JPH11296075A - メッセ―ジ符号化方法及び暗号解析装置 - Google Patents
メッセ―ジ符号化方法及び暗号解析装置Info
- Publication number
- JPH11296075A JPH11296075A JP11064158A JP6415899A JPH11296075A JP H11296075 A JPH11296075 A JP H11296075A JP 11064158 A JP11064158 A JP 11064158A JP 6415899 A JP6415899 A JP 6415899A JP H11296075 A JPH11296075 A JP H11296075A
- Authority
- JP
- Japan
- Prior art keywords
- message
- partial key
- key
- bit pattern
- encoding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/723—Modular exponentiation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7223—Randomisation as countermeasure against side channel attacks
- G06F2207/7233—Masking, e.g. (A**e)+r mod n
- G06F2207/7242—Exponent masking, i.e. key masking, e.g. A**(e+r) mod n; (k+r).P
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mathematical Analysis (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Computational Mathematics (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 暗号解析行為による秘密鍵の決定をより一層
複雑にする方法及び装置を提供する。 【解決手段】 暗号解析装置は、メッセージ又はデータ
を権限のある人にのみアクセスしうるようにするために
用いられている。本発明では、秘密鍵及び公開鍵を用い
る方法を採用する。使用する鍵は常に同じビットパター
ンを有するため、権限のない人がこの装置の等価な構造
や適当な回数の時間測定を用いることにより、鍵をビッ
ト毎に解析しうる。この種類の解析を根本的に防止する
ために、本発明方法では、指数を形成する鍵をビットパ
ターンと結合させる。従って、メッセージを符号化する
ビットパターンは計算毎に変化し、暗号解析装置の構成
配置を模倣することができない。これにより、暗号解析
的な探索での秘密鍵の解読を一層困難にする。
複雑にする方法及び装置を提供する。 【解決手段】 暗号解析装置は、メッセージ又はデータ
を権限のある人にのみアクセスしうるようにするために
用いられている。本発明では、秘密鍵及び公開鍵を用い
る方法を採用する。使用する鍵は常に同じビットパター
ンを有するため、権限のない人がこの装置の等価な構造
や適当な回数の時間測定を用いることにより、鍵をビッ
ト毎に解析しうる。この種類の解析を根本的に防止する
ために、本発明方法では、指数を形成する鍵をビットパ
ターンと結合させる。従って、メッセージを符号化する
ビットパターンは計算毎に変化し、暗号解析装置の構成
配置を模倣することができない。これにより、暗号解析
的な探索での秘密鍵の解読を一層困難にする。
Description
【0001】
【発明の属する技術分野】本発明は、暗号解析的な符号
解読行為を防止する方法及び装置に関するものである。
解読行為を防止する方法及び装置に関するものである。
【0002】
【従来の技術】符号化された情報が蓄積されたデータ記
録媒体は種々の日常生活の分野で広く受け入れられてい
る。情報は、権限のない人によるアクセスに対しできる
だけ有効に保護する必要がある。このデータ記録媒体の
一例は、例えば有料テレビジョンに対するアクセス符号
を入れることのできるスマートカードである。
録媒体は種々の日常生活の分野で広く受け入れられてい
る。情報は、権限のない人によるアクセスに対しできる
だけ有効に保護する必要がある。このデータ記録媒体の
一例は、例えば有料テレビジョンに対するアクセス符号
を入れることのできるスマートカードである。
【0003】メッセージが権限のある人だけによりアク
セスされうるようにする、頻繁に使用されている、一般
に既知の方法は、例えばRSA(リヴェスト‐シャミア
‐エイドルマン)又はディフィ‐ヘルマン法のような標
準公開鍵法である。このRSA法では、公開鍵と秘密鍵
とが用いられている。符号化すべきメッセージは以下の
式により形成される。 C=MemodN ここに、Mは符号化すべきメッセージであり、e及びN
は公開鍵である。
セスされうるようにする、頻繁に使用されている、一般
に既知の方法は、例えばRSA(リヴェスト‐シャミア
‐エイドルマン)又はディフィ‐ヘルマン法のような標
準公開鍵法である。このRSA法では、公開鍵と秘密鍵
とが用いられている。符号化すべきメッセージは以下の
式により形成される。 C=MemodN ここに、Mは符号化すべきメッセージであり、e及びN
は公開鍵である。
【0004】符号化されたメッセージは、以下の式に応
じて公開鍵と秘密鍵とによって復号化しうる。 M=CdmodN ここに、dは秘密鍵である。
じて公開鍵と秘密鍵とによって復号化しうる。 M=CdmodN ここに、dは秘密鍵である。
【0005】上記メッセージのべき指数は通常、二乗及
び乗算アルゴリズムを用いてモジュラ乗算の列に分割さ
れる。この実行方法は、特にいわゆるタイミング攻撃に
より暗号解析的に解読でき、このことは安全でないとい
うことを意味する。秘密鍵は変化しない為、暗号解析装
置の構成配置や形成された試験ベクトルの模倣により秘
密鍵を解析することができる。この目的のために、秘密
鍵のビットパターンが時間測定に基づいてビット毎に決
定される。この場合、異なるオペランドに対するモジュ
ラ乗算が異なる実行時間を有しうるという事実が用いら
れる。この方法やその対策は、ポールコッヒヤー(Paul
Kocher)氏により、論文“Cryptanalysis of Diffie‐
Hellmann, RSA, DSS and Other Systems Using Timing
Attacks"(1995年12月)に開示されており、要約
はhttp://www.cryptography.comで見ることができる。
び乗算アルゴリズムを用いてモジュラ乗算の列に分割さ
れる。この実行方法は、特にいわゆるタイミング攻撃に
より暗号解析的に解読でき、このことは安全でないとい
うことを意味する。秘密鍵は変化しない為、暗号解析装
置の構成配置や形成された試験ベクトルの模倣により秘
密鍵を解析することができる。この目的のために、秘密
鍵のビットパターンが時間測定に基づいてビット毎に決
定される。この場合、異なるオペランドに対するモジュ
ラ乗算が異なる実行時間を有しうるという事実が用いら
れる。この方法やその対策は、ポールコッヒヤー(Paul
Kocher)氏により、論文“Cryptanalysis of Diffie‐
Hellmann, RSA, DSS and Other Systems Using Timing
Attacks"(1995年12月)に開示されており、要約
はhttp://www.cryptography.comで見ることができる。
【0006】秘密鍵を解析する他の可能な方法は、ある
種のエラー帰納法より成る。この場合、外的手段により
暗号解析装置の構成配置に影響を及ぼすことが企てられ
る。この際、指数、この場合秘密鍵を復号中に生じるエ
ラーに基づいて解析しうる。
種のエラー帰納法より成る。この場合、外的手段により
暗号解析装置の構成配置に影響を及ぼすことが企てられ
る。この際、指数、この場合秘密鍵を復号中に生じるエ
ラーに基づいて解析しうる。
【0007】
【発明が解決しようとする課題】本発明の目的は、暗号
解析行為による秘密鍵の決定をより一層複雑にする方法
及び装置を提供せんとするにある。
解析行為による秘密鍵の決定をより一層複雑にする方法
及び装置を提供せんとするにある。
【0008】
【課題を解決するための手段】本発明方法は、メモリ中
に記憶された第2部分鍵Nを法とした、同じくメモリに
記憶された第1部分鍵eによる、符号化すべきメッセー
ジのべき乗を用いた公開鍵法に基づいた暗号解析装置に
おいてメッセージを符号化するに当り、乱数発生器によ
り発生させたビットパターンrを第1部分鍵eに加え、
このビットパターンと、第2部分鍵Nに適用したオイラ
ーのファイ関数とを、べき乗の最終結果に影響を与えな
いように結合することを特徴とする。
に記憶された第2部分鍵Nを法とした、同じくメモリに
記憶された第1部分鍵eによる、符号化すべきメッセー
ジのべき乗を用いた公開鍵法に基づいた暗号解析装置に
おいてメッセージを符号化するに当り、乱数発生器によ
り発生させたビットパターンrを第1部分鍵eに加え、
このビットパターンと、第2部分鍵Nに適用したオイラ
ーのファイ関数とを、べき乗の最終結果に影響を与えな
いように結合することを特徴とする。
【0009】乱数ビットパターンrをべき指数に加える
ことにより、復号化の各実行当り異なる指数が用いら
れ、この指数を前述した暗号解析的な探索方法により解
析できないようにしうる。
ことにより、復号化の各実行当り異なる指数が用いら
れ、この指数を前述した暗号解析的な探索方法により解
析できないようにしうる。
【0010】公開鍵法は前述した式に基づいている。公
開鍵に乱数成分を加え、最終結果を何も変えずにビット
パターンを変えると、暗号解析的な探索行為において1
つの同一のハードウェアで数回の同一な再現可能な処理
を実行するのが困難となる。
開鍵に乱数成分を加え、最終結果を何も変えずにビット
パターンを変えると、暗号解析的な探索行為において1
つの同一のハードウェアで数回の同一な再現可能な処理
を実行するのが困難となる。
【0011】乱数成分は、モジュラべき乗の結果を変え
ることなく指数に加える。しかし、指数のビットパター
ンは計算毎に変えて、モジュラ乗算における数列を異な
らせる。乱数は暗号解析装置の外部では分らない為、計
算を再現できない。
ることなく指数に加える。しかし、指数のビットパター
ンは計算毎に変えて、モジュラ乗算における数列を異な
らせる。乱数は暗号解析装置の外部では分らない為、計
算を再現できない。
【0012】オイラーの式 Xφ(N)modN=1 に基づけば、暗号解析装置に関する公開鍵アルゴリズム
を計算するためのモジュラべき乗を、 に置換えることができる。ここに、rは乱数である。
を計算するためのモジュラべき乗を、 に置換えることができる。ここに、rは乱数である。
【0013】
【発明の実施の形態】本発明の一実施例を以下に図面に
つき説明する。図1は、暗号解析装置1の構成を示す。
この装置は、本質的にプロセッサ10と、メモリ20
と、乱数発生器30と、入出力装置40とを有する。こ
れらのユニットは、データ交換の目的で接続手段50に
より相互接続されている。メモリ20は定数メモリ又は
揮発性メモリとして構成しうる。第1部分鍵eと第2部
分鍵Nとがこのメモリに記憶されている。これらの鍵は
装置の初期化時に外部から入出力装置を介して供給する
ことができ、或いはこれらの鍵をアプリケーションに応
じて例えばEEPROMに一旦全て記憶させておくこと
ができる。これらの鍵は接続手段50を介してプロセッ
サ10に供給される。乱数発生器30はアプリケーショ
ンに応じて異なる長さのビットパターンを発生し、この
ビットパターンを接続手段50を介してプロセッサ10
に供給する。プロセッサ10は外部から入出力装置40
及び接続手段50を介して供給される符号化されていな
いメッセージMを受ける。符号化されたメッセージがこ
の入出力装置40を介して出力される。
つき説明する。図1は、暗号解析装置1の構成を示す。
この装置は、本質的にプロセッサ10と、メモリ20
と、乱数発生器30と、入出力装置40とを有する。こ
れらのユニットは、データ交換の目的で接続手段50に
より相互接続されている。メモリ20は定数メモリ又は
揮発性メモリとして構成しうる。第1部分鍵eと第2部
分鍵Nとがこのメモリに記憶されている。これらの鍵は
装置の初期化時に外部から入出力装置を介して供給する
ことができ、或いはこれらの鍵をアプリケーションに応
じて例えばEEPROMに一旦全て記憶させておくこと
ができる。これらの鍵は接続手段50を介してプロセッ
サ10に供給される。乱数発生器30はアプリケーショ
ンに応じて異なる長さのビットパターンを発生し、この
ビットパターンを接続手段50を介してプロセッサ10
に供給する。プロセッサ10は外部から入出力装置40
及び接続手段50を介して供給される符号化されていな
いメッセージMを受ける。符号化されたメッセージがこ
の入出力装置40を介して出力される。
【0014】図2はプロセッサ10の機能的な構成を示
す。第1部分鍵eと、第2部分鍵Nと、乱数発生器によ
り発生され、各計算に対し異なるビットパターンrとが
第1ユニット60に供給される。オイラーのファイ関数
値は追加の計算ユニット(図示せず)により計算でき、
或いはこの値を第2部分鍵Nにより表から見いだすこと
ができる。この場合、式 C=Me+r・φ(N)modN に対するべき指数65がこれらの成分から成る。符号化
されていないメッセージMと第1ユニット60内で形成
されたべき指数65とから、第2ユニット70内で上記
の式に応じて符号化メッセージCが形成される。
す。第1部分鍵eと、第2部分鍵Nと、乱数発生器によ
り発生され、各計算に対し異なるビットパターンrとが
第1ユニット60に供給される。オイラーのファイ関数
値は追加の計算ユニット(図示せず)により計算でき、
或いはこの値を第2部分鍵Nにより表から見いだすこと
ができる。この場合、式 C=Me+r・φ(N)modN に対するべき指数65がこれらの成分から成る。符号化
されていないメッセージMと第1ユニット60内で形成
されたべき指数65とから、第2ユニット70内で上記
の式に応じて符号化メッセージCが形成される。
【図1】 本発明による暗号解析装置の原理を示すブロ
ック線図である。
ック線図である。
【図2】 プロセッサの機能ユニットを示すブロック線
図である。
図である。
1 暗号解析装置 10 プロセッサ 20 メモリ 30 乱数発生器 40 入出力装置 50 接続手段 60 第1ユニット 65 べき指数 70 第2ユニット
───────────────────────────────────────────────────── フロントページの続き (71)出願人 590000248 Groenewoudseweg 1, 5621 BA Eindhoven, Th e Netherlands (72)発明者 フランク ベー ドイツ連邦共和国 22303 ハンブルク フォルスマン シュトラーセ 18
Claims (5)
- 【請求項1】 メモリ中に記憶された第2部分鍵Nを法
とした、同じくメモリに記憶された第1部分鍵eによ
る、符号化すべきメッセージのべき乗を用いた公開鍵法
に基づいた暗号解析装置においてメッセージを符号化す
るに当り、 乱数発生器により発生させたビットパターンrを第1部
分鍵eに加え、このビットパターンと、第2部分鍵Nに
適用したオイラーのファイ関数とを、べき乗の最終結果
に影響を与えないように結合することを特徴とするメッ
セージ符号化方法。 - 【請求項2】 請求項1に記載のメッセージ符号化方法
において、Cが符号化されたメッセージを表し、Mが符
号化されていないメッセージを表すものとした場合に、
プロセッサで行う符号化を式 C=Me+r・φ(N)modN に応じて行うことを特徴とするメッセージ符号化方法。 - 【請求項3】 請求項1又は2に記載の方法によりメッ
セージを符号化する暗号解析装置であって、符号化を計
算するプロセッサと、鍵を記憶するメモリと、乱数発生
器と、入出力装置とを具える当該暗号解析装置におい
て、 前記プロセッサは、このプロセッサに供給された第1部
分鍵、ビットパターンr及び第2部分鍵Nのオイラーの
ファイ関数を用いて、符号化されていないメッセージの
べき乗を実行し、符号化されたメッセージを入出力装置
を介して生ぜしめ、乱数発生器で発生させたビットパタ
ーンr及び第2部分鍵Nと、プロセッサで発生させた第
1部分鍵eとの結合によりべき指数を形成するように構
成されていることを特徴とする暗号解析装置。 - 【請求項4】 請求項3に記載の暗号解析装置におい
て、第2部分鍵Nのオイラーのファイ関数値がメモリに
記憶されていることを特徴とする暗号解析装置。 - 【請求項5】 請求項3又は4に記載の暗号解析装置を
有することを特徴とするデータ記録媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1998111175 DE19811175A1 (de) | 1998-03-14 | 1998-03-14 | Verfahren und Anordnung zur Abwehr kryptoanalytischer Untersuchungen |
DE19811175:4 | 1998-03-14 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH11296075A true JPH11296075A (ja) | 1999-10-29 |
Family
ID=7860944
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP11064158A Pending JPH11296075A (ja) | 1998-03-14 | 1999-03-11 | メッセ―ジ符号化方法及び暗号解析装置 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP0944202A3 (ja) |
JP (1) | JPH11296075A (ja) |
DE (1) | DE19811175A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000305453A (ja) * | 1999-04-21 | 2000-11-02 | Nec Corp | 暗号化装置,復号装置,および暗号化・復号装置 |
JP2003518872A (ja) * | 1999-12-28 | 2003-06-10 | ギーゼッケ ウント デフリエント ゲーエムベーハー | 鍵の細分化によってアクセスを防止する携帯可能なデータ記憶媒体 |
KR100805286B1 (ko) * | 2000-03-16 | 2008-02-20 | 가부시키가이샤 히타치세이사쿠쇼 | 정보처리장치 정보처리방법 및 카드부재 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2005203004B2 (en) * | 2000-03-16 | 2007-11-15 | Hitachi, Ltd. | Information processing device, information processing method and smartcard |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5504817A (en) * | 1994-05-09 | 1996-04-02 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for memory efficient variants of public key encryption and identification schemes for smart card applications |
US5991415A (en) * | 1997-05-12 | 1999-11-23 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for protecting public key schemes from timing and fault attacks |
-
1998
- 1998-03-14 DE DE1998111175 patent/DE19811175A1/de not_active Withdrawn
-
1999
- 1999-03-08 EP EP99200673A patent/EP0944202A3/de not_active Withdrawn
- 1999-03-11 JP JP11064158A patent/JPH11296075A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000305453A (ja) * | 1999-04-21 | 2000-11-02 | Nec Corp | 暗号化装置,復号装置,および暗号化・復号装置 |
JP2003518872A (ja) * | 1999-12-28 | 2003-06-10 | ギーゼッケ ウント デフリエント ゲーエムベーハー | 鍵の細分化によってアクセスを防止する携帯可能なデータ記憶媒体 |
JP4841785B2 (ja) * | 1999-12-28 | 2011-12-21 | ギーゼッケ ウント デフリエント ゲーエムベーハー | 鍵の細分化によってアクセスを防止する携帯可能なデータ記憶媒体 |
KR100805286B1 (ko) * | 2000-03-16 | 2008-02-20 | 가부시키가이샤 히타치세이사쿠쇼 | 정보처리장치 정보처리방법 및 카드부재 |
Also Published As
Publication number | Publication date |
---|---|
EP0944202A2 (de) | 1999-09-22 |
DE19811175A1 (de) | 1999-09-16 |
EP0944202A3 (de) | 2002-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100855958B1 (ko) | 해밍거리를 이용한 부가 채널 공격에 안전한 암호화시스템 및 방법 | |
JP4671571B2 (ja) | 秘密情報の処理装置および秘密情報の処理プログラムを格納するメモリ | |
Boneh et al. | On the importance of eliminating errors in cryptographic computations | |
Clavier et al. | Universal exponentiation algorithm a first step towards provable SPA-resistance | |
US10367637B2 (en) | Modular exponentiation with transparent side channel attack countermeasures | |
US7940927B2 (en) | Information security device and elliptic curve operating device | |
US5799088A (en) | Non-deterministic public key encrypton system | |
EP1308885B1 (en) | Information processing and encryption unit | |
CA2333095C (en) | Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems | |
US6298135B1 (en) | Method of preventing power analysis attacks on microelectronic assemblies | |
JP4668931B2 (ja) | 電力解析攻撃に対する耐タンパ性を持った暗号化処理装置 | |
US7853013B2 (en) | Cryptographic method and system for encrypting input data | |
US20070177721A1 (en) | Tamper-proof elliptic encryption with private key | |
US7065788B2 (en) | Encryption operating apparatus and method having side-channel attack resistance | |
US20080260143A1 (en) | Xz-elliptic curve cryptography with secret key embedding | |
JP2008252299A (ja) | 暗号処理システム及び暗号処理方法 | |
GB2399904A (en) | Side channel attack prevention in data processing by adding a random multiple of the modulus to the plaintext before encryption. | |
JP2010164904A (ja) | 楕円曲線演算処理装置、楕円曲線演算処理プログラム及び方法 | |
Borst et al. | Cryptography on smart cards | |
CN100388663C (zh) | 用于检测一个键对和用于产生rsa键的方法和装置 | |
KR100574965B1 (ko) | 유한체 곱셈기 | |
US7130422B2 (en) | Information security device, prime number generation device, and prime number generation method | |
US7512231B2 (en) | Computation method for modular exponentiation operation in decryption or signature generation | |
JPH11296075A (ja) | メッセ―ジ符号化方法及び暗号解析装置 | |
JP3878853B2 (ja) | 公開鍵暗号アルゴリズムを用いる電子構成品におけるモジュラべき乗演算アルゴリズム |