FR2880148A1 - Procede d'exponentiation securisee et compacte pour la cryptographie - Google Patents

Procede d'exponentiation securisee et compacte pour la cryptographie Download PDF

Info

Publication number
FR2880148A1
FR2880148A1 FR0453168A FR0453168A FR2880148A1 FR 2880148 A1 FR2880148 A1 FR 2880148A1 FR 0453168 A FR0453168 A FR 0453168A FR 0453168 A FR0453168 A FR 0453168A FR 2880148 A1 FR2880148 A1 FR 2880148A1
Authority
FR
France
Prior art keywords
group
exponentiation
registers
perform
addition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR0453168A
Other languages
English (en)
Inventor
Marc Joye
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus SCA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus SCA filed Critical Gemplus SCA
Priority to FR0453168A priority Critical patent/FR2880148A1/fr
Priority to EP05819349A priority patent/EP1839125A1/fr
Priority to US11/793,771 priority patent/US20080130877A1/en
Priority to PCT/EP2005/056663 priority patent/WO2006067057A1/fr
Priority to JP2007547448A priority patent/JP2008525834A/ja
Publication of FR2880148A1 publication Critical patent/FR2880148A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7261Uniform execution, e.g. avoiding jumps, or using formulae with the same power profile

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Complex Calculations (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention concerne un procédé d'exponentiation sécurisée et compacte, avec application notamment dans le domaine de la cryptologie où l'on met en oeuvre des algorithmes cryptographiques dans des dispositifs électroniques tels que les cartes à puce.

Description

PROCEDE D'EXPONENTIATION SECURISEE ET COMPACTE POUR LA
CRYPTOGRAPHIE
La présente invention concerne un procédé d'exponentiation sécurisée et compacte, avec application notamment dans le domaine de la cryptologie où l'on met en oeuvre des algorithmes cryptographiques dans des dispositifs électroniques tels que des cartes à puce.
De nombreux algorithmes cryptographiques sont basés sur des calculs d'exponentiation, dans un groupe algébrique, du type xd où x et d sont respectivement un élément et un exposant prédéterminés. Ceci est notamment le cas avec l'algorithme RSA (Rivest, Shamir et Adleman), lequel repose sur l'exponentiation dans le groupe multiplicatif de l'anneau des entiers modulo N, où N est le produit de deux grands nombres premiers. Le résultat de l'exponentiation peut correspondre par exemple à un texte chiffré ou déchiffré, une donnée signée ou vérifiée. D'autres algorithmes cryptographiques tels que l'algorithme d'ElGamal ou de Diffie- Hellman reposent sur l'exponentiation dans le groupe multiplicatif d'un corps ou dans le groupe des points d'une courbe elliptique.
Un dispositif électronique prévu pour exécuter un tel algorithme doit contenir en mémoire d'une part la partie exécutoire pour élever x à la puissance de d, et d'autre part les valeurs de x et d.
Il existe différents types d'algorithmes d'exponentiation. On connaît notamment la méthode binaire 30 de type élévation au carré et multiplication , plus habituellement connue sous la terminologie anglosaxonne Square and Multiply .
Cet algorithme prend en entrée un élément x et un exposant d dont la représentation binaire est: {d[t-1], d[t-2],..., d[1], d[O]} avec d[i] égal à 0 ou à 1, et retourne l'élément y = x^d, c'est-à-dire x.x x (d fois).
L'algorithme Square and Multiply peut être 10 schématisé ainsi: 1) Initialiser le:registre RO à 1 et le registre R1 à x 2) Pour i allant de t-1 à 0, effectuer a) RO = R0^2 [mise au carré] ; b) si d[i] = 1, alors effectuer RO = RO * Rl [multiplication] ; 3) Retourner RO.
D'autres algorithmes connus pour l'exponentiation existent tels que la méthode de Yacobi, dite M, M3, la méthode des fenêtres glissantes, etc. Mais ces algorithmes sont plus complexes à mettre en oeuvre et par conséquent moins adaptéE aux composants électroniques contraints du type carte à puce. Dans la suite de la description, le composant électronique comporte une unité centrale principale et une mémoire de travail avec au moins trois registres (RO, R1, R2) L'algorithme Square and Multiply (et les algorithmes cités ci-dessus) doivent inclure des contre-mesures adaptées, c'est-à-dire sécurisées, contre des attaques visant à découvr:_r des informations contenues et manipulées dans des traitements effectués par le dispositif de calcul. Notamment, des contre-mesures sont prévues contre les attaques dites à canaux cachés, simples ou différentielles. On entend par attaque à canal caché simple ou différentielle, une attaque basée sur une grandeur physique mesurable de l'extérieur du dispositif, et dont l'analyse directe (attaque simple) ou l'analyse selon une méthode statistique (attaque différentielle) permet de découvrir des informations contenues et manipulées dans des trai- :ements dans le dispositif. Ces attaques peuvent ainsi permettre de découvrir des informations confidentielles. Ces attaques ont notamment été dévoilées par Paul Kocher (Advances in Cryptology - CRYPTO'99, vol. 1966 de Lecture Notes in Computer Science, pp.388-397. Springer-Verlag, 1999). Parmi les grandeurs physiques qui peuvent être exploitées à ces fins, on peut citer la consommation en courant, le champ électromagnétique... Ces attaques sont basées sur le fait que la manipulation d'un bit, c'est à dire son traitement par une instruction particulière a une empreinte particulière sur la grandeur physique considérée selon sa valeur.
Les algorithmes d'exponentiation précités ont dû inclure des contre-mesures pour empêcher ces attaques de prospérer. Par exemple, l'algorithme Square and Multiply Always , selon la terminologie anglosaxonne, et qui signifie élever au carré et multiplier toujours , est une variante sécurisée de l'algorithme Square and Multiply dans lequel l'opération était conditionnelle à la valeur du bit en cours de traitement, donc permettant des attaques à canaux cachés.
Cet algorithme prend en entrée un élément x et un exposant d dont la représentation binaire est: {d[t-1], d[t-2],..., d[1], d[O]} avec d[i] égal à 0 ou à 1, et retourne l'élément y = x^d, c'est à dire x.x x (d fois).
L'algorithme Square and Multiply Always peut être schématisé ainsi: 1) Initialiser les registres RO et R1 à 1 et le registre R2 à x; 2) Pour i allant da t-1 à 0, effectuer a) RO = ROA2 [mise au carré] ; b) b = 1 d[i] ; Rb = Rb * R2 [multiplication] ; 3) Retourner RO.
L'algorithme du Square and Multiply Always résiste contre certaines attaques simples (dites de type SPA pour Simple Power Analysis selon la terminologie anglo-saxonne) mais demande un registre supplémentaire. Il est important de remarquer que le registre R1 est inutile au calcul lui-même; il est utilisé pour effectuer une multiplication factice lorsque à l'itération i le bit d[i] de l'exposant d est égal à 0 (et par conséquent b=1) de sorte que quelle que soit la valeur du bit de l'exposant d, une itération i consiste en une étape de mise au carré suivie d'une multiplication.
Malheureusement, bien que résistant aux attaques de type SPA, l'introduction d'opérations factices engendre un autre type de faiblesse. Une classe d'attaques (appelées selon la terminologie anglo-saxonne safe- error attacks ) a été introduite par Sung-Ming Yen et 35 Marc Joye ( Checking before output may not be enough against fault-based cryptanalysis , IEEE Transactions on Computers, vol. 49, pages 967-970, 2000). Appliquée à l'algorithme du Square and Multiply Always , l'idée consiste à induire une faute durant l'opération de multiplication (Etape 2b) à l'itération i. Si le résultat de l'exponentiation y = x^d est correct, cela signifie que cette opération de multiplication était factice et par conséquent que le bit correspondant de d est égal à 0 (i.e. , d[i] = 0). Au ccntraire, si le résultat de l'exponentiation est incorrect, cela signifie que le bit correspondant de d est égal à 1 (i. e. , d[i] = 1). Un attaquant peut ainsi retrouver bit à bit la valeur de l'exposant d.
Dans l'invention, on s'intéresse à un procédé d'exponentiation possédant les mêmes avantages que l'algorithme du Square and Multiply Always , à savoir la résistance contre les attaques de type SPA, mais, contrairement a celui-ci, en n'effectuant aucune opération factice.
En outre, de façon remarquable, le procédé selon l'invention possède la particularité de n'effectuer que des opérations de multiplications. Cela est particulièrement intéressant dans les environnements plus contraints du type carte à puce car seule cette dernière opération doit être implémentée, soit de façon logicielle, soit de façon matérielle.
Ainsi, il en résulte: - soit un gain en taille de mémoire code (de type ROM ou EEPRON par exemple) pour une implémentation logicielle, -soit un gain de taille de circuit pour une implémentation matérielle, parce que l'opération de mise au carré n'est pas nécessaire.
On rappellera çue sur un ensemble noté additivement, tel le groupe des points d'une courbe elliptique, l'exponentiation s'écrit Q = d.P, où P et Q sont des éléments de l'ensemble noté additivement (courbe elliptique) et d est un exposant. Ceci est également le cas lorsqu'on travaille dans le groupe additif d'un anneau ou d'un corps. Dans la suite, on se place dans le cas général, conventionnel, ce qui veut dire que l'on utilisera la notation multiplicative, sauf mention explicite contraire.
De façon plus détaillée, le procédé d'exponentiation selon l'invention repose sur l'algorithme suivant.
Cet algorithme prend en entrée un élément x et un exposant d dont la représentation binaire est: {d[t-1], d[t-2], ..., d[1], d[0]l avec d[i] égal à 0 ou à 1, et retourne l'élément y = x^d, c'est à dire x.x x (d fois).
En notation multiplicative, le procédé selon l'invention peut être schématisé de la façon suivante: 1) Initialiser le registre RO à 1 et les registres R1 et R2 à x; 2) Pour i allant de 0 à t-1, effectuer a) b = 1 d[i] ; b) Rb = Rb * R2 [lère multiplication] ; c) R2 = RO * R1 [2nde multiplication] ; 3) Retourner RO.
L'algorithme précédent peut évidemment s'écrire de façon additive. Comme précédemment, il prend en entrée un élément P et un exposant d dont la représentation binaire est {d[t-1], d[t-2],..., d[1], d[O]} avec d[i] égal à 0 ou à 1, et retourne l'élément Q = d.P, c'est à dire P + P... + P (d fois).
Dans ce cas, en notation additive, le procédé selon l'invention peut être schématisé de la façon suivante: 1) Initialiser le registre RO à 0 et les registres R1 et R2 à P; 2) Pour i allant d 0 à t-1, effectuer a) b = 1 d[i]; b) Rb = Rb + R2 [lere addition] ; c) R2 = RO + Rl [2nde addition] ; 3) Retourner RO.
Dans certains groupes algébriques, l'addition avec l'élément neutre 0 (respectivement la multiplication avec l'élément neutre 1 en notation multiplicative) peut se comporter différemment par rapport aux mesures à canaux cachés et par conséquent engendrer une faiblesse. Dans ce cas, le procédé selon l'invention peut être facilement adapté.
Nous illustrons la technique pour un groupe noté de façon additive, comme par exemple l'ensemble des points d'une courbe elliptique. L'algorithme commence à l'itération i=1 de sorte qu'aucun des registres n'est initialisé avec la valeur 0 (appelé point à l'infini pour une courbe elliptique) de la façon suivante.
En conservant la notation additive, il existe une variante selon l'inventicn qui peut être schématisée de la façon suivante: 1) Initialiser le registre RO et Rl à P et le registre R2 à 2.P; 2) Pour i allant de 1 à t-1, effectuer a) b = 1 - d[i] ; b) Rb = Rb + R2 [lé- addition] ; c) R2 = RO + Rl [2nae addition] ; 3) Si d[0] = 0 alors effectuer RO = RO - P 4) Retourner RO.
On notera que l'initialisation de cette variante (étape 1 ci- dessus) demande que le registre R2 contient la valeur de 2.P. Cette valeur peut être soit pré-calculée, soit calculée au moment de l'exponentiation Q=d.P. Dans ce dernier cas, si aucune routine de doublement n'est disponible, l'évaluation de 2.P peut se faire à partir d'addition uniquement en effectuant ((P+T) + (P-T)) où T est un élément connu, distinct de P, du groupe sous-jacent, typiquement un élément de la clé publique.
Le procédé d'exponentiation de l'invention et ses variantes présentent l'avantage d'être résistants aux attaques à canaux cachés de type SPA et aux attaques Safe-Error , contrairement aux algorithmes d'exponentiation habituels qui doivent intégrer des contre-mesures pour résister à ces attaques De plus, et de manière remarquable, le procédé d'exponentiation de l'invention et ses variantes présentent l'avantage supplémentaire de ne réaliser que des opérations de multiplication (ou d'addition en notation additive).
On comprendra que l'invention se prête à de nombreuses variantes de mise en oeuvre.
La description a été donnée dans le cadre d'un
environnement de type carte à puce. I1 est cependant clair que les enseignements se transposent à d'autres applications, telles que dans les terminaux informatiques, de communication sur réseau ou autres, et à tout autre dispositif éLectronique qui fait appel à des calculs cryptographiques.

Claims (10)

REVENDICATIONS
1. Procédé destiné à réaliser des calculs d'exponentiation dans un groupe algébrique noté de façon multiplicative, du type x puissance d (xd), où x est un élément dudit groupe et d un exposant prédéterminé dont la représentation binaire est {d[t-1], d[t-2], ..., d[1], d[O]} avec d[i] égal à 0 ou à 1, destiné à un composant électronique comportant une unité centrale principale et une mémoire de travail avec au moins trois registres (RO, RI, R2), procédé caractérisé en ce qu'il retourne l'élément y tel que y = x^d, c'est-à-dire x.x x (d fois), et en ce qu'il comprend les étapes suivantes: 1) Initialiser le registre RO à 1 et les registres R1 et R2 à x; 2) Pour i allant de 0 à t-1, effectuer: a) b = 1 - d[i]; b) Rb = Rb * R2 [lère multiplication] ; c) R2 = RO * R1 [2nde multiplication] ; 3) Retourner RO.
2. Procédé d'exponentiation dans un groupe algébrique noté de façon additive, du type d fois P (d.P), où P est un élément dudit groupe et d un exposant prédéterminé dont la représentation binaire est {d[t-1], d[t-2], ..., d[1], d[O]} avec d[i] égal à 0 ou à 1, destiné à un composant électronique comportant une unité centrale principale et une mémoire de travail comportant au moins trois registres (RO, R1, R2), procédé caractérisé en ce qu'il retourne l'élément Q tel que Q = d.P, c'est-à-dire P + P... + P (d fois), et en ce qu'il comprend les étapes suivantes: . 1) Initialiser le registre RO à 0 et les registres R1 et R2 à P; 2) Pour i allant de 0 à t-1, effectuer a) b = 1 - d[i] ; b) Rb = Rb + R2 [lère addition] c) R2 = RO + R1 [2nde addition] 3) Retourner RO.
3. Procédé d'exponentiation selon la revendication 2, caractérisé en ce qu'il comporte les étapes suivantes: 1) Initialiser le registre RO à p et les registres R1 et R2 à 2.P; 2) Pour i allant de 1 à t-1, effectuer a) b = 1 - d[i] ; b) Rb = Rb + R2 [lère addition] ; c) R2 = RO + R1 [2nde addition] 3) Si d[O] = 0 alo::s effectuer RO = RO - P 4) Retourner RO.
4. Procédé d'exponentiat:on selon la revendication 3, caractérisé en ce que l'évaluation du double de l'élément P (2.P) dans le dit groupe se fait à partir d'additions uniquement ((P+T) + (P-T)) en additionnant un premier élément (P+T) formé de la somme dudit élément P et d'un autre élément connu T, distinct de P, dudit groupe et un second élément (P-T) formé de la différence dudit élément P et dudit élément T.
5. Procédé d'exponentiation selon la revendication 1, caractérisé en ce que ledit groupe algébrique est le groupe multiplicatif d'un anneau ou d'un corps.
6. Procédé d'exponentiation selon l'une quelconque des revendications 2 à 4, caractérisé en ce que ledit groupe algébrique est le groupe additif d'un anneau ou d'un corps.
7. Procédé d'exponentatisn selon l'une quelconque des revendications 2 à 4, caractérisé en ce que ledit groupe algébrique est le groupe des points d'une courbe elliptique.
8. Procédé d'exponentiation selon la revendication 4, appliqué à la cryptographie à clé publique et caractérisé en ce que l'élément connu (T) est un élément de la clé publique.
9. Procédé d'exponentiat__on selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il est mis en oeuvre dans un composant électronique.
10. Procédé d'exponentiation selon la revendication 9, caractérisé en ce que ledit composant électronique est une carte à puce.
FR0453168A 2004-12-23 2004-12-23 Procede d'exponentiation securisee et compacte pour la cryptographie Withdrawn FR2880148A1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FR0453168A FR2880148A1 (fr) 2004-12-23 2004-12-23 Procede d'exponentiation securisee et compacte pour la cryptographie
EP05819349A EP1839125A1 (fr) 2004-12-23 2005-12-09 Procédé d'exponentiation sécurisée et compacte pour la cryptographie
US11/793,771 US20080130877A1 (en) 2004-12-23 2005-12-09 Method of Performing Secure and Compact Exponentiation for Cryptography
PCT/EP2005/056663 WO2006067057A1 (fr) 2004-12-23 2005-12-09 Procede d'exponentiation securisee et compacte pour la cryptographie
JP2007547448A JP2008525834A (ja) 2004-12-23 2005-12-09 暗号用の安全かつコンパクトな累乗方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0453168A FR2880148A1 (fr) 2004-12-23 2004-12-23 Procede d'exponentiation securisee et compacte pour la cryptographie

Publications (1)

Publication Number Publication Date
FR2880148A1 true FR2880148A1 (fr) 2006-06-30

Family

ID=34954156

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0453168A Withdrawn FR2880148A1 (fr) 2004-12-23 2004-12-23 Procede d'exponentiation securisee et compacte pour la cryptographie

Country Status (5)

Country Link
US (1) US20080130877A1 (fr)
EP (1) EP1839125A1 (fr)
JP (1) JP2008525834A (fr)
FR (1) FR2880148A1 (fr)
WO (1) WO2006067057A1 (fr)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2169535A1 (fr) * 2008-09-22 2010-03-31 Thomson Licensing Procédé, appareil et support de programme informatique pour le recodage régulier d'un entier positif
US8930435B2 (en) 2010-01-28 2015-01-06 Cisco Technology Inc. Exponentiation system
JP5926655B2 (ja) * 2012-08-30 2016-05-25 ルネサスエレクトロニクス株式会社 中央処理装置および演算装置
CN108242994B (zh) 2016-12-26 2021-08-13 阿里巴巴集团控股有限公司 密钥的处理方法和装置
WO2022271163A1 (fr) * 2021-06-23 2022-12-29 Pqsecure Technologies, Llc Architecture de traitement informatique et procédé de prise en charge de multiples cryptosystèmes à clé publique basés sur l'exponentiation

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2810178A1 (fr) * 2000-06-13 2001-12-14 Gemplus Card Int Procede de calcul cryptographique comportant une routine d'exponentiation modulaire
US20040215685A1 (en) * 2001-09-06 2004-10-28 Infineon Technologies Ag Device and method for calculating a result of a modular exponentiation

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10127195A1 (de) * 2001-06-05 2002-12-19 Infineon Technologies Ag Prozessor mit interner Speicherkonfiguration

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2810178A1 (fr) * 2000-06-13 2001-12-14 Gemplus Card Int Procede de calcul cryptographique comportant une routine d'exponentiation modulaire
US20040215685A1 (en) * 2001-09-06 2004-10-28 Infineon Technologies Ag Device and method for calculating a result of a modular exponentiation

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JOYE M: "Recovering lost efficiency of exponentiation algorithms on smart cards", ELECTRONICS LETTERS, IEE STEVENAGE, GB, vol. 38, no. 19, 12 September 2002 (2002-09-12), pages 1095 - 1097, XP006019065, ISSN: 0013-5194 *
SUNG-MING, Y; JOYE, M.: "Checking Before Output May Not Be Enough Against Fault-Based Cryptoanalysis", IEEE TRANSACTIONS ON COMPUTERS, vol. 49, no. 9, 2000, pages 967 - 970, XP002339414 *

Also Published As

Publication number Publication date
WO2006067057A1 (fr) 2006-06-29
EP1839125A1 (fr) 2007-10-03
US20080130877A1 (en) 2008-06-05
JP2008525834A (ja) 2008-07-17

Similar Documents

Publication Publication Date Title
EP2946284B1 (fr) Procédé de cryptographie comprenant une opération de multiplication par un scalaire ou une exponentiation
US20090092245A1 (en) Protection Against Side Channel Attacks
US9014368B2 (en) Protection of a modular exponentiation calculation by addition of a random quantity
WO2010084106A1 (fr) Circuit de cryptographie protege contre les attaques en observation, notamment d'ordre eleve
EP3117555B1 (fr) Procédé de contremesure pour un composant électronique mettant en oeuvre un algorithme de cryptographie sur une courbe elliptique
WO2000059156A1 (fr) Procedes de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique
EP2005291A2 (fr) Procédé de déchiffrement
EP1381936B1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme cryptographique du type a cle publique sur une courbe elliptique
WO2006067057A1 (fr) Procede d'exponentiation securisee et compacte pour la cryptographie
EP1291763A1 (fr) Procédé de brouillage d'un calcul à quantité secrète
EP1904921A1 (fr) Procede cryptographique pour la mise en oeuvre securisee d'une exponentiation et composant associe
EP1994465A1 (fr) Procede de securisation d'un calcul d'une exponentiation ou d'une multiplication par un scalaire dans un dispositif electronique
EP1804161A1 (fr) Détection de perturbation dans un calcul cryptographique
EP1804160B1 (fr) Protection d'un calcul cryptographique effectué par un circuit intégré
Kim et al. Message blinding method requiring no multiplicative inversion for RSA
EP1254408B1 (fr) Procede de calcul d'exponentation modulaire dans un composant electronique mettant en oeuvre un algorithme de chiffrement a cle publique
Park et al. An improved side channel attack using event information of subtraction
EP1639451A2 (fr) Procédé de contre-mesure par masquage de l'accumulateur
FR2856538A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme cryptographique du type a cle publique
WO2002099624A1 (fr) Procede de securisation d'un calcul d'exponentiation dans un dispositif electronique
FR2824653A1 (fr) Dispositif destine a realiser des calculs d'exponentiation appliques a des points d'une courbe elliptique
FR2843507A1 (fr) Procede securise de realisation parallele d'une exponentiation modulaire, procede cryptographique et circuit de calcul associes
FR2854997A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme cryptographique du type a cle publique sur une courbe elliptique definie sur un corps de caracteristique deux
FR3038473A1 (fr) Procede de traitement cryptographique de donnees et programme d'ordinateur associe
WO2002082257A1 (fr) Dispositif destine a realiser des calculs d'exponentiation securisee et utilisation d'un tel dispositif

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20090831