WO2001097009A1 - Procede de calcul cryptographique comportant une routine d'exponentiation modulaire - Google Patents

Procede de calcul cryptographique comportant une routine d'exponentiation modulaire Download PDF

Info

Publication number
WO2001097009A1
WO2001097009A1 PCT/FR2001/001622 FR0101622W WO0197009A1 WO 2001097009 A1 WO2001097009 A1 WO 2001097009A1 FR 0101622 W FR0101622 W FR 0101622W WO 0197009 A1 WO0197009 A1 WO 0197009A1
Authority
WO
WIPO (PCT)
Prior art keywords
calculation
exponentiation
loop
hazard
introducing
Prior art date
Application number
PCT/FR2001/001622
Other languages
English (en)
Inventor
Christophe Tymen
David Naccache
Original Assignee
Gemplus
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus filed Critical Gemplus
Priority to AU2001264026A priority Critical patent/AU2001264026A1/en
Publication of WO2001097009A1 publication Critical patent/WO2001097009A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7223Randomisation as countermeasure against side channel attacks
    • G06F2207/7233Masking, e.g. (A**e)+r mod n
    • G06F2207/7238Operand masking, i.e. message blinding, e.g. (A+r)**e mod n; k.(P+R)

Definitions

  • the present invention relates to a cryptographic calculation method in which sequences of program instructions are executed, and more specifically comprising a modular exponentiation calculation routine.
  • Many cryptographic calculation methods include at least one modular exponentiation calculation routine, such as for example the RSA (from the name of its inventors Rivest Shamir Adleman) or methods exploiting calculations on elliptic curves such as the ECDSA for example (from English Elliptic Curve Digital Standard Algorithm) or ECDH (from English Elliptic Curve Diffie Helmann).
  • RSA from the name of its inventors Rivest Shamir Adleman
  • ECDSA for example (from English Elliptic Curve Digital Standard Algorithm) or ECDH (from English Elliptic Curve Diffie Helmann).
  • ECDSA for example
  • ECDSA from English Elliptic Curve Digital Standard Algorithm
  • ECDH from English Elliptic Curve Diffie Helmann
  • FIG. 1 schematically illustrates the structure of '' a micro-controller for smart card.
  • a microcontroller integrated on a chip, comprises a microprocessor, or CPU, capable of processing the data and programs recorded on the chip.
  • the microprocessor is associated with different types of memories by means of data buses.
  • An input / output device composed of a connector, for a contact smart card, provides dialogues with the outside world.
  • the operations of the microcontroller are sequenced by a clock (CLK).
  • CLK clock
  • the microcontroller also has a Vcc power supply and a GND earth.
  • the execution of programs by the microcontroller must be secure because all or part of the data handled is secret. This security essentially consists in avoiding that the data manipulated during the execution of the instructions of a program can be interpreted outside the secure component. Such information leakage is possible due to the very structure of the microcontroller which can undergo so-called current attacks, or DPA for “Differential Power Attac” in English terminology.
  • FIG. 2 illustrates the principle of a current attack by a graph of the current consumption I of the chip as a function of the number of clock strokes t.
  • the microprocessor executes a program composed of a sequence of instructions (Insl, Ins2, Ins3, 7), with a secret algorithm or not, it will look for the necessary data in memory, process them and write the results in memory .
  • the most used method consists in calculating a series of squares and multiplications. If this calculation routine is repeated several times without the input data x and a being modified, the current consumption will be identical and will provide information about the exhibitor, private and secret, to an attacker.
  • the present invention relates to a cryptographic calculation method in which the exponentiation calculation routine does not reveal any information on the private exhibitor.
  • the invention proposes a random and non-reproducible execution at each calculation sequence by calling upon hazards in the calculations of squares and multiplications.
  • the invention relates more particularly to a cryptography method for the generation of probabilistic digital signatures and / or for a key exchange protocol and / or for an encryption algorithm, said method comprising a step of calculating exponentiation (x a ) a public module (x) by a private exponent (a) based on a loop of calculations on an intermediate variable (y) of squares (y 2 ) and of multiplications (y * x), characterized in that the method consists in introducing a hazard (ri) in the calculation of the square (y 2 ) and / or a hazard (r 2 ) in the calculation of the multiplication (y * x), said hazards (ri, r 2 ) being generated at each call to the exponentiation calculation routine (x a ).
  • the cryptography algorithm is the RSA (named after its inventors Rivest Shamir Adleman).
  • the cryptography algorithm is the ECDSA (from the English Elliptic Curve Digital Signature Algorithm).
  • the cryptography algorithm is the ECDH (from the English Elliptic Curve Diffie Helmann).
  • the invention also relates to a secure device, of the smart card type, and / or a computing device, of the computer type provided with encryption software, comprising an electronic component capable of implementing the exponentiation calculation method. according to the invention.
  • the invention has the advantage of proposing a totally random execution without really increasing the execution time of the routine of the exponentiation calculation.
  • FIG. 1 already described, schematically illustrates an integrated circuit chip fitted with a microcontroller
  • FIG. 2 already described, is a graph illustrating the method of the current attack of a secure electronic component.
  • the modular exponentiation calculation consists in calculating x a with x a fixed public datum and a secret private exponent, x and a being two integers.
  • a classic method for performing this exponentiation calculation known by the English expression “square and multiply”, consists of breaking it down into a series of calculations of squares and multiplications.
  • the exponentiation calculation therefore consists in carrying out the following loop for i going from n-1 to 0:
  • one solution consists in introducing risks into the input data of the loop of the routine of the exponentiation calculation, thus avoiding a reproducibility of the current consumption between two calls to this routine.
  • two hazards are generated to protect respectively the calculation of the square and the multiplication.
  • ri and r 2 be two random integers generated during each call to the exponentiation calculation routine.
  • the exponentiation calculation then consists in carrying out the following loop for i going from n-1 to 0:
  • ai l
  • we ax a y.
  • the method according to the invention makes it possible to avoid DPA attacks without significantly increasing the computation time. Indeed, the calculations of squares and multiplications are costly in time, but not additions and equalities. However, by a first calculation of di and d 2 , the operations costly in time are eliminated from the calculation loop.

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Analysis (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • General Engineering & Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention concerne un procédé de cryptographie pour la génération de signatures numériques probabilistes et/ou pour un protocole d'échange de clé et/ou pour un algorithme de chiffrement, ledit procédé comprenant une étape de calcul d'exponentiation (xa) d'un module public (x) par un exposant privé (a) basé sur une boucle de calculs sur une variable intermédiaire (y) de carrés (y2) et de multiplications (y*x), caractérisé en ce que le procédé consiste à introduire un aléa (r¿1?) dans le calcul du carré (y?2¿) et/ou un aléa (r¿2?) dans le calcul de la multiplication (y?*¿x), lesdits aléas (r¿1?, r2) étant générés à chaque appel à la routine de calcul d'exponentiation (x?a¿).

Description

PROCEDE DE CALCUL CRYPTOGRAPHIQUE COMPORTANT UNE ROUTINE D'EXPONENTIATION MODULAIRE
La présente invention concerne un procédé de calcul cryptographique dans lequel des séquences d'instructions de programmes sont exécutées, et comportant plus spécifiquement une routine de calcul d'exponentiation modulaire.
De nombreux procédés de calcul cryptographique comportent au moins une routine de calcul d'exponentiation modulaire, comme par exemple le RSA (du nom de ses inventeurs Rivest Shamir Adleman) ou des procédés exploitant des calculs sur courbes elliptiques tel que le ECDSA par exemple (de l'anglais Elliptic Curve Digital Standard Algorithm) ou le ECDH (de l'anglais Elliptic Curve Diffie Helmann) . De tels procédés sont basés sur l'utilisation d'un algorithme à clé publique, et peuvent s'appliquer à la génération de signatures numériques probabilistes d'un message et/ou à un protocole d'échange de clé et/ou à un algorithme de chiffrement d'un message- La présente invention s'applique en particulier à des procédés de calcul cryptographique mis en œuvre par des composants électroniques sécurisés tels que des micro-contrôleurs pour carte à puce par exemple- La figure 1 illustre schématiquement la structure d'un micro-contrôleur pour carte à puce. Un tel microcontrôleur, intégré sur une puce, comporte un microprocesseur, ou CPU, apte à traiter les données et programmes enregistrés sur la puce. Le microprocesseur est associé à différents types de mémoires au moyen de bus de données. Un organe d'entrée/sortie composé d'un connecteur, pour une carte à puce à contact, assure les dialogues avec le monde extérieur. Les opérations du micro-contrôleur sont séquencées par une horloge (CLK) . Le micro-contrôleur a en outre une alimentation Vcc et une terre GND.
L'exécution de programmes par le micro-contrôleur doit être sécurisée car tout ou partie des données manipulées sont secrètes. Cette sécurisation consiste essentiellement à éviter que les données manipulées lors de l'exécution des instructions d'un programme puissent être interprétées à l'extérieur du composant sécurisé. Une telle fuite d'information est possible de par la structure même du micro-contrôleur qui peut subir ce que l'on appelle des attaques en courant, ou DPA pour « Differential Power Attac » en terminologie anglaise .
La figure 2 illustre le principe d'une attaque en courant par un graphe de la consommation de courant I de la puce en fonction du nombre de coups d'horloge t.
Lorsque le microprocesseur exécute un programme composé d'une séquence d'instructions (Insl, Ins2, Ins3,...), avec un algorithme secret ou non, il va chercher les données nécessaires en mémoire, les traite et écrit les résultats en mémoire.
Classiquement, l'exécution d'une séquence d'instructions se déroule toujours de la même manière, identique et déterminée.
Il devient alors possible de réaliser une attaque en courant par la simple lecture de la consommation en courant du micro-contrôleur (à partir de son alimentation Vcc) qui peut laisser transparaître des informations sur les données secrètes manipulées. Pour obtenir de telles informations, il est nécessaire de réaliser la même séquence d' instructions plusieurs fois. Il devient alors possible de corréler la consommation de courant avec les données traitées lors de l'exécution de la même instruction. La consommation de courant du micro-contrôleur peut ainsi devenir un véritable témoin des données manipulées.
Par exemple, un attaquant peut procéder de la manière suivante. Si on considère une donnée secrète de huit octets k[i] avec i de 1 à 8. On utilise un accumulateur et on réalise une boucle pour i de 1 à 8 Acc= k[i]xor k[i+l]. A la fin de la boucle, on obtient Acc= xor (Σ (i=là8) k[i] ) . Lorsque l'on observe la consommation de courant I en fonction du temps lors de cette séquence (boucle) , on obtient une courbe à' l'allure cyclique qui est le reflet de ce qui a été exécuté dans le micro-contôleur, c'est à dire que dans l'exemple cité on obtient huit signaux identiques pour les huit opérations de la boucle. Néanmoins, si l'on compare chaque élément des signaux, on parvient à extraire des différences, et ainsi des informations sur les k[i] secrets. L'observation est en outre facilité par la possibilité de faire exécuter la même boucle plusieurs fois. La consommation de courant de la carte étant la même pour une même séquence d'opérations, on parvient à extraire l'information recherchée.
Il devient par conséquent indispensable d'éliminer cette répétition dans la consommation de courant pour une même séquence d'instructions.
Dans le cas d'un calcul d'exponentiation, qui consiste à calculer xa avec x une donnée publique et a une donnée privée, la méthode la plus usitée consiste à calculer une série de carrés et de multiplications. Si cette routine de calcul est répétée plusieurs fois sans que les données d'entrée x et a soient modifiées, la consommation en courant sera identique et fournira des informations sur l'exposant a, privé et secret, à un attaquant.
La présente invention a pour objet un procédé de calcul cryptographique dans lequel la routine de calcul d'exponentiation ne révèle aucune information sur l'exposant privé.
A cet effet, l'invention propose une exécution aléatoire et non reproductible à chaque séquence de calcul en faisant appel à des aléas dans les calculs de carrés et de multiplications.
L'invention concerne plus particulièrement un procédé de cryptographie pour la génération de signatures numériques probabilistes et/ou pour un protocole d'échange de clé et/ou pour un algorithme de chiffrement, ledit procédé comprenant une étape de calcul d'exponentiation (xa) d'un module public (x) par un exposant privé (a) basé sur une boucle de calculs sur une variable intermédiaire (y) de carrés (y2) et de multiplications (y*x) , caractérisé en ce que le procédé consiste à introduire un aléa (ri) dans le calcul du carré (y2) et/ou un aléas (r2) dans le calcul de la multiplication (y*x) , lesdits aléas (ri, r2) étant générés à chaque appel à la routine de calcul d'exponentiation (xa) .
Selon une caractéristique, le calcul du carré (y2) consiste à introduire un aléa (ri) par le calcul de l'identité remarquable y2=(y+rα) (y-rχ) + di, avec dι=rι2.
Selon une autre caractéristique, le calcul de la multiplication (y*x) consiste à introduire un aléa (r2) par le calcul de y*x =(y-r2)*x +d2, avec d2=r2*x.
Selon une application, l'algorithme de cryptographie est le RSA (du nom de ses inventeurs Rivest Shamir Adleman) . Selon une autre application, l'algorithme de cryptographie est le ECDSA (de l'anglais Elliptic Curve Digital Signature Algorithme) .
Selon une autre application, l'algorithme de cryptographie est le ECDH (de l'anglais Elliptic Curve Diffie Helmann) .
L'invention concerne également un dispositif sécurisé, de type carte à puce, et/ou un dispositif de calcul, de type ordinateur muni d'un logiciel de chiffrement, comportant un composant électronique apte à mettre en œuvre le procédé de calcul d'exponentiation selon l'invention.
L'invention présente l'avantage de proposer une exécution totalement aléatoire sans vraiment augmenter le temps d' exécution de la routine du calcul d' exponentiation.
Ainsi, pour la même opération (carré et multiplication) répétée plusieurs fois, la génération d'aléas différents entraînent une exécution différente de la routine. La corrélation entre la consommation de courant et les données manipulées devient alors impossible.
D'autre avantages et particularités de l'invention apparaîtront au cours de la description qui suit donnée à titre d'exemple illustratif et non limitatif en référence aux figures dans lesquelles :
La figure 1, déjà décrite, illustre schématiquement une puce de circuit intégré munie d'un micro-contrôleur, - La figure 2, déjà décrite, est un graphe illustrant le procédé de l'attaque en courant d'un composant électronique sécurisé. Le calcul d' exponentiation modulaire consiste à calculer xa avec x une donnée publique fixée et a un exposant privé secret, x et a étant deux entiers.
Une méthode- classique pour effectuer ce calcul d'exponentiation, connue sous l'expression anglo- saxonne de « square and multiply », consiste à le décomposer en une série de calculs de carrés et de multiplications. L'entier a est exprimé en base 2 sous la forme a=∑i=oàn 2xa, , avec ai=0 ou 1 secrets et n la taille du groupe mathématique sur lequel on travaille, par exemple une courbe elliptique avec n=163.
Le calcul d'exponentiation consiste a-lors à réaliser la boucle suivante pour i allant de n-1 à 0 :
Soit une variable intermédiaire initialisée à y=x ;
Pour i= n-1 à 0, y=y2 si a±≈l, y=y*x
En fin de boucle, on a xa=y.
On remarque que dans une telle méthode, si la boucle est appelée plusieurs fois, les mêmes calculs seront effectués avec les mêmes données. Le calcul d'exponentiation est donc une cible pour une attaque DPA.
Afin d'éviter une telle attaque en courant, une solution consiste à introduire des aléas dans les données d' entrée de la boucle de la routine du calcul d'exponentiation, évitant ainsi une reproductibilité de la consommation en courant entre deux appels à cette routine.
Selon l'invention, deux aléas sont générés pour protéger respectivement le calcul du carré et de la multiplication.
Le procédé selon l'invention est basé sur les identités mathématiques suivantes : x2=(x+r) * (x-r)+r2. y*x=(y-r)*x + v, avec v=r*x.
Soit ri et r2, deux entiers aléatoires générés lors de chaque appel à la routine de calcul d' exponentiation.
Soit dι= rx 2 et d2= r2*x.
Le calcul d'exponentiation consiste alors à réaliser la boucle suivante pour i allant de n-1 à 0 : La variable intermédiaire y est initialisée à y=x. Pour i= n-1 à 0, z=y, avec z une autre variable intermédiaire y=(y+rι)*(y-rι)+dι rι=z dι=y si ai=l, z=y y=(y-r2)*x +d2 r2=z d2=y En fin de boucle, on a xa=y.
On remarque que dans le procédé selon l'invention, les aléas changent à chaque itération de la boucle puisque ri/2=z et dι,2=y.
Le procédé selon l'invention permet d'éviter les attaques DPA sans augmenter de manière significative le temps de calcul. En effet, les calculs de carrés et de multiplications sont coûteux en temps, mais pas les additions et les égalités. Or, par un premier calcul de di et d2, les opérations coûteuses en temps sont éliminées de la boucle de calcul.

Claims

REVENDICATIONS
1. Procédé de cryptographie pour la génération de signatures numériques probabilistes et/ou pour un protocole d'échange de clé et/ou pour un algorithme de chiffrement, ledit procédé comprenant une étape de calcul d'exponentiation (xa) d'un module public (x) par un exposant privé (a) basé sur une boucle de calculs sur une variable intermédiaire (y) de carrés (y2) et de multiplications (y*x) , caractérisé en ce que le procédé consiste à introduire un aléa (ri) dans le calcul du carré (y2) et/ou un aléas (r2) dans le calcul de la multiplication (y*x) , lesdits aléas " (ri, r2) étant générés à chaque appel à la routine de calcul d'exponentiation (xa) .
2. Procédé selon la revendication 1, caractérisé en ce que le calcul du carré (y2) consiste à introduire un aléa (ri) par le calcul de l'identité remarquable y2=(y+rx) (y-rι)+ dx, avec dx=rι2.
3. Procédé selon l'une des revendications 1 à 2, caractérisé en ce que le calcul de la multiplication (y*x) consiste à introduire un aléa (r2) par le calcul de y*x =(y-r2)*x +d2, avec d2=r2*x.
4. Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce que l'algorithme de cryptographie est le RSA.
5. Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce que l'algorithme de cryptographie est le ECDSA.
6. Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce que l'algorithme de cryptographie est le ECDH.
7. Procédé selon l'une quelconques des revendications précédentes, l'exposant privé (a) pouvant être décomposé en base 2 (a=∑i=0àn 21aι avec ai= 0 ou 1), le procédé étant caractérisé en ce qu'il comporte les étapes suivantes : - générer les aléas ri et r2 ; calculer dι= ri2 et d2= r2*x ; initialiser la variable y=x, réaliser une boucle pour i allant de n-1 à 0, ladite boucle consistant à : - z=y, avec z une variable intermédiare ;
- y=(y+rx)* {γ-τ1 ) + dx ;
- rι=z ;
- dι=y ;
- si aι=l, - z=y ;
- y=(y-r2)*x +d2 ;
- r2=z ;
- d2=y ; - xa=v.
8. Dispositif sécurisé, de type carte à puce, caractérisé en ce qu'il comporte un composant électronique apte à mettre en œuvre le procédé de calcul d'exponentiation selon les revendications 1 à 7.
9. Dispositif de calcul, de type ordinateur muni d'un logiciel de chiffrement, caractérisé en ce qu'il comporte un composant électronique apte à mettre en œuvre le procédé de calcul d'exponentiation selon les revendications 1 à 7.
PCT/FR2001/001622 2000-06-13 2001-05-25 Procede de calcul cryptographique comportant une routine d'exponentiation modulaire WO2001097009A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AU2001264026A AU2001264026A1 (en) 2000-06-13 2001-05-25 Method for cryptographic calculation comprising a modular exponentiation routine

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR00/07528 2000-06-13
FR0007528A FR2810178B1 (fr) 2000-06-13 2000-06-13 Procede de calcul cryptographique comportant une routine d'exponentiation modulaire

Publications (1)

Publication Number Publication Date
WO2001097009A1 true WO2001097009A1 (fr) 2001-12-20

Family

ID=8851219

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2001/001622 WO2001097009A1 (fr) 2000-06-13 2001-05-25 Procede de calcul cryptographique comportant une routine d'exponentiation modulaire

Country Status (3)

Country Link
AU (1) AU2001264026A1 (fr)
FR (1) FR2810178B1 (fr)
WO (1) WO2001097009A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8738927B2 (en) 2005-06-29 2014-05-27 Irdeto B.V. Arrangement for and method of protecting a data processing device against an attack or analysis

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2867335A1 (fr) * 2004-03-02 2005-09-09 France Telecom Procede cryptographique notamment a cle publique
FR2880148A1 (fr) * 2004-12-23 2006-06-30 Gemplus Sa Procede d'exponentiation securisee et compacte pour la cryptographie
DE102005032731A1 (de) * 2005-07-13 2007-01-25 Siemens Ag Verfahren zur seitenkanalresistenten Vervielfachung
US9959429B2 (en) 2013-03-15 2018-05-01 Cryptography Research, Inc. Asymmetrically masked multiplication

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998052319A1 (fr) * 1997-05-12 1998-11-19 Yeda Research And Development Co. Ltd. Procede et dispositif ameliores permettant de proteger les logiques de cles publiques contre les attaques basees sur la sequence des operations et les fautes

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998052319A1 (fr) * 1997-05-12 1998-11-19 Yeda Research And Development Co. Ltd. Procede et dispositif ameliores permettant de proteger les logiques de cles publiques contre les attaques basees sur la sequence des operations et les fautes

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CORON J -S: "Resistance against differential power analysis for elliptic curve cryptosystems", PROCEEDINGS (LECTURE NOTES IN COMPUTER SCIENCE VOLUME 1717), CRYPTOGRAPHIC HARDWARE AND EMBEDDED SYSTEMS. FIRST INTERNATIONAL WORKSHOP, CHES'99, WORCESTER, MA, USA, 12-13 AUG. 1999, 1999, Berlin, Germany, Springer-Verlag, pages 292 - 302, XP000952243, ISBN: 3-540-66646-X *
GOUBIN L ET AL: "DES and differential power analysis. The "Duplication" method", PROCEEDINGS (LECTURE NOTES IN COMPUTER SCIENCE VOLUME 1717), CRYPTOGRAPHIC HARDWARE AND EMBEDDED SYSTEMS. FIRST INTERNATIONAL WORKSHOP, CHES'99, WORCESTER, MA, USA, 12-13 AUG. 1999, 1999, Berlin, Germany, Springer-Verlag, pages 158 - 172, XP000952192, ISBN: 3-540-66646-X *
KOCHER P C: "TIMING ATTACKS ON IMPLEMENTATIONS OF DIFFIE-HELLMAN, RSA, DSS, AND OTHER SYSTEMS", 16TH. ANNUAL INTERNATIONAL CRYPTOLOGY CONFERENCE. SANTA BARBARA, AUG. 18 - 22, 1996. PROCEEDINGS,BERLIN, SPRINGER,DE, 1996, pages 104 - 113, XP000626590, ISBN: 3-540-61512-1 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8738927B2 (en) 2005-06-29 2014-05-27 Irdeto B.V. Arrangement for and method of protecting a data processing device against an attack or analysis

Also Published As

Publication number Publication date
AU2001264026A1 (en) 2001-12-24
FR2810178A1 (fr) 2001-12-14
FR2810178B1 (fr) 2004-10-29

Similar Documents

Publication Publication Date Title
Yen et al. Power analysis by exploiting chosen message and internal collisions–vulnerability of checking mechanism for RSA-decryption
EP1648111B1 (fr) Chiffrement infalsifiable utilisant une cle privée
EP1889391B1 (fr) Recodage de scalaire pour la multiplication d'un point d'une courbe elliptique
EP1166494B1 (fr) Procedes de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique
EP3188001A1 (fr) Procédé et dispositif de multiplication modulaire
EP1306750A2 (fr) Calcul de multiplication multi-scalaire pour la vérification de signature à courbe elliptique
EP1134653A2 (fr) Procédé et dispositif de traitement de données et carte à puce
WO2001080481A1 (fr) Procede de cryptographie sur courbes elliptiques
EP1381936A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme cryptographique du type a cle publique sur une courbe elliptique
WO2000059157A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type courbe elliptique
EP1291763A1 (fr) Procédé de brouillage d'un calcul à quantité secrète
WO2006070092A1 (fr) Procede de traitement de donnees et dispositif associe
US11824986B2 (en) Device and method for protecting execution of a cryptographic operation
EP2284690A2 (fr) Brouillage d'un calcul effectué selon un algorithme RSA-CRT
US9780946B2 (en) Elliptic curve encryption method comprising an error detection
WO2001097009A1 (fr) Procede de calcul cryptographique comportant une routine d'exponentiation modulaire
Malina et al. Accelerated modular arithmetic for low-performance devices
KR20030075146A (ko) 암호 체계의 비밀 키 저장 및 복원 방법과 장치
EP1804160B1 (fr) Protection d'un calcul cryptographique effectué par un circuit intégré
EP1839125A1 (fr) Procédé d'exponentiation sécurisée et compacte pour la cryptographie
EP1639451A2 (fr) Procédé de contre-mesure par masquage de l'accumulateur
EP1520370B1 (fr) Procédé et dispositifs cryptographiques permettant d'alleger les calculs au cours de transactions
FR2818846A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie
FR3004042A1 (fr) Procedes de generation et d'utilisation de cles cryptographiques privees pour le rsa-crt ou les variantes du rsa-crt
FR3010562A1 (fr) Procede de traitement de donnees et dispositif associe

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP