JP2018533312A - ターゲットブロック暗号を計算する暗号デバイス - Google Patents

ターゲットブロック暗号を計算する暗号デバイス Download PDF

Info

Publication number
JP2018533312A
JP2018533312A JP2018523414A JP2018523414A JP2018533312A JP 2018533312 A JP2018533312 A JP 2018533312A JP 2018523414 A JP2018523414 A JP 2018523414A JP 2018523414 A JP2018523414 A JP 2018523414A JP 2018533312 A JP2018533312 A JP 2018533312A
Authority
JP
Japan
Prior art keywords
value
block cipher
masking
unit
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018523414A
Other languages
English (en)
Other versions
JP6517438B2 (ja
Inventor
ロナルド リートマン
ロナルド リートマン
フーフ セバスチアーン ヤコブス アントニウス デ
フーフ セバスチアーン ヤコブス アントニウス デ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of JP2018533312A publication Critical patent/JP2018533312A/ja
Application granted granted Critical
Publication of JP6517438B2 publication Critical patent/JP6517438B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L21/00Processes or apparatus adapted for the manufacture or treatment of semiconductor or solid state devices or of parts thereof
    • H01L21/02Manufacture or treatment of semiconductor devices or of parts thereof
    • H01L21/04Manufacture or treatment of semiconductor devices or of parts thereof the devices having potential barriers, e.g. a PN junction, depletion layer or carrier concentration layer
    • H01L21/48Manufacture or treatment of parts, e.g. containers, prior to assembly of the devices, using processes not provided for in a single one of the subgroups H01L21/06 - H01L21/326
    • H01L21/4814Conductive parts
    • H01L21/4846Leads on or in insulating or insulated substrates, e.g. metallisation
    • H01L21/4857Multilayer substrates
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/48Arrangements for conducting electric current to or from the solid state body in operation, e.g. leads, terminal arrangements ; Selection of materials therefor
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/48Arrangements for conducting electric current to or from the solid state body in operation, e.g. leads, terminal arrangements ; Selection of materials therefor
    • H01L23/488Arrangements for conducting electric current to or from the solid state body in operation, e.g. leads, terminal arrangements ; Selection of materials therefor consisting of soldered or bonded constructions
    • H01L23/498Leads, i.e. metallisations or lead-frames on insulating substrates, e.g. chip carriers
    • H01L23/49838Geometry or layout
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/52Arrangements for conducting electric current within the device in operation from one component to another, i.e. interconnections, e.g. wires, lead frames
    • H01L23/538Arrangements for conducting electric current within the device in operation from one component to another, i.e. interconnections, e.g. wires, lead frames the interconnection structure between a plurality of semiconductor chips being formed on, or in, insulating substrates
    • H01L23/5383Multilayer substrates
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/52Arrangements for conducting electric current within the device in operation from one component to another, i.e. interconnections, e.g. wires, lead frames
    • H01L23/538Arrangements for conducting electric current within the device in operation from one component to another, i.e. interconnections, e.g. wires, lead frames the interconnection structure between a plurality of semiconductor chips being formed on, or in, insulating substrates
    • H01L23/5386Geometry or layout of the interconnection structure
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/58Structural electrical arrangements for semiconductor devices not otherwise provided for, e.g. in combination with batteries
    • H01L23/64Impedance arrangements
    • H01L23/66High-frequency adaptations
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L24/00Arrangements for connecting or disconnecting semiconductor or solid-state bodies; Methods or apparatus related thereto
    • H01L24/01Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
    • H01L24/10Bump connectors ; Manufacturing methods related thereto
    • H01L24/15Structure, shape, material or disposition of the bump connectors after the connecting process
    • H01L24/16Structure, shape, material or disposition of the bump connectors after the connecting process of an individual bump connector
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01PWAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
    • H01P11/00Apparatus or processes specially adapted for manufacturing waveguides or resonators, lines, or other devices of the waveguide type
    • H01P11/001Manufacturing waveguides or transmission lines of the waveguide type
    • H01P11/005Manufacturing coaxial lines
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01PWAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
    • H01P3/00Waveguides; Transmission lines of the waveguide type
    • H01P3/02Waveguides; Transmission lines of the waveguide type with two longitudinal conductors
    • H01P3/06Coaxial lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05KPRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
    • H05K1/00Printed circuits
    • H05K1/02Details
    • H05K1/0213Electrical arrangements not otherwise provided for
    • H05K1/0216Reduction of cross-talk, noise or electromagnetic interference
    • H05K1/0218Reduction of cross-talk, noise or electromagnetic interference by printed shielding conductors, ground planes or power plane
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05KPRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
    • H05K1/00Printed circuits
    • H05K1/02Details
    • H05K1/0213Electrical arrangements not otherwise provided for
    • H05K1/0216Reduction of cross-talk, noise or electromagnetic interference
    • H05K1/0218Reduction of cross-talk, noise or electromagnetic interference by printed shielding conductors, ground planes or power plane
    • H05K1/0219Printed shielding conductors for shielding around or between signal conductors, e.g. coplanar or coaxial printed shielding conductors
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2223/00Details relating to semiconductor or other solid state devices covered by the group H01L23/00
    • H01L2223/58Structural electrical arrangements for semiconductor devices not otherwise provided for
    • H01L2223/64Impedance arrangements
    • H01L2223/66High-frequency adaptations
    • H01L2223/6605High-frequency electrical connections
    • H01L2223/6616Vertical connections, e.g. vias
    • H01L2223/6622Coaxial feed-throughs in active or passive substrates
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2224/00Indexing scheme for arrangements for connecting or disconnecting semiconductor or solid-state bodies and methods related thereto as covered by H01L24/00
    • H01L2224/01Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
    • H01L2224/10Bump connectors; Manufacturing methods related thereto
    • H01L2224/15Structure, shape, material or disposition of the bump connectors after the connecting process
    • H01L2224/16Structure, shape, material or disposition of the bump connectors after the connecting process of an individual bump connector
    • H01L2224/161Disposition
    • H01L2224/16151Disposition the bump connector connecting between a semiconductor or solid-state body and an item not being a semiconductor or solid-state body, e.g. chip-to-substrate, chip-to-passive
    • H01L2224/16221Disposition the bump connector connecting between a semiconductor or solid-state body and an item not being a semiconductor or solid-state body, e.g. chip-to-substrate, chip-to-passive the body and the item being stacked
    • H01L2224/16225Disposition the bump connector connecting between a semiconductor or solid-state body and an item not being a semiconductor or solid-state body, e.g. chip-to-substrate, chip-to-passive the body and the item being stacked the item being non-metallic, e.g. insulating substrate with or without metallisation
    • H01L2224/16227Disposition the bump connector connecting between a semiconductor or solid-state body and an item not being a semiconductor or solid-state body, e.g. chip-to-substrate, chip-to-passive the body and the item being stacked the item being non-metallic, e.g. insulating substrate with or without metallisation the bump connector connecting to a bond pad of the item
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2224/00Indexing scheme for arrangements for connecting or disconnecting semiconductor or solid-state bodies and methods related thereto as covered by H01L24/00
    • H01L2224/01Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
    • H01L2224/10Bump connectors; Manufacturing methods related thereto
    • H01L2224/15Structure, shape, material or disposition of the bump connectors after the connecting process
    • H01L2224/16Structure, shape, material or disposition of the bump connectors after the connecting process of an individual bump connector
    • H01L2224/161Disposition
    • H01L2224/16151Disposition the bump connector connecting between a semiconductor or solid-state body and an item not being a semiconductor or solid-state body, e.g. chip-to-substrate, chip-to-passive
    • H01L2224/16221Disposition the bump connector connecting between a semiconductor or solid-state body and an item not being a semiconductor or solid-state body, e.g. chip-to-substrate, chip-to-passive the body and the item being stacked
    • H01L2224/16225Disposition the bump connector connecting between a semiconductor or solid-state body and an item not being a semiconductor or solid-state body, e.g. chip-to-substrate, chip-to-passive the body and the item being stacked the item being non-metallic, e.g. insulating substrate with or without metallisation
    • H01L2224/16235Disposition the bump connector connecting between a semiconductor or solid-state body and an item not being a semiconductor or solid-state body, e.g. chip-to-substrate, chip-to-passive the body and the item being stacked the item being non-metallic, e.g. insulating substrate with or without metallisation the bump connector connecting to a via metallisation of the item
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/15Details of package parts other than the semiconductor or other solid state devices to be connected
    • H01L2924/151Die mounting substrate
    • H01L2924/1517Multilayer substrate
    • H01L2924/15192Resurf arrangement of the internal vias
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/15Details of package parts other than the semiconductor or other solid state devices to be connected
    • H01L2924/151Die mounting substrate
    • H01L2924/153Connection portion
    • H01L2924/1531Connection portion the connection portion being formed only on the surface of the substrate opposite to the die mounting surface
    • H01L2924/15311Connection portion the connection portion being formed only on the surface of the substrate opposite to the die mounting surface being a ball array, e.g. BGA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05KPRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
    • H05K1/00Printed circuits
    • H05K1/02Details
    • H05K1/0213Electrical arrangements not otherwise provided for
    • H05K1/0237High frequency adaptations
    • H05K1/0243Printed circuits associated with mounted high frequency components

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Electromagnetism (AREA)
  • Manufacturing & Machinery (AREA)
  • Geometry (AREA)
  • Theoretical Computer Science (AREA)
  • Ceramic Engineering (AREA)
  • Storage Device Security (AREA)
  • Input From Keyboards Or The Like (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Communication Control (AREA)

Abstract

入力メッセージ110に対してターゲットブロック暗号Btを計算する暗号デバイス100である。デバイスは、入力メッセージに対してターゲットブロック暗号Btを計算する第1及び第2のブロック暗号ユニット121、122と、第1のブロック暗号結果及び第2のブロック暗号結果を入力として取り、ブロック暗号結果が同じである場合にのみ、第1のブロック暗号結果を生成する第1の制御ユニット130とを含む。

Description

本発明は、暗号デバイス、暗号方法、コンピュータプログラム及びコンピュータ可読媒体に関する。
S.Chow他による論文「A White-Box DES Implementation for DRM Applications」において、データ暗号規格(DES)のホワイトボックス実装が提示されている(以下「Chow」と言う)。ホワイトボックス実装は、ホワイトボックスコンテキストにおいて攻撃に耐えるようにデザインされている暗号実装である。ホワイトボックスコンテキストでは、攻撃者は、ソフトウェア実装及び実行の完全な可視性を有する。しかし、それでも、ホワイトボックス実施は、プログラムからの秘密鍵の抽出を阻止することを狙いとしている。
Chowは、テーブルルックアップ演算だけでできているDESの実装を形成する。通常の暗号が、幾つかの中間方法を介して、この形式での実装に変換され、したがって、テーブルネットワークを使用してDESを計算することができる。テーブルネットワークにおけるテーブルを符号化することによって、解析及び攻撃に対するシステムの抵抗力が増加される。
テーブルネットワークを使用したホワイトボックス実装の解析は難しいが、ブロック暗号のテーブルベースの実装は依然として一部の攻撃に弱い。発明者は、ホワイトボックス実装において、変数の観察から鍵が直接引き出されなくても、変数へのアクセスを使用して、以前は物理的な攻撃の領域からしか知られていない攻撃が実行されることを認識した。
例えばBiham他による論文「Differential Fault Analysis of Secret Key Cryptosystems」において、電源電圧を変更することによって、遷移故障がスマートカードに導入され、これにより、DES計算は不正確な結果を生成する。遷移故障によって生じるエラーを解析することによって、秘密鍵に関する情報が得られる。
発明者は、このような物理的な故障攻撃が適応されてホワイトボックス実装が攻撃される可能性があるという見識を持っていた。攻撃者は、攻撃者に可視である変数の解析から機密情報を得ることができなくても、符号化された変数を改変して、物理的な攻撃を模倣しようとすることによって、機密情報を引き出すことができる場合がある。変数の故意的改変は、遷移故障として作用する。
例えば米国特許第8,386,791B2号「Secure data processing method based particularly on a cryptographic algorithm」において、従来技術において導入されている差分故障攻撃に対する対策は、ホワイトボックスモデルでは役に立たないことが分かっている。ブロック暗号DESが入力データに2回適用される。2つの計算の結果が比較される。結果が同じでなければ、故障が検出される。
ホワイトボックスモデルにおいて、この対策は簡単に回避されてしまう。例えば第2の実行、即ち、比較が無効にされるか、又は、DESの両コピーに同じ故障が導入されることが可能である。
ホワイトボックスモデルにおいて攻撃された場合によりうまく保護可能である新しいDFA対策が必要である。
入力メッセージに対してターゲットブロック暗号を計算する暗号デバイスが提供される。デバイスは、
入力メッセージに対してターゲットブロック暗号を計算して、第1のブロック暗号結果を得る第1のブロック暗号ユニットと、
入力メッセージに対してターゲットブロック暗号を計算して、第2のブロック暗号結果を得る第2のブロック暗号ユニットと、
第1のブロック暗号結果及び第2のブロック暗号結果を入力として取る第1の制御ユニットとを含む。一般に、制御ユニットは、入力として、第1の値及び第2の値を取り、第1の値及び第2の値が同じである場合にのみ、第1の値を生成する。制御ユニットは、第1の値及び第2の値に第1の結合関数を適用することによって、第1の値及び第2の値を組み合わせて、比較値を得て、
比較値に対して補助ブロック暗号を計算して、計算された制御値を得て、
第2の結合関数を適用することによって、第1の値、計算された制御値及び記憶された制御値を組み合わせ、
上記第1の結合関数は、第1の値及び第2の値が同じである場合にのみ、所定値と同じであり、
上記第2の結合関数は、計算された制御値が記憶された制御値と同じである場合にのみ、第1の値を生成する。
この構成は、プロブラムのどこかに故障を導入した後、観察された最終出力から引き出すことができる情報を減らす。暗号デバイスでは、ブロック暗号結果における故障は、直接的には伝搬されない。したがって、攻撃者は、そこから情報を引き出すことができず、DFA攻撃を複雑にする。
一実施形態では、制御ユニットの出力は、第2の比較関数の前に、制御ユニット内の更なるブロック暗号によってマスキングされる。一実施形態では、暗号デバイスは、第2の比較関数の後に、マスキングブロック暗号の逆元を含む。マスキングブロック暗号の逆元は、第2の比較関数によって引き起こされる任意の変化を、ブロック暗号結果全体にわたって分布させる。
一実施形態では、暗号デバイスは、攻撃者にとってDFAを更に複雑にするために、ターゲットブロック暗号用の3つ以上のブロック暗号ユニットと、複数の制御ユニットとを含む。
暗号デバイスは、例えばモバイル電子デバイスである電子デバイスである。暗号デバイスは、モバイルフォン、セットトップボックス、コンピュータ等であってよい。
本明細書における暗号方法及びデバイス方法は、様々な実用的応用に適用されてよい。このような実用的応用には、バンキングアプリケーション、安全な通信、デジタル著作権管理等が含まれる。
本発明による方法は、コンピュータ実装方法としてコンピュータ上に、又は、専用ハードウェア内に、又は、これらの組み合わせで実装されてよい。本発明による方法の実行可能コードは、コンピュータプログラムプロダクトに記憶されてよい。コンピュータプログラムプロダクトの例としては、メモリデバイス、光学ストレージデバイス、集積回路、サーバ、オンラインソフトウェア等が挙げられる。好適には、コンピュータプログラムプロダクトは、コンピュータ上で実行されると本発明による方法を行うためのコンピュータ可読媒体に記憶される非一時的プログラムコードを含む。
好適な実施形態では、コンピュータプログラムは、コンピュータ上で実行されると、本発明による方法のすべてのステップを行うように適応されたコンピュータプログラムコードを含む。好適には、コンピュータプログラムは、コンピュータ可読媒体上に具現化される。
本発明の別の態様は、コンピュータプログラムをダウンロード用に利用可能にする方法を提供する。この態様は、コンピュータプログラムが、例えばアップル社のアップストア、グーグル社のプレイストア又はマイクロソフト社のウィンドウズ(登録商標)ストアにアップロードされるとき、また、コンピュータプログラムが、上記ストアからダウンロードされるように利用可能であるときに使用される。
本発明の更なる詳細、態様及び実施形態は、図面を参照して、ほんの一例として、説明される。図面における要素は、簡潔さ及び明瞭さのために示され、必ずしも縮尺通りではない。図面において、既に説明されている要素に対応する要素は同じ参照符号を有する。
図1aは、暗号デバイスの一実施形態の一例を概略的に示す。 図1bは、暗号デバイスの一実施形態の一例を概略的に示す。 図2は、暗号デバイスの一実施形態の一例を概略的に示す。 図3は、暗号デバイスの一実施形態の一例を概略的に示す。 図4aは、暗号デバイスの一実施形態の一例を概略的に示す。 図4bは、暗号デバイスの一実施形態の一例を概略的に示す。 図5aは、ラウンドのシーケンスの例を概略的に示す。 図5bは、ラウンドのシーケンスの例を概略的に示す。 図6は、暗号方法のフローチャートの例を概略的に示す。 図7aは、一実施形態によるコンピュータプログラムを含む書き込み可能部分を有するコンピュータ可読媒体を概略的に示す。 図7bは、一実施形態によるプロセッサシステムの表現を概略的に示す。
本発明は、多くの異なる形式の実施形態が可能であるが、図面には、1つ以上の具体的な実施形態が示され、また、本開示は本発明の原理を例示するものと見なされ、本発明を図示及び説明される特定の実施形態に限定することを意図していないという理解と共に、本明細書において、当該1つ以上の具体的な実施形態が詳細に説明される。
以下、理解を助けるために、実施形態の要素は動作で説明される。しかし、各要素が、当該要素によって行われるものとして説明される機能を実行するように構成されていることは明らかである。
更に、本発明は、実施形態に限定されない。また、本発明は、上記される又は相互に異なる従属請求項に記載される各新規の特徴又は特徴の組み合わせにある。
図1aは、暗号デバイス100の一実施形態の一例を概略的に示す。
暗号デバイス100は、入力メッセージ110に対してターゲットブロック暗号を計算する。ブロック暗号は、入力に連続して作用して出力を生成する複数のラウンドを有する。多くのブロック暗号は差分故障攻撃に弱い。例えばフェイステル(Feistel)型暗号において使用されるように、例えば最終ラウンドがラウンド関数に基づいているブロック暗号は、特定のタイプの差分故障攻撃に弱い。同じ入力に対して暗号を2回作用させることによって、しかし、最終ラウンドにおける値を操作して(いわゆる故障)、攻撃者は、故障ありの出力と故障なしの出力とを比較することによって、秘密暗号鍵の情報を得ることができる。従来、差分故障攻撃は、故障を物理的に生じさせるために、暗号が実行されるハードウェアを操作することによって行われていた。例えば電圧スパイクが導入されて、ハードウェアに計算の故障を導入させていた。発明者は、差分故障攻撃は、ホワイトボックス攻撃モデルにおいても実行可能であることに気が付いた。ホワイトボックス攻撃モデルでは、攻撃者は、ブロック暗号が実行されている間に、ブロック暗号の変数を操作する能力があると仮定される。多くの応用では、ホワイトボックス攻撃モデルは、コンピュータデータ及びソフトウェア保護の現実に非常によく似ている。
暗号デバイス100は、入力メッセージ110に対してターゲットブロック暗号Bを計算する。例えば暗号デバイス100は、メッセージ110を受信する受信器を含むか、又は、暗号デバイス100は、メッセージ110が記憶されているメッセージ用ストレージを含む(いずれも図1aには個別に図示しない)。暗号デバイス100は、暗号化モード又は復号化モードにおいて、ターゲットブロック暗号を計算する。
暗号デバイス100は、第1のブロック暗号ユニット121と、第2のブロック暗号ユニット122とを含む。第1及び第2のブロック暗号ユニット121、122は、それぞれ、入力メッセージ110に対してターゲットブロック暗号Bを計算し、第1及び第2のブロック暗号結果C、Cを得る。
ターゲットブロック暗号は、故障攻撃から保護されるべきブロック暗号である。例えばターゲットブロック暗号は、DES、トリプルDES、AES等である。一実施形態では、第1及び第2のブロック暗号ユニット121、122は、例えばChowに示されるように、ホワイトボックス暗号法を使用してテーブルネットワークにターゲットブロック暗号を実装する。テーブルネットワーク実装は、AES等についても知られている。
攻撃者が、例えばスマートフォン、PC等であるコンピュータデバイス上で動くソフトウェアを完全に制御することができる。ホワイトボックス暗号法は、このような攻撃者からソフトウェア実装を保護することを目標とする。
ブロック暗号は、例えばDESでは64ビットである一定数のビットの平分Pを同サイズの暗号文Cに変換する。この変換は、例えばDESでは56ビット、トリプルDESでは168ビットである鍵によって制御される。ホワイトボックス暗号法は、攻撃者が実装から鍵を取り出し難くすることを目標の1つとしている。ソフトウェア実装への多くの攻撃は、内部変数を符号化し、例えばテーブルネットワークの形のテーブルによって符号化された変数に作用することによって阻止することができる。テーブルは、変数の符号化に適応されているため、これは依然として同じ結果をもたらす。
ホワイトボックス環境における鍵への特に強力な攻撃は、差分故障解析に基づいている。攻撃者は、暗号の適当な内部変数を改変し、結果として生じる暗号文の変化を観察する。攻撃者は、暗号アルゴリズムの詳細を知っていることにより、鍵をすばやく取り出すことができてしまう。故障攻撃は、内部変数の符号化をバイパスするので、ホワイトボックス実装において特に厄介である。ホワイトボックス実装の出力に生じた故障の種類から鍵が推測される。
暗号デバイス100は更に、第1の制御ユニット130を含む。制御ユニットは、図1a及び図1bを参照して説明される第1の制御ユニット130及びマスキング制御ユニット131によって説明される。
制御ユニット130といった制御ユニットは、入力として、第1の値及び第2の値を取り、第1の値及び第2の値が同じである場合にのみ、第1の値を生成する。この場合、第1の制御ユニット130は、入力として、第1のブロック暗号結果C及び第2のブロック暗号結果Cを取る。
制御ユニットは、第1の値及び第2の値に第1の結合関数を適用することによって第1の値と第2の値とを組み合わせ、比較値が得られる。当該結合関数は、第1の値及び第2の値が同じである場合にのみ、所定値に等しい。例えば第1の比較関数は、第1の比較テーブル又はテーブルネットワークとして実装される。図1aに示されるように、第1の比較関数は、第1の比較関数ユニット140として実装される。第1の比較関数ユニット140は、入力として、第1及び第2の値を受信し、出力として、所定の比較値を生成する。
比較関数の実装には多くのやり方がある。以下において、C及びCを使用して、第1及び第2の入力値が表される。
例えば第1の比較関数140は、第1の値及び第2の値の排他的OR(XOR):
Figure 2018533312
 であってよい。
比較は、差、例えばC−Cであってよい。当該差は、例えば2の補数で表されるか、又は、モジュラスを法として計算される。例えば第1の結合関数の少なくとも一部は、第1の値の少なくとも一部と第2の値の少なくとも一部との算術差によって形成される。例えばC=(c1,1、c1,2、…、c1,n)及びC=(c2,1、c2,2、…、c2,n)とする。ここで、小文字のcは、第1の値及び第2の値の部分をそれぞれ表す。例えば一部分は、バイト、ニブル等であってよい。第1の比較関数は(c1,1−c2,1、c1,2−c2,2、…、c1,n−c2、n)、即ち、第1の値と第2との値の部分毎の差であってよい。差は、モジュラスを法としてよく、例えば2の上記部分のビットサイズのべき乗を法としてよい。差は絶対差等であってよい。
比較関数140は、関数comb(C,C)であってよい。第1の比較関数140は、複数のサブ関数fiから構成されてよい。例えば第1の比較関数は(f(c1,1,c2,1)、f(c1,2,c2,2)、…、f(c1,n,c2,n))である。複数のサブ関数は、第1の部分及び第2の部分が同じである場合にのみ、所定値に等しいという特性を有する。サブ関数は、ルックアップテーブルとして実装されてよい。
好適には、関数fは、f(x,x)が定数関数であり、f(x,y)及びf(y,x)が任意の固定y及び変数xの全単射であるという特性を有する。
最初の行及び列に与えられた2つのビット値に作用するサブ関数の一例を以下に示す。なお、サブ関数は、どの座標においても全単射である。
Figure 2018533312
このようなテーブルは、まず、主対角線を所定値で埋め、残りを乱数で埋め、全単射条件が壊れるならば、戻ることによって、簡単に作成される。
所定値はゼロ(0)であってよい。所定値は、任意の他の値、例えばδであってよい。0を所定値とする第1の比較関数を所与とすると、第1の比較関数は、任意の他の固定値、例えばf+δ又は
Figure 2018533312
 等及びこの反対について作成される。以下では、所定値は0と仮定するが、当業者は、所定値が任意の所望値であってよいことに留意されたい。
制御ユニットは更に、補助ブロック暗号142を含む。補助ブロック暗号142は、任意のブロック暗号B、例えばDES、AES等であってよい。補助ブロック暗号142が、ターゲットブロック暗号と同じ構造を有すれば好都合である。通常、同じ構造のブロック暗号は、ターゲットブロック暗号のパラメータを改変する(例えばSボックスを改変する、線形演算子又は置換等を改変する)ことによって得られる。同様の構造の補助ブロック暗号は更に、その鍵を改変することによっても得られる。例えば鍵を違う鍵で置換することによって得られる。補助ブロック暗号及びターゲットブロック暗号は同一で、同じ鍵を使用するが異なる符号化を用いてよい。例えば鍵符号化のために補助ブロック暗号において使用される符号化が異なる(例えばランダムに選択される)場合、事実上、補助ブロック暗号において使用される鍵は、ターゲットブロック暗号において使用される鍵と無関係である。
補助ブロック暗号142は、比較値に対して計算され、これにより、計算された制御値Δcompが得られる。第1又は第2のブロック暗号ユニットにおいて故障が生じていなければ、補助ブロック暗号142は、所定値(例えばB(0))に対して計算される。したがって、故障が生じていなければ、計算された制御値Δcompが分かる。故障が生じなかった場合の計算された制御値の既知値は、例えば暗号デバイスを用いて、例えばストレージ160に記憶される。記憶された制御値は符号化されてよい。
補助ブロック暗号は、ブロック暗号ユニットによって実装されてよい。
制御ユニットは、例えば第2の結合関数ユニットに実装される第2の結合関数150を含む。第2の結合関数150は、第1のブロック暗号ユニット121によって計算された第1の値と、第1の比較関数140によって計算された計算制御値Δcompと、記憶された制御値Δstoreとを組み合わせる。第2の結合関数150は、計算された制御値Δcompが記憶された制御値Δstoreと同じである場合にのみ、第1の値を生成する。
例えば第2の結合関数は、第1の比較関数から作成される。例えばgが第2の結合関数を示し、fが所定値0を有する第1の結合関数を示す場合、例えば
Figure 2018533312
 又は
Figure 2018533312
 等を取る。ここでは、xは、場合によってはマスキングされた形式にある第1の値を示す。
第1の比較関数について上記されたように、第2の比較関数の例には、次が含まれる。
例えば第2の結合関数は、第1の値又はマスキングされた第1の値、計算された制御値(Δcomp)及び記憶された制御値(Δstore)の排他的OR(XOR)である。XORの順番を変えてもよく、例えば
Figure 2018533312

Figure 2018533312
 又は
Figure 2018533312
 等に変えてもよい。
例えば第2の結合関数の少なくとも一部は、第1の値又はマスキングされた第1の値の少なくとも一部と、計算された制御値(Δcomp)の少なくとも一部との合計から、記憶された制御値(Δstore)の少なくとも一部を引いたものによって形成されてよい。
例えば第2の結合関数の少なくとも一部は、第1の値又はマスキングされた第1の値の少なくとも一部と、記憶された制御値(Δstore)の少なくとも一部との合計から、計算された制御値(Δcomp)の少なくとも一部を引いたものによって形成されてよい。
例えば第2の結合関数の少なくとも一部は、第1の値又はマスキングされた第1の値の少なくとも一部と、計算された制御値(Δcomp)の少なくとも一部と、記憶された制御値(Δstore)の少なくとも一部とにルックアップテーブルを適用することによって形成されてよい。ルックアップテーブルは、計算された制御値(Δcomp)の少なくとも一部と、記憶された制御値(Δstore)の少なくとも一部とが同じである場合に、第1の値又はマスキングされた第1の値の少なくとも一部を与える。
第2の比較関数は、制御関数の出力のDFAに対する感度を低下させる要因の1つである。DFA攻撃の影響を受け易いシステムでは、特定の故障が注入された場合に戻される故障値によって、攻撃者が、鍵に関する情報を抽出することを可能にする。これは、例えば故障結果と機密情報(例えば鍵)との間に関係があることによる。暗号デバイスでは、攻撃者は、攻撃者が受信する値が真の故障回答(faulty answer)ではないため、DFA攻撃の解析フェーズをうまく実行することができない。疑似故障出力を与えることによって、攻撃者は、鍵に関する機密情報を得ることができない。真の故障出力は、複数の関連した故障が正確に正しい場所に注入された場合にのみ、与えられる。故障をどこに注入し、故障出力を使用して鍵に関する情報が得られるように注入された故障をどのように関連付けるかを見つけ出すことは、難しい。
例えば、また、具体的には、単一の故障しか生じなかった場合、値は依然として伝搬されるが、真の故障値ではない。故障の詳細は更に、補助ブロック暗号によってマスキングされる。
範囲内のすべてのx及びyについて、最初に、g(x,y,z)=xと設定し、テーブルの残りを乱数で埋めることによって、第2の比較関数g(x,y,z)もテーブルとして作成される。一実施形態では、第2の比較関数もどの座標においても全単射である。つまり、3つのパラメータのうち2つを固定したままにすることによって、残りの変数が変化できる場合、関数g(x,y,z)は全単射である。ここでは、xは第1の値であり、yは計算された比較値であり、zは記憶された比較値である。この条件は、例えば全単射条件が満たされない場合に戻すことによって、作成されたテーブルに課される。
第2の比較関数が全単射条件を満たすことによって、攻撃者が採用しうる構造が回避される。特に、x及びzが任意であるが固定値であるならば、g(x,y,z)は全単射であるという条件は、第1の比較関数の2つの全単射条件と組み合わせて、故障回答を効果的にランダム化させる。任意のエラーが第1の比較値に反映される。当該エラーは、この結果、マスキングブロック暗号なしでも、補助ブロック暗号を介してランダム化される。ランダム化された計算制御値は、次に、第1の値をランダム化させる。例えばXOR又は差に基づく与えられた例は、この条件を満たす。
第1の制御関数130の場合、第1のブロック暗号結果Cは、故障が生じなければ生成される。ブロック暗号ユニット121又は122において故障が生じた場合、又は、両方において異なる故障が生じた場合、比較値は、所定の比較値と同じにはならない。この場合、計算された制御値は、記憶された制御値と同じにはならない。最後に、第2の結合関数は、第1のブロック暗号結果を生成しない。したがって、攻撃者は、DFA攻撃において第1のブロック暗号結果を使用することができない。
記憶制御値は、ストレージユニット160に記憶されてよい。例えばストレージユニット160は、メモリ又は他の電子ストレージである。例えばストレージユニット160は、値B(0)を記憶する。
図1bは、暗号デバイス101の一実施形態の一例を概略的に示す。暗号デバイス101は、制御ユニット130の代わりにマスキング制御ユニット131が使用される点で、暗号デバイス100とは異なる。マスキング制御ユニット131は、マスキングブロック暗号141が追加されることを除き、制御ユニット130と同じである。通常、マスキング制御ユニットは、第1の値に対してマスキングブロック暗号を計算し、したがって、マスキングされた形式の第1の値が得られる。
マスキングブロック暗号141は、第1の値に対してマスキングブロック暗号Bを計算し、したがって、マスキングされた形式の第1の値(例えばB(C))が得られる。図1bの場合、第1の値は、第1のブロック暗号結果Cである。マスキングブロック暗号141は、第1の比較関数140には何も影響を及ぼさない。第2の結合関数150は、今度は、マスキングブロック暗号141によって計算されたマスキングされた形式の第1の値(例えばB(C))と、第1の比較関数140によって計算された計算制御値Δcompと、記憶された制御値Δstoreとを組み合わせる。なお、図1bにおける記憶された制御値Δstoreは、図1aと同じである。これは、記憶された制御値Δstoreが、補助ブロック暗号に依存するが、マスキングブロック暗号には依存しないことによる。
図1bにおいて、結果として、故障が生じなければ、制御ユニット131は、マスキングされた第1のブロック暗号結果B(C)を生成する。以下に説明されるように、マスキング制御関数が様々な入力(例えばブロック暗号結果ではなく、例えば他の制御ユニットの出力)に使用されるならば、また、マスキングブロック暗号について適切な選択がなされるならば、マスキング制御ユニットは更に、マスキングを追加するのではなく、入力からマスキングを外すことができる。
マスキングブロック暗号141は更に、故障の場合、制御ユニット131の結果を効果的にランダム化させる。故障の場合、攻撃者は、マスキングされた第1のブロック暗号結果を受信しない。興味深いことに、第2の結合関数150が、マスキングされた第1のブロック暗号結果に近い、例えば数ビット以内の結果を生成する場合であっても、出力はマスキングブロック暗号によって暗号化されているので、当該出力は依然としてほとんど情報を有さない。例えば攻撃者がマスキングブロック暗号ユニット141の復号ユニットへのアクセスを有していたとしても(通常は有さないが)、同様の値の復号は、故障第1のブロック暗号結果とは完全に異なる。後者は、ブロック暗号の入力における小さいビット変更が、その出力における大きい差につながることにより起きる。
制御ユニット131の出力は、例えばメッセージを暗号化形式で格納するために、そのまま使用されてもよい。この場合、当該メッセージが復号されると、マスキングブロック暗号が最初に反転され、次に、ターゲットブロック暗号が復号される。図2、図3及び図4は、マスキング制御ユニットが使用される更なる方法を示す。例えば図2は、マスキング制御ユニット131の後に、第1のマスキング制御ユニットの結果に対して、マスキングブロック暗号の逆元
Figure 2018533312
 を計算する更なるブロック暗号ユニット135が続くことを除き、暗号デバイス101と同じである暗号デバイス102を示す。
暗号デバイス102では、マスキングなしで、例えば暗号化又は復号関数であるターゲットブロック暗号の結果が生成される。マスキングブロック暗号を用いた暗号化及び復号の演算は、第2の比較関数の効果を、ブロック暗号結果全体にわたって分布させる。
一実施形態では、マスキングブロック暗号141及び補助ブロック暗号142は同じ構造を有する。マスキングブロック暗号B及び補助ブロック暗号Bは同じブロック暗号であってもよい。
一実施形態では、マスキングブロック暗号141、補助ブロック暗号142及びターゲットブロック暗号はすべて同じ構造を有する。これは、攻撃者がターゲットブロック暗号をマスキング及び補助ブロック暗号から区別することを、特に計算が、例えばホワイトボックス実装において符号化された変数に対してテーブルネットワークによって行われたならば、非常に難しくする。
一実施形態では、ターゲットブロック暗号Bは、複数のブロック暗号ラウンドを含む。ブロック暗号ユニット121及び122におけるターゲットブロック暗号の実装は、複数のブロック暗号ラウンドにおいて、1つ以上のダミーラウンドを含む。ダミーラウンドは、計算を行うが、ブロック暗号計算の最終結果には影響を及ぼさない。ブロック暗号ラウンド及びダミーラウンド及びブロック暗号ラウンドは共に、ラウンドのシーケンスを形成する。ラウンドのシーケンスは、複数のブロック暗号ラウンドと、ブロック暗号ラウンドに散在する1つ以上のダミーラウンドとを含む。
例えばダミーラウンドは、最終結果がそれには依存しない変数を更新する。ダミーラウンドを導入するより効果的なやり方は、ダミーラウンドをダミーラウンドの逆元と一致させるやり方である。ダミーラウンドは、ブロック暗号の任意のラウンドを選択することによって作ることができる。例えば第1又は第2のブロック暗号ユニットにおけるターゲットブロック暗号(B)におけるラウンドシーケンスは、ダミーラウンドと、当該ダミーランドの逆元とを、例えば連続して含む。
一実施形態では、第1のブロック暗号ユニットのシーケンスにおける最後のブロック暗号ラウンドは、第2のブロック暗号ユニットのシーケンスにおける最後のブロック暗号ラウンドとアラインしていない。例えばラウンドシーケンスにおけるラウンドは、シーケンスにおけるその場所を示すラウンド番号又はインデックスを有する。第1のブロック暗号ユニット121及び第2のブロック暗号ユニット122におけるラウンドシーケンスにおける最後のブロック暗号ラウンドのラウンド番号は異なる。
例えばこれは、ユニット121及び122において次の2つのラウンドシーケンスを使用することによって達成される。ここでは、シーケンスは、例えばDESにあるように、16のブロック暗号ラウンドを有すると仮定される。図5の表は、ユニット121及び122の例示的なラウンドシーケンスを示す。図示される例では、暗号ラウンドは番号によって示され、文字はダミーラウンドを示し、プライム記号は逆元を示す。
なお、図5aでは、ブロック暗号の最終ラウンド、即ち、ラウンド16は、2つのシーケンスにおいてアラインしていない。ブロック暗号ユニット121では、最終ブロック暗号ラウンドは、インデックス22を有する。ブロック暗号ユニット122では、最終ブロック暗号ラウンドは、インデックス24を有する。これらの2つのインデックスは異なる。なお、最後から2番目のラウンド(ここでの場合、ラウンド15)のインデックスもアラインしておらず、インデックス21及び23をそれぞれ有する。発明者は、最後から2番目のラウンドも、特にDES及びトリプルDESの場合に、DFAに弱いことを見出した。ラウンドシーケンスは、ダミーラウンドを含む。幾つかのダミーラウンドのすぐ後にそれらの逆元が続く。例えばインデックス14を有するダミーラウンドcである。シーケンスは更に、abb’a’といったパターン、例えば第1のダミーラウンド、第2のダミーラウンド、その後に第2のダミーラウンドの逆元、第1のダミーラウンドの逆元が続くパターンを含む。
図5aの例では、第1及び第2のブロック暗号の最終結果は同じである。一実施形態では、第1及び第2のブロック暗号の最終ラウンドの結果は結合符号化され、好適には、攻撃者に対して情報を全く又はほとんど明らかにすることがないはずである。しかし、潜在的なリスクは、2つの同一値の結合符号化がシステム全体の最終アウトカムと相関する可能性がある点である。高度な攻撃では、攻撃者は、システムを何回も実行し、最終結果と相関するすべての中間データを特定する可能性がある。これは、翻って、第1及び第2のブロック暗号の最終(ダミー)ラウンドが計算されたテーブルネットワークにおける場所を明らかにする。これは、攻撃者がこの情報へのアクセスを有するという状況は、通常、望ましくない。
保護を向上させるために、図5bを参照して以下に説明される対策が使用される。実際には、幾つかの場合では、例えば競合リソース要件により、より弱い符号化の方が好まれることがある。このような場合、次の実施形態も有益である。図5bは、図5aと同様に、ダミーラウンドと共にブロック暗号ラウンドのシーケンスを示す。
図5aにあるように、図5bの実施形態でも、第1及び第2のブロック暗号の最終ラウンドは、アラインしないように配置される。第1及び第2のブロック暗号の最終ラウンドの結果をCと呼ぶ。暗号文Cは、両方のブランチ、即ち、第1及び第2のブロック暗号において計算されるが、アラインされず、同じラウンド内にない。Cが計算されると、各ブランチにおいて更なる非自明な計算が行われる。例えばランダム鍵を用いたDES又はAESの幾つかの追加ラウンドは、暗号文Gをもたらす。図5aとの相違点は、最終ラウンドの後のダミーラウンドの均衡が取れていない点である。図5bの例では、ユニット121は、4つの更なるダミーラウンドを実行し、ユニット122は、2つの追加のダミーラウンドを実行する。ダミーラウンドは、ユニット121及び122が全部で同数のラウンドを実行するように選択される。更に、ダミーラウンドは、同じ入力に対して、同じ出力を生成するように選択される。図5bの例では、ダミーラウンドは、同じユニットにおいて逆元にされている(例えばユニット121におけるダミーラウンドd及びd’)か、別のユニットにおいて複製されている(例えばダミーラウンドg)。なお、ダミーラウンドの均衡は取れていない。図5bにおけるラウンド26が、gではなくg’を使用したならば、システムの均衡が取られ、両者は、図5aにあるように、暗号文Cを生成するが、実際には、両者は異なる暗号文Gを生成する。なお、ラウンド26は、省略されても、違うダミーラウンドで置換されてもよい。より多くのダミーラウンドも可能である。異なる暗号文Gは、図5bの場合、g(g(C))として、正しい暗号文Cの暗号化されたバージョンと見なされる。
ダミーラウンドを使用して、Gの計算又はアラインされる。したがって、故障が生じなければ、両ユニットは、同じ値Gを生成する。この場合、後続する第1の制御ユニット130において、差(例えばXOR等)が2つのブランチから取られる。故障が生じなければ、図5aにあるように、差は0である。補助ブロック暗号142は、比較値に作用し、上記されたように、計算された制御値Δcompが得られる。マスキングブロック暗号141において、均衡の取れていないダミーラウンドは、新しいダミーラウンドとして、マスキングブロック暗号141の始まりにおいて逆元にされる。図5bの例では、マスキングブロック暗号141は、2つのダミーラウンドg’で開始する。マスキングブロック暗号141の始まりに挿入されるダミーラウンドは、例えばユニット121又はユニット122のどちらかにおいてCを計算した最終ブロック暗号ラウンド後に生じたダミーラウンドを逆元にすることによって、挿入されたダミーラウンドの終わりにおいて、暗号文Cが得られるように選択される。
追加のダミーラウンドは、暗号文Cが結合符号化において生じることを回避する。ユニット121及び122の終わりにおける結合符号化は、追加のダミーラウンド(例えばダミーラウンドg)によって相関している度合いはかなり少ない。暗号文Cは、例えばユニット121及び122におけるラウンド22及び24の後の計算において依然として生じるが、ここでは、暗号文Cは、それ自身と結合符号化されていないので、相関の可能性はかなり少ない。
図1a〜図1c及び図2の暗号デバイスでは、ブロック暗号ユニット121及び122において同じ故障を実行することによって、DFA対策が回避されてしまう可能性がある。アラインされていないラウンドがあることによって、故障を導入する2つの位置が同じ位置に置かれないことが確実にされる。ホワイトボックス実装において故障を導入するための適切な場所を見つけることは既に難しいが、このような場所を2つ見つけなければならない場合、作業量はかなり増加する。攻撃者は、同じ実行中に、すべての故障を正しく実行したならば、故障を正しく実行したということのみを認識することができる。
一実施形態では、暗号デバイスの変数は符号化される。具体的には、第1のブロック暗号ユニットにおけるターゲットブロック暗号Bのシーケンスにおけるラウンドの第1の変数が、第2のブロック暗号ユニットにおけるターゲットブロック暗号Bのシーケンスにおける同じラウンドにおける対応する第2の変数と結合符号化される。
例えば第1のブロック暗号ユニットにおけるターゲットブロック暗号(B)のシーケンスにおけるラウンドの第1の変数xが、第2のブロック暗号ユニットにおけるターゲットブロック暗号(B)のシーケンスにおける同じラウンドにおける対応する第2の変数xと結合符号化される。マスキングブロック暗号及び補助ブロック暗号についても同じことが行われてよい。変数は、例えばニブル又はバイト等である。
結合符号化された2つの変数は、これらの変数へのDFA攻撃実行を難しくする。一実施形態では、第1及び第2のブロック暗号ユニット又はマスキング及び補助ブロック暗号ユニットにおける複数の、又は、更には、すべての変数が結合符号化されてもよい。
例えば図5aを参照するに、ブロック暗号ユニット121のラウンド26の変数(d’)は、ブロック暗号ユニット122のラウンド26の変数(j’)と結合符号化されてよい。対応する変数が同じ相対位置に生じる。ターゲットブロック暗号ユニットの場合、対応する変数は、同じデータにも作用する。マスキング及び補助ブロック暗号の場合、対応する変数は、異なるデータに作用してもよい。
結合符号化は、変数の変化が、通常、他のブロック暗号における対応する変数の変化を誘発するという利点を有する。例えば変数は、x=Enc(x,x)と符号化される。ここでは、Encは符号化を示す。例えば符号化は、例えばコンパイル時に選択されたランダムに選択された全単射マッピングである。一実施形態では、第1及び第2のブロック暗号ユニットは、結合符号化された変数に作用する。
例えばxに作用する演算Tと、xに作用する演算Tとは、次の通りに演算Tによって一緒に行われてよい。T(x)=Enc(T(τ(x)),T(τ(x)))。後者の式において、τ及びτはxの復号を示し、したがって、x=Enc(τ(x),τ(x))。
故障がxを改変するならば、可能性は低いが、幾つかの改変されたxについて、当該故障が偶然にEnc(x’,x)に対応しない限り、x及びxの両方が影響を受ける可能性がある。
更に、第1及び第2の比較関数は、符号化されたデータに対して行われる。例えば第1の比較関数f(x,x)は、Enc(τ(x),f(τ(x),τ(x)))として、符号化された領域に引き上げられる。後者は、単一テーブルとして実装される。
xの符号化は、いわゆる状態変数も含む。状態変数は、符号化に更なる冗長データを導入する。例えばx=Enc(x,x,s)において、sが状態変数である。具体的には、変数x、xは、複数のシェア(share)
Figure 2018533312
 及び
Figure 2018533312
 にわたって分布し、したがって、
Figure 2018533312
 である。和は、XOR演算又は算術的合計等であってよい。変数x、xは、今度は、複数の符号化されたシェア(x)として符号化される。符号化されたシェアは、符号化
Figure 2018533312
 である。
例えば暗号デバイスは、符号化された形式の複数の変数を記憶するデータストアを含む。暗号デバイスは、当該変数に作用して、少なくともターゲットブロック暗号を計算する。暗号デバイスは更に、複数のルックアップテーブルを記憶するテーブルストアを含む。ルックアップテーブルは、1つ以上の変数の1つ以上の符号化されたシェアを入力として取り、複数のルックアップテーブルは共に、少なくともターゲットブロック暗号を実装するテーブルネットワークを形成する。一実施形態では、マスキングブロック暗号の変数は、補助ブロック暗号の変数と結合符号化される。複数のルックアップテーブルは更に、暗号デバイスの残り、例えばマスキング及び補助ブロック暗号並びに第1及び第2の制御関数を実装する。
データストア及びテーブルストアは、ストレージユニット160と組み合わされてよい。データストアは、揮発性メモリであり、テーブルストア及びストレージユニットは、揮発性又は不揮発性メモリであってよい。
ターゲットブロック暗号が同じ構造を有するならば、結合符号化はより簡単であり、マスキング及び補助ブロック暗号も同様である。例えば第1のブロック暗号における各変数が第2のブロック暗号における対応する変数を有する場合である。
ターゲットブロック暗号、補助ブロック暗号及びマスキングブロック暗号は、例えば部分評価によって暗号に埋め込まれた固定鍵を有してよい。これらの暗号は更に、例えばメモリであるストレージから読み出される又は受信される非固定鍵を使用してもよい。鍵は、変数と同様に、符号化されてよい。
テーブルネットワークは、ホワイトボックス暗号法自体から知られている。例えばChowによる上記論文又はこれもChow他による「White-box cryptography and an AES implementation」(参照することにより本明細書に組み込まれる)を参照されたい。テーブルネットワークは、1つ以上の入力を受信し、1つ以上の出力を生成する。1つのテーブルネットワークにおいて、例えばテーブルストレージに記憶されている複数のルックアップテーブルが使用される。テーブルは、他のテーブルの入力及び/又は出力から直接入力を取る。テーブルは、1つの入力、2つの入力又は3つ以上の入力を取ってよい。
未符号化変数wの計算を、複数のシェア(これらもテーブルネットワークとして実装されてよい)として符号化された変数wの計算に変換する好都合なやり方は、Carlet他による「Higher-Order Masking Schemes for S-boxes」(参照することにより本明細書に組み込まれる)に記載されている。
一実施形態において、暗号デバイスは、
−それぞれ、入力メッセージに対してターゲットブロック暗号(B)を計算し、ブロック暗号結果(C)が得られる複数のブロック暗号ユニットと、
−複数のブロック暗号ユニットのブロック暗号結果(C)の2つのブロック暗号結果を入力として取る1つ以上の第1の制御ユニットと、
−第1の制御ユニットの結果を組み合わせて最終ブロック暗号結果を生成する1つ以上の第2の制御ユニットと、
を含み、最終ブロック暗号結果は、複数のブロック暗号ユニットのすべてのブロック暗号結果(C)が同じである場合にのみ、複数のブロック暗号ユニットの第1のブロック暗号ユニットのブロック暗号結果と同じである。一実施形態では、第1の制御ユニットの数は3以上である。図3、図4a及び図4bに、このタイプの実施形態が示されている。
図3は、暗号デバイス200の一実施形態の一例を概略的に示す。
暗号デバイス200は、図1bに示されるように、第1のブロック暗号ユニット121と、第2のブロック暗号ユニット122と、制御ユニット131とを含む。暗号デバイス200は更に、
−入力メッセージに対してターゲットブロック暗号Bを計算し、第3の値Cを得る第3のブロック暗号ユニット123と、
−入力メッセージに対してターゲットブロック暗号Bを計算し、第4の値Cを得る第4のブロック暗号ユニット124とを含む。
故障が生じなければ、複数のブロック暗号ユニットのそれぞれは、同じブロック暗号結果を生成する。なお、ブロック暗号ユニットのそれぞれは、異なる符号化を使用してよい。したがって、これらの値が同じであることは、暗号デバイスによって使用される符号化へのアクセスを有する場合にのみ確認することができる。通常、攻撃者には、暗号デバイス200を作成(例えばコンパイル)するために使用された符号化へのアクセスは提供されない。
暗号デバイス200は、第3のブロック暗号結果Cと第4のブロック暗号結果Cとを入力として取る第2のマスキング制御ユニット230を含む。
マスキング制御ユニット230は、第2の結合関数240と、マスキングブロック暗号ユニット241と、補助ブロック暗号ユニット242と、第2の結合関数250とを含む。第2の制御ユニット230の制御部は、マスキング制御ユニット131のそれとは異なってよい。例えば異なる補助ブロック暗号ユニット242並びに異なる第1及び/又は第2の結合関数が使用されてよい。しかし、マスキングブロック暗号241は、マスキングブロック暗号141と同じに選択され、したがって、故障が生じなければ、両方のマスキング制御関数131及び230は同じ値(例えばマスキングされた形式の第1のブロック暗号結果(B(C))を生成する。ここでも、マスキング制御ユニット131及び230において使用される異なる符号化によって、これは、攻撃者には直接的には可視ではない。
マスキング制御ユニット230が、マスキング制御ユニット131と同じ第1の結合関数、補助ブロック暗号と、符号化とを使用するならば、記憶された制御値(Δstore)は、マスキング制御ユニット131及び230間で共有される。
暗号デバイス200は更に、第1のマスキング制御ユニットの結果と、第2のマスキング制御ユニットの結果とを入力として取る第3のマスキング制御ユニット330を含み、第3のマスキングユニットは、第1及び第2のマスキング制御ユニットのマスキングブロック暗号の逆元を使用する。なお、暗号デバイス200及び暗号デバイス102の両方において、制御ユニット131の後に、マスキングブロック暗号の逆元が続く。
マスキング制御ユニット330は、第2の結合関数340と、マスキングブロック暗号ユニット341と、補助ブロック暗号ユニット342と、第2の結合関数350とを含む。マスキングブロック暗号ユニット341は、マスキング制御ユニット131及び230のマスキングブロック暗号141及び241の逆元を使用する。
どのブロック暗号ユニット121〜124においても故障が生じなければ、制御ユニット131及び230は共に、マスキングされた形式の同じブロック暗号結果を生成する。この場合、マスキング制御ユニット330は、マスキングブロック暗号結果の逆元を通じてマスキングを外し、ブロック暗号結果を生成する。
ブロック暗号ユニット121〜124の何れか1つが、故障によって間違ったブロック暗号結果を生成するならば、対応する制御ユニット131又は230は、間違ったマスキングされたブロック暗号結果を生成する。間違ったマスキングされたブロック暗号結果は、次に、マスキング制御ユニット330に間違った結果を生成させる。
マスキング制御ユニット230及び330は、マスキング制御ユニット131について上記されたように実装される。例えば第1及び第2の結合関数は、xorであり、変数は結合符号化され、ラウンドはアラインされる必要はない。
攻撃者は、ブロック暗号ユニット121〜124のうちの1つにおけるターゲットブロック暗号の最後のラウンド入力の変数(例えばニブル)を改変することを望んでいるとする。攻撃者は、マスキング制御ユニット330の出力部において受信された暗号文出力において観察された変化に基づき、鍵に関して結論を引き出すことを望む。例えばこの時点において、出力は、例えばターゲットブロック暗号が例えばレンダリングを意図したコンテンツの復号である場合、符号化されていない。攻撃者によってなされた変更が意味を持つには、攻撃者は、4つのブロック暗号ユニット121〜124のすべてが同じC’となるように、4つのブロック暗号ユニット121〜124のすべてを同じように「ヒット」しなければならない。攻撃者はこれができなければ、例えばマスキングブロック暗号によって、出力は攻撃者にとって意味がない。
2つのブロック暗号ユニット121及び122における変数が結合符号化され、ブロック暗号ラウンドが、例えば図5aにあるように、アラインされていないとする。次の推論は、任意のラウンドにDFAを使用する任意の攻撃者に当てはまるが、提示のために、ターゲットブロック暗号のラウンド16の始まりに故障を注入することを選択する攻撃者を検討する。図5aには、26のラウンドがあり、ターゲットブロック暗号の各々の16番目のラウンドの始まりにおいて両方のターゲットブロック暗号をヒットするには、攻撃者は、ラウンド22及び24の始まりにおいて故障を注入しなければならない。ラウンド24において注入された故障は、より低いブランチのみをヒットし、より高いブランチはミスしなければならず、ラウンド22において注入された故障は、より高いブランチのみをヒットし、より低いブランチはミスしなければならない。したがって、故障が符号化されたニブルの対に対して注入されるならば、2552通りの可能性があるうち15通りの可能性しか同じC’を与えない。
ブロック暗号ユニット123及び124にも同様の推論が当てはまり、攻撃者は、ここでも、ユニット121及び122におけるのと正確に同じやり方で、ニブルをヒットする変化を2つのラウンドに適用しなければならない。2552通りの可能性のうちこれを行うのは1通りの可能性しかない。したがって、すべての意味のある変化を見つけるのに必要な作業量は、2554である。ここでは、攻撃者は、どのラウンドにおいてどの符号化されたニブルを変更しなければならないかを既に知っていると仮定する。これを見つけることは、多くの作業ではあるが、これは1回だけ行えばよい。
上記作業負荷推定では、差分故障解析の作業負荷のみを考慮した。攻撃者が、(C,C)又は(C,0)対のニブル毎のすべての有効な代表(representative)を見つけることによってシステムを攻撃することを試みることが考えられる。この情報を利用して、DFA攻撃の作業負荷は、255から15に減少する。しかし、結合符号化が複数のシェア(例えば16のシェア)を使用して値を符号化するならば、有効な代表の完全集合を見つけることは実行不可能となる。
図4aは、暗号デバイス400の一実施形態の一例を概略的に示す。
暗号デバイス400は、ブロック暗号ユニット121〜128を含み、その出力は、第1の制御ユニット431〜434によって対となるように結合られる。第1の制御ユニット431〜434の結果は更に、1つの結果しか残らなくなるまで、第2の制御ユニット435〜437によって組み合わされる。
例えば制御ユニット435及び436は、マスキングブロック暗号を使用しなくてよい。マスキング制御ユニット437は、ユニット431〜434のマスキングブロック暗号の逆元を使用してよい。或いは、制御ユニット435及び436は、更なるマスキングブロック暗号を使用してよい。マスキング制御ユニット437は、更なるマスキングブロック暗号の逆元を使用してよく、その後に、マスキング制御ユニット431〜434のマスキングブロック暗号の逆元が続く。
ブロック暗号ユニット及び制御ユニットの数が増えるにつれて、攻撃者の作業負荷が急速に増える。
図4bは、ブロック暗号ユニットの数が、2のべき乗ではなく、より具体的には、奇数である暗号デバイス400の一実施形態の一例を概略的に示す。
ブロック暗号ユニット121〜123は、制御ユニット431及び432によって組み合わされる。ブロック暗号結果の1つが、2つの異なる制御ユニットへの入力として使用される。一実施形態では、暗号デバイスは、同じブロック暗号ユニットからの2つの入力のうちの1つを受信する2つの異なる制御ユニットを含む。図4bの制御ユニットは、例えば図3にあるように構成されてよい。
通常、本明細書に示される暗号デバイスは、それぞれ、デバイスに記憶された適切なソフトウェアを実行するマイクロプロセッサ(個別に図示しない)を含む。例えば当該ソフトウェアは、対応するメモリ(例えばRAMといった揮発性メモリ又はフラッシュといった不揮発性メモリ)(個別に図示しない)にダウンロードされたか及び/又は記憶されている。或いは、デバイスは、全体的又は部分的に、例えばフィールドプログラマブルゲートアレイ(FPGA)としてプログラマブル論理回路に実装されてよい。デバイスは、全体的又は部分的に、いわゆる特定用途向け集積回路(ASIC)、即ち、特定の使用にカスタマイズされた集積回路(IC)として実装されてよい。例えば回路は、例えばVerilog、VHDL等といったハードウェア記述言語を使用して、CMOSに実装されてもよい。
一実施形態では、暗号デバイスは、第1のブロック暗号回路と、第2のブロック暗号回路と、第1の制御回路とを含む。デバイスは、例えば第1及び/又は第2の比較回路、補助ブロック暗号回路、マスキングブロック暗号回路である追加の回路を含んでもよい。これらの回路は、第1の制御回路に含まれていてもよい。デバイスは、更なるブロック暗号回路等を含んでもよい。回路は、本明細書において説明される対応するユニットを実現する。回路は、プロセッサ回路及びストレージ回路であってよい。プロセッサ回路は、ストレージ回路内に電子的に表現される命令を実行する。回路は、FPGA、ASIC等であってもよい。
図6は、入力メッセージ110に対してターゲットブロック暗号Bを計算する暗号方法600を説明する概略的なフローチャートを示す。方法600は、
−入力メッセージに対してターゲットブロック暗号Bを計算して、第1のブロック暗号結果Cを得るステップ610と、
−入力メッセージに対してターゲットブロック暗号Bを計算して、第2のブロック暗号結果Cを得るステップ620と、
−第1のブロック暗号結果及び第2のブロック暗号結果を、第1の制御動作における入力として使用するステップ630とを含む。
制御動作は、フローチャート601によって説明される。制御動作は、入力として、第1の値及び第2の値を取り、第1の値及び第2の値が同じである場合にのみ、第1の値を生成する。制御動作601は、
−第1の値及び第2の値に第1の結合関数140(当該結合関数は、第1の値及び第2の値が同じである場合にのみ、所定値(例えば0又はδ)と同じである)を適用することによって、第1の値及び第2の値を組み合わせて、比較値を得るステップ631と、
−比較値に対して補助ブロック暗号142 Bを計算し、計算された制御値Δcompを得るステップ632と、
−第2の結合関数(第2の結合関数は、計算された制御値Δcompが記憶された制御値Δstoreと同じである場合にのみ、第1の値を生成する)を適用することによって、第1の値、計算された制御値Δcomp及び記憶された制御値Δstoreを組み合わせるステップ633とを含む。
当業者には明らかであるように、上記方法を実行する多くの様々な方法が可能である。例えばステップの順番が変更されても、幾つかのステップが並列で実行されてもよい。更に、ステップ間に、他の方法ステップが挿入されてもよい。挿入されたステップは、本明細書において説明されたような方法の微調整を表すか、上記方法と無関係であってもよい。例えばステップ610及び620は、少なくとも部分的に並列で実行されてもよい。更に、所与のステップが、次のステップが開始するまでに完全に終了していなくてもよい。
本発明による方法は、方法600をプロセッサシステムに行わせる命令を含むソフトウェアを使用して実行されてよい。ソフトウェアは、システムの特定のサブエンティティによって取られるステップのみを含んでもよい。ソフトウェアは、ハードディスク、フロッピー(登録商標)、メモリ、光学ディスク等といった適切な記憶媒体に記憶されてよい。ソフトウェアは、信号として、電線に沿って、ワイヤレスに、又は、例えばインターネットであるデータネットワークを使用して送信されてよい。ソフトウェアは、ダウンロード及び/又はサーバ上での遠隔使用のために利用可能にされてよい。本発明による方法は、当該方法を行うように、例えばフィールドプログラマブルゲートアレイ(FPGA)であるプログラマブル論理回路を設定するビットストリームを使用して実行されてもよい。
当然ながら、本発明は更に、本発明を実現するように適応されたコンピュータプログラム、特に担体上又は内のコンピュータプログラムにまで及ぶ。プログラムは、ソースコード、オブジェクトコード、コード中間ソース及び部分的にコンパイルされた形式のオブジェクトコードのフォーマット、又は、本発明による方法の実装における使用に適した任意の他のフォーマットであってよい。コンピュータプログラムプロダクトに関する一実施形態は、上記方法のうちの少なくとも1つの方法の処理ステップのそれぞれに対応する実行可能な命令を含む。これらの命令は、サブルーチンに分割されるか、及び/又は、静的若しくは動的にリンクされた1つ以上のファイルに記憶されてよい。コンピュータプログラムプロダクトに関する別の実施形態は、上記システム及び/又はプロダクトのうちの少なくとも1つの手段のそれぞれに対応する実行可能な命令を含む。
図7aは、コンピュータプログラム1020を含む書き込み可能部1010を有するコンピュータ可読媒体1000を示す。コンピュータプログラム1020は、一実施形態による暗号方法をプロセッサシステムに行わせる命令を含む。コンピュータプログラム1020は、コンピュータ可読媒体1000上に物理的なマークとして、又は、コンピュータ可読媒体1000の磁気化によって具現化される。しかし、任意の他の適切な実施形態も想到可能である。更に、当然ながら、コンピュータ可読媒体1000は、ここでは光学ディスクとして示されているが、コンピュータ可読媒体1000は、ハードディスク、固体メモリ、フラッシュメモリ等といった任意の適切なコンピュータ可読媒体であってよく、また、記録不可であっても記録可能であってもよい。コンピュータプログラム1020は、上記暗号方法をプロセッサシステムに行わせる命令を含む。
図7bは、一実施形態によるプロセッサシステム1140の概略図を示す。プロセッサシステムは、1つ以上の集積回路1110を含む。図7bに、1つ以上の集積回路1110のアーキテクチャが概略的に示される。回路1110は、一実施形態による方法を実行する及び/又はそのモジュール若しくはユニットを実装するためにコンピュータプログラムコンポーネントを実行する処理ユニット1120(例えばCPU)を含む。回路1110は、プログラミングコード、データ等を記憶するメモリ1121を含む。メモリ1121の一部は、読取専用であってよい。回路1110は、例えばアンテナ、コネクタ又は両方等である通信要素1150を含んでよい。回路1110は、上記方法において規定される処理の一部又は全部を行う専用集積回路1122を含んでよい。プロセッサ1120、メモリ1121、専用IC1122及び通信要素1150は、例えばバスである相互接続部1130を介して互いに接続される。プロセッサシステム1110は、アンテナ及び/又はコネクタをそれぞれ使用して接触及び/又は非接触通信向けに構成されてもよい。
なお、上記実施形態は、発明を例示するものであって限定するものではなく、当業者であれば、多くの代替実施形態をデザインすることができるであろう。
請求項において、括弧内の任意の参照符号は、請求項を限定するものと解釈されるべきではない。動詞「含む」及びその活用形の使用は、請求項に記載される要素又はステップ以外の要素又はステップの存在を排除しない。要素に先行する「a」又は「an」との冠詞は、当該要素の複数の存在を排除しない。本発明は、幾つかの異なる要素を含むハードウェアによって、また、適切にプログラミングされたコンピュータによって実装される。幾つかの手段を列挙するデバイスの請求項において、これらの手段のうちの幾つかは、同一のハードウェアによって具体化されてもよい。特定の手段が相互に異なる従属請求項に記載されているというだけで、これらの手段の組み合わせを有利に使用することができないということを示すものではない。
請求項において、括弧内の参照は、実施形態の図面又は実施形態の式における参照符号を指している。これにより、請求項の理解度が増加されるが、これらの参照は、請求項を限定するものとして解釈されるべきではない。
100、101、102 暗号デバイス
110 入力メッセージ
121〜128 ブロック暗号ユニット
121 第1のブロック暗号ユニット
122 第2のブロック暗号ユニット
123 第3のブロック暗号ユニット
124 第4のブロック暗号ユニット
130 第1の制御ユニット
131 第1のマスキング制御ユニット
135 更なるブロック暗号ユニット
140、240、340 第1の結合関数
141、241、341 マスキングブロック暗号
142、242、342 補助ブロック暗号
150、250、350 第2の結合関数
160 ストレージユニット
200 暗号デバイス
230 第2のマスキング制御ユニット
330 第3の制御ユニット
330 第3のマスキング制御ユニット
400 暗号デバイス
431〜434 第1の制御ユニット
435〜437 第2の制御ユニット
ブロック暗号結果
Δstore 記憶制御値
Δcomp 計算制御値
ターゲットブロック暗号
マスキングブロック暗号
補助ブロック暗号

Claims (16)

  1. 入力メッセージに対してターゲットブロック暗号を計算する暗号デバイスであって、
    前記入力メッセージに対して前記ターゲットブロック暗号を計算して、第1のブロック暗号結果を得る第1のブロック暗号ユニットと、
    前記入力メッセージに対して前記ターゲットブロック暗号を計算して、第2のブロック暗号結果を得る第2のブロック暗号ユニットと、
    前記第1のブロック暗号結果及び前記第2のブロック暗号結果を入力として取る第1の制御ユニットと、
    を含み、
    前記第1の制御ユニットは、入力として、第1の値及び第2の値を取り、前記第1の値及び前記第2の値が同じである場合にのみ、前記第1の値を生成し、
    前記第1の制御ユニットは、前記第1の値及び前記第2の値に第1の結合関数を適用することによって、前記第1の値及び前記第2の値を組み合わせて、比較値を得て、
    前記比較値に対して補助ブロック暗号を計算して、計算された制御値を得て、
    第2の結合関数を適用することによって、前記第1の値、前記計算された制御値及び記憶された制御値を組み合わせ、
    前記第1の結合関数は、前記第1の値及び前記第2の値が同じである場合にのみ、所定値と同じであり、
    前記第2の結合関数は、前記計算された制御値が前記記憶された制御値と同じである場合にのみ、前記第1の値を生成する、暗号デバイス。
  2. 前記第1の制御ユニットは、マスキング制御ユニットであり、マスキング制御ユニットは、前記第1の値に対してマスキングブロック暗号を計算し、したがって、マスキングされた形式の前記第1の値が得られ、前記第2の結合関数は、マスキングされた形式の前記第1の値に適用され、前記マスキング制御ユニットは、前記第1の値及び前記第2の値が同じである場合にのみ、マスキングされた形式の前記第1の値を生成する、請求項1に記載の暗号デバイス。
  3. 前記第1の制御ユニットの前記結果に対して前記マスキングブロック暗号の逆元を計算する更なるブロック暗号ユニットを含む、請求項2に記載の暗号デバイス。
  4. 前記入力メッセージに対して前記ターゲットブロック暗号を計算して、第3の値を得る第3のブロック暗号ユニットと、
    前記入力メッセージに対して前記ターゲットブロック暗号を計算して、第4の値を得る第4のブロック暗号ユニットと、
    前記第3のブロック暗号結果及び前記第4のブロック暗号結果を入力として取る第2のマスキング制御ユニットと、
    前記第1のマスキング制御ユニットの前記結果及び前記第2のマスキング制御ユニットの前記結果を入力として取る第3のマスキング制御ユニットと、
    を含み、
    前記第2のマスキング制御ユニットは、前記第1のマスキング制御ユニットと同じマスキングブロック暗号を使用し、
    前記第3のマスキング制御ユニットは、前記第1のマスキング制御ユニット及び前記第2のマスキング制御ユニットの前記マスキングブロック暗号の逆元を使用する、請求項2に記載の暗号デバイス。
  5. 前記マスキングブロック暗号は、前記補助ブロック暗号と同じブロック暗号である、請求項1乃至4の何れか一項に記載の暗号デバイス。
  6. 前記第1のブロック暗号ユニット及び前記第2のブロック暗号ユニットにおける前記ターゲットブロック暗号は、それぞれ、複数のブロック暗号ラウンドと前記複数のブロック暗号ラウンドに散在する1つ以上のダミーラウンドとからなるシーケンスを含み、前記第1のブロック暗号ユニットの前記シーケンスにおける最後のブロック暗号ラウンドは、前記第2のブロック暗号ユニットの前記シーケンスにおける最後のブロック暗号ラウンドとはアラインされていない、請求項1乃至5の何れか一項に記載の暗号デバイス。
  7. 前記第1のブロック暗号ユニット又は前記第2のブロック暗号ユニットにおける前記ターゲットブロック暗号におけるラウンドの前記シーケンスは、ダミーラウンドと、前記ダミーラウンドの逆元とを含む、請求項6に記載の暗号デバイス。
  8. 前記第1のブロック暗号ユニットにおける前記ターゲットブロック暗号の前記シーケンスにおけるラウンドの第1の変数は、前記第2のブロック暗号ユニットにおける前記ターゲットブロック暗号の前記シーケンスにおける同じラウンドにおける対応する第2の変数と結合符号化される、請求項6又は7に記載の暗号デバイス。
  9. 前記第1の変数及び前記第2の変数の前記結合符号化は、複数のシェアにわたって分布する、請求項8に記載の暗号デバイス。
  10. それぞれ、前記入力メッセージに対して前記ターゲットブロック暗号を計算して、ブロック暗号結果を得る複数のブロック暗号ユニットと、
    前記複数のブロック暗号ユニットの前記ブロック暗号結果のうちの2つのブロック暗号結果を入力として取る複数の第1の制御ユニットと、
    最終ブロック暗号結果を生成するように、前記複数の第1の制御ユニットの前記結果を組み合わせる1つ以上の第2の制御ユニットと、
    を含み、
    前記最終ブロック暗号結果は、前記複数のブロック暗号ユニットのすべてのブロック暗号結果が同じである場合にのみ、前記複数のブロック暗号ユニットの第1のブロック暗号ユニットの前記ブロック暗号結果と同じである、請求項1乃至9の何れか一項に記載の暗号デバイス。
  11. 前記第1の結合関数は、前記第1の値及び前記第2の値の排他的ORであるか、又は、
    前記第1の結合関数の少なくとも一部は、前記第1の値の少なくとも一部と前記第2の値の少なくとも一部との算術差によって形成されるか、又は、
    前記第1の結合関数の少なくとも一部は、前記第1の値の少なくとも一部及び前記第2の値の少なくとも一部にルックアップテーブルを適用することによって形成され、前記ルックアップテーブルは、前記第1の値の前記少なくとも一部及び前記第2の値の前記少なくとも一部が同じである場合に、前記所定値を与える、請求項1乃至10の何れか一項に記載の暗号デバイス。
  12. 前記第2の結合関数は、前記第1の値又はマスキングされた第1の値、前記計算された制御値及び記憶された制御値の排他的ORであり、
    前記第2の結合関数の少なくとも一部は、前記第1の値又は前記マスキングされた第1の値の少なくとも一部、前記計算された制御値の少なくとも一部の合計から、前記記憶された制御値の少なくとも一部を引いたものによって形成され、
    前記第2の結合関数の少なくとも一部は、前記第1の値又は前記マスキングされた第1の値の少なくとも一部、前記記憶された制御値の少なくとも一部の合計から、前記計算された制御値の少なくとも一部を引いたものによって形成され、
    前記第2の結合関数の少なくとも一部は、前記第1の値又は前記マスキングされた第1の値の少なくとも一部、前記計算された制御値の少なくとも一部及び前記記憶された制御値の少なくとも一部にルックアップテーブルを適用することによって形成され、前記ルックアップテーブルは、前記計算された制御値の前記少なくとも一部及び前記記憶された制御値の前記少なくとも一部が同じである場合に、前記第1の値又は前記マスキングされた第1の値の前記少なくとも一部を与える、請求項1乃至11の何れか一項に記載の暗号デバイス。
  13. 前記第1のブロック暗号ユニット、前記第2のブロック暗号ユニット及び前記第1の制御ユニットは、1つ以上のテーブルネットワークとして実装される、請求項1乃至12の何れか一項に記載の暗号デバイス。
  14. 入力メッセージに対してターゲットブロック暗号を計算する暗号方法であって、
    前記入力メッセージに対して前記ターゲットブロック暗号を計算して、第1のブロック暗号結果を得るステップと、
    前記入力メッセージに対して前記ターゲットブロック暗号を計算して、第2のブロック暗号結果を得るステップと、
    前記第1のブロック暗号結果及び前記第2のブロック暗号結果を、第1の制御動作における入力として使用するステップと、
    を含み、
    前記第1の制御動作は、入力として、第1の値及び第2の値を取り、前記第1の値及び前記第2の値が同じである場合にのみ、前記第1の値を生成し、
    前記第1の制御動作は、前記第1の値及び前記第2の値に第1の結合関数を適用することによって、前記第1の値及び前記第2の値を組み合わせて、比較値を得て、
    前記比較値に対して補助ブロック暗号を計算して、計算された制御値を得て、
    第2の結合関数を適用することによって、前記第1の値、前記計算された制御値及び記憶された制御値を組み合わせるステップを含み、
    前記第1の結合関数は、前記第1の値及び前記第2の値が同じである場合にのみ、所定値と同じであり、
    前記第2の結合関数は、前記計算された制御値が前記記憶された制御値と同じである場合にのみ、前記第1の値を生成する、方法。
  15. コンピュータ上で実行される場合に、請求項14に記載の方法を行うコンピュータプログラム命令を含む、コンピュータプログラム。
  16. 請求項15に記載のコンピュータプログラムを含む、コンピュータ可読媒体。
JP2018523414A 2015-11-09 2016-10-20 ターゲットブロック暗号を計算する暗号デバイス Active JP6517438B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
NL2015745A NL2015745B1 (en) 2015-11-09 2015-11-09 A cryptographic device arranged to compute a target block cipher.
NL2015745 2015-11-09
PCT/EP2016/075145 WO2017080769A1 (en) 2015-11-09 2016-10-20 A cryptographic device arranged to compute a target block cipher

Publications (2)

Publication Number Publication Date
JP2018533312A true JP2018533312A (ja) 2018-11-08
JP6517438B2 JP6517438B2 (ja) 2019-05-22

Family

ID=55697422

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018523414A Active JP6517438B2 (ja) 2015-11-09 2016-10-20 ターゲットブロック暗号を計算する暗号デバイス

Country Status (9)

Country Link
US (2) US10841077B2 (ja)
EP (1) EP3375128B1 (ja)
JP (1) JP6517438B2 (ja)
CN (1) CN108352981B (ja)
BR (1) BR112018009241A8 (ja)
NL (1) NL2015745B1 (ja)
RU (1) RU2711193C2 (ja)
TR (1) TR201910624T4 (ja)
WO (1) WO2017080769A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3407528A1 (en) 2017-05-24 2018-11-28 Koninklijke Philips N.V. Cryptographic device and method
EP3413500A1 (en) * 2017-06-09 2018-12-12 Koninklijke Philips N.V. Device and method to compute a block cipher
EP3419005A1 (en) * 2017-06-22 2018-12-26 Gemalto Sa Computing device processing expanded data
EP3675089B1 (en) * 2017-08-22 2023-05-03 Nippon Telegraph And Telephone Corporation Secure computation device, secure computation method, program, and recording medium
FR3074323B1 (fr) 2017-11-30 2019-12-06 Idemia France Procede et dispositif de traitement cryptographique de donnees
CN108574566A (zh) * 2018-02-13 2018-09-25 北京梆梆安全科技有限公司 一种白盒加解密方法、装置及存储介质
FR3078463A1 (fr) * 2018-02-26 2019-08-30 Stmicroelectronics (Rousset) Sas Procede et dispositif de realisation d'operations en table de substitution
US11218291B2 (en) * 2018-02-26 2022-01-04 Stmicroelectronics (Rousset) Sas Method and circuit for performing a substitution operation
FR3078464A1 (fr) * 2018-02-26 2019-08-30 Stmicroelectronics (Rousset) Sas Procede et circuit de mise en oeuvre d'une table de substitution
CN109088721B (zh) * 2018-10-02 2022-01-28 复旦大学 一种可委托揭序加密方法
EP3664359A1 (en) * 2018-12-07 2020-06-10 Koninklijke Philips N.V. A computation device using shared shares
EP3672139A1 (en) 2018-12-19 2020-06-24 Koninklijke Philips N.V. A circuit compiling device and circuit evaluation device
US12034831B2 (en) * 2022-06-21 2024-07-09 Silicon Laboratories Inc. Hardware countermeasures against DFA attacks on AES operations
TWI840062B (zh) * 2022-12-30 2024-04-21 新唐科技股份有限公司 故障攻擊分析裝置和方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10154976A (ja) * 1996-11-22 1998-06-09 Toshiba Corp タンパーフリー装置
JP2005532728A (ja) * 2002-07-09 2005-10-27 アクサルト・エス・アー 誤りに基づく攻撃から電子回路を保護する方法
JP2010068135A (ja) * 2008-09-09 2010-03-25 Fujitsu Ltd 不正操作検知回路、不正操作検知回路を備えた装置、及び不正操作検知方法
WO2014096117A1 (en) * 2012-12-21 2014-06-26 Koninklijke Philips N.V. Computing device configured with a table network

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2333095C (en) * 1998-06-03 2005-05-10 Cryptography Research, Inc. Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems
CA2327911A1 (en) 2000-12-08 2002-06-08 Cloakware Corporation Obscuring functions in computer software
FR2829331B1 (fr) 2001-09-04 2004-09-10 St Microelectronics Sa Procede de securisation d'une quantite secrete
FR2867635B1 (fr) 2004-03-11 2006-09-22 Oberthur Card Syst Sa Procede de traitement de donnees securise, base notamment sur un algorithme cryptographique
FR2871969B1 (fr) * 2004-06-18 2006-12-01 Sagem Procede et dispositif d'execution d'un calcul cryptographique
US8296577B2 (en) * 2004-06-08 2012-10-23 Hrl Laboratories, Llc Cryptographic bus architecture for the prevention of differential power analysis
JP5249053B2 (ja) * 2006-03-10 2013-07-31 イルデト・コーポレート・ビー・ヴイ データ処理システムの完全性
US8971526B2 (en) * 2011-07-26 2015-03-03 Crocus-Technology Sa Method of counter-measuring against side-channel attacks
US9525435B2 (en) * 2012-11-07 2016-12-20 Koninklijke Philips N.V. Computing device storing look-up tables for computation of a function
US10142099B2 (en) * 2013-01-11 2018-11-27 Qualcomm Incorporated Method and apparatus for a computable, large, variable and secure substitution box
EP2957062B1 (en) * 2013-03-27 2021-07-21 Irdeto B.V. Tamper resistant cryptographic algorithm implementation
CN104657244A (zh) * 2015-02-10 2015-05-27 上海创景计算机系统有限公司 嵌入式设备cpu总线故障注入测试系统及测试方法
US9473941B1 (en) * 2015-06-16 2016-10-18 Nokia Technologies Oy Method, apparatus, and computer program product for creating an authenticated relationship between wireless devices
EP3220305B1 (en) * 2016-02-22 2018-10-31 Eshard Method of testing the resistance of a circuit to a side channel analysis of second order or more
EP3300291A1 (en) * 2016-09-27 2018-03-28 Gemalto SA Method to counter dca attacks of order 2 and higher
US10673616B2 (en) * 2017-01-11 2020-06-02 Qualcomm Incorporated Lightweight mitigation against first-order probing side-channel attacks on block ciphers
EP3413500A1 (en) * 2017-06-09 2018-12-12 Koninklijke Philips N.V. Device and method to compute a block cipher
EP3584991A1 (en) * 2018-06-18 2019-12-25 Koninklijke Philips N.V. Device for data encryption and integrity

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10154976A (ja) * 1996-11-22 1998-06-09 Toshiba Corp タンパーフリー装置
JP2005532728A (ja) * 2002-07-09 2005-10-27 アクサルト・エス・アー 誤りに基づく攻撃から電子回路を保護する方法
JP2010068135A (ja) * 2008-09-09 2010-03-25 Fujitsu Ltd 不正操作検知回路、不正操作検知回路を備えた装置、及び不正操作検知方法
WO2014096117A1 (en) * 2012-12-21 2014-06-26 Koninklijke Philips N.V. Computing device configured with a table network

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
BRECHT WYSEUR, ET AL.: "Cryptanalysis of White-Box DES Implementations with Arbitrary External Encodings", CRYPTOLOGY EPRINT ARCHIVE: REPORT 2007/104, vol. Version: 20070914:164548, JPN6018042429, 14 September 2007 (2007-09-14), ISSN: 0003994957 *
MATTHIAS JACOB, ET AL.: "Attacking an obfuscated cipher by injecting faults", 2002 ACM WORKSHOP ON DIGITAL RIGHTS MANAGEMENT, vol. Session 1, JPN6018042427, December 2002 (2002-12-01), pages 1 - 15, ISSN: 0003994955 *
S. CHOW, ET AL.: "A White-Box DES Implementation for DRM Applications", 2002 ACM WORKSHOP ON DIGITAL RIGHTS MANAGEMENT, vol. Session 1, JPN6018042428, 18 November 2002 (2002-11-18), ISSN: 0003994956 *

Also Published As

Publication number Publication date
RU2711193C2 (ru) 2020-01-15
WO2017080769A1 (en) 2017-05-18
TR201910624T4 (tr) 2019-08-21
RU2018121280A (ru) 2019-12-12
RU2018121280A3 (ja) 2019-12-12
CN108352981B (zh) 2021-06-29
EP3375128A1 (en) 2018-09-19
BR112018009241A2 (pt) 2018-11-06
BR112018009241A8 (pt) 2019-02-26
US20180331820A1 (en) 2018-11-15
US11362802B2 (en) 2022-06-14
NL2015745B1 (en) 2017-05-26
EP3375128B1 (en) 2019-05-15
CN108352981A (zh) 2018-07-31
US10841077B2 (en) 2020-11-17
US20210050313A1 (en) 2021-02-18
JP6517438B2 (ja) 2019-05-22

Similar Documents

Publication Publication Date Title
JP6517438B2 (ja) ターゲットブロック暗号を計算する暗号デバイス
US10790962B2 (en) Device and method to compute a block cipher
JP7065888B6 (ja) 暗号装置及び方法
RU2692419C1 (ru) Криптографическое устройство и кодирующее устройство
EP2957062A1 (en) Tamper resistant cryptographic algorithm implementation
EP3477889A1 (en) Using white-box in a leakage-resilient primitive
CN107534550B (zh) 密码设备、密码方法、计算设备和计算机可读存储介质
JP6890589B2 (ja) 計算デバイス及び方法
KR20240125250A (ko) 경량 블록 암호 PIPO에 대한 Domain-Oriented Masking 적용 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180508

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20180508

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20181011

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190417

R150 Certificate of patent or registration of utility model

Ref document number: 6517438

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250