JP2002542504A - 同一の秘密鍵の暗号アルゴリズムを使用して1つまたは複数の電子装置を保護する方法、当該方法の使用および当該電子装置 - Google Patents
同一の秘密鍵の暗号アルゴリズムを使用して1つまたは複数の電子装置を保護する方法、当該方法の使用および当該電子装置Info
- Publication number
- JP2002542504A JP2002542504A JP2000611431A JP2000611431A JP2002542504A JP 2002542504 A JP2002542504 A JP 2002542504A JP 2000611431 A JP2000611431 A JP 2000611431A JP 2000611431 A JP2000611431 A JP 2000611431A JP 2002542504 A JP2002542504 A JP 2002542504A
- Authority
- JP
- Japan
- Prior art keywords
- secret
- electronic device
- cryptographic
- bits
- conversion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/003—Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/125—Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Input From Keyboards Or The Like (AREA)
Abstract
Description
置(コンピュータシステム)の安全化方法と、この方法の使用および電子装置と
に関する。より詳しくは、計算を実施する方法を秘密データに依存させることを
めざしており、秘密データは、介在する電子装置もしくは使用される秘密鍵に応
じて異なったものにすることができる。本発明の目的は、電子装置が、いわゆる
DKDPA(「Differential Key Differential
Power Analysis」)といった一定の物理的な攻撃タイプに対し
て耐性を失わせないようにすることにある。DKDPAは、異なる秘密鍵を用い
て行われる計算を複数回実行する間に、1つまたは複数の電子装置の電力消費量
を調べて、秘密鍵に関する情報を得ようとするものであって、(たとえば攻撃者
が、これらの計算の少なくとも1つに対して秘密鍵を自分で設定することができ
た場合)少なくとも1つの秘密鍵が攻撃者により知られてしまう。
するために秘密鍵を使用する。これは、暗号化操作、復号化操作、または署名操
作あるいは署名の確認操作、認証操作または破棄操作に関する。暗号アルゴリズ
ムは、入力および出力を知った攻撃者が、実際には、秘密鍵そのものについて如
何なる情報も引き出せないように構成される。
で一般に示された分類よりも広い分類に関与する。特に、本特許出願に記載され
たものは全て、「公開鍵アルゴリズム」すなわち「非対称アルゴリズム」と呼ば
れるアルゴリズムにも適用される。非対称アルゴリズムは、事実、公開鍵ともう
1つの秘密鍵との2つの鍵を含んでおり、攻撃の対象となる後者について以下に
説明する。
cherおよびCryptographic Research(Confer
document Introduction to Differenti
al Power Analysis and Related Attack
s by Paul Kocher,Joshua Jaffe,and Be
njamin Jun, Cryptography Research,87
0 Market St.,Suite 1008,San Francisc
o,CA94102;下記のURLアドレスにおけるHTML文書版: http://www.cryptography.com/dpa/tec
hnical/index.html を資料として本出願に挿入)により開発されたものであり、実際には、攻撃者が
、計算の実行時に、単なる入出力データ、たとえばマイクロコントローラの電力
消費量とか、回路から放出される電磁放射線とかいったデータ以外の情報を収集
できると確認することから出発している。
sis」)は、この同一の秘密鍵を用いた多数の計算で実施されるエネルギー消
費量の測定結果を統計的に分析して、電子装置に含まれる秘密鍵についての情報
を得ることを可能にする攻撃である。
ndard)アルゴリズムの場合を考慮する。このアルゴリズムは、以下の資料
の1つに記載されている。
dard 1994; FIPS PUB 74,Guidelines for Implemen
ting and Using the NBS Data Encrypti
on Standard,1981; ANSI X3.92,American National Standa
rd, Data Encryption Algorithm 1981; ISO/IEC 8731:1987,Banking−Approved
Algorithms for Message Authenticatio
−Part 1:Data Encryption Algorithm(DE
A)。
,Applied Cryptography,第2版, John Wile
y&Sons,1996,270ページ。
Aに示したような、「ラウンド」と呼ばれる16ステップで展開される。16個
のラウンドの各々で、変換Fが、第1のラウンドで入力メッセージ(E)の半分
(R0)を構成する32ビット(Ri)で実施される。各ラウンドでは、32ビ
ットの暗号化情報から形成される一部(Ri)が、32ビットの暗号秘密鍵(K
s)からなる一部(Ki)と関数Fで組み合わされる。この関数Fは、各ラウン
ドで、6ビットから4ビットへの非線形変換を8回使用する。これはS1、S2 、...、S8(図1b、2b)と示され、「箱S」と呼ばれる符号化テーブル
において、それぞれ符号化されて記憶される。これらの8個の箱Sは、全てのカ
ードまたは全ての電子装置に対して同じである。ただ、暗号鍵だけが、カードあ
るいは電子装置間で異なる。各箱Sは、4個の1ビット列×64(26)行を備
えるテーブルである。勿論、これらのテーブルは、場所を節約できるようにする
ように違ったやり方でメモリに配置してもよい。
Ri)に対して関数Fが実施する変換Fが、常に以下のカテゴリーの1つに入れ
られることが分かる。
ットの結果Ri”を得る。
より、非線形変換する。
換Pを行う(この置換は、DES標準により規定されて課される)。
はステップi−2で供給される32ビットの結果と組み合わされる。
に実施可能である。
ンドDESの電力消費量を測定する。こうした1000回の計算の入力値を、E
[1]、...、[E1000]と記す。計算時に測定された電力消費量の対応
する1000個の曲線をC[1]、...、[C1000]と記す。また、10
00個の電力消費量曲線の平均曲線CMを同様に計算する。
ビットに注目する。このビットの値をbと記す。bは、6ビットの秘密鍵だけに
依存することが容易に分かる。攻撃者は、関与する6ビットを仮定する。これら
の6ビットおよびE[i]から、bに対して期待される理論上の値を計算する。
これにより、1000個の入力E[1]、...、E[1000]を、b=0の
カテゴリーとb=1のカテゴリーの2つのカテゴリーに分けることができる。
