JP2003513491A - 物理的分析によるハッキングに対する母数指数化に基づく電子暗号ユニットの安全保護方法 - Google Patents
物理的分析によるハッキングに対する母数指数化に基づく電子暗号ユニットの安全保護方法Info
- Publication number
- JP2003513491A JP2003513491A JP2001533507A JP2001533507A JP2003513491A JP 2003513491 A JP2003513491 A JP 2003513491A JP 2001533507 A JP2001533507 A JP 2001533507A JP 2001533507 A JP2001533507 A JP 2001533507A JP 2003513491 A JP2003513491 A JP 2003513491A
- Authority
- JP
- Japan
- Prior art keywords
- values
- parameter
- exponent
- secret
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004364 calculation method Methods 0.000 claims abstract description 30
- 238000004422 calculation algorithm Methods 0.000 claims description 33
- 230000010365 information processing Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 description 10
- 238000005259 measurement Methods 0.000 description 3
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000005670 electromagnetic radiation Effects 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/723—Modular exponentiation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7223—Randomisation as countermeasure against side channel attacks
- G06F2207/7233—Masking, e.g. (A**e)+r mod n
- G06F2207/7242—Exponent masking, i.e. key masking, e.g. A**(e+r) mod n; (k+r).P
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
本発明は、ある値(x)の母数指数化を介入させる暗号計算プロセスを実施する電子アセンブリの安全保護方法であって、前記母数指数化が秘密べき指数(d)を使用し、前記秘密べき指数を、合計が前記秘密べき指数に等しい複数k個の予測不可能値(d1、d2、...、dk)に分割することを特徴とする方法に関する。
Description
【0001】
本発明は、べき指数が秘密である母数指数化を介入させるアルゴリズムを使用
する電子アセンブリの安全保護方法に関する。より詳細には、この方法は、計算
実行中の電子アセンブリの電力消費量の調査から秘密鍵に関する情報を得ること
を内容とする、「電力エネルギーの微分解析または電力エネルギーの高次微分解
析」と呼ばれる(略語はDPAまたはHO−DPAである)、ある種の物理的ハ
ッキングに対して脆弱でない、前記アルゴリズムの一バージョンを実現すること
を目的とする。
する電子アセンブリの安全保護方法に関する。より詳細には、この方法は、計算
実行中の電子アセンブリの電力消費量の調査から秘密鍵に関する情報を得ること
を内容とする、「電力エネルギーの微分解析または電力エネルギーの高次微分解
析」と呼ばれる(略語はDPAまたはHO−DPAである)、ある種の物理的ハ
ッキングに対して脆弱でない、前記アルゴリズムの一バージョンを実現すること
を目的とする。
【0002】
ここで検討する暗号アルゴリズムは、入力情報の関数として出力情報を計算す
るために秘密鍵を使用する。暗号、解読、署名または署名の確認、認証または非
拒否または鍵の交換の操作が対象となりうる。アルゴリズムは、入力および出力
を知っているハッカーが事実上、秘密鍵自体について全く情報が得られないよう
に作成されている。
るために秘密鍵を使用する。暗号、解読、署名または署名の確認、認証または非
拒否または鍵の交換の操作が対象となりうる。アルゴリズムは、入力および出力
を知っているハッカーが事実上、秘密鍵自体について全く情報が得られないよう
に作成されている。
【0003】
したがって、通常、秘密鍵アルゴリズムまたは対称アルゴリズムという表現で
示されるものよりも広範なものが対象となる。特に、本特許出願で記述すること
がらは全て、公開鍵または非対称アルゴリズムと呼ばれるアルゴリズムにも適用
される。実際にはこれは2つの鍵を含む。すなわち一方は公開で、他方は秘密ま
たは非公開であり、後者は後述するハッキングの対象となる。
示されるものよりも広範なものが対象となる。特に、本特許出願で記述すること
がらは全て、公開鍵または非対称アルゴリズムと呼ばれるアルゴリズムにも適用
される。実際にはこれは2つの鍵を含む。すなわち一方は公開で、他方は秘密ま
たは非公開であり、後者は後述するハッキングの対象となる。
【0004】
Paul KocherおよびCryptographic Researc
hが開発した電力分析型の攻撃(参考文献:Paul Kocher,Josh
ua Jaffe,and Benjamin Jun,Cryptograp
hy Research,870 Market St.,Suite 100
8,San Francisco, CA 94102,HTML文献のURL
アドレス:http://www.cryptography.com/dpa
/technical/index.htmlのIntroduction t
o Differential Power Analysis and re
lated Attacks)は、ハッカーが実際には、たとえばマイクロコン
トローラの電力消費あるいは回路から発生する電磁放射など、計算実行時の単純
な入出力データ以外の情報を得ることができるとの確認を出発点としている。
hが開発した電力分析型の攻撃(参考文献:Paul Kocher,Josh
ua Jaffe,and Benjamin Jun,Cryptograp
hy Research,870 Market St.,Suite 100
8,San Francisco, CA 94102,HTML文献のURL
アドレス:http://www.cryptography.com/dpa
/technical/index.htmlのIntroduction t
o Differential Power Analysis and re
lated Attacks)は、ハッカーが実際には、たとえばマイクロコン
トローラの電力消費あるいは回路から発生する電磁放射など、計算実行時の単純
な入出力データ以外の情報を得ることができるとの確認を出発点としている。
【0005】
電力エネルギーの微分解析は、同一の秘密鍵を使用して多数の計算に関して行
われる、電力消費量の記録の統計的的解析を行うことにより、電子アセンブリに
含まれる秘密鍵に関する情報を得ることができるハッキングである。
われる、電力消費量の記録の統計的的解析を行うことにより、電子アセンブリに
含まれる秘密鍵に関する情報を得ることができるハッキングである。
【0006】
このハッキングは、各命令についての個別電力消費量に関する知識も、各命令
の時間的位置に関する知識も必要としない。ハッカーがアルゴリズムの出力およ
び対応する消費量を知っていると仮定しても、ハッキングは同じように行われる
。ハッキングは専ら以下の基本的な仮定に基づいている。
の時間的位置に関する知識も必要としない。ハッカーがアルゴリズムの出力およ
び対応する消費量を知っていると仮定しても、ハッキングは同じように行われる
。ハッキングは専ら以下の基本的な仮定に基づいている。
【0007】
基本的仮定:アルゴリズムの計算中に現れ、アルゴリズムの計算鍵のうちの数
ビット、実際には32ビット以下を知ることにより、2つの入力および対応する
2つの出力が同じ中間変数の値を与えるかどうかを判定することができるような
中間変数が存在する。
ビット、実際には32ビット以下を知ることにより、2つの入力および対応する
2つの出力が同じ中間変数の値を与えるかどうかを判定することができるような
中間変数が存在する。
【0008】
電力エネルギーの高次微分解析と呼ばれるハッキングは、上に記述したDPA
ハッキングを一般化したものである。このハッキングは異なる複数の情報源を利
用することができる。すなわち、消費量の他に、電磁放射、温度等一組の測定値
を使用し、単なる平均値の概念よりも高度な統計処理を使用し、単ビットまたは
単バイトより複雑な中間変数を使うことができる。しかし、このハッキングはD
PAと同じ基本的仮定に基づいている。
ハッキングを一般化したものである。このハッキングは異なる複数の情報源を利
用することができる。すなわち、消費量の他に、電磁放射、温度等一組の測定値
を使用し、単なる平均値の概念よりも高度な統計処理を使用し、単ビットまたは
単バイトより複雑な中間変数を使うことができる。しかし、このハッキングはD
PAと同じ基本的仮定に基づいている。
【0009】
本発明の目的である方法は、べき指数が秘密である母数指数化を介入させる秘
密鍵または専用鍵の電子暗号ユニットまたはシステムにおけるDPAまたはHO
−DPAハッキングの危険性を排除することを目的とする。
密鍵または専用鍵の電子暗号ユニットまたはシステムにおけるDPAまたはHO
−DPAハッキングの危険性を排除することを目的とする。
【0010】
したがって、本発明の別の目的は、上で引用した基本的仮定がもはや確認され
なくなるように、すなわち中間変数が、秘密鍵または専用鍵の簡単にアクセス可
能なサブユニットの消費量に依存しなくなるようにし、その結果DPAまたはH
O−DPA型のハッキングが無効になるように保護される電子暗号システムによ
って実行される暗号計算プロセスを変更することである。
なくなるように、すなわち中間変数が、秘密鍵または専用鍵の簡単にアクセス可
能なサブユニットの消費量に依存しなくなるようにし、その結果DPAまたはH
O−DPA型のハッキングが無効になるように保護される電子暗号システムによ
って実行される暗号計算プロセスを変更することである。
【0011】
第1の例:RSAアルゴリズム
RSAは非対称暗号アルゴリズムの中で最も有名なものである。このアルゴリ
ズムは1978年、Rivest、ShamirおよびAdlemanによって
開発された。このアルゴリズムのより詳細な記述に関しては、以下の文献を参照
するとよい。 ・ R.L.Rivest,A.Shamir,L.M.Adleman, A
Method for Obtaining Digital Signat
ures and Public−Key Cryptosystems, C
ommunications of the ACM,21,No.2,197
8,pp.120−126 ・ ISO/IEC 9594−8/ITU−T X.509, Inform
ation Technology−Open Systems Interc
onnection−The Directory: Authenticat
ion Framework ・ ANSI X9.31−1,American National Sta
ndard,Public−key Cryptography Using
Reversible Algorithms for the Financ
ial Services Industry,1993 ・ PKCS #1,RSA Encryption Standard, v
ersion 2,1998、これは以下のアドレスから入手できる。 ftp://ftp.rsa.com/pub/pkcs/doc/pkcs−
1v2.doc RSAアルゴリズムは、2つの大きな素数pおよびqの積である整数nと、p
pcm(p−1,q−1)と素であり、e≠±1 mod ppcm(p−1,
q−1)であるような整数eを使用する。整数nおよびeは公開鍵を構成する。
公開鍵の計算は、g(x)=xemod nで定義されるZ/nZのZ/nZの
関数gを使用する。秘密鍵の計算は、関数g−1(y)=yd mod nを使
用する。式中dは、ed≡1 mod ppcm(p−1,q−1)で定義され
る秘密べき指数(秘密鍵または専用鍵とも呼ばれる)である。
ズムは1978年、Rivest、ShamirおよびAdlemanによって
開発された。このアルゴリズムのより詳細な記述に関しては、以下の文献を参照
するとよい。 ・ R.L.Rivest,A.Shamir,L.M.Adleman, A
Method for Obtaining Digital Signat
ures and Public−Key Cryptosystems, C
ommunications of the ACM,21,No.2,197
8,pp.120−126 ・ ISO/IEC 9594−8/ITU−T X.509, Inform
ation Technology−Open Systems Interc
onnection−The Directory: Authenticat
ion Framework ・ ANSI X9.31−1,American National Sta
ndard,Public−key Cryptography Using
Reversible Algorithms for the Financ
ial Services Industry,1993 ・ PKCS #1,RSA Encryption Standard, v
ersion 2,1998、これは以下のアドレスから入手できる。 ftp://ftp.rsa.com/pub/pkcs/doc/pkcs−
1v2.doc RSAアルゴリズムは、2つの大きな素数pおよびqの積である整数nと、p
pcm(p−1,q−1)と素であり、e≠±1 mod ppcm(p−1,
q−1)であるような整数eを使用する。整数nおよびeは公開鍵を構成する。
公開鍵の計算は、g(x)=xemod nで定義されるZ/nZのZ/nZの
関数gを使用する。秘密鍵の計算は、関数g−1(y)=yd mod nを使
用する。式中dは、ed≡1 mod ppcm(p−1,q−1)で定義され
る秘密べき指数(秘密鍵または専用鍵とも呼ばれる)である。
【0012】
DPAまたはHO−DPA型のハッキングはRSAアルゴリズムの従来の実行
方法に対し脅威を与える。事実、RSA実行方法は、xd mod nの計算を
行うために、英語でsquare and multiplyと呼ばれる原理を
用いることが非常に多い。
方法に対し脅威を与える。事実、RSA実行方法は、xd mod nの計算を
行うために、英語でsquare and multiplyと呼ばれる原理を
用いることが非常に多い。
【0013】
この原理は、基底を2とする秘密べき指数dの展開式を書き、
【数1】
【0014】
次に以下のように計算を行う。
1.z←1;
iがm−1から0について、
2.z←z2 mod n;
3. bi=1であればz←z × x mod n
この計算において、変数zがとる連続する値のうち、素数は秘密鍵dの数ビッ
トにしか依存しない。したがって、DPAハッキングを可能とする基本的仮定が
実現される。たとえば、m−1からm−10まで変化するiに対応するアルゴリ
ズムの部分に関する消費量の測定値に注目することにより、dの上位10ビット
を推定することができる。次に、m−11からm−20まで変化するiに対応す
るアルゴリズムの部分に関する消費量の測定値を使用することによりハッキング
を続行することができ、それによりdの次の10ビットを見つけることができ、
以下同様である。最終的に秘密べき指数dのすべてのビットが見つかる。
トにしか依存しない。したがって、DPAハッキングを可能とする基本的仮定が
実現される。たとえば、m−1からm−10まで変化するiに対応するアルゴリ
ズムの部分に関する消費量の測定値に注目することにより、dの上位10ビット
を推定することができる。次に、m−11からm−20まで変化するiに対応す
るアルゴリズムの部分に関する消費量の測定値を使用することによりハッキング
を続行することができ、それによりdの次の10ビットを見つけることができ、
以下同様である。最終的に秘密べき指数dのすべてのビットが見つかる。
【0015】
第1安全保護方法とその欠点
(1955年にRonald Rivestによって提唱された)DPA型ハ
ッキングからRSAアルゴリズムを守るための従来の方法は、「ブラインディン
グ」(カモフラージュ)の原理を用いることから成る。以下の事実を利用する。
ッキングからRSAアルゴリズムを守るための従来の方法は、「ブラインディン
グ」(カモフラージュ)の原理を用いることから成る。以下の事実を利用する。
【数2】
【0016】
したがってy=xd mod nという計算は、以下の4つの段階に分けられ
る。 ・ 乱数発生器を使って値rを得る ・
る。 ・ 乱数発生器を使って値rを得る ・
【数3】
を計算する
・
【数4】
を計算する
・
【数5】
を計算する。
【0017】
この方法の欠点は、各計算について、乱数rの母数の逆数r−1を計算しなけ
ればならず、通常、対時間コストが高い(このような計算の時間は、ud mo
d nのような母数指数化と同程度である)ということである。その結果、(D
PAのハッキングから保護された)xd mod nのこの新しい実施方法は、
(DPAのハッキングから保護されていない)当初の方法の2倍の時間がかかる
。言い換えれば、DPAハッキングに対しこのようにRSAを保護することによ
り計算時間が約100%増加する(たとえばe=3のように、公開べき指数eが
きわめて小さいと仮定する、べき指数eが大きいと仮定すると、この計算時間は
さらに長くなる)。
ればならず、通常、対時間コストが高い(このような計算の時間は、ud mo
d nのような母数指数化と同程度である)ということである。その結果、(D
PAのハッキングから保護された)xd mod nのこの新しい実施方法は、
(DPAのハッキングから保護されていない)当初の方法の2倍の時間がかかる
。言い換えれば、DPAハッキングに対しこのようにRSAを保護することによ
り計算時間が約100%増加する(たとえばe=3のように、公開べき指数eが
きわめて小さいと仮定する、べき指数eが大きいと仮定すると、この計算時間は
さらに長くなる)。
【0018】
第2の方法:本発明の方法
本発明によれば、ある値(x)の母数指数化を介入させる暗号計算プロセスを
実施する電子アセンブリの安全保護方法であって、秘密べき指数(d)を使用す
る前記母数指数化方法は、前記秘密べき指数を、合計が前記秘密べき指数に等し
い複数k個の予測不可能値(d1、d2、...、dk)に分割することを特徴
とする。
実施する電子アセンブリの安全保護方法であって、秘密べき指数(d)を使用す
る前記母数指数化方法は、前記秘密べき指数を、合計が前記秘密べき指数に等し
い複数k個の予測不可能値(d1、d2、...、dk)に分割することを特徴
とする。
【0019】
有利には、以下のようにして前記値(d1、d2、...、dk)が得られる
。 a) 乱数発生器により(k−1)個の値を得る。 b) 秘密べき指数と(k−1)個の値の差により最後の値を得る。
。 a) 乱数発生器により(k−1)個の値を得る。 b) 秘密べき指数と(k−1)個の値の差により最後の値を得る。
【0020】
有利には、母数指数化の計算は次のようにして行われる。
a) 前記k個の各値について、値(x)を、前記値を含むべき指数だけべき乗
して、結果を得、それにより結果の集合が得られる。 b) 段階a)で得られた結果の積を計算する。
して、結果を得、それにより結果の集合が得られる。 b) 段階a)で得られた結果の積を計算する。
【0021】
有利には、乱数発生器により得られた前記(k−1)個の値のうちの少なくと
も1つが64ビット以上の長さを有する。
も1つが64ビット以上の長さを有する。
【0022】
本発明の詳細および長所は、スマートカードを示す添付の単一図を参照して行
う好ましいいくつかの非限定的実施形態についての以下の記述から明らかになる
であろう。
う好ましいいくつかの非限定的実施形態についての以下の記述から明らかになる
であろう。
【0023】
本発明によれば、以下の事実を利用する。
【0024】
【数6】
のとき
【0025】
【数7】
である。
【0026】
したがってy=xd mod nという計算は、以下の5つの段階に分けられ
る。 ・ 乱数発生器を使って値d1を得る ・
る。 ・ 乱数発生器を使って値d1を得る ・
【数8】
を計算する
・
【数9】
を計算する
・
【数10】
を計算する
・
【数11】
を計算する。
【0027】
この方法の長所は、計算すべき母数の逆数がないことである。通常、母数指数
化の計算時間はべき指数の大きさに比例する。したがって、d1の大きさとd2 の大きさの比をαとすると、(DPAのハッキングから保護された)この新しい
実施方法の合計計算時間は、(DPAのハッキングから守られていない)当初の
方法による計算時間の約(1+α)倍であることがわかる。
化の計算時間はべき指数の大きさに比例する。したがって、d1の大きさとd2 の大きさの比をαとすると、(DPAのハッキングから保護された)この新しい
実施方法の合計計算時間は、(DPAのハッキングから守られていない)当初の
方法による計算時間の約(1+α)倍であることがわかる。
【0028】
予測不能値d1を得るためには、その大きさは少なくとも64ビットである必
要があることに留意されたい。
要があることに留意されたい。
【0029】
このように上で記述した方法により、前述のDPAまたはHO−DPA型のハ
ッキングは無効になる。実際、計算の途中に現れる中間変数に対し、アルゴリズ
ムの2つの入力(ならびに2つの出力)が同じ値を与えるかどうかを判定するの
に、用いられている鍵のビットを知るだけでは足りない。d=d1+d2+..
.+dkである秘密鍵dのk個の値d1、d2、...、dkの内訳も知る必要
がある。この内訳が秘密であって、k個の値のうちの少なくとも1つが少なくと
も64ビットの大きさを有すると仮定すると、ハッカーはd1、...、dkの
値を予測することができず、DPAまたはHO−DPA型のハッキングの実行を
可能にする基礎的仮定は確認されなくなる。
ッキングは無効になる。実際、計算の途中に現れる中間変数に対し、アルゴリズ
ムの2つの入力(ならびに2つの出力)が同じ値を与えるかどうかを判定するの
に、用いられている鍵のビットを知るだけでは足りない。d=d1+d2+..
.+dkである秘密鍵dのk個の値d1、d2、...、dkの内訳も知る必要
がある。この内訳が秘密であって、k個の値のうちの少なくとも1つが少なくと
も64ビットの大きさを有すると仮定すると、ハッカーはd1、...、dkの
値を予測することができず、DPAまたはHO−DPA型のハッキングの実行を
可能にする基礎的仮定は確認されなくなる。
【0030】
例:
1.64ビットの乱数d1を採用することにして、nが512ビットの長さを有
する場合、α=1/8が得られ、その結果、DPAハッキングに対してRSAを
保護する場合、計算時間は約12.5%増加する。 2.64ビットの乱数d1を採用することにして、nが1024ビットの長さを
有する場合、α=1/16が得られ、その結果、DPAハッキングに対してRS
Aを保護する場合、計算時間は約6.25%増加する。
する場合、α=1/8が得られ、その結果、DPAハッキングに対してRSAを
保護する場合、計算時間は約12.5%増加する。 2.64ビットの乱数d1を採用することにして、nが1024ビットの長さを
有する場合、α=1/16が得られ、その結果、DPAハッキングに対してRS
Aを保護する場合、計算時間は約6.25%増加する。
【0031】
第2の例:Rabinのアルゴリズム
ここで、1979年にRabinが開発した非対称暗号アルゴリズムを検討す
ることにする。このアルゴリズムのより詳細な記述に関しては、以下の文献を参
照するとよい。 ・ M.O. Rabin, Digitized Signatures a
nd Public−Key Functions as Intractab
le as Factorization, Technical Repor
t LCS/TR−212, M.I.T. Laboratory for
Computer Science, 1979 Rabinのアルゴリズムは、2つの大きな素pおよびqの積である、整数n
を使用して、さらに以下の2つの条件を確認する。 ・ pが3モジューロ8に相合する ・ qが7モジューロ8に相合する 公開鍵の計算は、g(x)=x2mod nで定義されるZ/nZのZ/nZ
の関数gを使用する。秘密鍵の計算は、関数g−1(y)=yd mod nを
使用する。ここでdは、d=((p−1)(q−1)/(4+1)/2で定義さ
れる秘密べき指数(秘密鍵または専用鍵とも呼ばれる)である。
ることにする。このアルゴリズムのより詳細な記述に関しては、以下の文献を参
照するとよい。 ・ M.O. Rabin, Digitized Signatures a
nd Public−Key Functions as Intractab
le as Factorization, Technical Repor
t LCS/TR−212, M.I.T. Laboratory for
Computer Science, 1979 Rabinのアルゴリズムは、2つの大きな素pおよびqの積である、整数n
を使用して、さらに以下の2つの条件を確認する。 ・ pが3モジューロ8に相合する ・ qが7モジューロ8に相合する 公開鍵の計算は、g(x)=x2mod nで定義されるZ/nZのZ/nZ
の関数gを使用する。秘密鍵の計算は、関数g−1(y)=yd mod nを
使用する。ここでdは、d=((p−1)(q−1)/(4+1)/2で定義さ
れる秘密べき指数(秘密鍵または専用鍵とも呼ばれる)である。
【0032】
秘密鍵の計算に用いられる関数は、RSAアルゴリズムが使用する関数と全く
同じとすれば、同じDPAまたはHO―DPAハッキングが適用される可能性が
あり、Rabinアルゴリズムに対し同じ脅威を与える。
同じとすれば、同じDPAまたはHO―DPAハッキングが適用される可能性が
あり、Rabinアルゴリズムに対し同じ脅威を与える。
【0033】
アルゴリズムの安全保護
関数がRSAの関数と全く同じなので、RSAの構成について記述した安全保
護方法が、Rabinアルゴリズムの場合にも同様に適用される。この方法を適
用することにより生じる計算時間の増加も、RSAアルゴリズムの場合と同じで
ある。
護方法が、Rabinアルゴリズムの場合にも同様に適用される。この方法を適
用することにより生じる計算時間の増加も、RSAアルゴリズムの場合と同じで
ある。
【0034】
本発明は、母数指数化を介入させる暗号計算を行う、特に、単一図に記載のス
マートカード8を含む、あらゆる電子アセンブリ内で実施することができる。チ
ップは、一方で揮発性メモリ10と作業用揮発性メモリRAM11とに接続され
、他方では情報処理装置と協動する手段12に接続された情報処理手段9を含む
。不揮発性メモリ10は、書き換え不能部分ROMと、書き換え可能部分EPR
OM、EEPROMあるいは「フラッシュ」型RAMまたはFRAM(後者は強
磁性体RAMメモリである)とを含むことができ、すなわちEEPROMメモリ
の特性を有しさらに従来のRAMのアクセス時間と同一のアクセス時間を有する
メモリから構成することもできる。
マートカード8を含む、あらゆる電子アセンブリ内で実施することができる。チ
ップは、一方で揮発性メモリ10と作業用揮発性メモリRAM11とに接続され
、他方では情報処理装置と協動する手段12に接続された情報処理手段9を含む
。不揮発性メモリ10は、書き換え不能部分ROMと、書き換え可能部分EPR
OM、EEPROMあるいは「フラッシュ」型RAMまたはFRAM(後者は強
磁性体RAMメモリである)とを含むことができ、すなわちEEPROMメモリ
の特性を有しさらに従来のRAMのアクセス時間と同一のアクセス時間を有する
メモリから構成することもできる。
【0035】
チップとしては、特に、出願人の米国特許第4,382,279号に記載する
ような不揮発性メモリを備えた自己プログラム式マイクロプロセッサを使用する
ことができよう。一変形形態においては、チップのマイクロプロセッサを、セミ
コンダクタチップ内に実装された論理回路で置き換え、あるいはこの回路を追加
する。事実、このような回路はマイクロプログラム式ではないワイヤ式電子回路
により、計算、特に認証および署名を行うのに適する。これらの回路は特にAS
IC(英語の「Application Specific Integrat
ed Circuit」とすることができる。有利には、チップはモノリシック
の形で設計される。
ような不揮発性メモリを備えた自己プログラム式マイクロプロセッサを使用する
ことができよう。一変形形態においては、チップのマイクロプロセッサを、セミ
コンダクタチップ内に実装された論理回路で置き換え、あるいはこの回路を追加
する。事実、このような回路はマイクロプログラム式ではないワイヤ式電子回路
により、計算、特に認証および署名を行うのに適する。これらの回路は特にAS
IC(英語の「Application Specific Integrat
ed Circuit」とすることができる。有利には、チップはモノリシック
の形で設計される。
【0036】
このような電子アセンブリを使用する場合、本発明は、情報処理手段および情
報記憶手段を備え、情報記憶手段に記憶されたある値(x)の母数指数化を介入
させる暗号計算プロセスを実施する電子アセンブリの安全保護方法であって、前
記母数指数化が記憶手段に記憶された秘密べき指数(d)を使用し、前記情報処
理手段により、前記情報記憶手段内で読み取られる前記秘密べき指数を、合計が
前記秘密べき指数に等しい複数k個の予測不可能値(d1、d2、...、dk )に分割し、前記k個の予測不可能値が情報記憶手段内に記憶されることを特徴
とする方法から成る。
報記憶手段を備え、情報記憶手段に記憶されたある値(x)の母数指数化を介入
させる暗号計算プロセスを実施する電子アセンブリの安全保護方法であって、前
記母数指数化が記憶手段に記憶された秘密べき指数(d)を使用し、前記情報処
理手段により、前記情報記憶手段内で読み取られる前記秘密べき指数を、合計が
前記秘密べき指数に等しい複数k個の予測不可能値(d1、d2、...、dk )に分割し、前記k個の予測不可能値が情報記憶手段内に記憶されることを特徴
とする方法から成る。
【0037】
有利には、次のようにして前記値(d1、d2、...、dk)を得る。
a) 乱数発生器により(k−1)個の値を得、情報記憶手段に記憶する。
b) 前記情報処理手段によって計算された、秘密べき指数と(k−1)個の値
の差により最後の値を得る。
の差により最後の値を得る。
【0038】
有利には、次のようにして母数指数化の計算を行う。
a) 前記k個の各値について、値(x)を、前記値を含むべき指数だけべき乗
して結果を得、それにより結果の集合を得る。 b) 段階a)で得られた結果の積を計算する。
して結果を得、それにより結果の集合を得る。 b) 段階a)で得られた結果の積を計算する。
【0039】
有利には、乱数発生器により得られた前記(k−1)個の値のうちの少なくと
も1つが64ビット以上の長さを有する。
も1つが64ビット以上の長さを有する。
【図1】
チップを示す図である。
Claims (7)
- 【請求項1】 ある値(x)の母数指数化を介入させる暗号計算プロセスを
実施する電子アセンブリの安全保護方法であって、前記母数指数化が秘密べき指
数(d)を使用し、前記秘密べき指数を、合計が前記秘密べき指数に等しい複数
k個の予測不可能値(d1、d2、...、dk)に分割することを特徴とする
方法。 - 【請求項2】 a)乱数発生器により(k−1)個の値が得られ、 b)秘密べき指数と(k−1)個の値との間の差により最後の値が得られる ようにして前記値(d1、d2、...、dk)が得られることを特徴とする請
求項1に記載の方法。 - 【請求項3】 a)前記k個の各値について、値(x)を、前記の値を含む
べき指数を含むべき指数でべき乗して結果を得、それによって結果の集合が得ら
れ、 b)段階a)で得られた結果の積を計算する ようにして母数指数化が行われることを特徴とする請求項1に記載の方法。 - 【請求項4】 乱数発生器により得られる前記(k−1)個の値が長さ64
ビット以上であることを特徴とする請求項1に記載の方法。 - 【請求項5】 情報処理手段を含むスマートカード内での請求項1に記載の
方法の使用。 - 【請求項6】 RSAアルゴリズムを使用して暗号計算プロセスを安全保護
するための請求項1に記載の方法の使用。 - 【請求項7】 ラビンアルゴリズムを使用して暗号計算プロセスを安全保護
するための請求項1に記載の方法の使用。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR99/13507 | 1999-10-28 | ||
| FR9913507A FR2800478B1 (fr) | 1999-10-28 | 1999-10-28 | Procede de securisation d'un ensemble electronique de cryptographie a base d'exponentiation modulaire contre les attaques par analyse physique |
| PCT/FR2000/002978 WO2001031436A1 (fr) | 1999-10-28 | 2000-10-26 | Procede de securisation d'un ensemble electronique de cryptographie a base d'exponentiation modulaire contre les attaques par analyse physique |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003513491A true JP2003513491A (ja) | 2003-04-08 |
Family
ID=9551481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001533507A Pending JP2003513491A (ja) | 1999-10-28 | 2000-10-26 | 物理的分析によるハッキングに対する母数指数化に基づく電子暗号ユニットの安全保護方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US6973190B1 (ja) |
| EP (1) | EP1639447A1 (ja) |
| JP (1) | JP2003513491A (ja) |
| FR (1) | FR2800478B1 (ja) |
| WO (1) | WO2001031436A1 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005532715A (ja) * | 2002-05-16 | 2005-10-27 | ギーゼッケ ウント デフリエント ゲーエムベーハー | スパイ行為に対抗して保護される逆法計算 |
| JP2009515449A (ja) * | 2005-11-04 | 2009-04-09 | ジェムプリュス | 組み込みシステム上での暗号アルゴリズム実行中にデータを安全に処理するための方法 |
| JP2010166463A (ja) * | 2009-01-19 | 2010-07-29 | Fujitsu Ltd | 復号処理装置、復号処理プログラム、復号処理方法 |
| JP4970279B2 (ja) * | 2005-10-31 | 2012-07-04 | パナソニック株式会社 | セキュア処理装置、セキュア処理方法、難読化秘密情報埋め込み方法、プログラム、記憶媒体および集積回路 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3926532B2 (ja) * | 2000-03-16 | 2007-06-06 | 株式会社日立製作所 | 情報処理装置、情報処理方法、及びカード部材 |
| FR2810139B1 (fr) * | 2000-06-08 | 2002-08-23 | Bull Cp8 | Procede de securisation de la phase de pre-initialisation d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede |
| FR2818772A1 (fr) * | 2000-12-21 | 2002-06-28 | Bull Cp8 | Procede de securisation d'un operateur logique ou mathematique implante dans un module electronique a microprocesseur, ainsi que le module electronique et le systeme embarque associes |
| FR2820576B1 (fr) * | 2001-02-08 | 2003-06-20 | St Microelectronics Sa | Procede de cryptage protege contre les analyses de consommation energetique, et composant utilisant un tel procede de cryptage |
| FR2823327B1 (fr) * | 2001-04-09 | 2003-08-08 | Gemplus Card Int | Dispositif destine a realiser des calculs d'exponentiation securisee et utilisation d'un tel dispositif |
| GB0126317D0 (en) * | 2001-11-02 | 2002-01-02 | Comodo Res Lab Ltd | Improvements in and relating to cryptographic methods and apparatus in which an exponentiation is used |
| EP1398690A1 (fr) * | 2002-09-13 | 2004-03-17 | Schlumberger Systemes SA | Procédé et système de génération de signature |
| DE10304451B3 (de) * | 2003-02-04 | 2004-09-02 | Infineon Technologies Ag | Modulare Exponentiation mit randomisiertem Exponenten |
| FR2864390B1 (fr) * | 2003-12-19 | 2006-03-31 | Gemplus Card Int | Procede cryptographique d'exponentiation modulaire protege contre les attaques de type dpa. |
| FR2887351A1 (fr) * | 2005-06-16 | 2006-12-22 | St Microelectronics Sa | Protection d'un calcul d'exponentiation modulaire effectue par un circuit integre |
| CN101213513B (zh) | 2005-06-29 | 2013-06-12 | 爱迪德艾恩德霍芬公司 | 保护数据处理装置免受密码攻击或分析的设备和方法 |
| WO2009136361A1 (en) * | 2008-05-07 | 2009-11-12 | Koninklijke Philips Electronics N.V. | Exponent obfuscation |
| US8334705B1 (en) | 2011-10-27 | 2012-12-18 | Certicom Corp. | Analog circuitry to conceal activity of logic circuitry |
| US8635467B2 (en) | 2011-10-27 | 2014-01-21 | Certicom Corp. | Integrated circuit with logic circuitry and multiple concealing circuits |
| CN102521544B (zh) * | 2011-12-26 | 2014-09-10 | 飞天诚信科技股份有限公司 | 一种在cpu中抗能量攻击的模幂运算的实现方法 |
| US10181944B2 (en) | 2015-06-16 | 2019-01-15 | The Athena Group, Inc. | Minimizing information leakage during modular exponentiation and elliptic curve point multiplication |
| FR3094522B1 (fr) * | 2019-03-29 | 2021-11-19 | St Microelectronics Rousset | Protection d’un calcul itératif |
| US11249726B2 (en) | 2019-09-10 | 2022-02-15 | Intel Corporation | Integrated circuits with modular multiplication circuitry |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5978482A (en) * | 1995-08-21 | 1999-11-02 | International Business Machines Corporation | Method and system for protection of digital information |
| US6748410B1 (en) * | 1997-05-04 | 2004-06-08 | M-Systems Flash Disk Pioneers, Ltd. | Apparatus and method for modular multiplication and exponentiation based on montgomery multiplication |
| US5991415A (en) * | 1997-05-12 | 1999-11-23 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for protecting public key schemes from timing and fault attacks |
| US6108425A (en) * | 1997-06-30 | 2000-08-22 | International Business Machines Corporation | Method and apparatus for controlling the configuration of a cryptographic processor |
| US6304658B1 (en) * | 1998-01-02 | 2001-10-16 | Cryptography Research, Inc. | Leak-resistant cryptographic method and apparatus |
| US6378072B1 (en) * | 1998-02-03 | 2002-04-23 | Compaq Computer Corporation | Cryptographic system |
| US6285761B1 (en) * | 1998-03-04 | 2001-09-04 | Lucent Technologies, Inc. | Method for generating pseudo-random numbers |
| US6307938B1 (en) * | 1998-07-10 | 2001-10-23 | International Business Machines Corporation | Method, system and apparatus for generating self-validating prime numbers |
| US6490357B1 (en) * | 1998-08-28 | 2002-12-03 | Qualcomm Incorporated | Method and apparatus for generating encryption stream ciphers |
-
1999
- 1999-10-28 FR FR9913507A patent/FR2800478B1/fr not_active Expired - Fee Related
-
2000
- 2000-10-26 WO PCT/FR2000/002978 patent/WO2001031436A1/fr active Application Filing
- 2000-10-26 US US09/869,435 patent/US6973190B1/en not_active Expired - Fee Related
- 2000-10-26 EP EP00971508A patent/EP1639447A1/fr not_active Withdrawn
- 2000-10-26 JP JP2001533507A patent/JP2003513491A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005532715A (ja) * | 2002-05-16 | 2005-10-27 | ギーゼッケ ウント デフリエント ゲーエムベーハー | スパイ行為に対抗して保護される逆法計算 |
| JP4717437B2 (ja) * | 2002-05-16 | 2011-07-06 | ギーゼッケ ウント デフリエント ゲーエムベーハー | スパイ行為に対抗して保護される逆法計算 |
| JP4970279B2 (ja) * | 2005-10-31 | 2012-07-04 | パナソニック株式会社 | セキュア処理装置、セキュア処理方法、難読化秘密情報埋め込み方法、プログラム、記憶媒体および集積回路 |
| JP2009515449A (ja) * | 2005-11-04 | 2009-04-09 | ジェムプリュス | 組み込みシステム上での暗号アルゴリズム実行中にデータを安全に処理するための方法 |
| JP2010166463A (ja) * | 2009-01-19 | 2010-07-29 | Fujitsu Ltd | 復号処理装置、復号処理プログラム、復号処理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2800478B1 (fr) | 2001-11-30 |
| EP1639447A1 (fr) | 2006-03-29 |
| FR2800478A1 (fr) | 2001-05-04 |
| WO2001031436A1 (fr) | 2001-05-03 |
| US6973190B1 (en) | 2005-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2003513491A (ja) | 物理的分析によるハッキングに対する母数指数化に基づく電子暗号ユニットの安全保護方法 | |
| CN1211977C (zh) | 具有通过密钥再分进行存取保护的便携式数据存储介质 | |
| US6658569B1 (en) | Secret key cryptographic process for protecting a computer system against attacks by physical analysis | |
| US7162033B1 (en) | Countermeasure procedures in an electronic component implementing an elliptical curve type public key encryption algorithm | |
| JP4137385B2 (ja) | 公開鍵および秘密鍵による暗号化方法 | |
| US11824986B2 (en) | Device and method for protecting execution of a cryptographic operation | |
| EP2005291A2 (en) | Decryption method | |
| JP4977300B2 (ja) | 暗号法及び装置 | |
| US20100287384A1 (en) | Arrangement for and method of protecting a data processing device against an attack or analysis | |
| US7286666B1 (en) | Countermeasure method in an electric component implementing an elliptical curve type public key cryptography algorithm | |
| JP2004304800A (ja) | データ処理装置におけるサイドチャネル攻撃防止 | |
| US9524144B2 (en) | Data processing method and related device | |
| KR100737667B1 (ko) | 암호 체계의 개인 키 저장 및 복원 방법과 장치 | |
| US20090122980A1 (en) | Cryptographic Method for Securely Implementing an Exponentiation, and an Associated Component | |
| US7123717B1 (en) | Countermeasure method in an electronic component which uses an RSA-type public key cryptographic algorithm | |
| Malina et al. | Accelerated modular arithmetic for low-performance devices | |
| AU2003269005B2 (en) | Cryptographic method and devices for facilitating calculations during transactions | |
| Ezziri et al. | A zero-knowledge identification scheme based on the discrete logarithm problem and elliptic curves | |
| JP3779479B2 (ja) | Icカード | |
| JP2004222331A (ja) | ユーザが電子商取引/情報サービス提供者の正当性をチェックできるようにする方法 | |
| CN103209073B (zh) | 使用rsa公开密钥加密算法的电子部件中的防攻击方法和装置 | |
| WO2006103851A1 (ja) | 冪値生成装置 | |
| Menezes et al. | Introduction to public key cryptography | |
| JP2007316491A (ja) | べき乗演算装置、復号化装置及び署名生成装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040608 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20040805 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20040901 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041206 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050118 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20050415 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050418 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20050606 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20050715 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20070201 Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20070201 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080131 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080205 |