JP2002141897A - 耐タンパー機能を有する暗号回路 - Google Patents
耐タンパー機能を有する暗号回路Info
- Publication number
- JP2002141897A JP2002141897A JP2000332915A JP2000332915A JP2002141897A JP 2002141897 A JP2002141897 A JP 2002141897A JP 2000332915 A JP2000332915 A JP 2000332915A JP 2000332915 A JP2000332915 A JP 2000332915A JP 2002141897 A JP2002141897 A JP 2002141897A
- Authority
- JP
- Japan
- Prior art keywords
- data
- protection
- level
- tamper
- secret
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 携帯端末などの暗号回路において、耐タンパ
ー性と低消費電力化を両立させる。 【解決手段】 内部の記憶手段2には秘密データを保管
する。耐タンパー手段5は、演算順序をランダマイズす
る手段や、演算データそのものを乱数により隠蔽して、
演算後にその乱数を外すことで正しい値を得る手段や、
演算時にランダムなノイズを付加する手段などである。
記憶手段2の秘密データを使用する演算時には、自動的
耐タンパー手段5をONにし、秘密データを使用しない場
合は、耐タンパー手段5を動作させないように、制御手
段1で耐タンパー手段5を切り替える。
ー性と低消費電力化を両立させる。 【解決手段】 内部の記憶手段2には秘密データを保管
する。耐タンパー手段5は、演算順序をランダマイズす
る手段や、演算データそのものを乱数により隠蔽して、
演算後にその乱数を外すことで正しい値を得る手段や、
演算時にランダムなノイズを付加する手段などである。
記憶手段2の秘密データを使用する演算時には、自動的
耐タンパー手段5をONにし、秘密データを使用しない場
合は、耐タンパー手段5を動作させないように、制御手
段1で耐タンパー手段5を切り替える。
Description
【0001】
【発明の属する技術分野】本発明は、暗号回路に関し、
特に、耐タンパー機能と低消費電力化機能を有する暗号
回路に関する。
特に、耐タンパー機能と低消費電力化機能を有する暗号
回路に関する。
【0002】
【従来の技術】暗号回路の漏洩情報から暗号回路内部の
秘密鍵を解析するタンパーは、Side-channel attacksと
呼ばれており、消費電力・電磁放射を利用するPower an
alysisattacks(参考文献1:P. Kocher, J. Jaffe, an
d B. Jun, "Differential Power Analysis, " Advanced
in Cryptology-Crypto'99, Springer-Verlag, pp. 388
-397, 1999.)や、演算時間を利用するTiming attacks
(参考文献2:P. Kocher, "Timing Attacks on Implem
entations of Diffie-Hellman, RSA, DSS and Other Sy
stems," Advanced in Cryptology-CRYPTO'96, Springer
-Verlag, pp. 104-113, 1996.)など、さまざまな方法
が提案されている。
秘密鍵を解析するタンパーは、Side-channel attacksと
呼ばれており、消費電力・電磁放射を利用するPower an
alysisattacks(参考文献1:P. Kocher, J. Jaffe, an
d B. Jun, "Differential Power Analysis, " Advanced
in Cryptology-Crypto'99, Springer-Verlag, pp. 388
-397, 1999.)や、演算時間を利用するTiming attacks
(参考文献2:P. Kocher, "Timing Attacks on Implem
entations of Diffie-Hellman, RSA, DSS and Other Sy
stems," Advanced in Cryptology-CRYPTO'96, Springer
-Verlag, pp. 104-113, 1996.)など、さまざまな方法
が提案されている。
【0003】その対抗策として、演算順序をランダマイ
ズする方法(参考文献3:L. Goubin, J. Patarin, "DE
S and Differential Power Analysis. The Duplication
Method," Cryptographic Hardware and Embedded Syst
ems, Springer-Verlag, pp.158-172, 1999.)や、演算
値そのものを乱数により隠蔽して、演算後にその乱数を
外すことで正しい値を得る方法(参考文献2)や、演算
時にランダムなノイズを付加する方法(参考文献4:T.
Messerges, E. Dabbish, and R. Sloan, "Investigati
ons of Power Analysis Attacks on Smartcards," USEN
IX Work-shop on Smartcard Technology, pp. 151-91,
1999.)などが提案されている。
ズする方法(参考文献3:L. Goubin, J. Patarin, "DE
S and Differential Power Analysis. The Duplication
Method," Cryptographic Hardware and Embedded Syst
ems, Springer-Verlag, pp.158-172, 1999.)や、演算
値そのものを乱数により隠蔽して、演算後にその乱数を
外すことで正しい値を得る方法(参考文献2)や、演算
時にランダムなノイズを付加する方法(参考文献4:T.
Messerges, E. Dabbish, and R. Sloan, "Investigati
ons of Power Analysis Attacks on Smartcards," USEN
IX Work-shop on Smartcard Technology, pp. 151-91,
1999.)などが提案されている。
【0004】Side-channel attacksは、暗号回路が組込
まれた携帯端末などが盗まれた場合に、攻撃者が暗号回
路内部の秘密鍵を解析するために行なうことを、主に想
定している。したがって、図13に示すように、暗号回路
では、耐タンパー機能はデフォルトでONの状態にし、外
部からOFFにできないようにするのが一般的である。
まれた携帯端末などが盗まれた場合に、攻撃者が暗号回
路内部の秘密鍵を解析するために行なうことを、主に想
定している。したがって、図13に示すように、暗号回路
では、耐タンパー機能はデフォルトでONの状態にし、外
部からOFFにできないようにするのが一般的である。
【0005】一方、低消費電力化技術として、クロック
周波数を制御する方法(参考文献5:Lynn Comp, "200M
Hz動作時の消費電力を250mWに抑えたStrongARM," 日経
エレクトロニクス, No. 709, pp. 223-228, 1998.)
や、電源電圧やしきい電圧を制御する方法(参考文献
6:黒田 忠広, "低消費電力設計," 電子情報通信学会
誌,Vol. 81, No. 11, pp.1144-1149, 1998.)や、クロ
ック周波数と電源電圧を動的に制御する方法(参考文献
7:David Ditzel, Marc Fleishmann, "VLIW構造で86系
互換の低消費電力型MPUを開発," 日経エレクトロニク
ス, no. 765, pp. 156-165, 2000.)などが提案されて
いる。また、これらの低消費電力化技術は、性能とのト
レードオフであることが多いため、必要な性能に応じた
消費電力の動作モードを複数用意する方法(参考文献
5)も提案されている。
周波数を制御する方法(参考文献5:Lynn Comp, "200M
Hz動作時の消費電力を250mWに抑えたStrongARM," 日経
エレクトロニクス, No. 709, pp. 223-228, 1998.)
や、電源電圧やしきい電圧を制御する方法(参考文献
6:黒田 忠広, "低消費電力設計," 電子情報通信学会
誌,Vol. 81, No. 11, pp.1144-1149, 1998.)や、クロ
ック周波数と電源電圧を動的に制御する方法(参考文献
7:David Ditzel, Marc Fleishmann, "VLIW構造で86系
互換の低消費電力型MPUを開発," 日経エレクトロニク
ス, no. 765, pp. 156-165, 2000.)などが提案されて
いる。また、これらの低消費電力化技術は、性能とのト
レードオフであることが多いため、必要な性能に応じた
消費電力の動作モードを複数用意する方法(参考文献
5)も提案されている。
【0006】低消費電力化方法を暗号回路に適用する場
合、通常は図14のような構成として、ユーザが外部から
動作モードを切り替えるか、または、アプリケーション
に必要なパフォーマンスに応じて、専用の制御プログラ
ムが切り替えることが多い。
合、通常は図14のような構成として、ユーザが外部から
動作モードを切り替えるか、または、アプリケーション
に必要なパフォーマンスに応じて、専用の制御プログラ
ムが切り替えることが多い。
【0007】
【発明が解決しようとする課題】しかし、従来の耐タン
パー技術では、耐タンパー機能が常にONであるため、耐
タンパー機能が不要である場合にも余分に電力が消費さ
れるという問題がある。タンパー対策を行なうことによ
り耐タンパー性は向上するが、一般に演算量や演算時間
の増加により消費電力も増加する。実際に正規のユーザ
が、暗号回路が組込まれた携帯端末などを使用する場合
は、内部の秘密鍵を用いない演算を行なうことも多く、
耐タンパー機能による消費電力の増加は、携帯端末では
無視できない。
パー技術では、耐タンパー機能が常にONであるため、耐
タンパー機能が不要である場合にも余分に電力が消費さ
れるという問題がある。タンパー対策を行なうことによ
り耐タンパー性は向上するが、一般に演算量や演算時間
の増加により消費電力も増加する。実際に正規のユーザ
が、暗号回路が組込まれた携帯端末などを使用する場合
は、内部の秘密鍵を用いない演算を行なうことも多く、
耐タンパー機能による消費電力の増加は、携帯端末では
無視できない。
