WO2001017159A1 - Methode d'encryptage multi-modules - Google Patents

Methode d'encryptage multi-modules Download PDF

Info

Publication number
WO2001017159A1
WO2001017159A1 PCT/IB2000/001157 IB0001157W WO0117159A1 WO 2001017159 A1 WO2001017159 A1 WO 2001017159A1 IB 0001157 W IB0001157 W IB 0001157W WO 0117159 A1 WO0117159 A1 WO 0117159A1
Authority
WO
WIPO (PCT)
Prior art keywords
encryption
module
decryption
key
modules
Prior art date
Application number
PCT/IB2000/001157
Other languages
English (en)
Inventor
Marco Sasselli
Christophe Nicolas
Michael John Hill
Original Assignee
Nagracard Sa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to KR1020027002394A priority Critical patent/KR20020041807A/ko
Priority to NZ517438A priority patent/NZ517438A/en
Application filed by Nagracard Sa filed Critical Nagracard Sa
Priority to AU63118/00A priority patent/AU769437B2/en
Priority to EA200200184A priority patent/EA003745B1/ru
Priority to IL14828500A priority patent/IL148285A0/xx
Priority to EP00949864A priority patent/EP1208666A1/fr
Priority to PL00353795A priority patent/PL353795A1/xx
Priority to UA2002021660A priority patent/UA67860C2/uk
Priority to BR0013712-0A priority patent/BR0013712A/pt
Priority to MXPA02001849A priority patent/MXPA02001849A/es
Priority to APAP/P/2002/002433A priority patent/AP2002002433A0/en
Priority to US10/069,714 priority patent/US7190790B1/en
Priority to DZ003193A priority patent/DZ3193A1/fr
Priority to JP2001520986A priority patent/JP2003508965A/ja
Priority to CA002383042A priority patent/CA2383042A1/fr
Priority to HU0202691A priority patent/HU224846B1/hu
Priority to SK289-2002A priority patent/SK2892002A3/sk
Priority to EEP200200106A priority patent/EE200200106A/xx
Publication of WO2001017159A1 publication Critical patent/WO2001017159A1/fr
Priority to HR20020179A priority patent/HRP20020179A2/hr
Priority to NO20020951A priority patent/NO20020951L/no
Priority to HK03100573.2A priority patent/HK1048407B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Definitions

  • the present invention relates to the field of encryption, or encryption, and decryption or decryption of data, and particularly of data which must remain inaccessible to unauthorized persons or devices in the context of pay television systems.
  • the data is encrypted in a secure environment, housing significant computing powers, and called the encoding subsystem, then sent, by means known per se, to at least one decentralized subsystem where they are decrypted, usually by means of an IRD (Integrated Receiver Decoder) and with the help of a smart card.
  • IRD Integrated Receiver Decoder
  • Speed is understood in the sense of the time required to decrypt the data received.
  • the first criterion is that of physical security, relating to the ease or difficulty of an investigation method by extraction of certain components, followed by their possible replacement by other components. These replacement components, intended to inform the unauthorized person about the nature and operation of the encryption-decryption system, are chosen by him so as not to be detected, or as little as possible, by the rest of the system.
  • a second criterion is that of system security, where attacks are not physically intrusive but require mathematical analysis. Typically, these attacks will be carried out by high-powered computers that will attempt to break algorithms and encryption codes.
  • Encryption means - symmetric key decryption are for example systems called DES (Data Encryption Standard). These relatively old means offer only relative security and physical security. It is in particular for this reason that more and more, the DES, whose key lengths are too small to satisfy the system security conditions, is replaced by encryption means - new decryption or with longer keys. In general, these symmetrical key means use algorithms comprising encryption rounds.
  • Simple Power Analysis we use the fact that a microprocessor responsible for encrypting or decrypting data is connected to a voltage source (generally 5 Volts). When it is at rest, it is traversed by a fixed current of intensity i. When active, the instantaneous intensity i is a function not only of the incoming data, but also of the encryption algorithm. Simple Power Analysis consists in measuring the current i as a function of time. We can therefore deduce the type of algorithm that the microprocessor performs.
  • the Timing Analysis method consists of measuring the calculation time according to a sample presented to the decryption module.
  • the relationship between the sample presented and the calculation time of the result makes it possible to find the secret parameters of the decryption module such as the key.
  • asymmetric key algorithms have been proposed, such as the so-called RSA systems (Rivest, Shamir and Adleman). These systems include the generation of a pair of paired keys, one called public used for encryption, and the other called private used for decryption. These algorithms offer a high level of security, both system and physical. They are however slower than traditional systems, especially at the encryption stage.
  • the requirement to have to resist DPA attacks means using so-called "whitening" scrambling systems, either in the information at the input or at the output of an encryption-decryption algorithm.
  • the whitening technique is described in ⁇ 3.5 of the same document cited above.
  • the object of the present invention is to have an encryption-decryption method which resists modern methods of investigation as described above.
  • the object of the present invention is achieved by the method described in the characterizing part of claim 1.
  • the particularity of the method lies in the fact that an intermediate module does not start when the result of the previous (or upstream) module has finished but starts as soon as some of the information is already available. Therefore, for an outside observer, it is not possible to establish the entry or exit conditions for this module.
  • this chip card containing only relatively limited computing power compared to the encoding subsystem, it is for example advantageous to use a asymmetric public key, relatively quick to operate, during the last stages of decryption. This allows on the one hand to preserve the invulnerability characteristics of the system at the end of the process, and on the other hand to concentrate the computing power, linked essentially to encryption using the private key, in the subsystem encoding.
  • the invention makes it possible to protect against the aforementioned attacks by combining various means of encryption-decryption in an encryption-decryption system, and possibly associating a concatenation or partial nesting with the sequence in which these means are followed.
  • the encryption-decryption system comprises an encoding subsystem where three algorithms are used sequentially:
  • ni is part of the public key of the asymmetric algorithm A1
  • modulo represents the well-known mathematical operator of congruences in the set of relative integers
  • d1 is the private key of algorithm A.
  • the cryptogram c3 starts from the encoding subsystem and reaches the decentralized subsystem by means known per se. In the case of pay-TV systems, it can be both video data and messages.
  • the decentralized subsystem uses, in reverse order to the previous one, three algorithms A1 ', S' and A2 '. These three algorithms are part of three encryption-decryption means A1-A1 ', SS' and A2-A2 ', distributed between the encoding subsystem and the decentralized subsystem, and representing the encryption-decryption system.
  • Concatenation in the decentralized subsystem, consists in starting the decoding step e) while c2 has not yet been completely restored by the previous step d), and in starting the decoding step f) then that d has not been completely restored by step e.
  • the advantage is to thwart an attack which would aim for example first to extract, in the decentralized subsystem, the cryptogram d at the end of step e, to compare it with the data in clear m, then by means of d and m to attack the algorithm A1 ⁇ then to go up the coding chain step by step.
  • Concatenation is not required in the encoding subsystem, which is installed in a secure physical environment. On the other hand, it is useful in the decentralized subsystem.
  • the IRD In the case of pay television, the IRD is indeed installed at the subscriber's and can be the object of attacks of the pre-described type.
  • steps a) and c) that is to say the encryption steps with private keys, are 20 times longer than steps d) and f) of decryption with public keys.
  • the algorithms A1 and A2 are identical as are their counterparts AV and A2 '.
  • step c) the public key e2, n2 of the asymmetric algorithm A2 is used while in step d) the cryptogram c3 is decrypted with the private key d2 of this algorithm.
  • step d) the cryptogram c3 is decrypted with the private key d2 of this algorithm.
  • FIG. 2 shows the decryption operations
  • FIG. 3 shows an alternative to the encryption method
  • a set of data m is introduced into the encryption chain.
  • a first element A1 performs an encryption operation using the so-called private key composed of the exponent d1 and the modulo ni.
  • the result of this operation is represented by C1.
  • the following module begins its operation.
  • This next module S performs its encryption operation with a secret key.
  • the result C2 as soon as partially available is transmitted to the module A2 for the third encryption operation using the so-called private key composed of the exponent d2 and the modulo n2.
  • the final result, called here C3 is ready to be transmitted by known channels such as radio or cable.
  • FIG. 2 represents the decryption system composed of the three decryption modules A1 ′, S ′, A2 ′ similar to those used for encryption, but ordered inversely.
  • the module A2 which performs its decryption operation on the basis of the so-called public key composed of the exponent e2 and the modulo n2.
  • the module A1 performs its operation on the basis of the so-called public key composed of the exponent e1 and the modulo ni.
  • the module A2 uses the so-called public key in place of the so-called private key.
  • the public key e2, n2 is used by the module A2, (see Figure 3) and during decryption (see Figure 4), the module A2 'uses the private key d2, n2 to operate.
  • this configuration presents an overload of work to the decryption unit, the use of a private key reinforces the security offered by the A2 module.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Compression, Expansion, Code Conversion, And Decoders (AREA)
  • Slot Machines And Peripheral Devices (AREA)
  • Coupling Device And Connection With Printed Circuit (AREA)

Abstract

Lors de l'utilisation d'un module d'encryptage-décryptage, des méthodes existent pour déterminer la ou les clés utilisées par le module en analysant les données entrantes ou sortantes du module. Pour pallier ce défaut, la méthode multi-modules proposée consiste à ce que le module aval débute ses opérations d'encryptage-décryptage dès qu'une partie des résultats du module amont est disponible.

Description

METHODE D'ENCRYPTAGE MULTI-MODULES
La présente invention concerne le domaine du chiffrement, ou encryptage, et du déchiffrage ou décryptage de données, et particulièrement de données devant rester inaccessibles aux personnes ou appareils non autorisés dans le cadre de systèmes de télévision à péage. Dans de tels systèmes, les données sont chiffrées dans un environnement sécurisé, abritant des puissances de calcul importantes, et appelé sous-système d'encodage, puis envoyées, par des moyens connus en soi, vers au moins un sous-système décentralisé où elles sont déchiffrées, généralement au moyen d'un IRD (Integrated Receiver Décoder) et avec l'aide d'une carte à puce. Cette carte à puce et le sous-système décentralisé qui coopère avec elle sont librement accessibles par une personne éventuellement non autorisée.
Il est connu de chaîner divers moyens d'encryptage-décryptage dans un système de chiffrage-déchiffrage. Dans toute la suite, on appellera encryptage - décryptage un moyen de cryptage particulier utilisé dans un système plus vaste de chiffrage-déchiffrage.
On cherche depuis longtemps à optimiser le fonctionnement de ces systèmes du triple point de vue de la rapidité, de la place occupée en mémoire et de la sécurité. La rapidité s'entend au sens du temps nécessaire pour déchiffrer les données reçues.
Il est connu des systèmes d'encryptage - décryptage à clés symétriques. Leur sécurité inhérente peut être qualifiée en fonction de plusieurs critères.
Le premier critère est celui de la sécurité physique, relative à la facilité ou à la difficulté d'une méthode d'investigation par extraction de certains composants, suivie de leur remplacement éventuel par d'autres composants. Ces composants de remplacement, destinés à renseigner la personne non autorisée sur la nature et le fonctionnement du système de chiffrage- déchiffrage, sont choisis par elle de manière à ne pas être détectés, ou le moins possible, par le reste du système. Un second critère est celui de la sécurité système, dans le cadre de laquelle les attaques ne sont pas intrusives du point de vue physique mais font appel à de l'analyse de type mathématique. Typiquement, ces attaques seront menées par des ordinateurs de grande puissance qui tenteront de casser les algorithmes et les codes de chiffrement.
Des moyens d'encryptage - décryptage à clés symétriques sont par exemple les systèmes appelés DES (Data Encryption Standard). Ces moyens, relativement anciens, n'offrent plus qu'une sécurité système et une sécurité physique toute relatives. C'est notamment pour cette raison que de plus en plus, le DES, dont les longueurs de clés sont trop petites pour satisfaire aux conditions de sécurité système, est remplacé par des moyens d'encryptage - décryptage nouveaux ou avec des clés plus longues. De manière générale, ces moyens à clés symétriques font appel à des algorithmes comprenant des rondes de chiffrement.
D'autres stratégies d'attaques sont appelées Simple Power Analysis, et Timing Analysis. Dans le Simple Power Analysis, on utilise le fait qu'un microprocesseur chargé d'encrypter ou de décrypter des données est connecté à une source de tension (en général 5 Volts). Lorsqu'il est au repos, il est parcouru par un courant fixe d'intensité i. Quand il est actif, l'intensité instantanée i est fonction, non seulement des données entrantes, mais aussi de l'algorithme d'encryptage. Le Simple Power Analysis consiste à mesurer le courant i en fonction du temps. On peut de ce fait déduire le type d'algorithme que le microprocesseur effectue.
De la même manière, la méthode du Timing Analysis consiste à mesurer la durée de calcul en fonction d'un échantillon présenté au module de décryptage. Ainsi, la relation entre l'échantillon présenté et le temps de calcul du résultat permet de retrouver les paramètres secrets de module de décryptage tel que la clé. Un tel système est décrit par exemple dans le document "Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems" publié par Paul Kocher, Cryptography Research, 870 Market St, Suite 1088, San Francisco, CA-USA. Pour améliorer la sécurité du système de chiffrement, il a été proposé des algorithmes à clé asymétriques, tels que les systèmes dits RSA (Rivest, Shamir et Adleman). Ces systèmes comprennent la génération d'une paire de clés appariées, l'une dite publique servant au chiffrement, et l'autre dite privée servant au déchiffrement. Ces algorithmes présentent un haut niveau de sécurité tant système que physique. Ils sont par contre plus lents que les systèmes traditionnels, surtout au stade du chiffrement.
Les techniques d'attaque les plus récentes font appel à la notion dite DPA, de l'anglais Differential Power Analysis. Ces méthodes sont basées sur des supputations, verifiables au bout d'un grand nombre d'essais, sur la présence d'un 0 ou d'un 1 dans une position donnée de la clé de chiffrement. Elles sont quasiment non destructives, ce qui leur confère une bonne indétectabilité, et font appel à la fois à une composante d'intrusion physique et à une composante d'analyse mathématique. Leur fonctionnement rappelle les techniques d'investigation de champs pétrolifères, où une explosion de puissance connue est générée en surface et où des écouteurs et sondes, placés à des distances également connues du lieu de l'explosion, permettent d'émettre des suppositions sur la composition stratigraphique du sous-sol sans trop avoir à le creuser, grâce à la réflexion des ondes de choc par les limites de couches sédimentaires dans ce sous-sol. Les attaques DPA sont décrites notamment dans le § 2.1. du document "A Cautionary Note Regarding Evaluation of AES Candidates on Smart-Cards", publié le 1er février 1999 par Suresh Chari, Charanjit Jutla, Josyula R. Rao et Pankaj Rohatgi, de l'IBM T.J. Watson Research Center, Yorktown Heights, NY.
L'exigence de devoir résister aux attaques DPA oblige à utiliser des systèmes de brouillage dit "whitening", soit dans les informations à l'entrée, soit en sortie d'un algorithme de chiffrement-déchiffrement. La technique du whitening est décrite dans le § 3.5 du même document précité.
De plus le fait que les puissances de calcul soient limitées dans le sous- système décentralisé d'un système de télévision à péage crée un problème, qui n'a jamais encore été résolu de façon satisfaisante, pour effectuer dans une mesure suffisante le chaînage décrit précédemment. Le but de la présente invention est de disposer d'une méthode d'encryptage- décrytage qui résiste aux méthodes modernes d'investigation telles que décrites ci-dessus.
Le but visé par la présente invention est atteint par la méthode décrite dans la partie caractérisante de la revendication 1.
La particularité de la méthode réside dans le fait qu'un module intermédiaire ne démarre pas lorsque le résultat du module précédent (ou amont) a terminé mais débute dès qu'une partie déjà des informations sont disponibles. De ce fait, pour un observateur extérieur, il n'est pas possible d'établir les conditions d'entrée ou de sortie de ce module.
Comme le déchiffrage intervient dans le sous-système décentralisé coopérant avec la carte à puce, cette carte à puce n'abritant que des puissances de calcul relativement limitées par rapport au sous-système d'encodage, il est par exemple intéressant d'utiliser une clé asymétrique publique, au fonctionnement relativement rapide, lors des dernières étapes du déchiffrage. Ceci permet d'une part de préserver les caractéristiques d'invulnérabilité du système en sortie de processus, et d'autre part de concentrer la puissance de calcul, liée essentiellement au chiffrage à l'aide de la clé privée, dans le sous- système d'encodage.
II a été découvert qu'une sécurité supplémentaire est procurée par la possibilité de concaténer, ou d'imbriquer partiellement, deux moyens d'encryptage-décryptage qui se suivent séquentiellement. On entend par cette concaténation ou imbrication partielle, qui est une traduction de l'anglais "interleaving", le procédé consistant à démarrer l'action du deuxième moyen d'encryptage-décryptage sur les données à un moment où le premier moyen d'encryptage-décryptage n'a pas encore terminé son travail sur ces mêmes données. Ceci permet de masquer les données telles qu'elles résulteraient du travail du premier module et avant qu'elles ne soient soumises à l'action du deuxième module. La chaînage peut démarrer dès que des données calculées en sortie du premier module sont partiellement disponibles pour être traitées par le second module.
L'invention permet de se prémunir contre les attaques précitées en combinant divers moyens d'encryptage-décryptage dans un système de chiffrage- déchiffrage, et en associant éventuellement une concaténation ou imbrication partielle à la séquence dans laquelle se suivent ces moyens.
Dans une forme particulière de réalisation de l'invention, le système de chiffrage-déchiffrage comprend un sous-système d'encodage où trois algorithmes sont utilisés séquentiellement:
a) un algorithme A1 asymétrique à clé privée d1. Cet algorithme A1 effectue une signature sur des données en clair, représentées par un message m, cette opération délivrant un premier cryptogramme d , au moyen d'opérations mathématiques généralement notées dans la profession par la formule : d = m exposant d1 , modulo ni . Dans cette formule, ni fait partie de la clé publique de l'algorithme asymétrique A1 , modulo représente l'opérateur mathématique bien connu des congruences dans l'ensemble des entiers relatifs, et d1 est la clé privée de l'algorithme A.
b) un algorithme S symétrique utilisant une clé secrète K. Cet algorithme convertit le cryptogramme d en un cryptogramme c2.
c) un algorithme A2 asymétrique à clé privée d2. Cet algorithme A2 convertit le cryptogramme c2 en un cryptogramme c3, au moyen de l'opération mathématique notée, comme précédemment, par : c3 = c2 exposant d2 mod n2, formule dans laquelle n2 fait partie de la clé publique de l'algorithme asymétrique A2, et d2 est la clé privée de l'algorithme A2
Le cryptogramme c3 part du sous-système d'encodage et parvient au sous- système décentralisé par des moyens connus en soi. Dans le cas de systèmes de télévision à péage, il peut s'agir aussi bien de données vidéo que de messages. Le sous-système décentralisé utilise, dans l'ordre inverse du précédent, trois algorithmes A1', S' et A2'. Ces trois algorithmes font partie de trois moyens de cryptage-décryptage A1-A1', S-S' et A2-A2', répartis entre le sous-système d'encodage et le sous-système décentralisé, et représentant le système de chiffrage-déchiffrage.
d) l'algorithme A2' effectue sur c3 une opération mathématique restituant c2 et notée: c2 = c3 exposant e2 mod n2. Dans cette formule, l'ensemble constitué de e2 et n2 est la clé publique de l'algorithme asymétrique A2-A2'.
e) l'algorithme symétrique S' symétrique utilisant la clé secrète K restitue le cryptogramme d .
f) l'algorithme A1' asymétrique à clé publique e1 , ni retrouve m en effectuant l'opération mathématique notée: m = d exposant e1 mod ni .
La concaténation, dans le sous-système décentralisé, consiste à démarrer l'étape de décodage e) alors que c2 n'a pas encore été totalement restitué par l'étape précédente d), et à démarrer l'étape de décodage f) alors que d n'a pas été totalement restitué par l'étape e. L'avantage est de déjouer une attaque qui viserait par exemple d'abord à extraire, dans le sous-système décentralisé, le cryptogramme d en fin d'étape e, pour le comparer avec les données en clair m, puis au moyen de d et de m d'attaquer l'algorithme A1\ puis de remonter la chaîne de codage de proche en proche.
La concaténation n'est pas nécessaire dans le sous-système d'encodage, qui est installé dans un environnement physique sécurisé. Elle est par contre utile dans le sous-système décentralisé. Dans le cas de la télévision à péage, l'IRD est en effet installé chez l'abonné et peut être l'objet des attaques du type prédécrit.
On conçoit qu'une attaque d'une combinaison de trois algorithmes de décryptage A1\ S' et A2' concaténés a beaucoup moins de chances de réussir que si les cryptogrammes d et c2 sont intégralement reconstitués entre chaque étape d), e) et f). Par ailleurs, le fait que les algorithmes A1' et A2' soient utilisés avec des clés publiques e1 , ni et e2, n2 fait que les moyens de calcul nécessaires dans le sous-système décentralisé sont bien plus réduits que dans le sous-système d'encodage.
A titre d'exemple et pour fixer les idées, les étapes a) et c) c'est-à-dire les étapes d'encryptage avec clés privées, sont 20 fois plus longues que les étapes d) et f) de décryptage avec clés publiques.
Dans une forme particulière de réalisation de l'invention, dérivée de la précédente, les algorithmes A1 et A2 sont identiques de même que leurs contreparties AV et A2'.
Dans une forme particulière de réalisation de l'invention, également dérivée de la précédente, dans l'étape c) on utilise la clé publique e2, n2 de l'algorithme asymétrique A2 alors que dans l'étape d) on décrypte le cryptogramme c3 avec la clé privée d2 de cet algorithme. Cette forme constitue une alternative possible lorsque les ressources du sous-système décentralisé en puissance de calcul sont loin d'être atteintes.
Bien que les cartes à puces sont utilisées majoritairement pour le décryptage des données, il existe également des cartes à puces ayant les capacités nécessaires pour effectuer des opérations de cryptage. Dans ce cas, les attaques décrites plus haut vont se porter également sur ces cartes de cryptage qui fonctionnent hors d'endroits protégés tels qu'un centre de gestion. C'est pourquoi la méthode selon l'invention s'applique également aux opérations de cryptage en série c'est à dire que le module aval débute son opération de cryptage dès qu'une partie des informations délivrées par le module amont sont disponibles. Ce procédé à l'avantage d'imbriquer les différents modules de cryptage avec comme conséquence que le résultat du module amont n'est pas disponible complètement à un temps donné. De plus, le module en aval ne débute pas ses opérations avec un résultat complet mais sur des parties ce qui rend impraticable d'interpréter le fonctionnement d'un module par rapport à un état d'entrée ou de sortie connu.
La présente invention sera comprise plus en détail grâce aux dessins suivants, pris à titre non limitatifs, dans lesquels: la figure 1 représente les opérations de cryptage
la figure 2 représente les opérations de décryptage
la figure 3 représente une alternative à la méthode de cryptage
Sur la figure 1 , un ensemble de données m est introduit dans la chaîne de cryptage. Un premier élément A1 effectue une opération de cryptage en utilisant la clé dite privée composée de l'exposent d1 et du modulo ni . Le résultat de cette opération est représenté par C1. Selon le mode de fonctionnement de l'invention, dès qu'une partie du résultat C1 est disponible, le module suivant débute son opération. Ce module suivant S effectue son opération de cryptage avec une clé secrète. Le résultat C2 dès que partiellement disponible est transmis au module A2 pour la troisième opération de cryptage utilisant la clé dite privée composée de l'exposant d2 et du modulo n2. Le résultat final, dénommé ici C3 est prêt pour être transmis par des voies connues tels que voie hertzienne ou par câble.
La figure 2 représente le système de décryptage composé des trois modules de décryptage A1', S', A2' similaires à ceux ayant servi à l'encryptage, mais ordonné inversement. Ainsi, l'on commence d'abord avec le module A2' qui effectue son opération de décryptage sur la base de la clé dite publique composées de l'exposant e2 et du modulo n2. De la même manière que pour l'encryptage, dès qu'une partie du résultat C2 du module A2' est disponible, il est transmis au module S' pour la deuxième opération de décryptage. Pour terminer le décryptage, le module A1' effectue son opération sur la base de la clé dite publique composée de l'exposent e1 et du modulo ni .
Dans une forme particulière de l'invention, les clés des deux modules A1 et A2 sont identiques, c'est-à-dire que côté encryptage, d1 =d2 et n1 =n2. Par analogie, lors du décryptage, e1=e2 et n1 =n2. Dans ce cas, on parle de la clé privée d, n et de la clé publique e, n.
Dans une autre forme de l'invention, telle qu'illustrée aux figures 3 et 4, le module A2 utilise la clé dite publique à la place de la clé dite privée. Au moment de l'encryptage, la clé publique e2, n2 est utilisée par le module A2, (voir figure 3) et lors du décryptage (voir figure 4), le module A2' utilise la clé privée d2, n2 pour opérer. Bien que cette configuration présente une surcharge de travail à l'ensemble de décryptage, l'utilisation d'une clé privée renforce la sécurité offerte par le module A2.
L'exemple illustré aux figures 3 et 4 n'est pas restrictif pour d'autres combinaisons. Par exemple, il est possible de configurer le module A1 pour qu'il effectue l'opération d'encryptage avec la clé publique et le décryptage avec la clé privée.
Il est également possible de remplacer le module d'encryptage-décryptage à clé secrète S par un module de type à clé asymétriques du même type que les module A1 et A2.

Claims

REVENDICATIONS
1. Méthode de cryptage et de décryptage utilisant plusieurs modules d'encryptage-décryptage en série, caractérisée en ce que le module d'encryptage-décryptage en aval débute son opération dès qu'une partie du résultat du module d'encryptage-décryptage amont est disponible.
2. Méthode selon la revendication 1 , caractérisée en ce que le module de décryptage en aval débute son opération de décryptage dès qu'une partie du résultat du module de décryptage amont est disponible.
3. Méthode selon la revendication 1 , caractérisée en ce que le module d'encryptage en aval débute son opération de cryptage dès qu'une partie du résultat du module amont est disponible.
4. Méthode selon les revendication 1 à 3, caractérisée en ce qu'elle met en œuvre trois modules (A1 , S, A2) , le module central (S) étant de type à clé symétrique secrète (k).
5. Méthode selon la revendication précédente, caractérisée en ce que le premier module (A1 ) et le dernier module (A2) pour l'encryptage et le premier module (A2) et le dernier module (A1 ) pour le décryptage sont du type RSA à clés asymétriques soit avec une clé privée et une clé publique.
6. Méthode selon la revendication précédente, caractérisée en ce que les deux modules (A1 , A2) utilisent la clé dite privée (d,n; d1 ,n1 ; d2,n2) pour l'encryptage et la clé dite publique (e, n; e1 ,n1 ; e2,n2) pour le décryptage.
7. Méthode selon la revendication précédente, caractérisée en ce que les deux modules (A1 , A2) utilisent un même jeu de clé privée (d, n) et publique (e, n).
8. Méthode selon la revendication 6, caractérisée en ce que les deux modules (A1 , A2) utilisent un jeu différent de clés privée (d1 ,n1 ; d2,n2) et publique (e1 , ni ; e2,n2).
9. Méthode selon la revendication 5, caractérisée en ce que lors de l'encryptage, le dernier module (A2) utilise la clé dite publique (e2,n2) et lors du décryptage, le premier module (A2) utilise la clé dite privée (d2,n2).
10. Méthode selon les revendications 1 à 3, caractérisée en ce qu'elle met en œuvre trois modules (A1 , A, A2) d'encryptage-décryptage à clés asymétriques.
PCT/IB2000/001157 1999-08-30 2000-08-24 Methode d'encryptage multi-modules WO2001017159A1 (fr)

Priority Applications (21)

Application Number Priority Date Filing Date Title
HU0202691A HU224846B1 (en) 1999-08-30 2000-08-24 Encryption and decryption method
MXPA02001849A MXPA02001849A (es) 1999-08-30 2000-08-24 Metodo de encriptacion multi-modulos.
AU63118/00A AU769437B2 (en) 1999-08-30 2000-08-24 Multiple module encryption method
EA200200184A EA003745B1 (ru) 1999-08-30 2000-08-24 Способ мультимодульного шифрования
IL14828500A IL148285A0 (en) 1999-08-30 2000-08-24 Multiple module encryption method
EP00949864A EP1208666A1 (fr) 1999-08-30 2000-08-24 Methode d'encryptage multi-modules
PL00353795A PL353795A1 (en) 1999-08-30 2000-08-24 Multiple module encryption method
UA2002021660A UA67860C2 (en) 1999-08-30 2000-08-24 Method for coding and decoding data
US10/069,714 US7190790B1 (en) 1999-08-30 2000-08-24 Multiple module encryption method
KR1020027002394A KR20020041807A (ko) 1999-08-30 2000-08-24 다중-모듈 암호화 방법
APAP/P/2002/002433A AP2002002433A0 (en) 1999-08-30 2000-08-24 Multiple module encryption method.
BR0013712-0A BR0013712A (pt) 1999-08-30 2000-08-24 Método de codificação multi-módulos
DZ003193A DZ3193A1 (fr) 1999-08-30 2000-08-24 Méthode d'encryptage multi-modules.
JP2001520986A JP2003508965A (ja) 1999-08-30 2000-08-24 マルチモジュール暗号化方法
CA002383042A CA2383042A1 (fr) 1999-08-30 2000-08-24 Methode d'encryptage multi-modules
NZ517438A NZ517438A (en) 1999-08-30 2000-08-24 Multiple module encryption method
SK289-2002A SK2892002A3 (en) 1999-08-30 2000-08-24 Multiple module encryption method
EEP200200106A EE200200106A (et) 1999-08-30 2000-08-24 Mitme mooduliga krüptimismeetod
HR20020179A HRP20020179A2 (en) 1999-08-30 2002-02-27 Multiple module encryption method
NO20020951A NO20020951L (no) 1999-08-30 2002-02-27 Fremgangsmåte for multimodul kryptering
HK03100573.2A HK1048407B (zh) 1999-08-30 2003-01-23 多模塊加密方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
CH1573/99 1999-08-30
CH157399 1999-08-30
US19417100P 2000-04-03 2000-04-03
US60/194,171 2000-04-03

Publications (1)

Publication Number Publication Date
WO2001017159A1 true WO2001017159A1 (fr) 2001-03-08

Family

ID=25688037

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/IB2000/001157 WO2001017159A1 (fr) 1999-08-30 2000-08-24 Methode d'encryptage multi-modules

Country Status (27)

Country Link
EP (1) EP1208666A1 (fr)
JP (1) JP2003508965A (fr)
KR (1) KR20020041807A (fr)
CN (1) CN100448193C (fr)
AP (1) AP2002002433A0 (fr)
AU (1) AU769437B2 (fr)
BG (1) BG64520B1 (fr)
BR (1) BR0013712A (fr)
CA (1) CA2383042A1 (fr)
CU (1) CU22950A3 (fr)
CZ (1) CZ2002582A3 (fr)
DZ (1) DZ3193A1 (fr)
EA (1) EA003745B1 (fr)
EE (1) EE200200106A (fr)
HK (1) HK1048407B (fr)
HR (1) HRP20020179A2 (fr)
HU (1) HU224846B1 (fr)
IL (1) IL148285A0 (fr)
MA (1) MA25431A1 (fr)
MX (1) MXPA02001849A (fr)
NO (1) NO20020951L (fr)
NZ (1) NZ517438A (fr)
OA (1) OA12153A (fr)
PL (1) PL353795A1 (fr)
SK (1) SK2892002A3 (fr)
TR (1) TR200200525T2 (fr)
WO (1) WO2001017159A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10977631B2 (en) 2006-05-15 2021-04-13 The Directv Group, Inc. Secure content transfer systems and methods to operate the same
US11689549B2 (en) 2017-01-30 2023-06-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19539700C1 (de) * 1995-10-25 1996-11-28 Siemens Ag Sicherheitschip
US5594797A (en) * 1995-02-22 1997-01-14 Nokia Mobile Phones Variable security level encryption

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5594797A (en) * 1995-02-22 1997-01-14 Nokia Mobile Phones Variable security level encryption
DE19539700C1 (de) * 1995-10-25 1996-11-28 Siemens Ag Sicherheitschip

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
RENZY M ET AL: "A BLOCK CIPHER METHOD USING COMBINATIONS OF DIFFERENT METHODS UNDERTHE CONTROL OF THE USER KEY", PROCEEDINGS OF THE WORKSHOP ON THE THEORY AND APPLICATION OF CRYPTOGRAPHIC TECHNIQUES,DE,BERLIN, SPRINGER, vol. CONF. 3, pages 531-534, XP000470470, ISBN: 3-540-57220-1 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10977631B2 (en) 2006-05-15 2021-04-13 The Directv Group, Inc. Secure content transfer systems and methods to operate the same
US11689549B2 (en) 2017-01-30 2023-06-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection

Also Published As

Publication number Publication date
MA25431A1 (fr) 2002-04-01
HUP0202691A2 (en) 2002-12-28
MXPA02001849A (es) 2004-02-26
DZ3193A1 (fr) 2001-03-08
CZ2002582A3 (cs) 2002-07-17
HK1048407B (zh) 2009-09-25
PL353795A1 (en) 2003-12-01
CA2383042A1 (fr) 2001-03-08
HRP20020179A2 (en) 2004-02-29
NO20020951D0 (no) 2002-02-27
OA12153A (fr) 2006-05-08
AU6311800A (en) 2001-03-26
BG64520B1 (bg) 2005-05-31
BR0013712A (pt) 2002-05-07
TR200200525T2 (tr) 2002-07-22
AU769437B2 (en) 2004-01-29
EE200200106A (et) 2003-04-15
BG106436A (en) 2002-10-31
KR20020041807A (ko) 2002-06-03
IL148285A0 (en) 2002-09-12
CN1371563A (zh) 2002-09-25
NO20020951L (no) 2002-04-23
NZ517438A (en) 2003-09-26
EP1208666A1 (fr) 2002-05-29
AP2002002433A0 (en) 2002-03-31
HK1048407A1 (en) 2003-03-28
JP2003508965A (ja) 2003-03-04
CN100448193C (zh) 2008-12-31
HU224846B1 (en) 2006-03-28
SK2892002A3 (en) 2002-07-02
CU22950A3 (es) 2004-04-13
EA200200184A1 (ru) 2002-06-27
EA003745B1 (ru) 2003-08-28

Similar Documents

Publication Publication Date Title
EP2380306B1 (fr) Circuit de cryptographie protege contre les attaques en observation, notamment d'ordre eleve
EP2380305B1 (fr) Circuit de cryptographie, protégé notamment contre les attaques par observation de fuites d'information par leur chiffrement
EP2458776A1 (fr) Procédé et système de protection d'un dispositif de cryptographie
FR2496303A1 (fr) Systeme de chiffrage/dechiffrement de donnees a cle publique
EP2887574A1 (fr) Procédé de conversion d'un contenu à acces conditionnel
EP2415199B1 (fr) Procede pour effectuer une tache cryptographique dans un composant electronique
EP2707989B1 (fr) Dispositif et procede de generation de cles a securite renforcee pour algorithme de chiffrement pleinement homomorphique
CA2816933C (fr) Protection contre les ecoutes passives
EP3300292B1 (fr) Procédé de chiffrement ou de déchiffrement protégé contre des attaques par canaux cachés
EP1904921A1 (fr) Procede cryptographique pour la mise en oeuvre securisee d'une exponentiation et composant associe
EP0756398B1 (fr) Système et procédé de communication de messages cryptés selon un procédé de type R.S.A. avec réduction modulaire pour obtenir un décryptage rapide
EP1538508A1 (fr) Procédé et dispositif de chiffrement et dechiffrement à la volée
EP1208666A1 (fr) Methode d'encryptage multi-modules
EP4096144A1 (fr) Contremesures par infection améliorées
FR2923968A1 (fr) Procede de partage d'un secret fort entre deux parties dont l'une dispose de peu de puissance de traitement.
FR2818846A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie
FR3016987A1 (fr) Echelle de montgomery desequilibree
EP3716044B1 (fr) Protection d'un calcul itératif
EP4024753B1 (fr) Procédé et module électronique de calcul d'une quantité cryptographique avec multiplications sans retenue, procédé et dispositif électronique de traitement d'une donnée et programme d'ordinateur associés
EP0962069A1 (fr) Systeme cryptographique comprenant un systeme de chiffrement et de dechiffrement et un systeme de sequestre de cles, et les appareils et dispositifs associes
EP3340096B1 (fr) Procédé de configuration d'un programme cryptographique destiné à être exécuté par un terminal
EP1670172A1 (fr) Procédé et système d'encryption par un proxy.
EP4270855A1 (fr) Protection contre les attaques par canal auxiliaire a l aide d'un masquage carre
FR3145222A1 (fr) Protection contre les attaques par canal auxiliaire d’un algorithme cryptographique impliquant une table de substitution
FR3135854A1 (fr) Fourniture sécurisée de clefs pour un cryptage totalement homomorphe

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 1200200192

Country of ref document: VN

AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CR CU CZ DE DK DM DZ EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: PV2002-582

Country of ref document: CZ

WWE Wipo information: entry into national phase

Ref document number: 200201394

Country of ref document: ZA

WWE Wipo information: entry into national phase

Ref document number: IN/PCT/2002/00206/DE

Country of ref document: IN

Ref document number: 200200184

Country of ref document: EA

WWE Wipo information: entry into national phase

Ref document number: PA/a/2002/001849

Country of ref document: MX

Ref document number: 148285

Country of ref document: IL

Ref document number: 2000949864

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 1020027002394

Country of ref document: KR

Ref document number: 517438

Country of ref document: NZ

ENP Entry into the national phase

Ref document number: 2000 106436

Country of ref document: BG

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 2383042

Country of ref document: CA

Ref document number: 2892002

Country of ref document: SK

WWE Wipo information: entry into national phase

Ref document number: P20020179A

Country of ref document: HR

Ref document number: 2002/00525

Country of ref document: TR

WWE Wipo information: entry into national phase

Ref document number: 008122938

Country of ref document: CN

Ref document number: 63118/00

Country of ref document: AU

WWE Wipo information: entry into national phase

Ref document number: DZP2002000058

Country of ref document: DZ

WWE Wipo information: entry into national phase

Ref document number: 10069714

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 2000949864

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 1020027002394

Country of ref document: KR

WWP Wipo information: published in national office

Ref document number: PV2002-582

Country of ref document: CZ

REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

WWP Wipo information: published in national office

Ref document number: 517438

Country of ref document: NZ

WWG Wipo information: grant in national office

Ref document number: 517438

Country of ref document: NZ

WWG Wipo information: grant in national office

Ref document number: 63118/00

Country of ref document: AU