JP2006527564A - 差動電力解析を用いて行なわれる攻撃に対する防御の方法 - Google Patents
差動電力解析を用いて行なわれる攻撃に対する防御の方法 Download PDFInfo
- Publication number
- JP2006527564A JP2006527564A JP2006516632A JP2006516632A JP2006527564A JP 2006527564 A JP2006527564 A JP 2006527564A JP 2006516632 A JP2006516632 A JP 2006516632A JP 2006516632 A JP2006516632 A JP 2006516632A JP 2006527564 A JP2006527564 A JP 2006527564A
- Authority
- JP
- Japan
- Prior art keywords
- curve
- group
- hyperelliptic
- hyperelliptic curve
- cryptosystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7223—Randomisation as countermeasure against side channel attacks
- G06F2207/7228—Random curve mapping, e.g. mapping to an isomorphous or projective curve
Landscapes
- Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Computational Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Complex Calculations (AREA)
- Other Investigation Or Analysis Of Materials By Electrical Means (AREA)
- Electroluminescent Light Sources (AREA)
Abstract
少なくとも1つの係数によって与えられ、第一の群内の有限体(K)上の任意の類数(g)の少なくとも1つの超楕円曲線(C)によって与えられる少なくとも1つの超楕円曲線暗号系、とりわけ少なくとも1つの超楕円曲線公開鍵暗号系に対して、差動電力解析を用いて行なわれる、少なくとも1つの攻撃に対する防御のための方法を、この超楕円曲線系の効率的で、かつ、安全な実現に向けての本質的な寄与ができるように改善するために、前記超楕円曲線(C)及び/又は前記第一の群の少なくとも1つの元、とりわけ少なくとも1つのとりわけ既約因子及び/又はスカラ乗算の少なくとも1つの中間結果を、ランダム化することが提唱される。
Description
本発明は、少なくとも1つの係数(co-efficient)によって与えられる、第一の群内の有限体上の任意の類数(genus)の少なくとも1つの超楕円曲線によって与えられる少なくとも1つの超楕円曲線暗号系内、とりわけ少なくとも1つの超楕円曲線公開暗号系内で、差動電力解析(differential power analysis)を用いてなされる少なくとも1つの攻撃に対する防御ための方法に関する。
最近まで、楕円曲線暗号系(=ECC(Elliptic Curve Cryptography)に基づく系)は、超楕円曲線暗号系(=HCC(Hyperelliptic Curve Cryptography)に基づく系)より高速であると考えられていたけれども、過去においてさえも、有限体(finite bodies)上の超楕円曲線のヤコブ多様体(Jacobian variations)の使用が、暗号法のための楕円曲線に対する、1つの代替として提唱されている(Neal Koblitz, "A family of Jacobians suitable for discrete log crytosystems(離散対数暗号系に適するヤコブ族)", in S. Goldwasser(Ed.), "Advances in Cryptology - CRYPTO '88" , Vol. 403 of " Lecture Notes in Computer Science" , Pages 94 to 99, 21st to 25th August 1988, Springer- Verlag, 1990; Neal Koblitz, "Hyperelliptic Cryptosystems(超楕円曲線暗号系)", Journal of Cryptology 1 (1989), Pages 139 to 150を参照されたい。
2つのより最近の進展は、しかしながら、今では、ECC系は、HCC系よりも高速であるという見解は、変更されるべきであることを示す。
2000年9月、Kim Nguyen (Philips Semiconductors)は、ECC 2002 "Workshop on elliptic curve cryptography(楕円曲線暗号系に関するワークショップ)" in Essenにおいて、実験的なハードウェアシミュレータ上での類数2におけるTanja Langeの射影方式 (projective formulae)の彼の実現の結果を発表した( Tanja Lange, "Inversion - Free Arithmetic on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線に関する反転のない演算)", Cryptology ePrint Archive, Report 2002/ 147,2002,
http://eprint.iacr.org/) を参照されたい)。これら結果は、HCCの競争力を示唆する。
http://eprint.iacr.org/) を参照されたい)。これら結果は、HCCの競争力を示唆する。
その後間もなく、J. Pelzl, T. Wollinger, J. Guajardo及びC. Paarらは、類数3の曲線に対する高度に効率的な公式(J. Pelzl, T. Wollinger, J. Guajardo, C. Paar, "Hyperelliptic Curve Cryptosystems: Closing the Performance Gap to Elliptic Curves(超楕円曲線暗号系;楕円曲線に対する性能ギャップの閉鎖)"を参照)を、1つの重要なケースにおける速度の二倍化という劇的な改善と、“埋込み型マイクロプロセッサ(embedded microprocessor)”(ARM7)上への実現と、を含めて、開示した。
HCCに基づく方式のハードウェア上、とりわけ、チップカード上への効率的な実現との関連で、差動電力解析との関連で、HCCの安全性に関する疑問がただちに生じる。差動電力解析は、P. Kocher, J. Jaffe 及びB. Junらによって二つの文献に紹介され(P. Kocher, J. Jaffe and B. Jun、 "Introduction to Differential Power Analysis and Related Attacks(差動電力解析および関連する攻撃についての入門)", http://www.cryptography.com/dpa/technical, 1998、及びP. Kocher, J. Jaffe and B. Jun、" Differential Power Analysis (差動電力解析)", Lecture Notes in Computer Science, Vol. 1666, Pages 388 to 397, Springer - Verlag, Berlin, Heidelberg, 1999を参照)、これら引用された文献において説明されている。
差動電力解析に関する簡単な説明は、
M. Joye and C. Tymenによる論文、"Protection against Differential Analysis for Elliptic Curve Cryptography - An Algebraic Approach(楕円曲線暗号系に対する差分解析に対する防御 - 代数的アプローチ)" in C. K. Koc, D. Naccache and C. Paar(Ed.) : CHES 2001, " Lecture Notes in Computer Science", Vol. 2162, Pages 377 to 390, Springer - Verlag, Berlin, Heidelberg, 2001、のセクション3.2と3.3又は
J. S. Coron、"Resistance against Differentail Power Analysis for Elliptic Curve Cryptosystems(楕円曲線暗号系に対する差動電力解析に対する妨害)" in C. K. Koc and C. Paar(Ed.) : CHES'99 , " Lecture Notes in Computer Science", Vol. 1717, Pages 292 to 302, Springer - Verlag, Berlin, Heidelberg, 1999、のセクション3と、
にも与えられている。
M. Joye and C. Tymenによる論文、"Protection against Differential Analysis for Elliptic Curve Cryptography - An Algebraic Approach(楕円曲線暗号系に対する差分解析に対する防御 - 代数的アプローチ)" in C. K. Koc, D. Naccache and C. Paar(Ed.) : CHES 2001, " Lecture Notes in Computer Science", Vol. 2162, Pages 377 to 390, Springer - Verlag, Berlin, Heidelberg, 2001、のセクション3.2と3.3又は
J. S. Coron、"Resistance against Differentail Power Analysis for Elliptic Curve Cryptosystems(楕円曲線暗号系に対する差動電力解析に対する妨害)" in C. K. Koc and C. Paar(Ed.) : CHES'99 , " Lecture Notes in Computer Science", Vol. 1717, Pages 292 to 302, Springer - Verlag, Berlin, Heidelberg, 1999、のセクション3と、
にも与えられている。
このようなDPA(Differential Power Analysis)攻撃は、様々な入力の処理の際の暗号装置の電力消費を測定し、これら測定値を、データの内部表現で定義されたビットのそれら値と相関させて設定する。この差動電力解析の概念は、しかし、非常に一般的なものであり、更なる物理的な物理値、例えば、電磁放射によっても機能する。
HCCに基づく暗号系の実現に対する以前の表現(depictions)は、主として、実現の効率に焦点を置き、差動電力解析を用いた攻撃に対する実現の防御については無視してきた。
上述の短所及び不十分さから始めて、概説された従来技術の評価に鑑み、本発明は、超楕円曲線暗号に基づくシステムの効率的で、かつ安全な実現に向けて、本質的な貢献がなされるように、最初に引き合いに出したタイプの方法を精緻化する目的に基づいている。
この目的は、請求項1に与えられている特徴を有する方法によって達成される。本発明の有利な実施形態と、適当な改善形態がサブクレーム内に記載されている。
本発明は、こうして、超楕円曲線暗号系の実現における差動電力解析に基づく攻撃に対する防御のための対抗措置を提供するという原理に、とりわけ、超楕円曲線のヤコブ多様体上のスカラ乗算(scalar multiplication)が、差動電力解析に対して、(M. Joye 及びC. Tymenによる上で引用された文献における曲線のランダム化の超楕円曲線の類似物(analogon)という意味において)曲線のランダム化によって、及び/又は(J.S. Coronによる上で引用された文献の第三の対抗措置、すなわち、ここでは因子のランダム化と呼ばれる、小数点のランダム化の超楕円曲線の類似物という意味において)因子のランダム化によって、防御できるようにされる、ことに基づく。
こうして、ここに説明される発明は、超楕円曲線暗号に基づくシステム(HCC(hyperelliptic curve cryptography)- based system)の効率的で、かつ安全な実現に向けて、すなわち、HCCに基づく暗号系のこのようなDPA攻撃に対する頑丈さと安全性の方向への、本質的な貢献を行うが、ここでは、これら技法と実現可能性に加えて、このような方法の複雑さについても後に考察されることとなる。
曲線のランダム化(curve randomisation)の基本的な概念は、オペランド(operand)のビットを予測できないように修正することにある。この目的を達するために、要求される計算は与えられた第一の群内ではなく、ランダムに生成されしかし同型の第二の群内で遂行され、この結果が、次に、第一の群内に通じる。
因子のランダム化(divisor randomisation)の基本的な概念は、通常は、この暗号系の基底元(base element)、又は、スカラ乗算の中間結果である、縮約因子(reduced divisor)の表現(depication)のビットを修正することにある。この約数のランダム化の技法は、ある群の元(group element)が幾つかの異なるやり方にて表現できるようなときにはいつでも用いることができる。
本発明は、更に、上で説明されたようなタイプの方法に従って動作するマイクロプロセッサにも関する。
本発明は、更に、上で説明されたタイプに従う少なくとも1つのマイクロプロセッサを有する、デバイス、とりわけ、チップカード及び/又はとりわけスマートカードに関する。
本発明は、最後に、
上で説明されたタイプの方法及び/又は
上で説明されたタイプに従う少なくとも1つのマイクロプロセッサ及び/又は
上で説明されたタイプに従う、少なくとも1つのデバイス、とりわけ、少なくとも1つのチップカード及び/又はとりわけ少なくとも1つのスマートカードを、
少なくとも1つの超楕円曲線暗号系に対して、とりわけ、少なくとも1つの超楕円曲線公開鍵暗号系に対して、差動電力解析を用いて行なわれる、少なくとも1つの攻撃の防御において、用いることに関する。ここで、公開鍵暗号系は、通常は、非対称な暗号方法を用いる。
上で説明されたタイプの方法及び/又は
上で説明されたタイプに従う少なくとも1つのマイクロプロセッサ及び/又は
上で説明されたタイプに従う、少なくとも1つのデバイス、とりわけ、少なくとも1つのチップカード及び/又はとりわけ少なくとも1つのスマートカードを、
少なくとも1つの超楕円曲線暗号系に対して、とりわけ、少なくとも1つの超楕円曲線公開鍵暗号系に対して、差動電力解析を用いて行なわれる、少なくとも1つの攻撃の防御において、用いることに関する。ここで、公開鍵暗号系は、通常は、非対称な暗号方法を用いる。
上で既に述べたように、本発明の教示を有利に構造化及び改善する様々な方法が存在する。これに関しては請求項1に続く様々な請求項を参照されたい。
以下では、本発明が、図面に示される実施形態の例を参照しながら更に説明されるが、しかし、本発明はこれに制限されるものではない。
以下において曲線のランダム化の方法を第一の実施形態に基づいて説明する前に、超楕円曲線の理論に対する応用指向の導入として、"A. Menezes, Y.H. Wu and R. Zuccherato, "An Elementary Introduction to Hyperelliptic Curves(超楕円曲線への初歩的入門)”, Appendix in Neal Koblitz, "Algebraic aspects of cryptography(暗号法の代数的局面)", Algorithms and Computations in Mathematics, Vol.3, pages 155 to 178, Springer - Verlag, 1998を参照されたい。
以下で用いられる表記法は、この論文から、
Tanja Lange, "Inversion - Free Arithmetic on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線に関する逆のない算術)", Cryptology ePrint Archive, Report 2002/ 147,2002, http://eprint.iacr.org/ 、
Tanja Lange, "Weighted Co-ordinates on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上の重み付き座標)", Cryptology ePrint Archive, Report 2002/153,2002, http://eprint.iacr.org/ 、及び
J. Pelzl, T. Wollinger, J. Guajardo, C. Paar, "Hyperelliptic Curve Cryptosystems: Closing the Performance Gap to Elliptic Curves(超楕円曲線に基づく暗号系;楕円曲線に関する性能ギャップの閉鎖)"、に従うことでずれる。
以下で用いられる表記法は、この論文から、
Tanja Lange, "Inversion - Free Arithmetic on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線に関する逆のない算術)", Cryptology ePrint Archive, Report 2002/ 147,2002, http://eprint.iacr.org/ 、
Tanja Lange, "Weighted Co-ordinates on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上の重み付き座標)", Cryptology ePrint Archive, Report 2002/153,2002, http://eprint.iacr.org/ 、及び
J. Pelzl, T. Wollinger, J. Guajardo, C. Paar, "Hyperelliptic Curve Cryptosystems: Closing the Performance Gap to Elliptic Curves(超楕円曲線に基づく暗号系;楕円曲線に関する性能ギャップの閉鎖)"、に従うことでずれる。
有限体K上のg≧1なる類数の2つの超楕円曲線C、〜C(Cの上に〜がついたものを表わす)から始めて、K−同型写像φ:C→〜Cは、ヤコブ多様体のK−同型写像φ:J(C)→J(〜C)に明らかに拡張されうる。nが自然数を表し、DがJ(C)(K)の元を表すとき、J(C)(K)においてQ=nDを計算する代わりに、この場合には、
Q=φ−1(nφ(D)) (1)
が実行される。
Q=φ−1(nφ(D)) (1)
が実行される。
これは、換言すれば、図1内のダイアグラムが可換であること、そして、このダイアグラム内において、本発明によると、J(〜C)(K)を介しての長い方の経路が取られることを意味する(図1内の符号“xn”は、“nによる乗算”を意味する)。
これに関連して、差動電力解析に基づいて行なわれる攻撃に対して防御するために、ヤコブ多様体のK−同型写像によって実現される対抗措置は、曲線Cの係数とJ(C)(K)の元の表現が、φの下でのこれら像の表現から大きく異なるときにとりわけ成功する。これは、例えば、全てのオペランドを乱数で乗算することで達成されうる。
以下の説明は、これが可能であることのみならず、このために僅かな現場作業(field operations)しか要求されないことも示す。
上で概説された、曲線の一般同型写像(general isomorphism)を用いて曲線のランダム化を行うという原理の1つの実際的な実現は、最初に、以下を仮定する
g≧1は自然数である
Kは有限体である
C、〜Cは、類数gの超楕円曲線であり、これらは、体K上で、ワイエルシュトラスの等式
C : y2+h(x)y−f(x)=0 (2)
〜C : y2+〜h(x)y−〜f(x)=0 (3)
によって定義され、
ここで、多項式f、〜f(fの上に〜をつけたものを表す)は、xにおいて次数2g+1によって標準化され、
h(x)、〜h(x)は、最大次数gを有する。
g≧1は自然数である
Kは有限体である
C、〜Cは、類数gの超楕円曲線であり、これらは、体K上で、ワイエルシュトラスの等式
C : y2+h(x)y−f(x)=0 (2)
〜C : y2+〜h(x)y−〜f(x)=0 (3)
によって定義され、
ここで、多項式f、〜f(fの上に〜をつけたものを表す)は、xにおいて次数2g+1によって標準化され、
h(x)、〜h(x)は、最大次数gを有する。
この超楕円曲線Cは(超楕円曲線〜Cと同様に)、特異アフィン点(singular affine points)は有さない。すなわち、この等式y2+h(x)y−f(x)=0と、この偏微分された等式2y+h(x)=0と、h′(x)y−f′(x)=0と、を同時に満たすような組(x,y)∈K×Kは存在しない。等価な条件は、判別式(discriminant)4f(x)+h(x)2がゼロにならないことである( P. Lockhart, "On the discriminant of a hyperellipitic curve(超楕円曲線の判別式に関して)", Trans. Amer. Math. Soc. 342(1994), No.2, Pages 729 to 752, MR 94f: 11054からの公理1.7 を参照)。類似の条件が{5−27}にも適用する。
C(又は〜C)の射影完備化(projective completion)の非アフィン点(non-affine point)が“無限(infinite)”であることが知られている。全てのK−曲線同型写像φ:C→〜Cは、次数がg以下の適当なs∈Kx、b∈K及びA(x)∈K[x]に対して、
なる形式の変数変換(variable transformation)によって記述することができる。(P. Lockhart, "On the discriminant of a hyperellipitic curve(超楕円曲線の判別式に関して)", Trans. Amer. Math. Soc. 342(1994), No.2, Pages 729 to 752, MR 94f: 11054からの定理1.2を参照)。
この同型写像の特徴φ:C→〜Cは、群多様体(group variations)の同型写像φ:J(C)→J(〜C)を生じる。ある曲線Cのヤコブ多様体は、明示的な計算(explicit calculations)に対してより適するそのイデアル類群(ideal class group)Cl0(C)に対して正準的に同型(canonically isomorphic)であり、このため、φが関数Cl0(C)→Cl0(〜C)としてどのように作用するかを見付けることが必要となる。
ここで、D. Cantor, "Computing in the Jacobian of a hyperelliptic curve(超楕円曲線のヤコブ多様体内での計算)", Mathematics of Computation, 48(1987), Pages 95 to 101において、このイデアル類群内における計算を、D. Mumford, " Tata Lectures on Theta II", Birkhuser, 1984における表現(depiction)用いて行うための幾つかのアルゴリズムが展開されているために、これらについて以下に簡単に概説される。
ここで、この有限点の集合Sは、C(K)の部分集合(part set)を表し、Dのキャリア(carrier)と呼ばれ、
これら乗数miは、
ΣP∈SmP≦g
であるような正の整数を表す。
これら乗数miは、
ΣP∈SmP≦g
であるような正の整数を表す。
次に、主因子Dに属するこのイデアル類が、明確に定義された多項式U(t)、V(t)∈K[t]の対によって与えられるが、これらは、以下のような特性を有する。
g≧degtU≧degtVであり、Uは標準化されており、次の式を満たす。
U(t)=ΠP∈S(t−xP)mp
V(xP)=yP 全てのP∈U(t)に対して (7)
ここで、U(t)はV(t)2+V(t)h(t)−f(t)を割り切る。
U(t)=ΠP∈S(t−xP)mp
V(xP)=yP 全てのP∈U(t)に対して (7)
ここで、U(t)はV(t)2+V(t)h(t)−f(t)を割り切る。
以下の表記法によると、[U(t),V(t)]は、この既約因子Dを表現する。
目的は、類似する特性U(t),V(t)を有するが、しかし、Dに対するのではなく、Cに対する因子
に属する2つの多項式〜U(t)、〜V(t)∈K[t]を見つけることにある。換言すれば、これは、全ての拡大体L/Kに対して、以下の関係を用いることを意味する。
事実、等式(8)と等式(9)は、正しい解答を与える。これは、既約因子の表現(depication)の明瞭さ(unambiguity)による。すなわち、〜U(t)と〜V(t)は、K上で定義され、deg〜V=degV<degU=deg〜Uで、かつ事実、〜U(t)が〜V(t)2+〜V(t)・〜h(t)−〜f(t)を割りきることを見つけることは容易である。
以下では、Kが奇数標数(uneven characteristic)の体であるようなケースについて考慮される。h(x)=〜h(x)であるものと仮定すると、y→y−h(x)/2及びy→y−〜h(x)/2に従う変数変換を有するこれら定義式は、常にこの形式に持ち込むことができる。この長所は、カントールの(Cantor)アルゴリズムは、より迅速に実行するという点であり、これと同じ理由により、上の仮定下においては、奇数標数内での明示的な等式が展開された。C、〜Cに対するこれら等式は以下のように表される。
C: y2−f(x)=0 (10)
〜C: y2−〜f(x)=0 (11)
これは、等式(6)においては、A(x)=0であることを意味する。
C: y2−f(x)=0 (10)
〜C: y2−〜f(x)=0 (11)
これは、等式(6)においては、A(x)=0であることを意味する。
もし、charK≠2g+1であるときは、更に、〜f(x)内のxの二番目に高い冪(second highest power)に属する係数f2g(および〜f(x)内におけるそれは)、x→x−f2g/(2g+1)に従う変数変換を常に遂行することができるために、ゼロになるものと、仮定することができる。この場合においては、等式(6)から、必然的にb=0となる。
こうして、φは、以下のようなタイプとなり、
ここで、s∈Kxである。この奇数標数に関しては、たとえcharK=2g+1の場合であっても、このタイプの同型写像を考慮することのみでよい。このため、〜f(x)に対する式は
〜f(x)=s−2(2g+1)f(s2x)
によって与えられる。
〜f(x)=s−2(2g+1)f(s2x)
によって与えられる。
このランダム化は、ワイエルシュトラスの式とこの既約因子を表すこれら2つの多項式の全ての係数を(1にハードワイヤされたそれらを除いて)変化させる。すなわち、
〜U(t)=s−2degtUU(s2t)、
〜V(t)=s−(2g+1)V(s2t)
となるように、変化させる。
〜U(t)=s−2degtUU(s2t)、
〜V(t)=s−(2g+1)V(s2t)
となるように、変化させる。
このため、このランダム化は、奇数標数の体Kを用いての超楕円曲線暗号系の実現における差動電力解析に基づく攻撃に対する防御のための安全な対抗措置と見なすことができる。
ある実現上のトリック(implementatory trik)を用いて達成されるこの非常に迅速な曲線のランダム化の1つの明示的な記述においては、奇数標数の体Kが用られるときは、最初にランダムな元s∈Kxが選択され、次に、この乗法逆元(multiplicative inverse)が計算される。これは、φに対してはs−1が、そして、φ−1に対してはsが必要とされるためである。
φをこの曲線と、基底因子(base divisor)[U(t),V(t)]と、に適用するためには、s−kが、k=2,3,...,2g+1に対して、連続して、計算される。
もし、kが偶数であるときはUg−k/2が、そして(もしkが2に等しくないときは)f2g+1−k/2が、s−kで乗算され、
もし、kが奇数であるときは、Vg−(k−1)/2がs−kで乗算される。
もし、kが偶数であるときはUg−k/2が、そして(もしkが2に等しくないときは)f2g+1−k/2が、s−kで乗算され、
もし、kが奇数であるときは、Vg−(k−1)/2がs−kで乗算される。
k=2g+2,2g+4,...,2(2g+1)に対しては、s−kは、s−2による乗算と、f2g+1−k/2のs−kによる乗算と、を反復することで計算される。全体として、これらは、7g+1回の乗算となり、φ−1は、K内における4g回の乗算のみを必要とする。
もし、この曲線、すなわち少なくとも1つの基底体が確立されるときは、この暗号デバイスの個々の使用の際に、元sの逆数s−1を計算することを回避するために用いることができる、実現上のトリックも存在する。
最初からこの暗号デバイスの初期化の段階の際に、体の元の対(s0,s0 −1)がランダムに幾つかの更なるこのような対(Kl,Kl −1)とともに生成され、E2PROM内に格納される。
次に、各暗号演算の前に、インデックスiがランダムに選択され、こうして、(s0,s0 −1)が、このE2PROM内において(Ki・s0,Kl −1s0 −1)によって置換される。次に、この後者の対が、この暗号デバイスの現在のランにおける曲線のランダム化のために、(s0,s0 −1)の代わりに用いられる。
要約すると、奇数標数における曲線のランダム化は、差動電力解析の方法に基づく攻撃に対する、効果的でかつ効率的な保護措置であることがわかる。K内における必要な体の演算の総数は、11g+1回となる。
実際のところ、これは、個々の群の演算に対する体の演算の数に匹敵し、しばしば、
Tanja Lange, "Inversion - Free Arithmetic on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上での逆を必要としない演算)", Cryptology ePrint Archive, Report 2002/ 147,2002, http://eprint.iacr.org/ 、
Tanja Lange, "Weighted Co-ordinates on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上の重み付き座標)", Cryptology ePrint Archive, Report 2002/153,2002, http://eprint.iacr.org/、及び
J. Pelzl, T. Wollinger, J. Guajardo, C. Paar, "Hyperelliptic Curve Cryptosystems: Closing the Performance Gap to Elliptic Curves(超楕円曲線に基づく暗号系;楕円曲線に対する性能ギャップの閉鎖)"、
における公式によって示される、これらよりも、遥かに小さくなる。
Tanja Lange, "Inversion - Free Arithmetic on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上での逆を必要としない演算)", Cryptology ePrint Archive, Report 2002/ 147,2002, http://eprint.iacr.org/ 、
Tanja Lange, "Weighted Co-ordinates on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上の重み付き座標)", Cryptology ePrint Archive, Report 2002/153,2002, http://eprint.iacr.org/、及び
J. Pelzl, T. Wollinger, J. Guajardo, C. Paar, "Hyperelliptic Curve Cryptosystems: Closing the Performance Gap to Elliptic Curves(超楕円曲線に基づく暗号系;楕円曲線に対する性能ギャップの閉鎖)"、
における公式によって示される、これらよりも、遥かに小さくなる。
上に与えられた曲線の一般同型写像に関する議論は、Kが偶数標数の体であるときの、以下で議論されるケースに対してもそのまま適用する。しかし、この場合は、h(x)・〜h(x)は、零であってはならない。換言すれば、これは、この一般同型写像の使用は奇数標数の場合よりも非効率的であることを意味する。
等式(4)に従う一般同型写像の代わりに、b=0及びA(x)=0であり、そして、奇数標数の場合と同様に作用するものと仮定される。一般のs∈F2d/F2に対する
なる形式の同型写像は、この等式の全ての係数を以下のようにランダム化する。
上述の、奇数標数の体Kを用いて実現上のトリックを用いて達成される、非常に迅速な曲線のランダム化の明示的な記述と同様に、
なる偶数標数の体Kを用いて実現上のトリックを用いて遂行される非常に迅速な曲線のランダム化の明示的な記述のときは、
が得られ、そして、〜U,〜Vに対する式
が読み出される。
等式(4)に従うタイプの一般同型写像は要求されず、内部表現(internal depictions)の全てのビットを効率的にランダム化するためには、等式(12)に従うタイプのこれらのみで十分であることが推論することができる。
〜h(x)の係数は、h(x)の係数から〜V(t)の係数と同様な方法で計算される。そして、この場合は、k=2、5,...,2g+1に対して、Vg−(k−1)/2及びhg−(k−1)/2がs−kで乗算され、加えて、hgも、s−1で乗算される。このことは、奇数標数のケースよりも、最大でg+1回だけ多くの体の演算が要求され、そして、sが選択され、s−1が計算された後の、φの使用のための全コストは、8g+2回の乗算のみとなることを意味する。つまり、ここでは、上で説明された実現上のトリックは、二進体(binary bodies)においてはこの逆算(inversion)は十分に高速であるために必要とされない。
以下では、F2を用いて定義されるが、hが定数(constant)である場合と、hが非定数(non-constant)である場合との差異について調べられる。
偶数標数の場合は、もし、これら定義式の係数が、スループットの理由から制限されるときは、問題が発生することに注意すべきであり、そして、ここでは、式(6)内において、〜h(x)も定数で、ゼロでないために、h(x)がゼロでない定数である、最も単純な場合について考慮されるべきである。
しかしながら、代数幾何学の知られている結果として、非ゼロのcと、degf=5と、を有する方程式y2+cy=f(x)を有する超特異曲線は、ここで興味ある暗号用途に対しては適当でないことが既に知られている(S.D. Galbraith, "Supersingular curves in crypography(暗号法における超特異曲線)", in C. Boyd(Ed.,), ASIACRYPT 2001, "Lecture Notes in Computer Science", Vol. 2248, Pages 495 to 513, Springer - Verlag, 2001、における定理9を参照)。
これとは対照的に、偶数標数においては、類数g=3の超楕円曲線は、どれも、超特異ではなく(J. Scholten and H. J. Zhu, "Hyperelliptic curves in characteristic 2(標数2内の超楕円曲線)", Inter. Math. Research Notices, 17(2002), Pages 905 to 917を参照)、このため、原理的には、非ゼロのcと、degf=7とを有する方程式y2+cy=f(x)を有する曲線でも、拡大次数(expansion degree)と群位数(group order)とが適当に選択されるという条件で、用いることができる。
J. Pelzl, T. Wollinger, J. Guajardo, and C. Paarによって提出された論文 "Hyperelliptic Curve Cryptosystems: Closing the Performance Gap to Elliptic Curves(超楕円曲線暗号系;楕円曲線に対する性能ギャップの閉鎖)"は、h(x)=1の場合に対する非常に迅速なダブリング公式(very rapid doubling formula)を与えるが、ダブリング因子(divisor doubling)の速度は、もし、h(x)を非ゼロの定数としたときは、大幅に加速することができる。もし、〜h(x)=s−(2g+1)c=s−7cとしたときは、これは、類数g=2の曲線の場合を重要なものとする。
hが非定数のケースにおいては、h(x)の係数は、速度の理由から、しはしば、F2内で選択される(例えば、Tanja Lange, "Inversion - Free Arithmetic on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上での逆演算を必要としない演算)", Cryptology ePrint Archive, Report 2002/ 147,2002, http://eprint.iacr.org/ 、又はTanja Lange, "Weighted Co-ordinates on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上の重み付き座標)", Cryptology ePrint Archive, Report 2002/153,2002, http://eprint.iacr.org/を参照)。
hは非定数であるが、しかしF2上で定義されているこの場合においては、式(6)に基づいた場合、以下の問いと同値であるものが存在する。すなわち、 b∈Kに対して、そしてs∈Kxであるh(x)∈F2[x]は、
〜h(x)=s−(2g+1)h(s2(x−b))∈F2[x]
であるか否か。
〜h(x)=s−(2g+1)h(s2(x−b))∈F2[x]
であるか否か。
もしr=(2g+1)−2deghとしたときは、〜h(x)の最高次の係数(leading co-efficient)s−rは、この最高次の係数がゼロでないために1に等しくなり、そして、数rは、奇数で、正で、かつ≦2g−1となる。
この暗号系は、Gaudryによる指数計算攻撃(index calculus attack)(P. Gaudry, An algorithm for solving the discrete log problem on hyperellitic curves(超楕円曲線上の離散対数問題を解くためのアルゴリズム)", in "Advances in Cryptology - Eurocrypt 2000" Pages 19 to 34, "Lecture Notes" in Computer Science, Vol. 1807, Springer, Berlin, Heidelberg, 2000を参照)に抵抗できなければならない。すなわち、もし、g≦4としたときは;このときは、r≦7となり、rに対して、非常に少数の可能な値しか存在せず;このため、このランダム化は、不必要となる。
次に、拡大次数(extension degree)をd=[K:F2]とする。
これに関連して、Weilの下降(Weil descent)(G. Frey , "How to disguise an elliptic curve (楕円曲線をいかにして装うか)(Weil descent)", Talk at ECC '98,Waterloo,1998 (http://www.cacr.math.uwaterloo.ca/conferences/1998/ecc98/ slides.htmlからスライドを入手可)、 G. Frey, "Applications of arithmetical geometry to cryptographic constructions(暗号法構成への算術幾何学の応用)", in "Finite fields and applications (Augsburg, 1999), Pages 128 to 161, Springer, Berlin, 2001を参照)による攻撃に対する防御のためには、拡大次数dに対しては、≧160/gなるオーダ内の素数pが選択されるか、又は、≧80/gなるオーダ内の素数pの二倍が選択されることに注意すべきである。
sの可能な値は、Xr−1の既約因数(irreducible factors)の零デジット(zero digits)であり、この次数は、dで割り切れる。もし、d=p≧160/g≧40とすると(これは好ましい場合であるが)、s=1となり、もし、d=2pとし、ここでp≧80/g≧20とすると、sは次数1又は2のXr−1のF2を用いた因数の零デジットのみとなる。このような因数の迅速な列挙(rは奇数、かつ、≧7であることに注意)は、s=1又はr=3であるとき、s2+s+1=0となることを示す。もし、h(x)の2つの係数がゼロでないときは、常にs=1である。
ここで、もし、K/F2のフロベニウスの自己同型(Frobenius automorphism)としてのσ:α→α2から始めるものとすると、〜h(x)=h(x−b)∈F2[x]であるために、全てのjに対して、h(−bσj)=h(−b)σj=h(−b)∈F2となる。これは、換言すれば、−bの全ての共役(conjugates)は、h(x)−h(−b)=0のフロベニウスの解の下にあることを意味する。もしbがF2の元ではないときは、少なくともp≧80/g個のこのような共役が存在することとなり、このときは、h(x)の次数は、高々g≦4となる。この理由から、bは、F2の元でなければならず、このためbに対しては、2つの可能性しか存在せず、このため、bのランダム化は無意味である。
超楕円曲線類似物(hyperelliptic analogon)であるという意味においては、この状況は、2つの多項式の1つしか、又はこれら座標(co-ordinates)の半分しか、効率的にランダム化できないために、前述のM. Joye and C. Tymenによる文献において説明されている、楕円曲線のランダム化における状況と類似する。
実際には、この状況は、等式(6)によると、fの全ての係数を〜fにランダム化することはできず、このため、曲線のランダム化のみが用いられたときは、差動電力解析に基づく攻撃が成功する可能性が高くなるために、もっと悪くなる。
要約すると、曲線のランダム化の上述の方法に対しては、偶数標数における類数2の超楕円曲線に対するこの対抗措置は、
2つの少ない係数しかランダム化できないために不十分であるか、又は
この対抗措置は式(4)に従う一般同型写像を使用し、hの係数が(4)F2の外側に置かれたままに残されるために、この暗号系の威力を阻害する。
2つの少ない係数しかランダム化できないために不十分であるか、又は
この対抗措置は式(4)に従う一般同型写像を使用し、hの係数が(4)F2の外側に置かれたままに残されるために、この暗号系の威力を阻害する。
類数3の場合においては、方程式y2+cy=f(x)に対する曲線と、一般同型写像を用いることができる。この場合においては、式(4)において、b=0と、A(x)=0とを固定することで十分であり、その後、奇数標数の場合に対する前の説明の終わりの所に進むことで、全ての係数を無理なくランダム化することができる。
全ての更なる場合においては、他の技法が、例えば、約数のランダム化が推薦される。この約数のランダム化も、奇数標数において機能するが、これが、以下において、第二の実施形態として説明されるが、これは、
曲線のランダム化の第一の実施形態と組み合わせて実現することも、又は
曲線のランダム化の第一の実施形態とは独立的に実現する、
こともできる。
曲線のランダム化の第一の実施形態と組み合わせて実現することも、又は
曲線のランダム化の第一の実施形態とは独立的に実現する、
こともできる。
約数ランダム化の技法においては、通常はこの暗号系の基底元(base element)又はスカラ乗算の中間結果であるある既約因子の表現のビットが修正される。この因子のランダム化の技法は、群の元(group element)が幾つかの異なる方法で表現できるときに用いられる。
従来技術からの注目に値する例は、楕円曲線上の射影座標(projective co-ordinates)であるが、ここでは、3重項の2つの組(X、Y、Z)と(X′、Y′、Z′)とは、もし非ゼロの元sがその基底体(base field)内に存在するときは、同一の点を表し、このため、X=sX′、Y=sY′、及びZ=sZ′ となる。ヤコビアン座標(D.V. Chudnovsky and G.V. Chudnovsky, "Sequences of numbers generated by addition in formal groups and new primality and factoring tests(正則群内での加法によって生成される数列と新たな原始性と因数分解テスト)", Advances in Applied Mathematics, 7 (1987), Pages 385 to 434参照)においては、3重項の2つの組(X、Y、Z)と(X′、Y′、Z′)は、もし、X=s2X′、Y=s3Y′、及びZ=sZ′であり、s∈Kx、であるときは、同一のポイントを表す。
最近、類数2の超楕円曲線に対する幾つかの代替の座標系が提唱された。Miyamotoらによる逆演算を必要としないシステム(Y. Miyamoto, H.Doi, K.Matsuo, J. Chao and S. Tsuji, "A fast addition algorithm of genus tow hyperelliptic curve(類数2の超楕円曲線の高速加法アルゴリズム)", in Proceedings of SCIS 2002, IEICE Japan, Pages 497 to 502, 2002, in Japanes参照)は楕円曲線に対する射影座標の超楕円曲線対応物の上で機能し、Lange (Tanja Lange, "Inversion - Free Arithmetic on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上での逆演算を必要としない演算)", Cryptology ePrint Archive, Report 2002/ 147,2002, http://eprint.iacr.org/ を参照)によって拡張及び改善され、Langeは加えて、重み付き座標と呼ばれる、ヤコビアン座標の対応物も開発した(Tanja Lange, "Weighted Co-ordinates on Genus 2 Hyperelliptic Curves(類数2の超楕円曲線上の重み付き座標)", Cryptology ePrint Archive, Report 2002/153,2002, http://eprint.iacr.org/を参照)。類数3に対しては、類似するシステムは知られていない。
曲線の類数が大きくなるほど、群の位数(group order)を同一とした場合、基底体(base body)は小さくなり、このため、逆演算(inversions)の、乗算(multiplications)に対する、速度比は小さくなる。このため、類数3に対しては、1つの逆演算が、多くの乗算と交換されるために、逆演算を必要としない公式(inversion-free formulae)の魅力は、少なくなる。しかし、既に、類数3の曲線に対して、奇数標数と偶数標数の両方について、効率的なビットランダム化過程が存在する。
射影座標(類数2)においては、関連する多項式の対を有する因子Dは、5重項の1組[U1,U0,V1,V0,Z]として示され、ここで、
U(t)=t2+U1t/Z+U0/Z 及び
V(t)=V1t/Z+V0/Z
である。
U(t)=t2+U1t/Z+U0/Z 及び
V(t)=V1t/Z+V0/Z
である。
因子のランダム化は、以下のように機能する。ある乱数s∈Kxが選択され、以下の変換が適用される
[U1,U0,V1,V0,Z]→[sU1,sU0,sV1,sV0,sZ]
重みつけられた座標においては、因子Dは、6重項の組[U1,U0,V1,V0,Z1、Z2]によって示され、ここで
U(t)=t2+U1t/Z1 2+U0/Z1 2 及び
V(t)=V1t/(Z1 3Z2)+V0/(Z1 3Z2)
である。
[U1,U0,V1,V0,Z]→[sU1,sU0,sV1,sV0,sZ]
重みつけられた座標においては、因子Dは、6重項の組[U1,U0,V1,V0,Z1、Z2]によって示され、ここで
U(t)=t2+U1t/Z1 2+U0/Z1 2 及び
V(t)=V1t/(Z1 3Z2)+V0/(Z1 3Z2)
である。
基底因子又は中間計算を見えなくするためには、Kx内の2つの元s1、s2がランダムに選択され、以下の変換が遂行される
[U1,U0,V1,V0,Z1、Z2]→
[s1 2U1,s1 2U0,s1 3s2V1,s1 3s2V0,s1Z1、s2Z2]
もし、これら追加のオプションとしての座標
z1=Z1 2,z2=Z2 2,z3=Z1・Z2、及びz4=z1・z2=z3 2
が用いられた場合は、これら追加のオプションの座標も更新されなければならないが、この更新の最も迅速なやり方は、これらを、Z1とZ2の像から、3回の二乗(quadrations)と、1回の乗算(multiplication)で回復することである。
[U1,U0,V1,V0,Z1、Z2]→
[s1 2U1,s1 2U0,s1 3s2V1,s1 3s2V0,s1Z1、s2Z2]
もし、これら追加のオプションとしての座標
z1=Z1 2,z2=Z2 2,z3=Z1・Z2、及びz4=z1・z2=z3 2
が用いられた場合は、これら追加のオプションの座標も更新されなければならないが、この更新の最も迅速なやり方は、これらを、Z1とZ2の像から、3回の二乗(quadrations)と、1回の乗算(multiplication)で回復することである。
本発明によって提唱される2つの措置、すなわち、曲線のランダム化の措置(すなわち、第一の実施形態)と、因子のランダム化の措置(すなわち、第二の実施形態)とは、各々、個別に及び組合せにて、これら超楕円曲線暗号系を、差動電力解析に対して強化する。曲線のランダム化の技法と、因子のランダム化の技法とは、両方とも、簡単に導入でき、スループットに対しては僅かな影響しか有さない。
第一の実施形態による方法、すなわち曲線のランダム化は、ヤコブ多様体内でのスカラ乗算をランダムに選択された同型写像群へと運ぶ。この第二の群内でスカラ乗算が遂行され、このスカラ乗算の結果が、第一の群に戻される。この曲線のランダム化の方法は、任意の類数の曲線に適用することができる。
第二の実施形態による方法、すなわち因子のランダム化は、Coronの第三の対抗措置の超楕円変体である。約数のランダム化は、それらの座標系が関連するヤコブ多様体内での群演算に対して知られており、それらは楕円射影すなわちヤコビアンに対応する、曲線族(curve families)にしか適用することができない。
超楕円曲線暗号系の実現への、差動電力解析に基づく攻撃に対する防御のための、上で説明されたこれら2つの対抗措置は、互いに独立して用いることも、同時に用いることもできる。
C 超楕円曲線
〜C 変換された超楕円曲線
D 因子、とりわけ既約因子
g 類数
J ヤコブ多様体
K 体、とりわけ有限体
n スカラ
s 元、とりわけ非ゼロの元
s1 第一の元、とりわけ非ゼロの第一の元
s2 第二の元、とりわけ非ゼロの第二の元
t 変数
φ 表現
φ-1 逆表現
[U1,U0,V1,V0,Z] 5重項の組
[sU1,sU0,sV1,sV0,sZ] 変換された5重項の組
[U1,U0,V1,V0,Z1、Z2] 6重項の組
[s1 2U1,s1 2U0,s1 3s2V1,s1 3s2V0,s1Z1、s2Z2] 変換された6重項の組
〜C 変換された超楕円曲線
D 因子、とりわけ既約因子
g 類数
J ヤコブ多様体
K 体、とりわけ有限体
n スカラ
s 元、とりわけ非ゼロの元
s1 第一の元、とりわけ非ゼロの第一の元
s2 第二の元、とりわけ非ゼロの第二の元
t 変数
φ 表現
φ-1 逆表現
[U1,U0,V1,V0,Z] 5重項の組
[sU1,sU0,sV1,sV0,sZ] 変換された5重項の組
[U1,U0,V1,V0,Z1、Z2] 6重項の組
[s1 2U1,s1 2U0,s1 3s2V1,s1 3s2V0,s1Z1、s2Z2] 変換された6重項の組
Claims (10)
- 少なくとも1つの係数によって与えられ、第一の群内の有限体K上の任意の類数gの少なくとも1つの超楕円曲線Cによって与えられる少なくとも1つの超楕円曲線暗号系、とりわけ少なくとも1つの超楕円曲線公開鍵暗号系内において、差動電力解析を用いて行なわれる少なくとも1つの攻撃に対する防御のための方法であって、
前記超楕円曲線C及び/又は前記第一の群の少なくとも1つの元、とりわけ、少なくとも1つのとりわけ既約因子及び/又はあるスカラ乗算の少なくとも1つの中間結果がランダム化されることを特徴とする方法。 - 前記超楕円曲線暗号系内において処理及び/又は符号化されるべきオペランドのこれらビットは、前記超楕円曲線Cによって、とりわけ、前記超楕円曲線Cの少なくとも1つの係数によって、及び/又は前記暗号系の少なくとも1つの基底元、例えば、少なくとも1つの、とりわけ既約因子及び/又はあるスカラ乗算の少なくとも1つの中間結果によって表されることを特徴とする請求項1記載の方法。
- 前記超楕円曲線Cのヤコブ多様体J(C)(K)内の少なくとも1つのスカラ乗算は、前記第一の群とは異なる第二の群であって、前記第一の群とは同型写像の関係にある、とりわけランダムに選択された第二の群内で遂行されることを特徴とする請求項1又は2記載の方法。
- 前記超楕円曲線Cの前記ヤコブ多様体J(C)(K)を少なくとも1つの表現φを用いて、とりわけ、少なくとも1つのK−同型写像を用いて変換された超楕円曲線〜C(=φ(C))のヤコブ多様体J(〜C)(K)に変換するステップと、
前記変換された超楕円曲線〜Cの前記ヤコブ多様体J(〜C)(K)に少なくとも1つのスカラnを乗じるステップと、
前記変換された超楕円曲線〜Cの前記スカラnを乗じられた前記ヤコブ多様体J(〜C)(K)を逆表現(φ−1)を用いて前記超楕円曲線Cのスカラnを乗じられたヤコブ多様体J(C)内での表現φに、変換し戻すステップと、
を含み、
ここで、
前記表現φは、前記第一の群から前記第二の群への推移に対応し、
前記逆表現φ−1は、前記第二の群から前記第一の群への推移に対応することを特徴とする請求項3記載の方法。 - 関連する多項式の対を有する少なくとも1つの、とりわけ既約因子Dを、射影座標内の少なくとも1つの5重項の組[U1,U0,V1,V0,Z]として表現するステップであって、ここで、
U(t)=t2+U1t/Z+U0/Z 及び
V(t)=V1t/Z+V0/Z
であるステップと、
前記体Kxから、少なくとも1つの非ゼロの元sを選択、とりわけランダムに選択するステップと、
前記5重項の組[U1,U0,V1,V0,Z]を、ある選択された元sを用いて、その変換された5重項の組[sU1,sU0,sV1,sV0,sZ]に変換するステップと、
を含むことを特徴とする請求項1乃至4の少なくとも1つに記載の方法。 - 関連する多項式の対を有する少なくとも1つの、とりわけ既約因子Dを、射影座標内の少なくとも1つの6重項の組[U1,U0,V1,V0,Z1、Z2]として表現するステップであって、ここで、
U(t)=t2+U1t/Z1 2+U0/Z1 2 及び
V(t)=V1t/(Z1 3Z2)+V0/(Z1 3Z2)
であるステップと、
前記体(Kx)から少なくとも2つの非ゼロの元(s1,s2)を選択、とりわけランダムに選択するステップと、
前記6重項の組[U1,U0,V1,V0,Z1、Z2]を、ある選択された元(s1,s2)を用いて、変換された6重項の組
[s1 2U1,s1 2U0,s1 3s2V1,s1 3s2V0,s1Z1、s2Z2]に変換するステップと、
を含むことを特徴とする請求項1乃至4の少なくとも1つに記載の方法。 - 前記方法は、少なくとも1つの、とりわけ少なくとも1つのチップカード及び/又はとりわけ少なくとも1つのスマートカードに割当てられた、マイクロプロセッサ上に実行されることを特徴とする請求項1乃至6のいずれかの少なく1つに記載の方法。
- 請求項1乃至7の少なくとも1つに記載の方法によって動作するマイクロプロセッサ。
- 請求項8記載の少なくとも1つのマイクロプロセッサを備えるデバイス、とりわけ、チップカード及び/又はとりわけスマートカード。
- 請求項1乃至7の少なくとも1つに記載の方法及び/又は請求項8記載の少なくとも1つのマイクロプロセッサ及び/又は請求項9記載の少なくとも1つのデバイス、とりわけ、少なくとも1つのチップカード及び/又は少なくとも1つのスマートカードを、少なくとも1つの超楕円曲線暗号系、とりわけ少なくとも1つの公開鍵暗号系上での差動電力解析を用いて行なわれる少なくとも1つの攻撃に対して防御するための使用。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP03101718 | 2003-06-12 | ||
PCT/IB2004/050813 WO2004112306A2 (en) | 2003-06-12 | 2004-06-01 | Method for defence against differential power analysis attacks |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006527564A true JP2006527564A (ja) | 2006-11-30 |
Family
ID=33547703
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006516632A Withdrawn JP2006527564A (ja) | 2003-06-12 | 2004-06-01 | 差動電力解析を用いて行なわれる攻撃に対する防御の方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20060140398A1 (ja) |
EP (1) | EP1636692A2 (ja) |
JP (1) | JP2006527564A (ja) |
CN (1) | CN1806224A (ja) |
WO (1) | WO2004112306A2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010068293A (ja) * | 2008-09-11 | 2010-03-25 | Toshiba Corp | 秘密情報を用いて演算する装置、方法およびプログラム |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4752313B2 (ja) * | 2004-09-30 | 2011-08-17 | ソニー株式会社 | 暗号処理演算方法、および暗号処理装置、並びにコンピュータ・プログラム |
KR100699836B1 (ko) | 2005-03-19 | 2007-03-27 | 삼성전자주식회사 | 스칼라 곱에서 dfa 대책을 위한 장치 및 방법 |
US8997255B2 (en) | 2006-07-31 | 2015-03-31 | Inside Secure | Verifying data integrity in a data storage device |
US8301890B2 (en) | 2006-08-10 | 2012-10-30 | Inside Secure | Software execution randomization |
US7613907B2 (en) | 2006-08-11 | 2009-11-03 | Atmel Corporation | Embedded software camouflage against code reverse engineering |
US8352752B2 (en) | 2006-09-01 | 2013-01-08 | Inside Secure | Detecting radiation-based attacks |
US7554865B2 (en) | 2006-09-21 | 2009-06-30 | Atmel Corporation | Randomizing current consumption in memory devices |
CN101008937B (zh) * | 2007-02-06 | 2010-05-19 | 中国科学院研究生院 | 提高有限域上乘法以及大矩阵消元的计算速度的方法 |
US8422685B2 (en) | 2008-02-26 | 2013-04-16 | King Fahd University Of Petroleum And Minerals | Method for elliptic curve scalar multiplication |
US8520841B2 (en) * | 2008-05-22 | 2013-08-27 | Microsoft Corporation | Algorithms for generating parameters for genus 2 hyperelliptic curve cryptography |
JP2010258708A (ja) * | 2009-04-23 | 2010-11-11 | Sony Corp | 情報処理装置、演算検証方法およびプログラム |
EP2365659B1 (fr) * | 2010-03-01 | 2017-04-12 | Inside Secure | Procédé de test de la résistance d'un circuit intégré à une analyse par canal auxiliaire |
CN101924600B (zh) * | 2010-07-30 | 2013-01-02 | 中国科学院软件研究所 | 检测密码模块抵御能量分析攻击能力的方法 |
CN102468954B (zh) * | 2010-11-10 | 2014-07-23 | 上海华虹集成电路有限责任公司 | 防对称密码算法受攻击的方法 |
US8804952B2 (en) | 2012-12-26 | 2014-08-12 | Umm Al-Qura University | System and method for securing scalar multiplication against differential power attacks |
US8861721B2 (en) | 2012-12-26 | 2014-10-14 | Umm Al-Qura University | System and method for securing scalar multiplication against simple power attacks |
TWI507989B (zh) * | 2013-08-08 | 2015-11-11 | Nat Univ Tsing Hua | 資源導向之嵌入式系統功率消耗分析方法 |
US11863304B2 (en) * | 2017-10-31 | 2024-01-02 | Unm Rainforest Innovations | System and methods directed to side-channel power resistance for encryption algorithms using dynamic partial reconfiguration |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7308096B2 (en) * | 2000-05-30 | 2007-12-11 | Hitachi, Ltd. | Elliptic scalar multiplication system |
DE10057203C1 (de) * | 2000-11-17 | 2002-06-06 | Cv Cryptovision Gmbh | Verfahren zur Berechnung eines digitalen Signalwertes für ein cryptographisches Verfahren |
US7043015B2 (en) * | 2002-10-31 | 2006-05-09 | Microsoft Corporation | Methods for point compression for Jacobians of hyperelliptic curves |
-
2004
- 2004-06-01 WO PCT/IB2004/050813 patent/WO2004112306A2/en active Application Filing
- 2004-06-01 JP JP2006516632A patent/JP2006527564A/ja not_active Withdrawn
- 2004-06-01 EP EP04735634A patent/EP1636692A2/en not_active Withdrawn
- 2004-06-01 CN CN200480016407.8A patent/CN1806224A/zh active Pending
- 2004-06-01 US US10/559,767 patent/US20060140398A1/en not_active Abandoned
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010068293A (ja) * | 2008-09-11 | 2010-03-25 | Toshiba Corp | 秘密情報を用いて演算する装置、方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
EP1636692A2 (en) | 2006-03-22 |
WO2004112306A2 (en) | 2004-12-23 |
US20060140398A1 (en) | 2006-06-29 |
WO2004112306A3 (en) | 2005-02-10 |
CN1806224A (zh) | 2006-07-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2006527564A (ja) | 差動電力解析を用いて行なわれる攻撃に対する防御の方法 | |
US8913739B2 (en) | Method for scalar multiplication in elliptic curve groups over prime fields for side-channel attack resistant cryptosystems | |
Yen et al. | Power analysis by exploiting chosen message and internal collisions–vulnerability of checking mechanism for RSA-decryption | |
Ciet et al. | Elliptic curve cryptosystems in the presence of permanent and transient faults | |
US7961874B2 (en) | XZ-elliptic curve cryptography with secret key embedding | |
Ciet et al. | (Virtually) free randomization techniques for elliptic curve cryptography | |
CN104937537B (zh) | 包括与标量或求幂的乘法运算的密码学方法 | |
Pelzl et al. | Hyperelliptic curve cryptosystems: Closing the performance gap to elliptic curves | |
US7379546B2 (en) | Method for XZ-elliptic curve cryptography | |
JP3950638B2 (ja) | 耐タンパーモジュラ演算処理方法 | |
WO2005008955A1 (ja) | 個人鍵を用いた耐タンパ暗号処理 | |
US8582758B2 (en) | Apparatus and a method for calculating a multiple of a point an elliptic curve | |
Boscher et al. | Blinded fault resistant exponentiation revisited | |
Gonda et al. | Improvements of addition algorithm on genus 3 hyperelliptic curves and their implementation | |
Avanzi | Countermeasures against differential power analysis for hyperelliptic curve cryptosystems | |
Mohamed et al. | Improved fixed-base comb method for fast scalar multiplication | |
Smart et al. | Randomised representations | |
Ghosh et al. | Security of prime field pairing cryptoprocessor against differential power attack | |
JP2004163687A (ja) | 楕円曲線暗号装置、楕円曲線暗号プログラム | |
WO2015199675A1 (en) | System and method for securing scalar multiplication against differential power attacks | |
Xu et al. | Efficient implementation of elliptic curve cryptosystems on an ARM7 with hardware accelerator | |
Tunstall et al. | Coordinate blinding over large prime fields | |
Pelzl et al. | Hyperelliptic curve cryptosystems: closing the performance gap to elliptic curves (update) | |
Sakai et al. | A new attack with side channel leakage during exponent recoding computations | |
Neves et al. | Degenerate curve attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070601 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080529 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20091002 |