje, museos, bibliotecas,...).
Descripción del arte anterior
Actualmente, las tarjetas de prepago son susceptibles de sufrir diferentes tipos de fraude. Un primer tipo de fraude consiste en duplicar, sin autorización, la tarjeta, utilizándose frecuentemente el término de clonación para caracterizar esta operación. Un segundo tipo de fraude consiste en modificar los datos relacionados con una tarjeta, en particular el montante del crédito inscrito en la tarjeta. Para luchar contra estos fraudes, es preciso hacer uso de la criptografía, por una parte para asegurar la autentificación de la tarjeta por medio de una autentificación y/o para asegurar la autentificación de los datos por medio de una firma numérica y, por otra parte, para asegurar en caso dado la confidencialidad de los datos por medio de un cifrado. La criptografía utiliza dos entidades, un verificador y un objeto a ser verificado, y puede ser bien simétrica, bien asimétrica. Cuando es simétrica, las dos entidades participan exactamente de la misma información, en particular de una clave secreta. Cuando es asimétrica, una de las dos identidades tiene un par de claves, una de las cuales es secreta y la otra es pública; no existen claves secretas compartidas. En numerosos sistemas, únicamente la criptografía simétrica es aplicada con tarjetas de prepago puesto que la criptografía asimétrica es lenta y costosa. Los primeros mecanismos para la autentificación desarrollados con criptografía simétrica consisten en calcular de una vez por todas un certificado, diferente para cada tarjeta, y almacenarlo en la memoria de la tarjeta, a ser leído en cada transacción y que es verificado por interrelación de una aplicación de la red que soporta la transacción en la que los certificados, ya atribuidos, están almacenados o bien son recalculados. Estos mecanismos aseguran una protección insuficiente puesto que el certificado puede ser espiado, reproducido y reañadido fraudulentamente dado que si siempre es el mismo para una tarjeta dada, permite así realizar un clon de esta tarjeta. Para luchar contra los clones, los mecanismos de autentificación pasivos de tarjetas son reemplazados por mecanismos de autentificación activos que pueden asegurar, además, la integridad de los datos.
El principio general de los mecanismos de autentificación activos es el siguiente: durante una autentificación, el chip electrónico y la aplicación calculan un certificado que es el resultado de una función aplicada a una lista de argumentos determinados para cada autentificación; la lista de argumentos pueden comprender una contingencia, siendo la contingencia un dato determinado por la aplicación en cada autentificación, un dato contenido en el chip electrónico o una clave secreta conocido por el chip electrónico y por la aplicación. Cuando el certificado calculado por el chip electrónico es idéntico al certificado calculado por la aplicación, el chip electrónico es considerado auténtico y la transacción entre el chip electrónico y la aplicación es autorizada.
Tales mecanismos de autentificación son ampliamente conocidos pero, la mayor parte exige capacidades de cálculo al menos iguales a aquellas de las que dispone un microprocesador. Este mecanismo es conveniente por lo tanto para las tarjetas con microprocesador pero, raramente, para las tarjetas con lógica cableada, que disponen de medios de cálculo mucho más rudimentarios. La presente invención se refiere a los mecanismos de autentificación simétricos y activos que pueden ser empleados en una tarjeta con lógica cableada.
Un primer mecanismo de este tipo, constituye el objeto de la patente FR 89 09734. El procedimiento descrito consiste en definir una función no lineal, siendo conocida esta función por la aplicación y estando implantada en un chip electrónico en forma de un circuito cableado. Un segundo mecanismo de este tipo constituye el objeto de la patente FR 95 12144. Se trata de un procedimiento de protección de las tarjetas por autentificación activa incondicionalmente segura, basada en la utilización para un número limitado de autentificaciones de una función lineal que asegura una protección contra el rechazo y un desgaste controlado de la clave secreta.
Cada uno de los mecanismos anteriormente citados tiene ventajas e inconvenientes específicos. En lo que se refiere al primer mecanismo, que se basa en la hipótesis (no probable en el estado actual de los conocimientos) de la seguridad informática de la función no lineal utilizada, las exigencias, muy fuertes, impuestas por las capacidades de cálculo reducidas de los chips con lógica cableada no permiten un margen de seguridad tan amplio como en el caso de los algoritmos con clave secreta usuales y, por este motivo, la divulgación de la especificación detallada de la función no lineal utilizada puede representar un riesgo. En lo que se refiere al segundo mecanismo, éste tiene la ventaja de beneficiarse de una seguridad probable en tanto en cuanto el número de autentificaciones no exceda de un cierto umbral, y por lo tanto no existe el riesgo relacionado con la divulgación de la función lineal utilizada pero, por el contrario, la necesidad de limitar estrictamente el número de utilizaciones de la función de autentificación para la duración debida del chip (o en el caso de tarjetas recargables, entre dos recargas) y inherente a esta solución puede representar una exigencia difícil de satisfacer para ciertas aplicaciones. Además, pueden ser más difíciles de ser contrarrestados, en el caso del segundo mecanismo, ataques relativos no sobre los microchips lógicos cableado sino sobre los módulos de seguridad utilizados para la verificación de estos chips y, según los cuales un violador suministraría a los módulos de verificación respuestas aleatorias hasta que un número suficiente de respuestas correctas, obtenidas por azar, le proporcionase el secreto asociado con un número de tarjeta de su elección. Combinaciones de estos dos tipos de mecanismos, que permiten acumular sus ventajas, constituyen el objeto de las patentes FR 00 03684 y FR 00 04313.
De una manera más precisa, la patente FR 89 09734 describe una tarjeta con microcircuito cableado, en la que una función criptográfica serie es aplicada a dos operandos, siendo uno de ellos una "contraseña" (por ejemplo una contingencia R proporcionada por una entidad externa a la tarjeta) y siendo la otra una "salida" de la "memoria interna" de la tarjeta (por ejemplo una clave secreta K o un dato D relacionado con la aplicación). La función criptográfica serie es realizada por un circuito cableado que comprende un operador lógico que recibe dicha contraseña y dicha salida de la citada memoria interna, seguido por un circuito lógico con retardo que tiene medios para retardar y formar bucle entre las salidas y las entradas de direcciones de una memoria secreta. La salida del operador lógico interviene sobre las salidas de datos de la memoria secreta para constituir las nuevas entradas de direcciones de esta memoria secreta.
Este procedimiento presenta varios inconvenientes.
Un primer inconveniente se debe a que la contraseña y la salida de la memoria interna son combinadas según un simple operador lógico. De una manera más precisa, los bitios de la contraseña son utilizados sucesivamente para constituir el primer operando del operador lógico y los bitios de la salida de la memoria interna son utilizados sucesivamente para constituir el segundo operando de este operador. Como consecuencia la intervención de un bitio dado de la contraseña o de un bitio dado de la salida de la memoria interna sobre el circuito lógico a retardar se limita, exclusivamente, al instante en el que está presente en la entrada del operador lógico.
Ahora bien, la solidez de una función criptográfica se basa en parte sobre sus cualidades de difusión y, en particular, sobre el hecho de que un bitio dado de un parámetro de entrada de este algoritmo influye sobre el mayor número posible de etapas de este algoritmo. De este modo, el principio de difusión es insuficientemente satisfactorio en el procedimiento descrito en la patente FR 89 09734, dado que cada bitio de cada operando influye sobre una única etapa. Se deduce que manipulaciones fraudulentas sobre estos operandos podrían ser facilitadas. De aquí se deduce también que el descubrimiento de bitios que se suponen deberían permanecer secretos (tales como los que constituyen la clave secreta K) a partir de la observación de una o varias salidas proporcionadas por el algoritmo, podría facilitarse del mismo modo.
Un segundo inconveniente se debe a que el operador lógico del circuito cableado tiene como argumento de entrada la contraseña y la salida de la memoria interna lo que impide que el operador lógico pueda combinar la salida de una memoria interna con la salida de otra memoria interna. Por ejemplo, una clave secreta y un dato de aplicación inscrito en el chip no pueden ser combinados por este operador lógico. De aquí se deduce que podría ser facilitada la modificación fraudulenta de datos de aplicación.
Otros inconvenientes del procedimiento descrito en la patente FR 89 09734 se deben a la utilización de un circuito lógico con retardo que tiene medios de retardo y que forman un bucle entre las salidas de datos y las entradas de direcciones de una memoria secreta.
En primer lugar, el hecho de que la memoria sea secreta no es siempre indispensable. Aún cuando existen ataques contra los algoritmos criptográficos, que se benefician de efectos que pueden presentar tales memorias, tales como defectos relacionados con su no linealidad, y si estas memorias son especificadas de tal manera que no presenten estos defectos, entonces pueden publicarse sin comprometer la seguridad del algoritmo en su conjunto. Sin embargo y aún cuando esto no sea necesario, el usuario puede elegir mantenerlos secretos con el fin de aumentar la seguridad del algoritmo.
En segundo lugar, la utilización de un circuito lógico con retardo que forma bucle entre las salidas de datos y las entradas de direcciones de la memoria es muy restrictiva. Esto excluye, en particular, que la salida de circuito cableado sea de longitud (expresada en bitios) muy elevada puesto que el tamaño de la memoria aumenta exponencialmente con esta longitud. Por ejemplo, si la salida tiene una longitud de 4 bitios, entonces, la memoria ocupa 64 bitios. Pero si la salida tiene una longitud de 8 bitios, entonces la memoria ocupa 2 Kbitios, tamaño muy elevado para un chip con lógica cableada a bajo coste. Si la salida tiene una longitud de 16 bitios, entonces la memoria ocupa 1Mbitios, tamaño demasiado elevado para cualquier chip de lógica cableada. Sin embargo la longitud de la salida del circuito cableado debe ser de una longitud tal que un violador, que tratase de encontrar el valor al azar, únicamente tenga una posibilidad despreciable de tener éxito. Si la longitud es de 4 bitios, el violador tiene una posibilidad de 2 elevado a 4, es decir 16, lo que representa una probabilidad excesiva en casi todas las aplicaciones. Si la longitud es de 8 bitios, el violador tiene una posibilidad sobre 256, lo que sigue siendo excesivo en la mayor parte de las aplicaciones. De este modo, el procedimiento descrito en la patente FR 89 09734 no permite satisfacer simultáneamente las exigencias técnicas de un chip con lógica cableada y las exigencias de seguridad de la mayor parte de las aplicaciones.
La solicitud de patente FR 2 739 706 describe un procedimiento criptográfico de protección contra el fraude de un chip electrónico. Este procedimiento consiste en calcular en el chip electrónico un certificado a partir de parámetros de entrada, efectuar el cambio de estado de un dispositivo automático con estados finitos y hacerlo pasar desde un estado antiguo hasta un estado nuevo según una función que depende al menos del estado antiguo y de un valor de los parámetros de entrada, calcular el certificado por medio de una función de salida que tiene por argumento entrada al menos un estado del dispositivo automático.
Resumen de la invención
La presente invención se refiere a un procedimiento criptográfico para la protección contra el fraude de un chip electrónico y se refiere a un dispositivo con chip electrónico, en transacciones entre una aplicación y el chip electrónico, de una manera más particular adaptados a los chips con lógica cableada y, de una manera más particular, destinados a utilizar un mecanismo de autentificación, que esté desprovisto de los inconvenientes anteriormente citados, con el fin de reforzar la solidez criptográfica del mecanismo de autentificación obtenido y, por lo tanto, hacer más ardua la creación de clones.
Con esta finalidad la invención tiene por objeto un procedimiento criptográfico de protección contra el fraude de un chip electrónico, en transacciones entre una aplicación y el chip electrónico, que consiste en calcular en el chip electrónico un certificado a partir de parámetros de entrada, consistiendo dicho procedimiento además en:
-
mezclar la totalidad o una parte de los parámetros de entrada por medio de una función de mezcla y proporcionar a la salida de la función de mezcla un dato E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}),
-
efectuar el cambio de estado de un dispositivo automático con estados finitos y hacerlo pasar desde un estado antiguo hasta un estado nuevo según una función que depende, al menos, del estado antiguo y de un valor de la serie de bitios (e'_{1}, e'_{2},...e'_{n},...e'_{N}),
-
calcular el certificado por medio de una función de salida, que tiene como argumento de entrada, al menos, un estado del dispositivo automático.
La invención tiene por objeto, además, un dispositivo con chip electrónico, que permite la realización de un procedimiento criptográfico de protección contra el fraude del chip electrónico, en transacciones entre una aplicación y el chip electrónico, que consiste en calcular por parte del chip electrónico un certificado a partir de parámetros de entrada, comprendiendo dicho dispositivo:
-
medios para mezclar la totalidad o una parte de los parámetros de entrada para proporcionar a la salida un dato E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}) que resulta de la mezcla,
-
un dispositivo automático con estados finitos, que pasa desde un estado antiguo hasta un estado nuevo, según una función que depende, al menos, del estado antiguo y de un valor de la serie de bitios (e'_{1}, e'_{2},...e'_{n},...e'_{N}),
-
un medio de salida para calcular el certificado a partir de argumentos de entrada, que comparan, al menos, un estado del dispositivo automático.
De este modo, el procedimiento y el dispositivo se descomponen en una función denominada de mezcla y en un dispositivo automático. Los parámetros de entrada del procedimiento y del dispositivo pueden estar constituidos, en el caso de la aplicación de un mecanismo de autentificación, por una clave secreta K, por una contingencia R, por datos de aplicación D, por una dirección A, por un identificador I, etc.
Los parámetros de entrada del procedimiento criptográfico y del dispositivo son tratados en la función de mezcla, que proporciona a la salida un dato que depende de la totalidad o de una parte de los parámetros de entrada. El dato de salida de la función de mezcla interviene en el cambio de estado del dispositivo automático con estados finitos, uno de cuyos estados al menos, preferentemente el estado final, es utilizado para calcular el valor de salida, denominado certificado S.
Debido a la función de mezcla, la intervención de un bitio dado de un parámetro de entrada no se limita ya exclusivamente al instante en el que esté presente a la entrada de los medios de realización del procedimiento; sino que influye, por el contrario, sobre un gran número de etapas posteriores a este instante. El principio de difusión se encuentra satisfecho de este modo.
De manera ventajosa, el dispositivo automático, permite obtener certificados de tamaño elevado (16, 32 o incluso 64 bitios) sin que por ello tenga que almacenar un número importante de bitios. En efecto, el dispositivo automático no está constituido necesariamente por un simple circuito lógico con retardo que forma bucle entre las salidas de datos y las entradas de direcciones de una memoria.
El certificado obtenido mediante la aplicación de un procedimiento y de un dispositivo según la invención puede ser utilizado igualmente para cambiar claves secretas entre la aplicación y el chip, o cifrar datos cambiados entre la aplicación y el chip, como para la autentificación del chip o de la aplicación. También puede ser interpretada como una firma electrónica de la totalidad o de una parte de los parámetros de entrada. Además puede interpretarse como una secuencia de bitios pseudo-aleatorios y, haciendo intervenir al menos uno de los parámetros de entrada, el procedimiento de cálculo del certificado se convierte entonces en un procedimiento de generación de bitios pseudo-aleatorios.
Breve descripción de los dibujos
Otras características y ventajas de la invención se pondrán de manifiesto por la descripción que sigue, hecha con referencia a los dibujos adjuntos de modos particulares de realización, dados a título de ejemplos no limitativos.
La figura 1 es un esquema de un procedimiento según la invención.
La figura 2 es un esquema de un ejemplo de una función de mezcla.
La figura 3 es un esquema de un ejemplo de un dispositivo automático con estados finitos.
La figura 4 es un esquema que ilustra la realización de un procedimiento según la invención.
Descripción de un modo de realización
La figura 1 representa, esquemáticamente, un procedimiento según la invención para la protección de un chip electrónico contra el fraude. El procedimiento consiste en diferentes funciones descritas a continuación.
Una primera función 1, denominada de mezcla, consiste en mezclar la totalidad o parte de los parámetros de entrada E_{m} (m = 1 hasta M), con M igual al número de parámetros, y proporcionar en la salida un dato E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}) con N igual al número de bitios del dato de salida. Cada parámetro de entrada E_{m} comprende un cierto número de bitios. Los datos de entrada de la función de mezcla están constituidos por la totalidad o por una parte de los parámetros de entrada E_{m}.
Un primer parámetro de entrada E, puede estar constituido por una clave secreta K, almacenada en una zona protegida del chip, es decir en una zona de memoria del chip que no sea posible leer ni modificar desde el exterior. Esta zona de memoria puede estar implantada, por ejemplo, en un registro o en una memoria.
Un segundo parámetro de entrada E_{2} puede estar constituido por datos D internos del chip, es decir almacenados en una memoria programable (de tipo RAM, PROM, EPROM o incluso E2PROM) del chip. Estos datos pueden ser de naturaleza muy diversa y pueden ser inscritos durante fases muy diferentes de la vida del chip, tales como la fase de fabricación del chip, la fase de fabricación del objeto (tarjeta, tique, etc.) en la que el chip es insertado, la fase de personalización de este objeto por la entidad emisora, o incluso la fase de utilización del objeto por su poseedor.
Un tercer parámetro de entrada E_{3} puede estar constituido, en el caso en que un parámetro de entrada esté constituido por datos D internos de la tarjeta, por la dirección o por las direcciones de la o de las zonas de memoria del chip en la cual o en las cuales están almacenados estos datos D.
Un cuarto parámetro de entrada E_{4} puede estar constituido por datos D' externos al chip, proporcionados por el chip previamente a la realización del procedimiento criptográfico, por ejemplo al inicio de la transacción con la aplicación.
Un quinto parámetro de entrada E_{5} puede estar constituido por una contingencia R externa al chip, proporcionado al chip previamente a la realización del procedimiento criptográfico por ejemplo al inicio de la transacción con la aplicación. Esta contingencia puede ser un valor aleatorio, es decir elegido al azar, de tamaño suficientemente elevado como para que la probabilidad de elegir dos valores iguales sea muy pequeña. También puede ser determinada a partir de una serie de entidades consecutivas generadas por la aplicación y el chip electrónico. También puede ser determinada a partir de características de tiempo, típicamente de la fecha y de la hora. Finalmente, puede ser una combinación de todos o de una parte de los elementos citados.
Un sexto parámetro de entrada E_{6} puede estar constituido por una contingencia R' interno al chip, proporcionado al chip previamente a la realización del procedimiento criptográfico. Esta contingencia puede ser determinada partir de un valor aleatorio, es decir elegido al azar, y de tamaño suficientemente elevado como para que la probabilidad de elegir dos valores iguales sea muy pequeña. También puede determinarse a partir de una serie de enteros consecutivos generados por el exterior, típicamente la aplicación, y el chip electrónico. También puede determinarse a partir de características de tiempo, de manera típica de la fecha y de la hora. Finalmente, puede ser una combinación de la totalidad o una parte de los elementos anteriormente citados.
La lista de los parámetros posibles no es exhaustiva. El aumento del número de parámetros permite aumentar, ventajosamente, la seguridad del procedimiento, sin embargo este aumento va en detrimento de una implantación simple.
Los datos de entrada de la función de mezcla, determinados a partir de los parámetros de entrada E_{m}, pueden ser objetos matemáticos de cualquier naturaleza, por ejemplo bitios, cadenas de bitios de longitud fija o variable, números enteros, números no enteros, etc. Lo mismo ocurre con el dato de salida de la función de mezcla. Sin embargo, para la comodidad de la descripción del procedimiento, asimilaremos esta salida a una serie de bitios E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}), lo cual no es restrictivo en la práctica.
La función de mezcla puede ser una función lineal o no lineal de los datos de entrada.
Un primer ejemplo de función 1 lineal, ilustrado en la figura 2, consiste en efectuar el producto escalar entre los datos de entrada. Si se supone que los datos de entrada son, por una parte, una clave K constituida por J bitios (K_{1}, K_{2},...K_{J}) y, por otra parte, una contingencia R y un dato D, que constituye un conjunto de J bitios denominado (Z_{1}, Z_{2},...Z_{J}), entonces el primer bitio del dato de salida de la función de mezcla puede definirse como el producto escalar de los dos datos descritos anteriormente. De este modo, el primer bitio del dato de salida de la función de mezcla es igual al resultado de un O exclusivo que recae sobre los J bitios obtenidos cuando se efectúa, para cualquier j, el producto K_{j}\cdotZ_{j} con j = 1 hasta J. Según el ejemplo de implantación, ilustrado en la figura 2, el producto K_{j}\cdotZ_{j} se obtiene a la salida de una puerta 4_{j} lógica Y con j = 1 hasta J. La O exclusiva, que recae sobre los J bitios, obtenidos cuando se efectúa para cualquier j el producto K_{j}\cdotZ_{j}, está descompuesta en un conjunto de puertas 5_{j,j+1} O exclusivo con j = 1 hasta J-1. Cada puerta 5_{j,j+1} O exclusiva tiene dos entradas y una salida. Al menos una entrada es la salida de una puerta 4_{j} lógica Y, la segunda entrada es o bien la salida de una puerta 5_{j,j+1} O exclusiva, o bien la salida de una puerta 4_{j} lógica Y. La salida e' de la puerta 5_{J-1,J} O exclusiva da el valor del primer bitio del dato de salida de la función MIX.
Para obtener el segundo bitio del dato de salida, se efectúa una operación de rotación, de una o varias posiciones, sobre la clave K. Esta operación transforma la clave K en un dato K'. El segundo bitio del dato de salida de la función de mezcla puede ser definido como el producto escalar del dato K' y del conjunto J de bitios (Z_{1}, Z_{2},...Z_{J}). El segundo bitio está presente a la salida de la puerta 5_{J-1,J} O exclusiva.
Para obtener los bitios siguientes del dato de salida, es preciso repetir, para cada bitio, las operaciones descritas para la obtención del segundo bitio.
Son posibles muchas variantes a partir de la función 1 lineal definida de este modo. En particular, es posible evitar que los bitios del dato de salida vuelvan a entrar en un ciclo de repetición, debido a que después de J rotaciones, la clave K se vuelva a encontrar en su estado inicial. Si I es el número de bitios de salida deseado, entonces es posible utilizar una clave K de I+J: (K_{1}, K_{2},...K_{I+J}). El primer bitio del dato de salida de la función de mezcla puede definirse como el producto escalar de los datos (K_{1}, K_{2},...K_{J}) y (Z_{1}, Z_{2},...Z_{J}). El segundo bitio del dato de salida puede definirse como el producto escalar de los datos (K_{2}, K_{3},...K_{J+1}) y (Z_{1}, Z_{2},...Z_{J}). Y así sucesivamente hasta el primer bitio del dato de salida que puede definirse como el producto escalar de los vectores (K_{I+1}, K_{I+2},...K_{J+1}) y (Z_{1}, Z_{2},...Z_{J}).
Esta variante es ventajosa puesto que existe un modo de implantación que dispensa relacionar la clave K cada vez que se requiera un bitio de salida. Este modo está basado en un cálculo paralelo de los bitios de salida. Para ello, es preciso disponer de dos registro particulares de I bitios, el primero inicializado con el vector (K_{1}, K_{2},...K_{I}) y el segundo con el vector nulo (0, 0,...0). Si Z_{1} = 0, el contenido del segundo registro sigue siendo nulo. Si Z_{1} = 1, el contenido del primer registro constituye el nuevo contenido del segundo registro. En ambos casos, el nuevo contenido del primer registro es (K_{2}, K_{3},...K_{I+1}). Esta última operación se realiza efectuándose un desfasado hacia la izquierda de una posición, y a continuación insertando el nuevo bitio K_{I+1}. Si Z_{2} = 0, el contenido del segundo registro no se modifica. Si Z_{2} = 1, el nuevo contenido del segundo registro es el resultado de una O exclusiva de los contenidos de los registros primero y segundo. En ambos casos, el nuevo contenido del primer registro es (K_{3}, K_{4},...K_{I+2}), contenido obtenido por medio de un desfasado desde la inserción del nuevo bitio K_{I+2}. Y así sucesivamente. Tras la lectura de los J bitios (Z_{1}, Z_{2},...Z_{J}), los I bitios de salida de la función de mezcla se definen como los I bitios contenidos en el segundo registro.
Un segundo ejemplo de una función 1 lineal consiste en utilizar un registro de desfasado con retroacción lineal en el que los bitios de los parámetros de entrada se introducen sucesivamente e influyen sobre el estado inicial del registro y/o sobre el valor de los bitios de retroacción. El término de registro con desfasado con retroacción lineal perturbado se utiliza a veces para designar un registro en el que son inyectados datos en el transcurso del funcionamiento del registro. El valor de salida E' puede estar constituido entonces por uno o varios bitios extraídos del contenido de este registro.
Un ejemplo de una función 1 no lineal consiste en utilizar un registro con desfasado con retroacción no lineal, en el que los bitios de los parámetros de entrada son introducidos sucesivamente. El valor de salida S' puede estar constituido por uno o varios bitios extraídos del contenido de este registro.
Una segunda función 2 consiste en efectuar el cambio de estado de un dispositivo automático con estados finitos haciéndole pasar desde un estado antiguo hasta un estado nuevo teniendo en consideración al menos el estado antiguo y un valor de la serie de bitios E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}), valor que corresponde a un bitio o a varios bitios tomados entre el conjunto de los bitios del dato E'. Según modos particulares de realización, esta función puede tener en cuenta, además, la totalidad o una parte de los parámetros de entrada E_{m}. El estado inicial del dispositivo automático puede determinarse en función de la totalidad o una parte de E' y de E_{m}.
Un primer ejemplo de dispositivo automático, ilustrado en la figura 3, consiste en utilizar un circuito booleano. Es decir un circuito que, por ejemplo, con un vector de k+1 bitios (A_{1}, A_{2},...A_{k+1}) asocia un vector de k bitios (A'_{1}, A'_{2},...A'_{k}), donde cada bitio A'_{i} se obtiene a partir de los bitios (A_{1}, A_{2},...A_{k+1}) con ayuda de operaciones elementales tales como O exclusivo, O (inclusivo), Y, NO y donde (A_{1}, A_{2},...A_{k}) representa el estado antiguo del dispositivo automático. Por ejemplo, en un caso en que k = 8, las salidas del dispositivo automático están dadas por las relaciones siguientes, en las cuales A_{9} = e', donde e' designa cualquiera de los bitios de E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}):
A'_{1} = (NO A_{3}) Y A_{2} O e'; A'_{2} = A_{5} O ((NO A_{8}) Y (A_{1} O exclusivo A_{4})); A'_{3} = A_{6} Y A_{2}; A'_{4} = A_{1} O exclusivo A_{4} O exclusivo (NO e'); A'_{5} = A_{3} O A_{7}; A'_{6} = (NO A_{5}) Y A_{1} O exclusivo A_{8}; A'_{7} = A_{6} O A_{7}; A'_{8} = (NO e'). Según la implantación esquematizada por la figura 3, A'_{1} es la salida de una puerta O 6, en la que una primera entrada corresponde a e' y la segunda entrada es la salida de una puerta Y 7. La puerta Y 7 tiene como primera entrada A_{2} y como segunda entrada la salida de un inversor 8 cuya entrada es A_{3}. A'_{2} es la salida de una puerta O 9, en la que una primera entrada es A_{5} y en la que una segunda entrada es la salida de una puerta Y 10. La puerta Y 10 tiene, como primera entrada, la salida de un inversor 11 y, como segunda entrada, la salida de una puerta O exclusiva 12. La entrada de un inversor 11 es A_{8}. La puerta O exclusiva 12 tiene como primera entrada A_{1} y como segunda entrada A_{4}. A'_{3} es la salida de una puerta Y 13, en la que una primera entrada es A_{6} y una segunda entrada es A_{2}. A'_{4} es la salida de una puerta O exclusiva 14, en la que una primera entrada es A_{1}, una segunda entrada es A_{4} y una tercera entrada es la salida de un inversor 15, cuya entrada es e'. A'_{5} es la salida de una puerta O 16, en la que una primera entrada es A_{3} y en la que la segunda entrada es A_{7}. A'_{6} es la salida de una puerta O exclusiva 17, en la que una primera entrada es A_{8} y en la que una segunda entrada es la salida de la puerta Y 18. La puerta Y 18 tiene como primera entrada A_{1} y como segunda entrada la salida de un inversor 19, cuya entrada es A_{5}. A'_{7} es la salida de una puerta O 20, en la que una primera entrada es A_{6} y una segunda entrada es A_{7}. A'_{8} es la salida de un inversor 21, cuya entrada es e'. Cada bitio Ap es la salida de una báscula, cuya entrada es el bitio A_{p}' = con p =1 hasta k.
Según el ejemplo, el dispositivo automático tiene un estado interno de k bitios (A_{1}, A_{2},...A_{k}) y presenta a la salida un nuevo estado (A'_{1}, A'_{2},...A'_{k}), cada vez que un nuevo vector (A_{1}, A_{2},...A_{k}, e') esté presente en la entrada del circuito booleano, estando constituido el nuevo vector por el estado interno y la salida de la función de mezcla.
Un segundo ejemplo de dispositivo automático consiste en la utilización de las transformaciones de bitios definidos por tablas de números. Siempre en el caso k = 8, es posible, por ejemplo, dividir el octeto (A_{1}, A_{2},...A_{8}) en dos cuartetos (A_{1}, A_{2}, A_{3}, A_{4}) y (A_{5}, A_{6}, A_{7}, A_{8}), a continuación es posible aplicar a cada cuarteto una transformación T si el bitio de salida e' vale cero, o una transformación U si e' vale uno. La transformación T está definida por una tabla que asocia a cada valor de cuarteto (a, b, c, d) un valor de cuarteto (a', b', c', d'). Igual para U.
Cuando todos los valores de entrada hayan sido tomados en cuenta, el dispositivo automático estará en un cierto estado final (F_{1}, F_{2},...F_{k}).
Una tercera función 3, denominada de salida, que tiene por argumentos de entrada al menos un estado del dispositivo automático, consiste en calcular un certificado S. La implantación más simple se obtiene si se tiene en cuenta únicamente el estado final del dispositivo automático. Sin embargo, la función puede tomar en cuenta, de manera complementaria, estados anteriores del dispositivo automático. Preferentemente, la función de salida es la función identidad aplicada al estado final del dispositivo automático. En otros términos, el certificado S es igual al dato de k bitios (F_{1}, F_{2},...F_{k}). Según otro modo de realización, la función de salida es una función de truncamiento. El certificado S puede ser verificado para toda aplicación que tenga conocimiento de la clave secreta K del chip. Para ello todos los datos no conocidos de la aplicación pero que entran en el cálculo del certificado, por ejemplo datos internos del chip, deben ser comunicados por el chip a la aplicación, como paso previo, simultáneamente o posteriormente al envío del certificado. La aplicación utiliza exactamente el mismo procedimiento criptográfico que el utilizado por el chip cuando utiliza los mismos datos de entrada que los utilizados por el chip, y obtiene un certificado S'. La aplicación compara el certificado S', que ha calculado, con el S calculado por el chip. Si existe igualdad, el chip es considerado como autenticado por la aplicación. La verificación del certificado calculado por la aplicación puede efectuarse por otra parte por el chip para permitir a éste último autentificar la aplicación.
La figura 4 permite ilustrar la realización de un procedimiento según la invención, durante una transacción entre un chip electrónico y una aplicación.
El chip 23 electrónico está alojado en un soporte 24 que consiste, por ejemplo, en una tarjeta de prepago, un tique electrónico, una tarjeta bancaria, etc.
La aplicación 25 se desarrolla total o parcialmente en un lector 26 de chip electrónico. Este lector puede ser un lector sin contacto o un lector con contacto como se ha ilustrado en la figura 4.
Cuando la aplicación consiste en una aplicación de autentificación, la simple presencia de la tarjeta en el lector puede activar a este lector y poner en marcha la aplicación. La aplicación solicita al chip para que éste último se autentifique y le proporcione un certificado S calculado 27 según un procedimiento de acuerdo con la invención. En paralelo, la aplicación calcula 28 según el mismo procedimiento un certificado a partir de los mismos parámetros de entrada que el chip. Como consecuencia del cálculo, el chip proporciona su resultado a la aplicación, que lo compara con su propio resultado. Cuando los resultados son idénticos, la autentificación del chip es correcta y la aplicación informa al chip. Los parámetros de entrada pueden ser determinados de manera definitiva antes de cualquier utilización del chip electrónico, implantado en el chip y conocido por la aplicación. Estos pueden ser eventualmente reactualizados tras la autentificación de la tarjeta según un procedimiento determinado. La reactualización puede corresponder a la totalidad de los parámetros o únicamente a algunos de ellos o incluso la aplicación puede proporcionar un nuevo parámetro como una contingencia R determinada de manera aleatoria o determinada por el valor de un contador, de un reloj, de una fecha, etc.

Claims (18)

1. Procedimiento criptográfico para la protección contra el fraude de un chip (23) electrónico, en transacciones entre una aplicación (25) y el chip electrónico, que consiste en calcular en el chip electrónico un certificado (S) a partir de parámetros de entrada (E_{m}), que comprende las etapas que consiste en:
-
efectuar (2) el cambio de estado de un dispositivo automático con estados finitos haciéndolo pasar desde un estado antiguo hasta un estado nuevo según una función que depende, al menos, del estado antiguo y de un valor de una serie de bitios E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}),
-
calcular (3) el certificado (S) por medio de una función de salida, que tenga por argumento de entrada, al menos, un estado del dispositivo automático,
caracterizado porque el procedimiento comprende, además, la etapa que consiste en:
-
mezclar (1) la totalidad o una parte de los parámetros de entrada (E_{m}) por medio de una función de mezcla y proporcionar, a la salida de la función de mezcla, un dato E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}), efectuándose la mezcla por medio, al menos, un registro de desfasado con retroacción, en el que los bitios de los parámetros de entrada, que están mezclados, comprenden, al menos, bitios de una clave secreta K, almacenada en una zona-memoria protegida del chip (23), son introducidos sucesivamente e influyen sobre la iniciación del registro y/o sobre el valor de los bitios de retroacción, para proporcionar, en la salida del registro, el dato E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}), que resulta de la mezcla.
2. Procedimiento según la reivindicación 1, en el que la función de salida es la función identidad, que tiene por argumento de entrada el estado nuevo del dispositivo automático.
3. Procedimiento según la reivindicación 1, en el que la función de salida es una función de truncamiento, que tiene por argumento de entrada el estado nuevo del dispositivo automático.
4. Procedimiento de autentificación del chip por la aplicación según la reivindicación 1, en el que la aplicación (25) compara el certificado (S), calculado (27) por el chip electrónico, con un certificado (S'), que calcula (28) de la misma manera que el chip (23) electrónico.
5. Procedimiento de autentificación de la aplicación para el chip según la reivindicación 1, en el que el chip electrónico (23) compara el certificado (S), que calcula (27), con un certificado (S'), calculado (28) de la misma manera por la aplicación (25).
6. Utilización de un certificado con el fin de cambiar la clave secreta entre un chip y una aplicación, caracterizada porque el certificado se obtiene mediante la realización de un procedimiento según una de las reivindicaciones 1 a 5.
7. Utilización de un certificado con fines de cifrado entre un chip y una aplicación, caracterizada porque el certificado se obtiene mediante la realización de un procedimiento según una de las reivindicaciones 1 a 5.
8. Utilización de un certificado con fines de firma electrónica de la totalidad o de una parte de los parámetros de entrada (E_{m}), caracterizada porque el certificado se obtiene mediante la realización de un procedimiento que tiene en cuenta los parámetros de entrada (E_{m}) según una de las reivindicaciones 1 a 5.
9. Utilización de un certificado como secuencia de bitios pseudo-aleatorios, caracterizada porque el certificado se obtiene mediante la realización de un procedimiento según una de las reivindicaciones 1 a 5.
10. Dispositivo (24) con chip (23) electrónico, que permite la realización de un procedimiento criptográfico de protección contra el fraude del chip electrónico, en una transacción entre una aplicación (25) y el chip electrónico, que consiste en calcular (27) en el chip electrónico un certificado (S) a partir de parámetros de entrada (E_{m}), que comprende:
-
un dispositivo automático con estados finitos, que pasa desde un estado antiguo hasta un estado nuevo según una función que depende, al menos, del estado antiguo y de un valor de la serie de bitios (e'_{1}, e'_{2},...e'_{n},...e'_{N}),
-
un medio de salida para calcular el certificado (S) a partir de argumentos de entrada, que comprenden, al menos, un estado del dispositivo automático,
caracterizado porque comprende, además:
-
medios de mezcla de la totalidad o una parte de los parámetros de entrada (E_{m}) para proporcionar, en la salida, un dato E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}), comprendiendo los medios de mezcla, al menos, un registro con desfasado con retroacción, en el que los bitios de los parámetros de entrada, que comprenden, al menos, bitios de una clave secreta K, almacenada en una zona-memoria protegida del chip (23), son introducidos sucesivamente e influyen sobre la iniciación del registro y/o sobre el valor de los bitios de retroacción, para proporcionar, en la salida del registro, el dato E' = (e'_{1}, e'_{2},...e'_{n},...e'_{N}), que resulta de la mezcla.
11. Dispositivo (24) con chip electrónico según la reivindicación 10, en el que el registro con desfasado es de retroacción no lineal.
12. Dispositivo (24) con chip electrónico según la reivindicación 10, en el que el registro con desfasado es de retroacción lineal.
13. Dispositivo (24) con chip según la reivindicación 10, en el que el dispositivo automático comprende un circuito booleano.
14. Dispositivo (24) con chip según la reivindicación 10, en el que el dispositivo automático comprende un circuito que forma bucle entre las salidas y las entradas de direcciones de una o varias memorias.
15. Tarjeta de prepago, que comprende un dispositivo con chip electrónico según una de las reivindicaciones 10 a 14.
16. Tique, que comprende un dispositivo con chip electrónico según una de las reivindicaciones 10 a 14.
17. Borna de acceso a un servicio público, que comprende un dispositivo según una de las reivindicaciones 10 a 14.
18. Terminal de pago electrónico, que comprende un dispositivo según una de las reivindicaciones 10 a 14.
ES02747515T 2001-06-26 2002-06-07 Procedimiento criptografico para la proteccion de un chip electronico contra el fraude. Expired - Lifetime ES2240766T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0108586 2001-06-26
FR0108586A FR2826531B1 (fr) 2001-06-26 2001-06-26 Procede cryptographique pour la protection d'une puce electronique contre la fraude

Publications (1)

Publication Number Publication Date
ES2240766T3 true ES2240766T3 (es) 2005-10-16

Family

ID=8864902

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02747515T Expired - Lifetime ES2240766T3 (es) 2001-06-26 2002-06-07 Procedimiento criptografico para la proteccion de un chip electronico contra el fraude.

Country Status (14)

Country Link
US (1) US7526648B2 (es)
EP (1) EP1399896B1 (es)
JP (1) JP2004531163A (es)
KR (1) KR100906518B1 (es)
CN (1) CN1221928C (es)
AT (1) ATE294430T1 (es)
BR (1) BRPI0210673B1 (es)
CA (1) CA2451034C (es)
DE (1) DE60203909T2 (es)
ES (1) ES2240766T3 (es)
FR (1) FR2826531B1 (es)
IL (2) IL157947A0 (es)
MX (1) MXPA03010308A (es)
WO (1) WO2003001464A1 (es)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2850479B1 (fr) 2003-01-24 2005-04-29 France Telecom Procede cryptographique a cle publique pour la protection d'une puce contre la fraude
FR2867289A1 (fr) * 2004-03-02 2005-09-09 France Telecom Procede et dispositif pour accomplir une operation cryptographique
FR2867335A1 (fr) * 2004-03-02 2005-09-09 France Telecom Procede cryptographique notamment a cle publique
JP4612461B2 (ja) * 2004-06-24 2011-01-12 株式会社東芝 マイクロプロセッサ
TW200708027A (en) * 2005-04-29 2007-02-16 Sean O'neil Process of and apparatus for hashing
US8484481B2 (en) * 2009-07-14 2013-07-09 International Business Machines Corporation Chip lockout protection scheme for integrated circuit devices and insertion thereof
DE102011007572A1 (de) * 2011-04-18 2012-10-18 Siemens Aktiengesellschaft Verfahren zur Überwachung eines Tamperschutzes sowie Überwachungssystem für ein Feldgerät mit Tamperschutz
EP2983156B1 (fr) * 2014-08-06 2019-07-24 Secure-IC SAS Système et procédé de protection de circuit

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1321649C (en) * 1988-05-19 1993-08-24 Jeffrey R. Austin Method and system for authentication
FR2650097B1 (fr) 1989-07-19 1992-12-31 Pailles Jean Claude Carte a microcircuit cable et procede de transaction entre une carte a microcircuit cable correspondante et un terminal
TW200624B (en) 1992-04-06 1993-02-21 American Telephone & Telegraph A universal authentication device for use over telephone lines
FR2739706B1 (fr) 1995-10-09 1997-11-21 Inside Technologies Perfectionnements aux cartes a memoire
FR2739994B1 (fr) 1995-10-17 1997-11-14 Henri Gilbert Procede cryptographique de protection contre la fraude
CH690530A5 (de) * 1995-12-11 2000-09-29 Ip Tpg Holdco Sarl Verfahren zur Echtheitskontrolle eines bei einer Transaktion verwendeten vorausbezahlten Zahlungsmittels.
DE19622533A1 (de) 1996-06-05 1997-12-11 Deutsche Telekom Ag Verfahren und Vorrichtung zum Laden von Inputdaten in einen Algorithmus bei der Authentikation
US6233685B1 (en) * 1997-08-29 2001-05-15 Sean William Smith Establishing and employing the provable untampered state of a device
DE19737693A1 (de) 1997-08-29 1999-03-04 Philips Patentverwaltung Verfahren zur Überprüfung der Unverfälschtheit einer elektrischen Schaltung
EP1084543B1 (en) * 1998-06-03 2008-01-23 Cryptography Research Inc. Using unpredictable informaion to minimize leakage from smartcards and other cryptosystems
US6757832B1 (en) * 2000-02-15 2004-06-29 Silverbrook Research Pty Ltd Unauthorized modification of values in flash memory
FR2806858B1 (fr) 2000-03-22 2002-05-03 France Telecom Procede cryptographique de protection contre la fraude
FR2807245B1 (fr) 2000-03-30 2002-05-24 France Telecom Procede de protection d'une puce electronique contre la fraude

Also Published As

Publication number Publication date
IL157947A (en) 2007-03-08
CA2451034C (fr) 2013-01-08
KR20040010639A (ko) 2004-01-31
BR0210673A (pt) 2004-09-21
IL157947A0 (en) 2004-03-28
CN1520583A (zh) 2004-08-11
FR2826531B1 (fr) 2003-10-24
CN1221928C (zh) 2005-10-05
ATE294430T1 (de) 2005-05-15
BRPI0210673B1 (pt) 2016-01-12
EP1399896A1 (fr) 2004-03-24
FR2826531A1 (fr) 2002-12-27
WO2003001464A1 (fr) 2003-01-03
EP1399896B1 (fr) 2005-04-27
CA2451034A1 (fr) 2003-01-03
KR100906518B1 (ko) 2009-07-07
DE60203909D1 (de) 2005-06-02
JP2004531163A (ja) 2004-10-07
US20040107353A1 (en) 2004-06-03
DE60203909T2 (de) 2006-02-16
MXPA03010308A (es) 2004-02-17
US7526648B2 (en) 2009-04-28

Similar Documents

Publication Publication Date Title
ES2962122T3 (es) Procedimiento electrónico para la transferencia criptográficamente segura de un importe de una criptomoneda
ES2202344T3 (es) Procedimiento de carga de una zona de memoria protegida de un dispositivo de tratamiento de la informacion y dispositivo asociado.
US7395435B2 (en) Secure memory device for smart cards
ES2599985T3 (es) Validación en cualquier momento para los tokens de verificación
US5068894A (en) Method of generating a unique number for a smart card and its use for the cooperation of the card with a host system
ES2632795T3 (es) Sistema de pago
US4295039A (en) Method and apparatus for achieving secure password verification
ES2730691T3 (es) Procedimiento y sistema para la comunicación segura entre una etiqueta RFID y un dispositivo de lectura
KR20060047330A (ko) 생체 인증 장치 및 단말
EP3702991A1 (en) Mobile payments using multiple cryptographic protocols
US10614462B2 (en) Security aspects of a self-authenticating credit card
ES2240766T3 (es) Procedimiento criptografico para la proteccion de un chip electronico contra el fraude.
ES2221642T3 (es) Procedimiento criptografico de proteccion contra el fraude de un chip electronico.
ES2295007T3 (es) Procedimiento de contramedida en un componente electronico que emplea un alritmo de criptografia con clave secreta.
US8583934B2 (en) Access control to data processing means
ES2204710T3 (es) Procedimiento de transaccion electronica con seguridad y sistema correspondiente.
ES2236137T3 (es) Metodo anticlonacion.
US7113592B1 (en) Method and device for loading input data into a program when performing an authentication
KR101606540B1 (ko) 오티피 스마트 카드 장치
ES2222354T3 (es) Procedimiento de proteccion de un chip electronico contra el fraude.
RU2211547C2 (ru) Способ аутентификации по меньшей мере одного пользователя при обмене данными
JPH10149103A (ja) 認証方法及び認証システム
ES2792986T3 (es) Método y sistema para comunicación de un terminal con un elemento seguro
KR100187518B1 (ko) 듀얼카드를 이용한 ic카드 단말기의 상호 인증 장치
KR100198825B1 (ko) 전자지갑 단말장치