FR3002400A1 - Generation d'une cle de session pour l'authentification et la transmission de donnees securisees - Google Patents
Generation d'une cle de session pour l'authentification et la transmission de donnees securisees Download PDFInfo
- Publication number
- FR3002400A1 FR3002400A1 FR1400622A FR1400622A FR3002400A1 FR 3002400 A1 FR3002400 A1 FR 3002400A1 FR 1400622 A FR1400622 A FR 1400622A FR 1400622 A FR1400622 A FR 1400622A FR 3002400 A1 FR3002400 A1 FR 3002400A1
- Authority
- FR
- France
- Prior art keywords
- session key
- key
- random number
- communication partner
- aes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title description 5
- 238000004891 communication Methods 0.000 claims abstract description 200
- 230000008878 coupling Effects 0.000 claims abstract description 59
- 238000010168 coupling process Methods 0.000 claims abstract description 59
- 238000005859 coupling reaction Methods 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims description 35
- 238000004364 calculation method Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 7
- 238000009795 derivation Methods 0.000 claims description 4
- 238000012546 transfer Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 6
- 101100123053 Arabidopsis thaliana GSH1 gene Proteins 0.000 description 4
- 101100298888 Arabidopsis thaliana PAD2 gene Proteins 0.000 description 4
- 101150092599 Padi2 gene Proteins 0.000 description 4
- 102100035735 Protein-arginine deiminase type-2 Human genes 0.000 description 4
- 239000002243 precursor Substances 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- VIEYMVWPECAOCY-UHFFFAOYSA-N 7-amino-4-(chloromethyl)chromen-2-one Chemical compound ClCC1=CC(=O)OC2=CC(N)=CC=C21 VIEYMVWPECAOCY-UHFFFAOYSA-N 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- XEBWQGVWTUSTLN-UHFFFAOYSA-M phenylmercury acetate Chemical compound CC(=O)O[Hg]C1=CC=CC=C1 XEBWQGVWTUSTLN-UHFFFAOYSA-M 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
- H04L9/0662—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
- H04L9/0668—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator producing a non-linear pseudorandom sequence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Nonlinear Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un dispositif (20) de génération d'une clé de session (k0), qui est connue d'un premier partenaire de communication (P; T) et d'un deuxième partenaire de communication (T; P), pour le premier partenaire de communication (P; T), à partir d'une information secrète (kIV) pouvant être déterminée par le premier et le deuxième partenaire de communication, avec un moyen (22) pour obtenir un nombre aléatoire (rP; rT), un moyen (24) pour calculer la clé de session (ko) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rP; rT) et une partie de l'information secrète (kIV) et un moyen (28) pour utiliser la clé de session (k0) pour une communication avec le deuxième partenaire de communication.
Description
Génération d'une clé de session pour l'authentification et la transmission de données sécurisée.
Les exemples de réalisation de la présente invention concernent une génération d'une clé de session, telle qu'elle peut être utilisée par exemple pour une authentification réciproque entre deux partenaires de communication et une transmission de données successive. Une authentification réciproque sécurisée entre deux partenaires de communication, tels que par exemple deux terminaux d'abonné sous forme d'un appareil de lecture et d'une carte de données sans contact, peut, dans un procédé cryptographique symétrique être réalisée par exemple par un soi-disant procédé 'Challenge Response' (soit approximativement: procédé de réponse de défi), tel que par exemple un procédé 'Challenge Response' à deux ou trois directions. Un procédé 'Challenge Response' est un procédé d'authentification d'un partenaire de communication sur base de connaissance. Un partenaire de communication établit une mission (en anglais, challenge), que l'autre doit résoudre (en anglais, response), pour prouver qu'il connaît une certaine information. De tels procédés sont en général susceptibles d'attaques par canal latéral, telles que par exemple DPA (Differential Power Analysis), EMA (ElectroMagnetic Analysis), etc. C'est-à-dire qu'un agresseur peut, par exemple en enregistrant les profils de courant (profils de rayonnement EN) en cas de tentatives d'authentification répétées entre les partenaires de communication, reconstruire à un déploiement relativement faible une clé secrète de l'un des deux terminaux et, de ce fait, en principe cloner ce terminal.35 Les mesures sur le plan technique du matériel pour la protection d'un cryptage à la base de l'authentification, telles que par exemple un cryptage par bloc, sont relativement coûteuses.
L'objet de la présente invention consiste donc à proposer un concept pour éviter des attaques par canal latéral qui est amélioré par rapport aux mesures de protection conventionnelles.
Cet objectif est résolu par un dispositif de génération d'une clé de session (k0), qui est connue d'un premier partenaire de communication (P; T) et d'un deuxième partenaire de communication (T; P), pour le premier partenaire de 15 communication (P; T), à partir d'une information secrète (kIv) qui peut être déterminée par le premier et le deuxième partenaire de communication, ayant les caractéristiques suivantes: 20 un moyen pour obtenir un nombre aléatoire (rp; rT); un moyen pour calculer la clé de session (k0) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rp; rT) et une partie de l'information secrète (kiv); et 25 un moyen pour utiliser la clé de session (k0) pour une communication avec le deuxième partenaire de communication. L'invention vise aussi un procédé de génération d'une clé de 30 session (k0), qui est connue d'un premier partenaire de communication et d'un deuxième partenaire de communication, pour le premier partenaire de communication, à partir d'une information secrète (kni) pouvant être déterminée par le premier et le deuxième partenaire de communication, aux 35 étapes suivantes consistant à: obtenir un nombre aléatoire (rp; rT); calculer la clé de session (k0) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rp; rT) et une partie de l'information secrète (kiv); et utiliser la clé de session (1(0) pour une communication avec le deuxième partenaire de communication. L'invention vise enfin un programme d'ordinateur 10 corespondant. De préférence, le dispositif est caractérisé par le fait que le moyen pour obtenir le nombre aléatoire (rp; rT) est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire au 15 moins une première partie du nombre aléatoire. De préférence, le dispositif est caractérisé par le fait que le moyen pour obtenir le nombre aléatoire est adapté pour obtenir une deuxième partie du nombre aléatoire (rp; rT) du 20 deuxième partenaire de communication. De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session (k0) est adapté pour calculer la clé de session (k0) à l'aide d'un couplage non 25 linéaire (NLM) de l'au moins une partie du nombre aléatoire (rp; rT) et de la partie de l'information secrète (kTv). De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session (1(0) est adapté pour 30 mettre en oeuvre le couplage non linéaire (NLM) au moyen d'un registre à décalage rétrocouplé de manière non linéaire qui est chargé de l'au moins une partie (rp) du nombre aléatoire et couple en séquence des bits individuels de la partie de l'information secrète (kTv) avec des cellules du registre à 35 décalage.
De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session ((0) est adapté pour mettre en oeuvre le couplage non linéaire (NLM) au moyen d'un registre à décalage rétrocouplé de manière non linéaire qui est chargé de la partie de l'information secrète (kIv) et couple en séquence des bits individuels de l'au moins une partie (rp) du nombre aléatoire avec des cellules du registre à décalage.
De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session (k0) est adapté pour mettre en oeuvre le couplage non linéaire (NLM) au moyen d'un registre à décalage rétrocouplé de manière linéaire qui est défini par un polynôme irréductible (f(X)), de sorte qu'un résultat du couplage non linéaire (NLM) dépende d'une opération modulo d'un couplage multiplicatif de l'au moins une partie du nombre aléatoire (rp; rT) et de la partie de l'information secrète (k1v) avec le polynône irréductible (f(X)).
De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session (k0) est adapté pour utiliser une valeur (kp) dérivée du couplage non linéaire (NLM) comme clé pour un cryptage (AES), pour crypter l'information secrète (kIv) ou une valeur dérivée de cette dernière et pour obtenir, sur base du cryptage (AES), la clé de session (k0). De préférence, le dispositif est caractérisé par le fait que 30 le moyen pour calculer la clé de session (k0) est adapté pour utiliser l'information secrète (ku) ou une valeur dérivée de cette dernière comme clé pour un cryptage (AES), pour crypter une valeur (kp) dérivée du couplage non linéaire (NLM) et pour obtenir, sur base du cryptage (AES), la clé de session 35 (k0)- De préférence, le dispositif est caractérisé par le fait que le cryptage est un cryptage par bloc. De préférence, le dispositif est caractérisé par le fait que 5 le cryptage par bloc se base sur la norme 'Advanced Encryption Standard' (AES). De préférence, le dispositif est caractérisé par le fait que le moyen pour obtenir le nombre aléatoire est adapté pour 10 déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire (rE)) et pour obtenir un deuxième nombre aléatoire (rT) du deuxième partenaire de communication, et dans lequel le moyen pour calculer la clé de session (k0) est adapté pour obtenir la clé de session 15 (k0) sur base d'un deuxième cryptage (AES) d'une valeur (k') dérivée d'un premier cryptage (AES) avec une valeur dérivée du deuxième nombre aléatoire (rT), une valeur (kg) dérivée d'un couplage non linéaire (NLM) du premier nombre aléatoire (ri') et de la partie de l'information secrète (kTv) étant 20 utilisée comme clé pour le premier cryptage (AES), pour crypter l'information secrète (kTv) ou une valeur dérivée de cette dernière et pour obtenir, sur base du premier et du deuxième cryptage (AES), la clé de session (ko). 25 De préférence, le dispositif est caractérisé par le fait que le moyen pour obtenir le nombre aléatoire est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire (rg) et pour recevoir un deuxième nombre aléatoire (rT) du deuxième partenaire de 30 communication, et dans lequel le moyen pour calculer la clé de session (k0) est adapté pour calculer la clé de session (k0) sur base d'un cryptage (AES) d'une valeur dérivée de l'information secrète (k1v) avec une clé dérivée du premier (rE,) et du deuxième nombre aléatoire (rT). 35 De préférence, le dispositif est caractérisé par le fait qu'une information secrète (kIv) peut être déterminée au moyen d'une fonction d'obtention de clé (KD) sur base d'une identifikation spécifique à l'appareil (IV) et d'une clé générale (km).
De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (k0) est adapté pour calculer, pour la communication avec le deuxième partenaire de communication, une partie de contrôle (MAC) pour l'authentification d'un message sur base du message et de la clé de session (k0) ou d'une clé dérivée de cette dernière. De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (k0) est adapté pour calculer une partie de contrôle (Mi) d'un message à transmettre actuel sur base d'une clé actuelle (ki) dérivée de la clé de session (k0) et d'une clé suivante (ki+1) pour un message à transmettre suivant, la clé suivante (ki+i) dépendant de la clé actuelle (ki) dérivée et du message à transmettre actuel.
De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (k0) est adapté pour utiliser, pour le calcul de la partie de contrôle (Mi), un cryptage par bloc (AES) selon la norme 'Advanced Encryption Standard'. De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (1(0) est adapté pour crypter/décrypter, pour la communication avec le deuxième partenaire de communication, des blocs de données (Di) d'un message sur base de la clé de session (k0) ou d'une clé dérivée de cette dernière. De préférence, le dispositif est caractérisé par le fait que 35 le moyen pour utiliser la clé de session (k0) est adapté pour crypter/décrypter une clé actuelle (ki+1) pour un bloc de données à crypter/décrypter actuel (Di+1) sur base d'une clé précédente (ki) pour un bloc de données à crypter/décrypter précédent (Di) et d'une valeur prédéterminée (q). De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (k0) est adapté pour utiliser, pour le calcul de la clé actuelle (ki+1), un cryptage par bloc (AES) selon la norme 'Advanced Encryption Standard'.