【0008】一方、低消費電力化技術を耐タンパー性の
観点から検討すると、一般に、低消費電力化を行なうほ
ど耐タンパー性が低下する。例えば、低消費電力化のた
めに、暗号回路以外の、動作する必要のない回路ブロッ
クに対して、クロックや電力の供給を止める。この結
果、回路ブロックからの不要な電磁放射や消費電力によ
り隠蔽されていた暗号回路の電磁放射や消費電力が、解
析し易くなってしまう。デフォルトやパフォーマンス優
先の制御で低消費電力化すると、安全性が低下する場合
がある。
観点から検討すると、一般に、低消費電力化を行なうほ
ど耐タンパー性が低下する。例えば、低消費電力化のた
めに、暗号回路以外の、動作する必要のない回路ブロッ
クに対して、クロックや電力の供給を止める。この結
果、回路ブロックからの不要な電磁放射や消費電力によ
り隠蔽されていた暗号回路の電磁放射や消費電力が、解
析し易くなってしまう。デフォルトやパフォーマンス優
先の制御で低消費電力化すると、安全性が低下する場合
がある。
【0009】このように、耐タンパー性を向上させると
消費電力が増加するし、低消費電力化すると耐タンパー
性が低下する。耐タンパー性と消費電力はトレードオフ
の関係にあり、従来の技術では両立させることができな
かった。
消費電力が増加するし、低消費電力化すると耐タンパー
性が低下する。耐タンパー性と消費電力はトレードオフ
の関係にあり、従来の技術では両立させることができな
かった。
【0010】本発明は、上記の問題を解決して、携帯端
末などの暗号回路において、耐タンパー性と低消費電力
化を両立させることを目的とする。
末などの暗号回路において、耐タンパー性と低消費電力
化を両立させることを目的とする。
【0011】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、公開データを入力する入力手段と、
暗号回路しかアクセスできない記憶手段から秘密データ
を取得する手段と、公開データと秘密データまたは公開
データのみからなる演算対象データに対して所定の演算
を行なう演算処理手段と、暗号回路の演算処理と秘密デ
ータとの秘密を保護する複数レベルを有する保護手段
と、保護手段を制御する制御手段とを具備する暗号回路
の制御手段に、演算対象データに基づいて演算処理と秘
密データとの秘密保護に必要な保護レベルを判断する判
断手段と、保護レベルに応じて保護手段のレベルを選択
して保護手段を制御する選択手段とを設けた構成とし
た。このように構成したことにより、必要な場合にのみ
保護機能が動作し、余分な消費電力の増加を抑えること
ができる。
めに、本発明では、公開データを入力する入力手段と、
暗号回路しかアクセスできない記憶手段から秘密データ
を取得する手段と、公開データと秘密データまたは公開
データのみからなる演算対象データに対して所定の演算
を行なう演算処理手段と、暗号回路の演算処理と秘密デ
ータとの秘密を保護する複数レベルを有する保護手段
と、保護手段を制御する制御手段とを具備する暗号回路
の制御手段に、演算対象データに基づいて演算処理と秘
密データとの秘密保護に必要な保護レベルを判断する判
断手段と、保護レベルに応じて保護手段のレベルを選択
して保護手段を制御する選択手段とを設けた構成とし
た。このように構成したことにより、必要な場合にのみ
保護機能が動作し、余分な消費電力の増加を抑えること
ができる。
【0012】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図1〜図12を参照しながら詳細に説明する。
て、図1〜図12を参照しながら詳細に説明する。
【0013】(第1の実施の形態)本発明の第1の実施
の形態は、演算対象データに秘密データが含まれている
か否かに応じて、耐タンパー手段をON/OFFする暗号回
路である。
の形態は、演算対象データに秘密データが含まれている
か否かに応じて、耐タンパー手段をON/OFFする暗号回
路である。
【0014】図1は、本発明の第1の実施の形態におけ
る暗号回路の概念図である。図1において、制御手段1
は、演算対象データに秘密データが含まれているとき耐
タンパー手段5をONする手段である。記憶手段2は、秘
密データを回路外部から読み取れないように秘密に保管
する内部メモリである。演算手段3は、外部入力4や記
憶手段2のデータを演算する手段である。外部入力4
は、暗号回路の外部から入力された公開データである。
耐タンパー手段5は、保護手段であり、演算順序をラン
ダマイズする手段や、演算値そのものを乱数により隠蔽
して、演算後にその乱数を外すことで正しい値を得る手
段や、演算時にランダムなノイズを付加する手段などで
ある。これは、ONとOFFの2つの強度レベルを有するの
みである。ONでは耐タンパー性は高まるが消費電力は増
加し、OFFでは耐タンパー性は低くなるが消費電力は減
少する。
る暗号回路の概念図である。図1において、制御手段1
は、演算対象データに秘密データが含まれているとき耐
タンパー手段5をONする手段である。記憶手段2は、秘
密データを回路外部から読み取れないように秘密に保管
する内部メモリである。演算手段3は、外部入力4や記
憶手段2のデータを演算する手段である。外部入力4
は、暗号回路の外部から入力された公開データである。
耐タンパー手段5は、保護手段であり、演算順序をラン
ダマイズする手段や、演算値そのものを乱数により隠蔽
して、演算後にその乱数を外すことで正しい値を得る手
段や、演算時にランダムなノイズを付加する手段などで
ある。これは、ONとOFFの2つの強度レベルを有するの
みである。ONでは耐タンパー性は高まるが消費電力は増
加し、OFFでは耐タンパー性は低くなるが消費電力は減
少する。
【0015】上記のように構成された本発明の第1の実
施の形態における暗号回路の動作を説明する。通常、外
部入力4のデータは公開データであり、内部の記憶手段
2には秘密データを保管する。そこで、攻撃の対象とな
る秘密データの演算時にのみ、自動的に耐タンパー手段
5を動作させることで、安全性の向上と低消費電力化の
両立を図る。
施の形態における暗号回路の動作を説明する。通常、外
部入力4のデータは公開データであり、内部の記憶手段
2には秘密データを保管する。そこで、攻撃の対象とな
る秘密データの演算時にのみ、自動的に耐タンパー手段
5を動作させることで、安全性の向上と低消費電力化の
両立を図る。
【0016】すなわち、外部入力4を解析して、記憶手
段2の秘密データを使用して演算する場合であると判断
すれば、暗号処理の実行時に耐タンパー手段5をONにし
て保護レベルを高くする。秘密データを使用する演算で
ないと判断すれば、耐タンパー手段5をOFFにして保護
レベルを低くする。このように、制御手段1で耐タンパ
ー手段5を制御する。回路外部からの命令により耐タン
パー手段5をON/OFF制御できると、攻撃者が暗号回路
を低安全性の状態に設定できてしまう。耐タンパー手段
5のON/OFF制御を、外部入力の解析と判断を含めて、
暗号回路内部で自動的に行い、外部から制御変更命令を
受け付けないようにする。
段2の秘密データを使用して演算する場合であると判断
すれば、暗号処理の実行時に耐タンパー手段5をONにし
て保護レベルを高くする。秘密データを使用する演算で
ないと判断すれば、耐タンパー手段5をOFFにして保護
レベルを低くする。このように、制御手段1で耐タンパ
ー手段5を制御する。回路外部からの命令により耐タン
パー手段5をON/OFF制御できると、攻撃者が暗号回路
を低安全性の状態に設定できてしまう。耐タンパー手段
5のON/OFF制御を、外部入力の解析と判断を含めて、
暗号回路内部で自動的に行い、外部から制御変更命令を
受け付けないようにする。
【0017】上記のように、本発明の第1の実施の形態
では、暗号回路を、演算対象データが秘密であるときに
耐タンパー手段をONする構成としたので、安全性の向上
と低消費電力化の両立ができる。
では、暗号回路を、演算対象データが秘密であるときに
耐タンパー手段をONする構成としたので、安全性の向上
と低消費電力化の両立ができる。
【0018】(第2の実施の形態)本発明の第2の実施
の形態は、演算対象データに秘密データが含まれていな
いときに、動作モードを低消費電力モードにする暗号回
路である。
の形態は、演算対象データに秘密データが含まれていな
いときに、動作モードを低消費電力モードにする暗号回
路である。
【0019】図2は、本発明の第2の実施の形態におけ
る暗号回路の概念図である。図2において、制御手段1
は、演算対象データに秘密データが含まれていないとき
に、動作モード手段6を低消費電力モードに切り替える
手段である。記憶手段2は、秘密データを保管する内部
メモリである。演算手段3は、外部入力4や記憶手段2
のデータを演算する手段である。外部入力4は、暗号回
路の外部から入力された公開データである。動作モード
手段6は、保護手段であり、クロック周波数を制御した
り、電源電圧やしきい電圧を制御したり、クロック周波
数と電源電圧を動的に制御したりすることで、動作モー
ドを低消費電力モードまたは通常モードにする手段であ
る。これは2つの動作モードを有するのみである。
る暗号回路の概念図である。図2において、制御手段1
は、演算対象データに秘密データが含まれていないとき
に、動作モード手段6を低消費電力モードに切り替える
手段である。記憶手段2は、秘密データを保管する内部
メモリである。演算手段3は、外部入力4や記憶手段2
のデータを演算する手段である。外部入力4は、暗号回
路の外部から入力された公開データである。動作モード
手段6は、保護手段であり、クロック周波数を制御した
り、電源電圧やしきい電圧を制御したり、クロック周波
数と電源電圧を動的に制御したりすることで、動作モー
ドを低消費電力モードまたは通常モードにする手段であ
る。これは2つの動作モードを有するのみである。
【0020】上記のように構成された本発明の第2の実
施の形態における暗号回路の動作を説明する。通常、外
部入力4のデータは公開データであり、内部の記憶手段
2には秘密データを保管する。そこで、攻撃の対象とな
る秘密データの演算時にのみ、自動的に安全性の高い通
常モードに切り替えることで、安全性の向上と低消費電
力化の両立を図る。通常モードでは、使用しない回路に
もクロックや電源を供給するので、暗号演算回路からの
漏洩信号がノイズでマスクされて、安全性が高くなる。
施の形態における暗号回路の動作を説明する。通常、外
部入力4のデータは公開データであり、内部の記憶手段
2には秘密データを保管する。そこで、攻撃の対象とな
る秘密データの演算時にのみ、自動的に安全性の高い通
常モードに切り替えることで、安全性の向上と低消費電
力化の両立を図る。通常モードでは、使用しない回路に
もクロックや電源を供給するので、暗号演算回路からの
漏洩信号がノイズでマスクされて、安全性が高くなる。
【0021】すなわち、外部入力4を解析して、記憶手
段2の秘密データを使用して演算する場合であると判断
すれば、暗号処理の実行時に動作モードを通常モードに
して保護レベルを高くする。秘密データを使用する演算
でないと判断すれば、低消費電力モードにして保護レベ
ルを低くする。このように、制御手段1で動作モード手
段6を切り替える。安全性の観点から低消費電力化を行
ってはならない場合には、低消費電力化を行なわない動
作モードに切り替えるため、安全性を維持することがで
きる。
段2の秘密データを使用して演算する場合であると判断
すれば、暗号処理の実行時に動作モードを通常モードに
して保護レベルを高くする。秘密データを使用する演算
でないと判断すれば、低消費電力モードにして保護レベ
ルを低くする。このように、制御手段1で動作モード手
段6を切り替える。安全性の観点から低消費電力化を行
ってはならない場合には、低消費電力化を行なわない動
作モードに切り替えるため、安全性を維持することがで
きる。
【0022】上記のように、本発明の第2の実施の形態
では、暗号回路を、演算対象データが秘密でないとき、
動作モードを低消費電力モードにする構成としたので、
安全性の向上と低消費電力化の両立ができる。
では、暗号回路を、演算対象データが秘密でないとき、
動作モードを低消費電力モードにする構成としたので、
安全性の向上と低消費電力化の両立ができる。
【0023】(第3の実施の形態)本発明の第3の実施
の形態は、演算対象データに秘密データが含まれている
か否かに応じて、耐タンパー手段をON/OFFするととも
に動作モードを通常モードか低消費電力モードに切り替
える暗号回路である。
の形態は、演算対象データに秘密データが含まれている
か否かに応じて、耐タンパー手段をON/OFFするととも
に動作モードを通常モードか低消費電力モードに切り替
える暗号回路である。
【0024】図3は、本発明の第3の実施の形態におけ
る暗号回路の概念図である。図3において、制御手段1
は、演算対象データに秘密データが含まれているか否か
に応じて、耐タンパー手段5および動作モード手段6を
同時に切り替える手段である。記憶手段2は、秘密デー
タを保管する内部メモリである。演算手段3は、外部入
力4や記憶手段2のデータを演算する手段である。外部
入力4は、外部から入力された公開データである。耐タ
ンパー手段5は、保護手段の一部であり、演算順序をラ
ンダマイズする手段や、演算値そのものを乱数により隠
蔽して、演算後にその乱数を外すことで正しい値を得る
手段や、演算時にランダムなノイズを付加する手段など
である。これは、ONとOFFの2つの強度レベルを有する
のみである。動作モード手段6は、保護手段の一部であ
り、クロック周波数を制御したり、電源電圧やしきい電
圧を制御したり、クロック周波数と電源電圧を動的に制
御したりすることで、動作モードを低消費電力モードま
たは通常モードにする手段である。これは2つの動作モ
ードを有するのみである。
る暗号回路の概念図である。図3において、制御手段1
は、演算対象データに秘密データが含まれているか否か
に応じて、耐タンパー手段5および動作モード手段6を
同時に切り替える手段である。記憶手段2は、秘密デー
タを保管する内部メモリである。演算手段3は、外部入
力4や記憶手段2のデータを演算する手段である。外部
入力4は、外部から入力された公開データである。耐タ
ンパー手段5は、保護手段の一部であり、演算順序をラ
ンダマイズする手段や、演算値そのものを乱数により隠
蔽して、演算後にその乱数を外すことで正しい値を得る
手段や、演算時にランダムなノイズを付加する手段など
である。これは、ONとOFFの2つの強度レベルを有する
のみである。動作モード手段6は、保護手段の一部であ
り、クロック周波数を制御したり、電源電圧やしきい電
圧を制御したり、クロック周波数と電源電圧を動的に制
御したりすることで、動作モードを低消費電力モードま
たは通常モードにする手段である。これは2つの動作モ
ードを有するのみである。
【0025】上記のように構成された本発明の第3の実
施の形態における暗号回路の動作を説明する。通常、外
部入力4のデータは公開データであり、内部の記憶手段
2には秘密データを保管する。そこで、攻撃の対象とな
る秘密データの演算時には、常に自動的に耐タンパー手
段5をONにし、かつ動作モードを安全性の高い通常モー
ドに切り替える。秘密データを演算しない場合は、耐タ
ンパー手段5をOFFにし、かつ動作モードを安全性の低
い低消費電力モードに切り替える。このようにして、安
全性の向上と低消費電力化の両立を図る。
施の形態における暗号回路の動作を説明する。通常、外
部入力4のデータは公開データであり、内部の記憶手段
2には秘密データを保管する。そこで、攻撃の対象とな
る秘密データの演算時には、常に自動的に耐タンパー手
段5をONにし、かつ動作モードを安全性の高い通常モー
ドに切り替える。秘密データを演算しない場合は、耐タ
ンパー手段5をOFFにし、かつ動作モードを安全性の低
い低消費電力モードに切り替える。このようにして、安
全性の向上と低消費電力化の両立を図る。
【0026】すなわち、外部入力4を解析して、記憶手
段2の秘密データを使用して演算する場合であると判断
すれば、暗号処理の実行時に、耐タンパー手段5をONに
するとともに動作モードを通常モードにして保護レベル
を高くする。秘密データを使用する演算でないと判断す
れば、耐タンパー手段5をOFFにするとともに低消費電
力モードにして保護レベルを低くする。このように、制
御手段1で、耐タンパー手段5と動作モード手段6を切
り替える。必要な場合にのみ耐タンパー機能が動作し、
かつ安全性の観点から低消費電力化を行ってはならない
場合には、低消費電力化を行なわない動作モードに切り
替えるため、余分な消費電力の増加を抑え、かつ安全性
を維持することができる。
段2の秘密データを使用して演算する場合であると判断
すれば、暗号処理の実行時に、耐タンパー手段5をONに
するとともに動作モードを通常モードにして保護レベル
を高くする。秘密データを使用する演算でないと判断す
れば、耐タンパー手段5をOFFにするとともに低消費電
力モードにして保護レベルを低くする。このように、制
御手段1で、耐タンパー手段5と動作モード手段6を切
り替える。必要な場合にのみ耐タンパー機能が動作し、
かつ安全性の観点から低消費電力化を行ってはならない
場合には、低消費電力化を行なわない動作モードに切り
替えるため、余分な消費電力の増加を抑え、かつ安全性
を維持することができる。
【0027】上記のように、本発明の第3の実施の形態
では、暗号回路を、演算対象データに秘密データが含ま
れているか否かに応じて、耐タンパー手段と動作モード
の両方を切り替える構成としたので、安全性の向上と低
消費電力化の両立ができる。
では、暗号回路を、演算対象データに秘密データが含ま
れているか否かに応じて、耐タンパー手段と動作モード
の両方を切り替える構成としたので、安全性の向上と低
消費電力化の両立ができる。
【0028】(第4の実施の形態)本発明の第4の実施
の形態は、演算対象データの秘密の程度に応じて、耐タ
ンパー手段の3つ以上の強度レベルのうちの1つを選択
する暗号回路である。
の形態は、演算対象データの秘密の程度に応じて、耐タ
ンパー手段の3つ以上の強度レベルのうちの1つを選択
する暗号回路である。
【0029】図4は、本発明の第4の実施の形態におけ
る暗号回路の概念図である。図4において、制御手段1
は、演算対象データの秘密の程度に応じて、耐タンパー
手段7の耐タンパー強度レベルを選択する手段である。
記憶手段2は、秘密データを保管する内部メモリであ
る。この記憶手段2は、暗号回路しかアクセスできない
ものであれば、暗号回路の外部にあってもよい。演算手
段3は、外部入力4や記憶手段2のデータを演算する手
段である。外部入力4は、外部から入力された公開デー
タである。耐タンパー手段7は、保護手段であり、3つ
以上の耐タンパー強度レベルを有し、その1つを選択可
能な耐タンパー手段である。耐タンパー性の高い強度レ
ベルほど、消費電力は多い。耐タンパー手段の強度レベ
ルには、次のものがある。演算順序をランダマイズする
方法では、そのランダマイズの程度が強度レベルとな
る。乱数により隠蔽する方法では、その乱数のビット長
や、乱数を中間演算まで適用するかどうかという適用範
囲が強度レベルとなる。ランダムノイズを付加する方法
では、ノイズの出力の程度が強度レベルとなる。
る暗号回路の概念図である。図4において、制御手段1
は、演算対象データの秘密の程度に応じて、耐タンパー
手段7の耐タンパー強度レベルを選択する手段である。
記憶手段2は、秘密データを保管する内部メモリであ
る。この記憶手段2は、暗号回路しかアクセスできない
ものであれば、暗号回路の外部にあってもよい。演算手
段3は、外部入力4や記憶手段2のデータを演算する手
段である。外部入力4は、外部から入力された公開デー
タである。耐タンパー手段7は、保護手段であり、3つ
以上の耐タンパー強度レベルを有し、その1つを選択可
能な耐タンパー手段である。耐タンパー性の高い強度レ
ベルほど、消費電力は多い。耐タンパー手段の強度レベ
ルには、次のものがある。演算順序をランダマイズする
方法では、そのランダマイズの程度が強度レベルとな
る。乱数により隠蔽する方法では、その乱数のビット長
や、乱数を中間演算まで適用するかどうかという適用範
囲が強度レベルとなる。ランダムノイズを付加する方法
では、ノイズの出力の程度が強度レベルとなる。
【0030】図5は、本発明の第4の実施の形態におけ
る暗号回路の別の例の概念図である。図5において、制
御手段1は、演算対象データの秘密の程度に応じて、副
耐タンパー手段9、10、・・・、11などの耐タンパー強
度レベルの異なる複数の手段の1つを選択する手段であ
る。耐タンパー性の高い副耐タンパー手段ほど、消費電
力は多い。図10は、演算対象データの秘密の程度に対応
する、動作モードの耐タンパー強度レベルと耐タンパー
手段の耐タンパー強度レベルを示す対応表である。
る暗号回路の別の例の概念図である。図5において、制
御手段1は、演算対象データの秘密の程度に応じて、副
耐タンパー手段9、10、・・・、11などの耐タンパー強
度レベルの異なる複数の手段の1つを選択する手段であ
る。耐タンパー性の高い副耐タンパー手段ほど、消費電
力は多い。図10は、演算対象データの秘密の程度に対応
する、動作モードの耐タンパー強度レベルと耐タンパー
手段の耐タンパー強度レベルを示す対応表である。
【0031】上記のように構成された本発明の第4の実
施の形態における暗号回路の動作を説明する。図4に示
す暗号回路において、演算対象データの秘密の程度に応
じて、図10に示す表に従って、暗号処理の実行時に制御
手段1で自動的に、耐タンパー手段7の強度レベルを選
択する。図5に示す別の暗号回路においては、制御手段
1で、強度レベルの異なる副耐タンパー手段9、10、・
・・、11の1つを選択する。
施の形態における暗号回路の動作を説明する。図4に示
す暗号回路において、演算対象データの秘密の程度に応
じて、図10に示す表に従って、暗号処理の実行時に制御
手段1で自動的に、耐タンパー手段7の強度レベルを選
択する。図5に示す別の暗号回路においては、制御手段
1で、強度レベルの異なる副耐タンパー手段9、10、・
・・、11の1つを選択する。
【0032】図10に示す演算対象データの属性は、秘匿
の有無、秘匿度、暗号アルゴリズム、暗号演算の種類、
秘密値のビット数の5種類である。以下に、個々の意味
の説明を行なう。秘匿の有無は、演算データに秘密デー
タが含まれるか否かにより判断する。秘匿度は、演算デ
ータに含まれる秘密データの個数により判断する。暗号
アルゴリズムについては、演算する暗号方式自体の耐タ
ンパー性、つまり予め耐タンパー性を考慮して設計され
た暗号か否かにより判断する。
の有無、秘匿度、暗号アルゴリズム、暗号演算の種類、
秘密値のビット数の5種類である。以下に、個々の意味
の説明を行なう。秘匿の有無は、演算データに秘密デー
タが含まれるか否かにより判断する。秘匿度は、演算デ
ータに含まれる秘密データの個数により判断する。暗号
アルゴリズムについては、演算する暗号方式自体の耐タ
ンパー性、つまり予め耐タンパー性を考慮して設計され
た暗号か否かにより判断する。
【0033】暗号演算の種類については、演算が暗号方
式における暗号化か復号化か、ディジタル署名における
署名生成か署名検証か、相手認証方式またはメッセージ
認証方式における認証情報生成か認証情報検証か、鍵共
有方式かにより判断する。また、暗号化については、確
率暗号か否かについても判断する。なぜなら、確率公開
鍵暗号では、暗号化においても秘密の乱数を演算する必
要があるためである。秘密値のビット数は、演算に使用
する秘密値のビット長を判断する。図10では、説明の簡
素化のために、最大でも3段階の強度レベル制御のみを
示したが、当然のことながら、さらに細かくレベル分け
を行なうことも可能である。判断手段が、必要とされる
強度レベルまたは必要な耐タンパー手段を選択するた
め、常に最低限の消費電力に抑えることができる。
式における暗号化か復号化か、ディジタル署名における
署名生成か署名検証か、相手認証方式またはメッセージ
認証方式における認証情報生成か認証情報検証か、鍵共
有方式かにより判断する。また、暗号化については、確
率暗号か否かについても判断する。なぜなら、確率公開
鍵暗号では、暗号化においても秘密の乱数を演算する必
要があるためである。秘密値のビット数は、演算に使用
する秘密値のビット長を判断する。図10では、説明の簡
素化のために、最大でも3段階の強度レベル制御のみを
示したが、当然のことながら、さらに細かくレベル分け
を行なうことも可能である。判断手段が、必要とされる
強度レベルまたは必要な耐タンパー手段を選択するた
め、常に最低限の消費電力に抑えることができる。
【0034】上記のように、本発明の第4の実施の形態
では、暗号回路を、演算対象データに応じて、耐タンパ
ー手段の強度レベルを選択する構成としたので、演算に
必要な安全性に応じて、耐タンパー手段の最適な強度レ
ベルを自動的に選択でき、安全性の向上と低消費電力化
を両立させることができる。
では、暗号回路を、演算対象データに応じて、耐タンパ
ー手段の強度レベルを選択する構成としたので、演算に
必要な安全性に応じて、耐タンパー手段の最適な強度レ
ベルを自動的に選択でき、安全性の向上と低消費電力化
を両立させることができる。
【0035】(第5の実施の形態)本発明の第5の実施
の形態は、演算対象データに応じて、強度レベルの異な
る3つ以上の動作モードの1つを選択する暗号回路であ
る。
の形態は、演算対象データに応じて、強度レベルの異な
る3つ以上の動作モードの1つを選択する暗号回路であ
る。
【0036】図6は、本発明の第5の実施の形態におけ
る暗号回路の概念図である。図6において、制御手段1
は、演算対象データの秘密の程度に応じて、動作モード
手段8の1つの動作モードを選択する手段である。記憶
手段2は、秘密データを保管する内部メモリである。演
算手段3は、外部入力4や記憶手段2のデータを演算す
る手段である。外部入力4は、回路外部から入力された
公開データである。動作モード手段8は、保護手段であ
り、3つ以上の異なる耐タンパー強度レベルの低消費電
力モードを有し、クロック周波数を制御したり、電源電
圧やしきい電圧を制御したり、クロック周波数と電源電
圧を動的に制御したりする手段である。強度レベルは、
耐タンパー性の強さであり、高強度レベルのモードは、
耐タンパー性は強いが電力を多く消費するモードであ
る。逆に、低強度レベルのモードは、耐タンパー性は弱
いが電力を少ししか消費しないモードである。
る暗号回路の概念図である。図6において、制御手段1
は、演算対象データの秘密の程度に応じて、動作モード
手段8の1つの動作モードを選択する手段である。記憶
手段2は、秘密データを保管する内部メモリである。演
算手段3は、外部入力4や記憶手段2のデータを演算す
る手段である。外部入力4は、回路外部から入力された
公開データである。動作モード手段8は、保護手段であ
り、3つ以上の異なる耐タンパー強度レベルの低消費電
力モードを有し、クロック周波数を制御したり、電源電
圧やしきい電圧を制御したり、クロック周波数と電源電
圧を動的に制御したりする手段である。強度レベルは、
耐タンパー性の強さであり、高強度レベルのモードは、
耐タンパー性は強いが電力を多く消費するモードであ
る。逆に、低強度レベルのモードは、耐タンパー性は弱
いが電力を少ししか消費しないモードである。
【0037】上記のように構成された本発明の第5の実
施の形態における暗号回路の動作を説明する。図6に示
す暗号回路において、演算対象データの秘密の程度に応
じて、図10に示す表に従って、暗号処理の実行時に、制
御手段1で自動的に動作モード手段8の強度レベルを選
択する。判断手段が、必要とされる動作モードを選択す
るため、常に安全性を維持できる。
施の形態における暗号回路の動作を説明する。図6に示
す暗号回路において、演算対象データの秘密の程度に応
じて、図10に示す表に従って、暗号処理の実行時に、制
御手段1で自動的に動作モード手段8の強度レベルを選
択する。判断手段が、必要とされる動作モードを選択す
るため、常に安全性を維持できる。
【0038】上記のように、本発明の第5の実施の形態
では、暗号回路を、演算対象データの秘密の程度に応じ
て、強度レベルの異なる複数の動作モードの1つを選択
する構成としたので、演算に必要な安全性に応じて、動
作モード手段の最適な強度レベルを自動的に選択でき、
安全性の向上と低消費電力化を両立させることができ
る。
では、暗号回路を、演算対象データの秘密の程度に応じ
て、強度レベルの異なる複数の動作モードの1つを選択
する構成としたので、演算に必要な安全性に応じて、動
作モード手段の最適な強度レベルを自動的に選択でき、
安全性の向上と低消費電力化を両立させることができ
る。
【0039】(第6の実施の形態)本発明の第6の実施
の形態は、演算対象データの秘密の程度に応じて、耐タ
ンパー手段の3つ以上の強度レベルの1つと、動作モー
ドの3つ以上の強度レベルの1つを同時に選択する暗号
回路である。
の形態は、演算対象データの秘密の程度に応じて、耐タ
ンパー手段の3つ以上の強度レベルの1つと、動作モー
ドの3つ以上の強度レベルの1つを同時に選択する暗号
回路である。
【0040】図7は、本発明の第6の実施の形態におけ
る暗号回路の概念図である。図7において、制御手段1
は、演算対象データの秘密の程度に応じて、耐タンパー
手段7の強度レベルの1つと、動作モード手段8の1つ
の動作モードを同時に選択する手段である。記憶手段2
は、秘密データを保管する内部メモリである。演算手段
3は、外部入力4や記憶手段2のデータを演算する手段
である。耐タンパー手段7は、保護手段の一部であり、
3つ以上の耐タンパー強度レベルを有し、その1つを選
択可能な耐タンパー手段である。動作モード手段8は、
保護手段の一部であり、3つ以上の異なる耐タンパー強
度レベルの低消費電力モードを有し、クロック周波数を
制御したり、電源電圧やしきい電圧を制御したり、クロ
ック周波数と電源電圧を動的に制御したりする手段であ
る。
る暗号回路の概念図である。図7において、制御手段1
は、演算対象データの秘密の程度に応じて、耐タンパー
手段7の強度レベルの1つと、動作モード手段8の1つ
の動作モードを同時に選択する手段である。記憶手段2
は、秘密データを保管する内部メモリである。演算手段
3は、外部入力4や記憶手段2のデータを演算する手段
である。耐タンパー手段7は、保護手段の一部であり、
3つ以上の耐タンパー強度レベルを有し、その1つを選
択可能な耐タンパー手段である。動作モード手段8は、
保護手段の一部であり、3つ以上の異なる耐タンパー強
度レベルの低消費電力モードを有し、クロック周波数を
制御したり、電源電圧やしきい電圧を制御したり、クロ
ック周波数と電源電圧を動的に制御したりする手段であ
る。
【0041】図8は、本発明の第6の実施の形態におけ
る暗号回路の別の例の概念図である。図8において、制
御手段1は、演算対象データの秘密の程度に応じて、異
なる強度レベルの複数の副耐タンパー手段9、10、・・
・、11の1つと、複数の耐タンパー強度レベルを有する
動作モード手段8の1つの動作モードを同時に選択する
手段である。
る暗号回路の別の例の概念図である。図8において、制
御手段1は、演算対象データの秘密の程度に応じて、異
なる強度レベルの複数の副耐タンパー手段9、10、・・
・、11の1つと、複数の耐タンパー強度レベルを有する
動作モード手段8の1つの動作モードを同時に選択する
手段である。
【0042】図9は、暗号回路に用いるベキ乗剰余演算
回路の概念図である。図10は、演算対象データの秘密の
程度に対応する動作モードと耐タンパー機能を示す対応
表である。図11は、演算対象データと暗号演算の秘匿度
に応じた動作モード(低消費電力化機能)と耐タンパー
機能の制御例を示す対応表である。外部入力がない場合
をデフォルトとし、何らかの外部入力があった場合に、
暗号回路にクロックを供給して動作させ、低消費電力化
機能と耐タンパー機能を切り替える。デフォルトは、い
わゆる暗号回路そのものへのクロック供給を止めたスリ
ープモードである。(CRT)は、中国人剰余定理を利用し
た高速化を行なうことを意味する。この場合、1つのRS
A処理(ベキ乗剰余演算)をより演算幅の小さい2つの
ベキ乗剰余演算に分けて、パラレル処理することができ
る。暗号演算の種類については、RSA暗号/署名と、ElG
amal暗号/署名の場合の一例を示した。
回路の概念図である。図10は、演算対象データの秘密の
程度に対応する動作モードと耐タンパー機能を示す対応
表である。図11は、演算対象データと暗号演算の秘匿度
に応じた動作モード(低消費電力化機能)と耐タンパー
機能の制御例を示す対応表である。外部入力がない場合
をデフォルトとし、何らかの外部入力があった場合に、
暗号回路にクロックを供給して動作させ、低消費電力化
機能と耐タンパー機能を切り替える。デフォルトは、い
わゆる暗号回路そのものへのクロック供給を止めたスリ
ープモードである。(CRT)は、中国人剰余定理を利用し
た高速化を行なうことを意味する。この場合、1つのRS
A処理(ベキ乗剰余演算)をより演算幅の小さい2つの
ベキ乗剰余演算に分けて、パラレル処理することができ
る。暗号演算の種類については、RSA暗号/署名と、ElG
amal暗号/署名の場合の一例を示した。
【0043】図12は、本発明の第6の実施の形態におけ
る暗号回路の具体的な構成図である。図12において、外
部入力4は、外部から入力された公開データである。切
替制御回路12は、制御手段1に対応するものであり、演
算対象データの秘密の程度に応じて、耐タンパー機能制
御回路13の耐タンパー強度レベルの1つと、低消費電力
化機能制御回路14の1つの動作モードを同時に選択する
回路である。記憶手段2は、秘密のベキ指数を保持する
内部メモリである。耐タンパー機能制御回路13は、耐タ
ンパー手段7に対応する保護手段の一部であり、3つ以
上の耐タンパー強度レベルを有し、その1つを選択可能
な手段である。低消費電力化機能制御回路14は、動作モ
ード手段8に対応する保護手段の一部であり、3つ以上
の異なる耐タンパー強度レベルの低消費電力モードを有
し、クロック周波数を制御する手段である。乗算剰余演
算回路21〜23は、平方剰余演算または乗算剰余演算を行
なう回路である。左向き演算制御回路24は、3つの乗算
剰余演算回路に順番に処理を割り当てる回路である。
る暗号回路の具体的な構成図である。図12において、外
部入力4は、外部から入力された公開データである。切
替制御回路12は、制御手段1に対応するものであり、演
算対象データの秘密の程度に応じて、耐タンパー機能制
御回路13の耐タンパー強度レベルの1つと、低消費電力
化機能制御回路14の1つの動作モードを同時に選択する
回路である。記憶手段2は、秘密のベキ指数を保持する
内部メモリである。耐タンパー機能制御回路13は、耐タ
ンパー手段7に対応する保護手段の一部であり、3つ以
上の耐タンパー強度レベルを有し、その1つを選択可能
な手段である。低消費電力化機能制御回路14は、動作モ
ード手段8に対応する保護手段の一部であり、3つ以上
の異なる耐タンパー強度レベルの低消費電力モードを有
し、クロック周波数を制御する手段である。乗算剰余演
算回路21〜23は、平方剰余演算または乗算剰余演算を行
なう回路である。左向き演算制御回路24は、3つの乗算
剰余演算回路に順番に処理を割り当てる回路である。
【0044】上記のように構成された本発明の第6の実
施の形態における暗号回路の動作を説明する。図7に示
す暗号回路において、演算対象データの秘密の程度に応
じて、図10に示す表に従って、暗号処理の実行時に制御
手段1で自動的に、耐タンパー手段7の耐タンパー強度
レベルの1つと、動作モード手段8の耐タンパー強度レ
ベルの1つを選択する。図8に示す暗号回路において
は、副耐タンパー手段9、10、・・・、11の1つと、動
作モード手段8の耐タンパー強度レベルの1つを選択す
る。判断手段が、必要な強度レベルを選択することによ
り、常に最適な消費電力と安全性を維持することができ
る。
施の形態における暗号回路の動作を説明する。図7に示
す暗号回路において、演算対象データの秘密の程度に応
じて、図10に示す表に従って、暗号処理の実行時に制御
手段1で自動的に、耐タンパー手段7の耐タンパー強度
レベルの1つと、動作モード手段8の耐タンパー強度レ
ベルの1つを選択する。図8に示す暗号回路において
は、副耐タンパー手段9、10、・・・、11の1つと、動
作モード手段8の耐タンパー強度レベルの1つを選択す
る。判断手段が、必要な強度レベルを選択することによ
り、常に最適な消費電力と安全性を維持することができ
る。
【0045】ここで、図7に示す演算手段3として、ベ
キ乗剰余演算回路を使用した場合を例として、暗号回路
の動作を詳細に説明する。図9に、特願2000-8823号の
「暗号回路」および特願2000-222733号の「暗号回路お
よび制御方法」において提案したベキ乗剰余演算回路を
示す。このベキ乗剰余演算回路では、第1の乗算剰余演
算回路21で、第1のベキ乗または第2のベキ乗の平方剰
余演算または乗算剰余演算を行なう。第2の乗算剰余演
算回路22で、第1のベキ乗または第2のベキ乗の平方剰
余演算または乗算剰余演算を行なう。第3の乗算剰余演
算回路23で、第1のベキ乗または第2のベキ乗の平方剰
余演算または乗算剰余演算を行なう。
キ乗剰余演算回路を使用した場合を例として、暗号回路
の動作を詳細に説明する。図9に、特願2000-8823号の
「暗号回路」および特願2000-222733号の「暗号回路お
よび制御方法」において提案したベキ乗剰余演算回路を
示す。このベキ乗剰余演算回路では、第1の乗算剰余演
算回路21で、第1のベキ乗または第2のベキ乗の平方剰
余演算または乗算剰余演算を行なう。第2の乗算剰余演
算回路22で、第1のベキ乗または第2のベキ乗の平方剰
余演算または乗算剰余演算を行なう。第3の乗算剰余演
算回路23で、第1のベキ乗または第2のベキ乗の平方剰
余演算または乗算剰余演算を行なう。
【0046】第1のベキ乗および第2のベキ乗を、ベキ
指数の各桁のビット値ごとに4つの処理に分割する。左
向き演算制御回路24で、第1のベキ指数と第2のベキ指
数の各桁のビット値に応じて、第1から3の乗算剰余演
算回路に順番に処理を割り当てる。切替回路25で、左向
き演算制御回路の制御に従って、第1から3の乗算剰余
演算回路の入出力値を切り替える。従来の暗号回路より
も高速化できるとともに、回路動作から演算値を知るこ
とを困難にして、耐タンパー性を向上させることができ
る。
指数の各桁のビット値ごとに4つの処理に分割する。左
向き演算制御回路24で、第1のベキ指数と第2のベキ指
数の各桁のビット値に応じて、第1から3の乗算剰余演
算回路に順番に処理を割り当てる。切替回路25で、左向
き演算制御回路の制御に従って、第1から3の乗算剰余
演算回路の入出力値を切り替える。従来の暗号回路より
も高速化できるとともに、回路動作から演算値を知るこ
とを困難にして、耐タンパー性を向上させることができ
る。
【0047】ベキ乗剰余演算回路のような、ベキの左向
き2進計算法により、二乗算剰余と乗算剰余をパラレル
に実現した回路においては、ベキ指数のビット値が
“0”の場合には二乗算剰余のみが実行され、“1”の
場合には二乗算剰余と乗算剰余が実行されるという特徴
がある。このような特徴から、低消費電力化方法とし
て、ベキ指数のビット値が“0”で乗算剰余が不要な場
合に、図9に示す乗算剰余演算回路22および乗算剰余演
算回路23へのクロック供給を停止する方法(クロック制
御)を採用する。または、通常の乗算アルゴリズムで二
乗算を演算するよりも演算量を削減できる二乗算に注目
したアルゴリズム(二乗最適化)(参考文献8:岡本龍
明, 太田和夫著 「暗号・ゼロ知識証明・数論」, pp. 1
77, 共立出版,1995.)を採用する。ただし、これらの低
消費電力化を行なうことにより、二乗剰余と乗算剰余の
消費電力差が拡大して、ベキ指数のSide-channel attac
ksが容易になる。これら以外の低消費電力化手法とし
て、メモリをブロック単位に分け、演算に必要なブロッ
クのみにクロックを供給する方法も考えられる。
き2進計算法により、二乗算剰余と乗算剰余をパラレル
に実現した回路においては、ベキ指数のビット値が
“0”の場合には二乗算剰余のみが実行され、“1”の
場合には二乗算剰余と乗算剰余が実行されるという特徴
がある。このような特徴から、低消費電力化方法とし
て、ベキ指数のビット値が“0”で乗算剰余が不要な場
合に、図9に示す乗算剰余演算回路22および乗算剰余演
算回路23へのクロック供給を停止する方法(クロック制
御)を採用する。または、通常の乗算アルゴリズムで二
乗算を演算するよりも演算量を削減できる二乗算に注目
したアルゴリズム(二乗最適化)(参考文献8:岡本龍
明, 太田和夫著 「暗号・ゼロ知識証明・数論」, pp. 1
77, 共立出版,1995.)を採用する。ただし、これらの低
消費電力化を行なうことにより、二乗剰余と乗算剰余の
消費電力差が拡大して、ベキ指数のSide-channel attac
ksが容易になる。これら以外の低消費電力化手法とし
て、メモリをブロック単位に分け、演算に必要なブロッ
クのみにクロックを供給する方法も考えられる。
【0048】一方、耐タンパー手段としては、ベキ乗剰
余演算回路の2つのベキ乗剰余演算を同時に混ぜ合わせ
て処理する耐タンパー機能(混合処理)手段を採用す
る。混合処理のON/OFFは、秘匿度に関係なく、入力さ
れるデータのベキ乗剰余演算の数により制御される。ベ
キ乗剰余演算が1つの場合は、混合処理はOFFになり、
ベキ乗剰余演算が2つの場合は、混合処理はONになる。
または、ベキ指数の値に関係なく、常に全ての乗算剰余
演算回路において演算を実行する機能(ダミー演算)手
段を採用する。また、制御手段の判断基準である演算対
象データの属性としては、秘匿度と暗号演算の種類を採
用する。
余演算回路の2つのベキ乗剰余演算を同時に混ぜ合わせ
て処理する耐タンパー機能(混合処理)手段を採用す
る。混合処理のON/OFFは、秘匿度に関係なく、入力さ
れるデータのベキ乗剰余演算の数により制御される。ベ
キ乗剰余演算が1つの場合は、混合処理はOFFになり、
ベキ乗剰余演算が2つの場合は、混合処理はONになる。
または、ベキ指数の値に関係なく、常に全ての乗算剰余
演算回路において演算を実行する機能(ダミー演算)手
段を採用する。また、制御手段の判断基準である演算対
象データの属性としては、秘匿度と暗号演算の種類を採
用する。
【0049】図11に示す表は、演算対象データに応じた
動作モード(低消費電力化機能)と耐タンパー機能の制
御例である。演算対象データの秘匿度と暗号演算の種類
に応じた6つの場合について説明する。暗号方式とし
て、RSA暗号と署名、確率暗号であるElGamal暗号と署名
を考える。秘匿度は秘密データの個数であり、ここで
は、ベキ乗剰余演算のベキ指数のうち、秘密であるもの
の個数とする。
動作モード(低消費電力化機能)と耐タンパー機能の制
御例である。演算対象データの秘匿度と暗号演算の種類
に応じた6つの場合について説明する。暗号方式とし
て、RSA暗号と署名、確率暗号であるElGamal暗号と署名
を考える。秘匿度は秘密データの個数であり、ここで
は、ベキ乗剰余演算のベキ指数のうち、秘密であるもの
の個数とする。
【0050】外部入力が、A1,A2,B1(またはB2),
C1,C2である場合は、秘密データが1つであり、秘匿
度1である。この場合には、暗号演算の種類に関係な
く、低消費電力化機能の全てをOFFにして、耐タンパー
機能の全てをONにすることで、高安全性・高消費電力状
態とする。一見、秘密データが1つの場合より、2つの
場合の方を高安全性にする必要があると考えられる。し
かし、1つの電力波形が与えられた場合に、2つのベキ
指数を求めるより、1つのベキ指数を求めることの方が
容易である。なぜなら、方程式の解法からも分かるよう
に、1つの式が与えられた場合に、解が1つであれば解
けるが、解が2つであれば一意に決定できないので、解
くことができないからである。
C1,C2である場合は、秘密データが1つであり、秘匿
度1である。この場合には、暗号演算の種類に関係な
く、低消費電力化機能の全てをOFFにして、耐タンパー
機能の全てをONにすることで、高安全性・高消費電力状
態とする。一見、秘密データが1つの場合より、2つの
場合の方を高安全性にする必要があると考えられる。し
かし、1つの電力波形が与えられた場合に、2つのベキ
指数を求めるより、1つのベキ指数を求めることの方が
容易である。なぜなら、方程式の解法からも分かるよう
に、1つの式が与えられた場合に、解が1つであれば解
けるが、解が2つであれば一意に決定できないので、解
くことができないからである。
【0051】外部入力が、A1(またはA2),C1(また
はC2)である場合も、秘密データが1つであり、秘匿
度1である。ElGamal署名生成とElGamal復号化の場合が
これに該当する。この場合には、低消費電力化機能の全
てをOFFにして、耐タンパー機能のダミー演算をONにす
ることで、高安全性・高消費電力状態とする。混合演算
は、ベキ乗剰余演算が1つなのでOFFとなる。
はC2)である場合も、秘密データが1つであり、秘匿
度1である。ElGamal署名生成とElGamal復号化の場合が
これに該当する。この場合には、低消費電力化機能の全
てをOFFにして、耐タンパー機能のダミー演算をONにす
ることで、高安全性・高消費電力状態とする。混合演算
は、ベキ乗剰余演算が1つなのでOFFとなる。
【0052】外部入力が、A1,A2,C1,C2である場合
は、2つのベキ指数が両方とも秘密であり、秘匿度2で
ある。RSA署名生成とRSA復号化とElGamal暗号化の場合
がこれに該当する。RSAの復号・署名処理には中国人剰
余定理の利用を考える。この場合には、低消費電力化機
能のうち、クロック制御のみをONとし、耐タンパー機能
の混合処理のみをONとすることで、中安全性・中消費電
力状態とする。クロック制御とダミー演算は矛盾する機
能であるため、同時に実行することはできない。
は、2つのベキ指数が両方とも秘密であり、秘匿度2で
ある。RSA署名生成とRSA復号化とElGamal暗号化の場合
がこれに該当する。RSAの復号・署名処理には中国人剰
余定理の利用を考える。この場合には、低消費電力化機
能のうち、クロック制御のみをONとし、耐タンパー機能
の混合処理のみをONとすることで、中安全性・中消費電
力状態とする。クロック制御とダミー演算は矛盾する機
能であるため、同時に実行することはできない。
【0053】外部入力が、A1,A2,B1,B2,C1,C2で
ある場合は、秘密データが無くて秘匿度0である。ElGa
mal署名検証の場合がこれに該当する。この場合には、
低消費電力化機能の全てをONにして、耐タンパー機能の
ダミー演算をOFFにすることで、低安全性・低消費電力
状態とする。混合演算は、ベキ乗剰余演算が2つなので
ONとなる。
ある場合は、秘密データが無くて秘匿度0である。ElGa
mal署名検証の場合がこれに該当する。この場合には、
低消費電力化機能の全てをONにして、耐タンパー機能の
ダミー演算をOFFにすることで、低安全性・低消費電力
状態とする。混合演算は、ベキ乗剰余演算が2つなので
ONとなる。
【0054】外部入力が、A1(またはA2),B1(また
はB2),C1(またはC2)である場合は、秘密データが
無くて秘匿度0である。RSA暗号化とRSA署名検証の場合
がこれに該当する。この場合には、低消費電力化機能の
全てをONにして、耐タンパー機能のダミー演算をOFFに
することで、低安全性・低消費電力状態とする。混合演
算は、ベキ乗剰余演算が1つなのでOFFとなる。
はB2),C1(またはC2)である場合は、秘密データが
無くて秘匿度0である。RSA暗号化とRSA署名検証の場合
がこれに該当する。この場合には、低消費電力化機能の
全てをONにして、耐タンパー機能のダミー演算をOFFに
することで、低安全性・低消費電力状態とする。混合演
算は、ベキ乗剰余演算が1つなのでOFFとなる。
【0055】外部入力が無い場合は、暗号演算は行なわ
ないので、暗号回路へのクロック供給を止めて、スリー
プ状態とする。
ないので、暗号回路へのクロック供給を止めて、スリー
プ状態とする。
【0056】図12を参照して、具体的に説明する。暗号
回路で、外部入力4と記憶手段2のデータから、乗算剰
余演算回路21〜23を使って、 T1=A1B1 modC1 T2=A2B2 modC2 を計算する。
回路で、外部入力4と記憶手段2のデータから、乗算剰
余演算回路21〜23を使って、 T1=A1B1 modC1 T2=A2B2 modC2 を計算する。
【0057】外部入力4が、A1,A2,B1,B2,C1,C2
である場合は、演算に使用するすべてが公開データであ
り、秘密データはないので秘匿度は0である。切替制御
回路12では、ローパワーモードでよい判断して、クロッ
ク制御をONとするように低消費電力化機能制御回路14に
指示して、必要な回路のみにクロックを供給する。二乗
最適化機能もONとして、二乗演算を低消費電力化する。
さらに、耐タンパー手段のダミー演算をOFFとするよう
に耐タンパー機能制御回路13に指示する。ただし、混合
演算は、ベキ乗剰余演算が2つなのでONとなる。
である場合は、演算に使用するすべてが公開データであ
り、秘密データはないので秘匿度は0である。切替制御
回路12では、ローパワーモードでよい判断して、クロッ
ク制御をONとするように低消費電力化機能制御回路14に
指示して、必要な回路のみにクロックを供給する。二乗
最適化機能もONとして、二乗演算を低消費電力化する。
さらに、耐タンパー手段のダミー演算をOFFとするよう
に耐タンパー機能制御回路13に指示する。ただし、混合
演算は、ベキ乗剰余演算が2つなのでONとなる。
【0058】外部入力4が、A1(またはA2),B1(ま
たはB2),C1(またはC2)である場合も、演算に使用
するすべてが公開データであり、秘密データはないので
秘匿度は0である。切替制御回路12では、ローパワーモ
ードでよい判断して、クロック制御をONとするように低
消費電力化機能制御回路14に指示して、必要な回路のみ
にクロックを供給する。二乗最適化機能もONとして、二
乗演算を低消費電力化する。さらに、耐タンパー手段の
ダミー演算をOFFとするように耐タンパー機能制御回路1
3に指示する。ただし、混合演算は、ベキ乗剰余演算が
1つなのでOFFとなる。
たはB2),C1(またはC2)である場合も、演算に使用
するすべてが公開データであり、秘密データはないので
秘匿度は0である。切替制御回路12では、ローパワーモ
ードでよい判断して、クロック制御をONとするように低
消費電力化機能制御回路14に指示して、必要な回路のみ
にクロックを供給する。二乗最適化機能もONとして、二
乗演算を低消費電力化する。さらに、耐タンパー手段の
ダミー演算をOFFとするように耐タンパー機能制御回路1
3に指示する。ただし、混合演算は、ベキ乗剰余演算が
1つなのでOFFとなる。
【0059】外部入力4が、A1,A2,C1,C2である場
合は、記憶手段2の秘密のベキ指数B1,B2を使用する
秘密演算なので秘匿度は2であり、ノーマルモードとす
る。クロック制御をONとして、必要な回路のみにクロッ
クを供給する。二乗最適化機能はOFFとして、二乗演算
の低消費電力化は行なわない。耐タンパー手段のダミー
演算はOFFとする。混合演算は、ベキ乗剰余演算が2つ
なのでONとなる。
合は、記憶手段2の秘密のベキ指数B1,B2を使用する
秘密演算なので秘匿度は2であり、ノーマルモードとす
る。クロック制御をONとして、必要な回路のみにクロッ
クを供給する。二乗最適化機能はOFFとして、二乗演算
の低消費電力化は行なわない。耐タンパー手段のダミー
演算はOFFとする。混合演算は、ベキ乗剰余演算が2つ
なのでONとなる。
【0060】外部入力4が、A1,A2,B1(またはB2),
C1,C2である場合は、記憶手段2の秘密のベキ指数B2
(またはB1)を使用する秘密演算なので秘匿度は1であ
り、セキュアモードとする。クロック制御と二乗最適化
機能をOFFとして、低消費電力化は行なわない。耐タン
パー手段のダミー演算はONとする。混合演算は、ベキ乗
剰余演算が2つなのでONとなる。
C1,C2である場合は、記憶手段2の秘密のベキ指数B2
(またはB1)を使用する秘密演算なので秘匿度は1であ
り、セキュアモードとする。クロック制御と二乗最適化
機能をOFFとして、低消費電力化は行なわない。耐タン
パー手段のダミー演算はONとする。混合演算は、ベキ乗
剰余演算が2つなのでONとなる。
【0061】外部入力4が、A1(またはA2),C1(ま
たはC2)である場合は、記憶手段2の秘密のベキ指数
B1(またはB2)を使用する秘密演算なので秘匿度は1
であり、セキュアモードとする。クロック制御と二乗最
適化機能をOFFとして、低消費電力化は行なわない。耐
タンパー手段のダミー演算はONとする。混合演算は、ベ
キ乗剰余演算が1つなのでOFFとなる。
たはC2)である場合は、記憶手段2の秘密のベキ指数
B1(またはB2)を使用する秘密演算なので秘匿度は1
であり、セキュアモードとする。クロック制御と二乗最
適化機能をOFFとして、低消費電力化は行なわない。耐
タンパー手段のダミー演算はONとする。混合演算は、ベ
キ乗剰余演算が1つなのでOFFとなる。
【0062】上記のように、本発明の第6の実施の形態
では、暗号回路を、演算対象データの秘密の程度に応じ
て、耐タンパー手段の複数の強度レベルの1つと、動作
モードの複数の強度レベルの1つを同時に選択する構成
としたので、演算対象データの秘密の程度に応じて、常
に自動的に安全性と消費電力が最適化される。
では、暗号回路を、演算対象データの秘密の程度に応じ
て、耐タンパー手段の複数の強度レベルの1つと、動作
モードの複数の強度レベルの1つを同時に選択する構成
としたので、演算対象データの秘密の程度に応じて、常
に自動的に安全性と消費電力が最適化される。
【0063】
【発明の効果】以上の説明から明らかなように、本発明
では、公開データを入力する入力手段と、暗号回路しか
アクセスできない記憶手段から秘密データを取得する手
段と、公開データと秘密データまたは公開データのみか
らなる演算対象データに対して所定の演算を行なう演算
処理手段と、暗号回路の演算処理と秘密データとの秘密
を保護する複数レベルを有する保護手段と、保護手段を
制御する制御手段とを具備する暗号回路の制御手段に、
演算対象データに基づいて演算処理と秘密データとの秘
密保護に必要な保護レベルを判断する判断手段と、保護
レベルに応じて保護手段のレベルを選択して保護手段を
制御する選択手段とを設けたので、必要な場合にのみ、
暗号回路内部で、自動的保護機能を動作させて、耐タン
パー性を維持しながら、余分な消費電力の増加を抑える
ことができるという効果が得られる。
では、公開データを入力する入力手段と、暗号回路しか
アクセスできない記憶手段から秘密データを取得する手
段と、公開データと秘密データまたは公開データのみか
らなる演算対象データに対して所定の演算を行なう演算
処理手段と、暗号回路の演算処理と秘密データとの秘密
を保護する複数レベルを有する保護手段と、保護手段を
制御する制御手段とを具備する暗号回路の制御手段に、
演算対象データに基づいて演算処理と秘密データとの秘
密保護に必要な保護レベルを判断する判断手段と、保護
レベルに応じて保護手段のレベルを選択して保護手段を
制御する選択手段とを設けたので、必要な場合にのみ、
暗号回路内部で、自動的保護機能を動作させて、耐タン
パー性を維持しながら、余分な消費電力の増加を抑える
ことができるという効果が得られる。
【図1】本発明の第1の実施の形態における暗号回路の
概念図、
概念図、
【図2】本発明の第2の実施の形態における暗号回路の
概念図、
概念図、
【図3】本発明の第3の実施の形態における暗号回路の
概念図、
概念図、
【図4】本発明の第4の実施の形態における暗号回路の
概念図、
概念図、
【図5】本発明の第4の実施の形態における暗号回路の
別の例の概念図、
別の例の概念図、
【図6】本発明の第5の実施の形態における暗号回路の
概念図、
概念図、
【図7】本発明の第6の実施の形態における暗号回路の
概念図、
概念図、
【図8】本発明の第6の実施の形態における暗号回路の
概念図、
概念図、
【図9】本発明の第6の実施の形態における暗号回路で
使用するベキ乗剰余演算回路の概念図、
使用するベキ乗剰余演算回路の概念図、
【図10】本発明の第6の実施の形態における暗号回路
で使用する演算対象データの属性と動作モードおよび耐
タンパー機能との対応表、
で使用する演算対象データの属性と動作モードおよび耐
タンパー機能との対応表、
【図11】本発明の第6の実施の形態における暗号回路
で使用する秘匿度および暗号演算種類と動作モードおよ
び耐タンパー機能との対応表、
で使用する秘匿度および暗号演算種類と動作モードおよ
び耐タンパー機能との対応表、
【図12】本発明の第6の実施の形態における暗号回路
の具体的構成図、
の具体的構成図、
【図13】従来の耐タンパー機能を有する暗号回路の概
念図、
念図、
【図14】従来の低消費電力動作モードを有する暗号回
路の概念図である。
路の概念図である。
1 制御手段 2 記憶手段 3 演算手段 4 外部入力 5 耐タンパー手段 6 動作モード手段 7 3以上の強度レベルを有する耐タンパー手段 8 3以上の強度レベルを有する動作モード手段 9 強度レベル高の副耐タンパー手段 10 強度レベル中の副耐タンパー手段 11 強度レベル低の副耐タンパー手段 12 切替制御回路 13 耐タンパー機能制御回路 14 低消費電力化機能制御回路 21 第1の乗算剰余演算回路 22 第2の乗算剰余演算回路 23 第3の乗算剰余演算回路 24 左向き演算制御回路 25 切替回路
───────────────────────────────────────────────────── フロントページの続き (72)発明者 松崎 なつめ 神奈川県横浜市港北区新横浜三丁目20番地 8 株式会社高度移動通信セキュリティ技 術研究所内 Fターム(参考) 5J104 AA16 AA37 AA45 EA04 JA23 NA37 PA02
Claims (18)
- 【請求項1】 公開データを入力する入力手段と、当該
暗号回路しかアクセスできない記憶手段から秘密データ
を取得する手段と、前記公開データと前記秘密データま
たは前記公開データのみからなる演算対象データに対し
て所定の演算を行なう演算処理手段と、当該暗号回路の
演算処理と前記秘密データとの秘密を保護する複数レベ
ルを有する保護手段と、前記保護手段を制御する制御手
段とを具備する暗号回路において、前記制御手段に、前
記演算対象データに基づいて前記演算処理と前記秘密デ
ータとの秘密保護に必要な保護レベルを判断する判断手
段と、前記保護レベルに応じて前記保護手段のレベルを
選択して前記保護手段を制御する選択手段とを設けたこ
とを特徴とする暗号回路。 - 【請求項2】 前記判断手段として、外部からの指示に
よらずに内部で自動的に前記演算対象データに基づいて
前記演算処理と前記秘密データとの秘密保護に必要な保
護レベルを判断する手段を設け、前記選択手段として、
外部からの指示によらずに内部で自動的に前記保護レベ
ルに応じて前記保護手段のレベルを選択して前記保護手
段を制御する手段を設けたことを特徴とする請求項1記
載の暗号回路。 - 【請求項3】 前記保護手段として、当該暗号回路に対
するタンパー攻撃から前記演算処理と前記秘密データと
の秘密を保護する複数の強度レベルを有する耐タンパー
手段を設け、前記判断手段として、前記演算対象データ
に基づいて前記演算処理と前記秘密データとの秘密保護
に必要な設定強度レベルを判断する手段を設け、前記選
択手段として、前記設定強度レベルに応じて前記耐タン
パー手段の強度レベルを選択して前記耐タンパー手段を
制御する手段を設けたことを特徴とする請求項1記載の
暗号回路。 - 【請求項4】 前記保護手段として、当該暗号回路に対
するタンパー攻撃から前記演算処理と前記秘密データと
の秘密を保護する複数の消費電力レベルを有する動作モ
ード手段を設け、前記判断手段として、前記演算対象デ
ータに基づいて前記演算処理と前記秘密データとの秘密
保護に必要な設定消費電力レベルを判断する手段を設
け、前記選択手段として、前記設定消費電力レベルに応
じて前記動作モード手段の消費電力レベルを選択して前
記動作モード手段を制御する手段を設けたことを特徴と
する請求項1記載の暗号回路。 - 【請求項5】 前記保護手段として、当該暗号回路に対
するタンパー攻撃から前記演算処理と前記秘密データと
の秘密を保護するための、複数の強度レベルを有する耐
タンパー手段と、複数の消費電力レベルを有する動作モ
ード手段とを設け、前記判断手段として、前記演算対象
データに基づいて前記演算処理と前記秘密データとの秘
密保護に必要な設定強度レベルと設定消費電力レベルと
を判断する手段とを設け、前記選択手段として、前記設
定強度レベルに応じて前記耐タンパー手段の強度レベル
を選択して前記耐タンパー手段を制御する手段と、前記
設定消費電力レベルに応じて前記動作モード手段の消費
電力レベルを選択して前記動作モード手段を制御する手
段とを設けたことを特徴とする請求項1記載の暗号回
路。 - 【請求項6】 前記耐タンパー手段として、複数の強度
レベルを有する単一の耐タンパー手段または強度レベル
の異なる複数の耐タンパー手段を設けたことを特徴とす
る請求項3または5記載の暗号回路。 - 【請求項7】 前記判断手段として、前記演算対象デー
タが前記秘密データを含むか否かに応じて前記演算処理
と前記秘密データとの秘密保護に必要な保護レベルを判
断する手段を設けたことを特徴とする請求項1記載の暗
号回路。 - 【請求項8】 前記判断手段に、前記演算対象データに
含まれる前記秘密データの個数に応じて保護レベルを判
断する手段を設けたことを特徴とする請求項7記載の暗
号回路。 - 【請求項9】 前記判断手段に、前記演算対象データに
含まれる前記秘密データが1つである場合には最も高い
保護レベルが必要であると判断する手段を設けたことを
特徴とする請求項8記載の暗号回路。 - 【請求項10】 前記判断手段に、前記演算対象データ
に前記秘密データが含まれない場合には最低消費電力レ
ベルを必要な設定消費電力レベルと判断する手段を設け
たことを特徴とする請求項4または5記載の暗号回路。 - 【請求項11】 前記判断手段に、暗号アルゴリズムに
応じて保護レベルを判断する手段を設けたことを特徴と
する請求項1記載の暗号回路。 - 【請求項12】 前記判断手段に、前記演算対象データ
に対する演算処理が、暗号、復号、署名生成、署名検
証、鍵共有、認証情報生成、認証情報検証のいずれであ
るかに応じて保護レベルを判断する手段を設けたことを
特徴とする請求項1記載の暗号回路。 - 【請求項13】 前記判断手段に、前記演算対象データ
の暗号アルゴリズムが同一の入力データに対して常に異
なる出力データを出力するものであるか否かに応じて保
護レベルを判断する手段を設けたことを特徴とする請求
項11記載の暗号回路。 - 【請求項14】 前記判断手段に、前記演算対象データ
のビット数に応じて保護レベルを判断する手段を設けた
ことを特徴とする請求項1記載の暗号回路。 - 【請求項15】 前記判断手段に、前記演算対象データ
が秘密データを含むか否かと、前記演算対象データに含
まれる秘密データの個数と、前記暗号アルゴリズムと、
前記暗号アルゴリズムが同一の入力データに対して常に
異なる出力データを出力するものであるか否かと、前記
演算対象データに対する演算処理が、暗号、復号、署名
生成、署名検証、鍵共有、認証情報生成、認証情報検証
のいずれであるかと、前記演算対象データのビット数の
うちの2つ以上の組合せに応じて保護レベルを判断する
手段を設けたことを特徴とする請求項1記載の暗号回
路。 - 【請求項16】 前記保護手段は、前記耐タンパー手段
が低い強度レベルでありかつ前記動作モード手段が低消
費電力レベルである第1の動作モードと、前記耐タンパ
ー手段が中程度の強度レベルでありかつ前記動作モード
手段が中程度の消費電力レベルである第2の動作モード
と、前記耐タンパー手段が高い強度レベルでありかつ前
記動作モード手段が高消費電力レベルである第3の動作
モードとを有することを特徴とする請求項5記載の暗号
回路。 - 【請求項17】 公開データと、暗号回路のみがアクセ
ス可能な秘密データとからなる演算対象データに対し
て、前記暗号回路で所定の演算処理を行なうとともに、
前記暗号回路の動作に対して、強度レベルの異なる複数
の秘密保護処理の1つを実行する暗号制御方法におい
て、前記演算対象データに基づいて前記演算処理の秘密
保護に必要な保護レベルを判断し、前記保護レベルに応
じた強度レベルの秘密保護処理を選択して実行すること
を特徴とする暗号制御方法。 - 【請求項18】 公開データと、暗号プログラムのみが
アクセス可能な秘密データとからなる演算対象データに
対して、前記暗号プログラムで所定の演算処理を行なう
とともに、前記暗号プログラムの動作に対して、強度レ
ベルの異なる複数の秘密保護処理の1つを実行する暗号
制御方法において、前記演算対象データに基づいて前記
演算処理の秘密保護に必要な保護レベルを判断し、前記
保護レベルに応じた強度レベルの秘密保護処理を選択し
て実行することを特徴とする暗号制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000332915A JP2002141897A (ja) | 2000-10-31 | 2000-10-31 | 耐タンパー機能を有する暗号回路 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000332915A JP2002141897A (ja) | 2000-10-31 | 2000-10-31 | 耐タンパー機能を有する暗号回路 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002141897A true JP2002141897A (ja) | 2002-05-17 |
Family
ID=18809059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000332915A Pending JP2002141897A (ja) | 2000-10-31 | 2000-10-31 | 耐タンパー機能を有する暗号回路 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002141897A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005236977A (ja) * | 2004-02-19 | 2005-09-02 | Samsung Electronics Co Ltd | 電力分析攻撃に安全な基本演算装置および方法 |
| JP2007074701A (ja) * | 2005-09-07 | 2007-03-22 | Fineart Technology Co Ltd | 情報安全の暗号方法、情報安全の復号方法及びパソコンにより読取可能な記録メディア |
| JP2007116215A (ja) * | 2005-10-18 | 2007-05-10 | Fuji Electric Holdings Co Ltd | 耐タンパーモジュール装置 |
| WO2008053626A1 (fr) * | 2006-10-30 | 2008-05-08 | Sharp Kabushiki Kaisha | Appareil de cryptage |
| JP2010011353A (ja) * | 2008-06-30 | 2010-01-14 | Fujitsu Ltd | 演算処理装置 |
| US8699884B2 (en) | 2009-03-30 | 2014-04-15 | Fujitsu Limited | Optical transmission system and optical transmission method |
| JP2018093352A (ja) * | 2016-12-01 | 2018-06-14 | 株式会社ユビキタス | 情報処理システム、機能組込方法、情報処理装置、情報処理方法および情報処理プログラム |
-
2000
- 2000-10-31 JP JP2000332915A patent/JP2002141897A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005236977A (ja) * | 2004-02-19 | 2005-09-02 | Samsung Electronics Co Ltd | 電力分析攻撃に安全な基本演算装置および方法 |
| JP2007074701A (ja) * | 2005-09-07 | 2007-03-22 | Fineart Technology Co Ltd | 情報安全の暗号方法、情報安全の復号方法及びパソコンにより読取可能な記録メディア |
| JP2007116215A (ja) * | 2005-10-18 | 2007-05-10 | Fuji Electric Holdings Co Ltd | 耐タンパーモジュール装置 |
| WO2008053626A1 (fr) * | 2006-10-30 | 2008-05-08 | Sharp Kabushiki Kaisha | Appareil de cryptage |
| JP2008113130A (ja) * | 2006-10-30 | 2008-05-15 | Sharp Corp | 暗号化装置 |
| JP2010011353A (ja) * | 2008-06-30 | 2010-01-14 | Fujitsu Ltd | 演算処理装置 |
| US8699884B2 (en) | 2009-03-30 | 2014-04-15 | Fujitsu Limited | Optical transmission system and optical transmission method |
| JP2018093352A (ja) * | 2016-12-01 | 2018-06-14 | 株式会社ユビキタス | 情報処理システム、機能組込方法、情報処理装置、情報処理方法および情報処理プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Saputra et al. | Masking the energy behavior of DES encryption [smart cards] | |
| EP0670645B1 (en) | Method for session key generation and updating in a distributed communication network | |
| Liu et al. | A low overhead DPA countermeasure circuit based on ring oscillators | |
| US8687799B2 (en) | Data processing circuit and control method therefor | |
| US7543159B2 (en) | Device and method with reduced information leakage | |
| KR100720726B1 (ko) | Rsa 알고리즘을 이용한 보안유지시스템 및 그 방법 | |
| US8935534B1 (en) | MACSec implementation | |
| Hasan | Power analysis attacks and algorithmic approaches to their countermeasures for Koblitz curve cryptosystems | |
| US20100067685A1 (en) | Encryption device | |
| US11115181B2 (en) | Memory device, host device, and memory system | |
| EP1836554A1 (en) | Method and related device for hardware-oriented conversion between arithmetic and boolean random masking | |
| CN101180606A (zh) | 模逆元的确定 | |
| Lin et al. | Leakage-based differential power analysis (LDPA) on sub-90nm CMOS cryptosystems | |
| Althoff et al. | Hiding intermittent information leakage with architectural support for blinking | |
| US20170302435A1 (en) | Encryption/decryption apparatus and power analysis protecting method thereof | |
| US20090327382A1 (en) | Pseudo-random number generation device, stream encryption device and program | |
| Homma et al. | Electromagnetic information leakage for side-channel analysis of cryptographic modules | |
| US20180097613A1 (en) | Encryption device and memory device | |
| JP2002141897A (ja) | 耐タンパー機能を有する暗号回路 | |
| WO2008064704A1 (en) | Method and device for preventing information leakage attacks on a device implementing a cryptographic function | |
| TW201225613A (en) | Electronic device and method for protecting against differential power analysis attack | |
| Surya et al. | Local clock glitching fault injection with application to the ASCON cipher | |
| Ziad et al. | Homomorphic data isolation for hardware trojan protection | |
| US20060020822A1 (en) | Device and method for calculating encrypted data from unencrypted data or unencrypted data from encrypted data | |
| Guo et al. | Unified lightweight authenticated encryption for resource-constrained electronic control unit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040601 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050405 |