TWI336864B - A public key cryptographic method of protecting an electronic chip against fraud - Google Patents
A public key cryptographic method of protecting an electronic chip against fraud Download PDFInfo
- Publication number
- TWI336864B TWI336864B TW093101032A TW93101032A TWI336864B TW I336864 B TWI336864 B TW I336864B TW 093101032 A TW093101032 A TW 093101032A TW 93101032 A TW93101032 A TW 93101032A TW I336864 B TWI336864 B TW I336864B
- Authority
- TW
- Taiwan
- Prior art keywords
- function
- value
- parameter
- wafer
- application
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 77
- 230000006870 function Effects 0.000 claims description 129
- 235000012431 wafers Nutrition 0.000 claims description 81
- 238000012795 verification Methods 0.000 claims description 38
- 230000015654 memory Effects 0.000 claims description 19
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 claims description 16
- 239000010931 gold Substances 0.000 claims description 16
- 229910052737 gold Inorganic materials 0.000 claims description 16
- 238000012360 testing method Methods 0.000 claims description 9
- 239000000203 mixture Substances 0.000 claims description 6
- 230000000739 chaotic effect Effects 0.000 claims description 4
- 238000007620 mathematical function Methods 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 4
- 238000012937 correction Methods 0.000 claims description 2
- 239000013078 crystal Substances 0.000 claims description 2
- 241000208340 Araliaceae Species 0.000 claims 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 claims 1
- 235000003140 Panax quinquefolius Nutrition 0.000 claims 1
- 238000007792 addition Methods 0.000 claims 1
- 235000008434 ginseng Nutrition 0.000 claims 1
- 239000000463 material Substances 0.000 claims 1
- 230000002265 prevention Effects 0.000 claims 1
- 230000004044 response Effects 0.000 claims 1
- 230000007246 mechanism Effects 0.000 description 16
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012886 linear function Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000010367 cloning Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 241000239226 Scorpiones Species 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 235000011389 fruit/vegetable juice Nutrition 0.000 description 1
- 230000002496 gastric effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000010902 straw Substances 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3674—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
- H04L9/0662—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
Description
1336864 玖、發明說明: 【發明所屬之技術領域】 本發明之㈣係加密之領域。本發明料言之係關於一 種防止電子晶g方兮* S μ t x Ba /、—應用之間的交易中受詐欺之 加密方法。 本發明可非常有利丨士座# 應用於防止硬體連線式邏輯晶片或 基於微處理器的積體電路晶片受砟欺,特定言之係各種交 易斤用之預付卡中的晶片,例如,打電話、從一自動售貨 機購物、在-停車場付停車費,以及因享用諸如公共交通 «之類服務或基礎架構(收費站、博物館、圖書館等)所 k供之服務而付費。 【先前技術】 目前,預付卡未對各_欺設防。—[類詐欺包括該 卡的未經授權的複製,經常稱為「克隆」。一第二類詐欺包 括^改與-卡相關聯的資料,特定言之,係登記於該卡中 、用額度。加密係用於抗擊該些種類的詐欺’首先藉由 :數位簽名來認證該卡及/或資料,其次藉由在需要保護該 等資料之機密性日菩估田χ + _ — f使用加岔。可為對稱或非對稱的加密使 «姐其在5忍』之情況下包含一驗證器及欲驗證之— 當加密為對稱時(或係「秘密㈣」類型,該等二術 "換)該等—貫體共用完全相同的資訊,特定言之為 'n鑰。田加密為非對稱時(或係該「公開金输」類型, 該=二術語可互換),該等二實體之一具有一對金瑜,其中 為秘密的’而另-金鑰為公開的;沒有共用的秘密金 90395 doc 1336864 鑰。很多系統僅將對稱加密用於預付卡,特別是在該晶片 為該「硬體連線式邏輯」類型時,因為非對稱加密仍然慢 而且昂貴。開發用於對稱加密的第一認證機制包含:一次 性計算對每一卡均為不同之一認證值,將該認證值儲存於 該卡之記憶體中,在每一交易過程中讀取該認證值,以及 藉由詢問支持該交易的網路之一應用來對該認證值進行驗 證,並且其中儲存或重新計算已經指定的認證值。該些機 制提供不充分的保護,由於該認證值可能被盜用、複製及 詐欺性重放,因其對於一給定的卡總是相同的,這使得能 克隆該卡。為抗擊克隆,需以亦能確保資料完整性的主動 認證機制來替代被動的卡認證機制。 主動對稱認證機制之一般原理如下:在認證期間,該電 子晶片及該應用藉由將一函數應用於在每一認證之時所決 定的一自變數清單來計算一認證值;該自變數清單可包 括,首先,一亂數,其係在每一認證之時由該應用所決定 之一資料項,其次,包含於該電子晶片中之一資料項,以 及,第三,該電子晶片及該應用所知之一秘密金鑰。