Le procédé est caractérisé de préférence par : - une clé de session (k0) est générée tant par le premier que par le deuxième partenaire de communication sur base du nombre aléatoire (rp; rT) et de l'information secrète (k1v) ; 15 - un premier nombre aléatoire (kp) est, lors de l'obtention du nombre aléatoire, déterminé sur base d'un couplage non linéaire (NLM) d'un nombre aléatoire (rp) déterminé de manière aléatoire ou pseudo-aléatoire ou d'une valeur dérivée 20 de ce dernier et d'une partie de l'information secrète (k1v) et un deuxième nombre aléatoire (rT) est obtenu du deuxième partenaire de communication, et dans lequel le calcul de la clé de session (k0) se base sur un cryptage par bloc (AES) d'une valeur dérivée de l'information secrète (k1v) avec une 25 clé dérivée du premier (kp) et du deuxième nombre aléatoire (rT) ; - un premier nombre aléatoire (rp) est, lors de l'obtention du nombre aléatoire, déterminé de manière aléatoire ou 30 pseudo-aléatoire par le premier partenaire de communication et un deuxième nombre aléatoire (rT) est obtenu du deuxième partenaire de communication, et dans lequel le calcul de la clé de session (k0) se base sur un cryptage par bloc (AES) du deuxième nombre aléatoire (rT) avec un cryptage par bloc 35 (AES) de l'information secrète (k1v) avec un couplage non linéaire (NLM) du premier nombre aléatoire (rp) et de la partie de l'information secrète (k1v) ; - une clé de session (k0) est utilisée, dans un procédé d'authentification, comme secret commun pour une authentification entre le premier et le deuxième partenaire 5 de communication ; - un procédé de 'challenge response' pour une authentification unilatérale ou réciproque au moyen de la clé de session (k0). 10 Les exemples de réalisation de la présente invention se basent sur l'utilisation d'un procédé à base de protocole qui permet l'utilisation d'une mise en oeuvre de cryptage non protégé contre des attaques par canal latéral et, de ce fait, 15 plus économiques. Les exemples de réalisation permettent une dérivation sécurisée contre des attaques par canal latéral d'une soi-disant ,session key" ou clé de session. C'est-à-dire que, pour une authentification et sécurisation d'une transmission de données successive entre deux partenaires de 20 communication, il peut être dérivé, d'une ,root key" ou clé de base individuelle d'un terminal, une clé unique spécifique à la session (clé de session). La dérivation de la clé de session se base sur l'aide de nombres aléatoires qui, selon des exemples de réalisation, peuvent être échangés entre les 25 deux partenaires de communication. Une mise à disposition des nombres aléatoires par un tiers, un soi-disant tiers fiable (trusted third party), est également envisageable. Ci-après sont expliqués plus en détail des exemples de 30 réalisation de la présente invention, en référence aux figures jointes en annexe, dans lesquelles: la figure 1 est une représentation schématisée d'un protocole cryptographique selon un exemple de réalisation de la 35 présente invention; la figure 2A est un schéma-bloc d'un dispositif de génération d'une clé de session selon un exemple de réalisation de la présente invention; la figure 2B est un schéma-bloc d'un dispositif de génération d'une clé de session selon un autre exemple de réalisation de la présente invention. la figure 20 est un schéma-bloc d'un dispositif de génération 10 d'une clé de session selon encore un autre exemple de réalisation de la présente invention; la figure 3 est un schéma opérationnel d'un procédé de génération d'une clé de session selon un exemple de 15 réalisation de la présente invention; la figure 4 est une représentation d'une évolution d'un protocole d'authentification selon un exemple de réalisation de la présente invention; la figure 5a est une représentation détaillée d'une génération d'une clé de session et d'une authentification réciproque selon un premier exemple de réalisation de la présente invention; la figure 5b est une représentation détaillée d'une génération d'une clé de session et d'une authentification réciproque selon un autre exemple de réalisation de la présente invention; la figure 6 est un schéma d'ensemble d'un protocole d'échange de données selon un exemple de réalisation de la présente invention; 35 la figure 7 est une représentation d'un calcul d'une clé, dérivée de la clé de session, pour une transmission de 20 25 30 données entre les deux partenaires de communication, selon un exemple de réalisation de la présente invention; la figure 8 est une représentation schématisée d'une trame de 5 données à transmettre; la figure 9 est une représentation schématisée d'une génération d'une partie de contrôle pour l'authentification d'un message selon un exemple de réalisation de la présente 10 invention; la figure 10 est une représentation schématisée d'une génération de parties de contrôle successives pour l'authentification de messages successifs selon un exemple de 15 réalisation de la présente invention; la figure 11 est une représentation schématisée d'une trame de données cryptée; 20 la figure 12 est une représentation schématisée d'un cryptage d'une trame de données à transmettre selon un exemple de réalisation de la présente invention; la figure 13 est une représentation schématisée d'un cryptage 25 de trames de données à transmettre successives selon un exemple de réalisation de la présente invention; la figure 14 est une représentation schématisée d'un décryptage d'une trame de données reçue selon un exemple de 30 réalisation de la présente invention; la figure 15A est une représentation schématisée d'un registre à décalage autonome couplé en rétroaction de manière non linéaire selon un exemple de réalisation de la présente 35 invention; et la figure 15E est une représentation schématisée d'un registre à décalage couplé en rétroaction de manière non linéaire avec couplage selon un exemple de réalisation de la présente invention.
Les exemples de réalisation de la présente invention permettent une authentification réciproque sécurisée de deux partenaires de communication qui seront désignés ci-après, sans limitation de la généralité, comme terminal ou appareil de lecture T et carte à puce sans contact P (Proximity Integrated Circuit Card, PICC). De manière générale, on peut bien sûr aussi imaginer d'autres configurations des deux partenaires de communication, telles que par exemple des configurations serveur-client. Les cartes de proximité sont en général utilisées à proximité immédiate (Proximity) d'un appareil de lecture, par exemple à des fins de paiement. Il peut s'agir d'une carte à puce passive, en particulier d'une carte à puce passive RFID (RFID = Radio Frequency Identification) qui obtient son énergie de l'appareil de lecture. De telles cartes de proximité peuvent fonctionner par exemple à des fréquences de 125 kHz ou 13.56 MHz. Par ailleurs, les exemples de réalisation de la présente invention permettent une protection d'intégrité de messages échangés entre les deux partenaires de communication T et P après l'authentification. Une protection des messages échangés eux-mêmes, c'est-à-dire une protection de confidentialité, est également possible. Après une authentification réciproque selon un exemple de réalisation, les partenaires de communication peuvent convenir soit d'un mode de transfert de données avec protection d'intégrité, soit d'un mode de transfert de données avec protection de confidentialité. La condition requise est que puisse être déterminée, tant par le premier que par le deuxième partenaire de communication, une information secrète commune, de manière similaire à la soi-disant cryptographie à 'Private Key' (= clé privée).
La figure 1 illustre une représentation schématisée d'une partie cryptographique d'un protocole de communication selon un exemple de réalisation de la présente invention. La partie cryptographique du protocole se compose de deux parties: une authentification 10 et un transfert de données 12 successif. Pendant l'authentification 10, les deux partenaires de communication P et T s'authentifient mutuellement. Cela peut se faire, selon des exemples de réalisation, dans le cadre d'un protocole de 'challenge response' à trois directions. Le résultat de l'authentification 10 est soit une acceptation de l'autre partenaire de communication respectif ou un rejet de l'autre respectif. En cas d'acceptation, il résulte de l'authentification 10 un secret temporaire commun, une soi-disant 'session key' ou clé de session ko, et éventuellement quelques informations additionnelles qui sont nécessaires pour le transfert de données 12 successif.
Après une authentification 10 fructueuse, le premier partenaire de communication P peut libérer des parties de sa mémoire pour un accès par le deuxième partenaire de communication T. De ce dait, le deuxième partenaire de communication T peut lire et/ou écrire des blocs de données déterminés pour lesquels il possède des droits d'accès appropriés. La lecture/l'écriture de/dans la mémoire non volatile (NVM - Non Volatile Memory) de P peut être effectuée par P. Les commandes à cet effet peuvent toutefois provenir du deuxième partenaire de communication T. Cela vaut en particulier pour les exemples de réalisation dans lesquels le premier partenaire de communication P est une carte à puce sans contact et le deuxième partenaire de communication T est un appareil de lecture.
Pour sécuriser le transfert de données 12, il existe, selon les exemples de réalisation, deux mesures: un mécanisme de protection d'intégrité de données, également appelé mode MAC (MAC = Message Authentication Code). un mécanisme de protection de confidentialité, appelé mode de cryptage. Selon des exemples de réalisation, un seul des modes de protection peut être utilisé à un moment déterminé pour le transfert de données 12 entre les deux partenaires de communication P et T. La protection du transfert de données 12 est liée à l'authentification 10 par la clé de session ko déterminée pendant l'authentification précédente. Pour la protection d'intégrité, la clé de session 1(0 est utilisée, selon des exemples de réalisation, comme clé de base, pour générer de soi-disant 'Message Authentication Codes' (= codes d'authentification de message)(MAC), c'est-à-dire des parties de contrôle pour l'authentification d'un message envoyé.
Pour la protection de confidentialité, la clé de session 1(0 est utilisée comme clé de base, pour crypter les paquets de données transmis.
Après qu'ait été donné, en référence à la figure 1, un aperçu du concept selon l'invention, des exemples de réalisation de la présente invention seront décrits plus en détail en référence aux autres figures.
La figure 2A illustre à cet effet de manière schématisée un dispositif 20 de génération d'une clé de session ko, qui est connue d'un premier partenaire de communication et d'un deuxième partenaire de communication, pour le premier partenaire de communication. La clé de session k0 est générée 35 à partir d'une information secrète kn, qui peut être déterminée par le premier et le deuxième partenaire de communication. Le dispositif 20 est à cet effet associé au premier partenaire de communication. Lequel des deux partenaires de communication P et T considérés ici est désigné comme premier ou deuxième partenaire de communication est totalement sans importance.
Le dispositif 20 comporte un moyen 22 pour obtenir un nombre aléatoire r. Au moins une partie rp ou rT du nombre aléatoire r peut être alimentée vers un moyen 24 de calcul de la clé de session 1(0 à l'aide d'un couplage de l'au moins une partie du 10 nombre aléatoire et d'une partie de l'information secrète kTv. Pour obtenir l'information secrète kTv, il est prévu un moyen 26. La clé de session 1(0 calculée peut alors être utilisée par un moyen 28 pour une communication avec le deuxième partenaire de communication (non illustré). Pour la 15 communication avec le deuxième partenaire de communication, il est prévu une interface 29 avec une entrée 29a et une sortie 29b. Selon le partenaire de communication dans lequel est installé 20 le dispositif 20 de génération de la clé de session ko, des conditions requises différentes peuvent s'imposer pour les différents blocs ou moyens du dispositif 20. Si le dispositif 20 est installé par exemple dans une carte de proximité P, il est prévu, selon des exemples de réalisation, différentes 25 ressources pour garantir une authentification sécurisée et un transfert de données sécurisé entre P et T. Un schéma-bloc d'un dispositif 20 intégré dans une carte de proximité P est illustré à la figure 2B. 30 Le moyen 26 pour obtenir l'information secrète kTv est, selon cet exemple de réalisation, réalisé pour mettre à disposition une identifikation IV individuelle par puce du premier partenaire de communication, c'est-à-dire donc par exemple de la carte de proximité P, et pour en dériver l'information 35 secrète kIv. Cela peut se faire de manière spécifique au fabricant.
Le moyen 22 pour obtenir le nombre aléatoire comprend, selon des exemples de réalisation, un générateur de nombre aléatoire cryptographique RNG comme module de matériel. Par ce dernier peut être générée au moins une partie rp du nombre aléatoire r. Selon un exemple de réalisation, le moyen 24 pour calculer la clé de session ko comprend un module de matériel pour un cryptage ou décryptage. Il peut s'agir d'un cryptage par bloc, en particulier d'un cryptage par bloc selon la norme AES (AES = Advanced Encryption Standard). Le couplage de l'au moins une partie rp du nombre aléatoire et de la partie de l'information secrète kn, peut, du côté d'une carte à puce P sans contact être effectué par un module de matériel NLM.
Pour le couplage, il s'agit, selon un exemple de réalisation, d'un couplage ou reproduction non linéaire (NLM = Non Linear Map). Pour un appareil de lecture T, on peut en général se baser sur le fait qu'il se trouve dans un environnement sécurisé contre des attaques. De ce fait, moins de conditions pertinentes en matière de sécurité doivent être imposées pour la mise en oeuvre en technique de matériel d'un appareil de lecture. Aussi, purement du point de vue de la construction schématisée, un dispositif 20 de génération de la clé de session 1(0 intégrée du côté d'un appareil de lecture T ne diffère pas d'un dispositif 20 de génération de la clé de session ko inclus du côté d'une carte à puce P. Selon des exemples de réalisation, uniquement l'information secrète kIv est obtenue d'une autre manière du côté de l'appareil de lecture T, d'où il peut y avoir des différences de principe entre les partenaires de communication en ce qui concerne le moyen 26. Cela est illustré à la figure 2C.
Du côté d'un appareil de lecture T, le moyen pour obtenir l'information secrète kIv peut être rféalisé de manière à obtenir l'information secrète kr, sur base d'une identifikation IV spécifique à l'appareil de la carte à puce P et d'une clé générale km. La clé générale km et l'identifikation IV spécifique à l'appareil peuvent être amenées à la fonction d'obtention de clé KD, pour déterminer kIv. Avant d'entrer plus en détail sur un exemple de réalisation d'un procédé de génération d'une clé de session selon l'invention, il sera donné, en référence à la figure 3, un 10 aperçu approximatif des étapes de procédé. Les différentes étapes de procédé peuvent être effectuées par chacun des deux partenaires de communication. Les étapes de procédé peuvent toutefois tout aussi bien se répartir de 15 manière différente sur les deux partenaires de communication. Finalement, il est également imaginable qu'une troisième identité digne de foi effectue les étapes de procédé. Dans une première étape 32 est obtenu un nombre aléatoire r 20 ou une partie de celui-ci. Dans une deuxième étape 34 est calculée la clé de session ko à l'aide d'un couplage d'au moins une partie du nombre aléatoire et d'une partie de l'information secrète kIv. Ensuite, dans une troisième étape 36, la clé de session ko calculée est utilisée pour une 25 communication entre les deux partenaires de communication P et T. Pour la descfription détaillée qui suit est utilisée la notation mathématique suivante: 30 L'égalité mathématique de deux expressions x et y est exprimée par X = y, (1) 35 une attribution d'une valeur x à une variable y étant écrite comme y := x. (2) Un enchaînement z de deux nombres binaires x et y est z := x I y. (3) Une addition modulo 2 ou OU exclusif par bit de deux nombres binaires x et y est écrite comme z := x XOR y (4) Un cryptage d'un bloc de données m de 2' bits au moyen d'une clé k de 2Y bits est exprimé ci-après selon c := AES(key=k, m), (5) les exemples de réalisation de la présente invention prévoyant un cryptage par bloc, en particulier un cryptage 20 selon la norme AES. Par conséquent, un décryptage est désigné m := AES-1(key=k, c), (6) où il peut s'agir d'un décryptage par bloc selon la norme 25 AES. Un schéma opérationnel de la génération de la clé de session ko et d'une authentification réciproque des deux partenaires de communication P et T selon un exemple de réalisation de la 30 présente invention est illustré dans le schéma de déroulement/séquence à la figure 4. Ci-après sont données, pour chaque étape du côté du premier partenaire de communication P et du deuxième partenaire de 35 communication T, des explications détaillées en tenant compte d'un ordre d'exécution des étapes individuelles. Pour l'exemple de réalisation présenté à l'aide de la figure 4, l'ordre décrit des différentes étapes est important. Les étapes sont désignées par PO,P1,....,n ou TO,T1,...,Tn, P signifiant le premier partenaire de communication, T le deuxième partenaire de communication et les indices n l'ordre dans le temps. Les étapes qui peuvent être exécutées simultanément ou qui peuvent être interchangées pour faciliter une mise en oeuvre sont mises en évidence explicitement. Pour une représentation simpifiée, un nom est donné à chaque étape.
Pl: Génération d'un nombre aléatoire du côté du premier partenaire de communications P: Le générateur aléatoire sur puce RNG peut être mis en marche, pour générer, selon un exemple de réalisation, deux nombres aléatoires rp et Rp. Rp peut, selon les exemples de réalisation, être d'une largeur de 128 bits et être envoyé, comme soi-disant ,Challenge" ou défi au deuxième partenaire de communication T. Selon un exemple de réalisation, rp a une largeur de 32 bits et peut être utilisé pour calculer la clé de session ko. Rp et rp sont considérés comme étant des nombres binaires à bits aléatoires indépendants et répartis de manière uniforme. Selon un exemple de réalisation, le moyen 22 pour obtenir le nombre aléatoire est donc adapté pour déterminer de manière aléatoire ou pseudo-aléatoire au moins une première partie du nombre aléatoire. P2: Premier message du premier partenaire de communication P au deuxième partenaire de communication T: Selon les exemples de réalisation, le premier partenaire de communication P enchaîne son identification d'appareil IV, la valeur aléatoire de clé de session rp du côté de P et le 'challenge' aléatoire Rp du côté de P, pour obtenir un 35 premier message M1 qui est transmis au deuxième partenaire de communication T: := IV 11 rp I Rp (11) C'est-à-dire qu'après l'obtention des nombres aléatoires rp et Rp, rp est transmis, ensemble avec Rp et l'identification 5 spécifique à l'appareil IV, au deuxième partenaire de communication T. P3: Détermination de l'information secrète krv du côté du premier partenaire de communication P: 10 L'information secrète kIv peut être obtenue du côté de P par des mesures spécifiques au fabricant qui protègent l'information secrète kIv contre des attaques. 15 T4: Génération d'un nombre aléatoire du côté du deuxième Partenaire de communication T: Le moyen 22 pour obtenir le nombre aléatoire ou le générateur de nombres aléatoires RNG du côté du deuxième partenaire de 20 communication T peut être mis en marche, pour obtenir deux nombres aléatoires rT et RT. Selon les exemples de réalisation, RT peut être d'une largeur de 128 bits et servir de ,challenge" qui est transmis au premier partenaire de communication P. rT peut, selon les exemples de réalisation, 25 être d'une largeur de 32 bits et être utilisé pour calculer la clé de session ko. RT et rT comportent tous deux des bits aléatoires indépendants et répartis de manière uniforme. T5: Détermination de l'information secrète kw du côté du 30 deuxième partenaire de communication T: Après une réception du premier message M1 du premier partenaire de communication P (étape 22), le deuxième partenaire de communication T peut dériver l'information 35 secrète, c'est-à-dire, la clé secrète individuelle kIv du premier partenaire de communications, par exemple d'une clé générale km ensemble avec l'identification spécifique à l'appareil IV obtenue au moyen d'une fonction d'obtention de clé KD: kIv : =KD ( km, IV) . (14) Une définition de la fonction d'obtention de clé KD peut être spécifique au fabricant et n'a donc pas d'influence sur le protocole selon l'invention. Du côté d'un appareil de lecture T, l'information secrète kIv peut également être déterminée au moyen d'une fonction d'obtention de clé KD sur base d'une clé générale km et d'une identification spécifique à l'appareil IV de la carte à puce P. T6: Calcul de la clé de session ko du côté du deuxième 15 partenaire de communication T: La clé de session ko est calculée à l'aide d'un couplage SK d'au moins une partie du nombre aléatoire et d'une partie de l'information secrète ku. A cet effet, x = (x0,x1, 20 e GF(2) 128 et y = (Yo,Y1,-..,Y31) e GF(2)32, GF(2)n signifiant un corps de Galois, donc une quantité avec un nombre fini de 2n éléments, sur lequel sont définies les opérations de base addition, soustraction, multiplication et division. Une fonction 25 EXT: GF (2)128 GF (2)32 (15) signifie alors généralement une extraction de 32 bits quelconques d'une valeur de 128 bits. Selon les exemples de 30 réalisation, il s'agit de l'extraction des 32 bits à la valeur la plus basse. Par contre, la fonction PAD: GF(2)32 GF (2) 128 (16) 35 désigne un remplissage généralement à volonté d'une valeur de 32 bits, pour obtenir une valeur de 128 bits. C'est-à-dire que PAD désigne une règle de remplissage de bits. Selon les exemples de réalisation, il s'agit d'un remplissage de zéros d'une valeur de 32 bits, pour obtenir une valeur de 128 bits. Selon un exemple de réalisation, le deuxième partenaire de 5 communication T calcule une clé de session 1(0 commune et unique selon ko = SK(kiv,rp,rT) . SK signifie un couplage de kIv et d'au moins une partie (rp,rT) d'un nombre aléatoire r sous forme de fonction de calcul de clé de session. Selon un exemple de réalisation, la clé de session peut être calculée 10 comme suit: SK: kp := NLM(EXT(kiv),rp), k' := AES(key=PAD(kp),kiv), 15 ko := AES(key=PAD(rT),k'). C'est-à-dire que, dans une première sous-étape (Eq. 17), il peut être formé une reproduction ou un couplage non linéaire de 32 bits de l'information secrète kIV et de la valeur 20 aléatoire de 32 bits rp selon kp := NLM(EXT(kiv),rp), où vaut: NLM: GF(2)32 x GF(2)32- GF(2)32, z = NLM (x, y) (20) 25 c'est-à-dire que, selon les exemples de réalisation, le moyen 24 pour calculer la clé de session ko est adapté pour calculer la clé de session à l'aide d'un couplage non linéaire NLM de l'au moins une partie rp du nombre aléatoire et de la partie EXT(kiv) de l'information secrète kIv. Une 30 tâche du couplage non linéaire NLM est le couplage du secret individuel par puce kTv et du nombre aléatoire accessible publiquement rp, de sorte qu'il ne puisse pas être obtenu d'information relative à kIv au moyen d'une attaque de canal latéral ou DPA. Selon les exemples de réalisation, le secret 35 de 128 bits kTv et la variable aléatoire de 32 bits rp sont combinés pour obtenir une valeur précurseur de clé de session aléatoire de 32 bits kp. La clé de session définitive ko peut être déterminée sur base de la valeur précurseur kp. De manière formelle, le couplage non linéaire peut être défini selon l'Eq. (20). Etant donné que kp est, selon les exemples de réalisation, la seule base aléatoire pour la clé de session 1(0, il peut, selon l'exemple décrit ici, être généré un maximum de 232 clés de session différentes. Aussi, il suffit d'utiliser uniquement 32 bits de kni comme entrée pour le couplage non linéaire NLM. Bien entendu, il peut toutefois aussi être utilisé un autre nombre de bits, tel que par exemple 16, 64, 128, etc. Un registre à décalage rétrocouplé de manière non linéaire (NLFSR = Non-Linear Feedback Shift Register) peut être utilisé comme mise en oeuvre hautement efficace du couplage non linéaire NLM. Un registre à décalage rétrocouplé de manière non linéaire présente la propriété qu'il maintient un état zéro, c'est-à-dire un étant dans lequel toutes les cellules de registre sont initialisées à zéro. Tout état initial différent de zéro se répétera, par exemple dans le cas de 32 cellules de registre, exactement après 232 - 1 cycles. En d'autres termes, un état du registre à décalage, s'il est à fonctionnement autonome, se répète avec une période de 232-1.
Une représentation schématisée d'une possible mise en oeuvre d'un registre à décalage rétrocouplé de manière non linéaire selon un exemple de réalisation de la présente invention est donnée à la figure 15A.
