JP2010226402A - 楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体 - Google Patents
楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体 Download PDFInfo
- Publication number
- JP2010226402A JP2010226402A JP2009071096A JP2009071096A JP2010226402A JP 2010226402 A JP2010226402 A JP 2010226402A JP 2009071096 A JP2009071096 A JP 2009071096A JP 2009071096 A JP2009071096 A JP 2009071096A JP 2010226402 A JP2010226402 A JP 2010226402A
- Authority
- JP
- Japan
- Prior art keywords
- elliptic curve
- storage unit
- card
- unit
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
楕円曲線暗号方式を用いたICカード認証における故障利用攻撃の検知技術において、復号メッセージが楕円曲線の点であることを利用する従来技術では、多くの場合で当該攻撃を受けていることを検知できない。
【解決手段】
ICカードにおいて、認証装置から入力された暗号文を秘密鍵で復号することで復号メッセージを得た後に、当該復号メッセージと前記暗号文との対応関係を、楕円曲線上の退化なペアリング関数を用いて検証することにより、故障利用攻撃の有無を検知する。
【選択図】図1
Description
E:y2+a1xy+a3y=x3+a2x2+a4x+a6
で表されるとき、関数Is_on_EC(x,y)を
Is_on_EC(x,y)=x3+a2x2+a4x+a6−(y2+a1xy+a3y)
と定める。ICカードは、前記中間メッセージKを求めた後、Kが楕円曲線Eの点であるかを判定する。ここで、M’ではなくKの値を検証する理由は、攻撃者は秘密鍵dを推定したいのでK=[d]C1の計算時に故障利用攻撃を行うと考えられるためである。これに対し、M’=C2−Kであり、すなわちM’の計算にdは用いられないため、M’の計算時のみに故障利用攻撃を行っても意味がない。
(1) e(P1,P2+P3)=e(P1,P2)・e(P1,P3)
(2) e(P1,P2)=e(P2,P1)
また、上記の2条件に加え、以下の条件を満たすeを「退化なペアリング」と呼ぶ。
(3) e(P1,P1)≠1
なお、楕円曲線上の退化なペアリングそのものは公知技術である。従来、退化なペアリングは、楕円曲線暗号に対する攻撃技術や、楕円曲線暗号そのものの内部処理において使用されている。
e1=e(G,K)=e(G,[d]C1)=e(G,[d−1]C1+C1)
=e(G,[d−1]C1)・e(G,C1)
=e(G,[d−2]C1+C1)・e(G,C1)
=e(G,[d−2]C1)・e(G,C1)2
と式変形できる。同様の式変形を繰り返すと、結局、関係式e1=e(G,C1)dが導ける。また、前記e2に対しても、同様にして、
e2=e(Y,C1)=e([d]G,C1)=e(G,C1)d
と式変形でき、結局、関係式e2=e(G,C1)dが導ける。すなわち、もし故障利用攻撃が行われていなければ、必ず、e1=e2が成立する。この対偶から、もしe1≠e2であれば、100%の確率で、故障利用攻撃が行われている。
ここで、wは1の原始3乗根である。次に攻撃検知部107は、記憶部101上の変数SにP1を格納する(ステップS402)。そして攻撃検知部107は、関数fSを導出する(ステップS403)。
一方、ステップS409において、V+P1、U+P2のいずれかが∞である場合(分岐のNO)、攻撃検知部107は、ステップS304の処理に戻って、U,Vを再選択する。
E:y2+a1xy+a3y=x3+a2x2+a4x+a6
で表されるとき、関数Is_on_EC(x,y)を
Is_on_EC(x,y)=x3+a2x2+a4x+a6−(y2+a1xy+a3y)
と定める。
E:y2+a1xy+a3y=x3+a2x2+a4x+a6
を満たす点(x,y)の集合に、無限遠点とよばれる点∞を加えた集合のことをいう。無限遠点∞を0と表すこともある。ここで、定数a1、a2、a3、a4、および、a6、ならびに、変数x、および、yは、有限体GF(pm)の要素である。楕円曲線上の点は(x,y)のような座標形式(アファイン座標)で表現できるが、無限遠点∞は(x,y)のような座標形式で表現できない唯一の点である。このように、アファイン座標では無限遠点以外の点はGF(pm)の2つの要素の組として表される。
(2)P≠∞のとき(P=(x、y)とする)、−P=(x,−y)
次に、P1,P2をGF(pm)上の楕円曲線E上の2点とする。このとき、P1とP2の和P1+P2を以下のように定義する。
(2)P2=∞のとき、P1+P2=P1
(3)P1=−P2のとき、P1+P2=∞
(4)上記以外のとき(P1=(x1,y1),P2=(x2,y2),P1+P2=(x3,y3)とする)、
x3=λ2+a1λ−a2−x1−x2
y3=(x1−x2)λ−y1−a1x3−a3
ただし、
λ=(y2−y1)/(x2−x1)・・・(P1≠P2のとき)
λ=(3x1 2+2a2x1+a4−a1y1)/(2y1+a1x1+a3)・・・(P1=P2のとき)
なお、P1≠P2のときにP1+P2を計算することを楕円加算という。また、P1=P2のときにP1+P2=[2]P1を計算することを楕円2倍算という。
(1)(疑似)乱数rを生成する。
(2)点[r]Pを計算し、C1として保持する。
(3)点M+[r]Yを計算し、C2として保持する。
(4)C1とC2のペア(C1,C2)を暗号文として受信者に送る。
暗号文(C1,C2)を受け取った受信者は、自分の秘密鍵dを用いて、以下の復号化処理を行う。
(1)点[d]C1を計算し、Kとして保持する。
(2)点C2−Kを計算し、復号化されたメッセージとする。
(2) e(P1,P2)=e(P2,P1)
そして、非退化なペアリングとは、上記の条件(1),(2)に加えて、条件(3) e(P1,P1)=1を満たすものをいう。
ここで、fP1, fP2は、前記楕円曲線の点P1, P2からそれぞれ構成されるE上の関数である。また、例えばfP1(U)とは、fP1にE上の点Uを代入した値を表す。なお、fP1, fP2の構成については後述する。また、点U, Vは、それぞれU+P2及びV+P1が無限遠点∞にならない楕円曲線E上の任意の点である。
i=jのとき、楕円曲線E上の点[i]Pを通り楕円曲線Eに接する直線
また、方程式vi(x,y)=0を、[i]P及び無限遠点∞を通る直線と定義する。次に、関数gnを以下の漸化式で定義する。ただし、qは自然数である。
g2q=lq,q(x,y)/v2q(x,y)・gq 2
g2q+1=l2q,1(x,y)/v2q+1(x,y)・g2q
このとき、fP=gpとなることが知られている。
ここで、eはヴェイユペアリングである。なお、退化なペアリングの構成に用いる写像Φはdistortion写像と呼ばれる。
12 ROM
13 RAM
14 不揮発性メモリ
15 入出力インタフェース
17 バス
31 CPU
32 主記憶
33 補助記憶装置
34 出力インタフェース
35 入力インタフェース
36 ICカードR/Wインタフェース
37 バス
38 モニタ
39 キーボード
40 マウス
41 ICカードリーダ/ライタ
100 ICカード
101 記憶部
103 公開情報記憶部
105 秘密鍵記憶部
107 攻撃検知部
109 復号化処理部
111 制御部
113 通信部
300 認証装置
301 記憶部
303 公開情報記憶部
305 乱数生成部
307 認証処理部
309 暗号化処理部
311 通信部
313 制御部
Claims (2)
- 所定の楕円曲線に基づく楕円エルガマル暗号の秘密鍵dを秘密に格納した秘密鍵記憶部と、
前記楕円エルガマル暗号の公開鍵YとベースポイントGとを格納した公開情報記憶部と、
前記楕円エルガマル暗号によって暗号化された暗号文C=(C1,C2)の入力を受付ける入力部と、
当該暗号文Cを、記憶部に格納された秘密鍵dに基づき、K=[d]C1およびM’=C2−Kを順に算出することで復号メッセージM’を生成する復号部と、当該復号メッセージM’を出力する出力部とを備える認証用媒体において、
退化なペアリングeに基づき関係式e(G,K)=e(Y,C1)が成立するかを判定する判定部を、
さらに備え、
前記出力部は、前記関係式が成立する場合に、前記復号メッセージM’を出力する
ことを特徴とする認証用媒体。 - 前記判定部は、前記復号部が算出したKが前記所定の楕円曲線の点である場合に、前記関係式に基づく判定を行う、
ことを特徴とする請求項1に記載の認証用媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009071096A JP5326715B2 (ja) | 2009-03-24 | 2009-03-24 | 楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009071096A JP5326715B2 (ja) | 2009-03-24 | 2009-03-24 | 楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010226402A true JP2010226402A (ja) | 2010-10-07 |
JP5326715B2 JP5326715B2 (ja) | 2013-10-30 |
Family
ID=43043114
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009071096A Expired - Fee Related JP5326715B2 (ja) | 2009-03-24 | 2009-03-24 | 楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5326715B2 (ja) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003255831A (ja) * | 2002-02-28 | 2003-09-10 | Hitachi Ltd | 楕円曲線スカラー倍計算方法及び装置 |
JP2004252433A (ja) * | 2003-01-28 | 2004-09-09 | Matsushita Electric Ind Co Ltd | 故障利用攻撃に対抗できる楕円べき倍演算装置及び情報セキュリティ装置 |
JP2007295444A (ja) * | 2006-04-27 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | 匿名暗号文通信システム、鍵生成装置、通信装置、それらの方法、プログラム及び記録媒体 |
JP2010136066A (ja) * | 2008-12-04 | 2010-06-17 | Sony Corp | 情報処理装置および方法、並びにプログラム |
JP2010148036A (ja) * | 2008-12-22 | 2010-07-01 | Fujitsu Ltd | 楕円曲線演算装置、方法及びプログラム |
JP2010217880A (ja) * | 2009-03-13 | 2010-09-30 | Thomson Licensing | 故障耐性のある楕円曲線上の計算 |
-
2009
- 2009-03-24 JP JP2009071096A patent/JP5326715B2/ja not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003255831A (ja) * | 2002-02-28 | 2003-09-10 | Hitachi Ltd | 楕円曲線スカラー倍計算方法及び装置 |
JP2004252433A (ja) * | 2003-01-28 | 2004-09-09 | Matsushita Electric Ind Co Ltd | 故障利用攻撃に対抗できる楕円べき倍演算装置及び情報セキュリティ装置 |
JP2007295444A (ja) * | 2006-04-27 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | 匿名暗号文通信システム、鍵生成装置、通信装置、それらの方法、プログラム及び記録媒体 |
JP2010136066A (ja) * | 2008-12-04 | 2010-06-17 | Sony Corp | 情報処理装置および方法、並びにプログラム |
JP2010148036A (ja) * | 2008-12-22 | 2010-07-01 | Fujitsu Ltd | 楕円曲線演算装置、方法及びプログラム |
JP2010217880A (ja) * | 2009-03-13 | 2010-09-30 | Thomson Licensing | 故障耐性のある楕円曲線上の計算 |
Also Published As
Publication number | Publication date |
---|---|
JP5326715B2 (ja) | 2013-10-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Rodriguez-Henriquez et al. | A brief introduction to modern cryptography | |
US10515567B2 (en) | Cryptographic machines with N-state lab-transformed switching devices | |
US9037623B2 (en) | Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor | |
JP4546231B2 (ja) | Idベース署名及び暗号化システムおよび方法 | |
JP2008252299A (ja) | 暗号処理システム及び暗号処理方法 | |
CN111404952B (zh) | 变电站数据加密传输方法、装置、计算机设备和存储介质 | |
JP4869824B2 (ja) | 受信者装置及び送信者装置及び暗号通信システム及びプログラム | |
EP3379769A1 (en) | Method of rsa signature or decryption protected using multiplicative splitting of an asymmetric exponent | |
Muhammad et al. | Loop-based RSA key generation algorithm using string identity | |
US11288985B2 (en) | Encryption device, decryption device, encryption method, decryption method, encryption program product, and decryption program product | |
JP5171787B2 (ja) | サインクリプションシステムおよびサインクリプション生成方法 | |
JP6294882B2 (ja) | 鍵保管装置、鍵保管方法、及びそのプログラム | |
US11616994B2 (en) | Embedding information in elliptic curve base point | |
JP2010258708A (ja) | 情報処理装置、演算検証方法およびプログラム | |
KR101440680B1 (ko) | 중국인 나머지 정리에 기반한 준동형 암복호화 방법 및 이를 이용한 장치 | |
JP5326715B2 (ja) | 楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体 | |
Damgård et al. | On the theory and practice of personal digital signatures | |
Abdurahmonov et al. | Improving Smart Card Security Using Elliptic Curve Cryptography over Prime Field (F p) | |
US20240205006A1 (en) | Encryption device, decryption device, key generation device, encryption method, decryption method, key generation method, computer program product for encryption, computer program product for decryption, and computer program product for key generation | |
CN109951287B (zh) | 基于私钥池的抗量子计算签密方法和系统 | |
JP5272710B2 (ja) | 楕円曲線演算装置、方法及びプログラム | |
Prakash et al. | Digital Signatures and El Gamal Scheme Integration for Secure Data Transmission in Digital Transaction Survey | |
JP5912281B2 (ja) | 復号結果検証装置、方法、システム及びプログラム | |
KR101006358B1 (ko) | 실수체 기반의 타원 곡선 암호 시스템 및 그 방법 | |
Jyotiyana et al. | Fault attack for scalar multiplication over finite field (E (F q)) on Elliptic Curve Digital Signature Algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121225 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130625 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130708 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |