ES2305199T3 - Metodo y sistema para el cifrado de datos. - Google Patents

Metodo y sistema para el cifrado de datos. Download PDF

Info

Publication number
ES2305199T3
ES2305199T3 ES02702261T ES02702261T ES2305199T3 ES 2305199 T3 ES2305199 T3 ES 2305199T3 ES 02702261 T ES02702261 T ES 02702261T ES 02702261 T ES02702261 T ES 02702261T ES 2305199 T3 ES2305199 T3 ES 2305199T3
Authority
ES
Spain
Prior art keywords
data flow
box
combination device
key
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02702261T
Other languages
English (en)
Inventor
Frank Muller
Gerrit Roelofsen
Sharon Christie Lesley Prins
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke KPN NV
Original Assignee
Koninklijke KPN NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke KPN NV filed Critical Koninklijke KPN NV
Application granted granted Critical
Publication of ES2305199T3 publication Critical patent/ES2305199T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Lock And Its Accessories (AREA)
  • Small-Scale Networks (AREA)

Abstract

Método para el cifrado de un flujo de datos, que comprende los pasos: a. el flujo de datos se combina lógicamente (1) con una clave secreta o con un flujo de datos dependiente de esta; b. el flujo de datos resultante del paso anterior se procesa en una Caja-S (2) en la cual el flujo de datos entregado a la entrada se convierte de una forma imprevisible, caracterizado por el paso en que c. el flujo de datos, antes de ser combinado lógicamente con la clave secreta o un flujo de datos dependiente de esta, se procesa en un Caja-S inicial (3), en la cual el flujo de datos (I 1) entregado a la entrada se convierte de una forma imprevisible.

Description

Método y sistema para el cifrado de datos.
Antecedentes
La invención se refiere a un método para el cifrado de un flujo de datos, que comprende los pasos:
- el flujo de datos se combina lógicamente con una clave secreta o datos derivados de ésta;
- el flujo de datos resultante se procesa en una Caja-S en la que el flujo de datos de entrada se convierte de forma que no puede predecirse fuera del sistema.
La invención también se relaciona con un sistema para el cifrado del flujo de datos, que comprende un dispositivo de combinación, en el cual el flujo de datos se combina lógicamente con una clave secreta o datos derivados de ésta y una Caja-S en la cual el flujo de datos procesado por el dispositivo de combinación se convierte de forma imprevisible.
Una Caja-S (sin abreviar: caja de sustitución) puede comprender una tabla con la cual, comenzando con los valores de entrada, se buscan los valores de salida y son emitidos con la ayuda de índices. Las Cajas-S crean una relación imprevisible entre la entrada y la salida de un módulo de cifrado.
La desventaja del método conocido y del sistema conocido es que la clave secreta puede descubrirse con la ayuda de un ataque que se conoce como el "Análisis Diferencial de Potencia", vea por ejemplo la referencia 1: "DES and differential power analysis, the Duplication method". Naturalmente, la clave criptográfica debe permanecer secreta, dado que su posesión podría permitir, por ejemplo si el proceso del cifrado se realizó en una tarjeta inteligente de GSM, que se hagan llamadas telefónicas a través de una red de GSM con cargo del gasto a otra persona.
Una solicitud de patente anterior, la W0200060807, (referencia 2), revela un método y medios para hacer los ataques más difíciles manteniendo secreta la parte operativa de la Caja-S de los potenciales atacantes. Sin embargo, todavía es posible una variante del ataque y será adicionalmente descrita en el epígrafe "Implementación".
La invención
La invención propone un método mejorado para el cifrado de un flujo de datos donde los pasos en los cuales el flujo de datos se combina con una clave secreta y el flujo de datos resultante se convierte imprevisiblemente en una Caja-S son precedidos por un paso en el cual el flujo de datos es convertido primero en una "Caja-S inicial" extra de forma que es imprevisible para un atacante y sólo después de esto es combinada con la clave secreta.
El sistema de cifrado - que comprende un dispositivo de combinación en el cual el flujo de datos se combina con la clave, y una Caja-S en la cual el flujo de datos es subsiguientemente convertido imprevisiblemente - comprende de acuerdo con la invención una Caja-S inicial en la cual el flujo de datos alimentado al sistema se convierte de forma imprevisible y subsiguientemente entregado al dispositivo de combinación.
Se explicará ahora la invención con referencia a una realización, precedido por una explicación más detallada del ataque contra el cual el método y el sistema de acuerdo a la invención ofrecen una solución.
Implementación El ataque
La figura 1 muestra un sistema del "estado-del-arte" para el cifrado de un flujo de datos I, que comprende un dispositivo de combinación 1 en el cual el flujo de datos se combina lógicamente con una clave secreta K (es decir modulo 2 de adición, representado en el resto del texto por "1 + |MOD 2| K"; representado en las figuras por \oplus) y un Caja-S 2 en la cual el flujo de datos procesado por el dispositivo de combinación 1 es convertido de una forma imprevisible en un flujo de datos de salida O. La figura muestra el sistema (conocido) dos veces. En el primer caso, el dispositivo de combinación 1 suma un elemento de datos I_{1} modulo 2 a un elemento clave K, y la Caja-S 2 subsiguientemente convierte el resultado a un flujo de datos de salida O_{1}. (Todos los elementos del flujo de datos son, por ejemplo, de 1 byte de largo.) En el segundo caso, el dispositivo de combinación 1 suma un elemento de datos I_{2} modulo 2 a un elemento de la clave K_{2} y la Caja-S 2 subsiguientemente convierte el resultado en un flujo de datos de salida O_{2}.
En el caso de un ataque, que un sistema como el ilustrado en la figura 1 no podría resistir, el atacante continúa manipulando la primera entrada del flujo de datos I_{1} y la segunda entrada del flujo de datos I_{2} hasta que la primera entrada I_{1} combinada - en el dispositivo de combinación 1 - con la primera parte del material de la clave secreta K_{1}, es igual a la segunda entrada I_{2} combinada con la segunda parte del material de la clave K_{2}. Del consumo de corriente del sistema durante la búsqueda en la tabla de la Caja-S 2, el atacante puede deducir si logró hacer I_{1} + |MOD 2| K_{1} idéntico a I_{2} + |MOD 2| K_{2}, ya que en este caso el mismo valor se buscaría dos veces en la Caja-S; O_{1} es igual a O_{2}. Se mostraría entonces dos veces el mismo consumo de corriente. Si el método fuera infructuoso, el consumo de corriente mostraría valores aleatorios. El atacante todavía no sabe el valor absoluto de K_{1}, y K_{2}, sino solo su diferencia, ya que: I_{1} + |MOD 2| K_{1}, = I_{2} + |MOD 2| K_{2}, de modo que K_{1} + |M00 2| K_{2} = I_{1} + |MOD 2| I_{2}. Pero si el atacante es capaz, después de un número de estos ataques, de determinar la diferencia entre todos los n bytes sucesivos de la clave K_{1} y K_{2}, K_{2} y Kg,... K_{n-1} y K_{n}, todo lo que necesita hacer es "adivinar" el primer byte y el resto seguirá automáticamente. Esto reduce dramáticamente la cantidad de trabajo de un promedio de 2^{8*n-1} a un promedio de 2^{7} + (n -1) * 2^{7} posibilidades. Así que si n es por ejemplo igual a 16 (el cual es un valor habitual), el atacante sólo necesita probar 2048 posibilidades en lugar de las 1.7 * 10^{38} para descubrir la clave.
La seguridad
La invención resuelve este problema de seguridad no combinando directamente la entrada I con el material clave K, sino utilizando primero la entrada como un índice para una Caja-S 3 inicial. Esto elimina la influencia que el atacante puede ejercer en la entrada por la operación EXOR en el dispositivo de combinación 1 con el material de la clave K y así sobre la entrada para el Caja-S 2. La Figura 2 muestra esto esquemáticamente. El flujo de datos I es, antes de entregarse al dispositivo de combinación 1, primero alimentado a la Caja-S 3 inicial. La salida de esta Caja-S 3 se representa por S3[I]. Después de la operación EXOR (modulo-2 de adición) de S3[I] y K, el resultado es S3[I] + |MOD 2| K. El proceso imprevisible en el Caja-S 2 produce un flujo de datos de salida 0 = S2[S3[I] + |MOD 2| K]. Agregando la Caja-S 3 inicial delante del dispositivo de combinación 1, la entrada del Caja-S 2 se protege de los atacantes y por lo tanto no puede manipularse más, lo qué impide a los atacantes descubrir la clave secreta variando los datos de entrada y analizando simultáneamente el consumo corriente. Es importante mantener secreto con respecto al atacante el contenido de la Caja-S 3, de otra forma él todavía podría manipular I de forma tal que el ataque descrito anteriormente todavía sería posible. Con una Caja-S secreta, lo que puede lograrse con la ayuda de la invención descrita en [2], los valores de S[I] son desconocidos para el atacante, incluso si son conocidos los valores de I.
En figura 3 se muestra otra realización. En esta figura, O (la salida de la segunda Caja-S 2) es de nuevo la entrada para un registro de desplazamiento 4 de retroalimentación. Se acostumbra a cargar inicialmente la clave secreta en este registro de desplazamiento. A es el resultado final del sistema de cifrado y es, por ejemplo, un valor por el cual una parte puede autenticarse por medio de un método de "desafío y respuesta". I es en este caso una serie de datos como que se envía por la parte que verifica como "desafío" a un usuario que tiene que autenticarse. La parte que verifica compara subsiguientemente la "respuesta" A del sistema de cifrado del usuario con la "respuesta" (A') generada por un sistema del cifrado idéntico en la parte que verifica. Si A y A' son idénticos, el usuario es autenticado.
Referencias
[1] Goubin L; Patarin J, DES and differential power analysis; the "Duplication" method Cryptographic Hardware and Embedded Systems. First International Workshop, ChES'99. Proceedings (Lecture Notes in Computer Science Volume, 1717) pp. 158-172, Publicado: Berlin, Alemania, 199, 352 pp.
[2] WO-A1-200060807, solicitante Koninklije KPN n.v.

Claims (2)

1. Método para el cifrado de un flujo de datos, que comprende los pasos:
a.
el flujo de datos se combina lógicamente (1) con una clave secreta o con un flujo de datos dependiente de esta;
b.
el flujo de datos resultante del paso anterior se procesa en una Caja-S (2) en la cual el flujo de datos entregado a la entrada se convierte de una forma imprevisible, caracterizado por el paso en que
c.
el flujo de datos, antes de ser combinado lógicamente con la clave secreta o un flujo de datos dependiente de esta, se procesa en un Caja-S inicial (3), en la cual el flujo de datos (I_{1}) entregado a la entrada se convierte de una forma imprevisible.
2. Sistema para el cifrado del flujo de datos, que comprende un dispositivo de combinación (1) en el cual el flujo de datos se combina lógicamente con una clave secreta o con un flujo de datos dependiente de esta, así como una Caja-S (2) en la cual el flujo de datos emitido por el dispositivo de combinación se convierte de una forma imprevisible, caracterizado por una Caja-S (3) inicial para la conversión de una forma imprevisible del flujo de datos (I) alimentado al sistema, donde el flujo de datos (S[I]) convertido por el Caja-S inicial es entregado a la entrada de dicho dispositivo de combinación.
ES02702261T 2001-01-19 2002-01-14 Metodo y sistema para el cifrado de datos. Expired - Lifetime ES2305199T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1017151 2001-01-19
NL1017151A NL1017151C2 (nl) 2001-01-19 2001-01-19 Methode en systeem voor de versleuteling van data.

Publications (1)

Publication Number Publication Date
ES2305199T3 true ES2305199T3 (es) 2008-11-01

Family

ID=19772760

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02702261T Expired - Lifetime ES2305199T3 (es) 2001-01-19 2002-01-14 Metodo y sistema para el cifrado de datos.

Country Status (8)

Country Link
US (1) US20040047468A1 (es)
EP (1) EP1356627B1 (es)
AT (1) ATE392064T1 (es)
DE (1) DE60226007T2 (es)
ES (1) ES2305199T3 (es)
NL (1) NL1017151C2 (es)
PT (1) PT1356627E (es)
WO (1) WO2002062010A2 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9379887B2 (en) 2012-09-14 2016-06-28 Qualcomm Incorporated Efficient cryptographic key stream generation using optimized S-box configurations

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4319079A (en) * 1979-09-13 1982-03-09 Best Robert M Crypto microprocessor using block cipher
US5473693A (en) * 1993-12-21 1995-12-05 Gi Corporation Apparatus for avoiding complementarity in an encryption algorithm
NL1011719C2 (nl) * 1999-04-01 2000-10-03 Koninkl Kpn Nv Werkwijze voor het met toepassing van een functie en een sleutel vercijferen van een reeks symbolen.

Also Published As

Publication number Publication date
US20040047468A1 (en) 2004-03-11
ATE392064T1 (de) 2008-04-15
DE60226007T2 (de) 2009-05-14
PT1356627E (pt) 2008-07-09
EP1356627A2 (en) 2003-10-29
NL1017151C2 (nl) 2002-07-22
WO2002062010A2 (en) 2002-08-08
DE60226007D1 (de) 2008-05-21
WO2002062010A3 (en) 2003-01-03
EP1356627B1 (en) 2008-04-09

Similar Documents

Publication Publication Date Title
ES2279868T3 (es) Autenticacion local en un sistema de comunicacion.
US7995751B2 (en) Method and apparatus for encrypting data in a wireless communication system
Aumasson et al. Improved cryptanalysis of Skein
Appel et al. Block ciphers for the iot–simon, speck, katan, led, tea, present, and sea compared
ES2305199T3 (es) Metodo y sistema para el cifrado de datos.
ES2219183B2 (es) Procedimiento de cifrado basado en el algoritmo des.
Feng et al. Fault analysis on a new block cipher DBlock with at most two fault injections
Handschuh et al. Minding your MAC algorithms
Hartl et al. Subverting Counter Mode Encryption for Hidden Communication in High-Security Infrastructures
Courtois Self-similarity attacks on block ciphers and application to KeeLoq
Schläffer Cryptanalysis of AES-based hash functions
Yong et al. Out-of-order-delivery-tolerant secure code dissemination with fountain codes in wireless sensor networks
Abdelkhalek Cryptanalysis of some block cipher constructions
Kim et al. Application of ESA in the CAVE Mode Authentication
Ying Key Hopping™–A Security Enhancement Scheme for IEEE 802.11 WEP Standards
CA2603161C (en) Method of and apparatus for encrypting signals for transmission
Pethe et al. Comparative Study of Symmetric Key Cryptographic Algorithms CAST, IDEA, RC, Camellia and SAFER
Hamann et al. Stream cipher operation modes with improved security against generic collision attacks
Zeng et al. Reliable Enhanced Secure Code Dissemination with Rateless Erasure Codes in WSNs.
Biryukov et al. Analysis of the non-linear part of MUGI
CN118523964A (zh) 一种隐私数据多级链路加密传输系统
Arora et al. Secure encryption protocol for ad hoc networks
Chowdhury Gain: Practical Key-Recovery Attacks on Round-reduced PAEQ
Koçak et al. Cryptanalysis of TWIS block cipher
Jeong et al. Fault attacks on cipher block chaining-message authentication code and its variants based on aes-128 suitable for wireless sensor networks