均値CM’を保持する。CMとCM’の差が著しい場合、6ビットの鍵に対して
考慮された値は正しいものとみなされる。統計的な意味で、CMとCM’に著し
い差がない場合、すなわち、測定ノイズの標準偏差を大きく超える差がない場合
、6ビットに対して別の選択肢で第2ステップをやり直す。
から送られるターゲットビットbで、第2ステップおよび第3ステップを繰り返
す。従って、最終的には48ビットの秘密鍵が得られる。
ができる。
る位置についても何の知識も必要としない。攻撃者が、アルゴリズムの出力と、
対応する電力消費曲線とを知っていると仮定した場合も同様に、この攻撃が適用
される。こうした攻撃は、単に、次のような根本的な仮定に基づいているだけで
ある。
32ビット未満のいくつかの鍵のビットを知ることにより、2個の入力または2
個の出力が、この変数に対して同じ値を与えるか否か判断することができる。
れうるが、これは、通常の実施形態が一般に上記の仮定の範囲に留まっているか
らである。
ential Power Analysis」)と呼ばれる攻撃は、上記のD
PA攻撃を一般化したものである。この攻撃は、複数の異なる情報源を使用可能
であす。すなわち、電力消費量に加えて、電磁放射線や温度等の測定を実施した
り、単なる平均概念よりもずっと複雑な統計処理、(上記のビットbを一般化し
た)初歩的でない中間変数を使用したりすることができる。しかしながら、この
攻撃は、DPAと同じ根本的な仮定に全く基づいている。
密鍵Ksによる暗号計算プロセスに対して、前記根本的な仮定が検証されないよ
うに、アルゴリズムの実施形態を修正することからなる。それは、計算された中
間変数のどれもが、秘密鍵の容易にアクセス可能な部分集合の知識に依存しない
からである。
数の異なる計算プロセス部分PPC1〜PPCK(図3)に分割され、次いで第
2に、電子装置内で、分割されないときに暗号計算によって得られる値に対応す
る最終値Vを、前記異なる計算プロセス部分PPC1〜PPCKによって得られ
る部分中間結果v1〜vkから再生する。
間変数vを、k個の変数v1、v2、...、vkに代え、v1、v2、...
、vkが、必要に応じてvを再生できるようにする修正計算アルゴリズムから構
成される。より詳しくは、これは、v=f(v1,v2,...,vk)である
ようにvを決定可能な関数fが存在し、修正アルゴリズムによって実施される分
割が、この関数を満たすことを意味する。しかも、fは、好適には次のような第
1の条件を満たすものとする。
には、式f(v1,...,vk)を満たす(k−1)項組(v1,...,v i−1 ,vi+1,...,vk)が存在するような値viの集合に関する情報
を決して導き出すことはできない。
変数v1、v2、...、vkに代えることによって、アルゴリズムを「翻訳」
する。
いて以下の追加条件(条件2)を課す。
v1、v2、...、またはvkについて実施される変換が、vを計算し直さな
くてもインプリメント可能であるように構成する。
修正計算アルゴリズムDESMを構成して、計算中に介在して入力または出力デ
ータに依存する各中間変数vを、たとえば2個の変数v1、v2に分割する(k
=2)。上記の例1の関数f(v1,v2)=v=v1○+v2は、条件1の構
成を満たすものとみなされる。DESアルゴリズムの構成により、vについて行
われる変換が、常に次の5つのカテゴリーの1つに入ることが容易に認められる
。
従って、条件2は、こうした線形変換に対して、検証がきわめて簡単であり、一
般にvに対して実施される変換の代わりに、v1、次いでv2を置換もしくは拡
大するだけで十分である。変換前に真であった関係式f(v1,v2)=vは、
変換後も真であり続ける。
v”2=v”○+v’2とに代えるだけでよい。式f(v1,v2)=vと、f
(v’1,v’2)=v’から、f(v”1,v”2)=v”が適切に得られ、
条件2がさらに検証される。
もまたすぐに満たすことができる。すなわち、v○+cを、v1○+cまたはv 2 ○+cに代えるだけでよく、これによって条件2が満たされる。
4ビットの出力を生成する箱Sとして構成された、所定の従来技術の非線形変換
v’=S(v)の代わりに、電子装置は、それぞれが12ビットから4ビットへ
のテーブルの形態をとることができる新しい2個の箱Sによって、変形実施形態
で(v’1,v’2)=S’(v1,v2)の変換を行う。等式f(v’1,v
’2)=v’を保証するには、以下の選択をするだけで十分である。
い)箱S(図4bのS’1)は、(v1,v2)にA(v1,v2)を関連付け
る変換テーブル(v1,v2)→A(v1,v2)に対応し、第2の(新しい)
箱S(S’2)は、(v1,v2)にS(v1○+v2)○+A(v1,v2)
を関連付ける変換テーブル(v1,v2)→S(v1○+v2)○+A(v1,
v2)に対応する。任意関数Aの存在により、条件1を保証できる。また、テー
ブルの使用によりv1○+v2を計算する必要がないので、条件2を満たすこと
ができる。
場合、マイクロ計算機カードのROMに記憶可能である。
イプの計算ステップの場合、図4Cに示したように、k個の部分に分割されるこ
とができる。nビットの変換出力を、mビットの入力の関数であるアドレスで読
み込む変換テーブルによって記述されたmビットからnビットへの非線形変換を
用いた従来の暗号計算プロセスに比べて、修正暗号計算アルゴリズムDESMは
、分割のない時に入力変数Eの役割を果たすmビットの中間変数に実施される従
来の暗号計算プロセスのmビットからnビットへの各非線形変換を、mビットの
部分中間変数v1〜vkの集合kの部分中間変数にそれぞれ実施される、複数k
個のkmビットからnビットへの部分非線形変換に代える。本発明が目的とする
方法の特に注目すべき特徴によれば、こうした部分非線形変換が、k個の部分変
換テーブルによって記述および構成され、各テーブルのnビットの出力それぞれ
が、この変換の変数v’1、変数v’2、...変数v’kをそれぞれ構成し、
k個のkmビット入力群のうち、1つの入力群の関数であるアドレスで読み込ま
れる。
従来の記述の8個の各箱Sに対して、同じ任意関数Aを完全に使用可能であり、
それによって、新しい蓄積箱Sを、16個の代わりに9個だけにすることができ
る。
しながら説明する。
られた当初のインプリメンテーションの各非線形変換v’=S(v)(DESの
例では、6ビットの入力が受信され、4ビットの出力が出力される)の代わりに
、6ビットから4ビットへのテーブルをそれぞれ含む2個の箱S(S’1、S’ 2 )により、この第2の変形実施形態で、変換(v’1,v’2)=S’(v1 ,v2)を行う以下の方法を同様に使用することができる。当初使用されたv’
=S(v)の計算は、修正アルゴリズムでは、以下の2つの計算に代えられる。
しい)箱S(図4DではS’1)は、v0をA(v0)に関連付ける変換テーブ
ルv0→A(v0)に対応し、第2の(新しい)箱S(図4DではS’2)は、
v0をS(φ−1(v0))○+A(v0)に関連付ける変換テーブルv0→S
(φ−1(v0))○+A(v0)A(v0)に対応する。構成上、等式f(v
’1,v’2)=v’が常に得られる。任意関数Aにより、条件1を保証できる
。テーブルの使用により、φ−1(v0)=v1○+v2を計算する必要はない
。
形タイプの対応計算ステップを、変形実施形態2に従って、本発明が目的とする
方法に修正したものを示した。nビットの出力を、mビットの入力の関数である
アドレスで読み込む変換テーブルにより記述されたmビットからnビットへの非
線形変換に対する入力変数Eに実施されたk個の部分への分割に加えて、暗号計
算プロセスは、従来の計算プロセスの入力変数Eの役割を果たすmビットの中間
変数に実施されるmビットからnビットへの各非線形変換を、mビットの部分中
間変数v1〜vkの集合kに実施されるkmビットからknビットへの部分非線
形変換に代えることによって修正される。こうした部分非線形変換は、k個のk
mビットからnビットへの変換テーブルにより記述および構成され、変換テーブ
ルの各入力は、j∈[1,k]のとき、式φjof(v1,...,vk)に従
って、部分中間変数の関数f(v1,...,vk)に、秘密全単射関数φjを
適用して得られる値を受信する。上記の式φjof(v1,...,vk)の写
像は、結果値の直接見積もりによって実施され、結果値を1〜kの対応する変換
テーブルの入力に入力することにより、mビットの入力の関数であるアドレスで
、n個の変換出力ビットv’1またはv’2または...v’kを読み込むこと
ができる。
6、n=4であるものとする。
、v0=φ(v1○+v2)の計算が、v1○+v2を計算し直さずに行えるよ
うにする。
ような選択の範囲では、6ビットにおける値の集合が、2個の要素を持つ有限体
F2における寸法6のベクトル空間であるものとみなす。実際には、φを選択す
ることは、係数が0または1である寸法6×6の可逆的な任意マトリクスを選択
することに帰す。このようにφを選択することにより、条件2が満たされること
が容易に分かる。事実、φ(v1○+v2)を計算するには、φ(v1)、次い
でφ(v2)を計算してから、さらに得られた2つの結果の「排他的OR」を計
算するだけでよい。
以下によって規定される。
射秘密関数を選択する。「二次」という表現は、ここでは、関数φの出力値の各
ビットが、有限体F2の6個の要素で識別される6個の入力ビットの二次の多項
式関数によって与えられる。実際には、式φ(x)=t(s(x)5)によって
定義される関数φを選択可能であり、ここでsは、Lに対する(F2)6の全単
射秘密線形写像であり、tは、(F2)6に対するLの全単射秘密線形写像であ
る。Lは、有限体F2の6次の代数外延(algebraic extensi
on)を示す。この関数φの全単射特徴は、a→a5が外延Lへの全単射(従っ
て逆は、b→b38)であることによって生ずる。さらに条件2を満たすには、
次のように表すだけでよい。
よびtが、F2に対するLの基(1、X、X2、X3、X4、X5)に対して、
またF2に対する(F2)6の標準基に対して、
。
)=t(s(x)4/s(y))を使用し、以下の規則により、12ビットの入
力に応じて6ビットの出力が得られる。
低減するために、上記の2つの変形実施形態(変形実施形態1および2)の考え
方を同時に適用することができる。すなわち、箱Sとして与えられた各非線形変
換の新たなインプリメンテーションにおいて、同じ秘密全単射φ(6ビットから
6ビットに)および同じ任意の秘密関数A(6ビットから6ビットに)によって
、変形実施形態2を用いる。
PA攻撃に弱いことにある。
することができる。しかしながら、秘密鍵による暗号アルゴリズムの新しい実施
形態は、従来のDPA攻撃がうまくいかなくても、別の攻撃に対して弱い場合が
ある。以下、この別の攻撃をDKDPA(「Differential Key
and Differential Power Analysis」)と呼
ぶ。次に、この攻撃の一般原理について説明する。
ゴリズムの秘密鍵を知っている。各電子装置に対し、攻撃者は既に秘密鍵を知っ
ているが、あたかも秘密鍵を知らないかのようにDPA攻撃を実施する。前述の
原理に従って、6ビットの秘密鍵を仮定し、これらの6ビットの各選択肢に対し
て、平均消費曲線の差を示す64個の曲線を得る。
選択肢に対して、DPAが異例の現象を示すことがある(すなわち、64個の曲
線の内の1つに対して通常とは異なる頂点または空洞がある)。もちろん、特定
の6ビットの秘密鍵は、本物の秘密鍵に対応しないが、この6ビット(K’と記
す)と、本物の秘密鍵に対応する6ビット(Kと記す)との「排他的OR」は、
しばしば定数Cになり、すなわち、攻撃者が秘密鍵を知っている各電子装置に対
して、常にK○+K’=Cになる。
見つけることができる。つまり、標準DPA攻撃を実施し、その後、通常とは異
なる曲線を示す6ビットの特定の選択肢K’を記し、最後に、K=K’○+Cを
計算することによって、Kを導き出す。Cは、前述と同様に得られる。
を改善することにある。
数の電子装置によって実施される暗号計算プロセスの実施形態が、検討される電
子要素や、暗号プロセスが用いる秘密鍵とは無関係に、常に同じになることによ
って可能になる。
またはシステムのDKDPA攻撃の危険性をなくすことを目的とする。
よる暗号計算プロセスを実施し、暗号秘密鍵による暗号計算プロセスの実施形態
が、秘密データに依存することを特徴とする。
ために前記秘密データを使用する方法は、公開式である。
も全部で2個である。
タを含む。
子装置間で、または同一の電子装置に対して、簡単に違ったものにすることがで
きる暗号計算の実施方法にある。
々な秘密鍵に対応する前記秘密データが、少なくとも全部で2個であることによ
って達せられる。
秘密鍵に、固有の秘密データの1つが対応する。
ドレスで読み込むk個の変換テーブルによって、kmビットからknビットへの
非線形変換を記述し、この変換を用いた暗号計算プロセスを使用する方法が、各
非線形変換に対して、前記k個のテーブルが、秘密データの一部をなすことを特
徴とする。
るアドレスでnビットの変換出力を読み込み、非線形変換のkmビットの入力の
公開関数の適用によりmビットの値そのものを得るk個の変換テーブルによって
、kmビットからknビットへの非線形変換を記述し、この変換を用いた暗号計
算プロセスを使用する1つまたは複数の電子装置の安全化方法が、各非線形変換
に対して、k個のテーブルが秘密データの一部をなすことを特徴とする。
の一部をなす。
積される。
定の事象により始動することによりテーブルを計算し、これらのテーブルの全部
または一部を秘密データに記憶する。
ってサポートされる暗号計算プロセスを安全化するために使用されることによっ
て達せられる。
電子装置を定義することにある。
ンで得られる暗号秘密鍵を使用する修正暗号アルゴリズムの記憶手段と、この修
正暗号アルゴリズムの実行手段とを含み、また、従来のアルゴリズムの計算段階
に必要な各中間変数を複数(k)の部分中間変数に代える第1の秘密手段と、非
線形変換テーブルをこれらの部分中間変数の各々に実施する第2の手段と、部分
変数で得られる結果から従来の暗号アルゴリズムの使用に対応する最終結果を再
生する第3の秘密手段とを含むことを特徴とする電子装置によって達せられる。
を構成する少なくとも1つの第1の任意の変数v1を含んでおり、修正アルゴリ
ズムが、中間変数vと1つまたは複数の部分秘密変数v1とに第1の秘密関数を
実施することによって、少なくとも1つの別の部分変数、たとえばv2を決定す
る。
とも1つのテーブルAを秘密データDsに記憶し、計算に必要な他のテーブルを
不揮発性メモリに記憶するようなテーブルの使用によって、部分変数v1、v2 に非線形変換を実施し、従来のアルゴリズムの様々な計算順序が、部分変数に毎
回テーブルを使用することによって行われ、アルゴリズムの最終順序が、第2の
秘密関数に従って部分変数を組み合わせた結果を計算する。
