JP2010217880A - 故障耐性のある楕円曲線上の計算 - Google Patents
故障耐性のある楕円曲線上の計算 Download PDFInfo
- Publication number
- JP2010217880A JP2010217880A JP2010031482A JP2010031482A JP2010217880A JP 2010217880 A JP2010217880 A JP 2010217880A JP 2010031482 A JP2010031482 A JP 2010031482A JP 2010031482 A JP2010031482 A JP 2010031482A JP 2010217880 A JP2010217880 A JP 2010217880A
- Authority
- JP
- Japan
- Prior art keywords
- mod
- elliptic curve
- result
- integer
- crt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7271—Fault verification, e.g. comparing two values which should be the same, unless a computational fault occurred
Landscapes
- Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Computational Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Examining Or Testing Airtightness (AREA)
Abstract
【課題】楕円曲線E(Z/pZ)上でのQ=kPの故障耐性計算を含む、楕円曲線E(Z/pZ)上での暗号演算の正しさを検査する手段。
【解決手段】rを整数として、楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)が中国剰余法によって与えられる。E^(Z/pr2Z)において点P^=CRT(P(mod p),R(mod r2))が形成される(120);P^はE(Z/pZ)においてPに帰着し、E1(Z/r2Z)においてRに帰着する。E^(Z/pr2Z)においてQ^=kP^が計算される(130)。次いで、E1(Z/r2Z)においてQ^≡kR(mod r2)かどうかが検証され、もしそうであればQ=Q^ mod pが出力される。一方、もしそうでない場合には「エラー」が返される。また、装置(200)およびコンピュータ・プログラム・プロダクト(240)も提供される。
【選択図】図1
【解決手段】rを整数として、楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)が中国剰余法によって与えられる。E^(Z/pr2Z)において点P^=CRT(P(mod p),R(mod r2))が形成される(120);P^はE(Z/pZ)においてPに帰着し、E1(Z/r2Z)においてRに帰着する。E^(Z/pr2Z)においてQ^=kP^が計算される(130)。次いで、E1(Z/r2Z)においてQ^≡kR(mod r2)かどうかが検証され、もしそうであればQ=Q^ mod pが出力される。一方、もしそうでない場合には「エラー」が返される。また、装置(200)およびコンピュータ・プログラム・プロダクト(240)も提供される。
【選択図】図1
Description
本発明は、概括的には暗号に、詳細には故障利用攻撃に耐性のある楕円曲線暗号アルゴリズムに関する。
このセクションは、下記で記載および/または特許請求される本発明のさまざまな側面に関係しうる当技術分野のさまざまな側面を読者に紹介することを意図している。この議論は、本発明のさまざまな側面のよりよい理解を助けるための背景情報を読者に提供する助けとなるものと思われる。よって、これらの陳述がこの観点で読まれるべきであり、従来技術の自認として読まれるべきでないことは理解しておくべきである。
故障利用攻撃(fault attack)は、秘密復号鍵のような暗号上の秘密の一ないし複数ビットを取得する意図をもって暗号計算の際にエラーを導入する。故障利用攻撃をかける実際的な方法は、非特許文献1および非特許文献2で概観されている。
RSA(Rivest-Shamir-Adleman[リヴェスト‐シャミール‐アドルマン])冪乗は、Z/NZにおける入力xおよび秘密の指数dに対して、xをd乗することからなる。ここで、Z/NZはNを法とする整数環であり、N=pqは2つの大きな素数の積である。アディ・シャミールは、非特許文献3において故障利用攻撃に対するエレガントな対策を提供した。その対策は次のようなものである:
1.(小さな)ランダム整数rに対して、y′=xd mod rNを計算する
2.z=xd mod rを計算する
3.y′≡z (mod r)であるかどうかを検査し、
・もしそうであれば、y=y′ mod Nを出力し、
・もしそうでなければ、「エラー」を返す。
1.(小さな)ランダム整数rに対して、y′=xd mod rNを計算する
2.z=xd mod rを計算する
3.y′≡z (mod r)であるかどうかを検査し、
・もしそうであれば、y=y′ mod Nを出力し、
・もしそうでなければ、「エラー」を返す。
典型的には、rは64ビット整数である。シャミールの方法の正しさは、中国剰余定理(CRT: Chinese remainder theorem)の応用である。計算が正しいとき、y′≡y (mod N)かつy′≡z (mod r)であることは明らかである。故障が存在するとき、y′≡z (mod r)となる確率は約1/rである。rが64ビット値であるとき、これは故障が検出されない確率はほぼ2-64であるということを意味する。rについてのより大きな値は、計算に対する要求がより高くなることを代償として、より高い検出確率を含意する。
シャミールの方法は、CRTモードで評価されるとき、すなわちy=xd mod Nがxd mod pおよびxd mod qから評価されるときのRSA冪乗を保護するよう適応されることができる。シャミールの対策のさらなる一般化および拡張は非特許文献4で論じられている。
デーヴィッド・ヴィジラントは非特許文献5において代替的な解決策を提案した。この解決策は、次のようなものである:
1.(小さな)ランダム整数rに対して、X=CRT(x(mod N),1+r(mod r2))を形成する
2.y′=Xd mod r2Nを計算する
3.y′≡1+dr (mod r2)であるかどうかを検査し、
・もしそうであれば、y=y′ mod Nを出力し、
・もしそうでなければ、「エラー」を返す。
1.(小さな)ランダム整数rに対して、X=CRT(x(mod N),1+r(mod r2))を形成する
2.y′=Xd mod r2Nを計算する
3.y′≡1+dr (mod r2)であるかどうかを検査し、
・もしそうであれば、y=y′ mod Nを出力し、
・もしそうでなければ、「エラー」を返す。
ステップ1において、CRTは中国剰余定理の適用を示す。つまり、そのようにして得られたXはX≡x(mod N)およびX≡1+r(mod r2)を満たす。よって、計算に障害がないときは、y′=xd (mod N)かつy′≡(1+r)d (mod r2)である。
ヴィジラントの方法はシャミールの方法に対していくつかの利点を呈する。特に、冪乗z=xd mod rの代わりにずっと高速な乗算1+dr mod r2とする。もっとも、シャミールの方法におけるzの評価はφ(r)の値が知られていることを条件としてxd modφ(r) mod rとして高速化できることは理解されるであろう(ここで、φはオイラーのトーシェント関数)。さらに、ヴィジラントの方法はCRTモードのRSAに適用される。
シャミールおよびヴィジラントの対策をRSAへの適用について記述してきたが、楕円曲線暗号(ECC: elliptic curve cryptography)がRSAに対する興味深い代替であることは理解されるであろう。それは、推定される同じセキュリティ・レベルに対して鍵がずっと短くなるからである。
ECCでは、楕円曲線E上の点Pおよび整数kが与えられたとき、基本演算は、スカラー倍kP、すなわちP+P+…+P(k回)を計算することにある。ここで、+はE上での群演算を表す。攻撃者のゴールは、故障を誘導することによってkの値(またはその一部)を復元することである。
シャミールの対策は楕円曲線スカラー倍に一般化されるが(非特許文献6参照)、ヴィジラントの方法は、二項定理の等価物がないため、楕円曲線スカラー倍への一般化に簡単に使えるものではない。
Hagai Bar-El、Hamid Choukri、David Naccache、Michael Tunstall、Claire Whelan著、「The Sorcerer's Apprentice Guide to Fault Attacks」、Proceedings of the IEEE、94(2)、pp.370-382、2006年(より早期のバージョンはProc. of FDTC 2004にある)
Christophe Giraud、Hugues Thiebeauld著、「A Survey On Fault Attacks」、J.-J. Quisquater、P. Paradinas、Y. Deswarte、A.A. El Kalam編『Smart Card Research and Advanced Applications VI』(CARDIS 2004)、pp.159-176、Kluwer、2004年
1997年5月13日にドイツのコンスタンツでのEUROCRYPT'97の残部セッション(rump session)で呈示された「How to Check Modular Exponentiation」
Marc Joye、Pascal Paillier、Sung-Ming Yen、「Secure Evaluation of Modular Functions」、R.J. Hwang、C.K. Wu編、2001 International Workshop on Cryptology and Network Security、pp.227-229、Taipei、Taiwan、2001年9月
David Vigilant、「RSA With CRT: A New Cost-Effective Solution to Thwart Fault Attacks」、E. Oswald、P. Rohatgi編『Cryptographic Hardware and Embedded Systems--CHES2008、volume 5154、Lecture Notes in Computer Science』所収、pp.230-145、Springer、2008年
Johannes Bl¨omer、Martin Otto、Jean-Pierre Seifert、「Sign Change Fault Attacks on Elliptic Curve Cryptosystems」、L. Breveglieri、I. Koren、D. Naccache、J.-P. Seifert編『Fault Diagnosis and Tolerance in Cryptography--FDTC 2006 volume 4236 of Lecture Notes in Computer Science』所収、pp.36-52、Springer-Verlag、2006年
Sung-Ming Yen、Seungjoo Kim、Seongan Lim、Sang-Jae Moon、「RSA Speedup With Chinese Remainder Theorem Immune Against Hardware Fault Cryptanalysis」、IEEE Transactions on Computers、52(4):461-472、2003年(より早期のバージョンはProc. of ICISC 2001にある)
Daniel J. Bernstein、Tanja Lange、「Faster Addition and Doubling on Elliptic Curves」、K. Kurosawa編、『Advances in Cryptology--ASIACRYPT 2008、volume 4833 of Lecture Notes in Computer Science』所収、pp.29-50、Springer、2007年
Olivier Billet、Marc Joye、「The Jacobi Model of An Elliptic Curve and Side-Channel Analysis」、M. Fossorier、T. Hoholdt、A. Poli編『Applied Algebra, Algebraic Algorithms and Error Correcting Codes (AAECC-15), volume 2643 of Lecture Notes in Computer Science』、pp.34-42、Springer、2003年
したがって、ECC上での故障利用攻撃に対する代替的な解決策を提供する解決策が必要とされている。本発明はそのような解決策を提供する。
第一の側面では、本発明は、第一の楕円曲線E(Z/pZ)上での暗号演算の正しさを検査する方法に向けられる。プロセッサは、rを整数として前記第一の楕円曲線E(Z/pZ)およびある第二の楕円曲線E(Z/r2Z)から中国剰余法によって与えられる第三の楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)を得;E^(Z/pr2Z)上で当該演算を実行して第一の結果を得;E1(Z/r2Z)上で当該演算を実行して第二の結果を得、ここで、E1(Z/r2Z)はE(Z/r2Z)内の点であってrを法とするとE(Z/rZ)上での恒等元に還元されるものの部分集合を表し;前記第一の結果および前記第二の結果がE1(Z/r2Z)において等しいかどうかを検証し;もしそうであれば、pを法として還元されたE^(Z/pr2Z)における当該演算の前記第一の結果を出力する。
ある第一の好ましい実施形態では、前記暗号演算は楕円曲線E(Z/pZ)上でのQ=kPの故障耐性のある計算のための、E(Z/pZ)におけるスカラー倍である。E^(Z/pr2Z)において、P^がE(Z/pZ)においてはPに還元されE1(Z/r2Z)においてはRに還元されるよう点P^=CRT(P(mod p),R(mod r2))が形成される。ここで、CRTは中国剰余法を表す。Q^=kP^がE^(Z/pr2Z)において計算され、E1(Z/r2Z)においてQ^≡kR (mod r2)かどうかが検証され、そうである場合にのみQ=Q^ mod pが出力される。
ある第二の好ましい実施形態では、整数rはランダムに選ばれる。
ある第三の好ましい実施形態では、整数rは所定の値をもつ。
整数rが素数であることは有利である。
E1(Z/r2Z)内の点Rがランダムに選ばれることも有利である。
あるさらなる好ましい実施形態では、楕円曲線はエドワーズ曲線またはヤコビ曲線として表現される。
第二の側面では、本発明は、第一の楕円曲線E(Z/pZ)上での暗号演算の正しさを検査する装置に向けられる。本装置は、rを整数として前記第一の楕円曲線E(Z/pZ)およびある第二の楕円曲線E(Z/r2Z)から中国剰余法によって与えられる第三の楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)を得;E^(Z/pr2Z)上で当該演算を実行して第一の結果を得;E1(Z/r2Z)上で当該演算を実行して第二の結果を得、ここで、E1(Z/r2Z)はE(Z/r2Z)内の点であってrを法とするとE(Z/rZ)上での恒等元に還元されるものの部分集合を表し;前記第一の結果および前記第二の結果がE1(Z/r2Z)において等しいかどうかを検証し;もしそうであれば、pを法として還元されたE^(Z/pr2Z)における当該演算の前記第一の結果を出力する、手段を有する。
ある第一の好ましい実施形態では、前記暗号演算は楕円曲線E(Z/pZ)上でのQ=kPの故障耐性のある計算のための、E(Z/pZ)におけるスカラー倍である。本装置はさらに、E^(Z/pr2Z)において点P^=CRT(P(mod p),R(mod r2))を、P^がE(Z/pZ)においてはPに還元され、E1(Z/r2Z)においてはRに還元されるように形成し、ここで、CRTは中国剰余法を表し;Q^=kP^をE^(Z/pr2Z)において計算し;E1(Z/r2Z)においてQ^≡kR (mod r2)かどうかを検証し;そうである場合にのみQ=Q^ mod pを出力する手段を有する。
第三の側面では、本発明は、プロセッサによって実行されたときに前記第一の側面の実施形態のいずれかに基づく方法を実行する命令が記憶されているコンピュータ・プログラム・プロダクトに向けられる。
本発明の好ましい特徴についてこれから、非限定的な例として、付属の図面を参照しつつ述べる。
[外1]
を環とし、
[外2]
をR上で定義された楕円曲線
[外3]
上での有理点の集合を表すものとする。r2を法として整数の環Z/r2Z上で定義された楕円曲線を考えると、
[外4]
をE(Z/rZ)上での恒等元を表すとして、部分集合が
として定義される。
[外2]
[外3]
[外4]
図1は、本発明のある好ましい実施形態に基づく故障耐性のある方法を例示するフローチャートである。楕円曲線E(Z/pZ)上でのQ=kPの故障耐性計算は、次の方法を使って実行されうる:
1.rを(小さな)整数として、中国剰余法によって与えられる楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)を考える(110)。
2.E^(Z/pr2Z)における点P^=CRT(P(mod p),R(mod r2))を形成する(120)。つまり、
a.P^はE(Z/pZ)においてPに帰着し、
b.P^はE1(Z/r2Z)においてRに帰着する、
ような点P^である。
3.E^(Z/pr2Z)においてQ^=kP^を計算する(130)。
4.E1(Z/r2Z)においてQ^≡kR(mod r2)かどうかを検査し(140)、
・もしそうであれば、Q=Q^ mod pを出力し、
・もしそうでなければ、「エラー」を返す。
1.rを(小さな)整数として、中国剰余法によって与えられる楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)を考える(110)。
2.E^(Z/pr2Z)における点P^=CRT(P(mod p),R(mod r2))を形成する(120)。つまり、
a.P^はE(Z/pZ)においてPに帰着し、
b.P^はE1(Z/r2Z)においてRに帰着する、
ような点P^である。
3.E^(Z/pr2Z)においてQ^=kP^を計算する(130)。
4.E1(Z/r2Z)においてQ^≡kR(mod r2)かどうかを検査し(140)、
・もしそうであれば、Q=Q^ mod pを出力し、
・もしそうでなければ、「エラー」を返す。
検査するステップ(すなわち上記のステップ4)においてkRがE1(Z/r2Z)において計算できることは注目に値する。これはE(Z/r2Z)において計算するよりずっと高速である。楕円曲線の表現に依存して、これは典型的にはr2を法とした1回の乗算になる。E1(Z/r2Z)においてはkR=(k mod r)Rであることは理解されるであろう。
上記の方法には数多くの変形がある。たとえば、整数rはランダムに選ばれてもよいし、あるいは所定の値に固定されてもよい。この整数は素数として選ばれてもよい。E1(Z/r2Z)における点Rについても同じことが言える。すなわち、ランダムに選ばれることも所定の値に固定されることもできる。
さらに、検査するステップ4はいくつかの仕方で実行されうる。具体的には、いわゆる伝染計算(infective computation)を使って明示的な分岐命令を回避するよう実装できる。伝染計算は非特許文献7および非特許文献6に記載されている。
さらに、楕円曲線は種々の仕方で表現されうる。特に興味深いのは、いわゆる完全モデル(complete models)である。その場合、恒等元が特別な扱いを必要としないからである。そのような曲線の例はエドワーズ曲線(非特許文献8に記載されている)およびヤコビ曲線(非特許文献9に記載されている)である。
図2は、本発明のある好ましい実施形態に基づく装置を示している。装置200は、他の装置(図示せず)との通信のために適応された少なくとも一つのインターフェース・ユニット210と、少なくとも一つのプロセッサ22と、アキュムレータおよび中間計算結果のようなデータを記憶するよう適応されている少なくとも一つのメモリ230を有する。プロセッサ220は、本稿で先述したように本発明の方法の実施形態の任意のものに従って冪乗を計算するよう適応されている。CD-ROMまたはDVDのようなコンピュータ・プログラム・プロダクト240は、プロセッサ220によって実行されたときに本発明の実施形態の任意のものに従う方法を実行する記憶された命令を有する。
本記載ならびに(該当する場合には)請求項および図面において開示された各特徴は、独立して、あるいは任意の適切な組み合わせにおいて提供されうる。ハードウェアにおいて実装されると述べられている特徴がソフトウェアにおいて実装されてもよく、逆ソフトウェアにおいて実装されると述べられている特徴がハードウェアにおいて実装されてもよい。請求項に現れる参照符号は単に例示としてであり、特許請求の範囲に対していかなる限定する効果ももたないものとする。
110 CRTを使って楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)を生成
120 P^がE(Z/pZ)においてPに帰着し、E1(Z/r2Z)においてRに帰着するよう、E^(Z/pr2Z)における点P^=CRT(P(mod p),R(mod r2))を形成
130 E^(Z/pr2Z)においてQ^=kP^を計算
140 E1(Z/r2Z)においてQ^≡kR(mod r2)かどうかを検査し、もしそうであればQ=Q^ mod pを出力
200 装置
210 インターフェース・ユニット
220 プロセッサ
230 メモリ
240 コンピュータ・プログラム・プロダクト
120 P^がE(Z/pZ)においてPに帰着し、E1(Z/r2Z)においてRに帰着するよう、E^(Z/pr2Z)における点P^=CRT(P(mod p),R(mod r2))を形成
130 E^(Z/pr2Z)においてQ^=kP^を計算
140 E1(Z/r2Z)においてQ^≡kR(mod r2)かどうかを検査し、もしそうであればQ=Q^ mod pを出力
200 装置
210 インターフェース・ユニット
220 プロセッサ
230 メモリ
240 コンピュータ・プログラム・プロダクト
Claims (10)
- 第一の楕円曲線E(Z/pZ)上での暗号演算の正しさを検査する方法であって、プロセッサにおける:
・rを整数として、前記第一の楕円曲線E(Z/pZ)およびある第二の楕円曲線E(Z/r2Z)から中国剰余法によって与えられる第三の楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)を得るステップと;
・E^(Z/pr2Z)上で当該演算を実行して第一の結果を得るステップと;
・E1(Z/r2Z)上で当該演算を実行して第二の結果を得、ここで、E1(Z/r2Z)はE(Z/r2Z)内の点であってrを法とするとE(Z/rZ)上での恒等元に帰着するものの部分集合を表す、ステップと;
・前記第一の結果および前記第二の結果がE1(Z/r2Z)において等しいことを検証するステップと;
・E^(Z/pr2Z)における当該演算の前記第一の結果をpを法として還元したものを出力するステップとを有する、
方法。 - 前記暗号演算が楕円曲線E(Z/pZ)上でのQ=kPの故障耐性のある計算のための、E(Z/pZ)におけるスカラー倍であり、当該方法がさらに:
・E^(Z/pr2Z)において、P^がE(Z/pZ)においてはPに帰着しE1(Z/r2Z)においてはRに帰着するような点P^=CRT(P(mod p),R(mod r2))を形成するステップであって、ここで、CRTは中国剰余法を表す、ステップと;
・Q^=kP^をE^(Z/pr2Z)において計算するステップと;
・E1(Z/r2Z)においてQ^≡kR (mod r2)かどうかを検証し、そうである場合にのみQ=Q^ mod pを出力するステップとを有する、
請求項1記載の方法。 - 前記整数rがランダムに選ばれる、請求項1または2記載の方法。
- 前記整数rが所定の値をもつ、請求項1または2記載の方法。
- 前記整数rが素数である、請求項3または4記載の方法。
- E1(Z/r2Z)内の前記点Rがランダムに選ばれる、請求項2記載の方法。
- 前記楕円曲線がエドワーズ曲線またはヤコビ曲線として表現される、請求項1または2記載の方法。
- 第一の楕円曲線E(Z/pZ)上での暗号演算の正しさを検査する装置であって:
・rを整数として、前記第一の楕円曲線E(Z/pZ)およびある第二の楕円曲線E(Z/r2Z)から中国剰余法によって与えられる第三の楕円曲線E^(Z/pr2Z)≡E(Z/pZ)×E(Z/r2Z)を得;
・E^(Z/pr2Z)上で当該演算を実行して第一の結果を得;
・E1(Z/r2Z)上で当該演算を実行して第二の結果を得、ここで、E1(Z/r2Z)はE(Z/r2Z)内の点であってrを法とするとE(Z/rZ)上での恒等元に帰着するものの部分集合を表し;
・前記第一の結果および前記第二の結果がE1(Z/r2Z)において等しいことを検証し;
・E^(Z/pr2Z)における当該演算の前記第一の結果をpを法として還元したものを出力する、
手段を有する、装置。 - 前記暗号演算は楕円曲線E(Z/pZ)上でのQ=kPの故障耐性のある計算のための、E(Z/pZ)におけるスカラー倍であって、当該装置がさらに、
・E^(Z/pr2Z)において、P^がE(Z/pZ)においてはPに帰着し、E1(Z/r2Z)においてはRに帰着するような点P^=CRT(P(mod p),R(mod r2))を形成し、ここで、CRTは中国剰余法を表し;
・Q^=kP^をE^(Z/pr2Z)において計算し;
・E1(Z/r2Z)においてQ^≡kR (mod r2)かどうかを検証し、そうである場合にのみQ=Q^ mod pを出力する、
手段を有する、装置。 - プロセッサによって実行されたときに請求項1ないし7のうちいずれか一項記載の方法を実行する命令が記憶されているコンピュータ・プログラム・プロダクト。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09305236.3 | 2009-03-13 | ||
| EP09305236 | 2009-03-13 | ||
| EP09165551A EP2228715A1 (en) | 2009-03-13 | 2009-07-15 | Fault-resistant calculcations on elliptic curves |
| EP09165551.4 | 2009-07-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010217880A true JP2010217880A (ja) | 2010-09-30 |
| JP5528848B2 JP5528848B2 (ja) | 2014-06-25 |
Family
ID=41162302
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010031482A Expired - Fee Related JP5528848B2 (ja) | 2009-03-13 | 2010-02-16 | 故障耐性のある楕円曲線上の計算 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8457303B2 (ja) |
| EP (2) | EP2228715A1 (ja) |
| JP (1) | JP5528848B2 (ja) |
| CN (1) | CN101840325B (ja) |
| AT (1) | ATE536584T1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010226402A (ja) * | 2009-03-24 | 2010-10-07 | Fujitsu Ltd | 楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体 |
| JP2015132754A (ja) * | 2014-01-15 | 2015-07-23 | 日本電信電話株式会社 | マルチパーティ計算システム、秘匿計算装置、マルチパーティ計算方法及びプログラム |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8817974B2 (en) * | 2011-05-11 | 2014-08-26 | Nxp B.V. | Finite field cryptographic arithmetic resistant to fault attacks |
| EP2535804A1 (en) * | 2011-06-17 | 2012-12-19 | Thomson Licensing | Fault-resistant exponentiation algorithm |
| CN102547694A (zh) * | 2012-02-20 | 2012-07-04 | 上海电力学院 | 一种传感器网络中基于中国剩余定理的组密钥建立方法 |
| FR2992084B1 (fr) * | 2012-06-19 | 2015-07-24 | Logiways France | Procede de protection d'un circuit de cryptographie et systeme correspondant |
| KR102423885B1 (ko) | 2015-05-08 | 2022-07-21 | 한국전자통신연구원 | 연산 에러 검출이 가능한 준동형 암호 방법 및 그 시스템 |
| DE102016013692A1 (de) * | 2016-11-16 | 2018-05-17 | Giesecke+Devrient Mobile Security Gmbh | Punktmultiplikation auf einer Erweiterung einer elliptischen Kurve |
| US10541866B2 (en) | 2017-07-25 | 2020-01-21 | Cisco Technology, Inc. | Detecting and resolving multicast traffic performance issues |
| DE102017117899A1 (de) * | 2017-08-07 | 2019-02-07 | Infineon Technologies Ag | Durchführen einer kryptografischen Operation |
| US10601578B2 (en) * | 2017-10-26 | 2020-03-24 | Nxp B.V. | Protecting ECC against fault attacks |
| EP3503459B1 (en) * | 2017-12-22 | 2021-04-21 | Secure-IC SAS | Device and method for protecting execution of a cryptographic operation |
| CN110798305B (zh) * | 2019-09-24 | 2023-05-30 | 瓦戈科技有限公司 | 一种故障分析防御方法、电子设备、可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5991415A (en) * | 1997-05-12 | 1999-11-23 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for protecting public key schemes from timing and fault attacks |
| US20090064720A1 (en) * | 2007-09-12 | 2009-03-12 | Pai Lung Machinery Mill Co., Ltd. | Corduroy fabric |
| WO2010015562A2 (en) * | 2008-08-06 | 2010-02-11 | Gemalto Sa | Zero divisors protecting exponentiation |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2321478A1 (en) * | 1998-02-18 | 1999-08-26 | Erwin Hess | Method and device for cryptographic processing with the aid or an elliptic curve on a computer |
| CN100461668C (zh) * | 2004-12-09 | 2009-02-11 | 中国电子科技集团公司第三十研究所 | 一种用于椭圆曲线密码算法芯片的倍点运算电路 |
| KR101527867B1 (ko) * | 2007-07-11 | 2015-06-10 | 삼성전자주식회사 | 타원 곡선 암호 시스템에 대한 부채널 공격에 대응하는방법 |
-
2009
- 2009-07-15 EP EP09165551A patent/EP2228715A1/en not_active Withdrawn
-
2010
- 2010-02-16 JP JP2010031482A patent/JP5528848B2/ja not_active Expired - Fee Related
- 2010-03-01 AT AT10155001T patent/ATE536584T1/de active
- 2010-03-01 EP EP10155001A patent/EP2228716B1/en not_active Not-in-force
- 2010-03-10 CN CN201010134178.7A patent/CN101840325B/zh not_active Expired - Fee Related
- 2010-03-12 US US12/661,246 patent/US8457303B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5991415A (en) * | 1997-05-12 | 1999-11-23 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for protecting public key schemes from timing and fault attacks |
| US20090064720A1 (en) * | 2007-09-12 | 2009-03-12 | Pai Lung Machinery Mill Co., Ltd. | Corduroy fabric |
| WO2010015562A2 (en) * | 2008-08-06 | 2010-02-11 | Gemalto Sa | Zero divisors protecting exponentiation |
Non-Patent Citations (1)
| Title |
|---|
| JPN6013062343; Bloemer, J. et al.: 'Sign Change Fault Attacks on Elliptic Curve Cryptosystems' Lecture Notes in Computer Science Vol.4236, 2006, p.36-52 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010226402A (ja) * | 2009-03-24 | 2010-10-07 | Fujitsu Ltd | 楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体 |
| JP2015132754A (ja) * | 2014-01-15 | 2015-07-23 | 日本電信電話株式会社 | マルチパーティ計算システム、秘匿計算装置、マルチパーティ計算方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5528848B2 (ja) | 2014-06-25 |
| CN101840325B (zh) | 2014-05-21 |
| ATE536584T1 (de) | 2011-12-15 |
| EP2228716A1 (en) | 2010-09-15 |
| CN101840325A (zh) | 2010-09-22 |
| US8457303B2 (en) | 2013-06-04 |
| US20100232599A1 (en) | 2010-09-16 |
| EP2228716B1 (en) | 2011-12-07 |
| EP2228715A1 (en) | 2010-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5528848B2 (ja) | 故障耐性のある楕円曲線上の計算 | |
| Ciet et al. | Elliptic curve cryptosystems in the presence of permanent and transient faults | |
| Blömer et al. | Sign change fault attacks on elliptic curve cryptosystems | |
| CN107040362B (zh) | 模乘设备和方法 | |
| US8402287B2 (en) | Protection against side channel attacks | |
| EP2523098B1 (en) | Finite field crytographic arithmetic resistant to fault attacks | |
| Vigilant | RSA with CRT: A new cost-effective solution to thwart fault attacks | |
| EP3452897B1 (en) | Countermeasure to safe-error fault injection attacks on cryptographic exponentiation algorithms | |
| EP2332040B1 (en) | Countermeasure securing exponentiation based cryptography | |
| EP3503459B1 (en) | Device and method for protecting execution of a cryptographic operation | |
| JP2011510579A (ja) | 署名ダイアグラムを用いた非対称暗号方式のための対策方法およびデバイス | |
| Boscher et al. | Blinded fault resistant exponentiation revisited | |
| Kaminaga et al. | Double Counting in $2^{t} $-ary RSA Precomputation Reveals the Secret Exponent | |
| Schmidt et al. | Fault attacks on the montgomery powering ladder | |
| Yin et al. | A randomized binary modular exponentiation based RSA algorithm against the comparative power analysis | |
| Fournaris | Fault and power analysis attack protection techniques for standardized public key cryptosystems | |
| Feng et al. | Efficient comb elliptic curve multiplication methods resistant to power analysis | |
| Boscher et al. | Fault resistant RSA signatures: Chinese remaindering in both directions | |
| Kim | New fault attacks using Jacobi symbol and application to regular right-to-left algorithms | |
| Moldovyan et al. | Digital signature scheme set in a hidden cyclic group | |
| El-Badway et al. | Implementing a Proposed Elliptic Curve to Countermeasure Sign Change Fault Attacks and Side Channel Attacks | |
| Gueron | Data and computational fault detection mechanism for devices that perform modular exponentiation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130117 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131217 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140226 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140318 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140416 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5528848 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |