FR2960329A1 - Procede d'identification d'un circuit integre a application specifique - Google Patents
Procede d'identification d'un circuit integre a application specifique Download PDFInfo
- Publication number
- FR2960329A1 FR2960329A1 FR1004691A FR1004691A FR2960329A1 FR 2960329 A1 FR2960329 A1 FR 2960329A1 FR 1004691 A FR1004691 A FR 1004691A FR 1004691 A FR1004691 A FR 1004691A FR 2960329 A1 FR2960329 A1 FR 2960329A1
- Authority
- FR
- France
- Prior art keywords
- integrated circuit
- concordance
- random number
- asic
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
La présente invention a pour objet un procédé d'indentification d'un circuit intégré à application spécifique (13) connu sous le nom anglais de « Application Specific Integrated Circuit - ASIC ». Le procédé d'identification d'un ASIC (13) de l'invention est basé sur la cryptographie asymétrique. L'ASIC (13) produit et distribué selon l'invention comporte une valeur d'authentification vérifiable exclusivement au moyen d'une clef privée fournie à un client, lors de la première mise en service de l'ASIC (13). Dans l'invention, aucune clef n'est stockée dans l'ASIC (13), assurant ainsi une protection suffisante étant donnée que la valeur d'authentification dudit ASIC (13) ne peut être ni espionnée ni reproduite frauduleusement sans la clef privée associée. L'invention trouve une application très avantageuse en ce qu'elle permet de protéger contre la copie des ASICs (13).
Description
La présente invention a pour objet un procédé d'identification d'un circuit intégré à application spécifique connu sous le nom anglais de "Application Specific Integrated Circuit - ASIC". En comparaison des circuits intégrés standards et figés proposés par les fabricants, l'ASIC permet une personnalisation de son fonctionnement selon l'utilisation, accompagnée d'une augmentation de la densité d'intégration et de la vitesse de fonctionnement. L'ASIC est souvent un circuit intégré produit pour un seul client selon les spécifications de ce dernier. Ce type de circuit intégré « personnalisé » nécessite des frais et un temps de développement relativement élevés augmentant de ce fait le prix unitaire supporté par le client. Cependant, la contrefaçon des ASICs est possible et ces circuits intégrés sont susceptibles d'être dupliqués sans autorisation (le terme « clonage » étant souvent utilisé pour caractériser cette opération). Ces clones constituent une perte financière non négligeable au regard des dépenses engagées pour réaliser lesdits ASICs. Les ASICs contiennent souvent plusieurs sous-parties. Typiquement, l'ASIC comporte une première partie publique qui est accessible à tout acheteur et une deuxième partie privée qui n'est accessible qu'aux acheteurs ayant acquis une licence correspondante et donc une clef d'activation permettant de déverrouiller ladite seconde partie. L'objectif de l'invention est d'éliminer les inconvénients mentionnés plus haut afin de protéger les ASICs contre des reproductions non autorisées d'une part et de gérer l'activation de sous-parties desdits ASICs d'autre part. Pour cela, l'invention propose un procédé d'identification d'un ASIC basé sur la 25 cryptographie asymétrique qui permet d'authentifier l'ASIC afin d'éviter en pratique les contrefaçons. La présente invention a pour avantage de permettre la production d'une valeur d'authentification vérifiable exclusivement au moyen de paramètres privés. Aucune clef n'est stockée dans l'ASIC, assurant ainsi une protection suffisante étant donnée que la 30 valeur d'authentification dudit ASIC ne peut être ni espionnée, ni reproduite frauduleusement sans la clef privée associée. A cet effet, l'invention propose un procédé d'identification d'un circuit intégré à application spécifique par un dispositif client à travers un réseau de communication, à l'aide d'une valeur d'authentification préenregistrée dans ledit circuit intégré, dans lequel : 35 - on implémente un algorithme asymétrique à clef publique dans une unité de fabrication dudit ASIC, - on détermine dans l'unité de fabrication un nombre crypté en fonction de l'exécution de l'algorithme asymétrique (AA) auquel la valeur d'authentification est appliquée, - durant une phase d'identification, on transmet le nombre aléatoire crypté au dispositif client dans lequel est implémenté un algorithme asymétrique à clef privée auquel est appliqué ledit nombre aléatoire crypté, - on vérifie la concordance du résultat de l'application du nombre aléatoire crypté à l'algorithme asymétrique à clef privée avec la valeur d'authentification, - on active le fonctionnement dudit circuit intégré en cas de concordance positive. Avantageusement, la phase d'identification est activée une seule fois par le circuit intégré à sa première mise en service. Durant cette phase d'identification, le fonctionnement de l'ASIC est définitivement bloqué totalement ou partiellement lorsque le résultat de l'application du nombre aléatoire crypté à l'algorithme asymétrique à clef privée diffère de la valeur d'authentification. Ce blocage peut également être opéré après qu'un nombre de comparaisons infructueuses entre le résultat de l'application du nombre crypté à l'algorithme asymétrique à clef privée de la valeur d'authentification, atteint un seuil prédéfini. Ce blocage total ou partiel du fonctionnement de l'ASIC permet au fabricant de se prémunir contre les copies.
L'invention sera mieux comprise à la lecture de la description qui suit et à l'examen des figures qui l'accompagnent. Celles-ci sont présentées à titre indicatif et nullement limitatif de l'invention. Les figures 1 et 3 montrent une illustration de moyens mettant en oeuvre le procédé d'identification d'ASIC, selon un mode de réalisation de l'invention.
La figure 2 montre une représentation schématique d'un ASIC muni de moyens perfectionnés selon un mode de réalisation de l'invention. Dans la description, les mêmes références numériques désignent d'une figure à l'autre des éléments identiques ou fonctionnellement semblables. Le procédé selon l'invention met en oeuvre plusieurs composants matériels ou logiciels et plusieurs acteurs auxquels il sera fait référence dans la suite de la description. Dans la description, on prête des actions à des appareils ou à des programmes, cela signifie que ces actions sont exécutées par un microprocesseur de cet appareil ou de l'appareil comportant le programme, ledit microprocesseur étant alors commandé par des codes instructions enregistrés dans une mémoire de l'appareil. Ces codes instructions permettent de mettre en oeuvre les moyens de l'appareil et donc de réaliser l'action entreprise. La figure 1 montre une étape 100 préliminaire dans laquelle une autorité de certification 10 (souvent notée « CA » en anglais, pour "Certification Authority") délivre une clef publique à une unité de fabrication 11 d'ASICs. Cette clef publique est associée à une clef privée délivrée par l'autorité de certification 10 à un dispositif client 12. Ces clefs publique / privée constituent un couple de clefs de chiffrement et de déchiffrement non identiques. L'unité de fabrication 11 comporte des capacités d'interface avec un ASIC en cours de fabrication de façon à lire et écrire des données dans cet ASIC, des capacités d'exécution de logiciels et des moyens de calcul nécessaires pour procéder au calcul des signatures.
A une étape 101, l'unité de fabrication 11 met à un état inactif au moins une partie 14 d'un ASIC 13 illustré à la figure 2. Cet état inactif correspond à un blocage de fonctionnement. Cette étape 101 permet ainsi au fabricant de produire en série des ASICs partiellement ou totalement inopérants. La mise à un état actif est conditionnée par une valeur d'authentification S écrite dans une mémoire 15 non volatile de l'ASIC 13.
Cette valeur d'authentification S est un nombre aléatoire généré à une étape 102. Pour ce faire, l'unité de fabrication 11 comprend un générateur de nombres aléatoires implémenté matériellement dans ou en liaison avec son microprocesseur. En variante, le générateur de nombres aléatoires est inclus sous forme de logiciel dans la mémoire de l'unité de fabrication 11.
A l'étape 102, le générateur de nombres aléatoires fournit un nombre aléatoire S qui est écrit et mémorisé dans la mémoire non volatile de l'ASIC comme valeur d'authentification à appliquer à un algorithme asymétrique AA. Ce nombre aléatoire S participe à l'identification et au déblocage de l'ASIC. L'application du nombre aléatoire généré S en tant que donnée à l'algorithme asymétrique AA avec la clef publique produit un nombre aléatoire crypté S'. Ce nombre aléatoire crypté S' est écrit et mémorisé dans la mémoire de l'ASIC. L'ASIC ainsi produit est distribué avec au moins une partie verrouillée. La figure 2 montre une représentation schématique de l'ASIC. L'ASIC comprend, en outre, des capacités de communication à travers un réseau 16 de données de façon à mettre en oeuvre un protocole d'échange avec le dispositif client 12, lors de la vérification de la valeur d'authentification. Le dispositif client 12 est un dispositif électronique, telle une carte à microcircuit ou une clef USB. Le dispositif client 12 comporte une mémoire incluant elle-même un espace de mémoire sécurisé prévu au stockage de la clef privée et un microprocesseur pour exécuter l'algorithme de cryptographie asymétrique. II comporte également des moyens pour communiquer avec l'ASIC à travers le réseau 16. Ce réseau 16 peut être un réseau sans fil ou filaire.
La figure 3 montre une étape 200 préliminaire dans laquelle l'autorité de certification 10 délivre la clef privée au dispositif client 12. A une étape 201, l'ASIC est mis en service pour la première fois. Des codes instructions de la mémoire programme de l'ASIC activent automatiquement une phase de vérification de la valeur d'authentification S. A une étape 202, l'ASIC prélève la valeur cryptée S' de sa mémoire 15 et la transmet au dispositif client 12 comportant la clef privée. A une étape 203, le dispositif client 12 lit la clef privée afin de l'appliquer avec le nombre aléatoire crypté S' reçu à l'algorithme asymétrique AA. A une étape 204, le dispositif client 12 transmet à l'ASIC 13 le nombre aléatoire généré S" constituant le résultat de l'exécution de l'algorithme asymétrique AA. A une étape 205, l'ASIC compare la valeur généré S" à la valeur d'authentification S enregistrée dans sa mémoire. En cas de concordance, l'état inactif de la partie de l'ASIC est activé lors de l'étape 206. L'ASIC est ainsi prêt à être utilisé.
Dans le cas contraire, à une étape 207, l'ASIC peut être programmé de sorte à maintenir l'état inactif de la partie inopérante de l'ASIC et/ou que son fonctionnement soit définitivement bloqué. Dans une variante, à une étape 208, il peut être envisagé que l'ASIC comptabilise les tentatives infructueuses de présentation de la valeur aléatoire S" par le dispositif client 12 et peut, après un nombre seuil de tentatives données (typiquement trois), bloquer définitivement le fonctionnement de l'ASIC et/ou maintenir l'état inactif de la partie inopérante de l'ASIC. Il peut être envisagé, dans ces cas, que ledit ASIC soit rapporté au fabricant pour une reprogrammation dans laquelle une nouvelle valeur d'authentification S est fournie 25 avec un nouveau couple de clefs publique/privée.
Claims (5)
- REVENDICATIONS1. Procédé d'identification d'un circuit intégré à application spécifique (13) par un dispositif client (12) à travers un réseau de communication (16), à l'aide d'une valeur d'authentification (S) préenregistrée dans ledit circuit intégré, dans lequel : - on implémente un algorithme asymétrique (AA) à clef publique dans une unité de fabrication (11) dudit ASIC, - on détermine dans l'unité de fabrication (11) un nombre crypté (S') en fonction de l'exécution de l'algorithme asymétrique (AA) auquel la valeur d'authentification (S) est appliquée, - durant une phase d'identification, on transmet le nombre aléatoire crypté (S') au dispositif client (12) dans lequel est implémenté un algorithme asymétrique (AA) à clef privée auquel est appliqué ledit nombre aléatoire crypté (S'), - on vérifie la concordance du résultat (S") de l'application du nombre aléatoire crypté (S') à l'algorithme asymétrique (AA) à clef privée avec la valeur d'authentification (S), - on active le fonctionnement dudit circuit intégré (13) en cas de concordance positive.
- 2. Procédé selon la revendication précédente, dans lequel la phase d'identification est activée par le circuit intégré (13) à sa première mise en service.
- 3. Procédé selon l'une des revendications précédentes, dans lequel au moins une partie dudit circuit intégré (13) est à un état inactif.
- 4. Procédé selon l'une des revendications précédentes dans lequel, lorsque le résultat (S") de l'application du nombre aléatoire crypté (S') à l'algorithme asymétrique (AA) à clef privée diffère de la valeur d'authentification (S), alors on bloque définitivement le fonctionnement dudit circuit intégré.
- 5. Procédé selon l'une des revendications 1 à 3, dans lequel : - on comptabilise le nombre de comparaisons infructueuses entre le résultat (S") de l'application du nombre aléatoire crypté à l'algorithme asymétrique (AA) à clef privée de la valeur d'authentification (S), - on bloque définitivement le fonctionnement (S) du circuit intégré (13) lorsque le nombre de comparaisons atteint un seuil prédéfini. 7. Procédé selon l'une des revendications 4 ou 5, dans lequel on maintient inactive la partie du circuit intégré (13) à état inactif. 8. Procédé selon l'une des revendications précédentes, dans lequel la valeur 35 d'authentification (S) est un nombre aléatoire. 9. Procédé selon l'une des revendications précédentes, dans lequel le dispositifclient (12) est une carte à microcircuit ou une clef USB.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1004691A FR2960329A1 (fr) | 2010-12-02 | 2010-12-02 | Procede d'identification d'un circuit integre a application specifique |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1004691A FR2960329A1 (fr) | 2010-12-02 | 2010-12-02 | Procede d'identification d'un circuit integre a application specifique |
Publications (1)
Publication Number | Publication Date |
---|---|
FR2960329A1 true FR2960329A1 (fr) | 2011-11-25 |
Family
ID=43921104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR1004691A Pending FR2960329A1 (fr) | 2010-12-02 | 2010-12-02 | Procede d'identification d'un circuit integre a application specifique |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR2960329A1 (fr) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851800A (zh) * | 2019-11-14 | 2020-02-28 | 苏州科达科技股份有限公司 | 代码保护方法、装置、系统及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5530749A (en) * | 1994-08-15 | 1996-06-25 | International Business Machines Corporation | Methods and apparatus for secure hardware configuration |
US20040190558A1 (en) * | 2003-03-31 | 2004-09-30 | Oliver Delton John | Method and apparatus for programming a functionality of an integrated circuit (IC) |
US20090276844A1 (en) * | 2008-04-30 | 2009-11-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and Apparatus for Secure Hardware Analysis |
-
2010
- 2010-12-02 FR FR1004691A patent/FR2960329A1/fr active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5530749A (en) * | 1994-08-15 | 1996-06-25 | International Business Machines Corporation | Methods and apparatus for secure hardware configuration |
US20040190558A1 (en) * | 2003-03-31 | 2004-09-30 | Oliver Delton John | Method and apparatus for programming a functionality of an integrated circuit (IC) |
US20090276844A1 (en) * | 2008-04-30 | 2009-11-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and Apparatus for Secure Hardware Analysis |
Non-Patent Citations (1)
Title |
---|
"Chapter 10: Identification and Entity Authentication ED - Menezes A J; Van Oorschot P C; Vanstone S A", 1 October 1996, HANDBOOK OF APPLIED CRYPTOGRAPHY; [CRC PRESS SERIES ON DISCRETE MATHEMATICES AND ITS APPLICATIONS], CRC PRESS, BOCA RATON, FL, US, PAGE(S) 385 - 424, ISBN: 978-0-8493-8523-0, XP001525010 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851800A (zh) * | 2019-11-14 | 2020-02-28 | 苏州科达科技股份有限公司 | 代码保护方法、装置、系统及可读存储介质 |
CN110851800B (zh) * | 2019-11-14 | 2021-07-23 | 苏州科达科技股份有限公司 | 代码保护方法、装置、系统及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3547270A1 (fr) | Procédé de vérification d'une authentification biométrique | |
FR2651347A1 (fr) | Procede de generation de nombre unique pour carte a microcircuit et application a la cooperation de la carte avec un systeme hote. | |
FR2926938A1 (fr) | Procede d'authentification et de signature d'un utilisateur aupres d'un service applicatif, utilisant un telephone mobile comme second facteur en complement et independamment d'un premier facteur | |
EP1293062B1 (fr) | Procede d'authentification / identification biometrique securise , module de saisie et module de verification de donnees biometriques | |
WO2017182747A1 (fr) | Procédé d'obtention par un terminal mobile d'un jeton de sécurité | |
JP2009253783A (ja) | 携帯端末、データ保護方法およびデータ保護用プログラム | |
EP2388948B1 (fr) | Procédé et système d'accès à un circuit intégré comprenant une clé personnelle d'authentification | |
EP2979393B1 (fr) | Procede d'authentification | |
FR2960329A1 (fr) | Procede d'identification d'un circuit integre a application specifique | |
FR3035248A1 (fr) | Systeme-sur-puce a fonctionnement securise et ses utilisations | |
EP3327607B1 (fr) | Procede de verification de donnees | |
EP2954449B1 (fr) | Authentification de signature manuscrite numérisée | |
EP2016700B1 (fr) | Procede d'activation d'un terminal | |
CN109660355B (zh) | 防止pos终端被非法篡改的方法、装置、存储介质以及终端 | |
WO2017005644A1 (fr) | Procédé et système de contrôle d'accès à un service via un média mobile sans intermediaire de confiance | |
OA20698A (fr) | Procédé mis en œuvre par ordinateur d'établissement sécurisé d'un document de transfert de responsabilité d'un bien. | |
EP3032450B1 (fr) | Procédé de contrôle d'une authenticité d'un terminal de paiement et terminal ainsi sécurisé | |
EP2933767A1 (fr) | Procédé de désactivation d'un module de paiement, produit programme d'ordinateur, medium de stockage et module de paiement correspondants | |
EP4348459A1 (fr) | Procédé de traitement d'une transaction, dispositif et programme correspondant | |
WO2020049253A1 (fr) | Procede de securisation de l'utilisation d'un appareil fonctionnant avec un accessoire ou un consommable | |
FR2825213A1 (fr) | Systeme d'authentification d'un utilisateur | |
WO2012172245A1 (fr) | Transfert securise entre memoire non-volatile et memoire volatile | |
WO2021084026A1 (fr) | Procede mis en œuvre par ordinateur d'etablissement securise d'un document de transfert de responsabilite d'un bien | |
WO2012152581A1 (fr) | Systeme d'identification d'un individu | |
FR3015077A1 (fr) | Procede de controle d'une identite d'un terminal de paiement et terminal ainsi securise. |