Tous les contenus des 32 cellules de registre Do à Dn sont alimentés vers la fonction f. Après chaque cycle, un contenu d'une cellule de registre peut être transmis à une cellule de registre voisine, tel qu'indiqué par les flèches dessinées à la figure 15A. C'est-à-dire que le contenu de la cellule de registre D1 est transmis à la cellule de registre DO, le contenu de la cellule de registre D2 est transmis à la cellule de registre D1, etc. Le résultat de la fonction f est écrit dans la cellule de registre Dm, après que celle-ci ait transmis sa valeur précédente à la cellule D30. Un possible calcul du couplage non linéaire NLM au moyen du 5 NLFSR implique, selon un exemple de réalisation, les étapes suivantes: 1. Régler l'état initial du NLFSR: Charger rp[0..31] dans les cellules de registre 10 D[0..31]. 2. Insérer la partie de l'information secrète: La partie de l'information secrète 1(1\7[0..31] est couplée en séquence, selon l'ordre k1v[0], k1v[1], kIv[2], 15 kiv[31] dans le NLFSR, tel que représenté à la figure 15B. Le NLFSR est synchronisé après chaque étape de couplage. C'est-à-dire que l'insertion de la partie kIv[0. .31] requiert TsIK = 32 cycles. 20 3. Coupler Le NLFSR est synchronisé de manière autonome pour une période Tmix = 64 cycles. C'est-à-dire que rien n'est inséré ou couplé dans le registre pendant cette période Tpilx. Après 64 cycles, le contenu de reigstre T[0..31] 25 constitue la valeur précurseur de clé de session kp. Selon un autre exemple de réalisation de la présente invention, le couplage non linéaire NLM peut être réalisé, au lieu d'au moyen d'un registre à décalage rétrocouplé de 30 manière non linéaire, également sur base d'un polynôme irréductible f(X), donc d'un polynôme qui ne peut pas être écrit comme produit de deux polynômes non triviaux. Avec x= (x0, xl . . , x31) Y= (x0, Yi, . .,Y31) r z=(zo,z1, . . Zn) Z = 35 NLM(x,y) peut être déterminé par exemple selon z31X31 +. . . + + zo = (x31(31 +.. . + xixl + xo)* (y31)(31 +... + yo) mod f (X) (21) ou en bref, z = x * y mod f. Etant donné qu'il s'agit ici 5 d'une multiplication dans le corps fini GF(232), NLM (x, NLM (yi, y2) ) = NLM (NLM (x, yi) Y2) est d'application. C'est pourquoi, une mise en oeuvre de l'Eq. (17) selon rp := NLM(r1,r2), (22) 10 k'p := NLM (EXT (kiv) ri) r (23) kp := NLM(k'p,r2) (24) peut être sécurisée contre des attaques DPA, pour autant que EXT(kiv) # (0,0,...,0). Selon cet exemple de réalisation, le 15 couplage non linéaire selon l'Eq. (17) est subdivisé en deux couplages non linéaires selon les Eq. (23) et (24). A cet effet, le générateur de nombres aléatoires RNG génère, dans un mode de réalisation alternatif de l'étape Pl, trois valeurs aléatoires rl, r2 et Rp. Rp peut, selon les exemples 20 de réalisation, être d'une largeur de 128 bis et sera envoyé comme soi-disant ,challenge" ou défi au deuxième partenaire de communication T. r1 et r2 peut être d'une largeur de 32 bits et sont utilisés pour le calcul de la clé de session 1(0. Rp et rl, r2 sont considérés être des nombres binaires avec 25 des bits aléatoires indépendants et répartis de manière uniforme. Le premier partenaire de communication P calcule rp := NLM(r1,r2) et mémorise r1 et r2 dans une mémoire temporaire. 30 Une réalisation de NLM avec le polynône irréductible f(X) utilise, selon un exemple de réalisation, principalement un registre à décalage rétrocouplé de manière linéaire (LFSR) qui est défini par le polynôme f(X), ensemble avec un deuxième registre qui contient le premier argument x de la 35 fonction z = NLM(x,y). Le deuxième registre est couplé au LFSR par l'intermédiaire de portes ET et XOR logiques. La valeur z peut être calculée par exemple comme suit: 1. Placer toutes les cellules de registre du LFSR à zéro: 2. Charger les cellules de registre Xi du deuxième registre de la valeur xi (i=0,...,31) 3. Coupler les valeurs yn, ym,...,y0 dans la porte ET pour une période T = 32 cycles, pour coupler y avec x. 4. Après 32 cycles, le contenu de registre du LFSR constitue la valeur z=(zo,z1,...,z31).
C'est-à-dire que le moyen pour calculer la clé de session ko est, selon un exemple de réalisation, adapté pour mettre en oeuvre le couplage non linéaire NLM au moyen d'un registre à décalage rétrocouplé de manière linéaire qui est défini par un polynôme irréductible f(X), de sorte qu'un résultat du couplage non linéaire (NLM) dépende d'une opération modulo d'un couplage multiplicatif de l'au moins une partie du nombre aléatoire et de la partie de l'information secrète kIv par le polynône irréductible f(X) (cf. Eq. 23 en rapport avec l'Eq. 21).
A l'aide d'une mise en oeuvre adéquate du couplage non linéaire NLM peut être obtenue une réduction importante de fuites par canal latéral pendant la génération de la clé de session ko - et ce dans une mesure telle que les attaques DPA deviennent pratiquement impossibles, même pour des agresseurs expérimentés. Par ailleurs, le calcul de la clé de session ko peut être acéléré par le couplage non linéaire NLM. Dans une étape suivant le couplage non linéaire NLM, l'information secrète kIv est couplée avec la valeur précurseur de clé de session kp selon l'Eq. (18). Il s'agit ici, pour le couplage AES (.,.), d'un algorithme de cryptage. Selon les exemples de réalisation, il s'agit, pour l'algorithme de cryptage AES, d'un cryptage par bloc ou d'un chiffrage par bloc. En particulier, il peut être utilisé un cryptage par bloc selon la soi-disant 'Advanced Encryption Standard' (AES). C'est-à-dire que, selon les exemples de réalisation, le moyen 24 pour calculer la clé de session 1(0 est adapté pour utiliser une valeur kp dérivée du couplage non linéaire NLM comme clé pour un cryptage AES, pour crypter l'information secrète kIv ou une valeur dérivée de cette dernière et pour obtenir, sur base du cryptage, la clé de session ko. Selon les exemples de réalisation, il est également possible que seul le premier partenaire de communication P détermine un nombre aléatoire rp, mais toutefois pas le deuxième partenaire de communication T. Dans ce cas, la valeur k' selon l'Eq. (18) résultant du cryptage serait déjà la clé de session.
Dans l'exemple de réalisation décrit ici, le cryptage selon l'Eq. (18) peut toutefois être davantage amélioré par le deuxième nombre aléatoire rT en couplant, dans une troisième étape (Eq. 19), le résultat intermédiaire k' avec la deuxième valeur aléatoire rT selon ko:=AES(key=PAD(rT),k'), (22) pour obtenir finalement la clé de session ko commune. Si les Eq. (17) - (19) sont regroupées, le moyen 24 pour calculer la 25 clé de session ko est, selon les exemples de réalisation, adapté pour calculer la clé de session ko sur base de ko = AES (PAD ( rT) (AES (PAD (NLM (EXT(kiv) rp) ) kiv) (23) 30 rp signifiant un premier nombre aléatoire, rT un deuxième nombre aléatoire et kIv l'information secrète, et NLM(*,*) correspondant au couplage non linéaire, EXT(*) à une règle d'extraction, PAD(*) à une règle de remplissage de bits et AES(*,') à un cryptage par bloc selon la norme 'Advanced 35 Encryption Standard'.
On peut par ailleurs s'imaginer que les étapes selon les Eq. (18) et (19) soient remplacées par une seule étape de cryptage, par exemple selon 1(0 := AES(key=PAD2(kp) XOR PAD(rT) ,kiv) (24) la fonction PAD2: GF(2)32- GF(2) 128 (25) signifiant un remplissage d'une valeur de 64 bits qui résulte d'un dédoublement des 32 bits de la valeur d'entrée y. En particulier, la valeur de 64 bits peut être remplie de zéros.
C'est-à-dire que, selon un exemple de réalisation, le moyen 22 pour obtenir le nombre aléatoire est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire rp et pour obtenir un deuxième nombre aléatoire rT de l'autre partenaire de communication.
Le moyen 24 pour calculer la clé de session 1(0 est adapté pour calculer la clé de session 1(0 sur base d'un cryptage AES d'une valeur dérivée de l'information secrète kTv avec une clé dérivée du premier rp et du deuxième nombre aléatoire rT. Selon un autre exemple de réalisation, le moyen 22 pour obtenir le nombre aléatoire est adapté pour déterminer un premier nombre aléatoire kp sur base d'un couplage non linéaire NLM d'un mombre aléatoire rp déterminé de manière aléatoire ou pseudo-aléatoire ou d'une valeur dérivée de ce dernier et d'une partie EXT(kiv) de l'information secrète kTv et pour obtenir un deuxième nombre aléatoire rT de l'autre partenaire de communication. Le moyen 24 pour calculer la clé de session ko est adapté pour calculer la clé de session ko sur base d'un cryptage AES d'une valeur dérivée de l'information secrète kTv avec une clé dérivée du premier kp et du deuxième nombre aléatoire rT (cf. Eq. 24).
T7: Calcul de la réponse du côté du deuxième partenaire de communication T A l'étape T7, le deuxième partenaire de communication T 5 calcule une ,response" ou réponse cp au 'challenge" Rp du premier partenaire de communication P, la clé de session de l'étape T6 étant utilisée à cet effet: cp := AES (key---ko, R0) (26) 10 T8: Deuxième message du deuxième partenaire de communication T au premier partenaire de communication P A l'étape T8 sont enchaînés du côté du deuxième partenaire de 15 communication T la Response cp calculée à l'étape T7, la valeur aléatoire rT déterminée du côté du deuxième partenaire de communication T et le challenge aléatoire RT, pour former un deuxième message M2. Ce message M2 est transmis du deuxième partenaire de communication T au premier partenaire 20 de communication P: M2 := c0 I rT I RT - (27) Le deuxième partenaire de communication T détermine donc, 25 selon un exemple de réalisation, tout d'abord sur base d'un couplage AES de 1(0 et Rp par l'intermédiaire d'un algorithme cryptographique, une réponse au challenge Rp du premier partenaire de communication P (Eq. 26) et la transmet ensemble avec le deuxième nombre aléatoire rT et la quantité 30 aléatoire RT, au premier partenaire de communication P. P9: Calcul de la clé de session ko du côté du premier partenaire de communication P: 35 Après que le premier partenaire de communication P ait obtenu le deuxième message M2 avec le deuxième nombre aléatoire rT, la clé de session commune peut également être calculée, du côté du premier partenaire de communication P, selon 1(0 = SK kiv, rp,rT), en effectuant, du côté du premier partenaire de communication P, les trois mêmes étapes que les étapes déjà décrites en référence aux Eq. (17) - (19) du deuxième 5 partenaire de communication T: kp = NLM (EXT ( kiv) rp) (28) k' = AES ( key-PAD ( kp) , kIv) (29) ko = AES ( key-PAD (rT) , k' ) . (30) 10 Les deux premières étapes, c'est-à-dire le calcul de kp et k', peuvent également déjà être réalisées avant la réception du deuxième message M2. Il y a lieu de mentionner à nouveau ici que la troisième étape, c'est-à-dire le calcul de ko 15 selon l'Eq. (30) ne doit être effectuée que lorsque le deuxième nombre aléatoire rT est déterminé, par exemple du côté du deuxième partenaire de communication T. Tel que déjà mentionné plus haut, les exemples de réalisation de la présente invention comprennent également les cas où un nombre 20 aléatoire est uniquement combiné du côté du premier partenaire de communication P ou par un tiers digne de confiance et mis à disposition des partenaires de communication P, T. L'étape selon l'Eq. (30) sert donc à augmenter davantage la sécurité du calcul de clé. Selon 25 l'exemple de réalisation décrit ici, le moyen 22 pour obtenir le nombre aléatoire du côté de P est également adapté pour déterminer de manière aléatoire ou pseudo-aléatorie un premier nombre aléatoire rp et pour obtenir un deuxième nombre aléatoire rT du deuxième partenaire de communication 30 T. Le moyen 24 pour calculer la clé de session ko est adapté pour obtenir la clé de session ko sur base d'un deuxième cryptage (Eq. 30) d'une valeur k' dérivée d'un premier cryptage (Eq. 29) avec une valeur dérivée du deuxième nombre aléatoire rT, une valeur kp dérivée d'un couplage non 35 linéaire (Eq. 28) du premier nombre aléatoire rp et de la partie de l'information secrète kTv étant utilisée comme clé pour le premier cryptage, pour crypter l'information secrète ou une valeur dérivée de cette dernière, et pour obtenir, sur base du premier et du deuxième cryptage, la clé de session ko.
Tel qu'il a déjà été décrit plus haut, il est également possible que les étapes selon les Eq. (18) et (19) ou les Eq. (29) et (30) soient remplacées par une seule étape de cryptage, par exemple selon ko := AES (key=PAD2 (kg) XOR PAD (rT) kni) - (31) Au cas où NLM se base sur le polynône irréductible f(X), le calcul de la clé de session ko du côté du premier partenaire de communication P, selon un exemple de réalisation, peut 15 également se faire selon k' p : = NLM (EXT (kiv) ri) r (32) kp : = NLM(k' g, r2) (33) ko AES (key=PAD2 (kg) XOR PAD (rT) , kiv) - (34) 20 P10: Calcul de la réponse du côté du premier partenaire de communication P: Dans une étape P10, le premier partenaire de communication P 25 calcule, selon un exemple de réalisation, une réponse cT au défi RT du deuxième partenaire de communication T, sur base de la clé de session commune kt) qui a été calculée à l'étape P9: 30 cT := AES(key=ko, RT). (35) C'est-à-dire que la clé de session 1(0 est utilisée comme clé pour un cryptage par bloc selon la norme AES, pour crypter le défi RT du deuxième partenaire de communication T et, donc, 35 pour obtenir la réponse cp.
P11: Troisième message (du premier partenaire de communication P au deuxième partenaire de communication T): Dans une étape Pli, le premier partenaire de communication P 5 envoie au deuxième partenaire de communication T la réponse CT calculée à l'étape P10. P12: Vérification de réponse du côté du premier partenaire de communication P: A cet effet est crypté, du côté du premier partenaire de communication P, le défi aléatoire Rp qui a été envoyé au moyen du premier message M1 au deuxième partenaire de communication T, à l'aide de la clé de session ko selon cp' = AES(key=k0, Rp), (36) pour obtenir une valeur de comparaison de réponse cp'. Ensuite, la valeur de comparaison de réponse cp' obtenue du 20 côté du premier partenaire de communication P est comparée avec la réponse cp qui a été obtenue par le deuxième partenaire de communication T à l'aide du deuxième message M2- Si cp' = cp, le deuxième partenaire de communication T peut être authentifié fructueusement du côté du premier 25 partenaire de communication P. Autrement, l'authentification est échouée. En cas d'échec de l'authentification, une nouvelle communication entre les deux partenaires de communication P, T doit être arrêtée. L'échec de l'authentification peut être signalé au deuxième partenaire 30 de communication T. T13: Vérification de réponse du côté du deuxième partenaire de communication T: 35 A cet effet est crypté, du côté du deuxième partenaire de communication T, le défi aléatoire RT qui a été envoyé au 10 15 deuxième partenaire de communication P au moyen du deuxième message M2, à l'aide de la clé de session ko selon cT' = AES (key=ko, RT) r (37) pour obtenir une valeur de comparaison de réponse cT'. Ensuite, du côté du deuxième partenaire de communication T, la valeur de comparaison de réponse cT' est comparée avec la réponse cT qui a été obtenue du deuxième partenaire de communication T par le troisième message M3 (étape P11),. Si cT' = cT, le premier partenaire de communication P peut être authentifié fructueusement du côté du deuxième partenaire de communication T. Autrement, l'authentification échoue. En cas d'échec de l'authentification, une nouvelle communication entre les deux partenaires de communication P, T doit être arrêtée. L'échec de l'authentification peut être signalé au premier partenaire de communication P. Une représentation graphique détaillée des exemples de réalisation qui viennent d'être décrits pour le procédé d'authentification, ensemble avec les blocs de matériel/ logiciel y impliqués du côté des deux partenaires de communication P, T, est donnée aux figures 5a et 5b.
Après une authentification fructueuse 10 et une génération fructueuse de la clé de session 1(0, il peut être passé à l'étape 12 de transfert de données entre les deux partenaires de communication P et T. A cet effet, le premier partenaire de communication P peut rendre accessibles des parties de sa mémoire au deuxième partenaire de communication (éventuellement aussi inversement), de sorte que le deuxième partenaire de communication T puisse lire des blocs de données déterminés pour lesquels il possède des droits d'accès correspondants. De même, T peut écrire des blocs de données déterminés. La lecture ou la programmation de ou dans une mémoire non volatile du premier partenaire de communication P est alors certes provoquée par P lui-même. Le premier partenaire de communication P reçoit toutefois les commandes à cet effet du deuxième partenaire de communication T.
La communication ou le transfert de données entre les deux partenaires de communication P et T peut être organisé en trames de données Fl, F2, F3, .... qui peuvent être transmises tant de P à T qu'inversement. Pour des raisons de sécurité, il est requis pour chaque trame de données Fi une clé secrète ki comme entrée. Après qu'une trame de données Fi ait été traitée, il peut être généré une nouvelle clé ki+1 qui peut être utilisée pour la trame de données Fill à transmettre suivante. Une première clé secrète kl pour la première trame de données F1 à transmettre est dérivée de la clé de session 1(0. Toutes les trames de données contiennent des paquets de données pertinents pour la sécurité D1, D2, D3,... qui sont échangés entre les deux partenaires de communication P et T.
Peu importe la direction dans laquelle les paquets de données sont envoyés. Ils peuvent être indexés selon leur occurrence globale, tel que représenté de manière schématisée et à titre d'exemple à la figure 6.
Selon un exemple de réalisation de la présente invention, chaque paquet de données Dx contient tout au plus 128 bits, d'autres grandeurs de paquet de données étant bien sûr aussi imaginables. Les paquets de données qui sont envoyés du premier partenaire de communication P au deuxième partenaire de communication T peuvent contenir des données lues de la mémoire de P. Les paquets de données dans l'autre direction, c'est-à-dire de T à P, peuvent contenir des données qui doivent être écrites dans la mémoire de P. En outre, les paquets de données échangés peuvent contenir des ordres de lecture/écriture et/ou des adresses de mémoire des données. Une couche de protocole supérieure (Wrapping Protocol Layer) définit, selon les exemples de réalisation, celles parmi les données de contrôle qui peuvent être envoyées en dehors des paquets de données Dx soumis aux mécanismes de protection décrits ici.
Les paquets de données peuvent être disposés en trames de données contenant des paquets de données successifs. Tous les paquets de données d'une trame de données sont envoyés dans la même direction, c'est-à-dire soit de T à P, soit inversement, de P à T, et ont un ordre particulier.
L'organisation à cet effet est assurée par la couche de protocole supérieure. Les paquets de données transmis pendant le transfert de données 12 peuvent être cryptés, en mode de protection de confidentialité, par exemple au moyen d'un algorithme AES. A cet effet, chaque paquet peut avoir, par exemple, exactement une grandeur de 128 bits. D'autre part, pendant le transfert de données 12, le mode de protection d'intégrité peut également être utilisé, en calculant des codes d'authentification de message (MAC). Dans ce cas, la grandeur des paquets de données peut être inférieure ou égale à 128 bits. Chaque trame de données peut, dans ce cas, comporter un paquet de MAC Mi qui ne fait pas partie des paquets de données D1, D2, D3,...
Tel qu'indiqué de manière schématisée à la figure 6, une première étape 61 de la phase de transfert de données est la dérivation de la première clé secrète k1 pour la première trame de données F1 à transmettre sur base de la clé de 30 session ko. L'étape 61 est identique tant pour le mode de protection d'intégrité que pour le mode de protection de confidentialité. Les paramètres d'entrée pour l'étape 61 peuvent, tel que représenté à la figure 7, être la clé de session 1(0, ainsi que les deux défis aléatoires Rp et RT qui 35 ont été générés pendant la phase d'authentification 10 tant par le premier partenaire de communication P que par le deuxième partenaire de communication T. Selon un exemple de réalisation, la première clé kl peut être calculée selon kl := AES(key = Rp; ko XOR RT), (38) tel que représenté graphiquement à la figure 7a. C'est-à-dire que la valeur de défi Rp peut être utilisée comme clé pour un cryptage AES, pour crypter un couplage XOR de la valeur de défi RT et de la clé de session 1(0 et pour obtenir, sur base rend du cryptage AES, la première clé dérivée kl. Selon un autre exemple de réalisation, la prfemière clé kl peut également être calculée selon kl := AES(key = Rp; 1(0 XOR RT) XOR (k0 XOR RT), ( 39 ) tel que le montre graphiquement la figure 7b. En mode de protection d'intégrité, chaque trame de données Fi 20 peut être pourvue d'une partie de contrôle (MAC) Mi pour l'authentification de la trame de données, la partie de contrôle Mi étant générée au moyen d'une clé ki correspondante. Pour la partie de contrôle Mi, il peut s'agit par exemple d'un CBC-MAC (Cipher Block Chaining Message 25 Authentication Code), d'un HMAC (keyed-Hash Message Authentication Code), d'un OMAC (One-key MAC), d'un UMAC (message authentication code based on universal hashing), d'un PMAC (Parallelizable MAC) ou d'un CMAC (Cipher-based MAC). 30 L'ordre des paquets de données Dx,D.+1, . ..,Dy d'une trame de données Fi est décidée par la partie de contrôle Mi, tel que cela est illustré de manière schématisée à la figure 8. L'émetteur de la trame Fi utilise ki et les paquets de 35 données D Dx+i, 'Dy, pour déterminer la partie de contrôle Mi et envoie (D',...,Dy,Mi) dans la trame Fi. C'est-à-dire que le moyen 28 pour utiliser la clé de session 1(0 est, selon les exemples de réalisation, adapté pour calculer, pour la communication avec le deuxième partenaire de communication, une partie de contrôle Mi pour l'authentification d'un message Fi sur base du message et de la clé de session 1(0 ou d'une clé ki dérivée de cette dernière. De la même manière, le récepteur de la trame de données Mi avec le contenu (Dx,...,Dy,Mi) peut être réalisé pour utiliser ki et les paquets de données Dx,Dx+1,...,Dy reçus, pour calculer une partie de contrôle qui en résulte. Le récepteur compare la partie de contrôle résultante avec la valeur Mi reçue. Si les deux valeurs sont identiques, le transfert de données entre les deux partenaires de communication peut être continué, autrement le transfert de données doit être arrêté.
Le récepteur peut informer l'émetter par une erreur de MAC. Les deux partenaires de communication P et T calculent également la clé ki+1 pour une trame de données Fi+1 à transmettre suivante (voir la figure 6, étapes 62, 63, 64).
Selon un exemple de réalisation de la présente invention, la partie de contrôle Mi et la clé suivante ki+1 peuvent être calculées comme suit: (40) hx := AES(key - hx; Dx) XOR Dx, hx+1 := AES(key - hx+i; Dx+1) XOR Dx+1 h+2; D+2) XOR Dx+2 hx+2 := AES(key = hy; Dy) XOR Dy, ki; ki+1) XOR ki+1, hx+3 := AES(key = := hy+1 hy+1 ki+1 M', := AES(key = := EXT(M'i) Si la grandeur d'un paquet de données Dx est de moins de 128 bits, le paquet de données Dx correspondant peut être rempli de zéros, pour obtenir une grandeur de 128 bits. Le paquet de données Dx rempli peut alors être utilisé comme entrée pour le cryptage AES par bloc et/ou les couplages XOR. La génération de la valeur de contrôle Mi et de la clé 5 suivante ki+1 est à nouveau illustrée graphiquement à la figure 9. Il ressort clairement de la figure 9 que la clé suivante ki+1 est déterminée à partir de la clé précédente ki et des 10 différents paquets de données D',Dx+1,...,Dy de la trame de données Fi. Un premier paquet de données Dx est crypté par bloc avec la clé précédente ki, le résultat de ce cryptage par bloc est à nouveau couplé XOR au premier paquet de données Dx, le résultat de couplage étant, à son tour, 15 utilisé comme clé pour crypter par bloc le deuxième paquet de données Dx+1, pour coupler, à son tour, le résultat de ce cryptage par bloc au deuxième paquet de données Dx+1 et pour utiliser, à son tour, le résultat de ce couplage comme clé pour le paquet de données suivant Dx+2, etc. 20 La partie de contrôle Mi est formée en utilisant la clé précédente ki comme clé, pour crypter la clé suivante ki+1 selon un cryptage par bloc AES. Le résultat de ce cryptage peut être couplé XOR avec ki+1, pour obtenir la valeur de 25 contrôle MAC Mi. C'est-à-dire que, selon un exemple de réalisation de la présente invention, le moyen 28 pour utiliser la clé de session est adaptée pour calculer une partie de contrôle Mi d'un message à transmettre actuel Fi, sur base d'une clé ki dérivée de la clé de session 1(0 et 30 d'une clé suivante ki+1 pour un message à transmettre suivant Fi+1, la clé suivante ki+1 étant fonction de la clé actuelle dérivée ki et du message à transmettre actuel Fi. La figure 10 illustre un déroulemet d'ensemble du mode de 35 protection d'intégrité pour deux trames de données à transmettre, en commençant par la génération de la première clé kl sur base de la clé de session ko.
En mode de protection de confidentialité, chaque trame de données Fi est sécurisée en cryptant les blocs de données D., pour obtenir des blocs cryptés Ci, la clé ki étant chaque fois utilisée à cet effet. Cette procédure est illustrée de manière schématisée à la figure 11. L'émetteur de la trame de données Fi utilise ki et les paquets de données D, D+1, . ..,Dy, crypte chaque paquet de 10 données Di, pour obtenir un paquet crypté Ci et envoie Cy) dans la trame de données F. Le récepteur de la trame de données Fi avec (C.,...., Cy) utilise également la clé ki et les C.,...,Cy cryptés, pour récupérer les paquets D.+1, . . ,D, non cryptés. Les deux partenaires de 15 communication calculent la clé suivante ki+1 pour la trame de données suivante Fi+1. Pour le traitement de messages plus longs, il existe différentes procédures. Les données peuvent tout d'abord être subdivisées en paquets de données D. dont la grandeur est prédéterminée par l'algorithme de cryptage 20 (par exemple 128 bits). Les modes de fonctionnement Electronic Code Book Mode (ECB) et Cipher Block Chaining Mode (CBC) présupposent des paquets de données entiers. Aussi, le dernier paquet de données Dy peut être rempli de données de remplissage (padding). Les paquets de données peuvent ensuite 25 être cryptés successivement. Dans un procédé CEC souvent utilisé, le résultat du cryptage d'un paquet de données, Chiffre (en anglais Cipher) du paquet de données crypté auparavant est couplé ou enchaîné avec le paquet de données suivant. Les calculs de l'émetteur, pour obtenir Ci et ki+1, 30 sont, selon un exemple de réalisation, comme suit: 35 := ki, hi; q) XOR q, h.; D.) , := AES(key = := AES(key = := AES(key = := AES(key = h.; q) XOR q, h.+1; Dx+i) hy := AES(key = hy_1; q) XOR q, Cy := AES(key = hy; Dy), ki+1 := hy (41) La valeur q signifie par exemple une valeur de 128 bits qui peut être définie à volonté, mais reste ensuite toutefois fixe. Selon les exemples de réalisation, la grandeur d'un paquet de données Dx peut toujours être de 128 bits. Un 10 remplissage avec des zéros, pour obtenir cette grandeur, peut être réalisé par une couche de protocole supérieure. La structure de la génération de clé en mode de protection de confidentialité, qui est représentée graphiquement à la figure 12, est, selon les exemples de réalisation, identique 15 à la génération de clé en mode de protection d'intégrité ou MAC. Une comparaison des figures 9 et 12 montre que, par rapport au mode MAC, D'i en mode de protection de confidentialité est uniquement remplacé par la constante q. Cette procédure offre l'avantage qu'il peut ainsi être évité 20 une réduction de ressources de matériel, par exemple sous forme de trajets de contrôle et de données additionnels. Tout comme la figure 10 pour le mode MAC, la figure 13 illustre, pour le mode de protection de confidentialité, un 25 flux de données total pour deux trames de données à transmettre, où il est commencé par la génération de la première clé kl, sur base de la clé de session ko. La figure 14 illustre, de manière analogue à la figure 12, un 30 schéma du décryptage des paquets cryptés Cx,...,Cy de la trame de données Fi du côté d'un récepteur de la trame de données. Le calcul des clés ki et ki+1, ainsi que de toutes les clés intermédiaires h,1, hx, hx+1, ... entre ces dernières s'effectue de manière identique à celui du côté de l'émtteur, 35 c'est-à-dire selon les Eq. (41). Pour décrypter les paquets cryptés Cx, les clés intermédiaires hx déterminées sont utilisées comme clé pour un décryptage par bloc AES-1 inverse au cryptage par bloc AES: := hx := AES ( key = hi; q) XOR q, Dx := AES-1( key = hx; Cx) , hx+1 := AES ( key = hx; q) XOR q, Dx+i := AES-1( key = h+1; C.+1) hy := AES ( key = hy_1; q) XOR q, Dy := AES-1( key = hy; C'), ki+1 := hy (42) Etant donné que les deux partenaires de communication P et T agissent, en général, tant comme émetteur que comme récepteur, le moyen 28 pour utiliser la clé de session est donc, selon les exemples de réalisation, adapté pour crypter ou décrypter une clé actuelle ki+1 pour un bloc de données actuel à crypter ou décrypter Dili/Cili, sur base d'une clé précédente ki pour un bloc de données à crypter ou décrypter précédent Di/Ci et d'une valeur q prédéterminée. En résumé, les exemples de réalisation de la présente invention visent donc premièrement une authentification réciproque sécurisée de deux partenaires de communication P et T. Selon les exemples de réalisation, un premier partenaire de communication peut être une soi-disant carte de proximité P et le deuxième partenaire de communication un appareil de lecture T correspondant. Deuxièmement, les exemples de réalisation de la présente invention visent à garantir une protection d'intégrité de messages échangés entre les deux partenaires de communication. Troisièmement, selon les exemples de réalisation, il doit également être permis une protection de la confidentialité des messages échangés. Selon les exemples de réalisation, ces deux derniers objectifs s'excluent mutuellement, c'est-à-dire que les partenaires de communication peuvent, après une authentification réciproque sécurisée 10, accorder soit un mode de transfert de données 12 avec protection d'intégrité ou un mode de transfert de données avec protection de confidentialité. Comme condition de base requise, les deux partenaires de communication T et P partagent une information secrète commune kIv, selon les réglages d'une cryptographie de clé privée. Selon les exemples de réalisation, il peut être utilisé, pour le cryptage par bloc, l'AES avec une 10 longueur de clé de 128 bits. D'autres algorithmes de cryptage par bloc ainsi que d'autres longueur de clé sont bien sûr également imaginables. Les exemples de réalisation de la présente invention peuvent, 15 de manière inhérente, augmenter la sécurité contre les attaques par canal latéral. De ce fait est possible une réduction de mesures spécifiques au matériel dans un module de cryptage à la base, en particulier un module de matériel AES. Cela peut conduire par exemple à des cartes de proximité 20 de grandeur nettement réduite. En fonction des circonstances, les procédés selon l'invention peuvent être mis en oeuvre tant en matériel qu'en logiciel. La mise en oeuvre peut avoir lieu sur un support de mémoire 25 numérique, par exemple un DVD, un CD ou une disquette avec des signaux de commande lisibles électroniquement pouvant coopérer avec un système d'ordinateur programmable de sorte que soit réalisé le procédé correspondant. De manière générale, l'invention consiste donc également en un programme 30 d'ordinateur avec un code de programme mémorisé sur un support et lisible en machine pour la réalisation du programme selon l'invention respectif lorsque le programme d'ordinateur est exécuté sur un ordinateur. En d'autres termes, l'invention peut également être réalisée sous forme 35 de programme d'ordinateur pour la réalisation d'un programme pour la génération d'une clé de session lorsque le programme d'ordinateur est exécuté sur un ordinateur.
Claims (24)
- REVENDICATIONS1. Dispositif (20) de génération d'une clé de session (k0), qui est connue d'un premier partenaire de communication (P; T) et d'un deuxième partenaire de communication (T; P), pour le premier partenaire de communication (P; T), à partir d'une information secrète (kIv) qui peut être déterminée par les premier et deuxième partenaires de communication, aux caractéristiques suivantes: un moyen (22) pour obtenir un nombre aléatoire (rp; rT); un moyen (24) pour calculer la clé de session (k0) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rp; 15 rT) et d'une partie de l'information secrète (kiv); et un moyen (28) pour utiliser la clé de session (k0) pour une communication avec le deuxième partenaire de communication. 20
- 2. Dispositif selon la revendication 1, caractérisé en ce que le moyen (22) pour obtenir le nombre aléatoire (rp; rT) est adapté pour déterminer de manière aléatoire ou pseudoaléatoire au moins une première partie du nombre aléatoire. 25
- 3. Dispositif selon la revendication 2, caractérisé en ce que le moyen (22) pour obtenir le nombre aléatoire est adapté pour obtenir une deuxième partie du nombre aléatoire (rp; rT) du deuxième partenaire de communication. 30
- 4. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (24) pour calculer la clé de session (k0) est adapté pour calculer la clé de session (ko) à l'aide d'un couplage non linéaire (NLM) de l'au moins une partie du nombre aléatoire (rp; rT) et de la partie de 35 l'information secrète (kIv) .
- 5. Dispositif selon la revendication 4, caractérisé en ce que le moyen (24) pour calculer la clé de session (k0) est adapté pour utiliser une valeur (kp) dérivée du couplage non linéaire (NLM) comme clé pour un cryptage (AES), pour crypter l'information secrète (k1v) ou une valeur dérivée de cette dernière et pour obtenir, sur la base du cryptage (AES), la clé de session (k0).
- 6. Dispositif selon la revendication 4, caractérisé en ce que le moyen (24) pour calculer la clé de session (k0) est adapté pour utiliser l'information secrète (kIv) ou une valeur dérivée de cette dernière comme clé pour un cryptage (AES), pour crypter une valeur (k0) dérivée du couplage non linéaire (NLM) et pour obtenir, sur la base du cryptage (AES), la clé de session (k0).
- 7. Dispositif selon la revendication 5 ou 6, caractérisé en ce que le cryptage est un cryptage par bloc.
- 8. Dispositif selon la revendication 7, caractérisé en ce que le cryptage par bloc se base sur la norme 'Advanced Encryption Standard' (AES).
- 9. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (22) pour obtenir le nombre aléatoire est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire (rp) et pour obtenir un deuxième nombre aléatoire (rT) du deuxième partenaire de communication, et dans lequel le moyen (24) pour calculer la clé de session (k0) est adapté pour obtenir la clé de session (1(0) sur la base d'un deuxième cryptage (AES) d'une valeur (k') dérivée d'un premier cryptage (AES) avec une valeur dérivée du deuxième nombre aléatoire (rT), une valeur (k0) dérivée d'un couplage non linéaire (NLM) du premier nombre aléatoire (rp) et de la partie de l'information secrète (k1v) étant utilisée comme clé pour le premier cryptage (AES), pour crypter l'information secrète(kIv) ou une valeur dérivée de cette dernière et pour obtenir, sur la base du premier et du deuxième cryptage (AES), la clé de session (ko).
- 10. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (22) pour obtenir le nombre aléatoire est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire (rp) et pour obtenir un deuxième nombre aléatoire (rT) du deuxième partenaire de communication, et dans lequel le moyen (24) pour calculer la clé de session (1(0) est adapté pour calculer la clé de session (k0) sur la base d'un cryptage (AES) d'une valeur dérivée de l'information secrète (kIv) avec une clé dérivée des premier (rp) et deuxième nombres aléatoires (rT).
- 11. Dispositif selon l'une des revendications précédentes, caractérisé en ce que l'information secrète (kIv) peut être déterminée au moyen d'une fonction de dérivation de clé (KD) sur la base d'une identification (IV) spécifique à l'appareil et d'une clé générale (km).
- 12. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (28) pour utiliser la clé de session (k0) est adapté pour calculer, pour la communication avec le deuxième partenaire de communication, une partie de contrôle (MAC) pour l'authentification d'un message sur la base du message et de la clé de session (k0) ou d'une clé dérivée de cette dernière.
- 13. Dispositif selon la revendication 12, caractérisé en ce que le moyen (28) pour utiliser la clé de session (k0) est adapté pour calculer une partie de contrôle (Mi) d'un message à transmettre actuel sur la base d'une clé actuelle (ki) dérivée de la clé de session (k0) et d'une clé suivante (ki+1) 35 pour un message à transmettre suivant, la clé suivante (kill) dépendant de la clé actuelle (ki) dérivée et du message à transmettre actuel.
- 14. Dispositif selon la revendication 12 ou 13, caractérisé en ce que le moyen (28) pour utiliser la clé de session (1(0) est adapté pour utiliser, pour le calcul de la partie de contrôle (Mi), un cryptage par bloc (AES) selon la norme 'Advanced Encryption Standard'.
- 15. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (28) pour utiliser la clé de session (1(0) est adapté pour crypter/décrypter, pour la communication avec le deuxième partenaire de communication, des blocs de données (Di) d'un message sur la base de la clé de session (k0) ou d'une clé dérivée de cette dernière.
- 16. Dispositif selon la revendication 15, caractérisé en ce que le moyen (28) pour utiliser la clé de session (k0) est adapté pour crypter/décrypter une clé actuelle (ki+i) pour un bloc de données à crypter/décrypter actuel (Di+1) sur la base d'une clé précédente (ki) pour un bloc de données à crypter/décrypter précédent (Di) et d'une valeur prédéterminée (q).
- 17. Dispositif selon la revendication 15 ou 16, caractérisé en ce que le moyen (28) pour utiliser la clé de session (k0) est adapté pour utiliser, pour le calcul de la clé actuelle (ki+1), un cryptage par bloc (AES) selon la norme 'Advanced Encryption Standard'.
- 18. Procédé de génération d'une clé de session (k0), qui est 30 connue d'un premier partenaire de communication et d'un deuxième partenaire de communication, pour le premier partenaire de communication, à partir d'une information secrète (kIv) pouvant être déterminée par les premier et deuxième partenaires de communication, comportant les étapes 35 suivantes : obtenir (32) un nombre aléatoire (rp; rT);calculer (34) la clé de session (1(0) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rp; rT) et d'une partie de l'information secrète (kiv); et utiliser (36) la clé de session (k0) pour une communication avec le deuxième partenaire de communication.
- 19. Procédé selon la revendication 18, dans lequel la clé de 10 session (1(0) est générée tant par le premier que par le deuxième partenaire de communication sur la base du nombre aléatoire (rp; rT) et de l'information secrète (kTv) -
- 20. Procédé selon la revendication 18 ou 19, dans lequel un 15 premier nombre aléatoire (kp) est, lors de l'obtention du nombre aléatoire, déterminé sur la base d'un couplage non linéaire (NLM) d'un nombre aléatoire (rp) déterminé de manière aléatoire ou pseudo-aléatoire ou d'une valeur dérivée de ce dernier et d'une partie de l'information secrète (k1v) 20 et un deuxième nombre aléatoire (rT) est obtenu du deuxième partenaire de communication, et dans lequel le calcul de la clé de session (k0) se base sur un cryptage par bloc (AES) d'une valeur dérivée de l'information secrète (kIv) avec une clé dérivée du premier (kg) et du deuxième nombre aléatoire 25 (rT)-
- 21. Procédé selon l'une des revendications 18 à 20, dans lequel un premier nombre aléatoire (rp) est, lors de l'obtention du nombre aléatoire, déterminé de manière 30 aléatoire ou pseudo-aléatoire par le premier partenaire de communication et un deuxième nombre aléatoire (rT) est obtenu du deuxième partenaire de communication, et dans lequel le calcul de la clé de session (k0) se base sur un cryptage par bloc (AES) du deuxième nombre aléatoire (rT) avec un cryptage 35 par bloc (AES) de l'information secrète (kTv) avec un couplage non linéaire (NLM) du premier nombre aléatoire (rp) et de la partie de l'information secrète (kTv) -
- 22. Procédé selon l'une des revendications 18 à 21, dans lequel la clé de session (k0) est utilisée, dans un procédé d'authentification, comme secret commun pour une authentification entre les premier et deuxième partenaires de communication.
- 23. Procédé selon l'une des revendications 18 à 22, dans lequel le procédé d'authentification est un procédé de 'challenge response' pour une authentification unilatérale ou réciproque au moyen de la clé de session (k0).
- 24. Programme d'ordinateur pour réaliser le procédé selon l'une des revendications 18 à 23 lorsque le programme 15 d'ordinateur est exécuté sur un ordinateur ou un micro-contrôleur.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1400622A FR3002400B1 (fr) | 2009-06-10 | 2014-03-17 | Generation d'une cle de session pour l'authentification et la transmission de donnees securisees |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102009024604A DE102009024604B4 (de) | 2009-06-10 | 2009-06-10 | Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung |
| US21993009P | 2009-06-24 | 2009-06-24 | |
| FR1002434A FR2947126B1 (fr) | 2009-06-10 | 2010-06-09 | Generation d'une cle de session pour l'authentification et la transmission de donnees securisee |
| FR1400622A FR3002400B1 (fr) | 2009-06-10 | 2014-03-17 | Generation d'une cle de session pour l'authentification et la transmission de donnees securisees |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR3002400A1 true FR3002400A1 (fr) | 2014-08-22 |
| FR3002400B1 FR3002400B1 (fr) | 2017-09-08 |
Family
ID=43303738
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1002434A Active FR2947126B1 (fr) | 2009-06-10 | 2010-06-09 | Generation d'une cle de session pour l'authentification et la transmission de donnees securisee |
| FR1400622A Active FR3002400B1 (fr) | 2009-06-10 | 2014-03-17 | Generation d'une cle de session pour l'authentification et la transmission de donnees securisees |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1002434A Active FR2947126B1 (fr) | 2009-06-10 | 2010-06-09 | Generation d'une cle de session pour l'authentification et la transmission de donnees securisee |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8861722B2 (fr) |
| JP (2) | JP2011010291A (fr) |
| DE (2) | DE102009024604B4 (fr) |
| FR (2) | FR2947126B1 (fr) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012174427A2 (fr) | 2011-06-16 | 2012-12-20 | OneID Inc. | Procédé et système de détermination de niveaux d'authentification dans des transactions |
| US8843737B2 (en) * | 2011-07-24 | 2014-09-23 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced approach for transmission control protocol authentication option (TCP-AO) with key management protocols (KMPS) |
| JP5700128B2 (ja) * | 2011-07-27 | 2015-04-15 | 富士通株式会社 | 暗号化処理装置および認証方法 |
| WO2013109932A1 (fr) | 2012-01-18 | 2013-07-25 | OneID Inc. | Procédés et systèmes de gestion d'identité sécurisée |
| DE102012201164B4 (de) * | 2012-01-26 | 2017-12-07 | Infineon Technologies Ag | Vorrichtung und verfahren zur erzeugung eines nachrichtenauthentifizierungscodes |
| US9740884B2 (en) * | 2012-04-10 | 2017-08-22 | Good Technology Holdings Limited | Method and device for generating a code |
| JP5954030B2 (ja) * | 2012-08-02 | 2016-07-20 | 富士通株式会社 | 暗号処理装置および方法 |
| CN105340307A (zh) * | 2013-06-28 | 2016-02-17 | 日本电气株式会社 | 用于prose组通信的安全 |
| CN104754576B (zh) * | 2013-12-31 | 2018-07-31 | 华为技术有限公司 | 设备验证方法、用户设备及网络设备 |
| EP2890074A1 (fr) * | 2013-12-31 | 2015-07-01 | Gemalto SA | Procédé pour transmettre des messages poussoirs |
| EP2903204A1 (fr) * | 2014-02-03 | 2015-08-05 | Tata Consultancy Services Limited | Système informatisé et procédé d'authentification léger de transport de datagramme pour internet des objets |
| EP2996277B1 (fr) * | 2014-09-10 | 2018-11-14 | Nxp B.V. | Fixation d'un dispositif cryptographique contre l'implémentation des attaques |
| EP3089398B1 (fr) * | 2015-04-30 | 2017-10-11 | Nxp B.V. | Sécurisation d'un dispositif cryptographique |
| US9876641B2 (en) | 2015-10-08 | 2018-01-23 | The Boeing Company | Data dependent authentication keys for differential power analysis resistant authentication |
| CN105553647A (zh) * | 2016-02-26 | 2016-05-04 | 南京航空航天大学 | 基于非线性循环移位寄存器的轻量级流密码技术lsnr2 |
| WO2017193093A1 (fr) | 2016-05-05 | 2017-11-09 | Neustar, Inc. | Systèmes et procédés pour permettre des communications de confiance entre des entités |
| US10958725B2 (en) | 2016-05-05 | 2021-03-23 | Neustar, Inc. | Systems and methods for distributing partial data to subnetworks |
| US11277439B2 (en) | 2016-05-05 | 2022-03-15 | Neustar, Inc. | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
| US11025428B2 (en) | 2016-05-05 | 2021-06-01 | Neustar, Inc. | Systems and methods for enabling trusted communications between controllers |
| US11108562B2 (en) | 2016-05-05 | 2021-08-31 | Neustar, Inc. | Systems and methods for verifying a route taken by a communication |
| SG10201606164TA (en) * | 2016-07-26 | 2018-02-27 | Huawei Int Pte Ltd | System and method for obtaining a common session key between devices |
| KR102594656B1 (ko) | 2016-11-25 | 2023-10-26 | 삼성전자주식회사 | 보안 프로세서, 이를 포함하는 어플리케이션 프로세서 및 보안 프로세서의 동작 방법 |
| EP3909196B1 (fr) | 2019-01-08 | 2023-12-20 | Defender Cyber Technologies Ltd. | Concentrateur de chiffrement à masque jetable |
| US11057186B1 (en) * | 2019-05-17 | 2021-07-06 | Juniper Networks, Inc. | Generating cryptographic random data from raw random data |
| SG10201906806XA (en) * | 2019-07-23 | 2021-02-25 | Mastercard International Inc | Methods and computing devices for auto-submission of user authentication credential |
| CN114902606A (zh) * | 2020-01-08 | 2022-08-12 | 索尼集团公司 | 信息处理装置、信息处理方法、程序和信息处理系统 |
| US11477189B2 (en) * | 2020-07-10 | 2022-10-18 | Salesforce.Com, Inc. | Primary domain and secondary domain authentication |
| US11895251B2 (en) * | 2020-09-18 | 2024-02-06 | Assa Abloy Ab | Mutual authentication with pseudo random numbers |
Family Cites Families (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4404426A (en) * | 1962-05-23 | 1983-09-13 | American Standard Inc. | Cryptographic telegraphy programming system |
| US3496291A (en) * | 1966-06-17 | 1970-02-17 | Int Standard Electric Corp | Enciphering teleprinter text for telex channels |
| US3657699A (en) * | 1970-06-30 | 1972-04-18 | Ibm | Multipath encoder-decoder arrangement |
| SE7714587L (sv) * | 1977-12-21 | 1979-06-22 | Brendstrom Hugo | System for meddelanden |
| US4325129A (en) * | 1980-05-01 | 1982-04-13 | Motorola Inc. | Non-linear logic module for increasing complexity of bit sequences |
| JP2831650B2 (ja) * | 1988-05-06 | 1998-12-02 | 日本放送協会 | 信号スクランブル伝送方式および装置 |
| JPH08505275A (ja) * | 1992-12-30 | 1996-06-04 | テルストラ・コーポレイション・リミテッド | 暗号ストリームを発生させるための装置及び方法 |
| JP2942913B2 (ja) | 1993-06-10 | 1999-08-30 | ケイディディ株式会社 | 相手認証/暗号鍵配送方式 |
| JPH0736672A (ja) * | 1993-07-20 | 1995-02-07 | Canon Inc | 乱数発生器、及びそれを用いた通信システム及びその方法 |
| CA2128115C (fr) * | 1993-07-20 | 1999-08-10 | Keiichi Iwamura | Appareil et methode de chiffrement et systeme de communication utilisant cet appareil |
| JPH08335040A (ja) | 1995-06-02 | 1996-12-17 | Fujitsu Ltd | 暗号化処理方式 |
| US5943248A (en) * | 1997-01-17 | 1999-08-24 | Picturetel Corporation | w-bit non-linear combiner for pseudo-random number generation |
| US5983252A (en) * | 1997-01-17 | 1999-11-09 | Picturetel Corporation | Pseudo-random number generator capable of efficiently exploiting processors having instruction-level parallelism and the use thereof for encryption |
| US6577733B1 (en) * | 1999-12-03 | 2003-06-10 | Smart Card Integrators, Inc. | Method and system for secure cashless gaming |
| TW545023B (en) * | 1999-12-10 | 2003-08-01 | Koninkl Philips Electronics Nv | Synchronization of session keys |
| TW508494B (en) * | 2001-03-28 | 2002-11-01 | Shansun Technology Company | Data protection device capable of self-defining address arrangement sequence in protection area of storage device |
| US7975139B2 (en) * | 2001-05-01 | 2011-07-05 | Vasco Data Security, Inc. | Use and generation of a session key in a secure socket layer connection |
| DE10137152A1 (de) | 2001-07-30 | 2003-02-27 | Scm Microsystems Gmbh | Verfahren zur Übertragung vertraulicher Daten |
| US20020076044A1 (en) * | 2001-11-16 | 2002-06-20 | Paul Pires | Method of and system for encrypting messages, generating encryption keys and producing secure session keys |
| CA2474915A1 (fr) * | 2002-03-18 | 2003-09-25 | Colin Martin Schmidt | Procedes de distribution de cles de session utilisant une hierarchie de serveurs de cles |
| US7080404B2 (en) * | 2002-04-01 | 2006-07-18 | Microsoft Corporation | Automatic re-authentication |
| US7464265B2 (en) * | 2002-05-03 | 2008-12-09 | Microsoft Corporation | Methods for iteratively deriving security keys for communications sessions |
| US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
| SG105005A1 (en) * | 2002-06-12 | 2004-07-30 | Contraves Ag | Device for firearms and firearm |
| US7400732B2 (en) * | 2002-07-25 | 2008-07-15 | Xerox Corporation | Systems and methods for non-interactive session key distribution with revocation |
| AU2003258184A1 (en) * | 2002-08-14 | 2004-03-03 | Thomson Licensing S.A. | Session key management for public wireless lan supporitng multiple virtual operators |
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| JP4107063B2 (ja) * | 2002-11-26 | 2008-06-25 | 日本ビクター株式会社 | 暗号情報の送受信システム、送受信方法、暗号情報埋め込み用プログラム及び暗号情報記録装置 |
| US7706540B2 (en) * | 2002-12-16 | 2010-04-27 | Entriq, Inc. | Content distribution using set of session keys |
| US7299356B2 (en) * | 2003-09-02 | 2007-11-20 | Authernative, Inc. | Key conversion method for communication session encryption and authentication system |
| US7581100B2 (en) * | 2003-09-02 | 2009-08-25 | Authernative, Inc. | Key generation method for communication session encryption and authentication system |
| KR100571820B1 (ko) * | 2003-10-20 | 2006-04-17 | 삼성전자주식회사 | 신원 정보를 기반으로 하는 암호 시스템에서의 컨퍼런스세션 키 분배 방법 |
| US7526649B2 (en) * | 2003-12-30 | 2009-04-28 | Intel Corporation | Session key exchange |
| JP4763972B2 (ja) * | 2004-03-31 | 2011-08-31 | 富士通エフ・アイ・ピー株式会社 | 暗号化情報伝送方法、コンピュータプログラム及び通信システム |
| US7376972B2 (en) * | 2004-04-14 | 2008-05-20 | Microsoft Corporation | Session key exchange key |
| US7356846B2 (en) * | 2004-04-14 | 2008-04-08 | Microsoft Corporation | Unilateral session key shifting |
| JP4570626B2 (ja) * | 2004-05-03 | 2010-10-27 | リサーチ イン モーション リミテッド | 再生可能なセッションキーを生成するためのシステムおよび方法 |
| DE102004032057A1 (de) * | 2004-07-01 | 2006-01-26 | Francotyp-Postalia Ag & Co. Kg | Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels |
| US20060075259A1 (en) * | 2004-10-05 | 2006-04-06 | Bajikar Sundeep M | Method and system to generate a session key for a trusted channel within a computer system |
| US9436804B2 (en) * | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
| US20060240802A1 (en) * | 2005-04-26 | 2006-10-26 | Motorola, Inc. | Method and apparatus for generating session keys |
| US7577258B2 (en) * | 2005-06-30 | 2009-08-18 | Intel Corporation | Apparatus and method for group session key and establishment using a certified migration key |
| US8027304B2 (en) * | 2005-07-06 | 2011-09-27 | Nokia Corporation | Secure session keys context |
| JP2007053612A (ja) * | 2005-08-18 | 2007-03-01 | Toshiba Corp | 通信機器及び通信方法 |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| US8001584B2 (en) * | 2005-09-30 | 2011-08-16 | Intel Corporation | Method for secure device discovery and introduction |
| US20070140488A1 (en) * | 2005-12-21 | 2007-06-21 | Roundbox, Inc. | Restriction of broadcast session key use by secure module decryption policy |
| US20070189512A1 (en) * | 2006-01-20 | 2007-08-16 | Chiou-Haun Lee | Method and apparatus for processing stream encryption/decryption |
| EP1873960B1 (fr) * | 2006-06-29 | 2013-06-05 | Incard SA | Procédé de dérivation d'une clé de séance sur une carte à circuit imprimé |
| US7831051B2 (en) * | 2007-03-13 | 2010-11-09 | Aladdin Europe Gmbh | Secure communication between a hardware device and a computer |
| JP2008252299A (ja) * | 2007-03-29 | 2008-10-16 | Hitachi Ltd | 暗号処理システム及び暗号処理方法 |
| JP5207654B2 (ja) * | 2007-04-16 | 2013-06-12 | 塩谷 安男 | 通信装置、通信装置間のペアリング方法、ウェアラブルキーとicカードとをペアリングする方法、及びウェアラブルキーとicカードからなるシステム |
| KR101391151B1 (ko) * | 2007-06-01 | 2014-05-02 | 삼성전자주식회사 | 세션 키를 이용한 인증 방법 및 이를 위한 장치 |
| US7992200B2 (en) * | 2007-07-16 | 2011-08-02 | International Business Machines Corporation | Secure sharing of transport layer security session keys with trusted enforcement points |
| US8533474B2 (en) * | 2008-02-27 | 2013-09-10 | Red Hat, Inc. | Generating session keys |
-
2009
- 2009-06-10 DE DE102009024604A patent/DE102009024604B4/de active Active
- 2009-06-10 DE DE102009061045A patent/DE102009061045B4/de active Active
-
2010
- 2010-06-09 FR FR1002434A patent/FR2947126B1/fr active Active
- 2010-06-09 JP JP2010131994A patent/JP2011010291A/ja active Pending
- 2010-06-10 US US12/797,704 patent/US8861722B2/en active Active
-
2013
- 2013-09-04 JP JP2013183034A patent/JP5784084B2/ja active Active
- 2013-11-07 US US14/074,279 patent/US9509508B2/en active Active
-
2014
- 2014-03-17 FR FR1400622A patent/FR3002400B1/fr active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9509508B2 (en) | 2016-11-29 |
| FR2947126A1 (fr) | 2010-12-24 |
| JP2014017841A (ja) | 2014-01-30 |
| FR3002400B1 (fr) | 2017-09-08 |
| DE102009061045A1 (de) | 2011-02-03 |
| US20140169557A1 (en) | 2014-06-19 |
| JP5784084B2 (ja) | 2015-09-24 |
| FR2947126B1 (fr) | 2018-01-19 |
| US8861722B2 (en) | 2014-10-14 |
| DE102009061045B4 (de) | 2012-05-03 |
| DE102009024604A1 (de) | 2011-01-05 |
| US20100316217A1 (en) | 2010-12-16 |
| DE102009024604B4 (de) | 2011-05-05 |
| JP2011010291A (ja) | 2011-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR3002400A1 (fr) | Generation d'une cle de session pour l'authentification et la transmission de donnees securisees | |
| EP3506556B1 (fr) | Méthode d'échange de clés authentifié par chaine de blocs | |
| EP2892176A2 (fr) | Procédé de conversion d'un contenu a accès conditionnel et récepteur pour la mise en oeuvre de ce procédé | |
| EP3205048B1 (fr) | Génération d'une clé de cryptage symétrique | |
| US20190268145A1 (en) | Systems and Methods for Authenticating Communications Using a Single Message Exchange and Symmetric Key | |
| CN103036872B (zh) | 数据传输的加密和解密方法、设备及系统 | |
| EP2772004A1 (fr) | Distribution sécurisée de contenu | |
| FR2952778A1 (fr) | Procede de transmission de donnees securise et systeme de chiffrement et de dechiffrement permettant une telle transmission | |
| EP1529369A1 (fr) | Proc d d' change s curis d'informations entre deux dispositifs | |
| CN112804205A (zh) | 数据加密方法及装置、数据解密方法及装置 | |
| CN108632296B (zh) | 一种网络通信的动态加密与解密方法 | |
| EP2795833B1 (fr) | Procede d'authentification entre un lecteur et une etiquette radio | |
| WO2023231817A1 (fr) | Procédé et appareil de traitement de données, et dispositif informatique et support de stockage | |
| EP3185468B1 (fr) | Procédé de transmission de données, procédé de réception de données, dispositifs et programmes correspondants | |
| CN112948867A (zh) | 加密报文的生成与解密方法、装置及电子设备 | |
| EP1514377A1 (fr) | Procede et dispositif d'interface pour echanger de maniere protegee des donnees de contenu en ligne | |
| FR3113800A1 (fr) | Echange de données entre un client et un dispositif distant, par exemple un module sécurisé | |
| EP1032158B1 (fr) | Circuit et procédé pour la sécurisation d'un coprocesseur dédié à la cryptographie | |
| WO2019197780A1 (fr) | Procédés, dispositifs et programmes d'ordinateur pour le chiffrement et le déchiffrement de données pour la transmission ou le stockage de données | |
| EP1642413B1 (fr) | Procede de chiffrement/dechiffrement d un message et disposi tif associe | |
| FR2899750A1 (fr) | Procede et terminal pour securiser la generation d'une cle de chiffrement | |
| WO1998010563A2 (fr) | Instrument de securisation d'echanges de donnees | |
| WO2024175864A1 (fr) | Procede et dispositif de stockage en ligne reparti de fichiers dans un contexte zero confiance | |
| FR3143148A1 (fr) | Procédés d’authentification mutuelle, dispositif électronique, système et programmes d’ordinateur associés. | |
| FR2956272A1 (fr) | Authentification par mot de passe a usage unique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 7 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20170127 |
|
| PLFP | Fee payment |
Year of fee payment: 8 |
|
| PLFP | Fee payment |
Year of fee payment: 9 |
|
| PLFP | Fee payment |
Year of fee payment: 11 |
|
| PLFP | Fee payment |
Year of fee payment: 12 |
|
| PLFP | Fee payment |
Year of fee payment: 13 |
|
| PLFP | Fee payment |
Year of fee payment: 14 |
|
| PLFP | Fee payment |
Year of fee payment: 15 |