中間変数(v)とを結合する関数fから構成されており、こうした中間変数の値
を知っていても、式f(v1,...,vi,...,vk)=vを満たす(k
−1)項組(v1,...,vi−1,vi+1,...,vk)が存在するよ
うな特定の部分値viの集合を導き出すことができないようにする。
ルから構成され、k個の部分変換テーブルのうち、k−1個の部分変換テーブル
が任意の秘密変数を含む。
含んでおり、各変換テーブルが、式φjof(v1,...,vk)、j∈[1
,k]に従って部分中間変数の前記関数f(v1,...,vk)に秘密全単射
関数φ1を実施して得られる値を入力として受け、こうした写像φjof(v1 ,...,vk)が、結果値の直接見積もりによって行われ、この結果値を変換
テーブルの入力に入力することによって、一個のアドレスでnビットの変換出力
を読み込むことができ、前記変換出力が、mビットの入力の関数である。
来の暗号計算プロセスの中間変数に実施される各非線形変換を、部分中間変数の
集合に実施されるkmビットからknビットへの部分非線形変換に代え、(k−
1)nビットの前記変換出力をkmビットの入力の多項式関数として計算し、出
力ビットの残りのnビットが、km個の入力ビットの関数であるアドレスで前記
出力ビットの残りのnビットを読み込む変換テーブルの読み込みによって得られ
る。
して得られる各部分で複数の操作が修正アルゴリズムにより実施され、これらの
操作が、逐次的に実行される。
して得られる各部分で複数の操作が実施され、前記操作が重なって実行される。
して得られる各部分で複数の操作が実施され、前記操作は、マルチプログラミン
グの場合に同時に実行される。
して得られる各部分で複数の操作が実施され、前記操作は、異なるプロセッサで
並列作業することにより同時に実行される。
プログラムと、テーブルの計算を所定の事象によって始動し、秘密データにこれ
らのテーブルの全部または一部を記憶する手段とを含む。
動する所定の事象を構成するために、各暗号計算におけるインクリメント値を記
憶する。
っそう明らかになるであろう。
ながら説明する。
モジュールから構成可能である。この電子装置は、1つまたは複数のICを、広
範な装置あるいはまたチップカードに組み込んで構成することができる。チップ
カードは、有接点もしくは無接点のコネクタにより広範な装置に接続されるマイ
クロプロセッサまたはマイクロコントローラを含む場合、一般に「スマートカー
ド」と呼ばれる。たとえばDESのような、標準の暗号アルゴリズムは、電子装
置(1)のたとえばROM(7)型の不揮発性メモリに設置可能である。この電
子装置(1)のマイクロプロセッサ(2)は、電子装置を様々なメモリに接続す
るバス(4)により、ROM(7)に含まれる命令を読み込みながら、前記アル
ゴリズムを実行し、それによって、図2A、2Bに関して説明するように、電子
装置で、たとえばEEPROM型のプログラマブル不揮発性メモリ(6)の秘密
ゾーン(60)に含まれる暗号秘密鍵(Ks)と組み合わせて、暗号方法の複数
段階を実行する。このとき、暗号化される情報Eは、たとえばRAM型の不揮発
性メモリ(5)に瞬間的に記憶される。RAM、ROM、EEPROMを備えた
単一ICに結合されるマイクロプロセッサは、マイクロコントローラまたはマイ
クロ計算機と称される装置を構成する。マイクロプロセッサは、入出力回路(3
)を介して広範な装置と対話し、不揮発性メモリの秘密ゾーン(60)への如何
なるアクセスも、マイクロプロセッサ(2)以外の回路によって許可されること
はない。マイクロプロセッサ(2)だけが、秘密鍵(Ks)を読み込んで、図2
A、2Bに記載された従来の暗号化方法に従って秘密鍵を使用することにより、
暗号化メッセージMc=DES(E,Ks)を生成する。
ES)の計算プロセスと同じ段階を尊重する修正アルゴリズム(DESM)を構
成することからなる。かくして、DESの場合、修正アルゴリズムは、標準のD
ESの暗号計算プロセスを、並列に作動されて従来の暗号計算とは異なる中間部
分結果値(部分変数と呼ばれる)を用いた複数の異なる計算プロセス部分に分割
する。こうした分割は、電子装置(1)のメモリ(6)の秘密ゾーン(60)に
含まれる秘密データ(Ds)を使用して実行される。修正アルゴリズムは、Mc
=DESM(E,Ks,Ds)=DES(E,Ks)のように、中間部分結果値
から最終値を再生することによって結果Mcを生成する。この結果は、従来のア
ルゴリズムによって得られる結果に等しい。このように得られる電子装置は、従
来の暗号化を行う電子装置(以下、従来装置とする)と完全に互換性があるので
、従来装置が攻撃を受けるおそれのある用途または場所で従来装置の代わりに使
用することができ、安全化した場所にある装置と交換する必要がない。
分中間変数に代える秘密手段と、これらの部分中間変数それぞれに非線形変換テ
ーブルを実施する手段と、部分変数で得られる結果から従来の暗号アルゴリズム
の使用に対応する最終結果を再生する秘密手段とを含む。かくして、不正行為者
は、部分変数と最終結果との関係を知ることはなくなるので、DPA攻撃による
暗号秘密鍵(Ks)を発見できなくなる。
セスの実施形態を、kmビットからknビットへの各非線形変換の計算に対して
用いられるk個の変換テーブルに依存させる。このk個のテーブルが、秘密デー
タ(Ds)を構成する。さらに、変形実施形態2、3の場合、暗号計算プロセス
の実施形態を、同じく秘密データの一部をなす秘密全単射写像のデータφ1、φ 2 、...、φkに依存させる。
ータ(Ds)に含まれる秘密全単射関数を用い、他の計算段階では、同じく秘密
データに含まれる変換テーブルを用いる。
開式である。
方法を、トリプルDESあるいはまたRSAといった既知の他の暗号化方法と共
に使用可能である。
電子装置間で常に同じではないか、1つまたは別の秘密鍵の使用時に常に同じで
はない秘密データ(Ds)を選択しなければならない。このため、電子装置間で
容易に交換できるように、プログラマブルメモリに秘密データを入れておくこと
が好ましい。上記のDESの例では、kmビットからknビットへの各非線形変
換の計算に用いられるk個の変換テーブルの中で、秘密データに対して新しい値
が容易に選択されることが認められる。たとえば、(k−1)個のテーブルを任
意に選択し、次に、簡単な計算によってk番目のテーブルを導き出すことができ
る。変形実施形態2と3の場合も同様に、(k−1)個のテーブルを任意に選択
し、また秘密全単射写像φ1、φ2、...、φkを同じく任意に選択してから
、簡単な計算によってk番目のテーブルを導き出す。
場合、秘密鍵による暗号プロセスの実施形態が依存する秘密データ(Ds)は、
EEPROM(6)に蓄積可能である。これによって、カードの個人化プロセス
の際に、カード間で秘密データを変更できる。カードの個人化プロセスでは、一
般に、前記カードのEEPROMに1つまたは複数の秘密鍵が入れられる。また
、カードに含まれる1つまたは複数の秘密鍵の変更が必要な場合、EEPROM
に入れられたこの秘密データを変えることもできる。
カードと、暗号計算プロセスにより使用される秘密鍵とに、同時に依存する。た
とえば、秘密データは、カードに秘密鍵を入力する都度、任意に選択される。実
際、これは、マイクロプロセッサカードのEEPROMに秘密鍵だけを入れる代
わりに、(秘密鍵Ks、秘密データDsの)組を毎回入力することになる。限定
的ではなく例として挙げられた本発明の変形実施形態では、秘密データが、少な
くとも1つの部分秘密変数をなす少なくとも1つの第1の任意の変数v1を含ん
でおり、修正アルゴリズムが、中間変数vと1つまたは複数の部分秘密変数v1 とに秘密関数を実施することによって、少なくとも1つの別の部分変数、たとえ
ばv2を決定する。この秘密関数は、たとえば、次のような排他的ORとするこ
とができる。
ータDsに記憶したテーブルの使用により、部分変数v1、v2に非線形変換を
実施する。計算に必要な他のテーブルは、不揮発性メモリに記憶可能である。従
来のアルゴリズムの様々な計算順序は、部分変数に毎回テーブルを実施すること
によって行われ、アルゴリズムは、最終順序で、第2の秘密関数に応じて部分変
数の組合わせにより結果を計算する。第2の秘密関数は、第1の秘密関数とは逆
にしてもよい。
し、プログラマブル不揮発性メモリ(6)に含まれる秘密データに、アルゴリズ
ムの修正に介在する1つまたは複数の要素を組み込んだものである。アルゴリズ
ムの修正に介在する要素は、秘密関数fまたは部分変換テーブルであるか、任意
の1つの秘密変換テーブルAを、プログラマブルメモリ(6)または非プログラ
マブルメモリ(7)の秘密でない部分に含まれる他の変換テーブルに計算によっ
て結合したものか、多項式関数および1つまたは複数の変換テーブルか、秘密全
単射関数φおよび任意の秘密変換Aか、あるいはまた秘密に時間数かである。
グラムまたは変換テーブルが、不揮発性メモリEEPROM(6)の秘密ゾーン
(61)に予備個人化段階でダウンロードまたは入力され、個人化段階で一回だ
け実行可能な外部からの命令により個人化段階で始動される。一回、命令が実行
されると、計算プログラムが、不揮発性メモリをロックし、特定の鍵を提示しな
ければプログラムへのアクセスを禁じるか、あるいは別の実施形態では、秘密ゾ
ーン(61)の自動消去を開始する。この変形実施形態は、未修正の個人化装置
でも本発明を実施できる。箱Sの計算または変換テーブルは、上記の原理を尊重
することによって実施され、個人化中のカードに固有の情報を多様化するものと
して、予備個人化段階に記録されたカードの量産番号を使用する。この計算によ
って得られた値は、不揮発性メモリ(6)の秘密ゾーン(60)に書き込まれる
。
)を含んでおり、追加カウンタは、カウンタによるDES計算を実行するたびに
、DESMアルゴリズムによってインクリメントされる。カード利用システムは
、このカウンタの内容と、所定値nとをカードに印加する度に比較するように、
また、値nを超過している場合には、計算プログラム(61)を呼び出して、新
しい箱Sまたは変換テーブルを計算するように構成される。カード利用システム
または計算プログラムは、計算プログラム(61)または利用システムにより規
定される手順に従って秘密データに箱Sを記憶し、カウンタをリセットする。さ
らに、この変形実施形態では、DESMアルゴリズムは、DES計算を実施する
前に、cが所定の定数であるとき、追加カウンタ(62)が、この定数を加えた
所定値(n+c)を超過していないかどうかチェックする。超過していた場合に
は、不正行為の試みがあると結論し、カードをリセットする。
まれる諸要素に依存することは自明である。
。
る。
d」)暗号化/復号化プロセスを概略的に示す図である。
概略図である。
ある。
換を実施した、本発明の方法による特定の別の実施形態を示す図である。
る。
Claims (26)
- 【請求項1】 同一の秘密鍵(Ks)の暗号アルゴリズムを使用して、1つ
または複数の電子装置を保護する方法であって、計算する方法が、各電子装置お
よび各秘密鍵(Ks)に対して、1つまたは複数の電子装置の秘密ゾーンに蓄積
された秘密データ(Ds)に依存することを特徴とする方法。 - 【請求項2】 各電子装置および各秘密鍵(Ks)に対して、暗号計算を行
うために、前記秘密データ(Ds)を使用する方法が、公開されていることを特
徴とする請求項1に記載の方法。 - 【請求項3】 前記電子装置によって使用される前記秘密データ(Ds)が
、少なくとも2つあることを特徴とする請求項1に記載の方法。 - 【請求項4】 各電子装置が、少なくとも1つの固有の秘密データ(Ds)
を含むことを特徴とする請求項3に記載の方法。 - 【請求項5】 各電子装置において、当該電子装置によって使用される様々
な秘密鍵に対応する前記秘密データ(Ds)が、少なくとも2つあることを特徴
とする請求項1に記載の方法。 - 【請求項6】 各電子装置において、前記暗号計算によって使用される各秘
密鍵(Ks)が、前記固有の秘密データ(Ds)に対応することを特徴とする請
求項5に記載の方法。 - 【請求項7】 nビットの変換出力を、kmビットの入力の関数であるアド
レスで読み込む、k個の変換テーブルによって記述された、kmビットからkn
ビットへの非線形変換を用いた暗号計算プロセスを使用して、1つまたは複数の
電子装置を保護する方法であって、 各非線形変換に対して、前記k個の変換テーブルが、秘密データ(Ds)の一
部をなすことを特徴とする請求項1に記載の方法。 - 【請求項8】 nビットの変換出力を、非線形変換のkmビットの入力の公
開関数を適用して得られたmビットの値に対して秘密全単射関数(φ)を適用す
ることにより得られるアドレスで読み込む、k個の変換テーブルによって記述さ
れた、kmビットからknビットへの非線形変換を用いた暗号計算プロセスを使
用して、1つまたは複数の電子装置を保護する方法であって 各非線形変換に対して、前記k個の変換テーブルが、秘密データ(Ds)の一
部をなすことを特徴とする請求項1に記載の方法。 - 【請求項9】 各非線形変換に対し、秘密全単射関数(φ)もまた、秘密デ
ータ(Ds)の一部をなすことを特徴とする請求項8に記載の方法。 - 【請求項10】 1つまたは複数のマイクロ計算機カードを保護する方法で
あって、秘密データが、前記マイクロ計算機カードのEEPROMに蓄積される
ことを特徴とする請求項1に記載の方法。 - 【請求項11】 変換テーブルを計算し、当該変換テーブルの全部または一
部を秘密データに記憶するために、変換テーブルの計算プログラムが、各電子装
置に記憶され、所定の事象により始動することを特徴とする請求項1に記載の方
法。 - 【請求項12】 所定の事象が、カウンタが所定値を超過することであるこ
とを特徴とする請求項11に記載の方法。 - 【請求項13】 DES、トリプルDES、RSAアルゴリズムによってサ
ポートされる暗号計算プロセスを保護するために、請求項1に記載の方法を使用
する方法。 - 【請求項14】 標準の暗号アルゴリズムの計算段階に従い、記憶手段の秘
密ゾーンに含まれる暗号秘密鍵を使用する修正暗号アルゴリズムの記憶手段と、
当該修正暗号アルゴリズムの実行手段とを含む電子装置であって、 標準の暗号アルゴリズムの計算段階に必要な各中間変数(v)を、複数(k個
)の部分中間変数に代える第1の秘密手段と、 非線形変換テーブルを、当該部分中間変数の各々に適用する第2の手段と、 部分中間変数で得られる結果から、標準の暗号アルゴリズムの使用に対応する
最終結果を再生する第3の秘密手段とを含むことを特徴とする電子装置。 - 【請求項15】 秘密ゾーンに記憶された秘密データが、少なくとも1つの
部分秘密変数を構成する少なくとも1つの第1の任意変数(v1)を含んでおり
、修正暗号アルゴリズムが、中間変数(v)と1つまたは複数の部分秘密変数(
v1)とに、第1の秘密関数を適用することによって、少なくとも1つの別の部
分変数(v2)を決定することを特徴とする請求項14に記載の電子装置。 - 【請求項16】 修正暗号アルゴリズムが、 テーブルの使用によって、部分秘密変数(v1、v2)に非線形変換を適用す
る手段であって、任意抽出によって形成される少なくとも1つのテーブル(A)
が、秘密データ(Ds)に記憶され、計算に必要な他のテーブルが、不揮発性メ
モリに記憶される手段と、 部分秘密変数に毎回テーブルを使用する度に、標準の暗号アルゴリズムの様々
なラウンドの計算を実行する手段と、 第2の秘密関数に従って、部分秘密変数(v1、v2)を組み合わせた結果を
、修正暗号アルゴリズムの最後のラウンドで計算する手段とを含むことを特徴と
する請求項15に記載の電子装置。 - 【請求項17】 修正暗号アルゴリズムの第1の秘密手段が、部分中間変数
と各中間変数(v)とを関連付ける関数fから構成されており、当該中間変数(
v)の値を知っていても、式f(v1,...,vi,...,vk)=vを満
たす(k−1)項組(v1,...、vi−1,vi+1,...,vk)が存
在するような特定の部分中間変数(vi)の集合を導き出すことができないよう
にすることを特徴とする請求項14に記載の電子装置。 - 【請求項18】 修正暗号アルゴリズムの第2の手段が、k個の部分変換テ
ーブルから構成され、k個の部分変換テーブルのうち、k−1個の部分変換テー
ブルが、秘密任意変数を含むことを特徴とする請求項14に記載の電子装置。 - 【請求項19】 修正暗号アルゴリズムの第2の手段が、k個の変換テーブ
ルを含んでおり、 各変換テーブルが、式φjof(v1,...,vk)、j∈[1,k]に従
って、部分中間変数の関数f(v1,...,vk)に秘密全単射関数φ1を適
用して得られる値を入力として受け、 写像φjof(v1,...,vk)が、結果値の直接評価によって行われ、 変換テーブルの入力に入力される当該結果値が、mビットの入力の関数である
アドレスで、nビットの変換出力を読み込むことを可能にすることを特徴とする
請求項18に記載の電子装置。 - 【請求項20】 修正暗号アルゴリズムの第2の手段が、 分割されないときに標準の暗号計算プロセスの中間変数に適用される各非線形
変換を、部分中間変数の集合に適用されるkmビットからknビットへの部分非
線形変換に代える手段と、 (k−1)nビットの変換出力を、kmビットの入力の多項式関数として計算
する手段と、 出力ビットの残りのnビットを、km個の入力ビットの関数であるアドレスで
読み込む、変換テーブルの読み込みによって、前記出力ビットの残りのnビット
を読み込む手段とを含むことを特徴とする請求項14に記載の電子装置。 - 【請求項21】 暗号計算プロセスを、複数の異なる計算プロセス部分に分
割して得られる各部分で、修正暗号アルゴリズムにより実施される操作を、逐次
実行する手段を含むことを特徴とする請求項14に記載の電子装置。 - 【請求項22】 暗号計算プロセスを、複数の異なる計算プロセス部分に分
割して得られる各部分で、実施される操作を、インターリーブ方式で実行する手
段を含むことを特徴とする請求項14に記載の電子装置。 - 【請求項23】 暗号計算プロセスを、複数の異なる計算プロセス部分に分
割して得られる各部分で実施される操作を、マルチプログラミングの場合に、同
時に実行する手段を含むことを特徴とする請求項14に記載の電子装置。 - 【請求項24】 暗号計算プロセスを、複数の異なる計算プロセス部分に分
割して得られる各部分でが実施される操作を、並行して動作する異なるプロセッ
サで同時に実行する手段を含むことを特徴とする請求項14に記載の電子装置。 - 【請求項25】 各電子装置に記憶された変換テーブルの計算プログラムと
、テーブルの計算を所定の事象によって始動し、秘密データに当該変換テーブル
の全部または一部を記憶する手段とを含むことを特徴とする請求項14に記載の
電子装置。 - 【請求項26】 カウンタが、所定値を超過したとき、テーブルの計算を始
動する手段によって所定の始動事象を構成するために、各暗号計算におけるイン
クリメント値を記憶する手段を含むことを特徴とする請求項14に記載の電子装
置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR99/04441 | 1999-04-09 | ||
FR9904441A FR2792141B1 (fr) | 1999-04-09 | 1999-04-09 | Procede de securisation d'un ou plusieurs ensembles electroniques mettant en oeuvre un meme algorithme cryptographique avec cle secrete, une utilisation du procede et l'ensemble electronique |
PCT/FR2000/000902 WO2000062473A1 (fr) | 1999-04-09 | 2000-04-07 | Procede de securisation d'un ou plusieurs ensembles electroniques mettant en oeuvre un meme algorithme crytographique avec cle secrete, une utilisation du procede et l'ensemble electronique |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002542504A true JP2002542504A (ja) | 2002-12-10 |
JP4153665B2 JP4153665B2 (ja) | 2008-09-24 |
Family
ID=9544212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000611431A Expired - Fee Related JP4153665B2 (ja) | 1999-04-09 | 2000-04-07 | 同一の秘密鍵の暗号アルゴリズムを使用して1つまたは複数の電子装置を保護する方法、当該方法の使用および当該電子装置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US7050581B1 (ja) |
EP (1) | EP1086547B1 (ja) |
JP (1) | JP4153665B2 (ja) |
AT (1) | ATE305681T1 (ja) |
DE (1) | DE60022840T2 (ja) |
FR (1) | FR2792141B1 (ja) |
WO (1) | WO2000062473A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002016595A (ja) * | 2000-06-30 | 2002-01-18 | Toyo Commun Equip Co Ltd | 秘密情報生成装置及び方法 |
JP2008067416A (ja) * | 2000-01-31 | 2008-03-21 | Oberthur Card Systems Sa | 2つの電子的エンティティ間における暗号プロトコル実行方法 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10061998A1 (de) * | 2000-12-13 | 2002-07-18 | Infineon Technologies Ag | Kryptographieprozessor |
FR2873523B1 (fr) * | 2004-07-22 | 2007-08-10 | Sagem | Procede et dispositif d'execution d'un calcul cryptographique |
US8689338B2 (en) * | 2005-08-03 | 2014-04-01 | St-Ericsson Sa | Secure terminal, a routine and a method of protecting a secret key |
CN101401348B (zh) * | 2006-03-10 | 2011-08-31 | 耶德托公司 | 用于使密码函数模糊的方法和系统 |
WO2008007305A2 (en) * | 2006-07-12 | 2008-01-17 | Koninklijke Philips Electronics N.V. | Method and system for obfuscating a gryptographic function |
JP5203594B2 (ja) * | 2006-11-07 | 2013-06-05 | 株式会社東芝 | 暗号処理回路及び暗号処理方法 |
JP2013523043A (ja) | 2010-03-22 | 2013-06-13 | エルアールディシー システムズ、エルエルシー | ソースデータセットの完全性を識別及び保護する方法 |
JP2012083542A (ja) * | 2010-10-12 | 2012-04-26 | Renesas Electronics Corp | 暗号処理装置及び暗号処理回路の制御方法 |
EP3910512B1 (en) * | 2019-01-10 | 2023-11-29 | Nippon Telegraph And Telephone Corporation | Secure array access apparatus, secure array access method, and program |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4993068A (en) * | 1989-11-27 | 1991-02-12 | Motorola, Inc. | Unforgeable personal identification system |
FR2672402B1 (fr) * | 1991-02-05 | 1995-01-27 | Gemplus Card Int | Procede et dispositif pour la generation de nombres pseudo-aleatoires uniques. |
US5588059A (en) * | 1995-03-02 | 1996-12-24 | Motorola, Inc. | Computer system and method for secure remote communication sessions |
JP2000503154A (ja) * | 1996-01-11 | 2000-03-14 | エムアールジェイ インコーポレイテッド | デジタル所有権のアクセスと分配を制御するためのシステム |
US5850443A (en) * | 1996-08-15 | 1998-12-15 | Entrust Technologies, Ltd. | Key management system for mixed-trust environments |
US5991415A (en) * | 1997-05-12 | 1999-11-23 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for protecting public key schemes from timing and fault attacks |
US6480959B1 (en) * | 1997-12-05 | 2002-11-12 | Jamama, Llc | Software system and associated methods for controlling the use of computer programs |
FR2789535B1 (fr) * | 1999-02-04 | 2001-09-28 | Bull Cp8 | Procede de securisation d'un ensemble electronique de cryptographie a cle secrete contre les attaques par analyse physique |
-
1999
- 1999-04-09 FR FR9904441A patent/FR2792141B1/fr not_active Expired - Fee Related
-
2000
- 2000-04-07 AT AT00917167T patent/ATE305681T1/de not_active IP Right Cessation
- 2000-04-07 US US09/719,193 patent/US7050581B1/en not_active Expired - Fee Related
- 2000-04-07 WO PCT/FR2000/000902 patent/WO2000062473A1/fr active IP Right Grant
- 2000-04-07 EP EP00917167A patent/EP1086547B1/fr not_active Expired - Lifetime
- 2000-04-07 DE DE60022840T patent/DE60022840T2/de not_active Expired - Lifetime
- 2000-04-07 JP JP2000611431A patent/JP4153665B2/ja not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008067416A (ja) * | 2000-01-31 | 2008-03-21 | Oberthur Card Systems Sa | 2つの電子的エンティティ間における暗号プロトコル実行方法 |
JP2002016595A (ja) * | 2000-06-30 | 2002-01-18 | Toyo Commun Equip Co Ltd | 秘密情報生成装置及び方法 |
JP4640663B2 (ja) * | 2000-06-30 | 2011-03-02 | ネッツエスアイ東洋株式会社 | 秘密情報生成装置及び方法 |
Also Published As
Publication number | Publication date |
---|---|
ATE305681T1 (de) | 2005-10-15 |
US7050581B1 (en) | 2006-05-23 |
EP1086547B1 (fr) | 2005-09-28 |
EP1086547A1 (fr) | 2001-03-28 |
DE60022840D1 (de) | 2005-11-03 |
FR2792141B1 (fr) | 2001-06-15 |
DE60022840T2 (de) | 2006-07-06 |
JP4153665B2 (ja) | 2008-09-24 |
FR2792141A1 (fr) | 2000-10-13 |
WO2000062473A1 (fr) | 2000-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI750223B (zh) | 區塊鏈加密射頻晶片存儲設計方法 | |
US6658569B1 (en) | Secret key cryptographic process for protecting a computer system against attacks by physical analysis | |
EP1421461B1 (en) | Space-efficient, Side-channel Attack Resistant Table Lookups | |
US8473751B2 (en) | Method for cryptographic data processing, particularly using an S box, and related device and software | |
US8479018B2 (en) | System for making program difficult to read, device for making program difficult to read, and method for making program difficult to read | |
KR102413846B1 (ko) | Sbox를 이용하는 암호화 프로세스를 고차 부채널 공격으로부터 보호하기 위한 방법 | |
US9515820B2 (en) | Protection against side channels | |
JP4659149B2 (ja) | 電子チップの不正行為に対する保護の非対称暗号通信法 | |
US6615354B1 (en) | Information processing equipment | |
CN110710155A (zh) | 渐进式密钥加密算法 | |
US20130028412A1 (en) | Method of counter-measuring against side-channel attacks | |
US7000110B1 (en) | One-way function generation method, one-way function value generation device, proving device, authentication method, and authentication device | |
JP7076474B2 (ja) | 暗号装置及び方法 | |
CN106487497A (zh) | 对rijndael算法的dpa保护 | |
JP2011072040A (ja) | 誤りに基づく攻撃から電子回路を保護する方法 | |
JP4153665B2 (ja) | 同一の秘密鍵の暗号アルゴリズムを使用して1つまたは複数の電子装置を保護する方法、当該方法の使用および当該電子装置 | |
EP3506558A1 (en) | Whitebox computation of keyed message authentication codes | |
US6820814B1 (en) | Countermeasure method in an electric component using a secret key cryptographic algorithm | |
EP3078154B1 (en) | A computing device for iterative application of table networks | |
US7747012B2 (en) | Process of security of an electronic unit with cryptoprocessor | |
KR20060132923A (ko) | 암호화 연산을 수행하는 방법 및 장치 | |
JP6890589B2 (ja) | 計算デバイス及び方法 | |
KR20190076859A (ko) | 정합성 합을 결정하기 위한 방법, 이와 관련된 컴퓨터 프로그램 및 전자 엔티티 | |
EP3832945A1 (en) | System and method for protecting memory encryption against template attacks | |
JP4717437B2 (ja) | スパイ行為に対抗して保護される逆法計算 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040224 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20040518 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20040617 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040824 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050222 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050621 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20050628 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20051014 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20070201 Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20070201 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080221 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080226 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080527 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080704 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110711 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110711 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120711 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130711 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |