JP2012129993A - 暗号装置の保護方法及び保護システム - Google Patents
暗号装置の保護方法及び保護システム Download PDFInfo
- Publication number
- JP2012129993A JP2012129993A JP2011260711A JP2011260711A JP2012129993A JP 2012129993 A JP2012129993 A JP 2012129993A JP 2011260711 A JP2011260711 A JP 2011260711A JP 2011260711 A JP2011260711 A JP 2011260711A JP 2012129993 A JP2012129993 A JP 2012129993A
- Authority
- JP
- Japan
- Prior art keywords
- cryptographic
- data
- map
- homomorphic
- applying
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/003—Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
Abstract
【課題】特定のタイプの攻撃に対するより強い耐性を提供する暗号保護方法を提供する。
【解決手段】暗号回路による暗号アルゴリズムの実行中に使用される秘密データ(Di、K)の検出を目的とする攻撃からの暗号回路の保護方法であって、データ(Di)への少なくとも一つの暗号演算(Oi)の適用(22)を含み、データは、少なくとも一つの群構造を有し、且つ少なくとも一つの二項演算が提供される第1の数学的構造(E)に属し、保護方法は、データ(Di)に、暗号演算(Oi)を適用する(22)前に、二項演算と両立する少なくとも一つの可逆の第1の準同型写像(Mi)を適用し(20)、暗号演算(Oi)を適用した後に、第1の準同型写像(Mi)の逆写像である少なくとも一つの第2の準同型写像(Mi -1)を適用する(24)ことを含む、暗号演算を保護するためのステップ(OPi)を含むことを特徴とする。
【選択図】図3
【解決手段】暗号回路による暗号アルゴリズムの実行中に使用される秘密データ(Di、K)の検出を目的とする攻撃からの暗号回路の保護方法であって、データ(Di)への少なくとも一つの暗号演算(Oi)の適用(22)を含み、データは、少なくとも一つの群構造を有し、且つ少なくとも一つの二項演算が提供される第1の数学的構造(E)に属し、保護方法は、データ(Di)に、暗号演算(Oi)を適用する(22)前に、二項演算と両立する少なくとも一つの可逆の第1の準同型写像(Mi)を適用し(20)、暗号演算(Oi)を適用した後に、第1の準同型写像(Mi)の逆写像である少なくとも一つの第2の準同型写像(Mi -1)を適用する(24)ことを含む、暗号演算を保護するためのステップ(OPi)を含むことを特徴とする。
【選択図】図3
Description
本発明は、暗号回路による暗号アルゴリズムの実行中に使用される秘密データの検出を目的とする攻撃からのその暗号回路の保護方法に関し、データへの少なくとも一つの暗号演算の適用を含み、そのデータは、少なくとも一つの群構造を有し、且つ少なくとも一つの二項演算が提供される第1の数学的構造に属する。
暗号の目的は、ある者が、安全でない通信チャネル、すなわち第三者(以下、「敵」と称する)が探ることができるチャネルを用いて、全く安全に通信できるようにすることである。
そのために、暗号により、特に、情報の暗号化、二重の演算及び復号を通じてその情報の一部分の機密性を保護すること、又は補完的な署名及び署名の照合の演算を用いて情報の一部分の信頼性のみを保護することが可能になる。
一般に、特定のメッセージの暗号保護は、超小型回路により、一つ以上の数学的演算をそのメッセージへ適用することによって実施される。その演算は、対称暗号において秘密鍵と呼ばれる鍵、及び非対称暗号において公開鍵又は秘密鍵と呼ばれる鍵による演算である。
しかしながら、かかる保護方法は、そのメッセージの内容又はその鍵自体にアクセスしようとする敵により攻撃を受けやすい。
通信保護のための暗号の使用の根源にある標準的な敵のモデルは、その敵が、伝送チャネルを介して受動的及び/又は能動的に行動するただの観察者であるというモデルである。このモデルでは、敵は全ての通信にアクセスし、それらを妨害し、又はそれらを変えることさえできる。この種の敵に対して耐性のある暗号手順が存在し、ある場合には非常によく機能している。
特に、暗号の適用分野の拡大により、新たな敵及び攻撃のモデルが現れてきている。特に、暗号アルゴリズムを実施する超小型回路の装置は、例えば使用される鍵、あるいはある場合にはメッセージ自体における情報等の、その装置が取り扱う秘密データを求めることを目的とする攻撃を時おり受けやすい。
例えば、これは、暗号アルゴリズムのソフトウェア又は材料の実装に係る特定の特徴の弱点を突く、いわゆるサイドチャネル攻撃の場合である。
特に、あるタイプの攻撃は、暗号計算に係る数学的演算のそれぞれが相互に異なるエネルギーの特徴を有するという事実の弱点を突く。例えば、値「1」から値「0」への情報ビットの推移により生じるエネルギー消費は、値「0」から値「1」へのビットの推移により生じるエネルギー消費とは異なる。
そのため、SPA(単純電力解析)又はDPA(差分電力解析)の攻撃は、暗号計算により生じる電力消費、例えば暗号アルゴリズムの実行中に超小型回路に入力し、超小型回路から出力する電流及び電圧を測定することと、それらの電流又は電圧から、実行される一連の演算、又は使用される鍵さえも推定することとで構成される。
さらに、暗号計算中の電流により生成される電磁場を測定することは電磁波攻撃(EMA)につながる。その原理はエネルギー消費に関する攻撃と同一である。
さらに、「時間攻撃」は、実行時間の単純な測定から、つまり、データの値に依存し得る、数学的計算ユニットの計算時間を解析することにより、暗号計算中に使用される鍵を検出することを可能にする。
暗号計算に係る単純で受動的な観察に基づくこれらの新たなタイプの攻撃は、例えば有料テレビ放送サービスに不正にアクセスするように実施することができる。かかるサービスは、暗号化されたコンテンツを鍵を用いて復号可能なデコーダを有する加入者にオーディオビジュアルコンテンツを安全に送るように暗号化アルゴリズム及び復号アルゴリズムを用いる。上述したように、攻撃者は、その鍵にアクセスし、それによりオーディオビジュアルコンテンツを不正に復号できるように、これらのデコーダの電力消費を観測し、解析することができる。
さらに、暗号回路にアクセスできる他のタイプの素子も考えられる。特に、このタイプの敵は、常にレジスタにアクセスすることができ、いつでもその異なる変数へのアクセスを監視し、実行された演算を観察することができる。そしてこれは「ホワイトボックス」暗号と呼ばれる。
従って、本発明の目的は、前述のタイプの攻撃に対するより強い耐性を提供する暗号保護方法を提供することである。
そのために、本発明は、前述のタイプの保護方法に関する。その保護方法は、データに、暗号演算を適用する前に、二項演算と両立する(compatible with)少なくとも一つの可逆の第1の準同型写像を適用し、暗号演算を適用した後に、第1の準同型写像の逆写像である少なくとも一つの第2の準同型写像を適用することを含む、暗号演算を保護するためのステップを含むことを特徴とする。
また、本発明に従った方法は、次の特徴を、独立したもの又は組み合わせたものとみなして含む。暗号演算は、第1の準同型写像の結果に適用される。第2の準同型写像は、暗号演算の結果に適用される。第2の準同型写像は、少なくとも二つの暗号演算を第1の準同型写像の結果に適用した後に適用される。暗号アルゴリズムは、少なくとも二つの暗号演算をデータに適用することを含み、少なくとも一つの可逆の準同型写像が、少なくとも二つの暗号演算の前に適用される。少なくとも二つの異なる準同型写像がデータに適用される。準同型写像は、第1の数学的構造の少なくとも一つの二項演算とは異なる少なくとも一つの二項演算が提供される、第1の数学的構造とは異なる第2の数学的構造への第1の数学的構造の適用である。準同型写像は、準同型の暗号化である。暗号演算は、その暗号演算の入力変数の関数として、暗号演算の結果を示す相互関係の写像を用いて適用される。準同型写像及び暗号演算は、準同型写像の入力変数の関数として、少なくとも準同型写像及び暗号演算の合成の結果を示す単一の相互関係の写像を用いて適用される。
また、本発明は、暗号回路による暗号アルゴリズムの実行中に使用される秘密データの検出を目的とする攻撃に対するその暗号回路の保護装置に関する。保護回路は、データへの少なくとも一つの暗号演算の適用部を備え、データは、少なくとも一つの群構造を有し、且つ少なくとも一つの二項演算が提供される第1の数学的構造に属し、保護回路は、データに、暗号演算を適用する前に、二項演算と両立する少なくとも一つの可逆の第1の準同型写像を適用し、且つ暗号演算を適用した後に、第1の準同型写像の逆写像である少なくとも一つの第2の準同型写像を適用する手段を備えることを特徴とする。
本発明は、例示としてのみ提供され、且つ以下の添付の図面を参照してなされる以下の記述を用いることにより、よりよく理解されるであろう。
図1は、本発明の第1の実施形態に従った保護装置1を示す。
保護装置1は、プロセッサ3及びメモリ5を備え、例えばセキュリティ鍵又はデータ等のデータを交換できるように接続される。
メモリ5は、データを格納することができ、保護メモリ空間7を含み、特に、セキュリティ鍵及び/又は少なくとも一時的に暗号化され、又は復号されるデータを安全に格納することができる。
プロセッサ3は、暗号アルゴリズムの適用部9と、そのアルゴリズムの適用を保護するための手段11を備える。その適用部9は、例えば保護されるべきデータに対する暗号化又は保護されたデータに対する復号等の暗号アルゴリズムを適用することができる。
そのため、マイクロプロセッサ3は、メッセージに暗号アルゴリズムを適用することができ、敵による鍵及び/又はデータの検出を防ぐように、そのアルゴリズムを保護するための方法を実施する。
図2は、セキュリティ鍵を含む、暗号保護を必要とするデータについての、暗号アルゴリズムの実行中に、図1に示すような保護装置1により実施される、本発明の一実施形態に従った保護方法の基本的なステップを示す。
以下、この暗号アルゴリズムは暗号化であるものとするが、図2〜5を参照して記述される保護方法は、復号演算又は任意の他のタイプの暗号保護のアルゴリズムに同様に適用することができる。
この暗号アルゴリズムの実行は、暗号演算とも呼ばれる複数の数学的演算Oiの実施を含む。数学的演算Oiは、初期データに適用され、その後、その各演算の後に得られるデータに連続的に適用される。以下の記述において、D0は初期データを表し、Diは演算Oiの後に得られるデータを表し、Dnは暗号アルゴリズムの終了時に得られるデータを表す。
Kと表されるセキュリティ鍵による演算Oiは、例えば加法、減法、乗法及び除法等の基本的な演算、例えば累乗法もしくは多項式評価等の、これらの基本的な演算から得られる任意の演算、又は例えば「排他的論理和」XORもしくは「論理積」関数のAND等の二項演算の中から選択される。
これらの各演算Oiは、起こり得る攻撃から本発明の方法により保護される。そのため、より概略的には、データD0の暗号化は、複数の被保護数学的演算OPiの実施を含む。その数学的演算OPiの結果は演算Oiの結果と同一であるが、演算Oiは例えばDチャネル攻撃等の攻撃から保護される。
図3に、各被保護演算OPi中に実行されるステップが詳細に示される。
各数学的演算の保護、及びより広く、暗号アルゴリズム全体の保護は、有利には各演算の前に、そのデータへ第1の群写像、又は可逆であり且つランダムに選択される準同型写像を適用することと、有利には各演算の後に、第1の準同型写像の逆写像の準同型写像を適用することとに基づく。
そのため、被保護演算OPiの実施は、初期データD0又は被保護演算OPi-1から生じるデータDi-1に、Miと表される第1の準同型写像を適用するためのステップ20を含む。その後、ステップ22の間に、鍵Kによる演算Oiが、ステップ20の終了時に得られた結果Mi(Di-1)に適用される。最後に、ステップ24の間に、第1の準同型写像Miの逆写像である、Mi -1と表される第2の準同型写像が演算Oiの結果に適用される。
群は、一般に加法では(+E)と表され、又は乗法では(×E)と表される少なくとも一つの二項演算が提供される元の集合Eとして定義される代数的構造である。その群の全ての元は、その二項規則についての逆元を有する。さらに、その集合は、その規則が加法で表されるときは0Eと表され、その規則が乗法で表されるときは1Eと表される中立元を含む。
集合が、一般に+E及び×Eと表される二つの二項規則をそれぞれ有し、(E,+E)が群であるような場合、その集合は環である。
さらに、零元を除く全ての元が、乗法規則により可逆である場合、その環Eは体である。
二つの群Eと群F、あるいは等しい群の間の群写像は、それらの群の規則と両立する適用φとして、すなわち次のように定義される。
ここで、+E及び+Fは、それぞれ群E及び群Fの二項規則を意味し、0E及び0Fは、それらの中立元を意味する。
従って、環写像は、例えば加法及び乗法等の通常の演算の全てを保持するが、例えば累乗法もしくは多項式による合成、又はそれらの逆演算(その可逆の元の減法もしくは逆元)等の、通常の演算から得られる演算も保持する。
以下の記述及び請求項において、一般用語「準同型写像」は、少なくとも一つの群構造を有する集合Eの、集合Fあるいは同一の集合への任意の適用を意味する。この適用はそれらの集合に係る少なくとも一つの二項規則を保護する。
当然、この名称は、群写像の属性に加えて加法の属性を有する任意の写像、特に環写像、代数の写像又は体写像も含む。例えば、代数の写像は、二つの二項演算に加えていわゆる外部規則(external law)、例えば問題となっている代数とは実体(body)の異なる元との乗算を守る。
上述したように、データDが、加法及び乗法が提供される環Eの元であり、ステップ20の間にデータDiに適用される写像Miが、前述で定義されたような可逆の写像、例えば自己準同型写像であり、その逆写像が、ステップ24の間に適用される写像Mi -1であるとみなされる場合、ステップ24の終了時に得られるデータDi+1は以下の等式を満たす。
実際に、演算Oiは、環Eの基本的な演算又は環Eの基本的な演算から得られる演算であるので、この演算Oiは写像Mi及び写像Mi -1により保護される。特に、写像Miは環Eの加法規則及び乗法規則を保護するので、それら二つの規則から得られる演算の全てが保護され、ひいては全ての演算Oiも保護される。
その結果として、ステップ24の終了時に得られるデータDiは、演算Oiを単にデータDi-1に適用することにより得られるデータと同一となる。
しかしながら、適用される環写像のランダム性によって、入力変数のビットはランダムに変化する。従って、被保護演算OPiの(電気及び/又は熱及び/又は電磁気の)エネルギーの特徴並びにその実行期間はランダムとなり、演算Oiのそれらと異なり、エネルギー消費もしくは放出又は実行時間の任意の解析を役立たなくさせる。
従って、各数学的演算Oiの前にデータDi-1に写像を適用し、その演算の後にその逆写像を適用することによって、暗号化されるべきデータに連続的に適用される演算Oiのエネルギーの特徴を隠し、それ故に、その暗号アルゴリズムの最終結果Dn、すなわち暗号化データを変えることなく、例えばサイドチャネル攻撃等の攻撃からそのデータの暗号化を保護することが可能となる。
様々な被保護演算OPi中に用いられる写像Mi及びその逆写像Mi -1は、相互に異なり、ランダムに選択されるのが有利である。それにより、写像Miのエネルギーの特徴は解析することができない。さらに、暗号アルゴリズムのエネルギーの特徴が実行毎に異なって、その特徴についての任意の統計的な分析を防ぐように、使用される写像Miは暗号アルゴリズムの実行毎に変更されるのが有利である。
その場合、例えば予め定められた写像のデータベースから写像をランダムに取り出すことにより、又はアルゴリズムの実行中に新たな写像を決定することにより、任意の写像Miが演算Oiの実行前にランダムに選択される。
その場合、環Eは、例えばGF(pk)で表される、次数k≧2に係るガロア体の拡大(extension)である。GF(p)で表されるガロア体は、全てのモジュロpの整数により定義され、特にZ/pZ(pは素数)で表される。かかる体において、xp=xである。
あるいは、環写像Miは、準同型の暗号化、すなわち写像と同一の属性を有し、且つ鍵Ksによる暗号化の演算とすることができる。
これらの準同型の暗号化は、「理想的な束を用いる完全準同型暗号化 Gentry C., STOC 2009, 169-178」に明示されるように、完全に準同型の暗号化であるのが有利である。かかる写像は、体写像と実質的に同一の代数の属性を有し、そのため環写像とみなすことができる。特に、かかる写像は、開始時の集合、環又は体の構造、並びに特に加法規則XOR及び乗法規則ANDを完全に保護し、可逆である。
そのため、暗号アルゴリズムの間に実行される演算Oiが二項演算、例えばXOR演算、AND演算又はそれらから生じる演算であるとき、かかる写像を使用することができる。
さらに、他のタイプの演算(例えば、加法及び/又は乗法)を保護する準同型の暗号化も使用してよい。
また、準同型の暗号化には、鍵Ks(以下、補助鍵と称する)に依存するという有利な点がある。暗号アルゴリズムの終了時に得られる暗号化データはその鍵に依存しないからである。従って、準同型の暗号化は、関数C(Di、Ks)と書くことができ、又は固定鍵を持ち、前述した準同型の属性を有する関数f(Di)と書くことができる。
その結果として、同一の準同型の暗号化関数Cは、鍵Ksのみを変更することにより、(10300のオーダーの)非常に多数の異なる可逆の写像fを生成することができる。実際には、1040のオーダーの複数の異なる鍵で十分なことが示される。
そのため、全ての被保護演算OPiについて、同一の暗号化Cを選択し、さらに各演算の前にその暗号化のための鍵Ksをランダムに選択することにより、暗号アルゴリズムの一連の演算を保護するために使用される写像Mi(及びそれらの逆写像)をランダムに選択することができる。
あるいは、写像Miは、加法規則及び乗法規則を保護するのではなく、単にそれらの規則のうちの一つのみを保護する準同型の暗号化としてもよい。これは、例えば乗法のみを保護するRSA(Rivest Shamir Adleman)暗号化を含んでもよい。また、かかる写像Miは、演算Oiが、例えば加法のみ又は乗法のみの、単一のタイプの基本的な演算のみを使用するときに用いてもよい。
しかしながら、上述した実施形態に限定されないことが理解されるべきである。
特に、図4に説明される他の実施形態に従って、逆写像Mi -1は、演算Oiの後すぐには適用されず、数個の連続した演算Oi、Oi+1・・・の後に適用される。そのため、図4に説明される実施形態において、被保護演算OPiの一つは、データDi-1への準同型写像Miの適用と、続いて演算Oiの適用とを含む。その被保護演算OPi自体の後すぐに、演算Oi+1の適用が続き、その後、逆写像Mi -1が続く。そのため、写像MiによるデータDiの像に演算Oi+1が適用される。
さらに、攻撃に対するより強い耐性を提供するように、各演算Oiの前にデータに数個の写像を適用し、その後、各演算Oiの後に逆写像を連続的に適用してもよい。
さらに、使用される写像は、自己準同型写像である必要はなく、第1の環Eの第2の環Fへの適用としてもよい。その第2の環Fの加法規則及び乗法規則は、第1の環Eの加法規則及び乗法規則と異なるのが有利である。かかる写像には、データDiの代数空間Eとは異なる代数空間Fにおける、演算Oiの互換に係る有利な点がある。かかる写像は、暗号アルゴリズムの保護をさらに強くする。実際にこの実施形態では、攻撃者は、演算が実行される数学的な集合にアクセスすることができず、さらに計算に係るエネルギーの信号についての詳細な統計値を用いることができない。
ある特定の実施形態に従って、演算Oi並びに/又は写像Mi及び写像Mi -1は、計算によってなされず、入力変数(例えばデータDi)の値から計算することなく演算の結果にアクセスすることを可能とする、相関関係の写像によってなされる。そのため、図5は、この実施形態に従った暗号アルゴリズムの実行中になされる二つの一連の被保護演算を説明する。
第1の被保護演算OP1の間、プロセッサ3は、計算をすることなく、被保護メモリ7に格納された、演算
に対応する相関関係の写像T1にアクセスすることにより、データD0に写像M1及び演算O1を適用する。そのため、この演算OP1の間、プロセッサ3は、写像M1と演算O1を結合することによって入力データD1の像
を求める。
その後、続く被保護ステップOP2の間、プロセッサは、ステップOP1から生じたデータM1(D1)に逆写像M1 -1を適用し、その後に、被保護メモリ7に格納された、演算
に対応する単一の相関関係の写像T2を用いて、写像M2及び演算O2を続ける。
続くステップOPiは同じ原理に従って実行される。しかしながら、演算O1・・・Onのみを適用することにより得られる暗号化データと同じ暗号化データがn個のステップOP1、OP2、・・・OPnの終了時に得られるように、最後のステップOPnの間に、そのデータに逆写像Mn -1が適用される。
写像Mi及びMi -1は、第1の環Eの、第1の環Eとは異なる第2の環Fへの適用であり、データDi-1の代数空間Eとは異なる代数空間への演算Oiの互換であるのが有利である。かかる互換により、攻撃者となり得る者が演算OPiの入力データと出力データの間の一次関係を決定し、実行される演算Oiをそこから推定するのを妨げる結果がもたらされる。
そのため、かかる相関関係の写像の使用は、特に、段階的になされる計算を攻撃者が監視する可能性がある場合に暗号アルゴリズムを保護するのに有利であり、従って、本発明に従った保護方法は、ホワイトボックスの暗号システムのセキュリティを改善することを可能とする。
暗号アルゴリズムが数個の数学的演算Oiを含む場合、数学的演算Oiの全てについて可逆の写像を適用することにより保護する必要がないことに留意すべきである。
Claims (11)
- 暗号回路による暗号アルゴリズムの実行中に使用される秘密データ(Di、K)の検出を目的とする攻撃からの前記暗号回路の保護方法であって、
データ(Di)への少なくとも一つの暗号演算(Oi)の適用(22)を含み、
前記データは、少なくとも一つの群構造を有し、且つ少なくとも一つの二項演算(+E、×E)が提供される第1の数学的構造(E)に属し、
前記保護方法は、
前記データ(Di)に、前記暗号演算(Oi)を適用する(22)前に、前記二項演算(+E、×E)と両立する少なくとも一つの可逆の第1の準同型写像(Mi)を適用し(20)、
前記暗号演算(Oi)を適用した後に、前記第1の準同型写像(Mi)の逆写像である少なくとも一つの第2の準同型写像(Mi -1)を適用する(24)ことを含む、前記暗号演算を保護するためのステップ(OPi)を含むことを特徴とする保護方法。 - 前記暗号演算(Oi)は、前記第1の準同型写像(Mi)の結果(Mi(Di))に適用されることを特徴とする、請求項1に記載の保護方法。
- 前記第2の準同型写像(Mi -1)は、前記暗号演算(Oi)の結果(Oi(Mi(Di)))に適用されることを特徴とする、請求項1又は2に記載の保護方法。
- 前記第2の準同型写像(Mi -1)は、少なくとも二つの暗号演算(Oi)を前記第1の準同型写像(Mi)の結果(Mi(Di))に適用した後に適用されることを特徴とする、請求項1又は2に記載の保護方法。
- 前記暗号アルゴリズムは、少なくとも二つの暗号演算(Oi)を前記データ(Di)に適用することを含み、
少なくとも一つの可逆の準同型写像(Mi)が、前記少なくとも二つの暗号演算(Oi)の前に適用されることを特徴とする、請求項1〜4の何れか一項に記載の保護方法。 - 少なくとも二つの異なる準同型写像が前記データ(Di)に適用されることを特徴とする、請求項5に記載の保護方法。
- 前記準同型写像は、前記第1の数学的構造(E)の前記少なくとも一つの二項演算(+E、×E)とは異なる少なくとも一つの二項演算(+F、×F)が提供される、前記第1の数学的構造(E)とは異なる第2の数学的構造(F)への前記第1の数学的構造(E)の適用であることを特徴とする、請求項1〜6の何れか一項に記載の保護方法。
- 前記準同型写像(Mi)は、準同型の暗号化であることを特徴とする、請求項1〜7の何れか一項に記載の保護方法。
- 前記暗号演算(Oi)は、当該演算の入力変数の関数として、前記演算(Oi)の結果を示す相互関係の写像(T1、T2、Ti)を用いて適用されることを特徴とする、請求項1〜8の何れか一項に記載の保護方法。
- 前記準同型写像(Mi)及び前記暗号演算(Oi)は、前記準同型写像の入力変数の関数として、少なくとも前記準同型写像及び前記演算(Oi)の合成の結果を示す単一の相互関係の写像(T1)を用いて適用されることを特徴とする、請求項9に記載の保護方法。
- 暗号回路による暗号アルゴリズムの実行中に使用される秘密データ(Di、K)の検出を目的とする攻撃に対する前記暗号回路の保護装置(1)であって、
データ(Di)への少なくとも一つの暗号演算(Oi)の適用部を備え、
前記データは、少なくとも一つの群構造を有し、且つ少なくとも一つの二項演算(+E、×E)が提供される第1の数学的構造(E)に属し、
前記保護装置は、前記データ(Di)に、前記暗号演算(Oi)を適用する(22)前に、前記二項演算(+E、×E)と両立する少なくとも一つの可逆の第1の準同型写像(Mi)を適用し、且つ前記暗号演算(Oi)を適用した後に、前記第1の準同型写像(Mi)の逆写像である少なくとも一つの第2の準同型写像(Mi -1)を適用する手段を備えることを特徴とする保護装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1059936A FR2968104B1 (fr) | 2010-11-30 | 2010-11-30 | Procede et systeme de protection d'un dispositif de cryptographie |
FR1059936 | 2010-11-30 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012129993A true JP2012129993A (ja) | 2012-07-05 |
Family
ID=45098993
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011260711A Pending JP2012129993A (ja) | 2010-11-30 | 2011-11-29 | 暗号装置の保護方法及び保護システム |
Country Status (5)
Country | Link |
---|---|
US (1) | US8595513B2 (ja) |
EP (1) | EP2458776A1 (ja) |
JP (1) | JP2012129993A (ja) |
FR (1) | FR2968104B1 (ja) |
RU (1) | RU2011148528A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018503113A (ja) * | 2014-11-27 | 2018-02-01 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 難読化された演算を実行するための電子計算装置 |
US10496372B2 (en) | 2014-09-30 | 2019-12-03 | Koninklijke Philips N.V. | Electronic calculating device for performing obfuscated arithmetic |
US10505710B2 (en) | 2014-12-22 | 2019-12-10 | Koninklijke Philips N.V. | Electronic calculating device |
US10536262B2 (en) | 2014-12-12 | 2020-01-14 | Koninklijke Philips N.V. | Electronic generation device |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012049679A (ja) * | 2010-08-25 | 2012-03-08 | Sony Corp | 端末装置、サーバ、データ処理システム、データ処理方法、及びプログラム |
US8681973B2 (en) * | 2010-09-15 | 2014-03-25 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for performing homomorphic encryption and decryption on individual operations |
US9230133B2 (en) * | 2014-01-14 | 2016-01-05 | International Business Machines Corporation | Secure access for sensitive digital information |
US9544150B2 (en) | 2014-06-04 | 2017-01-10 | International Business Machines Corporation | Using multiple digital identification documents to control information disclosure |
CN104283673A (zh) * | 2014-10-09 | 2015-01-14 | 东南大学 | 密码电路系统的随机动态电压调节抗攻击方法及电路系统 |
US10592985B2 (en) | 2015-03-02 | 2020-03-17 | Dell Products L.P. | Systems and methods for a commodity contracts market using a secure distributed transaction ledger |
US10484168B2 (en) * | 2015-03-02 | 2019-11-19 | Dell Products L.P. | Methods and systems for obfuscating data and computations defined in a secure distributed transaction ledger |
US9967333B2 (en) | 2015-03-02 | 2018-05-08 | Dell Products Lp | Deferred configuration or instruction execution using a secure distributed transaction ledger |
US9965628B2 (en) | 2015-03-02 | 2018-05-08 | Dell Products Lp | Device reporting and protection systems and methods using a secure distributed transactional ledger |
US9967334B2 (en) | 2015-03-02 | 2018-05-08 | Dell Products Lp | Computing device configuration and management using a secure decentralized transaction ledger |
US9760737B2 (en) | 2015-06-12 | 2017-09-12 | Qualcomm Incorporated | Techniques for integrated circuit data path confidentiality and extensions thereof |
US11270032B1 (en) | 2018-12-27 | 2022-03-08 | Thales E-Security, Inc. | Tamper switch assembly and installation method thereof |
US11764940B2 (en) | 2019-01-10 | 2023-09-19 | Duality Technologies, Inc. | Secure search of secret data in a semi-trusted environment using homomorphic encryption |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8619977B2 (en) * | 2008-01-15 | 2013-12-31 | Inside Secure | Representation change of a point on an elliptic curve |
-
2010
- 2010-11-30 FR FR1059936A patent/FR2968104B1/fr not_active Expired - Fee Related
-
2011
- 2011-11-28 EP EP11306571A patent/EP2458776A1/fr not_active Ceased
- 2011-11-29 US US13/306,695 patent/US8595513B2/en not_active Expired - Fee Related
- 2011-11-29 JP JP2011260711A patent/JP2012129993A/ja active Pending
- 2011-11-29 RU RU2011148528/08A patent/RU2011148528A/ru unknown
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10496372B2 (en) | 2014-09-30 | 2019-12-03 | Koninklijke Philips N.V. | Electronic calculating device for performing obfuscated arithmetic |
JP2018503113A (ja) * | 2014-11-27 | 2018-02-01 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 難読化された演算を実行するための電子計算装置 |
US10200191B2 (en) | 2014-11-27 | 2019-02-05 | Koninklijke Philips N.V. | Electronic calculating device for performing obfuscated arithmetic |
US10536262B2 (en) | 2014-12-12 | 2020-01-14 | Koninklijke Philips N.V. | Electronic generation device |
US10505710B2 (en) | 2014-12-22 | 2019-12-10 | Koninklijke Philips N.V. | Electronic calculating device |
Also Published As
Publication number | Publication date |
---|---|
FR2968104A1 (fr) | 2012-06-01 |
US8595513B2 (en) | 2013-11-26 |
US20120163584A1 (en) | 2012-06-28 |
FR2968104B1 (fr) | 2013-07-12 |
RU2011148528A (ru) | 2013-06-10 |
EP2458776A1 (fr) | 2012-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2012129993A (ja) | 暗号装置の保護方法及び保護システム | |
Prouff et al. | Masking against side-channel attacks: A formal security proof | |
CN110235409B (zh) | 使用同态加密被保护的rsa签名或解密的方法 | |
CN110363030A (zh) | 用于执行基于格的密码操作的方法和处理设备 | |
US10367637B2 (en) | Modular exponentiation with transparent side channel attack countermeasures | |
JP5599728B2 (ja) | ホワイトボックス実装 | |
Yuen et al. | Identity-based encryption with post-challenge auxiliary inputs for secure cloud applications and sensor networks | |
Benssalah et al. | An efficient image encryption scheme for TMIS based on elliptic curve integrated encryption and linear cryptography | |
CA3049531A1 (en) | Homomorphic white box system and method for using same | |
EP3596876B1 (en) | Elliptic curve point multiplication device and method for signing a message in a white-box context | |
US10826694B2 (en) | Method for leakage-resilient distributed function evaluation with CPU-enclaves | |
US10461922B2 (en) | Method and system for protecting a cryptographic operation | |
JP2011530093A (ja) | 累乗法による暗号化を保護する解決策 | |
EP3891925B1 (en) | A computation device using shared shares | |
US11418334B2 (en) | Protecting modular inversion operation from external monitoring attacks | |
Bhat et al. | Fuzzy extractor and chaos enhanced elliptic curve cryptography for image encryption and authentication | |
Saha et al. | White-box cryptography based data encryption-decryption scheme for iot environment | |
US11824986B2 (en) | Device and method for protecting execution of a cryptographic operation | |
Oliveira et al. | The computer for the 21st century: security & privacy challenges after 25 years | |
Dusart et al. | Lightweight authentication protocol for low-cost RFID tags | |
CN110401533A (zh) | 一种私钥加密方法及装置 | |
Naccache | Is theoretical cryptography any good in practice | |
Mohamed et al. | Kleptographic attacks on elliptic curve cryptosystems | |
Mohamed et al. | Kleptographic attacks on elliptic curve signatures | |
KR20090093141A (ko) | Crt-rsa 기반의 비트 연산을 이용한 디지털 서명방법, 그 장치 및 이를 기록한 기록 매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20130709 |