FR2856537A1 - Procede de contre-mesure par masquage de l'accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique - Google Patents

Procede de contre-mesure par masquage de l'accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique Download PDF

Info

Publication number
FR2856537A1
FR2856537A1 FR0307379A FR0307379A FR2856537A1 FR 2856537 A1 FR2856537 A1 FR 2856537A1 FR 0307379 A FR0307379 A FR 0307379A FR 0307379 A FR0307379 A FR 0307379A FR 2856537 A1 FR2856537 A1 FR 2856537A1
Authority
FR
France
Prior art keywords
replace
accumulator
representation
elliptic curve
return
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0307379A
Other languages
English (en)
Other versions
FR2856537B1 (fr
Inventor
Marc Joye
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus Card International SA
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus Card International SA, Gemplus SA filed Critical Gemplus Card International SA
Priority to FR0307379A priority Critical patent/FR2856537B1/fr
Priority to PCT/EP2004/051144 priority patent/WO2004111831A2/fr
Priority to EP04766054A priority patent/EP1639451A2/fr
Priority to US10/561,234 priority patent/US20060282491A1/en
Publication of FR2856537A1 publication Critical patent/FR2856537A1/fr
Application granted granted Critical
Publication of FR2856537B1 publication Critical patent/FR2856537B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7223Randomisation as countermeasure against side channel attacks
    • G06F2207/7228Random curve mapping, e.g. mapping to an isomorphous or projective curve
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7223Randomisation as countermeasure against side channel attacks
    • G06F2207/7233Masking, e.g. (A**e)+r mod n
    • G06F2207/7247Modulo masking, e.g. A**e mod (n*r)
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7276Additional details of aspects covered by group G06F7/723
    • G06F2207/7285Additional details of aspects covered by group G06F7/723 using the window method, i.e. left-to-right k-ary exponentiation

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Complex Calculations (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention concerne un procédé dé contre-mesure dans un composant électronique mettant en oeuvre un algorithme cryptographique à clé publique.Cette invention est remarquable en ce le procédé comprend un calcul d'exponentiation, avec un algorithme d'exponentiation de type gauche-droite, de type y=g^d où g et y sont des éléments du groupe déterminé G noté de façon multiplicative et d est un nombre prédéterminé, ledit procédé étant caractérisé en ce qu'il comprend une étape de tirage aléatoire, au début ou durant l'exécution dudit algorithme d'exponentiation de façon déterministe ou probabiliste, pour masquer l'accumulateur A.

Description

PROCEDE DE CONTRE-MESURE PAR MASQUAGE DE L'ACCUMULATEUR
DANS UN COMPOSANT ELECTRONIQUE METTANT EN OEUVRE UN
ALGORITHME DE CRYPTOGRAPHIE A CLE PUBLIQUE
La présente invention concerne un procédé de contre-mesure dans un composant électronique mettant en oeuvre un algorithme cryptographique à clé publique.
Dans le modèle classique de la cryptographie à clé secrète, deux personnes désirant communiquer par l'intermédiaire d'un canal non sécurisé doivent au préalable se mettre d'accord sur une clé secrète de chiffrement K. La fonction de chiffrement et la fonction de déchiffrement utilisent la même clé K. L'inconvénient 10 du système de chiffrement à clé secrète est que ledit système requiert la communication préalable de la clé K entre les deux personnes par l'intermédiaire d'un canal sécurisé, avant qu'un quelconque message chiffré ne soit envoyé à travers le canal non sécurisé. Dans la pratique, il est généralement difficile de 15 trouver un canal de communication parfaitement sécurisé, surtout si la distance séparant les deux personnes est importante. On entend par canal sécurisé un canal pour lequel il est impossible' de connaître ou de modifier les informations qui transitent par ledit canal. Un tel canal sécurisé peut être réalisé par un câble 20 reliant deux terminaux, possédés par les deux dites personnes.
Le concept de cryptographie à clé publique fut inventé par Whitfield Diffie et Martin Hellman en 1976 (IEEE Transactions on Information Theory, volume 22, numéro 6, pages 644-654, 1976). La 25 cryptographie à clé publique permet de résoudre le problème de la distribution des clés à travers un canal non sécurisé. La cryptographie à clé publique est basée sur la difficulté' de résoudre certains problèmes (supposés) calculatoirement infaisables. Le problème considéré par Diffie et Hellman est la 30 résolution du logarithme discret dans le groupe multiplicatif d'un corps fini.
On rappelle que dans un corps fini, le nombre d'éléments du corps s'exprime toujours sous la forme qAn, o q est un nombre premier appelé la caractéristique du corps et n est un nombre entier. Un corps fini possédant q^n éléments est noté GF(qAn). Dans le cas o 5 le nombre entier n est égal à 1, le corps fini est dit premier. Un corps possède deux groupes: un groupe multiplicatif et un groupe additif. Dans le groupe multiplicatif, l'élément neutre est noté 1 et la loi de groupe est notée multiplicativement par le symbole et est appelée multiplication. Cette loi définit l'opération 10 d'exponentiation dans le groupe multiplicatif G: étant donné un élément g appartenant à G et un entier d, le résultat de l'exponentiation de g par d est l'élément y tel que y=gd=g.g.g.....g (d fois) dans le groupe G. Le problème du logarithme discret dans le groupe multiplicatif G d'un corps fini consiste à trouver, s'il existe, un entier d tel y=gAd, étant donné deux éléments y et g appartenant à G. Ainsi, il est possible pour deux personnes de construire une clé commune K. Une personne A choisit un nombre aléatoire a, 'calcule la demi-clé Ka=gAa dans G et envoie Ka à une personne B. De la même façon, B choisit un nombre aléatoire b, calcule la demi-clé Kb=gAb dans G et 25 envoie Kb à A. Ensuite, A calcule K=KbAa et B calcule K=KaAb. De façon remarquable, seules les personnes A et B sont capables de construire la clé commune K=gA(ab).
En plus de l'échange de clés, la cryptographie à clé 30 publique permet le chiffrement des données, la signature numérique, l'authentification ou l'identification. De nombreux systèmes cryptographiques basés sur le problème du logarithme discret sont présentés dans " Handbook of Applied Cryptography " par Alfred Menezes, Paul van *3 Oorschot et Scott Vanstone, CRC Press, 1997. On note à titre d'exemple le chiffrement d'El Gamal ou la signature numérique DSA.
D'autres groupes ont été envisagés pour implémenter des analogues aux systèmes cryptographiques construits dans le groupe multiplicatif d'un corps fini. En 1985, Victor Miller et Neal Koblitz ont indépendamment proposé l'utilisation de courbes elliptiques dans des systèmes 10 cryptographiques. L'avantage de systèmes cryptographiques à base des courbe elliptiques est qu'ils fournissent une sécurité équivalente aux autres systèmes cryptographiques mais avec des tailles de clé moindres. Ce gain en taille de clé implique une diminution des besoins en mémoire et une 15 réduction des temps de calcul, ce qui rend l'utilisation des courbes elliptiques particulièrement adaptées pour des applications de type carte à puce.
Pour mémoire, une courbe elliptique sur un corps fini 20 GF(qAn) est l'ensemble des points (x,y) appartenant à GF(q^n) vérifiant l'équation: yA2 + a1xy + a3y = x^3 + a2x^2 + a4x + a6, avec ai dans GF(qAn) et du point à l'infini O. Toute courbe elliptique sur un corps peut s'exprimer sous cette forme.
L'ensemble des points (x,y) et le point à l'infini forment un groupe abélien, dans lequel le point à l'infini est l'élément neutre et dans lequel l'opération de groupe est l'addition de points, notée + et donnée par la règle bien connue de la sécante 30 et de la tangente (voir par exemple " Elliptic Curve Public Key Cryptosystems " par Alfred Menezes, Kluwer, 1993). Dans ce groupe, la paire (x,y), o l'abscisse x et l'ordonnée y sont des éléments du corps GF(q^n), forme les coordonnées affines d'un point P de la courbe elliptique.
Il existe 2 procédés pour représenter un point d'une courbe elliptique: Premièrement, la représentation en coordonnées affines 5; dans ce procédé, un point P de la courbe elliptique est représenté par ses coordonnées (x,y) ; - Deuxièment, la représentation en coordonnées projectives.
L'avantage de la représentation en coordonnées projectives est qu'elle permet d'éviter les divisions dans le corps fini, lesdites divisions étant les opérations les plus coûteuses en temps de calcul.
La représentation en coordonnés projectives la plus couramment utilisée, dite jacobienne, est celle consistant à représenter un point P de coordonnées affines (x,y) sur la courbe elliptique par les coordonnées (X, Y,Z), telles que x=X/Z^2 et y=Y/Z^3. La représentation jacobienne d'un 20 point n'est pas unique parce que le triplet (X,Y,Z) et le triplet (2A2.X, %A3.Y, Y.Z) représentent le même point quel que soit l'élément non-nul X appartenant au corps fini sur lequel est défini la courbe elliptique.
Une autre représentation en coordonnées projectives, dite homogène, consiste à représenter un point P de coordonnées affines (x,y) sur la courbe elliptique par les coordonnées (X,Y,Z), telles que x=X/Z et y=Y/Z. La représentation homogène d'un point n'est pas unique parce que le triplet 30 (X,Y,Z) et le triplet (X.X, X.Y, 2.Z) représentent le même point quel que soit l'élément non-nul X appartenant au corps fini sur lequel est défini la courbe elliptique.
L'opération d'addition de points permet de définir une opération d'exponentiation sur courbe elliptique: étant donné un point P appartenant à une courbe elliptique et un entier d, le résultat de l'exponentiation de P par d est le 5 point Q tel que Q=d*P=P+P+...+P (d fois). Dans le cas des courbes elliptiques, afin d'insister sur la notation additive, l'exponentiation est encore appelée multiplication scalaire.
La sécurité des algorithmes de cryptographie sur courbes elliptiques est basée sur la difficulté du problème du logarithme discret dans le groupe G formé par les points d'une courbe elliptique, ledit problème consistant à partir de deux points Q et P appartenant à G, de trouver, s'il existe, un entier d tel que Q=d*P.
Il existe de nombreux algorithmes cryptographiques basés sur le problème du logarithme discret. Ainsi, il est possible de mettre en oeuvre des algorithmes assurant 20 l'authentification, la confidentialité, le contrôle d'intégrité et l'échange de clé.
Un point commun à la plupart des algorithmes cryptographiques basés sur le problème du logarithme 25 discret dans un groupe G est qu'ils comprennent comme paramètre un élément g appartenant à ce groupe. La clé privée est un entier d choisi aléatoirement. La clé publique est un élément y tel que y=gAd. Ces algorithmes cryptographiques font généralement intervenir une 30 exponentiation dans le calcul d'un élément z=hAd o d est la clé secrète et h est un élément du groupe G. Dans le paragraphe ci-dessous, on décrit un algorithme de chiffrement basé. sur le problème du logarithme discret dans un groupe G, noté multiplicativement. Ce schéma est analogue au schéma de chiffrement d'El Gamal. Soient un groupe G et un élément g dans G. La clé publique de chiffrement est y=gAd et la clé privée de déchiffrement est d. Un message m est chiffré de la manière suivante.
Le chiffreur, ou personne désirant chiffrer un message, choisit un entier k aléatoirement et calcule les éléments h=gAk et z=y^k dans le groupe G, et c=R(z)D m o R est une fonction appliquant les éléments de G sur 10 l'ensemble des messages et E désigne l'opérateur du OU exclusif. Le chiffré correspondant à m est la paire (h,c).
Le déchiffreur, ou personne désirant déchiffrer un message, qui possède la clé secrète d déchiffre m en calculant: z'=hAd=gA(k.d)=y^k et m=R(z') c.
Pour réaliser les exponentiations nécessaires dans les procédés de calcul décrits précédemment, plusieurs 20 algorithmes existent - algorithme d'exponentiation binaire gauche-droite; - algorithme d'exponentiation k-aire gauche-droite; - algorithme d'exponentiation modifié k-aire gauchedroite; - algorithme d'exponentiation avec fenêtres glissantes gauche-droite; - algorithme d'exponentiation en représentation signée de l'exposant.
Ces algorithmes sont détaillés dans le chapitre 14 de " Handbook of Applied Cryptography " par A.J. Menezes, P.C.
van Oorschot et S.A. Vanstone, CRC Press, 1997. Cette liste -n'est pas exhaustive.
L'algorithme le plus simple et le plus utilisé est l'algorithme d'exponentiation binaire gauche-droite.
L'algorithme d'exponentiation binaire gauche-droite prend 5 en entrée un élément g d'un groupe G et un exposant d.
L'exposant d est noté d=(d(t),d(t-l),...,d(0)), o (d(t),d(tl),...,d(0)) est la représentation binaire de d, avec d(t) le bit le plus significatif et d(0) le bit le moins significatif. L'algorithme retourne en sortie l'élément 10 y=g^d dans le groupe G. L'algorithme d'exponentiation binaire gauche-droite comporte les 3 étapes suivantes: 1) Initialiser le registre A avec l'élément neutre de G 2) Pour i allant de t à 0 exécuter: 2a) Remplacer A par A 2 2b) Si d(i)=l remplacer A par A.g 3)Retourner A. L'algorithme d'exponentiation k-aire gauche-droite prend en entrée un élément g d'un groupe G et un exposant d noté d=(d(t),d(t-1),
., d(0)), o (d(t),d(t-l),...,d(0)) est la représentation k-aire de d, c'est-à-dire chaque chiffre 25 d(i) de la représentation de d est un entier compris entre 0 et 2Ak-1 pour un entier k>l, avec d(t) le chiffre le plus significatif et d(0) le chiffre le moins significatif...DTD: L'algorithme retourne en sortie l'élément y=g^d dans le groupe G et comporte les 4 étapes suivantes: 30 1)Précalculs: la) Définir gl=g lb) Si kÄ2, pour i allant de 2 à (2Ak-1l) : calculer gi=g i 2)Initialiser le registre A avec l'élément neutre de G 3)Pour i allant de t à 0 exécuter: 3a) Remplacer A par A^(2^k) 3b) Si d(i) est non-nul, remplacer A par A.gi 4)Retourner A. Dans le cas o k est égal à 1, on remarque que l'algorithme d'exponentiation k-aire gauche-droite n'est autre que l'algorithme d'exponentiation binaire gauche-droite.
L'algorithme d'exponentiation k-aire gauche-droite peut être adapté pour prendre en entrée une représentation signée de l'exposant d. L'exposant d est donné par la représentation (d(t),d(t-l),...,d(0)) dans laquelle chaque 15 chiffre d(i) est un entier compris entre -(2Ak-1) et 2Ak-1pour un entier k>l, avec d(t) les chiffre le plus significatif et d(0) le chiffre le moins significatif.
L'étape 3b de l'algorithme précédent est alors remplacée par 3b') Si d(i) est strictement positif, remplacer A par A.gi; et si d(i) est strictement négatif, remplacer A par A. (gi) (-1) Cette adaptation est particulièrement intéressante quand l'inverse des éléments gi, noté (gi)A(-1), est facile ou peu coûteux à calculer. Ceci est par exemple le cas dans le groupe G des points d'une courbe elliptique. Dans le cas o l'inverse des éléments gi n'est pas facile ou trop coûteux 30 à calculer, leur valeur est précalculée.
L'algorithme d'exponentiation modifié k-aire gauche-droite réduit les précalculs de l'algorithme d'exponentiation kaire gauche-droite en ne calculant que gA2 et les puissances impaires de g lorsque k>2. Il- a les mêmes entrées que l'algorithme d'exponentiation k-aire gauchedroite et retourne en sortie l'élément y=g^d dans le groupe G. Il comporte les 4 étapes suivantes: 1) Précalculs: la) Définir gl = g et calculer g2=gA2 lb) Pour i allant de 1 à (2^(k-l)-l) : calculer g2i+=g^A(2i+1) 2) Initialiser le registre A avec l'élément neutre de G 3)Pour i allant de t à 0 exécuter: 3a) Si d(i)=0, remplacer A par AA(2Ak) 3b) Si d(i) est non-nul, écrire d(i)=2^v.u avec u impair et remplacer A par [AA (2A (k-v)) .gu]j ^ (2^v) 15 4)Retourner A. Tout comme l'algorithme d'exponentiation modifié k-aire gauche-droite, l'algorithme d'exponentiation avec fenêtres glissantes gauche-droite réduit non seulement les 20 précalculs mais aussi le nombre moyen de multiplications dans le groupe G. Il prend en entrée un élément g d'un groupe G, un exposant d, noté d=(d(t),d(t-l1),...,d(0)), o (d(t),d(t-1) ,...,d(0)) est la représentation binaire de d et un entier k>l appelé la largeur de la fenêtre. I1 retourne 25 en sortie l'élément y=gAd dans le groupe G et comporte les 4 étapes suivantes: 1)Précalculs: la) Définir gl = g et calculer g2=gA2 lb) Pour i allant de 1 à (2A(k-l)-l) : calculer g2i+l=g (2i+1) 2)Initialiser le registre A avec l'élément neutre de G et le compteur i avec la valeur t 3)Tant que i est positif ou nul exécuter: 3a) Si d(i)=0, remplacer A par A 2 et i par i-1 3b) Si d(i)=1, exécuter: 3b-1) Trouver la plus longue chaîne binaire d(i),d(i-1),...,d(j) telle que i-j+l<k et d(j)=l 5 3b-2) Définir u comme l'entier ayant pour représentation binaire (d(i),d(i-1),...,d(j)) 3b-3) Remplacer A par A^(2 (i-j+l)).gu et i par j-' 4)Retourner A. Les algorithmes d'exponentiation pour le calcul de y=gAd dans le groupe G décrits précédemment ainsi que leurs nombreuses variantes parcourt l'exposant d de la gauche vers la droite, c'est-à-dire de la position la plus 15 significative vers là position la moins significative. De façon remarquable, on distingue deux types d'opérations: - Les multiplications du registre A, appelé accumulateur, par lui-même; - Les multiplications du registre A par la valeur 20 constante g ou une de ses puissances gi=g^i.
Lorsque g (respectivement une des ses puissances gi) présente une structure particulière, la multiplication de l'accumulateur A par g dans le groupe G (respectivement une de ses puissances gi) peut être substantiellement plus 25 rapide que la multiplication de deux éléments arbitraires de G. Notamment, lorsque le groupe G est le groupe multiplicatif du corps premier GF(q) et que g (respectivement une de ses 30 puissances gi) est représenté comme un entier en simple précision, le calcul de A.g (respectivement A.gi) en multiprécision dans G peut se faire en un temps linéaire. Par exemple, si g est égal à 2, la multiplication de A par g=2 revient à additionner A avec lui-même dans le groupe G: A.2=A+A.
Les algorithmes d'exponentiation décrits précédemment 5 sont donnés en notation multiplicative; en d'autres mots, la loi de groupe du groupe G est notée. (multiplication).
Ces algorithmes peuvent être données en notation additive en remplaçant les multiplications par des additions; en d'autres mots, la loi de groupe du groupe G est notée + 10 (addition). Ceci est par exemple le cas du groupe des points d'une courbe elliptique qui est le plus souvent donné sous forme additive. Dans ce cas, le cas de Q=d*P sur une courbe elliptique peut se calculer par n'importe lequel des algorithmes décrits précédemment en remplaçant 15 l'opération de multiplication par l'addition de points sur ladite courbe elliptique. Similairement et de façon remarquable, on distingue deux types d'opérations: - Les additions du registre A, appelé accumulateur, par lui-même; - Les additions du registre A par la valeur constante P ou un de ses multiples Pi=i*P.
Lorsque le point P (respectivement une des ses multiples Pi) a une structure particulière, l'addition de l'accumulateur A par P (respectivement un de ses multiples 25 Pi) peut être substantiellement plus rapide que l'addition de deux points arbitraires sur une courbe elliptique.
Notamment, si le point P est représenté en coordonnées projectives (de façon jacobienne ou homogène) par P=(X,Y,Z) avec la coordonnée en Z égale à 1, le nombre d'opérations 30 pour calculer l'addition des points A et P en coordonnées projectives est réduit.
Il est apparu que l'implémentation sur carte à puce d'un algorithme cryptographique à clé publique basé sur le logarithme discret était vulnérable à des attaques consistants en une analyse différentielle d'une grandeur physique permettant de retrouver la clé secrète. Ces attaques sont appelées attaques de type DPA, acronyme pour 5 Differential Power Analysis et ont notamment été dévoilées par Paul Kocher (Advances in Cryptology - CRYPTO '99, volume 1966 de Lecture Notes in Computer Science, pages 388-397, Springer-Verlag, 1999). Parmi les grandeurs physiques qui peuvent être exploitées à ces fins, on peut citer la consommation en courant, le champ 10 électromagnétique... Ces attaques sont basées sur le fait que la manipulation d'un bit, c'est à dire son traitement par une instruction particulière, a une empreinte particulière sur la grandeur physique considérée selon sa valeur.
En particulier, lorsqu'une instruction manipule une donnée dont un bit particulier est constant, la valeur des autres bits pouvant varier, l'analyse de la consommation de courant liée à l'instruction montre que la consommation moyenne de l'instruction n'est pas la même suivant que le 20 bit particulier prend la valeur 0 ou 1. L'attaque de type DPA permet donc d'obtenir des informations supplémentaires sur les données intermédiaires manipulées par le microprocesseur du composant électronique lors de l'exécution d'un algorithme cryptographique. Ces informations supplémentaires peuvent dans certain cas permettre de révéler les paramètres privés de l'algorithme cryptographique, rendant le système cryptographique vulnérable.
Une parade efficace aux attaques de type DPA est de rendre aléatoire les entrées de l'algorithme d'exponentiation utilisé pour calculer y=gAd. En d'autres termes, il s'agit de rendre l'exposant d et/ou l'élément g aléatoire. En notation additive, dans le calcul de Q=d*P, il s'agit de rendre l'exposant d et/ou l'élément P aléatoire.
Des procédés de contre-mesure appliquant ce principe sont 5 connus. De tels procédés de contre-mesure sont notamment décrits dans un article de Jean-Sébastien Coron (Cryptographic Hardware and Embedded Systems, volume 1717 de Lecture Notes in Computer Science, pages 292-302, Springer-Verlag, 1999).
Notamment, dans cet article, un procédé de contre-mesure consiste à masquer le point P du groupe des points d'une courbe elliptique définie sur le corps GF(qAn) en utilisant des coordonnées projectives de ce point, définies de façon aléatoire. Dans l'article précité, on tire ainsi un nombre aléatoire X non-nul 15 dans GF(qAn) et on représente le point P=(x, y) par des coordonnées projectives fonction de ce nombre aléatoire, par exemple sous la forme P=(XA2.x, XA3.y,2) en représentation jacobienne, ou P=(X.x, X.y, 2) en représentation homogène. On applIque l'algorithme d'exponentiation à ces coordonnées. On obtient une représentation 20 du point Q en coordonnées projectives, desquelles on déduit (calcule) les coordonnées affines de ce point.
Un autre procédé de contre-mesure connu par l'homme du métier pour masquer l'élément g du groupe multiplicatif G d'un corps fini GF(q^n) consiste à représenter cet élément dans une extension de 25 GF(qAn), de façon aléatoire. Par exemple, dans le cas d'un corps premier GF(q), une extension de GF(q) est donnée par l'anneau R=Z/(qk) obtenu en quotientant l'anneau des entiers Z par l'anneau qkZ pour un entier k donné. On tire alors un nombre aléatoire X dans l'anneau Z/(k) et on représente l'élément g par g*=g+X.q. 30 On applique l'algorithme d'exponentiation à l'élément g* dans R et on obtient une représentation de l'élément y =(g*) Ad dans R, de laquelle on déduit (calcule) la valeur de y=g^d dans G en réduisant y modulo q.
Ce procédé de contre-mesure s'applique également dans le cas d'un élément g du groupe multiplicatif G d'un corps fini GF(q^n) avec n>1. Si le corps GF(qAn) est représenté comme le quotient de l'anneau polynomial GF(q) [X] par un polynôme irréductible p de degré n sur GF(q), alors une extension de GF(qAn) est donnée par l'anneau R=GF(q) [X]/(p.k) obtenu en quotientant l'anneau polynomial GF(q) [X] par le produit des polynômes p et k avec k donné. 10 On tire alors un polynôme aléatoire X(X) dans l'anneau GF[X]/(k) et on représente l'élément g par g*=g+X.p. On applique l'algorithme d'exponentiation à l'élément g* dans R et on obtient une représentation de l'élément y*=(g*)Ad dans R, de laquelle on déduit (calcule) la valeur de y=gAd dans G 15 en-réduisant y* modulo p(X).
L'inconvénient de l'ensemble de ces procédés rendant aléatoire g ou P décrits ci-dessus est que si l'élément g (respectivement P) du groupe G est rendu aléatoire dans le calcul de y=gAd (respectivement Q=d*P), alors la structure particulière de g 20 (respectivement P) ne peut plus être exploitée pour accélérer ledit calcul.
Un objet de la présente invention est un procédé de contremesure, notamment vis à vis des attaques de type DPA. 25 Un autre objet de l'invention est un procédé de contre-mesure aisé à mettre en oeuvre.
Par rapport aux procédés de contre-mesure connus, le procédé 30 proposé présente l'avantage d'être plus rapide pour protéger l'évaluation de y=gAd dans un groupe G noté de façon multiplicative (respectivement l'évaluation de Q=d*P si le groupe est, noté de façon additive) lorsque l'algorithme d'exponentiation utilisé pour ce calcul est de type gauche- droite et que g (respectivement P) a une structure particulière; les algorithmes d'exponentiation gauche-droite ayant la propriété remarquable d'avoir des opérations de multiplication de l'accumulateur A par la valeur constante g ou une de ses puissances gi=gAi 5 (respectivement des opérations d'addition de l'accumulateur A par la valeur constante P ou un de ses multiples Pi=i*P).
L'idée à la base de l'invention est de rendre aléatoire l'accumulateur A dans l'algorithme d'exponentiation gauche-droite 10 utilisé. Ce procédé de masquage peut se faire au début de l'algorithme ou encore de façon déterministe ou probabiliste durant l'exécution de l'algorithme. Ainsi le calcul de y=gAd dans le groupe G noté de façon multiplicative (respectivement Q=d*P si le groupe G est noté de façon multiplicative) est rendu aléatoire 15 sans que la structure de l'élément g (respectivement P) ou une de ses puissances gi=gAi (respectivement un de ses multiples Pi=i*P) ne soit altérée.
L'invention concerne donc un procédé de contre-mesure dans un 20 composant électronique mettant en oeuvre un algorithme cryptographique à clé publique, comprenant un calcul d'exponentiation, avec un algorithme d'exponentiation de type gauche-droite, de type y=gAd o g et y sont des éléments du groupe déterminé G noté de façon multiplicative et d est un nombre 25 prédéterminé, caractérisé en ce qu'il comprend une étape de tirage aléatoire, au début ou durant l'exécution dudit algorithme d'exponentiation, de façon déterministe ou probabiliste, pour masquer l'accumulateur A de sorte que la structure de l'élément g ou une de ses puissances gi=gAi ne soit pas altérée. Ce procédé s'applique de la même façon si le groupe G est noté de façon additive.
D'autres caractéristiques et avantages de l'invention sont présentées dans les descriptions suivantes, faites en référence à des modes de réalisation particuliers.
On a vu que l'algorithme d'exponentiation le plus simple et le plus utilisé dans un groupe G est l'algorithme d'exponentiation binaire gauchedroite et que ce type d'algorithme est plus efficace lorsque l'élément de G en entrée a une structure particulière. Par ailleurs, la plupart des systèmes cryptographiques dont la sécurité est basée sur le problème du logarithme discret sont construits dans le groupe multiplicatif d'un corps fini GF(q) avec q premier ou dans le groupe des points d'une courbe elliptique définie sur un corps fini.
Soit donc G le groupe multiplicatif d'un corps fini GF(q) avec q premier et soit un algorithme d',exponentiation binaire gauchedroite prenant en entrée un élément g de G représenté comme un entier en simple précision et un exposant d donné par la représentation binaire (d(t),d(t-1),...,d(0) ), et retournant en 20 sortie l'élément y=gAd dans le groupe G. Dans l'invention, l'accumulateur dudit algorithme d'exponentiation est masqué de façon aléatoire. Ainsi, un procédé de contre-mesure selon l'invention appliqué au groupe multiplicatif G d'un corps premier GF(q) peut s'écrire comme suit: 1) Déterminer un entier k définissant la sécurité du masquage 2) Initialiser l'accumulateur A avec l'entier 1 3) Pour i allant de t à 0, exécuter: 3a) Tirer un entier aléatoire X compris entre 0 et k-1 et 30 remplacer l'accumulateur A par A+X.q (modulo k.q) 3b) Remplacer A par AA2 (modulo k.q) 3c) Si d(i)=l remplacer A par A.g (modulo k.q) 4)Retourner A (modulo q).
Typiquemment, le paramètre de sécurité k est fixé à 32 ou 64 bits.
De façon remarquable à l'étape 3c, la multiplication se fait avec l'entier g représenté en simple précision.
De préférence, le masquage de l'accumulateur A à l'étape 3a ne se fait qu'au début de l'exponentiation. On obtient ainsi le procédé de contremesure suivant: 1) Déterminer un entier k définissant la sécurité du masquage 2) Tirer un entier aléatoire X compris entre 0 et k-1 et initialiser l'accumulateur A avec l'entier l+1.q (modulo k.q) 3) Pour i allant de t-1 à 0, exécuter: 3a) Remplacer A par AA2 (modulo k.q) 3b) Si d(i)=l remplacer A par A.g (modulo k.q) 4)Retourner A (modulo q).
De façon remarquable à l'étape 3b, la multiplication se fait avec l'entier g représenté en simple précision. 20 Une autre application intéressante de l'invention concerne l'exponentation dans le groupe G des points d'une courbe elliptique définie sur un corps fini GF(qAn). Dans ce groupe G, noté de façon additive, 1'inversion d'un point P. notée -P, est 25 une opération peu coûteuse de sorte qu'il est intéressant de remplacer l'algorithme d'exponentiation binaire gauche-droite par sa version signée comme expliqué dans un article de François Morain et de Jorge Olivos (Theoretical Informatics and Applications, volume 24, pages 531-543, 1990) . Soit donc G le 30 'groupe des points d'une courbe elliptique définie sur un corps fini GF(qAn) et soit un algorithme d'exponentiation binaire signé gauche-droite prenant en entrée un point P représenté en coordonnées affines par P=(x,y) et un exposant d donné par la représentation binaire signée (d(t+l),d(t),...,d(0)) avec d(i)=0, 1 ou -1 pour 0<i<t et d(t+l)=l, et retournant en sortie le point Q=d*P dans le groupe G en coordonnéesaffines. Dans l'invention, l'accumulateur dudit algorithme d'exponentiation est un triplet de valeurs dans GF(q^n) et est masqué de façon aléatoire. Ainsi, un 5 procédé de contre-mesure selon l'invention appliqué au groupe G des points d'une courbe elliptique définie sur un corps fini GF(qAn) peut s'écrire comme suit: 1) I Initialiser l'accumulateur A=(Ax,Ay,Az) avec le triplet 10 (x,y,l) 2) Pour i allant de t à 0, exécuter: 2a) Tirer un élément non nul aléatoire X dans GF(q^n) et remplacer l'accumulateur A=(Ax,Ay,Az) par (12.Ax,A^3.Ay, X.Az) 2b) Remplacer A=(Ax,Ay,Az) par 2*(Ax,Ay,Az) en représentation jacobienne, sur la courbe elliptique 2c) Si d(i) est non-nul remplacer A=(Ax,Ay,Az) par (Ax,Ay,Az)+d(i)*(x,y,l) en représentation jacobienne, 20 sur la courbe elliptique 3)Si Az=0 retourner le point à l'infini; sinon retourner (Ax/(Az)A2, Ay/(Az)A3).
De façon remarquable à l'étape.2c, l'addition sur la courbe 25 elliptique se fait avec le point P=(x,y,1) dont la coordonnée en Z est égale à 1.
De préférence, le masquage de l'accumulateur A à l'étape 2a ne se fait qu'au début de l'exponentiation. On obtient ainsi le procédé 30 de contremesure suivant 1)Tirer un élément non nul aléatoire X dans GF(q^n) et initialiser l'accumulateur A=(Ax,Ay,Az) avec le triplet (X2.x,XA 3. y, ) 2) Pour i allant de t à 0, exécuter: 5.2a) Remplacer A=(Ax,Ay, Az) par 2*(Ax, Ay, Az) en représentation jacobienne, sur la courbe elliptique 2b) Si d(i) est non-nul remplacer A=(Ax,Ay,Az) par (Ax,Ay,Az)+d(i)*(x,y,l) en représentation jacobienne, 10 sur la courbe elliptique 3)Si Az=0 retourner le point à l'infini; sinon retourner (Ax/(Az) A2, Ay/(Az) A3) . De façon remarquable à l'étape 2b, l'addition sur la courbe elliptique se fait avec le point P=(x,y,1) dont la coordonnée en Z est égale à 1.
Si les points de la courbe elliptique sont représentés de façon homogène, les deux procédés de contre-mesure décrits précédemment 20 deviennent respectivement: 1) Initialiser l'accumulateur A= (Ax,Ay,Az) avec le triplet (x,y, 1) 2) Pour i allant de t à 0, exécuter: 2a) Tirer un élément non nul aléatoire X dans GF(q^n) et remplacer l'accumulateur A=(Ax,Ay,Az) par (X.AxX.Ay, X.Az) 2b) Remplacer A=(Ax,Ay, Az) par 2*(Ax, Ay, Az) en représentation homogène, sur la courbe elliptique 30 2c) Si d(i) est non-nul remplacer A=(Ax,Ay, Az) par (Ax,Ay,Az)+d(i)*(x,y,l) en représentation homogène, sur la courbe elliptique 3)Si Az=O retourner le point à l'infini; sinon retourner (Ax/Az, Ay/Az).
De façon remarquable à l'étape 2c, l'addition sur la courbe elliptique se fait avec le point P=(x,y,l) dont la coordonnée en Z est égale à 1.
1) Tirer un élément non nul aléatoire X dans GF(q^n) et initialiser l'accumulateur A=(Ax,Ay,Az) avec le triplet 10 (X.x,X.y, 2) 2) Pour i allant de t à 0, exécuter: 2a) Remplacer A=(Ax,Ay,Az) par 2*(Ax,Ay,Az) en représentation homogène, sur la courbe elliptique 2b) Si d(i) est non-nul remplacer A=(Ax,Ay,Az) par (Ax,Ay,Az)+d(i)*(x,y,l 1) en représentation homogène, sur la courbe elliptique 3)Si Az=O retourner le point à l'infini; sinon retourner (Ax/Az, Ay/Az).
De façon remarquable à l'étape 2b, l'addition sur la courbe elliptique se fait avec le point P=(x,y,l) dont la coordonnée en Z est égale à 1.
De façon générale, le procédé de contre-mesure selon 25 l'invention s'applique à tout algorithme d'exponentiation de type gauche-droite dans un groupe G, noté de façon multiplicative ou additive.

Claims (12)

REVENDICATIONS
1. Procédé de contre-mesure dans un composant électronique mettant en oeuvre un algorithme cryptographique à clé publique, comprenant un calcul d'exponentiation, avec un algorithme d'exponentiation de type gauchedroite, de type y=gAd o g et y sont des éléments du groupe déterminé G noté de façon multiplicative et d est un nombre prédéterminé, caractérisé en ce qu'il comprend une étape de 10 tirage aléatoire, au début ou durant l'exécution dudit algorithme d'exponentiation de façon déterministe ou probabiliste, pour masquer l'accumulateur A.
2. Procédé de contre-mesure selon la revendication 1, 15 caractérisé en ce que le groupe déterminé G est noté de façon additive.
3. Procédé de contre-mesure selon la revendication 1 caractérisé en ce que le groupe G est le groupe 20 multiplicatif d'un corps fini noté GF(q^n), n étant un entier.
4. Procédé de contre-mesure selon la revendication 3 caractérisé en ce que l'entier est n égal à 1: n=l. 25
5. Procédé de contre-mesure selon la revendication 4 caractérisé en ce qu'il comprend les étapes suivantes: 1) Déterminer un entier k définissant la sécurité du masquage et donner d par la représentation binaire 30 (d(t), d(t-1), ..., d(0)) ; 2) Initialiser l'accumulateur A avec l'entier 1 3) Pour i allant de t à 0, exécuter: 3a) Tirer un entier aléatoire X compris entre 0 et k-1 et remplacer l'accumulateur A par A+X.q 35 (modulo k.q) 3b) Remplacer A par AA2 (modulo k.q) 3c) Si d(i)=l remplacer A par A.g (modulo k.q) 4)Retourner A (modulo q).
6. Procédé de contre-mesure selon la revendication 4 caractérisé en ce qu'il comprend les étapes suivantes: 1) Déterminer un entier k définissant la sécurité du masquage et donner d par la représentation binaire (d(t), d(t-1), ..., d(0)) ; 2) Tirer un entier aléatoire X compris entre 0 et k-1 et initialiser l'accumulateur A avec l'entier l+X.q (modulo k.q) 3) Pour i allant de t-1 à 0, exécuter: 3a) Remplacer A par AA2 (modulo k.q) 3b) Si d(i)=l remplacer A par A.g (modulo k.q) 4)Retourner A (modulo q).
7. Procédé de contre-mesure selon la revendication 2 caractérisé en ce l'algorithme d'exponentiation s'applique 20 au groupe G des points d'une courbe elliptique défini sur un corps fini GF(q^n).
8. Procédé de contre-mesure selon la revendication 7 caractérisé en ce qu'il comprend les étapes suivantes: 1) Initialiser l'accumulateur A=(Ax,Ay,Az) avec le triplet (x,y,1) et donner d par la représentation binaire signée (d(t+1), d(t), .. ., d(0)) avec d(t+l)=l; 2)Pour i allant de t à 0, exécuter: 2a) Tirer un élément non nul aléatoire X dans 30 GF(qAn) et remplacer l'accumulateur A=(Ax,Ay,Az) par (X^2.Axk3.Ay, .Az) 2b) Remplacer A=(Ax,Ay,Az) par 2*(Ax,Ay,Az) en représentation jacobienne, sur la courbe elliptique 2c) Si d(i) est non-nul remplacer A=(Ax,Ay,Az) par (Ax,Ay,Az)+d(i)*(x,y,1) en représentation jacobienne, sur la courbe elliptique 3)Si Az=O retourner le point à l'infini; sinon retourner (Ax/(Az) A2, Ay/(Az) A3) .
9. Procédé de contre-mesure selon la revendication 7 caractérisé en ce qu'il comprend les étapes suivantes: 1) Tirer un élément non nul aléatoire X dans GF(q^n) 10 initialiser l'accumulateur A=(Ax,Ay,Az) avec le triplet ('A2.x, XA3.y, X) et donner d par la représentation binaire signée (d(t+l), d(t), d(0)) avec d(t+l)=l; 2) Pour i allant de t à 0, exécuter: 2a) Remplacer A=(Ax,Ay,Az) par 2*(Ax,Ay,Az) en représentation jacobienne, sur la courbe elliptique 2b) Si d(i) est non-nul remplacer A=(Ax,Ay,Az) par (Ax,Ay,Az)+d(i)*(x,y,l) en représentation jacobienne, sur la courbe elliptique 3) Si Az=0 retourner le point à l'infini; sinon retourner (Ax/(Az) A2, Ay/(Az) A3) .
10. Procédé de contre-mesure selon la revendication 7 25 caractérisé en ce qu'il comprend les étapes suivantes: 1) Initialiser l'accumulateur A=(Ax,Ay,Az) avec le triplet (x,y,1) et donner d par la représentation binaire signée (d(t+l), d(t), .. ., d(0)) avec d(t+l)=l; 2) Pour i allant de t à 0, exécuter: 2a) Tirer un élément non nul aléatoire X dans GF(q^n) et remplacer l'accumulateur A=(Ax,Ay,Az) par (Xk.AX,X.Ay, X.Az) 2b) Remplacer A=(Ax,Ay,Az) par 2*(Ax,Ay,Az) en représentation homogène, sur la courbe elliptique 2c) Si d(i) est non-nul remplacer A=(Ax,Ay,Az) par (Ax,Ay, Az)+d(i)*(x,y, l 1) en représentation homogène, sur la courbe elliptique 3) Si Az=O retourner le point à l'infini; sinon retourner (Ax/Az, Ay/Az).
11. Procédé de contre-mesure selon la revendication 7 caractérisé en ce qu'il comprend les étapes suivantes: 1) Tirer un élément non nul aléatoire X dans GF(qAn) 10 initialiser l'accumulateur A=(Ax,Ay,Az) avec le triplet (X.x,X.y, X) et donner d par la représentation binaire signée (d(t+l), d(t), d(0)) avec d(t+1)=l; 2) Pour i allant de t à 0, exécuter: 2a) Remplacer A=(Ax,Ay,Az) par 2* (Ax,Ay,Az) en représentation homogène, sur la courbe elliptique 2b) Si d(i) est non-nul remplacer A=(Ax,Ay,Az) par (Ax,Ay,Az)+d(i) * (x, y,l 1) en représentation homogène, sur la courbe elliptique 3) Si Az=O retourner le point à l'infini; sinon retourner (Ax/Az, Ay/Az).
12. Composant électronique utilisant le procédé de contremesure selon l'une quelconque des revendications 25 précédentes.
FR0307379A 2003-06-18 2003-06-18 Procede de contre-mesure par masquage de l'accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique Expired - Fee Related FR2856537B1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FR0307379A FR2856537B1 (fr) 2003-06-18 2003-06-18 Procede de contre-mesure par masquage de l'accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique
PCT/EP2004/051144 WO2004111831A2 (fr) 2003-06-18 2004-06-17 Procede de contre-mesure par masquage de l'accumulateur
EP04766054A EP1639451A2 (fr) 2003-06-18 2004-06-17 Procédé de contre-mesure par masquage de l'accumulateur
US10/561,234 US20060282491A1 (en) 2003-06-18 2004-06-17 Method for countermeasuring by masking the accumulators in an electronic component while using a public key cryptographic algorithm

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0307379A FR2856537B1 (fr) 2003-06-18 2003-06-18 Procede de contre-mesure par masquage de l'accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique

Publications (2)

Publication Number Publication Date
FR2856537A1 true FR2856537A1 (fr) 2004-12-24
FR2856537B1 FR2856537B1 (fr) 2005-11-04

Family

ID=33484551

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0307379A Expired - Fee Related FR2856537B1 (fr) 2003-06-18 2003-06-18 Procede de contre-mesure par masquage de l'accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique

Country Status (4)

Country Link
US (1) US20060282491A1 (fr)
EP (1) EP1639451A2 (fr)
FR (1) FR2856537B1 (fr)
WO (1) WO2004111831A2 (fr)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2862454A1 (fr) * 2003-11-18 2005-05-20 Atmel Corp Methode de reduction modulaire aleatoire et equipement associe
KR101252318B1 (ko) * 2005-05-12 2013-04-08 인사이드 씨큐어 랜덤화된 모듈러 다항식 약분 방법 및 그 방법을 위한하드웨어
FR2885711B1 (fr) * 2005-05-12 2007-07-06 Atmel Corp Procede et materiel modulaire et aleatoire pour la reduction polynomiale
FR2897963A1 (fr) * 2006-02-28 2007-08-31 Atmel Corp Procede pour les conjectures de quotient rapide et une manip ulation de congruences
KR101527867B1 (ko) * 2007-07-11 2015-06-10 삼성전자주식회사 타원 곡선 암호 시스템에 대한 부채널 공격에 대응하는방법
EP2169535A1 (fr) * 2008-09-22 2010-03-31 Thomson Licensing Procédé, appareil et support de programme informatique pour le recodage régulier d'un entier positif
EP2535804A1 (fr) * 2011-06-17 2012-12-19 Thomson Licensing Algorithme de mise à la puissance résistant contre des fautes
DE102017002153A1 (de) * 2017-03-06 2018-09-06 Giesecke+Devrient Mobile Security Gmbh Übergang von einer booleschen Maskierung zu einer arithmetischen Maskierung

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1296224A1 (fr) * 2001-09-20 2003-03-26 Hitachi, Ltd. Système de multiplication elliptique scalaire

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2784831B1 (fr) * 1998-10-16 2000-12-15 Gemplus Card Int Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete
DE19963407A1 (de) * 1999-12-28 2001-07-12 Giesecke & Devrient Gmbh Tragbarer Datenträger mit Zugriffsschutz durch Nachrichtenverfremdung
FR2824209B1 (fr) * 2001-04-30 2003-08-29 St Microelectronics Sa Brouillage d'un calcul mettant en oeuvre une fonction modulaire
US7127063B2 (en) * 2001-12-31 2006-10-24 Certicom Corp. Method and apparatus for computing a shared secret key

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1296224A1 (fr) * 2001-09-20 2003-03-26 Hitachi, Ltd. Système de multiplication elliptique scalaire

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LIARDET P-Y ET AL: "PREVENTING SPA/DPA IN ECC SYSTEMS USING THE JACOBI FORM", CRYPTOGRAPHIC HARDWARE AND EMBEDDED SYSTEMS. 3RD INTERNATIONAL WORKSHOP, CHES 2001, PARIS, FRANCCE, MAY 14 - 16, 2001 PROCEEDINGS, LECTURE NOTES IN COMPUTER SCIENCE, BERLIN : SPRINGER, DE, vol. VOL. 2162, 14 May 2001 (2001-05-14), pages 391 - 401, XP001061177, ISBN: 3-540-42521-7 *
TRICHINA E ET AL: "IMPLEMENTATION OF ELLIPTIC CURVE CRYPTOGRAPHY WITH BUILT-IN COUNTER MEASURES AGAINST SIDE CHANNEL ATTACKS", CRYPTOGRAPHIC HARDWARE AND EMBEDDED SYSTEMS - CHES 2002. 4TH INTERNATIONAL WORKSHOP REVISED PAPERS, REDWOOD SHORES, CA, USA, 13-15 AUG. 2002, 13 August 2002 (2002-08-13), BERLIN, GERMANY, SPRINGER VERLAG, pages 98 - 113, XP001160524 *

Also Published As

Publication number Publication date
FR2856537B1 (fr) 2005-11-04
US20060282491A1 (en) 2006-12-14
WO2004111831A2 (fr) 2004-12-23
WO2004111831A3 (fr) 2005-12-22
EP1639451A2 (fr) 2006-03-29

Similar Documents

Publication Publication Date Title
EP1166494B1 (fr) Procedes de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique
EP2946284B1 (fr) Procédé de cryptographie comprenant une opération de multiplication par un scalaire ou une exponentiation
Liardet et al. Preventing SPA/DPA in ECC systems using the Jacobi form
US7908641B2 (en) Modular exponentiation with randomized exponent
EP1358732B1 (fr) Procede de cryptage securise et composant utilisant un tel procede de cryptage
EP1381936B1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme cryptographique du type a cle publique sur une courbe elliptique
US6914986B2 (en) Countermeasure method in an electronic component using a public key cryptography algorithm on an elliptic curve
EP2162820A1 (fr) Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches
US20060029221A1 (en) Elliptic polynomial cryptography with multi y-coordinates embedding
WO2000059157A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique
EP1804161B1 (fr) Détection de perturbation dans un calcul cryptographique
FR2856537A1 (fr) Procede de contre-mesure par masquage de l&#39;accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique
EP1804160B1 (fr) Protection d&#39;un calcul cryptographique effectué par un circuit intégré
WO2004111833A1 (fr) Procede de contre-mesure dans un composant electronique
WO2015199675A1 (fr) Système et procédé permettant d&#39;obtenir une multiplication scalaire contre les attaques de puissance différentielle
WO2002001343A1 (fr) Procedes de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique de koblitz
EP1222528B1 (fr) Procede d&#39;amelioration de performance de l&#39;operation de multiplication sur un corps fini de caracteristique 2
EP4024753B1 (fr) Procédé et module électronique de calcul d&#39;une quantité cryptographique avec multiplications sans retenue, procédé et dispositif électronique de traitement d&#39;une donnée et programme d&#39;ordinateur associés
US11973866B2 (en) Cryptographic processing method, related electronic device and computer program
FR2864390A1 (fr) Procede cryptographique d&#39;exponentiation modulaire protege contre les attaques de type dpa.
FR2854997A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme cryptographique du type a cle publique sur une courbe elliptique definie sur un corps de caracteristique deux
WO2002050658A1 (fr) Procedes de contre-mesure dans un composant electronique mettant en ouvre un algorithme de cryptographie a cle publique de type rsa
WO2002093411A1 (fr) Dispositif destine a realiser des calculs d&#34;exponentiation appliques a des points d&#34;une courbe elliptique

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20090228