NL1011800C2 - Werkwijze en inrichting voor het cryptografisch bewerken van data. - Google Patents

Werkwijze en inrichting voor het cryptografisch bewerken van data. Download PDF

Info

Publication number
NL1011800C2
NL1011800C2 NL1011800A NL1011800A NL1011800C2 NL 1011800 C2 NL1011800 C2 NL 1011800C2 NL 1011800 A NL1011800 A NL 1011800A NL 1011800 A NL1011800 A NL 1011800A NL 1011800 C2 NL1011800 C2 NL 1011800C2
Authority
NL
Netherlands
Prior art keywords
data
key
stage
additional
auxiliary
Prior art date
Application number
NL1011800A
Other languages
English (en)
Other versions
NL1011800A1 (nl
Inventor
Frank Muller
Gerrit Roelofsen
Dirk Jan Jacobus Van Bruchem
Willem Rombout
Original Assignee
Koninkl Kpn Nv
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from NL1010921A external-priority patent/NL1010921C2/nl
Application filed by Koninkl Kpn Nv filed Critical Koninkl Kpn Nv
Publication of NL1011800A1 publication Critical patent/NL1011800A1/nl
Application granted granted Critical
Publication of NL1011800C2 publication Critical patent/NL1011800C2/nl
Priority to DE69932740T priority Critical patent/DE69932740T2/de
Priority to US09/787,648 priority patent/US7162031B1/en
Priority to EP99963594A priority patent/EP1142191B1/en
Priority to PCT/EP1999/010208 priority patent/WO2000041356A1/en
Priority to AT99963594T priority patent/ATE336122T1/de
Priority to AU19833/00A priority patent/AU1983300A/en
Priority to ES99963594T priority patent/ES2270628T3/es

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • H04L2209/046Masking or blinding of operations, operands or results of the operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

f*
Korte aanduiding: Werkwijze en inrichting voor het cryptografisch bewerken van data.
ACHTERGROND VAN DE UITVINDING
De uitvinding heeft betrekking op een werkwijze voor het cryptografisch bewerken van data, omvattende het aan een cryptogra-fisch proces toevoeren van waarden, te weten de data en een sleutel, 5 en het uitvoeren van het proces teneinde cryptografisch bewerkte data te vormen. Een dergelijke werkwijze is in de praktijk bekend.
Voor het cryptografisch bewerken van data worden in de praktijk vaak algemeen bekende processen toegepast. Voorbeelden van dergelijke cryptografische processen (algoritmen) zijn DES en RSA, die 10 bijvoorbeeld zijn beschreven in het boek "Applied Cryptography" door B. Schneier (2e uitgave), New York, 1996.
Deze processen worden gepubliceerd omdat men ervan uitging dat het, bij een voldoende grote sleutellengte, ondoenlijk zou zijn aan de hand van de bewerkte data de oorspronkelijke data en/of de sleutel te 15 achterhalen, ook al was het cryptografische proces bekend.
Recentelijk zijn echter aanvallen ontdekt die zijn gebaseerd op kennis van het cryptografische proces. Met andere woorden, doordat het gedrag van het proces bekend is wordt het, bij bepaalde aanvallen, aanzienlijk eenvoudiger om de gebruikte sleutel en/of de 20 oorspronkelijke data te herleiden. Het zal duidelijk zijn dat dit ongewenst is.
SAMENVATTING VAN DE UITVINDING
De uitvinding beoogt bovengenoemd probleem op te lossen door een 25 werkwijze en schakeling voor het uitvoeren van een cryptografisch proces aan te geven die het herleiden van de sleutel bij toepassing van een bekend (d.w.z. openbaar) cryptografisch proces aanzienlijk bemoeilijken of zelfs ondoenlijk maken. Een werkwijze van de in de aanhef genoemde soort is hiertoe overeenkomstig de uitvinding 30 gekenmerkt door het aan het proces toevoeren van hulpwaarden teneinde de in het proces gebruikte waarden te maskeren.
Door het maskeren van de data en/of sleutel(s) wordt het aanzienlijk moeilijker deze waarden aan de hand van het gedrag van het proces te herleiden. Het resultaat van het proces, dat wil zeggen de 35 verzameling bewerkte data, kan bij een geschikte keuze van de hulpwaarden onveranderd zijn, dat wil zeggen identiek zijn aan het resultaat van het proces indien daar geen hulpwaarden aan zijn »10118 0 0 2 toegevoerd. In dit verband wordt onder een "hulpwaarde" een waarde (data of sleutel) verstaan, die in aanvulling op de corresponderende data en sleutel aan het proces wordt toegevoerd.
De uitvinding is derhalve gebaseerd op het inzicht, dat het 5 herleiden van de in een cryptografisch proces gebruikte waarden aanzienlijk gecompliceerd wordt indien deze waarden door middel van hulpwaarden zijn gemaskeerd.
De uitvinding is mede gebaseerd op het verdere inzicht, dat het gebruik van hulpwaarden het resultaat van het proces niet 10 noodzakelijkerwijs beïnvloedt.
In een eerste uitvoeringsvorm van de uitvinding omvat een hulpwaarde een aanvullende sleutel die aan een aanvullend proces wordt toegevoerd teneinde de sleutel te vormen.
Door een combinatie van een bekend proces en een aanvullend 15 proces toe te passen wordt een nieuw, op zich onbekend cryptografisch proces gevormd, zelfs indien het aanvullende proces ook op zich bekend is.
Door de voor het bekende proces gebruikte sleutel (primaire sleutel) af te leiden uit een aanvullende sleutel (secundaire sleutel) 20 met behulp van een aanvullend proces wordt bereikt dat niet de (primaire) sleutel van het bekende proces maar de aanvullende (secundaire) sleutel aan de combinatie van processen wordt aangeboden. Met andere woorden, extern wordt de aanvullende (secundaire) sleutel en niet de werkelijke (primaire) sleutel van het eigenlijke proces 25 gebruikt. Het afleiden van de sleutel uit de oorspronkelijke data en de bewerkte data is daarmee ondoenlijk geworden. Tevens is het aflelden van de aanvullende sleutel ernstig bemoeilijkt, omdat de combinatie van het oorspronkelijke proces en het aanvullende proces niet bekend is.
30 Deze uitvoeringsvorm van de uitvinding is derhalve onder meer gebaseerd op het inzicht, dat het bekend zijn van een cryptografisch proces ongewenst is, dit in tegenstelling tot wat tot dusver werd aangenomen. Deze uitvoeringsvorm is tevens gebaseerd op het verdere inzicht, dat aanvallen die voortbouwen op kennis van het proces aan-35 zienlijk moeilijker worden indien het proces onbekend is.
Bij voorkeur omvat het aanvullende proces een cryptografisch proces. Dit maakt het herleiden van de aanvullende sleutel moeilijker. In principe kan echter bijvoorbeeld een eenvoudige codering als 6Ί18 0 0 3 aanvullend proces worden toegepast. Bij een cryptografisch proces wordt bij voorkeur een hulpsleutel toegepast.
Met voordeel is het aanvullende proces een inverteerbaar proces. Dit maakt het mogelijk de werkwijze volgens de uitvinding bij 5 bestaande apparatuur met minimale wijzigingen toe te passen. Indien bijvoorbeeld een eerste inrichting een (aanvullende) sleutel afgeeft die in een tweede inrichting overeenkomstig de uitvinding wordt toegepast, kan in de eerste inrichting de inverse van het aanvullende proces worden gebruikt om de aanvullende sleutel uit de 10 oorspronkelijke sleutel af te leiden. Met andere woorden, hoewel in zowel de eerste als de tweede inrichting intern de oorspronkelijke (primaire) sleutel wordt gebruikt, wordt tussen de inrichtingen de aanvullende (secundaire) sleutel uïtgewisseld. Het onderscheppen van de aanvullende sleutel leidt echter niet tot kennis van de oorspronke-15 lijke sleutel.
Het kan voordelig zijn als het uitvoeren van het aanvullende proces uitsluitend plaatsvindt indien de data vooraf bepaalde eigenschappen bezitten. Op deze wijze kan het cryptografisch bewerken alleen voor bepaalde, geselecteerde data worden uitgevoerd, terwijl 20 dit voor alle andere data is geblokkeerd. Op deze wijze wordt een aanvullende bescherming bereikt.
Een optimale beveiliging wordt geboden indien het proces en het aanvullende proces elk uit een aantal stappen zijn opgebouwd, en waarin afwisselend stappen van het proces en het aanvullende proces 25 worden uitgevoerd. Hierdoor worden de eigenschappen van het bekende proces verder versluierd, waardoor het herleiden van de sleutels verder wordt bemoeilijkt.
In een tweede uitvoeringsvorm van de uitvinding omvat het proces een aantal trappen met elk een cryptografische bewerking voor het 30 bewerken van uit de data afgeleide rechter data en een combinatiebewerking voor het met uit de data afgeleide linker data combineren van de bewerkte rechter data teneinde gemodificeerde linker data te vormen, waarin voorafgaande aan de eerste trap de rechter data met een primaire hulpwaarde en de linker data met een additionele 35 hulpwaarde worden gecombineerd. Daardoor worden de in de trappen gebruikte en tussen de trappen ovérgedragen data gemaskeerd.
Teneinde mögelijk te maken dat de primaire en additionele hulpwaarden niet in het eindresultaat van het proces doorwerken pi 0 i 18 00 4 worden, bij voorkeur onmiddellijk na de laatste trap, de rechter data met een verdere primaire hulpwaarde en de gemodificeerde linker data met een verdere additionele hulpwaarde gecombineerd.
Om het resultaat van de bewerkingen niet door de primaire 5 hulpwaarden te laten beïnvloeden wordt de werkwijze volgens de uitvinding bij voorkeur zodanig uitgevoerd, dat de rechter data, in elke trap en voorafgaand aan de bewerking, met de primaire hulpwaarde van die trap worden gecombineerd.
Een verdere bescherming wordt bereikt indien de bewerkte rechter 10 data, volgend op de bewerking, met een secundaire hulpwaarde van die trap worden gecombineerd.
Met voordeel is de secundaire hulpwaarde van een trap gevormd uit de combinatie van de primaire hulpwaarde van de voorgaande trap en 15 de primaire hulpwaarde van de volgende trap. Hierdoor wordt het mogelijk de hulpwaarde in de telkens volgende trap te compenseren, waardoor deze hulpwaarde niet in het eindresultaat van het proces zal doorwerken.
Het is mogelijk de werkwijze volgens de uitvinding zodanig uit 20 te voeren, dat alle primaire hulpwaarden gelijk zijn. Hierdoor is een zeer eenvoudige praktische realisatie mogelijk. Het gebruik van verschillende hulpwaarden, die bij voorkeur toevalsgetallen zijn en voor elke keer dat het proces wordt uitgevoerd opnieuw worden gegenereerd, biedt echter een grotere cryptografische beveiliging.
25 Een verdere vereenvoudiging van deze uitvoeringsvorm kan worden verkregen indien de primaire hulpwaarden en/of secundaire hulpwaarden telkens vooraf met de respectieve bewerking zijn gecombineerd. Dat wil zeggen, het combineren met hulpwaarden wordt in de betreffende bewerking (bijvoorbeeld een substitutie) verwerkt, zodat het resultaat 30 van de respectieve bewerking gelijk is aan dat van de oorspronkelijke bewerking plus een of twee combinatiebewerkingen met hulpwaarden. Door het vooraf in de bewerking opnemen van de combinatiebewerkingen is een eenvoudiger en snellere praktische realisatie mogelijk.
De genoemde combinatiebewerkingen worden bij voorkeur door 35 middel van een exclusief-of-bewerking uitgevoerd. Andere combinatiebewerkingen, zoals binair optellen, zijn in principe echter ook mogelijk.
De uitvinding verschaft verder een schakeling voor het uitvoeren »101.1,8 0 0 5 van een werkwijze voor het cryptografisch bewerken van data. De uitvinding verschaft bovendien een betaalkaart en een betaalterminal die van een dergelijke schakeling zijn voorzien.
De uitvinding zal in het onderstaande aan de hand van in de 5 figuren weergegeven uitvoeringsvoorbeelden nader worden toegelicht.
KORTE BESCHRIJVING VAN DE TEKENINGEN
Fig. 1 toont schematisch een cryptografisch proces volgens de stand van de techniek.
10 Fig. 2 toont schematisch een eerste cryptografisch proces volgens een eerste uitvoeringsvorm van de uitvinding.
Fig. 3 toont schematisch een tweede cryptografisch proces volgens een eerste uitvoeringsvorm van de uitvinding.
Fig. 4 toont schematisch een wijze waarop de processen van Fig. 15 1 en 2 kunnen worden uitgevoerd.
Fig. 5 toont schematisch een cryptografisch proces met meerdere trappen volgens de stand van de techniek.
Fig. 6 toont schematisch een eerste cryptografisch proces volgens een tweede uitvoeringsvorm van de uitvinding.
20 Fig. 7 toont schematisch een tweede cryptografisch proces volgens een tweede uitvoeringsvorm van de uitvinding.
Fig. 8 toont schematisch een derde cryptografisch proces volgens een tweede uitvoeringsvorm van de uitvinding.
Fig. 9 toont schematisch een schakeling waarin de uitvinding 25 wordt toegepast.
Fig. 10 toont schematisch een betaalsysteem waarin de uitvinding wordt toegepast.
VOORKEURSUITVOERINGSVORMEN
30 Een (cryptografisch) proces P volgens de stand van de techniek is in figuur 1 schematisch weergegeven. Aan het proces P worden ingangsdata X en een sleutel K toegevoerd. Aan de hand van de sleutel K zet het proces P de ingangsdata X om in (cryptografisch) bewerkte uitgangsdata Y: Y - PK(X) . Het proces P kan een bekend cryptografisch 35 proces zijn, zoals DES (Data Encryption Standard), drievoudige DES, of 'ESA (Rivest, Shamir & Adleman).
Indien de Ingangsdata X en de uitgangsdata Y bekend zijn is het in principe mogelijk de gebruikte sleutel K te herleiden. Bij een •10118 0 0 ’ } , v 6 sleutel met een voldoende grote lengte (d.w.z., een voldoend groot aantal bits) werd het tot nu toe ondoenlijk geacht deze sleutel te herleiden, zelfs indien het proces P bekend was. Ondoenlijk wil in dit geval zeggen dat het in theorie weliswaar mogelijk is, bijvoorbeeld 5 door het proberen van alle mogelijke sleutels, om de gebruikte sleutel te achterhalen, maar dat dit een onbruikbaar lange rekentijd vergt.
Een dergelijke aanval met brute kracht ("brute force attack”) is daarom nauwelijks een bedreiging voor de cryptografische beveiliging.
Recent ontdekte aanvallen maken echter gebruik van kennis van 10 het proces, waardoor het aantal mogelijke sleutels drastisch kan worden gereduceerd. Het herleiden van de gebruikte sleutel K en/of de ingangsdata X uit de uitgangsdata Y wordt daardoor binnen aanvaardbare rekentijden mogelijk.
Het principe van de uitvinding, die beoogt dergelijke aanvallen 15 aanzienlijk moeilijker en tijdrovender te maken, is in Fig. 2 schematisch weergegeven. Evenals in Fig. 1 worden aan een (bekend) proces P ingangsdata X en een (geheime) sleutel K toegevoerd om uitgangsdata Y te genereren.
In tegenstelling tot de situatie van Fig. 1 wordt in de situatie 20 van Fig. 2 de sleutel K vanuit een aanvullend proces P* aan het proces P toegevoerd. Het aanvullende proces P* heeft een aanvullende (secundaire) sleutel K* als ingangsdata om, onder invloed van een hulpsleutel K', de (primaire) sleutel K als uitgangsdata te produceren. De sleutel K wordt dus niet, zoals in de situatie van Fig. 25 1, vanuit een externe bron (bijvoorbeeld een geheugen) aan het proces P toegevoerd, maar wordt door het proces P* voortgebracht uit de aanvullende (secundaire) sleutel K*: K - P*K,(K)
Het is dus de secundaire sleutel K* in plaats van de primaire 30 sleutel K die vooraf is bepaald en die bijvoorbeeld in een sleutelgeheugen (niet getoond) wordt opgeslagen. Overeenkomstig de uitvinding is de primaire sleutel K die aan het proces P wordt toegevoerd niet vooraf bepaald.
De hulpsleutel K' kan een vast opgeslagen, vooraf bepaalde 35 sleutel zijn. Het is ook mogelijk een aanvullend proces P* toe te passen waarin geen hulpsleutel K' wordt gebruikt.
De combinatie van de processen P en P* vormt een nieuw proces, dat schematisch is aangeduid als Q. Aan het proces Q, dat vanwege het i*t0118 0 0 7 aanvullende proces P* op zich onbekend is, worden de ingangsdata X en de (secundaire) sleutel K* toegevoerd om de uitgangsdata Y te produceren. De relatie tussen de secundaire sleutel K* en de primaire sleutel K wordt door het aanvullende proces P* versluierd.
5 Het aanvullende proces P* is bij voorkeur de inverse van een ander, inverteerbaar proces R. Dat wil zeggen: P* - R'1.
Dit maakt het mogelijk de secundaire sleutel K* met behulp van R en de hulpsleutel K' voort te brengen uit de primaire sleutel K: 10 K* - RK, (K), zoals later aan de hand van figuur 5 nader zal worden toegelicht. Eventueel kan het nieuwe proces Q worden uitgebreid met het proces R, zodat de primaire sleutel K in plaats van de secundaire sleutel K* aan het proces Q wordt toegevoerd. De primaire sleutel K wordt in dat 15 geval in het proces Q afgeleid uit: K - P*K,(K*) - P*K,(RK, (K)).
Dit maakt het mogelijk dezelfde (primaire) sleutel te gebruiken als in de stand van de techniek.
Het in Fig. 3 schematisch weergegeven cryptografische proces Q 20 volgens de uitvinding omvat eveneens een proces P met een primaire sleutel K en een aanvullende proces P* met een hulpsleutel K', waarbij de primaire sleutel K door het aanvullende proces P* uit de aanvullende sleutel K* wordt afgeleid. In aanvulling op het proces van Fig. 1 worden in dit geval ook de ingangsdata X aan het aanvullende proces P* 25 toegevoerd, zodat de primaire sleutel K mede in afhankelijkheid van de ingangsdata X wordt bepaald: K - P*R,(K*,X)
Hierdoor wordt een aanvullende cryptografische bescherming gekregen. Bovendien wordt hierdoor de mogelijkheid geboden het 30 aanvullende proces P* uitsluitend uit te voeren indien bepaalde ingangsdata worden aangeboden. Dat wil zeggen, het aanvullende proces P* kan een test van de ingangsdata X omvatten en het uitvoeren van het aanvullende proces P* kan afhangen van het resultaat van die test. Zo kan het aanvullende proces P* bijvoorbeeld slechts worden uitgevoerd 35 als de laatste twee bits van de invoerdata X gelijk zijn aan nul. Het effect van een dergelijke ingangsdata-afhankelijke bewerking is, dat slechts voor bepaalde ingangsdata X de juiste primaire sleutel K zal worden geproduceerd, zodat alleen die ingangsdata de gewenste >1011800 8 uitgangsdata Y opleveren. Het zal duidelijk zijn dat de cryptografische veiligheid hierdoor verder wordt vergroot.
In Fig, 4 is schematisch de wijze weergegeven waarop deelstappen van de processen P en P* afwisselend kunnen worden uitgevoerd 5 ("interleaving") teneinde de bescherming tegen aanvallen verder te vergroten. De deelstappen kunnen zogenaamde "rondes" omvatten, zoals bijvoorbeeld bij DES het geval is. Bij voorkeur omvatten de deelstappen echter slechts een of enkele instructies van een programma, waarmee de processen worden uitgevoerd.
10 In een eerste stap 101 wordt een eerste deelstap Pj van het proces P uitgevoerd. Vervolgens wordt in een tweede stap 102 de eerste deelstap Pj* van het aanvullende proces P* uitgevoerd. Evenzo wordt in een derde stap 103 de tweede deelstap P2 van het proces P uitgevoerd enz. Dit gaat door totdat in stap 110 de laatste deelstap Pn* van het 15 aanvullende proces P* is uitgevoerd, waarbij omwille van het voorbeeld ervan is uitgegaan dat de processen P en P* evenveel deelstappen omvatten. Indien dat niet het geval is, wordt in stap 110 de laatste overeenkomstige deelstap uitgevoerd, en worden in verdere stappen de resterende deelstappen uitgevoerd.
20 Door het afwisselen van de deelstappen van het op zich bekende proces P en het (mogelijk eveneens op zich bekende) proces P* kan een reeks van deelstappen worden verkregen, die niet overeenkomt met die van een bekend proces. De aard van het proces is hierdoor moeilijker te herkennen.
25 Het in Fig. 5 schematisch en slechts bij wijze van voorbeeld weergegeven cryptografische proces P volgens de stand van de techniek omvat een aantal trappen (d.w.z. Sj, S2.......Sn) . In elke trap worden (rechter) data RDj^ toegevoerd aan een cryptograf ische bewerking Fj_. Deze cryptograf ische bewerking kan zelf een aantal deelstappen 30 omvatten, zoals een expansie, een combinatie met een sleutel, een substitutie en een permutatie, die echter omwille van de eenvoud van de tekening niet afzonderlijk zijn aangegeven. De cryptografische bewerking Fj^ levert bewerkte data FDj_: FD1 - F^RD^ .
35 In een comb inat iebewerking CC^ (CCj, CC2......de index i geeft steeds de betreffende trap S aan) worden de bewerkte data FDj^ met linker data LDj^ gecombineerd tot gemodificeerde (linker) data SD^ die evenals de oorspronkelijke rechter data RD worden doorgegeven aan de volgende ,1 »1011800 9 trap. De combinatïebewerkingen CC^ zijn bij voorkeur exclusief-of-bewerkingen (symbool: ®).
Zoals in Fig. 5 is getoond, wisselen aan het eind van elke trap St de gemodificeerde linker data en de rechter data RDt van posi-5 tie, zodat deze respectievelijk de rechter data RD1+1 en de linker data LDi+i van de volgende trap S1+1 vormen.
De linker data LDj en de rechter data RDX van de eerste trap Sj zijn in een voorafgaande bewerking afgeleid uit ingangsdata X en kunnen daarbij een voorbereidende bewerking, zoals een ingangspermutatie 10 PP, ondergaan. De uitgangsdata SDn en RDn van de laatste trap Sn vormen de bewerkte data Y van het proces P, eventueel nadat deze een eindbewerking, zoals een uitgangspermutatie PP'1, hebben ondergaan.
Het cryptografische proces van Fig. 6 komt voor een groot deel overeen met dat van Fig. 5. Overeenkomstig de uitvinding worden de in 15 en tussen de trappen aanwezige data gemaskeerd met hulpwaarden.
Hiertoe gaan in deze uitvoeringsvorm aan de eerste trap Sj (voorbereidende) combinatïebewerkingen DC en EC vooraf, die bij voorkeur eveneens exclusief-of-bewerkingen zijn. Deze combineren respectievelijk de linker data LDj en de rechter data RDj, die uit de 20 voorbereidende bewerking (PP) afkomstig zijn, met respectievelijk een nulde hulpwaarde A0 en een eerste hulpwaarde Aj. De resultaten van de combinatïebewerkingen DC en EC zijn respectievelijk linker gemaskeerde data LD'j en rechter gemaskeerde data RDj' (in het vervolg van deze tekst zullen gemaskeerde data met een accent worden aangeduid). De 25 maskeringen werken door in de volgende trappen. Aangezien de linker data van de tweede trap S2 gelijk zijn aan de gemaskeerde rechter data van de eerste trap Sj, zijn deze linker data LD'2 eveneens gemaskeerd. De rechter data RD2' van de tweede trap zijn gemaskeerd, aangezien deze gelijk zijn aan de gemaskeerde gemodificeerde data SDj'.
30 Het combineren van de data LDj^ en RDt met de hulpwaarden At heeft dus tot gevolg, dat de gemodificeerde data LD^ en RD^ gemaskeerd zijn, waardoor het aanzienlijk moeilijker is de oorspronkelijke data X of de gebruikte sleutel uit de gemaskeerde data LD^ en RD^ te herleiden.
35 Teneinde de hulpwaarden Aj^ voorafgaand aan de eindbewerking (PP* x) te^jvgrwijderen zijn afsluitende combïnatiebewerkingen FC en GC ^voorzien, die de gemodificeerde en gemaskeerde linker data SD'n van de r*Tï!· laatste trap Sn met een hulpwaarde A^j respectievelijk de gemaskeerde V» · . . · pt011 800 10 rechter data RDn' met een hulpwaarde Ajj combineren. Wegens ® A1 « 0 worden op deze wijze de maskeringen door de hulpwaarden Aj^ verwijderd. Hierdoor is het mogelijk de werkwijze zodanig uit te voeren, dat ondanks het gebruik van de hulpwaarden At de einddata Y gelijk zijn aan 5 die welke met de conventionele werkwijze volgens Fig. 5 zouden zijn verkregen.
Teneinde de invloed van de hulpwaarden AL op de resultaten FD^ van de bewerkingen Ft uit te sluiten, is bij voorkeur in elke trap een aanvullende combinatiebewerking AC^ aanwezig die de rechter data 10 RDt combineert met een (primaire) hulpwaarde A^ voordat deze data aan de cryptografische bewerking Fj^ worden toegevoerd. Het resultaat van elke aanvullende combinatiebewerking ACj^ is niet-gemaskeerde rechter data RDj^, zodat de cryptograf ische bewerking Ft op dezelfde data werkt als in het proces van Fig. 5.
15 Met voordeel kan een verdere combinatiebewerking tussen de cryptograf ische bewerking FA en de combinatiebewerking CC^ zijn ingevoegd met het doel de bewerkte (rechter) data FDj^ met een verdere (secundaire) hulpwaarde Bj^ te combineren. Hierdoor kan een maskering van de bewerkte data FDj^ en een verdere maskering van de (gemodifi-20 ceerde) linker data SD^ worden bereikt. Bij voorkeur zijn ook de com-binatiebewerkingen ACt en BC^ exclusief-of-bewerkingen.
Overeenkomstig een verder aspect van de uitvinding zijn de hulpwaarden Aj^ en Bj^ gerelateerd. De secundaire hulpwaarden Bt zijn bij voorkeur door middel van een exclusief-of-bewerking gevormd uit de 25 primaire hulpwaarde A^j van de vorige trap en de primaire hulpwaarde A1+i van de volgende trap:
Bi = Ai-1 ® Al+1·
Dit heeft tot gevolg, dat elke primaire hulpwaarde A1+1 die middels een verdere aanvullende combinatiebewerking BCL als bestanddeel van de 30 secundaire hulpwaarde Bt met de bewerkte rechter data FDi is gecombineerd telkens in de volgende trap, d.w.z. in trap Si+1, door een combinatiebewerking AC^ wordt gecompenseerd voordat de betreffende rechter data RD1+1 aan de bewerking Fj^ worden onderworpen. De (gemaskeerde) rechter data RD^ die de (gemaskeerde) linker data LDi+1' 35 van de weer volgende trap St+2 vormen worden daar met de primaire hulpwaarde Ai+1 gecombineerd en aldus gecompenseerd. De hulpwaarde A1+1 werkt door in de gemodificeerde data SDj/ , zodat deze tussen twee trappen gemaskeerd blijven.
0 11 8 0 0 11
De linker data LDj van de eerste trap Sx zijn gemaskeerd met de additionele of nulde (primaire) hulpwaarde Ag. Door het combineren met de secundaire hulpwaarde Bj — Aq ® Az wordt de aanvankelijke hulpwaarde A0 verwijderd (wegens A0 « A0 - 0) , maar blijft de hulpwaarde A2 en de 5 daarmee bereikte maskering behouden. De nulde hulpwaarde Ag wordt in deze uitvoeringsvorm bij voorkeur gelijk gekozen aan de eerste hulpwaarde Ax.
Hoewel bij voorkeur alle primaire hulpwaarden At verschillend worden gekozen, met uitzondering van Ag - Aj, is het mogelijk alle 10 primaire hulpwaarden Aj^ gelijk te kiezen. In dat geval zijn alle secundaire hulpwaarden Bj^ in de weergegeven uitvoeringsvorm gelijk aan nul, zodat de verdere combinatiebewerkingen BC^ achterwege kunnen blijven. Verder is de uitvinding ook van toepassing op processen P die slechts één trap S omvatten, of die een afwijkende structuur bezitten. 15 In het proces van Fig. 7, dat grotendeels overeenkomt met dat van Fig. 6, zijn de combinatiebewerkingen ACt en BCt en de cryp-tografische bewerking Ft in elke trap geïntegreerd tot een gecombineerde bewerking F^ . Het integreren van de combinatiebewerkingen in de bewerkingen Ft is mogelijk door 20 bijvoorbeeld een substitutietabel van de bewerking F± op geschikte wijze aan te passen. Hierdoor kunnen de aanvullende combinatiebewerkingen ACt en BC^ achterwege blijven en is het resultaat van de aangepaste bewerking F^ gelijk aan het resultaat van het totaal van de eigenlijke bewerking Fj^ en de combinatiebewerkingen: 25 FDt' - F1'(RD1') - Bt · Ft (A1 e RDi').
In principe is voor elke trap een verschillende gecombineerde bewerking Fa nodig, waarin verschillende hulpwaarden zijn geïntegreerd (zie Fig. 6). Slechts indien de hulpwaarden At gelijk worden gekozen, d.w.z. Aj-Aj- .... “Ajj, kunnen de gecombineerde bewerkingen FA in 30 deze uitvoeringsvorm gelijk zijn.
Bij voorkeur worden, elke keer dat het proces wordt uitgevoerd, de waarden Ai opnieuw gekozen. Dit betekent voor het proces van Fig. 7 dat dan ook de gecombineerde bewerkingen F1' opnieuw worden bepaald. Aangezien de bewerkingen F^ in vele implementaties het gebruik van 35 meerdere tabellen zullen omvatten, zoals substitutietabellen, zullen _____ __—— deze tabellen, elke keer dat het proces P wordt uitgevoerd, opnieuw worden bepaald. Teneinde een aanvullende bescherming tegen aanvallen te bieden worden volgens een verder aspect van uitvinding de tabellen '*1011800 12
In een willekeurige volgorde bepaald. Indien een gecombineerde bewerking bijvoorbeeld acht tabellen omvat, worden deze acht tabellen, iedere keer dat deze bewerking Fj/ opnieuw wordt uitgevoerd, in een andere volgorde bepaald. Deze volgorde kan worden bepaald aan de 5 hand van de inhoud van een volgorderegister, welke inhoud telkens door een toevalsgetal, afkomstig van een toevalsgenerator, kan worden gevormd. Op basis van de inhoud van het volgorderegister kan verder telkens opnieuw een opzoektabel worden samengesteld. Met de opzoektabel kunnen de tabellen in een geheugen worden weggeschreven en 10 later worden uitgelezen.
Volgens een verder aspect van de uitvinding kunnen in aanvulling hierop of in plaats hiervan de elementen van elke tabel in een willekeurige volgorde worden bepaald en/of opgeslagen. Ook met deze maatregel wordt bereikt dat de bescherming tegen aanvallen wordt 15 verbeterd. Ook in dit geval kan een opzoektabel worden toegepast, aan de hand waarvan de elementen later kunnen worden opgevraagd.
De hiervoor genoemde maatregelen kunnen ook worden toegepast in andere uitvoeringsvormen van de uitvinding, zoals die van Fig. 8, of in geheel andere al dan niet cryptografische processen.
20 De uitvoeringsvorm van Fig. 8 komt grotendeels overeen met die van Fig. 7. In aanvulling op Fig. 7 is in elke trap Slt met uitzondering van de laatste trap Sn, een combinatiebewerking HC^ opgenomen die de rechter data RDA met een tertiaire hulpwaarde W± combineert. Bij voorkeur is de tertiaire hulpwaarde gelijk aan de 25 exclusief-of - combinatie van de hulpwaarden Aq en Aj: W - Aq ® Aj, waarbij Aq * Aj.
Dit heeft het resultaat dat de bewerking HCj^ steeds de nulde hulpwaarde A0 toevoegt en de eerste hulpwaarde Aj compenseert. Hierdoor 30 is het mogelijk dat alle cryptografische bewerkingen Ft in wezen identiek zijn, hetgeen een veel geringere verwerkings- en/of opslagcapaciteit vereist van een processorsysteem waarmee de werkwijze wordt uitgevoerd. In de uitvoeringsvorm van Fig. 8 zijn de bewerkingen F/' zodanige aanpassingen van de oorspronkelijke bewerkingen F1( dat 35 deze gecorrigeerd zijn voor de hulpwaarde Aj en bovendien de tertiaire hulpwaarde W = Aq ® Aj met hun resultaat combineren. MetTandere "woorden, indien RDt ® Aj aan F" wordt toegevoerd, is het resultaat gelijk aan FDj/ — F1(RD1) s W.
«•1011800 * 13
Het zal deskundigen duidelijk zijn dat de combinatiebewerkingen ACj^ BCt en Η0± op andere plaatsen in het cryprografische proces P kunnen worden uitgevoerd om een vergelijkbaar of zelfs identiek effect te bereiken.
5 In Fig. 9 is schematisch een schakeling 10 voor het ten uitvoer leggen van de werkwijze volgens de uitvinding getoond. De schakeling 10 omvat een eerste geheugen 11, een tweede geheugen 12 en een processor 13, waarbij de geheugens 11 en 12 en de processor 13 door middel van een databus 14 zijn gekoppeld. Door het verschaffen van 10 twee geheugens is het mogelijk telkens een deelstap van een van de processen P en P* uit te voeren (zie Fig. 4), het resultaat van die deelstap in bijvoorbeeld het eerste geheugen 11 op te slaan, en vanuit het tweede geheugen 12 een vorig tussenresultaat van het andere proces naar de processor 13 over te brengen. Op deze wijze is het mogelijk 15 het afwisselend berekenen van deelstappen van twee verschillende processen efficiënt uit te voeren.
Het in Fig. 10 schematisch weergegeven betaalsysteem omvat een elektronisch betaalmiddel 1 en een betaalstation 2. Het elektronische betaalmiddel 1 is bijvoorbeeld een zogenaamde "smart card", d.w.z. een 20 kaart die van een geïntegreerde schakeling voor het opslaan en verwerken van betaalgegevens is voorzien. Het betaalstation 2 omvat een kaartlezer 21 en een processorschakeling 22. De pro-cessorschakeling 22 kan overeenkomen met de schakeling 10 van Fig. 9.
Aan het begin van een transactie draagt het betaalmiddel 1 een 25 identificatie (kaartidentificatie) ID over naar het betaalstation 2. Aan de hand van deze identificatie bepaalt het betaalstation 2 een sleutel die voor deze transactie zal worden gebruikt. Deze identificatie ID kan als ingangsdata X (zie de figuren 1-3) aan een cryptografisch proces worden toegevoerd dat aan de hand van een 30 meestersleutel MK een identificatie-afhankelijke transactiesleutel KID als uitgangsdata Y produceert. Overeenkomstig de uitvinding wordt hiervoor het in de figuren 2 en 3 weergegeven proces gebruikt, waarbij de meestersleutel MK vooraf met behulp van een proces R is omgezet in een aanvullende meestersleutel MK*. Deze aanvullende meestersleutel 35 MK* wordt nu, bij voorkeur samen met de identificatie ID
overeenkomstig Fig. 3, toegevoerd aan het aanvullende proces P* teneinde de oorspronkelijke meestersleutel MK te reproduceren en de transactiesleutel K1D uit de identificatie ID af te leiden.
1011800
IA
Hoewel in de figuren 2 en 3 steeds een enkel aanvullend proces P* is getoond, kunnen eventueel meerdere processen P*, P**, p***, ... in serie en/of parallel worden gebruikt om de primaire sleutel K af te leiden.
5 Het zal deskundigen duidelijk zijn dat vele wijzigingen en aanvullingen mogelijk zijn zonder buiten het kader van de uitvinding te treden.
1011800

Claims (25)

1. Werkwijze voor het cryptografisch bewerken van data, omvattende het aan een cryptografisch proces (P) toevoeren van waarden, te weten 5 de data (X) en een sleutel (K), en het uitvoeren van het proces (P) teneinde cryptografisch bewerkte data (Y) te vormen, gekenmerkt door het aan het proces (P) toevoeren van hulpwaarden (K*; A, B) teneinde de in het proces (P) gebruikte waarden (K; D) te maskeren.
2. Werkwijze volgens conclusie 1, waarin een hulpwaarde een 10 aanvullende sleutel (K*) omvat die aan een aanvullend proces (P*) wordt toegevoerd teneinde de sleutel (K) te vormen.
3. Werkwijze volgens conclusie 2, waarin het aanvullende proces (P*) een cryptografisch proces omvat waaraan een hulpsleutel (K') wordt toegevoerd.
4. Werkwijze volgens conclusie 2 of 3, waarin het aanvullende proces (P*) een inverteerbaar proces is.
5. Werkwijze volgens conclusie 2, 3 of 4, waarin de data (X) tevens aan het aanvullende proces (P*) worden toegevoerd.
6. Werkwijze volgens conclusie 5, waarbij het uitvoeren van het 20 aanvullende proces (P*) uitsluitend plaatsvindt indien de data (X) vooraf bepaalde eigenschappen bezitten.
7. Werkwijze volgens een van de conclusies 2-6, waarin het proces (P) en het aanvullende proces (P*) elk uit een aantal stappen zijn opgebouwd, en waarin afwisselend stappen van het proces (P) en het 25 aanvullende proces (P*) worden uitgevoerd.
8. Werkwijze volgens een van de voorgaande conclusies, waarin het proces (P) een aantal trappen (S^ omvat met elk een cryptografische bewerking (F1( , F1") voor het bewerken van uit de data (X) afgeleide rechter data (RD^ en een combinatiebewerking (C^ voor het 30 met eveneens uit de data (X) afgeleide linker data (LD^ combineren van de bewerkte rechter data (FD^ teneinde gemodificeerde linker data (SDj^) te vormen, en waarin voorafgaande aan de eerste trap (Sj), de rechter data (RDj) met een primaire hulpwaarde (Aj) en de linker data (LDj) met een additionele hulpwaarde (A0) worden gecombineerd.
9. Werkwijze volgens conclusie 8, waarin, onmiddellijk na de laatste trap (Sn), de rechter data (RDn) met een verdere primaire hulpwaarde (Ajj) en de gemodificeerde linker data (SDn,) met een verdere additionele hulpwaarde (An+1) worden gecombineerd. »ibii8oo
10. Werkwijze volgens conclusie 8 of 9, waarin de rechter data (RD^ , in elke trap (S^ en voorafgaand aan de bewerking (Fj/), met de primaire hulpwaarde (At) van die trap (S^ worden gecombineerd.
11. Werkwijze volgens conclusie 10, waarin de bewerkte rechter data 5 (FDj^) , volgend op de bewerking (Fj^) , met een secundaire hulpwaarde (Bj_) van die trap (S±) worden gecombineerd.
12. Werkwijze volgens conclusie 10 en 11, waarin de secundaire hulpwaarde (B±) van een trap (S^ gevormd is uit de combinatie van de primaire hulpwaarde (At_j) van de voorgaande trap en de primaire 10 hulpwaarde (A1+1) van de volgende trap.
13. Werkwijze volgens een van de conclusies 8-12, waarin alle primaire hulpwaarden (At) gelijk zijn.
14. Werkwijze volgens een van de conclusies 9-13, waarin de primaire hulpwaarden (At) en/of secundaire hulpwaarden (Bt) telkens vooraf met 15 de respectieve bewerking (F^ zijn gecombineerd.
15. Werkwijze volgens conclusie 14, waarin een gecombineerde bewerking (F^ ) meerdere tabellen bevat, en waarin de tabellen elke keer dat het proces (P) wordt uitgevoerd, in een andere volgorde worden bepaald.
16. Werkwijze volgens conclusie 14 of 15, waarin een gecombineerde bewerking (Ft') meerdere tabellen bevat, en waarin de elementen van de tabellen, elke keer dat het proces (P) wordt uitgevoerd, in een andere volgorde worden bepaald en/of opgeslagen.
17. Werkwijze volgens conclusie 16, waarin de volgorde ten behoeve 25 van het uitlezen van de elementen als opzoektabel wordt opgeslagen.
18. Werkwijze volgens een van de conclusies 8-17, waarin de rechter data (RD^, na elke trap (S^ , met een tertiaire hulpwaarde (W^) wordt gecombineerd.
19. Werkwijze volgens conclusie 18, waarin de tertiaire hulpwaarde 30 (Wt) in alle trappen behalve de laatste (Sn) gelijk is aan de combinatie van de primaire hulpwaarde (Aj) van de eerste trap (Sj) en de additionele hulpwaarde (A0), en in de laatste trap (Sn) gelijk is aan 0.
20. Werkwijze volgens een van de conclusies 8-19, waarin het 35 combineren door middel van een exclusief-of-bewerking wordt uitgevoerd.
21. Werkwijze volgens een van de voorgaande conclusies, waarin de data (X) identificatiedata van een betaalmiddel (1) omvatten en de 11011800 • W \ bewerkte data (Y) een gediversificeerde sleutel vormen.
22. Werkwijze volgens een van de voorgaande conclusies, waarin het proces (P) DES omvat, bij voorkeur drievoudige DES.
23. Schakeling (10) voor het uitvoeren van de werkwijze volgens een 5 van de voorgaande conclusies.
24. Betaalkaart (1), voorzien van een schakeling (10) volgens conclusie 23.
25. Betaalterminal (2), voorzien van een schakeling (10) volgens conclusie 23. * »*1011800
NL1011800A 1998-12-30 1999-04-15 Werkwijze en inrichting voor het cryptografisch bewerken van data. NL1011800C2 (nl)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE69932740T DE69932740T2 (de) 1998-12-30 1999-12-16 Verfahren und vorrichtung zur kryptographischen datenverarbeitung
US09/787,648 US7162031B1 (en) 1998-12-30 1999-12-16 Method and device for cryptographically processing data
EP99963594A EP1142191B1 (en) 1998-12-30 1999-12-16 Method and device for cryptographically processing data
PCT/EP1999/010208 WO2000041356A1 (en) 1998-12-30 1999-12-16 Method and device for cryptographically processing data
AT99963594T ATE336122T1 (de) 1998-12-30 1999-12-16 Verfahren und vorrichtung zur kryptographischen datenverarbeitung
AU19833/00A AU1983300A (en) 1998-12-30 1999-12-16 Method and device for cryptographically processing data
ES99963594T ES2270628T3 (es) 1998-12-30 1999-12-16 Metodo y dispositivo para procesar criptograficamente datos.

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
NL1010921A NL1010921C2 (nl) 1998-12-30 1998-12-30 Werkwijze en inrichting voor het cryptografisch bewerken van data.
NL1010921 1998-12-30
NL1011544 1999-03-12
NL1011544A NL1011544C1 (nl) 1998-12-30 1999-03-12 Werkwijze en inrichting voor het cryptografisch bewerken van data.

Publications (2)

Publication Number Publication Date
NL1011800A1 NL1011800A1 (nl) 1999-06-03
NL1011800C2 true NL1011800C2 (nl) 1999-11-24

Family

ID=26642898

Family Applications (2)

Application Number Title Priority Date Filing Date
NL1011544A NL1011544C1 (nl) 1998-12-30 1999-03-12 Werkwijze en inrichting voor het cryptografisch bewerken van data.
NL1011800A NL1011800C2 (nl) 1998-12-30 1999-04-15 Werkwijze en inrichting voor het cryptografisch bewerken van data.

Family Applications Before (1)

Application Number Title Priority Date Filing Date
NL1011544A NL1011544C1 (nl) 1998-12-30 1999-03-12 Werkwijze en inrichting voor het cryptografisch bewerken van data.

Country Status (1)

Country Link
NL (2) NL1011544C1 (nl)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1109350A1 (fr) * 1999-12-15 2001-06-20 Sagem Sa Dispositif mettant en oeuvre un algoritme de chiffrage par bloc à répétition de rondes
FR2804524A1 (fr) * 2000-01-31 2001-08-03 Oberthur Card Systems Sas Procede d'execution d'un protocole cryptographique entre deux entites electroniques
WO2001061915A2 (en) * 2000-02-18 2001-08-23 Cloakware Corporation Method and system for resistance to statistical power analysis

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5724428A (en) * 1995-11-01 1998-03-03 Rsa Data Security, Inc. Block encryption algorithm with data-dependent rotations
US5745577A (en) * 1996-07-25 1998-04-28 Northern Telecom Limited Symmetric cryptographic system for data encryption

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5724428A (en) * 1995-11-01 1998-03-03 Rsa Data Security, Inc. Block encryption algorithm with data-dependent rotations
US5745577A (en) * 1996-07-25 1998-04-28 Northern Telecom Limited Symmetric cryptographic system for data encryption

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ELI BIHAM ET AL: "HOW TO STRENGTHEN DES USING EXISTING HARDWARE", ADVANCES IN CRYPTOLOGY - ASIACRYPT '94, 4TH. INTERNATIONAL CONFERENCE ON THE THEORY AND APPLICATIONS OF CRYPTOLOGY, WOLLONGONG, AUSTRALIA, NOV. 28 - DEC. 1, 1994 PROCEEDINGS, no. CONF. 4, 28 November 1994 (1994-11-28), PIEPRZYK J;SAFAVI-NAINI R (EDS ), pages 398 - 412, XP000527605, ISBN: 3-540-59339-X *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1109350A1 (fr) * 1999-12-15 2001-06-20 Sagem Sa Dispositif mettant en oeuvre un algoritme de chiffrage par bloc à répétition de rondes
FR2802741A1 (fr) * 1999-12-15 2001-06-22 Sagem Dispositif mettant en oeuvre un algorithme de chiffrage par bloc a repetition de rondes
FR2804524A1 (fr) * 2000-01-31 2001-08-03 Oberthur Card Systems Sas Procede d'execution d'un protocole cryptographique entre deux entites electroniques
EP1122909A1 (fr) * 2000-01-31 2001-08-08 Oberthur Card Systems Sa Procédé d'exécution d'un protocole cryptographique entre deux entités électroniques.
WO2001061915A2 (en) * 2000-02-18 2001-08-23 Cloakware Corporation Method and system for resistance to statistical power analysis
WO2001061915A3 (en) * 2000-02-18 2001-12-27 Cloakware Corp Method and system for resistance to statistical power analysis

Also Published As

Publication number Publication date
NL1011544C1 (nl) 2000-07-03
NL1011800A1 (nl) 1999-06-03

Similar Documents

Publication Publication Date Title
EP1142191B1 (en) Method and device for cryptographically processing data
CN107005404B (zh) 实现密码算法的可执行的白盒掩码实施的处理器装置
US6925564B1 (en) Digital signatures on a smartcard
CN110689349B (zh) 一种区块链中的交易哈希值存储和搜索方法及装置
US6658569B1 (en) Secret key cryptographic process for protecting a computer system against attacks by physical analysis
DE102008016530B4 (de) Effizienter Advanced Encryption Standard (AES)-Datenweg mittels hybrider Rijndael-S-Box
KR100674550B1 (ko) 정보 처리 장치
US7590846B2 (en) Public key cryptographic method of protecting an electronic chip against fraud
JP2011103686A (ja) 暗号化されたアクセスを使う電子的エンティティのセキュリティ化方法
EP3115887A1 (en) Method, device and non-transitory computer-readable medium for cryptographic computation
US8666067B2 (en) Cryptographic countermeasure method by deriving a secret data
US6820814B1 (en) Countermeasure method in an electric component using a secret key cryptographic algorithm
NL1011800C2 (nl) Werkwijze en inrichting voor het cryptografisch bewerken van data.
RU2680761C1 (ru) Безопасные преобразования данных
US8612761B2 (en) Method of executing a cryptographic protocol between two electronic entities
Ahmadi et al. Generalized meet in the middle cryptanalysis of block ciphers with an automated search algorithm
DE10164416A1 (de) Verfahren zum Multiplizieren zweier Faktoren aus dem Galois-Feld sowie Multiplizierer zum Durchführen des Verfahrens
DE60022840T2 (de) Verfahren zum sichern einer oder mehrerer elektronischer baugruppen, unter zuhilfenahme eines privatschlüssel-krypto-algorithmus, sowie elektronische baugruppe
DE10328860B4 (de) Vorrichtung und Verfahren zum Verschlüsseln von Daten
NL1010921C2 (nl) Werkwijze en inrichting voor het cryptografisch bewerken van data.
EP1180260B1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete et dynamique
EP1573955B1 (de) Verschl sselungsverfahren
US7474748B2 (en) Modular inversion that is protected against espionage
EP3531612A1 (en) Method and device for performing substitution table operations
DE102004001659B4 (de) Vorrichtung und Verfahren zum Konvertieren einer ersten Nachricht in eine zweite Nachricht

Legal Events

Date Code Title Description
AD1A A request for search or an international type search has been filed
RD2N Patents in respect of which a decision has been taken or a report has been made (novelty report)

Effective date: 19990915

PD2B A search report has been drawn up
SD Assignments of patents

Owner name: NOKIA CORPORATION

Effective date: 20050722

VD1 Lapsed due to non-payment of the annual fee

Effective date: 20081101