如該 電子晶片所計算的認證值與該應用所計算的認證值一樣, 則將該電子晶片視為真實而該電子晶片與該應用之間的交 易得到授權。 在本技術中以上類型的認證機制廣為人知,但其大多數 需要至少與一微處理器之計算容量相等之計算容量。因 此,該些機制適用於基於微處理器的卡,但幾乎不適用於 具有原始得多的計算容量之硬體連線式邏輯晶片。 90395 doc 1336864 當將主動對稱認證機制整合進硬體連線式邏輯晶片成為 可能時便實現了前進之一第一步。例如,2002年12月27日 公佈的第FR 2 826 53 1號法國專利申請案對規定該類機制 之方法進行說明。應觀察到,如上述法國專利申請案所 4授,亦可將由該些機制所產生的認證值解釋為一偽隨機 位7L序列,並且,藉由變動該等輸入參數之至少一個,計 算該認證值之該方法就變成產生偽隨機位元之一方法。 仁疋秘搶金矯機制需要負責認證該晶片之驗證裝置, 例如在一公共電中之一裝i、一冑?支付終端或—公共 父通閘,以知道由該晶片所持之秘密金鑰。此係一主要缺 ..’占因為如果該裝置需要能認證與該應用相關而發行的任 何晶片,其便必須儲存所有該等晶片之秘密金鑰或—基本 t鑰、或一主鑰或母鑰(如另外所知),以使其能決定任何 晶片之秘密金鑰。在二情況下,每一裝置都儲存足夠的資 訊以能決定所有發行晶片之秘密金鑰,並因此儲存足夠的 貝讯用於克隆其任何一者。由此,成功侵入該等驗證裝置 之任一者會消除整個應用之安全性。 【發明内容】 因此必須能夠將一主動的公開金鑰認證機制整合進一硬 肚連線式邏輯晶片,特定言之在配置大量晶片之應用中, :般為使用硬體連線式邏輯晶片之應㈣情況,因為此類 B曰片成本很低。目前不存在此類機制。其原因在於公開金 ㈣制—般需要對大的數字進行無數運算,因此不適合於 在硬體連線式邏輯晶片中的整合,其中㈣表面區域極 90i〇S doc 1336864 小’並且其計算邏輯減小至極基本的硬體連線式運算。在 知:順序逐個位元引入運算元之意義上,一般連續實行該些 基本運算’而這逐漸修改一内部暫存器之狀態,該内部暫 存器之最終值係用作計算該函數結果之一基礎。 本發明係關於能實施於一硬體連線式邏輯卡中的主動公 開金鑰認證機制。
更確切地說,本發明係關於一種防止一電子晶片在該電 子晶片與一應用之間的交易中受詐欺之非對稱加密方法, 更特定言之適合於硬體連線式邏輯晶片並更特定言之旨在 賞施無前述對稱加密缺點之一認證機制,以便增強整個應 用之安全性,並特定言之使得更難以克隆。 為此目的,本發明提供一種防止電子晶片在電子晶片與 -應用之間的交易中受詐欺之非對稱加密方法該方法包 含由該電子晶片中的輸入參數來計算—認證值V。該方法 包括下列步驟:
_該晶片藉㈣日日日片中所包括之偽亂數產生器 產生專屬於該交易之一偽亂數【, 該“將由該應用在該交易之前所計算出之一參卖 傳送給該應用,該參數蘇ώ
致稭由一數學關係式連結至該亂I 並儲存於該晶片之一資料記憶體中, _ ㈣來計算構成該認證似之全 =分之一參數…列函數之輸入參數至少為專屬 ❿H以及屬於—對非對稱讀(s,P)之-私有 00395 doc -9 - 1336864 -5玄晶片將該認證值v傳送給該應用,以及 -忒應用藉由一驗證函數來驗證該認證值v,該驗證函 數之輸入參數完全由包括至少該公開金鑰辽的公開參數組 成0 本發明亦提供一種電子晶片裝置,其經調整而實施防止 該電子晶片在該電子晶片與一應用之間的交易中受炸欺之 ^上非對知加密方法’其藉由該電子晶片由輸人參數來計 算一認證值V。該裝置包含: -一串列偽亂數產生器,其用於產生專屬於該交易之一 亂數[, …第=憶體構件,其用於儲存在該交易之前由該應用 1· •出JL藉由一數學關係式而連結至該亂數【之值的參數1 之一或更多值, -傳送構件,其用於將連結至專屬於該交易的亂數【之參 數孓從該晶片傳送給該應用, _執行構件’其用於執行—串列函數,該串列函數具有 作為輸入參數之專屬於^ # 寻屬於該父易的至少該亂數t以及屬於一 對非對稱錢(S,P)之-私有金•,並提供作為輸出之一 參數兄,以及 也信^ ^構件’其經調整而用於由至少該參心來構建該認 0J2.值 V。 本發明進一步提供一種用於勃并★欲。口 曰 用於執仃本發明之用於防止電子 ::在該電子晶片與—應用之間的交易中受詐欺之非對稱 加欲方法之驗證裝置’該方法包含由完全公開的參數來驗 90305 doc -10- 證由該電子晶片計算出之-認證值v。該裝置包含用於執 仃將至少該認證值v及該公開金^作為輸入的驗證函數 之構件。 依據本發明之一方法具有使得能產生可僅藉由公開參數 而予以驗證之一認證值V之優點’儘管該認證值V係完全由 串列函數(即按順序處理構成其輸入之參數位元之函數)產 生。 在該串列函數中處理該加密方法及裝置之輸人參數,該 串列函數依據該等輸入參數之一些或所有輸入參數而提供 作為輸出之一資料項。 該方法及裝置之輸入參數屬於一清單’該清單在實施一 認證機制之情況下包含至少一識別則、一私有秘密金輪 [,與該私有秘密金料目對應之—公開金如、用於該公開 金鑰之6登書以及由該驗證裝置所提供之一第二亂數1() 用於計算該亂數【的串列偽亂數產生器可有利地以上述 2002年12月27日公佈的第FR 2 826 53 1號法國專利申請案 中所4明類型之一對稱認證方法為依據。因此,如果f(K,μ) 代表-此類方法之計算函數,其中κ代表該對稱秘密金輪 而Μ代表邊函數£的所有其他運算元,則可藉由將該函數£ 重複應用於不同的Μ值而保持相同的尺值來產生該亂數【。 如如果£的輸出值2*之大小等於k位元並且如果該亂數厂 之大小等於16k位元,則可使在該晶片之第一認證中所使用 的第一亂數£等於十六個輸出值f(K,M|),f(K,M2), ,f(K, Μΐό)之串接,可使5亥第二亂數等於該等十六個輸出值 -II - 1336864 M|7) f(K’ Ml8) ’ ’ f(K,M32)等之串接,所有的 Mi值彼 此不同(Ml + I值-般藉由增加該队值而獲得)。還有很多其他 方法以將該認證方法用於偽亂數產生。 該串列函數包含加、減及左或右移。可非常容易地按順 序實行該些運算。 【實施方式】 圖1係本發明之用於防止一電子晶片在該晶片與一應用 之間的交易中受詐欺之一非對稱加密方法之一流程圖。 該方法包含在該晶片中實行__計算以便由輸人參數而決 定一認證值。 該方法之第一步驟1包含藉由該晶片中所包括之一串列 偽亂數產生器而產生—偽亂數L之晶片。該亂數【專屬於該 交易。 Λ 該方法之第二步驟2包含將一參數1從該晶片傳送給該應 用。由該應用在該交易之前計算該參數&並將其儲存於該晶 片之資料記憶體中。該參數&藉由一數學關係式而連結至該 亂數L。該應用計算至少一參數1並最好計算數個參數。在 一特定的具體實施例中,該等參數1係將一數學函數應用於 連續取自用於一給定晶片之一給定組的值之結果。該組使 得由該晶片產生的該亂數L之各種值包括於該組中。 因此,連結該等亂數£與該等參數X的數學函數一般包含 一組G中之一指數函數,並將具有至少為關聯之性質並表 示為一乘法形式之一運算提供給該指數函數,即該函數為χ -g ’其中[代表-整數’而g_代表預先由該應用從該組G中 90305 doc -12- 1336864 選擇之一項。 對於每一晶片以及對於每一認證’該偽亂數【不同。其經 二次計算,第_次由該應料算,而第二次由該晶片本身 计异'在計算[後,該應用計算相對應的u後該應用在 定製該i值時將圣的至少一值儲存於該晶片中。該應用有矛
地儲存複數個雄。由於該應用與該晶片必須產生相同Z 值因此當然該應用之偽亂數產生器與該晶片之偽礼數產 生器必須嚴格相同。 反可有利地對於連結至該應用之所有電子晶片為相同或 專屬於該晶片。當為專屬時,&係該電子晶片之公開金知 之一整數部分。組G之典型範例係小於歧與江互質(其中^ 代表任何正整數)的正或零整數的群組&•,或構建於'一有' 限體上的任何橢圓曲線。 在本方法之-第三步驟3中,該日日日片藉由—串列函數來士十 算-參數X,該串列函數之輪人參數至少為專屬於該交易之 亂數I:以及屬於-對錢稱金的,p)之—私有切s,該夫 數,構成該認證值V之全部或—部分。該串列函數俜一算^ 函數。 在-第四步驟4中,該晶片將該認證值乂傳送給該應用。 在該方法之一第五步驟5中,哮庙田**丄 "應用糈由-驗證函數來驗 證該認證值V,該驗證函數之輪參 食数马7〇全公開參數並 包括至少該公開金鑰£。 圖2概略性顯示本發明之包括—雪 电于曰日片之一裝置。該裝 置執行本發明之用於防止電子晶κ户 曰曰片在該電子晶片與一應用 嶋 5 doc -13- 1336864 之門的又易中受詐欺之—非對稱加密方法,該方法包含由 輸入乡數來汁具一認證值v之電子晶片。 該裝置6包含: 串列偽亂數產生器7,其產生專屬於該交易之一亂數 二,
第s己憶體構件δ ’其用於儲存在該交易之前由該應用 计"'出的—或更多參數芏,該等參數2L之每一個均藉由相同 的數學關係式而連結至該亂數L之一值(該值在可由該串列 偽亂數產生器所產生的一組值内), •第一輸出構件9’其用於提供連結至專屬於該交易的亂 數[之參數么, -執行構件10,其用於執行一串列函數,該串列函數具 有用於輸入參數之至少專屬於該交易的亂數【以及屬於一 十非對稱金錄(S,P)之一私有金餘I,該參數父組成該認證值 V之全部或一部分,以及
第一輪出構件9 ’其用於在由至少該參數χ而構建該認 證值後提供該認證值V。 在參考圖2所說明的具體實施例中,該串列偽亂數產生器 7使用上述2002年12月27日公佈的第FR 2 826 53 1號法國專 利申請案中所述類型之一對稱認證方法。因此,如果f(K,Μ) 代表一此類方法之計算函數,其中κ代表該對稱秘密金鑰 而Μ代表該函數£的所有其他運算元,則可藉由將該函數文 重複應用於不同的Μ值而保持相同的κ值來產生該亂數[。 例如’如f的輸出值&之大小等於匕位元並且如果該亂數[之 l}〇395d〇c -14- 1336864 大小等於16k位元,則可使在該晶片之第一認證 τ尸/χ使用的 第一亂數t等於十六個輸出值f(K,Mi), f(K,M2), ,Μ
之串接;可使該第二亂數等於該等十六個輸出值f(K Μπ),f(K,M18)’…,f(K,m32)等之串接,所有的从值彼 此不同。 圖3係以上類型之一串列偽亂數產生器6之—圖式。該產 生器包含,首先,用於混合該等輸入參數之一些或全部以 在其輸出處提供產生於該混合之一資料項E,= , , 、 V ', e 2, ···, e n,…,e’ N)之構件12,其次’依據至少視該舊狀態及來自 u位元串列(e卜e 2,…,e, &…,e, n)之一值而定之一函數 而從一舊狀態改變為一新狀態之一有限狀態自動機1 3,以 及,第S,用於由包含至少該自動機之一狀態之輸入自變 數來計算該值左之輸出構件14,然後對藉由串接十六個連續 的輸出值f(K,Ml),f(K,m2),···,f(K,Mi6)而選擇的該礼數【 之值作出決定。該混合構件丨2之輸入參數可為:一秘密金 鑰K、該晶片内部的資料D、該資料D之記憶體位址、該晶 片外部的資料D,以及由該應用所提供之一亂數R,(此清單 絕非包禮無遺)。 4此s構件12執行可為該輸入資料之一線性或非線性函 數之一混合函數MIX。 該輸入資料之純量積係一線性函數之一第一範例。 在一線性函數之另一範例中,該混合構件包含一線性回 授偏移暫存器’將該等輸入參數之位元連續輸入該暫存器 中並影響該暫存器之初始狀態及/或該等回授位元之值。 90395.doc -15- 1336864 在一非線性函數之另一範例中,該混合構件包含一非線 性回授偏移暫存器,將該等輸入參數之位元連續輸入進該 暫存器。該輸出值s,可由從該暫存器之内容中提取之―或 更多位元組成。 該自動機13之-第-範例使用—布林電路,布林電路即 將k位元之一向量(八,“,2, 〜,…,Ak+W關聯之一電路,其_使用諸如互斥式⑽、 =(包含式)、邏、以及靖運算之類的基本運算而從該 等位元⑷^……八^^獲取每一位元八^其中⑷、 嫌示該自動機之舊狀態。該自動機便具以位元之二’ 部狀態(Α|,α2,·..,句並且每當—新向量“...AS· Ο存在於該布林電路之輸入處時便輸出-新狀態(A、,A, 2’ ’··,A k) ’該新向量由該内都灿能 X門0P狀態及該混合函數MIX之輸 出所組成。 換該自動機13之一第二範例使用由數字表所定義的位元轉 例如’如果k = 8’則可能將該位元組(Ai,A2, a8) 分為兩個四元組(A丨,A2, A3, -轉換τ(如該混合函數之輪出位_,A6,A7’A8),然後將 仰,心 之輪出位咖為〇)或-轉換U(如 _於广—…。由將-四元組值… 而且Π样四7^且值a, b,C,d)相關聯之—表定義該轉換T, 而且同樣也適用於轉換U。 當已處理完所有輸入值時, 終狀態m 自動機I3處於-特定的最 該串列偽亂數產生器之輸出 J出構件14—般使用一輸出函 003^5 doc ~ 16 · UJ6864 數,该輸出函數係應用於該自動機之最終狀態及一串接運 具之恆等函數。該輪出構件14包含一記憶體區域,該區域 之大小與該乱數【之大小相等,例如,為!6k位元。 用於儲存一或更多參數么的第一記憶體構件8-般由一非 ㈣性記憶體(可能係可重寫者)組成。在出售該電子晶片 之月J將該等爹數么程式化進該記憶體。必須選擇用於計算該 參數㈣亂數t之值以使得該晶片可精確計算出相同的:。 在 > 考圖2以靶例方式所說明的串列偽亂數產生器中,這表 片亥應用共用該秘密金錄κ。因此,在將晶片投 ""1''中之則,該應用藉由重複應用該認證方法來計算數 一值(Χ上將其汁算函數表示為f),並將該些值儲存於該晶 片之貝料記憶體中。對於每一認證,該晶片重新計算該亂 數^亚讀取胃資料記憶體中相對應的參數工之值。在參考圖2 以例方式所說明的串列偽亂數產生器中,_般藉由為% 值選擇用於決定與[之特定值相對應的2L值之位址的資訊而 建立[與么之間的對應,藉由增加該Μ,值而獲得Mi+1值(i大於 或等於0)。 ~ 、 例如’為節約記憶體空間,可使該參數2L有利地等於由一 雜凑函數包所產生的項gr(以及可能其他項,例如應用資料) 之影像’而並非使其等於該項本身;換言之:χ = h(gr,D), 其中D代表例如包含與該應用相關的資料之一選項欄。例 如,D代表由該應用所決定的以歐元計之—金額。在該情 況下,每—單代表一電子硬幣而每一認證代表花費一硬幣。 輸出連結至專屬於該交易的隨機值[的參數&之第—輸出 ^)395 doc -17- 1336864 構件9 —般包含一輸入/輸出緩衝器。 接下來參考圖4說明用於執行—串列函數的構心。之— 範例。該串列函數之輸入參數係該亂數l及屬於一對非對稱 金鑰(s,p)之一私人秘密金鑰i。該金鑰泛係—公開金鑰。 該構件10包含計算並考慮一進位之一位元加法器。 在一第一暫存器15中捕獲目前位元匕之值^而在一第二暫 存器16中捕獲目前位心之值—第三暫存器口從先前的 位元加法捕獲進位c,。最後,一第四暫存器18捕獲在將該 等目則位元η與Si之值與在先前加法中所獲得並與該第三 暫存态17之内容相對應的進位相加後獲得位元L。從考慮 由該等先前位元(該AND開極19之輸出,其輸入係該等二個 第一暫存器15、16之輸入)相加而產生的進位以及由該等目 前位元(該AND閘極20之輸出,其輸入係該等目前位元「與 Si之值)相加而產生的進位而產生該進位如由該等先前 位元相加而產生一進位且當僅該等目前位元之一為一丄 時,一中間AND閘極21在該互斥式0R閘極22之輸出處產生 一進位,該閘極之輸入係該等位元之值。 因此’該進位係該中間AND閘極2 1與該AND閘極20的輸 出之間之一 OR運算23之結果,該等閘極之輸入係該等目前 位元:^與~之值。在該第三暫存器17中捕獲此進位Ci以在r, 與s j之後續位元相加時予以考慮。 將該等目前位元^與^(在該互斥式〇R閘極22之輸出處, 其輸入係該等目前位元1>1與51之值)與該進位(在該互斥式 OR閘極24之輸出處’其輸入係該先前互斥式〇R閘極22之 90395 doc -18- 1336864 輸出及忒第三暫存器17之輸出)之值相加而產生該位元yi。 等暫存器15、16、17、18之輸出初始化為〇。 這最冬產生.yi = + si + ei(mod2)與 ci + 1 = ri + Si +
Ci(div2) ’其中使c〇等於〇。 在特定具體實施例中,該串列函數具有以該應用所提 供的一亂數t為形式之一另一輸入參數。 在該晶片已藉由參考圖2所說明的方法而產生一亂數£並 然後讀取在其資料記憶體中與該亂數值相對應(例如使用 該函數X = g。的該參數2L之值後,其將該么之值傳送給該應 用然後該應用將大小減小為1位元之一亂數^傳送給該晶 片。 然後產生一情況:如果該^值為0,則該晶片選擇y = Γ, 而如果該i值為1,則該晶片選擇y = r + S。如何實施此選擇 已為熟習本技術者所熟知,因而在此不作說明。 取該認證值V等於χ並將其傳送給該應用。 驗證包含測試該等式gy = χ(如果L等於0)或gy = xp(如果【 等於1)’其中R係與該晶片之秘密金鑰i相對應的、該晶片 之公開金鑰,如該函數p = gs所定義。如使得該些參數足夠 大’則使用不連續的對數假設來依據氐與R決定i不可行,這 在目前已被廣泛接受。 在一特定的應用中,可使用一雜湊函數达來計算在此 情况下,該驗證等式變成h(gy,D)= x(如t等於0),或h(gy/p, D)= x(如t等於1)。為避免該驗證等式中的任何除法,亦可 能選擇y = r- s而非y = r + s,在此情況下,該第二驗證等 00395 doc •19· 式變成h(gy. p,D)= X。另一選擇係選擇口 = g.s而非p = gS, 其產生以下驗證等S : h(gy,D)=: 4h(gy.p,D)= X。 在先前所說明的具體實施例中,除了知道該秘密值反之一 晶片外的任何晶片至多有二分之—的機會來提供該應用會 識別為有效的一認證值。這已經在—真實的晶片與一克隆 之間作出一區分,但此區分在多數實際情況下是不夠的。 為顯著減少成功克隆的機會,一解決方法係增加該亂數t 之位元數量m。例如,該亂數(可為—64位元串(ta w,, Μ,其中僅一位元等於丨。如果i為唯一的下標而使得t,等於 卜則使得該Z值等於y = r + 2,s,其很容易連續計算,因為 這等同於將【與藉由將i左偏移L位元(如有更多有效位元在 左側)而獲得的整數相加。則該驗證等式為gy=邛:,。在該些 條件下,除知道該秘密值i之一晶片之外的任何晶片至多 1 /64的機會來提供該應用會識別為有效的一認證值。 在特疋應用中,可使用一雜湊函數扛來計算2L。在此情 况下,垓驗證等式變成:h(gy/〆,D)= χ。為避免該驗證等 式中的任何除法,亦可能選擇y = r _ 而非y = r ,在 障况下該第一驗證等式變成h(gy.〆,D)= X。另一選 擇係選擇p = g-S而非p = gS,其產生該驗證等式:h(gy.,, D)= X 〇 對於所說明的解決方法,並從安全之觀點來說,其等同 於替代以上所定義的而選擇從0至m - 1之一整數以用於 。玄t值,在此情況下乂取作等於y = r + 而該驗證等式為gy = X p2’。 -20- 1336864 在一特定的應用中,可使用—雜凑函數h來計算r在此 情況下’該驗證等式變成:h(gy/,,D)= X。為避免該驗證 等式中的任何除法’亦可能選擇y = r-2ts而非y…, 在此情況下’該第二驗證等式變成h(gy.〆,,D)= x。另— k擇係選擇p-g而非p = gS,其產生該驗證等式:h(gy〆, D)= X。 伙安王之觀點來說,其等同於替代以上所定義的串t而選 擇彳之0至m 1之整數以用於該t值,在此情況下父取作等於 y = r + ts而該驗證等式為以=?(〆。 在一特定應用中,可使用一雜凑函數包來計算1。在此情 况下。亥驗也等式變成:h(gy/pt,D)= χ。為避免該驗證等式 中的任何除法,亦可能選擇y = r_ts而非y = r+tS,在此情 況下,該第二驗證等式變成h(gy.p',D)= χ。另一選擇係選 擇P = g-S而非P = gs,其產生該驗證等式:h(gy pt,D)=x。 該亂數t當然可取其他值。 該第一輸出構件9(認證值V) 一般使用係應用於該參數父 之恆等函數之一輸出函數。例如,該第二輸出構件9包含一 記憶體區域,該區域之大小等於該參數乂之大小。 在本發明之一應用與一電子晶片之間的交易過程中,該 應用與該晶片使用一非對稱加密方法來防止該電子晶片受 詐欺,在該方法中該應用使用本發明之一驗證裝置來認證 該晶片。該裝置包含執行本發明之一方法之驗證函數來驗 «a由。玄電子曰曰片僅使用公開參數而計算出的認證值v之構 件,該等公開參數包含至少連結至該晶片之秘密金鑰&的公 90395 <l〇c -21 - 1336864 開金餘β。 在先前所說明的本發明 努月之—方法之具體實施例之一中, 该驗證裝置按照該參數 双1之值而將由應用於該認證值ν的絮 子函數所提供的結果(y w )與该值2L或該值2L以及與該晶片的 秘Φ金鑰i相對應的 '該s ^ °〆曰日片之么開金餘2_之乘積(xp)作比 中乂等於該認證值V而㈣與該晶片㈣密金如目對 〜的、έ亥晶片之公開金靖 ▲ % 如函數P = g所定義。 S玄構件一般包含一電腦。 【圖式簡單說明】 ^以上參考附圖㈣非限制性範例方式所提供的特定且 體貫施例所作㈣明難巾,㈣ /、 優點。 个赞月之其他功能及 圖1係本發明之一方法之一流程圖。 圖2係本發明之一電子晶片裝置之一圖式。 圖3係用於本發明之一電子晶片裝置之— 之一具體實施例之一圖式。 數產生器 圖4係本發明之一電子晶片裝置之用於執行〜 之構件之一具體實施例之一圖式。 串列函數 【圖式代表符號說明】 6 串列偽亂數產生 7 串列偽亂數產生 8 第—記憶體搆件 9 第二輪出構件 10 串列函數之構件 loc 22. 1336864 12 提供資料項E'之構件 13 有限狀態自動機 14 值左之輸出構件 15 第一暫存器 16 第二暫存器 17 第三暫存器 18 第四暫存器 19 A N D問極 20 AND閘極 21 中間AND閘極 22 互斥式OR閘極 23 OR運算 24 完全0 R閘極 (s. p) 非對稱金鑰 a, b, c, d 四元組值 a', b', c', d' 四元組值 A'i, A' 2, ·, A' k k位元之一向量 A', 位元 A i, A2, ..., Ag 位元組 A1,A2,...,Ak,S’ e' 新向量 A!,A2,..·,Ak+i k+Ι位元之一向量 C, 進位 D 晶片内部的資料/與該應用相關 的資料之一選項欄 90395 doc •23- 1336864 D' E,
Ci,G n ? *··) ^ N
EV f(K, M〇, f(K, M2), ..., f(K,M 丨 6) f(K, M17), f(K, M18), ..., f(K, M32) f(K, M) f(K,M,), f(K, M2), ..., f(K,M16) F1? F2, ..., Fk
G
G gr
H
I
K
M
M M,
MIX
N
P 晶片外部的貧料 資料項 位元串列 輸出位元 輸出值 輸出值 計算函數 輸出值 自動機之最終狀態 組 項 項 雜湊函數 識別項 對稱秘密金鑰 函數f的所有其他運算元 亂數ί之位元數量 資訊 混合函數 任何正整數 公開金錄 90395 doc -24- 1336864 R 偽亂數/ri之值 R' 亂數 r> 目前位元 S 私有金鑰/si之值 Si 目前位元 T 第二亂數 τ 轉換 t63,t<52,…,t〇 位元串 U 轉換 V 認證值 X 參數 xp 值X之產物 Y 參數 y. 位元 z f的輸出值 Zn* 組 7 串列偽亂數產生器
90395 doc -25 -
Claims (1)
1336864 您(更)正替換^ I 第093101032號專利申請案 中文申請專利範圍替換本(99年^ .一 ' - 拾、申請專利範圍: 1· 一種防止一硬體連線式電子邏 屯丁 <科日日片在該電子晶片與一 應用之間的交易中受畔傲夕非播丄 又"乍瓜之非對稱加密方法,其包含由該 電子晶片中的輸入表數爽古+ v /数來计异一認證值V,該方法包含下 列步驟: -1)該晶片藉由該晶片中所— 日片中所包括之一_列偽亂數產生 器而產生專屬於該交易之一偽亂數t, -2)該晶片將由該應用在該交易之前所計算出之—來 數㈣运給該應用,該參數藉由—數學關係式連結至該亂 數並儲存於該晶片之一資料記憶體中, 」)該晶片藉由一串列函數來計算構成該認證值V之全 部或一部分之一參數义,兮电 乂 °亥串列函數之輸入參數至少為專 屬於該交易之該亂數r及屬於一 ‘ -15 ^對非對稱金鑰之一私有金 鑰i^ ^ _4)該晶片將該認證值V傳送給該應用,以及 -5)該應用藉由一驗證函數來驗證該認證值 函數之輸入參數完全由包括?小〜 忒驗迅 V 5亥公開金鑰β的公開參數 組成。 2·如申請專利範圍第1項之方 該亂數【包含: 方法’其中產生專屬於該交易之 _藉由-混合函數來混合該等輸人參數之—此或 ,並提供作為該混合函數之輪 —° 部出之—系列位元, -依據至少視該舊狀態及 亥糸列位兀之一值而定之一 函數將一有限狀態自動機 心ι 飛之狀態從一舊狀態改變為一新 90395-990728.doc 1336864 r 狀態,以及 _藉由具有包括至少該自動機之一狀態的輸入自變數 之一輸出函數來決定一系列隨機位元以形成該亂數【之全 部或一部分。 如申請專利範圍第2項之方法,其中一輸入參數係由該晶 片及該應用所共用並儲存於該晶片之一受保護記憶體區 域中之一秘密金綠K。
4.如申請專利範圍第丨項之方法,其中該數學關係式包含在 項E之一組G中之一函數^ ’並將具有至少為關聯之性質之 運鼻提供給該函數。
5·如申請專利範圍第4項之方法 互質的正或零整數之群組Zn*。 6. 如申請專利範圍第*項之方法 有限體上的任何橢圓曲線。 7. 如申請專利範圍第1項之方法, 自包含加、減及左或右偏移之 數。 其中s亥組G為小於江並與n 其中該組G係構建於任何 其中該串列函數係執行來 一清單的運算之一算術函 8.如申請專利範圍第7項之方法 法。 其中該算術函數僅執行加 9.如申請專利範圍第7項之方法 法0 其中該算術函數僅執行減 10·如申請專利範圍第7項之方法, 數進一牛勺k k 八肀°亥异術函數輸入自變 ^匕括輸入參數’而且該算術函數 指定給該串列函赵 須按,展泫應用 歹U數之-輸人參I之值而執行該等運算y = 90395-990728.doc 曾日修^ r及 y = r + s之一 u·如申請專利範圍第1〇項之方法,其中該數學關係式包含在 項民之-組G中之-函數gr,並將具有至少為關聯之性質之 —運算提供給該函勤,二。&丄 一 數而且其中該驗證函數按照該參數t 將藉由將》亥函數應用於該認證值v所獲得之結果與該 值1或*亥值2L以及與該晶片之秘密金输色相對應的、該晶片 之公開金錄£之乘積作比較,其等同於按照該參數(的值來 Γ該料式g〜x與卜㈣…其“等於該誠值 而㈣與該晶片的秘密金^相對應的、該晶片之公開金 鑰,如該函數p = gs所定義。 A:申請專利範圍第7項之方法,纟中該算術函數具有輸入 :數用於進纟的輸人自變數,並包含按照該應用指定給 :串歹j函數之-輪入參數^的值來執行該運算” r或該運 算 y = r - s。 '如申請專利範圍第12項之方法’其中該數學關係式包含在 項&之-組G中之—函數gr,並將具有至少為關聯之性質之 —運算提供給該函數’ ^其中該驗證函數按照該參數! 的值而將藉由將該數學等式於該認證值v所獲之結果與 X _或〆值2L以及與该晶片之秘密金鑰芝相對應的、該晶 二之公開金鑰£之乘積作比較,其等同於按照該參數【的值 來測試該等式gy = x或該等式6”,其^等於該㈣值 ^而泛係與該晶片的秘密金糾目對應的、該晶片之公開鑰 匙,如該函數P := gS所定義。 如申請專利範圍第7項之方法,其令該算術函數具有輸入 90395-990728.doc 參數用於進一步的輸入自變數’並包含按照該應用指定給 该串列函數之一輸入參數t的值來執行該運算y = r 該參IU包含-迎位元串,在該位元寧中僅—位元^等於s/, 31係一自然整數。 15.如申請專利範圍第Η項之方法,其中該數學關係式包含在 項^組G中之-函數並將具有至少為關聯之性質之 -運算提供給該函數’而且其巾該驗證函數按照該參數L 之值來測試該等式¥ = X〆’其中乂等於該認證值ν而良為 與該晶片之秘密金鑰么相對應的、該晶片之公開金鑰,如 該函數p = gs所定義。 16·如申請專利範圍第7項之方法’ |中該算術函數具有輸入 參數用於進-步的輸入自變數,並包含按照該應用指定給 該串列函數之一輸入參數【的值來執行該運算y = r + 。 17·如申請專利範圍第16項之方法,其中該數學關係式包含在 項&之一組G中之一函數並將具有至少為關聯之性質之 一運算提供給該函數,而且其中該驗證函數按照該參數t 之值來測試該等式gy = ’其中z等於該認證值v而泛為 與該晶片之秘密金鑰芝相對應的、該晶片之公開金鑰,如 該函數p = gs所定義。 18.如申請專利範圍第7項之方法,其中該算術函數具有輸入 參數用於進一步的輸入自變數,並按照該應用指定給該串 列函數之一輸入參數i的值來執行該運算y = r +ts,其中^ 係一整數。 ~ 1 9.如申μ專利犯圍第} 8項之方法,其中該數學關係式包含在 90395-990728.doc 丄⑽864 _ I 丨_·*… V ^--月日修(更)正 ,之厂組G中之一函數gr’並將具有至少為關聯之性質之 運异提供給該函數,而且其巾該驗證函數按照該參數& 的值而將藉由將該函數應用於該認證值v所獲之結果與 X值I或-亥值X以及與該晶片之秘密金输&相對應的、該晶 片之公開金如之乘積作比較,其等同於按照該來數t的值 ^測試該等式g〜X〆,其中乂等於該認證值、係與該晶 —片的秘密金鑰泛相對應的、該晶片之公開金鑰,如該函數p g所定義。 2〇=申請專利範圍第!項之方法#中從該晶片傳送給該應 ,參數祕將-雜凑函數應用於藉由一數學函數而連結 至。亥亂數ϋ之至少一項以及應用於包含連結至該應用的資 料之一選項欄D之結果。 21‘:申請專利_第2〇項之方法,其中該算術函數具有輸入 ^數用於進一步的輸入自變數’並包含按照該應用指定給 違串列函數之-輸入參數^的值來執行該運算丫 = r + , 該參數1包含一边位元串,在該位元奉中僅-位元ti等於i, 其中m係一自然整數。 2.如申巧專利乾圍第21項之方法,其中該數學關係式包含在 項至之-組G中之-函數gr,並將具有至少為關聯之性質之 一運算提供給該函數,而且其中該驗證函數按照該參數t 之值來測試該等式h(gy/〆,D)=X,其h等於該認證值v 而£為與該晶片之秘密金錄!相對應的、該晶片之公開金 錄,如該函數P = gV/f定義。 23.如申凊專利範圍第21項之方法其中該數學關係式包含在 90395-990728.doc 1336864 項&之-組G中之-函數g、並將具有至少為關聯之性質之 一運算提供給該函數,而且其中該驗證函數測試該等式 g P,D) X其中ζ等於該認證值v而泛為與該晶片之 秘密金㈣對應的、該晶片之公開金输,如該函數p=g.s 所定義。 24.:申請專利範圍第20項之方法,其中該算術函數具有輸入 ,數用於進一步的輸入自變數’並按照該應用指定給該串 列函數之一輸入參數t的值來執行該運算丫 = r 一 Ys,該參 數ί包含一垃位元串,在該位元串中僅一位元^等於 迎係一自然整數。 25·如申請專利範圍第24項之方法,其中該數學關係式包含在 項^一組G中之一函數gr,並將具有至少為關聯之性質之 運鼻供給該函意女,而pj ti*丄a 、 y .且/、中§玄驗證函數測試該等式 P ,)X其中乂等於該認證值V而£為與該晶片之 秘密金錄及相對應的、該晶片之公開金於,如,τ φ 所定義。 乃I △開金鑰,如该函數p = g-s 26.如申請專利範圍第2〇瑁 图弟』項之方法,其中該數學函數包含在項 &之;組G中之一函數gr,並將具有至少為關聯之 運鼻提供給該函數,而日甘山 中從该晶片傳送給該應用 數2L係應用該類型x = h( r 應用的參 ,u)之一關係式之結果,i 表包含連結至該應用的資一 數。 貝科之、項欄,而li係該雜凑函 27.如申請專利範圍苐26項之方法,以該串列函數 輸入參數為形式之於 〇x 飞之輪入自變數並按照該應用指定給該串 90395-990728.doc -6 · 1336864 T7t^----- 月曰修(更)正智: 列函數之-輸入參數t的值來執行該運算y = r或該運算y =…,而且其中該驗證函數按照該參數t之值而將該心 與該值h(g'd)或該值h(g'p,D)作比較,其中父等於該認證 值乂而£為與該晶片之秘密金鑰反相對應的、該晶片之公開 金鑰’如等式p = g·5所定義。 28.如申請專利範圍第26項之方法,其中該串列函數具有用於 輸入自變數的輪入參數,並按照該應用指定給該串列函數 之一輸入參數ί的值來執行該運算y = r或該運算丫 = r + s, 而且其中該驗證函數按照該參數L之值而將該值&與該值 h(gy,D)或該值h(gy.p,D)作比較,其中乂等於該認證值乂而 E為與該晶片之秘密金鑰i相對應的、該晶片之公開金鑰 如該等式p = g-sm定義。 29.如申請專利範圍第26項之方法,其中該串列函數具有用於 輸入自變數的輸入參數,並按照該應用指定給該串列函數 之一輸入參數ί的值來執行該運算y = ]r或該運#y = r_s, 而且其t該驗證函數按照該參數L之值而將該值圣與該值 h(gy,D)或該值h(gy.p,D)作比較,其中乂等於該認證值¥而 £係與該晶片之秘密金鑰芝相對應的、該晶片之公開金鑰, 如該等式p = gs所定義。 30.如申請專利範圍第^η、Η、17、19、22、23、25或26 項之方法’其中該組G為小於江並與江互質的正或零整數之 群組Zn、 31.如申請專利範圍第u ' n、i5' i7、19、22、23、乃或% 項之方法’其中該組G係構建於任何有限體上的任何橢圓 90395-990728.doc 1336864 曲線。 *> 32.二種包括如巾請專㈣圍第i項之—電子晶片並經調整以 實施防止該電子晶片在該電子晶片與一應用之間的交易 中受砟欺之-非對稱加密方法之裝置,該方法包含該電子 晶片由輸人參數來計算一認證值V,*且該裝置包含: -一串列偽IL數產生器,其用於產生專屬於該交易之 一亂數n, -第一記憶體構件’其用於儲存由該應用在該交易之 前計算出並藉由-數學關係式而連結至該氣數【之值的參 數2L之一或更多值, •傳送構件’其用於將連結至專屬於該交易的該亂. 之參數2L從該晶片傳送給該應用, '執行構件,其㈣執行具㈣騎人函數之至少專 易m數n以及屬於-對非對稱金鑰(s,p)之一 私有金鑰^的一序列函數並提供作為輸出之—參數ρ以及 -輸出構件’其經調整而由至少該參數乂來構建該認證 值V 〇 33. —種用於執行防止如申請專利範圍第1項之一電子晶片在 =電子晶片與一應用之間的交易中受詐欺之一非:稱加 也方法之驗设裝置’該方法包含對由該電子晶片由完全公 開的參數而計算出之一認證值乂進行驗證,而且該裝置包 ^含用於執行將至少該認證值v與該公開金鑰㈣為輸入的 s玄驗s登函數之構件。 90395-990728.doc
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0301108A FR2850479B1 (fr) | 2003-01-24 | 2003-01-24 | Procede cryptographique a cle publique pour la protection d'une puce contre la fraude |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200511136A TW200511136A (en) | 2005-03-16 |
TWI336864B true TWI336864B (en) | 2011-02-01 |
Family
ID=32525020
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW093101032A TWI336864B (en) | 2003-01-24 | 2004-01-15 | A public key cryptographic method of protecting an electronic chip against fraud |
Country Status (11)
Country | Link |
---|---|
US (1) | US7590846B2 (zh) |
EP (1) | EP1441313B1 (zh) |
JP (1) | JP4659149B2 (zh) |
KR (1) | KR101142656B1 (zh) |
CN (1) | CN100566246C (zh) |
AR (1) | AR047012A1 (zh) |
AT (1) | ATE431603T1 (zh) |
DE (1) | DE602004021047D1 (zh) |
FR (1) | FR2850479B1 (zh) |
MX (1) | MXPA04000700A (zh) |
TW (1) | TWI336864B (zh) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
MXPA02011835A (es) * | 2001-03-29 | 2003-10-06 | Matsushita Electric Ind Co Ltd | Sistema de proteccion de datos que proteje datos al encriptar los datos. |
JP4612461B2 (ja) * | 2004-06-24 | 2011-01-12 | 株式会社東芝 | マイクロプロセッサ |
CA2594670C (en) * | 2005-01-21 | 2014-12-23 | Certicom Corp. | Elliptic curve random number generation |
TW200708027A (en) * | 2005-04-29 | 2007-02-16 | Sean O'neil | Process of and apparatus for hashing |
US7613915B2 (en) | 2006-11-09 | 2009-11-03 | BroadOn Communications Corp | Method for programming on-chip non-volatile memory in a secure processor, and a device so programmed |
US9767319B2 (en) * | 2007-04-17 | 2017-09-19 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and apparatus of secure authentication for system on chip (SoC) |
EP2251813A1 (en) * | 2009-05-13 | 2010-11-17 | Nagravision S.A. | Method for authenticating access to a secured chip by a test device |
DE102009022233A1 (de) * | 2009-05-20 | 2010-11-25 | Feustel, Dietmar | Verwendung einer Zeichenkette in Sytemen der Kryptographie, der Statistik, der Simulation, der Randomisierung, von Spielautomaten und dgl. |
US8923519B2 (en) * | 2009-05-29 | 2014-12-30 | Alcatel Lucent | Method of efficient secure function evaluation using resettable tamper-resistant hardware tokens |
DE102010010950A1 (de) * | 2010-03-10 | 2011-09-15 | Giesecke & Devrient Gmbh | Verfahren zum Authentisieren eines portablen Datenträgers |
EP2720167A1 (en) | 2012-10-11 | 2014-04-16 | Nagravision S.A. | Method and system for smart card chip personalization |
US11182782B2 (en) | 2016-02-23 | 2021-11-23 | nChain Holdings Limited | Tokenisation method and system for implementing exchanges on a blockchain |
EA201891829A1 (ru) | 2016-02-23 | 2019-02-28 | Нчейн Холдингс Лимитед | Способ и система для эффективного перевода криптовалюты, связанной с заработной платой, в блокчейне для создания способа и системы автоматизированной выплаты заработной платы на основе смарт-контрактов |
BR112018016821A2 (pt) | 2016-02-23 | 2018-12-26 | Nchain Holdings Ltd | sistema e métodos implementados por computador |
CN117611331A (zh) | 2016-02-23 | 2024-02-27 | 区块链控股有限公司 | 用于使用区块链在点对点分布式账簿上有效转移实体的方法及系统 |
SG10202007904SA (en) | 2016-02-23 | 2020-10-29 | Nchain Holdings Ltd | A method and system for securing computer software using a distributed hash table and a blockchain |
AU2017223133B2 (en) | 2016-02-23 | 2022-09-08 | nChain Holdings Limited | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys |
CN115641131A (zh) | 2016-02-23 | 2023-01-24 | 区块链控股有限公司 | 在区块链上安全转移实体的方法和系统 |
ES2680851T3 (es) | 2016-02-23 | 2018-09-11 | nChain Holdings Limited | Registro y método de gestión automática para contratos inteligentes ejecutados por cadena de bloques |
US11606219B2 (en) | 2016-02-23 | 2023-03-14 | Nchain Licensing Ag | System and method for controlling asset-related actions via a block chain |
AU2017222421B2 (en) | 2016-02-23 | 2022-09-01 | nChain Holdings Limited | Personal device security using elliptic curve cryptography for secret sharing |
WO2017145004A1 (en) | 2016-02-23 | 2017-08-31 | nChain Holdings Limited | Universal tokenisation system for blockchain-based cryptocurrencies |
KR20180115768A (ko) | 2016-02-23 | 2018-10-23 | 엔체인 홀딩스 리미티드 | 블록체인으로부터 데이터의 안전한 추출을 위한 암호화 방법 및 시스템 |
JP6925346B2 (ja) | 2016-02-23 | 2021-08-25 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | ブロックチェーンベースのトークナイゼーションを用いた交換 |
GB2561729A (en) | 2016-02-23 | 2018-10-24 | Nchain Holdings Ltd | Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system |
JP6833861B2 (ja) | 2016-02-23 | 2021-02-24 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | ブロックチェーンシステム内におけるフィードバックを統合したエージェントベースチューリング完全なトランザクション |
CN109471610B (zh) * | 2018-10-25 | 2021-03-19 | 北京链化未来科技有限公司 | 一种串行随机数生成方法、装置和存储介质 |
CN109361509A (zh) * | 2018-10-25 | 2019-02-19 | 杭州隐知科技有限公司 | 一种随机数生成方法、装置和存储介质 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4926480A (en) * | 1983-08-22 | 1990-05-15 | David Chaum | Card-computer moderated systems |
US4933970A (en) * | 1988-01-19 | 1990-06-12 | Yeda Research And Development Company Limited | Variants of the fiat-shamir identification and signature scheme |
EP0383985A1 (de) * | 1989-02-24 | 1990-08-29 | Claus Peter Prof. Dr. Schnorr | Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem |
JP2993275B2 (ja) * | 1992-05-25 | 1999-12-20 | 三菱電機株式会社 | 認証方法 |
FR2716058B1 (fr) * | 1994-02-04 | 1996-04-12 | France Telecom | Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret. |
FR2717286B1 (fr) * | 1994-03-09 | 1996-04-05 | Bull Cp8 | Procédé et dispositif pour authentifier un support de données destiné à permettre une transaction ou l'accès à un service ou à un lieu, et support correspondant. |
EP0723251A3 (en) * | 1995-01-20 | 1998-12-30 | Tandem Computers Incorporated | Method and apparatus for user and security device authentication |
US6226383B1 (en) | 1996-04-17 | 2001-05-01 | Integrity Sciences, Inc. | Cryptographic methods for remote authentication |
DE19820422A1 (de) * | 1998-05-07 | 1999-11-11 | Giesecke & Devrient Gmbh | Verfahren zur Authentisierung einer Chipkarte innerhalb eines Nachrichtenübertragungs-Netzwerks |
TW536672B (en) | 2000-01-12 | 2003-06-11 | Hitachi Ltd | IC card and microcomputer |
JP3864675B2 (ja) * | 2000-03-09 | 2007-01-10 | 株式会社日立製作所 | 共通鍵暗号装置 |
GB0102516D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Trusted gateway system |
FR2826531B1 (fr) | 2001-06-26 | 2003-10-24 | France Telecom | Procede cryptographique pour la protection d'une puce electronique contre la fraude |
FR2828780B1 (fr) * | 2001-08-20 | 2004-01-16 | France Telecom | Procede de realisation d'une unite cryptographique pour un systeme de cryptographie asymetrique utilisant une fonction logarithme discret |
FR2829645A1 (fr) * | 2001-09-10 | 2003-03-14 | St Microelectronics Sa | Protocole d'authentification a verification d'integrite de memoire |
FR2834403B1 (fr) | 2001-12-27 | 2004-02-06 | France Telecom | Systeme cryptographique de signature de groupe |
US7353395B2 (en) * | 2002-03-21 | 2008-04-01 | Ntt Docomo Inc. | Authenticated ID-based cryptosystem with no key escrow |
-
2003
- 2003-01-24 FR FR0301108A patent/FR2850479B1/fr not_active Expired - Fee Related
-
2004
- 2004-01-15 TW TW093101032A patent/TWI336864B/zh not_active IP Right Cessation
- 2004-01-19 KR KR1020040003931A patent/KR101142656B1/ko active IP Right Grant
- 2004-01-20 US US10/761,040 patent/US7590846B2/en active Active
- 2004-01-21 CN CNB2004100029538A patent/CN100566246C/zh not_active Expired - Lifetime
- 2004-01-23 EP EP04001402A patent/EP1441313B1/fr not_active Expired - Lifetime
- 2004-01-23 MX MXPA04000700A patent/MXPA04000700A/es active IP Right Grant
- 2004-01-23 AT AT04001402T patent/ATE431603T1/de not_active IP Right Cessation
- 2004-01-23 DE DE602004021047T patent/DE602004021047D1/de not_active Expired - Lifetime
- 2004-01-23 AR ARP040100213A patent/AR047012A1/es active IP Right Grant
- 2004-01-26 JP JP2004017044A patent/JP4659149B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
FR2850479B1 (fr) | 2005-04-29 |
DE602004021047D1 (de) | 2009-06-25 |
JP2004229308A (ja) | 2004-08-12 |
JP4659149B2 (ja) | 2011-03-30 |
CN1518270A (zh) | 2004-08-04 |
TW200511136A (en) | 2005-03-16 |
US20040193890A1 (en) | 2004-09-30 |
KR101142656B1 (ko) | 2012-05-11 |
US7590846B2 (en) | 2009-09-15 |
KR20040068472A (ko) | 2004-07-31 |
AR047012A1 (es) | 2006-01-04 |
FR2850479A1 (fr) | 2004-07-30 |
MXPA04000700A (es) | 2004-08-03 |
EP1441313A1 (fr) | 2004-07-28 |
EP1441313B1 (fr) | 2009-05-13 |
CN100566246C (zh) | 2009-12-02 |
ATE431603T1 (de) | 2009-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI336864B (en) | A public key cryptographic method of protecting an electronic chip against fraud | |
US11394697B2 (en) | Efficient methods for authenticated communication | |
US10846663B2 (en) | Systems and methods for securing cryptocurrency purchases | |
US11132677B2 (en) | Method, apparatus and electronic device for blockchain transactions | |
US20240127236A1 (en) | Communications Device, Point Of Sale Device, Payment Device and Methods | |
US10535065B2 (en) | Secure payment transactions based on the public bankcard ledger | |
CN105745678B (zh) | 包括消费者认证的安全远程支付交易处理 | |
US9818112B2 (en) | Method and system for payment authorization and card presentation using pre-issued identities | |
CN107210914A (zh) | 用于安全凭证供应的方法 | |
CN112116344A (zh) | 安全的远程支付交易处理 | |
EP3702991A1 (en) | Mobile payments using multiple cryptographic protocols | |
TW200825967A (en) | System, method, and computer readable medium for micropayment with varying denomination | |
EP1266364B1 (fr) | Procede cryptographique de protection contre la fraude | |
US7526648B2 (en) | Cryptographic method of protecting an electronic chip against fraud | |
CN113627931B (zh) | 一种支付的限制方法和电子设备 | |
FR2739994A1 (fr) | Procede cryptographique de protection contre la fraude | |
Daza et al. | FORCE: Fully off-line secure credits for mobile micro payments | |
CN112465500A (zh) | 用于在区块链内保护私钥交易的系统和方法 | |
CN117057798A (zh) | 一种量子安全的数字货币钱包开通方法及其装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |