JP2004229308A - 電子チップの不正行為に対する保護の非対称暗号通信法 - Google Patents
電子チップの不正行為に対する保護の非対称暗号通信法 Download PDFInfo
- Publication number
- JP2004229308A JP2004229308A JP2004017044A JP2004017044A JP2004229308A JP 2004229308 A JP2004229308 A JP 2004229308A JP 2004017044 A JP2004017044 A JP 2004017044A JP 2004017044 A JP2004017044 A JP 2004017044A JP 2004229308 A JP2004229308 A JP 2004229308A
- Authority
- JP
- Japan
- Prior art keywords
- function
- value
- parameter
- chip
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 116
- 238000004891 communication Methods 0.000 title claims description 12
- 230000006870 function Effects 0.000 claims abstract description 181
- 238000012790 confirmation Methods 0.000 claims description 44
- 238000012360 testing method Methods 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 8
- 238000007620 mathematical function Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 2
- 230000000694 effects Effects 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 abstract description 20
- 230000008569 process Effects 0.000 abstract description 10
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012886 linear function Methods 0.000 description 4
- 239000013598 vector Substances 0.000 description 4
- 238000010367 cloning Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 101100173726 Arabidopsis thaliana OR23 gene Proteins 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000010348 incorporation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3674—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
- H04L9/0662—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】擬似乱数生成器7を用いて、トランザクションに固有の確率変数rと呼ばれる擬似乱数をチップによって発生させる過程と、パラメータxをチップからアプリケーションに伝達する過程で、該パラメータが数学的関係式によって確率変数rに結びつけられ、チップのデータメモリ内に保存されている過程と、シリアル関数10を用いてパラメータyを計算する過程で、該関数が入力パラメータとしてトランザクションに固有の確率変数rと、プライベートキーsとを有しており、パラメータyが認証値Vを構成している過程と、前記認証値Vをアプリケーションによって確認する過程で、入力パラメータが公開キーpを含む。
【選択図】図2
Description
特に、本発明はアプリケーションとチップの間のトランザクションにおける、電子チップの不正行為に対する保護の非対称暗号通信法に関するものである。
第1のタイプの不正行為はカードを無許可で複製することからなり、この操作を特徴づけるためにクローニングという用語がよく用いられる。
第2のタイプの不正行為は、カードに与えられたデータ、特にカードに書き込まれたクレジットの金額を変更することからなる。
これらの不正行為と闘うために暗号通信法が使われており、これは一方では、認証手段を用いてカード認証を保証し、および/またはデジタル認証手段によるデータ認証を保証するためであり、また他方では、必要ならば暗号化手段によってデータの機密性を保持するためである。
暗号通信法は、認証の場合の認証者と認証対象という二つの実体に作用するものであって、該通信法は対称または非対称とすることができる。
通信法が対称(あるいは「秘密キー式」、二つの用語は同義)の場合、二つの実体は正確に同一の情報、特に秘密キーを共有する。
通信法が非対称(あるいは「公開キー式」、二つの用語は同義語である)の場合、2つの実体の一方が一対のキーを有し、該キーの一つが秘密で、他方が公開であり、したがって共有される秘密キーはない。
多くのシステムにおいて、特にチップが「ワイヤードロジック」タイプの場合、非対称暗号通信法は低速で高価であるため、対称暗号通信法だけがプリペイドカードに用いられる。
対称暗号通信法において開発された最初のいくつかの認証メカニズムは、それぞれのカードについて異なる認証値を一度だけ計算し、該認証値をカードの記憶装置の中に保存し、トランザクションごとにそれを読み取り、割り当て済みの認証値が保存されるか再計算されるトランザクションを支えているネットワークのアプリケーションに質問して、認証値を確認するものである。
これらのメカニズムの保護は不十分である。
なぜなら、認証値はあるカードについて常に同一なので、不正に盗み取り、複製し、再利用できるので、このカードのクローンを製作できるからである。
クローン撲滅のために、カードの受動認証メカニズムは、さらにデータの完全性を保証することができる能動認証メカニズムに取って代わられた。
認証の際、電子チップとアプリケーションが、認証ごとに所定の引数リストに適用された関数の結果である認証値を計算する。
引数リストは、乱数を含むことができ、乱数は、認証ごとにアプリケーションによって決定されるデータ、電子チップに含まれるデータ、電子チップとアプリケーションによって認識されている秘密キーである。
電子チップによって計算された認証値が、アプリケーションによって計算された認証値と同値であるとき、電子チップは真正と判定され、電子チップとアプリケーションの間のトランザクションが許可される。
したがって、これらのメカニズムはマイクロプロセッサを用いるカードには適しているが、はるかに基本的な計算手段を備えているワイヤードロジックチップにはあまり適していない。
例えば、仏国特許出願公開第2826531号の番号で2002年12月27日に公
開されたフランス特許出願は、このようなメカニズムを特定できる方法を記載している。
なお、これらのメカニズムによって発生させられた認証値も、上述のフランス特許出願の教示のように、擬似乱数的ビット列と解釈され、入力パラメータの少なくとも一つを変動させることで、認証値の計算方法は、このとき、擬似乱数的ビットの生成法になる。
その結果、大きな不便が生じる。
すなわち、前記装置がアプリケーションとの関係において発行されたどのようなチップでも認証しようとすると、全てのチップの秘密キーを保存しなければならない、あるいはどのようなチップの秘密キーをも再び見つけることを可能にする、マザーキーまたはマスターキーとも呼ばれる、ベースキーを保存しなければならないということである。
いずれの場合にも、これらの装置のそれぞれは、発行された全てのチップの秘密キーを再び見つけるための情報を十分に保存しており、したがって、それらの中のどのチップであってもクローンを製造するに足る情報を保存している。
その結果、確認装置のどれかへの侵入が成功すれば、アプリケーションの安全性がその全体において喪失されることになる。
しかしながら、現時点ではこのようなメカニズムは存在していない。
その理由は、公開キー式メカニズムは一般的に、大きな数を対象とする多数の操作を必要とし、そのためシリコンの表面積がきわめて小さく、計算論理がきわめて基本的な演算配線に還元される、ワイヤードロジックチップ内への組み込みに適していないということである。
これらの基本的演算は一般的にシリアルで実行されるが、それはオペランドがビットごとに連続的に導入され、この導入が内部レジスタの状態を次第に変化させ、該レジスタの最終値が、関数の結果の計算の基礎に使われるという意味である。
本方法は以下のことから構成される過程を含む。
・トランザクションに先立って、アプリケーションによって計算されたパラメータxをチップからアプリケーションに伝達する過程で、該パラメータが数学的関係式によって確率変数rに結びつけられ、チップのデータメモリ内に保存されている過程と、
・シリアル関数を用いて、チップによってパラメータyを計算する過程で、該関数が入力パラメータとして少なくともトランザクションに固有の確率変数rと、一対の非対称キー(s、p)に属するプライベートキーsとを有しており、パラメータyが認証値Vの全体または一部を構成している過程と、
・認証値Vをチップからアプリケーションに伝達する過程と、
・確認関数を用いて、前記認証値Vをアプリケーションによって確認する過程で、入力パラメータが少なくとも一つの公開キーpを含む、公開パラメータのみで構成されている過程。
該装置は、
・トランザクションに固有の確率変数rを発生させるシリアル擬似乱数生成器と、
・xの少なくとも一つの値が保存された第1の記憶手段で、パラメータxの値がトランザクションに先立ってアプリケーションによって計算され、数学的関係式によって確率変数rに結びつけられたものと、
・トランザクションに固有の確率変数rに結びつけられたパラメータxを、電子チップからアプリケーションに伝達する手段と、
・入力パラメータとして、少なくともトランザクションに固有の確率変数rと、一対の非対称キー(s、p)に属するプライベートキーsとを有し、パラメータyを出力に提供する、シリアル関数の実行手段と、
・少なくともパラメータyから認証値Vを構成するための出力手段とを備えている。
該装置は確認関数の実行手段を備えており、該関数は少なくとも一つの認証値Vと公開キーpを入力に取る。
したがって、このような方法の計算関数をf(K、M)で表すと、Kが対称秘密キーを表し、Mが関数fの他のオペランド全体を表すが、このとき確率変数rは、Kの同じ値を保ちながら、Mの異なる値に関数fを反復適用することで発生させられる。
例として、fの出力値zのサイズがkビットに等しく、確率変数rのサイズが16kビットに等しいとき、チップの最初の認証の際に使用される第1の確率変数rは、16の出力値f(K、M1)、f(K、M2)、・・・、f(K、M16)の連結に等しく選択することができる。
第2の確率変数は、16の出力値f(K、M17)、f(K、M18)、・・・、f(K、M32)などの連結に等しく選択することが可能など、すべての値Miは、互いに判別される(典型的には、Mi+1の値はMiの値の増加によって得られる)。
擬似乱数生成器を目的とする、認証法を用いる他の多くの方法も可能である。
実際、これらの演算は連続的に、非常に容易に実現することができる。
アプリケーションと電子チップの間のトランザクションにおいて、入力パラメータから認証値Vを電子チップ内で計算することからなる、ワイヤードロジックチップのための、電子チップの不正行為に対する保護の非対称暗号通信法であり、前記方法が、
・チップ内に含まれるシリアル擬似乱数生成器を用いて、トランザクションに固有の確率変数rと呼ばれる擬似乱数をチップによって発生させること(1)と、
・数学的関係式によって確率変数rに結びつけられ、チップのデータメモリ内に保存された、トランザクションに先立ってアプリケーションによって計算されるパラメータxを、チップからアプリケーションに伝達すること(2)と、
・入力パラメータとして、少なくともトランザクションに固有の確率変数rと、一対の非対称キー(s、p)に属するプライベートキーsとを有するシリアル関数を用いて、認証値Vの全体または一部を構成するパラメータyを、チップによって計算すること(3)と、
・認証値Vをチップからアプリケーションに伝達すること(4)と、
・入力パラメータが、少なくとも一つの公開キーpを含む、公開パラメータで排他的に構成される認証関数を用いて、前記認証値Vをアプリケーションによって確認すること(5)とからなる段階を含むことを特徴とする方法。
第2に、
トランザクションに固有の確率変数rの発生が、
・混合関数(12)を用いて入力パラメータの全てまたは一部を混合し、一連のビットを混合関数の出力に提供することと、
・少なくとも旧状態と一連のビットの一つの値に依存する関数によって、旧状態から新状態に移行させることで有限状態オートマトン(13)の状態変化を実行することと、
・オートマトンの少なくとも一つの状態を入力引数として有する出力関数(14)を用いて、確率変数rの全体または一部を形成するために、一連の乱数ビットを決定することとからなることを特徴とする、上記第1に記載の方法。
第3に、
入力パラメータの一つが秘密キーKで構成され、該秘密キーが、チップとアプリケーションの間で共有され、チップの保護された記憶領域内に保存されることを特徴とする、上記第2に記載の方法。
第4に、
数学的関係式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成されることを特徴とする、上記第1または上記第2に記載の方法。
第5に、
集合Gが、nより小さく、nに対して素である正またはゼロである整数の群Zn *であることを特徴とする、上記第4に記載の方法。
第6に、
集合Gが、任意のあらゆる有限体に作られたあらゆる楕円曲線であることを特徴とする、上記第4に記載の方法。
第7に、
シリアル関数が、あるリストから取られた演算を実行する算術関数であり、該リストが、加算、減算および左または右へのシフトを含んでいることを特徴とする、上記第1または上記第2に記載の方法。
第8に、
算術関数が、加算のみを実行することを特徴とする、上記第7に記載の方法。
第9に、
算術関数が、減算のみを実行することを特徴とする、上記第7に記載の方法。
第10に、
算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rおよびy=r+sの一つを実行することからなることを特徴とする、上記第7に記載の方法。
第11に、
数学的関係式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、認証値Vに適用された関数によって提供される結果を、パラメータtの値に応じて、次の値:値x、値xとその秘密キーsに対応するチップの公開キーpとの積(xp)、の一つと比較し、このことが、パラメータtの値に応じて、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:gy=xとgy=xp、の一方をテストすることに等しくなることを特徴とする、上記第10に記載の方法。
第12に、
算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rおよびy=r−s、の一つを実行することからなることを特徴とする、上記第7に記載の方法。
第13に、
数学的方程式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、認証値Vに適用された数学的方程式によって提供された結果を、パラメータtの値に応じて、次の値:値x、値xと秘密キーsに対応するチップの公開キーpとの積(xp)、の一つと比較し、このことが、パラメータtの値に応じて、yが認証値Vに等しく、pが方程式p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:gy=xとgy.p=x、の一方をテストすることに等しくなることを特徴とする、上記第12に記載の方法。
第14に、
算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=r+2isを実行することからなり、このパラメータtが、mビット(tm−1、・・・、t0)のチェーンで構成され、そのビットの一つだけ、ビットtiが1に等しく、mが自然数であることを特徴とする、上記第7に記載の方法。
第15に、
数学的関係式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、パラメータtの値に応じて、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、方程式gy=xp^(2^i)をテストすることからなることを特徴とする、上記第14に記載の方法。
第16に、
算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=r+2tsを実行することからなることを特徴とする、上記第7に記載の方法。
第17に、
数学的関係式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式gy=xp^(2^t)をテストすることからなることを特徴とする、上記第16に記載の方法。
第18に、
算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、tが整数である次の演算:y=r+tsを実行することからなることを特徴とする、上記第7に記載の方法。
第19に、
数学的関係式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、認証値Vに適用された関数によって提供される結果を、パラメータtの値に応じて、次の値:値x、値xと秘密キーsに対応するチップの公開キーpとの積(xp)、の一つと比較し、このことが、パラメータtの値に応じて、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:gy=xptをテストすることに等しくなることを特徴とする、上記第18に記載の方法。
第20に、
チップからアプリケーションに伝達されたパラメータxが、数学的関数によって確率変数rに接続された少なくとも一つの要素と、アプリケーションに結びつけられたデータを含むオプションフィールドDとに適用されたハッシュ関数の結果であることを特徴とする、上記第1または上記第2に記載の方法。
第21に、
算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=r+2isを実行することからなり、このパラメータtが、mビット(tm−1、・・・、t0)のチェーンで構成され、そのビットの一つだけ、ビットtiが1に等しく、mが自然数であることを特徴とする、上記第20に記載の方法。
第22に、
数学的関係式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、パラメータtの値に応じて、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:h(gy/p^(2^i),D)=xをテストすることからなることを特徴とする、上記第21に記載の方法。
第23に、
数学的関係式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grであり、確認関数が、yが認証値Vに等しく、pが関数p=g−sによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:h(gy・p^(2^i),D)=xをテストすることからなることを特徴とする、上記第21に記載の方法。
第24に、
算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=r−2isを実行することからなり、このパラメータtが、mビット(tm−1、・・・、t0)のチェーンで構成され、そのビットの一つだけ、ビットtiが1に等しく、mが自然数であることを特徴とする、上記第20に記載の方法。
第25に、
数学的関係式が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:h(gy・p^(2^i),D)=xをテストすることからなることを特徴とする、上記第24に記載の方法。
第26に、
数学的関数が、特性として少なくとも結合的である演算を備えている要素gの集合G内の関数grで構成され、チップからアプリケーションに伝達されたパラメータxが、Dがアプリケーションに結びつけられたデータを含むオプションフィールドを示し、hがハッシュ関数である、x=h(gr、D)型の関係式の結果であることを特徴とする、上記第20に記載の方法。
第27に、
シリアル関数が、入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rとy=r+s、の一つを実行することからなり、確認関数が、値xを、パラメータtの値に応じて、yが認証値Vに等しく、pが方程式p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の値:h(gy、D)、h(gy/p、D)、の一つと比較することを特徴とする、上記第26に記載の方法。
第28に、
シリアル関数が、入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rとy=r+s、の一つを実行することからなり、確認関数が、値xをパラメータtの値に応じて、yが認証値Vに等しく、pが方程式p=g−sによって定義され、秘密キーsに対応するチップの公開キーである、次の値:h(gy、D)、h(gy.p、D)の一つと比較することを特徴とする、上記第26に記載の方法。
第29に、
シリアル関数が、入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rとy=r−s、の一つを実行することからなり、確認関数が、値xをパラメータtの値に応じて、yが認証値Vに等しく、pが方程式p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の値:h(gy、D)、h(gy.p、D)の一つと比較することを特徴とする、上記第26に記載の方法。
第30に、
集合Gは、nより小さく、nに対して素である正またはゼロの整数の群Zn *であることを特徴とする、上記第7から上記第29のいずれか一つに記載の方法。
第31に、
集合Gは、任意のあらゆる有限体に作られたあらゆる楕円曲線であることを特徴とする、上記第7から上記第29のいずれか一つに記載の方法。
第32に、
アプリケーションと電子チップの間のトランザクションにおいて、入力パラメータから認証値Vを電子チップによって計算することからなる、上記第1から上記第31のいずれか一つに記載の電子チップの不正行為に対する保護の非対称暗号通信法を使用することを可能にする、電子チップ付装置(6)であり、前記装置が、
・トランザクションに固有の確率変数rを発生させるシリアル擬似乱数生成器(7)と、
・少なくとも一つのxの値が保存された第1の記憶手段(8)で、パラメータxの値が、トランザクションに先立ってアプリケーションによって計算され、数学的関係式によって確率変数rの値に結びつけられているものと、
・トランザクションに固有の確率変数rに結びつけられたパラメータxを、電子チップからアプリケーションに伝達する手段(9)と、
・入力パラメータとして、少なくともトランザクションに固有の確率変数rと、一対の非対称キー(s、p)に属するプライベートキーsとを有し、パラメータyを出力に提供するシリアル関数の実行手段(10)と、
・少なくともパラメータyから認証値Vを構成するための出力手段(9)とを備えていることを特徴とする電子チップ付装置。
第33に、
アプリケーションと電子チップの間のトランザクションにおいて、もっぱら公開であるパラメータから、電子チップによって計算された認証値Vを確認することからなる、上記第1から上記第31のいずれか一つに記載の電子チップの不正行為に対する保護の非対称暗号通信法を実行するための確認装置であり、
前記装置が、少なくとも認証値Vと公開キーpを入力に取る確認関数の実行手段を備えていることを特徴とする確認装置。
図2は、本発明による電子チップ付装置の概略図である。
図3は、本発明による電子チップ付装置における擬似乱数生成器の実施例の概略図である。
図4は、本発明による電子チップ付装置におけるシリアル関数の実行手段の実施例の概略図である。
擬似乱数rである確率変数は、トランザクションに固有である。
このパラメータxは、トランザクションに先立ってアプリケーションによって計算され、チップのデータメモリ内に保存される。
このパラメータxは、数学的関係式によって確率変数rに結びつけられる。
アプリケーションは、少なくとも一つのパラメータxを計算し、有利にはいくつかを計算する。
実施のある場合によれば、これらのパラメータxは、あるチップに対するある集合において、連続的に取られた値に適用される数学的関数の結果である。
この集合は、チップによって生成した確率変数rのさまざまな値が、集合内に含まれるようになっている。
すなわち、関数はx=grであり、ここでrは整数、gはアプリケーションによってあらかじめ選択された前記集合Gの要素を示す。
それは2回計算され、最初はアプリケーションによって、2回目はチップ自体によって計算される。
rを計算した後、アプリケーションは対応するxを計算する。
アプリケーションは、次に、チップのカスタマイズの際に少なくとも一つのxの値をチップ内に保存する。
有利には、アプリケーションはいくつかのxの値を保存する。
アプリケーションとチップは、rの同じ値を発生させなければならないので、アプリケーションの擬似乱数生成器とチップの擬似乱数生成器は、厳密に同一でなければならない。
後者の場合、gは、電子チップの公開キーのpの不可欠な部分となる。
集合Gの典型的な例は、nが任意の正の整数であるとき、n以下でありnに対して素である正またはゼロの整数の群Zn *、あるいはまた、あらゆる有限体に作られたあらゆる楕円曲線である。
ここで、シリアル関数は、算術関数で構成される。
電子チップ付装置は、アプリケーションと電子チップの間のトランザクションにおける、本発明による電子チップの不正行為に対する保護の非対称暗号通信法の使用を可能にするもので、入力パラメータから認証値Vを電子チップによって計算することからなる。
・トランザクションに固有の確率変数rを発生させるシリアル擬似乱数生成器7と、
・トランザクションに先立ってアプリケーションによって計算される、一つまたは複数のパラメータxが保存された第1の記憶手段である記憶装置8で、それぞれのパラメータxが数学的関係式によって確率変数rの値に結びつけられ、該値がシリアル擬似乱数生成器によって発生させることができる値の集合に含まれるものと、
・トランザクションに固有の確率変数rに結びつけられたパラメータxの第1の出力手段9と、
・シリアル関数10の実行手段で、入力パラメータとして、少なくともトランザクションに固有の確率変数rと、一対の非対称キー(s、p)に属するプライベートキーsとを有し、このパラメータyが認証値Vの全体または一部を構成するものと、
・少なくともパラメータyから認証値Vを構成した後の、この値の第2の出力手段9とを備えている。
したがって、f(K、M)でこのような方法の計算関数を表すと、Kは対称秘密キーを表し、Mは関数fの他のオペランドの集合を表すが、このとき確率変数rは、Kの同じ値を保ちながら、関数fをMの異なる値に反復適用することで発生させられる。
例として、fの出力値zのサイズがkビットに等しく、確率変数rのサイズが16kビットに等しいとき、チップの最初の認証の際に使用される第1の確率変数rは、f(K、M1)、f(K、M2)、・・・、f(K、M16)といった16個の出力値の連結に等しく選択することができ、第2の確率変数は、f(K、M17)、f(K、M18)、・・・、f(K、M32)などの16個の出力値の連結に等しく選択することが可能で、すべての値Miは互いに区別される。
この発生器は、混合の結果であるデータE’=(e’1、e’2、・・・e’n、・・・、e’N)を出力に提供するための、入力パラメータの全体または一部の混合手段12、少なくとも旧状態と一連のビット(e’1、e’2、・・・e’n、・・・、e’N)の値に依存する関数によって、旧状態から新状態に移行する有限状態オートマトン13、オートマトンの少なくとも一つの状態を含む入力引数から値zを計算し、ついで連続する16個の出力値f(K、M1)、f(K、M2)、・・・、f(K、M16)の連結を実施して、選択される確率変数rの値を決定するための出力手段14とを備える。
混合手段12の入力パラメータは、非網羅的リスト内で取ることができる。
該リストは、秘密キーK、チップの内部データD、データDのメモリアドレス、チップの外部データD’、アプリケーションによって提供される確率変数R’を含む。
出力S’の値は、このレジスタの内容から抽出される一つまたは複数のビットで構成することができる。
すなわち、例えば、k+1ビットのベクトル(A1、A2、・・・Ak+1)にkビットのベクトル(A’1、A’2、・・・A’k)を組み合わせる。
ここで、それぞれのビットA’iは、排他的OR、OR(内包的)、AND、NOTなどの基本演算を用いることで、ビット(A1、A2、・・・Ak)から得られる。
この際、(A1、A2、・・・Ak)は、オートマトンの旧状態を表している。
オートマトンは、kビットの内部状態(A1、A2、・・・Ak)を有し、新ベクトル(A1、A2、・・・Ak、S’e’)がブール回路の入力に存在するたびに、新状態(A’1、A’2、・・・A’k)を出力に提供する。
新ベクトルは、内部状態と混合関数MIXの出力で構成される。
k=8のとき、例えば、8ビットバイト(A1、A2、・・・A8)を2つの4ビットバイト(A1、A2、A3,A4)と(A5、A6、A7,A8)に分割する。
そして、混合関数の出力ビットE’e’がゼロに等しいときは変換Tを、あるいはE’e’が1に等しいときは変換Uを、それぞれの4ビットバイトに適用することができる。
変換Tは、4ビットバイトのそれぞれの値(a、b、c、d)に4ビットバイトの値(a’、b’、c’、d’)を組み合わせる表によって定義される。
Uについても同様である。
この手段は、例えば、サイズが16kビットである、確率変数rのサイズに等しい記憶領域である。
パラメータxは、電子チップの市販の前にメモリ内に書き込まれる。
パラメータxの計算に介在する確率変数rの値は、チップが忠実にこの値を再計算できるように選択される。
図2に照らし合わせて記載したシリアル擬似乱数生成器の例において、この条件は、秘密キーKがチップとアプリケーションによって共有されることを要求する。
したがって、チップを流通させる前に、アプリケーションは計算関数が上述のfで示された認証方法の反復適用によって、xのいくつかの値を計算し、チップのデータメモリ内に、これらの値を保存する。
認証のたびに、チップは、確率変数rを再計算し、それに対応するパラメータxの値をデータメモリ内で読み取る。
図2に照らし合わせて記載したシリアル擬似乱数生成器の例において、rとxの間の対応は、M1の値として、rのこの値に対応するxの値のアドレス決定を可能にする情報を選択することで確立され、0以上もしくは0に等しいiについてのMi+1の値は、Miの値を増加させることで得られる。
すなわち、x=h(gr、D)となる。
ここで、Dは、例えば、アプリケーションに結びつけられたデータを含むオプションフィールドを示す。
例えば、Dはアプリケーションによって決定されたユーロの金額を示す。
この場合、それぞれのクーポンは電子貨幣を表し、それぞれの認証は、かかる貨幣の消費を表す。
シリアル関数は、入力パラメータとして確率変数rと、一対の非対称キー(s、p)に属する秘密のプライベートキーsとを有している。
pは、公開キーである。
第3のレジスタ17は、先行ビットの加算の結果である繰り上がりciを取り込む。
最後に、第4のレジスタ18は、先行する加算の際に得られた繰り上がりとともに、カレントビットriとsiの値の合算の後に得られたビットyiを取り込み、この繰り上がりは、第3のレジスタ17の内容に対応している。
繰り上がりciは、AND素子19の出力であり、その入力が最初の2つのレジスタ15,16の出力である、先行ビットの加算の際に発生した繰り上がりと、AND素子20の出力でありその入力がカレントビットriとsiの値である、カレントビットの加算の際に発生した繰り上がりを考慮した結果である。
中間AND素子21は、先行ビットの加算の際に発生した繰り上がりがある時には、カレントビットの一つだけが1であるとき、繰り上がりを発生させる。
繰り上がりは、入力がカレントビットの値である排他的OR素子22の出力である。
該素子20の入力は、カレントビットriとsiである。
この繰り上がりciは、riとsiの後続ビットの加算の際に考慮に入れるために、第3のレジスタ17に取り込まれる。
該加算値は、入力がカレントビットriとsiの値である排他的OR素子22の出力である。
繰り上がりの値は、入力が先行する排他的OR素子22の出力と第3のレジスタ17の出力である、排他的OR素子24の出力である。
ここで、c0は、0に等しく選択される。
ついで、(例えば、関数x=grを介して)データメモリ内の前記確率変数に対応するパラメータxの値を読み取る。
その後、チップは、xの値をアプリケーションに送る。
その後、アプリケーションは、サイズが1ビットに減らされた確率変数tをチップに送る。
tの値が0に等しいとき、チップはy=rを選択する。
tの値が1に等しいとき、チップはy=r+sを選択する。
この選択の導入は、当業者には周知であり、したがって詳細には述べない。
ここで、pは関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである。
これらのパラメータが十分に大きく選択されたとき、今日広く認められている仮説である離散対数仮説によれば、gとpからsを再び見つけることは実現不可能である。
この場合、確認方程式は、tが0に等しいときはh(gy、D)=x、あるいはtが1に等しいときはh(gy/p、D)=xとなる。
確認方程式内のいっさいの除算を避けるため、y=r+sの代わりにy=r−sを選択することもできる。
その場合、第2の確認方程式は、h(gy・p、D)=xとなる。
もう一つの可能性は、p=gsの代わりにp=g−sを選択することである。
その場合は、h(gy、D)=xとh(gy・p、D)=xという確認方程式に至る。
このことによって、すでに真正なチップとクローンの間の判別が確立できるが、この判別は、実際に適用する大半の場合において不十分である。
例えば、確率変数tは、64ビットのチェーン(t63、t62、・・・、t0)に等しく選択され、そのビットの一つだけが1に等しい。
iが、tiが1に等しくなるような唯一の指数であるとき、その場合、yの値はy=r+2isに等しく選択される。
この値は、連続的に計算することが非常に容易であるが、それはrとiビットのsを左に(左に行くほど重いとき)にシフトさせることで得られた整数の加算を実施することに帰するからである。
このとき、確認方程式は、gy=xp^(2^i)である。
この条件において、秘密キーsを知っているもの以外のすべてのチップは、最大64分の1の確率でアプリケーションによって有効と認識されうる認証値を提供する。
この場合、確認方程式は、h(gy/p^(2^i)、D)=xとなる。
確認方程式内のいっさいの除算を避けるため、y=r+2isの代わりにy=r−2isを選択することもできる。
その場合、第2の確認方程式は、h(gy・p^(2^i)、D)=xとなる。
もう一つの可能性は、p=gsの代わりにp=g−sを選択することである。
その場合は、h(gy・p^(2^i)、D)=xという確認方程式に至る。
このとき、yは、y=r+2tsに等しく取られ、確認方程式はgy=xp^(2^t)になる。
この場合、確認方程式はh(gy/p^(2^t)、D)=xとなる。
確認方程式内のいっさいの除算を避けるため、y=r+2tsの代わりにy=r−2tsを選択することもできる。
その場合、第2の確認方程式は、h(gy・p^(2^t)、D)=xとなる。
もう一つの可能性は、p=gsの代わりにp=g−sを選択することである。
その場合は、h(gy・p^(2^t)、D)=xという確認方程式に至る。
このとき、yは、y=r+tsに等しく取られ、確認方程式はgy=xptである。
この場合、確認方程式はh(gy/pt、D)=xとなる。
確認方程式内のいっさいの除算を避けるため、y=r+tsの代わりにy=r−tsを選択することもできる。
その場合、第2の確認方程式は、h(gy・pt、D)=xとなる。
もう一つの可能性は、p=gsの代わりにp=g−sを選択することである。
その場合は、h(gy・pt、D)=xという確認方程式に至る。
この出力手段9は、例えば、サイズがパラメータyのサイズに等しい記録領域である。
この実行の際に、アプリケーションはチップの認証のために、本発明による認証装置を利用する。
本装置は、本発明による方法の認証関数を実行する手段を備えている。
この手段は、もっぱら公開であるパラメータを用いることで、電子チップによって計算された認証値Vを確認する。
該パラメータは、少なくともチップの秘密キーsに結びつけられた公開キーpを備えている。
このとき、yは認証値Vに等しく、pは関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである。
7 擬似乱数生成器
8 記憶装置
9 出力手段
10 シリアル関数
12 混合手段
13 オートマン
14 出力手段
Claims (33)
- アプリケーションと電子チップの間のトランザクションにおいて、入力パラメータから認証値Vを電子チップ内で計算することからなる、ワイヤードロジックチップのための、電子チップの不正行為に対する保護の非対称暗号通信法であり、前記方法が、
・チップ内に含まれるシリアル擬似乱数生成器を用いて、トランザクションに固有の確率変数rと呼ばれる擬似乱数をチップによって発生させることと、
・数学的関係式によって確率変数rに結びつけられ、チップのデータメモリ内に保存された、トランザクションに先立ってアプリケーションによって計算されるパラメータxを、チップからアプリケーションに伝達することと、
・入力パラメータとして、トランザクションに固有の確率変数rと、一対の非対称キー(s、p)に属するプライベートキーsとを有するシリアル関数を用いて、認証値Vの全体または一部を構成するパラメータyを、チップによって計算することと、
・認証値Vをチップからアプリケーションに伝達することと、
・入力パラメータが、一つの公開キーpを含む、公開パラメータで排他的に構成される認証関数を用いて、前記認証値Vをアプリケーションによって確認することとからなる段階を含むことを特徴とする方法。 - トランザクションに固有の確率変数rの発生が、
・混合関数を用いて入力パラメータの全てまたは一部を混合し、一連のビットを混合関数の出力に提供することと、
・旧状態と一連のビットの一つの値に依存する関数によって、旧状態から新状態に移行させることで有限状態オートマトンの状態変化を実行することと、
・オートマトンの一つの状態を入力引数として有する出力関数を用いて、確率変数rの全体または一部を形成するために、一連の乱数ビットを決定することとからなることを特徴とする、請求項1に記載の方法。 - 入力パラメータの一つが秘密キーKで構成され、該秘密キーが、チップとアプリケーションの間で共有され、チップの保護された記憶領域内に保存されることを特徴とする、請求項2に記載の方法。
- 数学的関係式が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成されることを特徴とする、請求項1または請求項2に記載の方法。
- 集合Gが、nより小さく、nに対して素である正またはゼロである整数の群Zn *であることを特徴とする、請求項4に記載の方法。
- 集合Gが、任意の有限体に作られた楕円曲線であることを特徴とする、請求項4に記載の方法。
- シリアル関数が、あるリストから取られた演算を実行する算術関数であり、該リストが、加算、減算および左または右へのシフトを含んでいることを特徴とする、請求項1または請求項2に記載の方法。
- 算術関数が、加算のみを実行することを特徴とする、請求項7に記載の方法。
- 算術関数が、減算のみを実行することを特徴とする、請求項7に記載の方法。
- 算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rおよびy=r+sの一つを実行することからなることを特徴とする、請求項7に記載の方法。
- 数学的関係式が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、認証値Vに適用された関数によって提供される結果を、パラメータtの値に応じて、次の値:値x、値xとその秘密キーsに対応するチップの公開キーpとの積(xp)、の一つと比較し、このことが、パラメータtの値に応じて、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:gy=xとgy=xp、の一方をテストすることに等しくなることを特徴とする、請求項10に記載の方法。
- 算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rおよびy=r−s、の一つを実行することからなることを特徴とする、請求項7に記載の方法。
- 数学的方程式が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、認証値Vに適用された数学的方程式によって提供された結果を、パラメータtの値に応じて、次の値:値x、値xと秘密キーsに対応するチップの公開キーpとの積(xp)、の一つと比較し、このことが、パラメータtの値に応じて、yが認証値Vに等しく、pが方程式p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:gy=xとgy.p=x、の一方をテストすることに等しくなることを特徴とする、請求項12に記載の方法。
- 算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=r+2isを実行することからなり、このパラメータtが、mビット(tm−1、・・・、t0)のチェーンで構成され、そのビットの一つだけ、ビットtiが1に等しく、mが自然数であることを特徴とする、請求項7に記載の方法。
- 数学的関係式が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、パラメータtの値に応じて、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、方程式gy=xp^(2^i)をテストすることからなることを特徴とする、請求項14に記載の方法。
- 算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=r+2tsを実行することからなることを特徴とする、請求項7に記載の方法。
- 数学的関係式が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式gy=xp^(2^t)をテストすることからなることを特徴とする、請求項16に記載の方法。
- 算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、tが整数である次の演算:y=r+tsを実行することからなることを特徴とする、請求項7に記載の方法。
- 数学的関係式が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、認証値Vに適用された関数によって提供される結果を、パラメータtの値に応じて、次の値:値x、値xと秘密キーsに対応するチップの公開キーpとの積(xp)、の一つと比較し、このことが、パラメータtの値に応じて、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:gy=xptをテストすることに等しくなることを特徴とする、請求項18に記載の方法。
- チップからアプリケーションに伝達されたパラメータxが、数学的関数によって確率変数rに接続された一つの要素と、アプリケーションに結びつけられたデータを含むオプションフィールドDとに適用されたハッシュ関数の結果であることを特徴とする、請求項1または請求項2に記載の方法。
- 算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=r+2isを実行することからなり、このパラメータtが、mビット(tm−1、・・・、t0)のチェーンで構成され、そのビットの一つだけ、ビットtiが1に等しく、mが自然数であることを特徴とする、請求項20に記載の方法。
- 数学的関係式が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、パラメータtの値に応じて、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:h(gy/p^(2^i),D)=xをテストすることからなることを特徴とする、請求項21に記載の方法。
- 数学的関係式が、特性として結合的である演算を備えている要素gの集合G内の関数grであり、確認関数が、yが認証値Vに等しく、pが関数p=g−sによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:h(gy・p^(2^i),D)=xをテストすることからなることを特徴とする、請求項21に記載の方法。
- 算術関数が、さらに入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=r−2isを実行することからなり、このパラメータtが、mビット(tm−1、・・・、t0)のチェーンで構成され、そのビットの一つだけ、ビットtiが1に等しく、mが自然数であることを特徴とする、請求項20に記載の方法。
- 数学的関係式が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成され、確認関数が、yが認証値Vに等しく、pが関数p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の方程式:h(gy・p^(2^i),D)=xをテストすることからなることを特徴とする、請求項24に記載の方法。
- 数学的関数が、特性として結合的である演算を備えている要素gの集合G内の関数grで構成され、チップからアプリケーションに伝達されたパラメータxが、Dがアプリケーションに結びつけられたデータを含むオプションフィールドを示し、hがハッシュ関数である、x=h(gr、D)型の関係式の結果であることを特徴とする、請求項20に記載の方法。
- シリアル関数が、入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rとy=r+s、の一つを実行することからなり、確認関数が、値xを、パラメータtの値に応じて、yが認証値Vに等しく、pが方程式p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の値:h(gy、D)、h(gy/p、D)、の一つと比較することを特徴とする、請求項26に記載の方法。
- シリアル関数が、入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rとy=r+s、の一つを実行することからなり、確認関数が、値xをパラメータtの値に応じて、yが認証値Vに等しく、pが方程式p=g−sによって定義され、秘密キーsに対応するチップの公開キーである、次の値:h(gy、D)、h(gy.p、D)の一つと比較することを特徴とする、請求項26に記載の方法。
- シリアル関数が、入力引数として入力パラメータを有し、アプリケーションによってシリアル関数の入力パラメータtに割り当てられた値に応じて、次の演算:y=rとy=r−s、の一つを実行することからなり、確認関数が、値xをパラメータtの値に応じて、yが認証値Vに等しく、pが方程式p=gsによって定義され、秘密キーsに対応するチップの公開キーである、次の値:h(gy、D)、h(gy.p、D)の一つと比較することを特徴とする、請求項26に記載の方法。
- 集合Gは、nより小さく、nに対して素である正またはゼロの整数の群Zn *であることを特徴とする、請求項7から請求項29のいずれか一つに記載の方法。
- 集合Gは、任意の有限体に作られた楕円曲線であることを特徴とする、請求項7から請求項29のいずれか一つに記載の方法。
- アプリケーションと電子チップの間のトランザクションにおいて、入力パラメータから認証値Vを電子チップによって計算することからなる、請求項1から請求項31のいずれか一つに記載の電子チップの不正行為に対する保護の非対称暗号通信法を使用することを可能にする、電子チップ付装置であり、前記装置が、
・トランザクションに固有の確率変数rを発生させるシリアル擬似乱数生成器と、
・一つのxの値が保存された第1の記憶手段で、パラメータxの値が、トランザクションに先立ってアプリケーションによって計算され、数学的関係式によって確率変数rの値に結びつけられているものと、
・トランザクションに固有の確率変数rに結びつけられたパラメータxを、電子チップからアプリケーションに伝達する手段と、
・入力パラメータとして、トランザクションに固有の確率変数rと、一対の非対称キー(s、p)に属するプライベートキーsとを有し、パラメータyを出力に提供するシリアル関数の実行手段と、
・パラメータyから認証値Vを構成するための出力手段とを備えていることを特徴とする電子チップ付装置。 - アプリケーションと電子チップの間のトランザクションにおいて、もっぱら公開であるパラメータから、電子チップによって計算された認証値Vを確認することからなる、請求項1から請求項31のいずれか一つに記載の電子チップの不正行為に対する保護の非対称暗号通信法を実行するための確認装置であり、
前記装置が、認証値Vと公開キーpを入力に取る確認関数の実行手段を備えていることを特徴とする確認装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0301108A FR2850479B1 (fr) | 2003-01-24 | 2003-01-24 | Procede cryptographique a cle publique pour la protection d'une puce contre la fraude |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004229308A true JP2004229308A (ja) | 2004-08-12 |
JP4659149B2 JP4659149B2 (ja) | 2011-03-30 |
Family
ID=32525020
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004017044A Expired - Lifetime JP4659149B2 (ja) | 2003-01-24 | 2004-01-26 | 電子チップの不正行為に対する保護の非対称暗号通信法 |
Country Status (11)
Country | Link |
---|---|
US (1) | US7590846B2 (ja) |
EP (1) | EP1441313B1 (ja) |
JP (1) | JP4659149B2 (ja) |
KR (1) | KR101142656B1 (ja) |
CN (1) | CN100566246C (ja) |
AR (1) | AR047012A1 (ja) |
AT (1) | ATE431603T1 (ja) |
DE (1) | DE602004021047D1 (ja) |
FR (1) | FR2850479B1 (ja) |
MX (1) | MXPA04000700A (ja) |
TW (1) | TWI336864B (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010509838A (ja) * | 2006-11-09 | 2010-03-25 | ブロードオン コミュニケーションズ コーポレーション | セキュアプロセッサにおけるオンチップ不揮発性メモリのプログラミング方法、及びそのようにプログラミングされた装置 |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
MXPA02011835A (es) * | 2001-03-29 | 2003-10-06 | Matsushita Electric Ind Co Ltd | Sistema de proteccion de datos que proteje datos al encriptar los datos. |
JP4612461B2 (ja) * | 2004-06-24 | 2011-01-12 | 株式会社東芝 | マイクロプロセッサ |
CA2594670C (en) * | 2005-01-21 | 2014-12-23 | Certicom Corp. | Elliptic curve random number generation |
TW200708027A (en) * | 2005-04-29 | 2007-02-16 | Sean O'neil | Process of and apparatus for hashing |
US9767319B2 (en) * | 2007-04-17 | 2017-09-19 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and apparatus of secure authentication for system on chip (SoC) |
EP2251813A1 (en) * | 2009-05-13 | 2010-11-17 | Nagravision S.A. | Method for authenticating access to a secured chip by a test device |
DE102009022233A1 (de) * | 2009-05-20 | 2010-11-25 | Feustel, Dietmar | Verwendung einer Zeichenkette in Sytemen der Kryptographie, der Statistik, der Simulation, der Randomisierung, von Spielautomaten und dgl. |
US8923519B2 (en) * | 2009-05-29 | 2014-12-30 | Alcatel Lucent | Method of efficient secure function evaluation using resettable tamper-resistant hardware tokens |
DE102010010950A1 (de) * | 2010-03-10 | 2011-09-15 | Giesecke & Devrient Gmbh | Verfahren zum Authentisieren eines portablen Datenträgers |
EP2720167A1 (en) | 2012-10-11 | 2014-04-16 | Nagravision S.A. | Method and system for smart card chip personalization |
US11182782B2 (en) | 2016-02-23 | 2021-11-23 | nChain Holdings Limited | Tokenisation method and system for implementing exchanges on a blockchain |
EA201891829A1 (ru) | 2016-02-23 | 2019-02-28 | Нчейн Холдингс Лимитед | Способ и система для эффективного перевода криптовалюты, связанной с заработной платой, в блокчейне для создания способа и системы автоматизированной выплаты заработной платы на основе смарт-контрактов |
BR112018016821A2 (pt) | 2016-02-23 | 2018-12-26 | Nchain Holdings Ltd | sistema e métodos implementados por computador |
CN117611331A (zh) | 2016-02-23 | 2024-02-27 | 区块链控股有限公司 | 用于使用区块链在点对点分布式账簿上有效转移实体的方法及系统 |
SG10202007904SA (en) | 2016-02-23 | 2020-10-29 | Nchain Holdings Ltd | A method and system for securing computer software using a distributed hash table and a blockchain |
AU2017223133B2 (en) | 2016-02-23 | 2022-09-08 | nChain Holdings Limited | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys |
CN115641131A (zh) | 2016-02-23 | 2023-01-24 | 区块链控股有限公司 | 在区块链上安全转移实体的方法和系统 |
ES2680851T3 (es) | 2016-02-23 | 2018-09-11 | nChain Holdings Limited | Registro y método de gestión automática para contratos inteligentes ejecutados por cadena de bloques |
US11606219B2 (en) | 2016-02-23 | 2023-03-14 | Nchain Licensing Ag | System and method for controlling asset-related actions via a block chain |
AU2017222421B2 (en) | 2016-02-23 | 2022-09-01 | nChain Holdings Limited | Personal device security using elliptic curve cryptography for secret sharing |
WO2017145004A1 (en) | 2016-02-23 | 2017-08-31 | nChain Holdings Limited | Universal tokenisation system for blockchain-based cryptocurrencies |
KR20180115768A (ko) | 2016-02-23 | 2018-10-23 | 엔체인 홀딩스 리미티드 | 블록체인으로부터 데이터의 안전한 추출을 위한 암호화 방법 및 시스템 |
JP6925346B2 (ja) | 2016-02-23 | 2021-08-25 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | ブロックチェーンベースのトークナイゼーションを用いた交換 |
GB2561729A (en) | 2016-02-23 | 2018-10-24 | Nchain Holdings Ltd | Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system |
JP6833861B2 (ja) | 2016-02-23 | 2021-02-24 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | ブロックチェーンシステム内におけるフィードバックを統合したエージェントベースチューリング完全なトランザクション |
CN109471610B (zh) * | 2018-10-25 | 2021-03-19 | 北京链化未来科技有限公司 | 一种串行随机数生成方法、装置和存储介质 |
CN109361509A (zh) * | 2018-10-25 | 2019-02-19 | 杭州隐知科技有限公司 | 一种随机数生成方法、装置和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05323874A (ja) * | 1992-05-25 | 1993-12-07 | Mitsubishi Electric Corp | 認証方式 |
JP2005503059A (ja) * | 2001-09-10 | 2005-01-27 | エステーミクロエレクトロニクス ソシエテ アノニム | メモリの整合性検証を有する認証プロトコル |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4926480A (en) * | 1983-08-22 | 1990-05-15 | David Chaum | Card-computer moderated systems |
US4933970A (en) * | 1988-01-19 | 1990-06-12 | Yeda Research And Development Company Limited | Variants of the fiat-shamir identification and signature scheme |
EP0383985A1 (de) * | 1989-02-24 | 1990-08-29 | Claus Peter Prof. Dr. Schnorr | Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem |
FR2716058B1 (fr) * | 1994-02-04 | 1996-04-12 | France Telecom | Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret. |
FR2717286B1 (fr) * | 1994-03-09 | 1996-04-05 | Bull Cp8 | Procédé et dispositif pour authentifier un support de données destiné à permettre une transaction ou l'accès à un service ou à un lieu, et support correspondant. |
EP0723251A3 (en) * | 1995-01-20 | 1998-12-30 | Tandem Computers Incorporated | Method and apparatus for user and security device authentication |
US6226383B1 (en) | 1996-04-17 | 2001-05-01 | Integrity Sciences, Inc. | Cryptographic methods for remote authentication |
DE19820422A1 (de) * | 1998-05-07 | 1999-11-11 | Giesecke & Devrient Gmbh | Verfahren zur Authentisierung einer Chipkarte innerhalb eines Nachrichtenübertragungs-Netzwerks |
TW536672B (en) | 2000-01-12 | 2003-06-11 | Hitachi Ltd | IC card and microcomputer |
JP3864675B2 (ja) * | 2000-03-09 | 2007-01-10 | 株式会社日立製作所 | 共通鍵暗号装置 |
GB0102516D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Trusted gateway system |
FR2826531B1 (fr) | 2001-06-26 | 2003-10-24 | France Telecom | Procede cryptographique pour la protection d'une puce electronique contre la fraude |
FR2828780B1 (fr) * | 2001-08-20 | 2004-01-16 | France Telecom | Procede de realisation d'une unite cryptographique pour un systeme de cryptographie asymetrique utilisant une fonction logarithme discret |
FR2834403B1 (fr) | 2001-12-27 | 2004-02-06 | France Telecom | Systeme cryptographique de signature de groupe |
US7353395B2 (en) * | 2002-03-21 | 2008-04-01 | Ntt Docomo Inc. | Authenticated ID-based cryptosystem with no key escrow |
-
2003
- 2003-01-24 FR FR0301108A patent/FR2850479B1/fr not_active Expired - Fee Related
-
2004
- 2004-01-15 TW TW093101032A patent/TWI336864B/zh not_active IP Right Cessation
- 2004-01-19 KR KR1020040003931A patent/KR101142656B1/ko active IP Right Grant
- 2004-01-20 US US10/761,040 patent/US7590846B2/en active Active
- 2004-01-21 CN CNB2004100029538A patent/CN100566246C/zh not_active Expired - Lifetime
- 2004-01-23 EP EP04001402A patent/EP1441313B1/fr not_active Expired - Lifetime
- 2004-01-23 MX MXPA04000700A patent/MXPA04000700A/es active IP Right Grant
- 2004-01-23 AT AT04001402T patent/ATE431603T1/de not_active IP Right Cessation
- 2004-01-23 DE DE602004021047T patent/DE602004021047D1/de not_active Expired - Lifetime
- 2004-01-23 AR ARP040100213A patent/AR047012A1/es active IP Right Grant
- 2004-01-26 JP JP2004017044A patent/JP4659149B2/ja not_active Expired - Lifetime
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05323874A (ja) * | 1992-05-25 | 1993-12-07 | Mitsubishi Electric Corp | 認証方式 |
JP2005503059A (ja) * | 2001-09-10 | 2005-01-27 | エステーミクロエレクトロニクス ソシエテ アノニム | メモリの整合性検証を有する認証プロトコル |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010509838A (ja) * | 2006-11-09 | 2010-03-25 | ブロードオン コミュニケーションズ コーポレーション | セキュアプロセッサにおけるオンチップ不揮発性メモリのプログラミング方法、及びそのようにプログラミングされた装置 |
Also Published As
Publication number | Publication date |
---|---|
FR2850479B1 (fr) | 2005-04-29 |
DE602004021047D1 (de) | 2009-06-25 |
JP4659149B2 (ja) | 2011-03-30 |
CN1518270A (zh) | 2004-08-04 |
TW200511136A (en) | 2005-03-16 |
US20040193890A1 (en) | 2004-09-30 |
KR101142656B1 (ko) | 2012-05-11 |
US7590846B2 (en) | 2009-09-15 |
KR20040068472A (ko) | 2004-07-31 |
AR047012A1 (es) | 2006-01-04 |
FR2850479A1 (fr) | 2004-07-30 |
MXPA04000700A (es) | 2004-08-03 |
TWI336864B (en) | 2011-02-01 |
EP1441313A1 (fr) | 2004-07-28 |
EP1441313B1 (fr) | 2009-05-13 |
CN100566246C (zh) | 2009-12-02 |
ATE431603T1 (de) | 2009-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4659149B2 (ja) | 電子チップの不正行為に対する保護の非対称暗号通信法 | |
JP6366595B2 (ja) | 耐グリッチ性暗号離散対数ベースの署名のための方法及びシステム | |
CN113765657A (zh) | 一种密钥数据处理方法、装置及服务器 | |
CN110046996A (zh) | 区块链交易的生成方法和装置 | |
CN109697365A (zh) | 信息处理方法及区块链节点、电子设备 | |
KR102302955B1 (ko) | 자산의 토큰화를 통해 현물 자산 거래를 가능하게 하는 블록체인 및 클라우드 기반의 자산 거래 플랫폼 서버 및 그 동작 방법 | |
CN111342963A (zh) | 数据上链方法、数据存储方法及装置 | |
CN108769054B (zh) | 一种基于等值测试承诺的区块链交易验证方法及装置 | |
EP1266364B1 (fr) | Procede cryptographique de protection contre la fraude | |
CN101359986A (zh) | 用于根据双线性映射的直接匿名证明的装置和方法 | |
KR101117680B1 (ko) | 암호화 연산을 수행하는 방법 및 장치 | |
US7526648B2 (en) | Cryptographic method of protecting an electronic chip against fraud | |
CN115545706A (zh) | 一种基于区块链和智能合约技术的安全支付系统及方法 | |
FR2739994A1 (fr) | Procede cryptographique de protection contre la fraude | |
EP1269431B1 (fr) | Procede de protection d'une puce electronique contre la fraude | |
WO2024218703A1 (en) | Method, system and chip for identification and/or authentication | |
CN114826653A (zh) | 一种基于区块链网络的凭证验证方法、系统及装置 | |
CN112258169A (zh) | 基于密钥生成的并行签名系统和方法 | |
CN116346349A (zh) | 基于区块链和nft的数字盲盒管理方法及系统 | |
CN113793149A (zh) | 离线交易认证系统、方法及中心服务器、客户端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100511 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100810 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100813 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100910 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100915 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20101008 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20101014 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101111 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101207 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101225 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140107 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4659149 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |