WO2002099624A1 - Procede de securisation d'un calcul d'exponentiation dans un dispositif electronique - Google Patents

Procede de securisation d'un calcul d'exponentiation dans un dispositif electronique Download PDF

Info

Publication number
WO2002099624A1
WO2002099624A1 PCT/FR2002/001945 FR0201945W WO02099624A1 WO 2002099624 A1 WO2002099624 A1 WO 2002099624A1 FR 0201945 W FR0201945 W FR 0201945W WO 02099624 A1 WO02099624 A1 WO 02099624A1
Authority
WO
WIPO (PCT)
Prior art keywords
bit
exponentiation
algorithm
digit
value
Prior art date
Application number
PCT/FR2002/001945
Other languages
English (en)
Inventor
Marc Joye
Original Assignee
Gemplus
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus filed Critical Gemplus
Publication of WO2002099624A1 publication Critical patent/WO2002099624A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7261Uniform execution, e.g. avoiding jumps, or using formulae with the same power profile

Definitions

  • the present invention relates to a method for securing an exponentiation calculation, with application in particular in the field of cryptology.
  • the invention applies in particular to cryptographic algorithms implemented in electronic devices such as smart cards.
  • exponentiation algorithms must have included countermeasures to prevent such attacks from flourishing.
  • the generally used method is to remove conditional branches at the value of the number r (the secret key), so that we obtain a constant code algorithm. .
  • the secure binary method thus becomes the so-called “square and mul tiply always” method, or SMA algorithm, that is to say a method in which multiplication and squaring are systematically carried out.
  • Ro ⁇ - (Ro) 2 b -> ri ; R b ⁇ -R b .x; R 0 ⁇ -R b Return R 0 .
  • the notation —iri means complementary value of ri, (also called negation boolean). So, if r ⁇ is 1, is worth 0 and if ri is worth
  • An object of the invention is a method of securing an exponentiation calculation, - in particular to prevent simple hidden channel attacks from fostering.
  • Another object of the invention is a security method making it possible to arrive at an efficient exponentiation algorithm in terms of number of operations.
  • Another object of the invention is 'a security method ' which is simple to implement.
  • at least two calculation registers being used to perform said exponentiation calculation, the value of the indexed bit or digit is used to index at least one of the registers to be used in the corresponding iteration.
  • the security method according to the invention can be implemented in an electronic device capable of performing calculations of the type with or without. result in place. It applies to electronic devices implementing at least one exponentiation calculation, in particular in smart cards or other cryptographic systems.
  • FIG. 1 represents in the form of a block diagram an electronic device able to carry out exponentiation calculations.
  • this device is a smart card intended to execute a cryptographic program.
  • the device 1 brings together in a chip programmed calculation means, composed of a central unit (CPU) 2 functionally connected to a set of memories of which: - a memory 4 accessible in read only, in the example of ROM type mask, also known as the English name "mask read-only memory (mask ROM)",
  • an electrically reprogrammable memory 6 in the example of the EEPROM type (from the English “electrically erasable programmable ROM”), and
  • This memory 8 accessible in read and write, in the example of the RAM type (from the English "random access memory”).
  • This memory notably includes the registers used by the device 1.
  • the executable code corresponding to the exponentiation algorithm is contained in program memory. This code can in practice be contained in memory 4, accessible in read only, and / or in memory 6, rewritable.
  • the central unit 2 is connected to a communication interface 10 which ensures the exchange of signals vis-à-vis the outside and the supply of the chip.
  • This interface can include studs on the card for a so-called “contact” connection with a reader, and / or an antenna in the case of a so-called “contactless” card.
  • One of the functions of the device 1 is to encrypt and decrypt confidential data respectively transmitted to and from outside.
  • This data may relate, for example, to personal codes, medical information, accounting on bank or commercial transactions, authorizations to access certain restricted services, etc.
  • Another function consists in the calculation of a digital signature or in its verification.
  • the central unit 2 executes a cryptographic algorithm from programming data which stored in the mask ROM 4 and / or EEPROM 6 parts.
  • the number r (the key) is stored in a portion of rewritable memory 6, of the EEPROM type in the example.
  • the central unit stores the number x, transmitted by the communication interface 10, in working memory 8, in a calculation register.
  • the central unit will read the key r contained, in rewritable memory 6, in order to memorize it temporarily, for the time of the exponentiation calculation, in a calculation register of the working memory. The central unit then launches the exponentiation algorithm.
  • an exponentiation algorithm scans all of them. bits (or digits) of the number- r to perform exponentiation, in successive iterations. At each iteration, it processes at least one bit (or digit) of the number r. To this end, an index i on the number r is provided, incremented or decremented by one at the end of each iteration. According to the invention, it is provided that instead of incrementing or decrementing this index by one unit at the end of each iteration, it is incremented or it is decremented according to the value of the bit (or digit) indexed, and that this indexed bit (or digit) is rewritten to zero. In this way, all the bits (or digits) of the number r are processed without testing their values and without any unnecessary multiplication.
  • a bit of the number r is processed. This bit is worth either 0 or 1. If the indexed bit is worth 1, at the end of the iteration, the index is found incremented (or decremented) by the complementary value, ie 0. Thus, at next iteration, the index i always points to the same bit of the number r, which is then 0.
  • the index points twice in a row to the same place, to process first the bit equal to 1, then the bit equal to zero.
  • the value of the indexed bit is then used to index at least one of the calculation registers used by the exponentiation algorithm. It is the indexing of the " register (s) by the indexed bit of the number r which implicitly determines whether it is a multiplication by the other register which must be carried out or a multiplication with the same register, in the iteration concerned. It will be noted that with a method according to the invention, a single multiplicative calculation is carried out at each iteration: a multiplication with the other register or a multiplication with the same register.
  • the invention has other advantages, which will be detailed below, in practical examples of implementation of the method of the invention. Among these advantages, the calculation register used to contain the value of the number r is completely rewritten to zero at the end of the exponentiation calculation, which is particularly interesting from a security point of view.
  • the invention does not require complex means of calculation, in any case no more than those used for the - prior art algorithms.
  • a first example of implementation of the invention relates to the binary method with scanning from right to left.
  • a second example of implementation of the invention relates to the binary method with scanning from left to right.
  • Temporary registers used ' R 0 , Ri. variables used: i, b
  • This algorithm is a little less simple than the previous one, because in the basic algorithm, .no protected, with scanning of the number r from left to right (see description above), the operation independent of the value of the bit of the number r, ie the multiplication of the register R 0 with itself, is carried out before l operation dependent on the value of the bit, ie multiplication by the register R x which contains x.
  • the last bit r 0 of the number r is not set to zero and the • register R 2 always contains the number x at the end of the exponentiation calculation.
  • a fourth example of implementation of a secure exponentiation algorithm according to the invention will be given, corresponding to the signed binary methods (signed binary representation, denoted SD2, of the number r). These methods are more particularly used on sets noted additively, such as elliptical curves. Indeed, it is well known that on such assemblies, the inverses are inexpensive to obtain.
  • each digit of the number r can take one of the following three values: 0, 1 or -1, generally coded on two bits, that is to say 00, 01, 11.
  • the least significant bit (rank) is noted r L and represents the value of the digit, 0 or 1, and the most significant bit is noted r H and represents the sign of the digit.
  • Temporary registers used Ro, Ri, R 2 . 'Variables used: i, b, t, g Initialization: Ri ⁇ - 1; R 2 ⁇ - x; i ⁇ - m-1 As long as i> 1, do:
  • Temporary registers used R 0 , Ri, R 2 , R k .
  • This secure algorithm according to the invention is based on a k-ary algorithm resulting from a classic generalization of the algorithm of the binary method with scanning from left to right.
  • the boolean variable b has the value 1 when the digit scanned is 0 and the value of 1 otherwise.
  • the variable t keeps the number of. multiplications to be performed for the same scanned digit and the variable j • is a variable which allows the value of t to be reset to 0 before processing a new digit to be scanned.
  • this algorithm is not with constant code because it includes a test on the ro-bit. But the remarks made on this subject in the case of the second example apply in the same way here .

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Un procédé de sécurisation d'un calcul d'exponentiation du type y=xr, où x est un élément d'un ensemble noté de façon multiplicative et r est un nombre prédéterminé, au moins un bit ou chiffre ri dudit nombre r étant traité à chaque itération, un index i sur le nombre r étant prévu, consiste à la fin de chaque itération, à incrémenter ou décrémenter l'index i selon la valeur du bit ou chiffre indexé ri et réécrire à zéro le bit ou chiffre indexé ri.

Description

PROCEDE DE SECURISATION D'UN CALCUL D'EXPONENTIA ION DANS UN DISPOSITIF ELECTRONIQUE
La présente invention concerne un procédé de sécurisation d'un calcul d'exponentiation, avec application notamment dans le domaine de la cryptologie. L'invention s'applique en particulier à des algorithmes cryptographiques mis en œuvre dans des dispositifs électroniques tels que des cartes à puce.
De nombreux algorithmes cryptographiques sont basés sur des calculs d'exponentiation du type y = xr, où x est un élément d'un ensemble noté de façon multiplicative et r un nombre prédéterminé, qui codent une valeur y. Ceci est notamment le cas avec l'algorithme du type RSA (Rivest, Shamir et Adleman) . La valeur y peut correspondre par exemple à un texte chiffré, une donnée signée ou vérifiée.... On rappellera que sur un ensemble noté additivement, tel une courbe elliptique, l'exponentiation devient une multiplication scalaire du type Q=d.P, où P et Q sont des éléments de l'ensemble noté additivement (courbe elliptique) et d un nombre scalaire. Dans la suite, on se place dans le cas général, conventionnel, ce qui veut dire que l'on utilisera la notation multiplicative, sauf mention explicite- contraire.
Il existe différents types d'algorithmes d'exponentiation. ' On connaît notamment . là méthode binaire de type "élévation au carré et multiplication", plus habituellement connue sous la terminologie anglo- saxonne "square and multiply" (acronyme anglais SAM) , la méthode de Yacobi, dite M, M3, la méthode des fenêtres glissantes, etc. Ces algorithmes doivent inclure des contre-mesures adaptées contre des attaques visant à découvrir des informations contenues et manipulées dans des traitements effectués par le dispositif de calcul. Notamment, des contre-mesures . sont prévues contre les attaques dites. à canaux cachés, simples ou différentielles. On entend par attaque à canal caché simple ou différentielle, une attaque basée sur une grandeur physique mesurable de l'extérieur du dispositif, et dont l'analyse directe (attaque simple) ou l'analyse selon une méthode statistique (attaque différentielle) permet de découvrir des informations contenues et manipulées dans des traitements réalisés dans le dispositif. Ces attaques peuvent ainsi permettre de découvrir des informations confidentielles. Ces attaques ont notamment été dévoilées par Paul Kocher {Advances in . Cryptology - CRYPTO ' 99 r vol . 1666 of Lecture Notes in Computer Science, pp . 388-397. Springer-Verlag, 1999) . Parmi les grandeurs physiques qui peuvent être exploitées- à ces fins, on peut citer la consommation en courant, le champ électromagnétique ... Ces attaques sont basées sur le fait que la manipulation d'un bit, c'est à dire son traitement par une instruction particulière a une empreinte particulière sur la grandeur physique considérée selon sa valeur.
Les algorithmes d'exponentiation précités ont dû inclure des contre-mesures pour empêcher de telles attaques de prospérer. Une parade efficace aux attaques de type différentiel est de rendre aléatoire les entrées et/ou les sorties de l'algorithme d'exponentiation utilisé pour calculer y=xr. En d'autres termes, il s'agit- de rendre aléatoires l'opérande x et/ou l'exposant r.
En ce qui concerne les attaques de type simple, on sait sécuriser ces algorithmes en supprimant tous les branchements conditionnels à la valeur de la donnée traitée, branchements par lesquels une opération différente est exécutée.
Si on prend l'exemple de la méthode la plus couramment utilisée dans les systèmes cryptographiques à clé publique, la méthode binaire, aussi désignée par méthode .(ou ' algorithme) SAM (pour " square , and multiply" ) , deux variantes de mise en œuvre existent, selon que les bits du nombre r sont balayés de la droite vers la gauche ou de la gauche vers la droite. Dans le. premier cas (balayage droite .vers gauche) , l'algorithme SAM peut s'écrire de la façon suivante : Entrées de l'algorithme : x, r= (rm_ι, rm-2, ..., r0)2 Sortie de l'algorithme : y=xr. Registres temporaires .utilisés : R0, Ri. Initialisation : R0 <— 1 ; Ri <— x. Pour i=0 à m-1, faire :
Si rι=l, alors R0<—Ro•Rl Rl<-(Rl)2 Retourner R0. Dans le deuxième cas (balayage gauche vers droite) , l'algorithme SAM peut s'écrire de la façon suivante :
Entrées de l'algorithme : x, r= (rm_ι, rm_2, ..., r0)2 Sortie de l'algorithme : y=xr. Registre temporaire utilisé : R0. Initialisation : R0 <— 1
Pour i= m-1 à 0, faire : Ro<-(Ro)2
Si rι=l, alors R0<—R0.x Retourner R0.
En considérant qu'une multiplication est aussi coûteuse qu'une élévation au carré, les deux algorithmes nécessitent en moyenne (3/2) .m multiplications.
Pour sécuriser ces algorithmes vis à vis des attaques à canaux cachés de type simple, la méthode généralement utilisée est de supprimer les branchements conditionnels à la valeur du nombre r (la clé secrète) , en sorte que l'on obtienne un algorithme à code constant.
La méthode binaire sécurisée, devient ainsi la méthode dite " square and mul tiply always" , ou algorithme SMA, c'est à dire une méthode dans laquelle une multiplication et une élévation au carré sont systématiquement réalisées.,
Dans le cas d'un balayage gauche vers droite, l'algorithme SMA sécurisé peut s'écrire comme suit : Entrées de l'algorithme : x, r= (rm_ι, rm-2, ..., r0)'2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés : R0, Ri. Variable utilisée : b Initialisation : R0 — 1
Pour i= m-1 à 0', faire :
Ro <-(Ro)2 b=->ri ; Rb <-Rb .x ; R0 <-Rb Retourner R0. On rappelle que la notation —iri signifie valeur complémentaire de ri, (également appelée négation booléenne) . Ainsi, si r± vaut 1,
Figure imgf000007_0001
vaut 0 et si ri vaut
Figure imgf000007_0002
Dans cet algorithme, une multiplication inutile est réalisée, lorsque le bit r^ du nombre r vaut 0. Les performances de l'algorithme sécurisé résultant en termes de nombre de multiplications à effectuer tombent alors à 2.m.
D'une manière générale, la sécurisation des algorithmes d'exponentiation vis à vis des attaques de type simple affecte les performances de ces algorithmes de manière non négligeable.
Un objet de l'invention est un procédé de sécurisation d'un calcul d'exponentiation,- notamment pour empêcher des attaques à canaux cachés simples de prospérer.
Un autre objet de l'invention est un procédé de sécurisation permettant d'aboutir à un algorithme d'exponentiation performant en termes de nombre d' opérations . Un autre objet de l'invention est' un procédé de sécurisation' simple à implémenter.
Telle que caractérisée, l'invention concerne donc un procédé de sécurisation d'un calcul d'exponentiation du type y=xr, où x est un élément d'un ensemble noté de façon multiplicative et r est un nombre prédéterminé, au moins un bit ou chiffre dudit nombre r étant traité à chaque itération, un index sur le nombre r étant prévu, caractérisé en ce qu'à la fin de chaque itération, ledit index est incrémenté ou décrémenté selon la valeur du bit ou chiffre indexé et le bit ou chiffre indexé est réécrit à zéro. Selon l'invention, au moins deux registres de calcul étant utilisés pour effectuer ledit calcul d'exponentiation, la valeur du bit ou chiffre indexé est utilisée pour indexer au moins un des registres à utiliser dans l'itération correspondante.
Le procédé de sécurisation selon l'invention peut être mis en œuvre dans un dispositif électronique apte à effectuer des calculs du type avec ou sans . résultat en place. Il s'applique à des dispositifs électroniques mettant en œuvre au moins un calcul d'exponentiation, notamment dans des cartes à puce ou autres systèmes cryptographiques.
L'invention et . les avantages qui' en découlent apparaîtront plus clairement à la lecture de la description qui suit et des exemples de réalisation donnés à titre purement indicatif, par référence à la figure unique en annexe. Celle-ci est un organigramme des éléments principaux d'un dispositif électronique, par exemple une carte à puce, permettant de mettre -en œuvre 1 ' invention.
La figure 1 représente sous forme de schéma bloc un dispositif électronique apte à réaliser des calculs d'exponentiation. Dans l'exemple, ce dispositif est une carte à puce destinée à exécuter un programme cryptographique. A cette fin, le dispositif 1 réunit dans une puce des moyens de calcul programmés, composés d'une unité centrale (UC) 2 reliée fonctionnellement à un ensemble de mémoires dont: - une mémoire 4 accessible en lecture seulement, dans l'exemple du type ROM masque, aussi connue sous l'appellation anglaise "mask read-only memory (mask ROM)",
- une mémoire 6 reprogrammable électriquement, dans l'exemple du type EEPROM (de l'anglais "electrically erasable programmable ROM"), et
- une mémoire de travail 8 accessible en lecture et en écriture, dans l'exemple du type RAM (de l'anglais "random access memory"). Cette mémoire comprend notamment les registres utilisés par le dispositif 1.
Le code exécutable correspondant à l'algorithme d'exponentiation est contenu en mémoire programme. Ce code peut en- pratique être contenu en mémoire 4, accessible en lecture seulement, et/ou en mémoire 6, réinscriptible.
L'unité centrale 2 est reliée à une interface de communication 10 qui assure l'échange de signaux vis-à- vis de l'extérieur et l'alimentation de la puce. Cette interface peut comprendre des plots sur la carte pour une connexion dite "à contact" avec un lecteur, et/ou une antenne dans le cas d'une carte dite "sans contact" .
L'une des fonctions du dispositif 1 est de crypter et décrypter des données confidentielles respectivement transmises vers, et reçues de, l'extérieur. Ces données peuvent concerner par exemple des codes personnels, des informations médicales, une comptabilité sur des transactions bancaires ou commerciales, des autorisations d'accès à certains services restreints, etc. Une autre fonction consiste, dans le calcul d'une signature numérique ou dans sa vérification. A cette fin, l'unité centrale 2 exécute un algorithme cryptographique à partir de données de programmation qui stockées dans les parties ROM masque 4 et/ou EEPROM 6. L'algorithme cryptographique peut être basé par exemple sur un algorithme RSA (Rivest, Shamir et Adleman) , ce qui implique un calcul . d'exponentiation modulaire du type y = xr, où x est une valeur prédéterminée et r, un nombre entier qui constitue une clé. Le nombre y ainsi obtenu constitue une donnée chiffrée, déchiffrée, signée ou vérifiée.
Le nombre r (la clé) est stocké dans une portion de mémoire ré-inscriptible 6, de type EEPROM dans l'exemple. Lorsque le dispositif 1 de calcul d'exponentiation est sollicité pour un calcul d'exponentiation de type y=xr, l'unité centrale mémorise le nombre x, transmis par l'interface de communication 10, en mémoire de travail 8, dans un registre de calcul. Dans un mode de réalisation courante, l'unité centrale va lire la clé r contenue , en .mémoire ré-inscriptible 6, pour la mémoriser temporairement, le temps du calcul d'exponentiation, dans un registre de calcul de la mémoire de travail. L'unité centrale lance alors l'algorithme d'exponentiation.
D'une manière générale, un algorithme d'exponentiation balaye tous les. bits (ou chiffres) du nombre- r pour effectuer l'exponentiation, par itérations successives. A chaque itération, il traite au moins un bit (ou chiffre) du nombre r. A cet effet, un index i sur le nombre r est prévu, incrémenté ou décrémenté d'une unité à la fin de chaque itération. Selon l'invention, on prévoit qu'au lieu d' incrémenter ou décrémenter cet index d'une unité à la fin de chaque itération, on l'incrémente ou on le décrémente selon la valeur du bit (ou chiffre) indexé, et que ce bit (ou chiffre ) indexé est réécrit à zéro. De cette façon, on traite tous les bits (ou chiffres) du nombre r sans faire de tests sur leurs valeurs et sans aucune multiplication inutile.
Si on prend le cas d'une méthode binaire, le nombre r est représenté en binaire : r= (rm_ , ... , r0) 2. A chaque itération, un bit du nombre r est traité. Ce bit vaut soit 0 soit 1. Si le bit indexé vaut 1, à la fin de l'itération, l'index se retrouve incrémenté (ou décrémenté) de la valeur complémentaire, c'est à dire 0. Ainsi, à l'itération suivante, l'index i pointe toujours sur le même bit du nombre r, qui vaut alors 0.
A la fin de cette itération, l'index i est incrémenté
(ou décrémenté) de la valeur complémentaire du bit indexé, c'est à dire d'une unité. Ainsi, on traite le bit suivant du nombre r.
Avec un tel procédé, si un bit indexé vaut 1, l'index pointe deux fois de suite au même endroit, pour traiter d'abord le bit égal à 1, puis le bit égal à zéro. - Avantageusement, la valeur du bit indexé est alors utilisée pour indexer au moins un des registres de calcul utilisés par l'algorithme d'exponentiation. C'est l'indexation du ou des" registres par le bit indexé du nombre r qui détermine implicitement si c'est une multiplication par l'autre registre qui doit être effectuée ou une multiplication avec le même registre, dans l'itération concernée. On notera qu'avec un procédé selon l'invention, un seul calcul multiplicatif est effectué à chaque itération : une multiplication avec l'autre registre ou une multiplication avec le même registre. Si le nombre r est représenté en binaire signé, on a r= (rm_ι, ... , r0) SD2, où ri est un chiffre dans {-1, 0, 1} représenté par deux bits : un bit de signe rιH et un bit de valeur rιL représentant sa valeur absolue 0 ou 1. L'index i pointe alors sur un chiffre du nombre r. Selon l'invention, il est incrémenté ou décrémenté de la valeur complémentaire du bit de valeur rιL. La valeur riH+riL est elle utilisée pour indexer le ou les registres de calcul.
L'invention présente d'autres avantages, qui seront détaillés plus loin, dans des exemples pratiques d' implémentation du procédé de l'invention. Parmi ces avantages, le registre de calcul utilisé pour contenir la valeur du nombre r est entièrement réécrit à zéro à la fin du calcul d'exponentiation, ce qui est particulièrement intéressant sur le plan sécuritaire.
En outre, l'invention ne nécessite pas de moyens complexes de calcul, en tous cas pas plus que ceux mis en œuvre pour les - algorithmes de l'état de la technique. Dans la suite, on va donner quelques exemples de mise en œuvre de l'invention.
Un premier exemple de mise en œuvre de l'invention concerne la méthode binaire avec balayage de droite à gauche. Avec un procédé de sécurisation selon l'invention, un algorithme binaire avec balayage de droite à gauche peut s ' écrire de la manière suivante : Entrées de l'algorithme : x, r= (rm_ι, rm_2, ..., r0)2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés : R0, Ri. variables utilisées : i, b Initialisation : R0 - 1 ; Ri <— x ; i <— 0 Tant que ' i< m-1, faire :
Figure imgf000013_0001
R->ri <- R-ιri.Rι ; r± i- 0 ; i <— i+b Retourner R0. On notera qu'avec cet algorithme, à la fin du calcul d'exponentiation, le nombre x- mémorisé à l'initialisation dans le registre Ri, est perdu, . puisque les registres Ro et Ri sont utilisés pour contenir les résultats intermédiaires.
Un deuxième exemple de mise en œuvre de l'invention concerne la méthode binaire avec balayage de gauche, à droite. Avec un procédé selon l'invention, un algorithme binaire d'exponentiation sécurisée avec balayage de gauche à droite peut s'écrire de la manière suivante : Entrées de l'algorithme : x, r= (rm-ι, rm-2, ..., r0)2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés': R0, Ri. variables utilisées : i, b
Initialisation : R0 <— 1 ; Ri <— x ; i <— m-1 Tant que i≥l, faire :
Figure imgf000013_0002
R0 r- R0. Rri ; ri <- 0 ; i <- i-b Si r0=l , alors R0 <- R0. Rι Retourner R0.
Cet algorithme est un peu moins simple que le précédent, parce que dans l'algorithme de base, .non protégé, avec balayage du nombre r de gauche à droite (confère description supra), l'opération indépendante de la valeur du bit du nombre r, c'est à dire la multiplication du registre R0 avec lui-même, est effectuée avant l'opération dépendante de la valeur du bit, c'est à dire la multiplication par le registre Rx qui contient x.
Dans l'exemple de mise en œuvre de l'invention décrit ci-dessus, on conserve donc un unique test, sur la valeur du dernier bit r0 du nombre r.
Cependant, si on considère une application aux systèmes cryptographiques- de type RSA, la valeur de r0 est toujours 1, même dans le cas où le nombre r est rendu aléatoire (contre-mesure contre les attaques de type différentiel) . Ainsi, la dernière ligne de l'algorithme précédent devient une simple opération de multiplication. On a un algorithme à code constant, comme dans le premier exemple de réalisation, sécurisé implicitement contre les attaques à canaux cachés de type simple.
En outre, il est toujours possible de supprimer le test, par exemple, en remplaçant la dernière ligne de l'algorithme, par l'opération systématique suivante, utilisant la valeur du bit ro et son complément —iro pour indexer les registres R0 et Ri :
R-,r0 *— R_,r0 • RrO
Retourner R0.
Dans ce cas, si ro vaut 0, on effectue une multiplication inutile. On notera que dans ce cas, on perd aussi la valeur du nombre x, mémorisée initialement dans le registre Rx. Enfin, dans certaines applications, on peut admettre un test sur le seul bit r0, selon le degré de sécurité recherché.
Les exemples qui viennent d'être donnés sont particulièrement simples à mettre en œuvre car ils n'utilisent que deux registres de calcul, R0 et R et que l'on a supposé que le dispositif de calcul autorise les calculs avec résultats en place ( " resuit in place" dans la littérature anglo-saxonne) , ce qui n'est pas toujours le cas. On entend par résultat en place, la "possibilité d'écrire dans un registre le résultat d'une opération (multiplication ici) effectuée avec le contenu même de ce. registre, c'est à dire des opérations du type R0 — R0.Rι ou R0 <— Ro-Ro Si les opérations du type résultat en place ne sont par permises, les algorithmes précédents doivent être modifiés en conséquence. Notamment, plus de deux registres sont nécessaires.
Si on considère le deuxième exemple présenté ci- dessus d'algorithme binaire sécurisé selon l'invention, du type à balayage du nombre r de la gauche vers la droite, un algorithme correspondant dans le cas où les résultats en place ne sont, pas permis, peut s'écrire : Entrées de l'algorithme : x, r= (rm_ι, rm_2, ..., r0)2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés :.R0, Ri, R2. Variables utilisées : i, b
Initialisation : R0 <— 1 ; Ri <— 1 ; R2 <— x ; i <- m-1 ; t <- 0 ;
Tant que i≥l, faire :
Figure imgf000015_0001
R_t <- Rt . R2ri+tb ; r± - .0 ; i <r- i-b
Rt <- R-t • R2 Retourner R_,tφ ro-
On rappelle que la notation θ représente l'opération booléenne du OU exclusif (XOR en anglais).
Dans cet algorithme, à chaque itération, les registres R0 et . Ri contiennent successivement le résultat de la multiplication effectuée, puisqu'à chaque itération, la variable t prend la valeur complémentaire de l'itération précédente : t <— —it .'
Par ailleurs, lorsque le bit indexé ri vaut 0, alors (2ri+tb) . est égal à t, (avec t = 0 ou 1, selon •l'itération), et c'est une multiplication du registre Rt avec lui-même qui est réalisée : R_,t - Rt-Rt-
Lorsque le bit indexé r± vaut 1, alors (2rι+tb) est égal à 2 et c'est une multiplication par . le registre R2 qui contient x qui est effectuée : R_,t <— Rt-R2 (avec t = 0 ou 1, selon l'itération). Finalement, si r0 vaut 0, le résultat final est contenu dans R_,t ; sinon (r0=l) , il faut effectuer la multiplication : R_,t- R2-
On remarquera que dans cette implémentation, le dernier bit r0 du nombre r n'est pas mis à zéro et le • registre R2 contient toujours le nombre x à la fin du calcul d'exponentiation.
Les mêmes principes peuvent être appliqués pour adapter l'algorithme donné dans le premier exemple d' implémentation à un dispositif n'acceptant pas les résultats en place.
Un quatrième exemple d' implémentation d'un algorithme d'exponentiation sécurisée selon l'invention va être donné, correspondant aux méthodes binaires signées (représentation binaire signée, notée SD2, du nombre r) . Ces méthodes sont plus particulièrement utilisées sur les ensembles notés additivement, tels les courbes elliptiques. En effet, il est bien connu que sur de tels ensembles, les inverses sont peu coûteux à obtenir.
Dans les' méthodes binaires signées, le nombre r est donné dans une représentation binaire signée, chaque chiffre du nombre r pouvant prendre une des trois valeurs suivantes : 0, 1 ou -1, généralement codées sur deux bits, soit respectivement 00, 01, 11.
Le bit de poids (rang) le plus faible est noté rL et représente la valeur du chiffre, 0 ou 1, et le bit de poids le plus élevé est noté rH et représente le signe du chiffre.
Ainsi, à chaque chiffre r± du nombre r, correspond un couple de bits (rιH, iL) .
Dans le cas où les opérations de type résultat en place sont permises, un algorithme sécurisé selon l'invention peut s'écrire :
Entrées dé l'algorithme : x, r= (rm-i, rm-2, ..., ro)SD2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés : Ro, Ri, R2. Variables utilisées : i, b
Initialisation : R0 r- 1 ; Ri <— x ; R2 <— x-1 ; i <- m-1 Tant que i≥l, faire : b < ιriL Ro <- Ro . RriH + riL ; r± <- 0 ; i <r- i -b
Figure imgf000017_0001
Retourner R2roL- Cet algorithme nécessite en moyenne 4/3. multiplications. Il . peut être amélioré sur le plan de l'espace mémoire nécessaire ( nombre de registres), en utilisant le même registre pour contenir x et x-1. Ceci 5 n'est intéressant que si le passage de x à x-1 est peu coûteux, ce qui est généralement le cas avec les ensembles notés additivement, tels les courbes elliptiques.
10 Un exemple de mise en œuvre de l'amélioration proposée est donné, dans le cas où les opérations de type résultat en place sont . permises, par l'algorithme sécurisé suivant :
Entrées de l'algorithme : x, r= (rm-ι, rm_2, ..., r0) SD2 15 Sortie de l'algorithme : y=xr.
Registres temporaires utilisés : Ro, Ri, R2. ' Variables utilisées : i, b, t, g Initialisation : Ri <— 1 ; R2 <— x ; i <— m-1 Tant que i> 1, faire :
20 b r- -!riL ; t .t g <- 2.riH + -πt.-iriH ; Rg <- (Rg)_1
Figure imgf000018_0001
g - 2 . riH + t . -iriH ; Rg <- ( Rg) "1 ri <- 0 ; i <— i-b 25 g <r- 2 . r0H + t . -,rθH ; Rg - ( Rg) _1
Figure imgf000018_0002
g r- 2.r0H + ^ .^r0H ; Rg <- (Rg)_1 Retourner R_,tβ ΓOL-
30 Dans cet algorithme, si r=-l, alors on remplace
' . la valeur du registre R2 par son inverse, c'est à dire x-1. Sinon, on inverse le contenu du registre qui va être réécrit. Ensuite, après la multiplication, on réécrit x dans le registre R, et. ceci, à chaque itération.
Un dernier exemple de mise en oeuvre de l'invention est donné, appliqué aux méthodes dites k- aires, dans lesquels k bits du nombre r (en représentation binaire) sont traités dans une itération. Un ~ algorithme correspondant sécurisé avec balayage de gauche à droite selon l'invention peut s'écrire :
Entrées de l'algorithme : x, r= (rm_ι, rm_2, ..., r0)2 Sortie de l'algorithme : y=xr.
Registres temporaires utilisés : R0, Ri, R2, Rk. Variables' utilisées : i, b, t, j Initialisation : R0 <— 1 ; Ri <— x ; R2 <— x2 ; ...
Rk r- x ; t <- 0 ; i <- m-1; Tant que i≥l, faire : b <- (ri =0) ; t <r- t+b ; j <- i R0<-R0.Rri ; ri r- 0 ; i <- i- (t=k) ; t <- (j=i) .t si (ro ≠ 0) alors R0 <- Ro.Rro Retourner R0.
Cet algorithme sécurisé selon l'invention, est basé sur un algorithme k-aire issu d'une généralisation classique de l'algorithme de la méthode binaire avec balayage de gauche à droite. Dans ce cas d'une généralisation k-aire, les puissances successives de x
(x2, x3, ... , xk) sont précalculées et placées dans les registres R2, R3, Rk respectivement. Ensuite chaque chiffre r± de la représentation de l'exposant en base 2
(c'est à dire un élément de {0, 1, ...2k-1} ) est balayé de la gauche vers la droite. La variable booléenne b vaut 1 lorsque le chiffre balayé est 0 et vaut 1 sinon. La variable t conserve le nombre de. multiplications à effectuer pour un même chiffre balayé et la variable j • est une variable qui permet de remettre la valeur de t à 0 avant le traitement d'un nouveau chiffre à balayer.
Comme dans le deuxième exemple de réalisation vu précédemment, cet algorithme n'est pas à code constant car il comprend un test sur le bit ro- Mais les remarques faites à ce sujet dans le cas du deuxième exemple s'appliquent de la même façon ici.
On comprendra que l'invention se prête à de nombreuses variantes de mise en œuvre. En particulier,. seulement quelques exemples d'application ont été donnés ici, correspondant aux méthodes d'exponentiation couramment employées. L'homme du métier saura adapter les principes de- l'invention à toute méthode d' exponentiation. La description a été donnée dans le cadre d'un dispositif électronique de type carte à puce. Il est cependant clair que les enseignements se transposent à toutes autres applications, telles que dans les terminaux informatiques, de communication sur réseau ou autre, et dans tout autre dispositif électronique qui fait appel à des calculs de codage ou de décodage.

Claims

REVENDICATIONS
1. Procédé de sécurisation d'un calcul d'exponentiation du type y=xr, où x est un élément' d'un ensemble noté de façon multiplicative et r est un nombre prédéterminé, au moins un bit ou chiffre (ri) dudit nombre r étant traité à chaque itération, un index (i) sur le nombre r étant prévu, caractérisé en ce qu'à la fin de chaque itération, ledit index (i) est incrémenté ou décrémenté selon la valeur du bit ou chiffre indexé (r±) et le bit ou chiffre indexé (r±) est réécrit à zéro.
2. ' Procédé selon la revendication 1, au moins deux registres de calcul (Ro, Ri) étant utilisés pour effectuer ledit calcul d'exponentiation, caractérisé en ce que la valeur du bit ou chiffre indexé (ri) est utilisée pour indexer au moins un des registres à utiliser dans l'itération correspondante.
3. Procédé selon la revendication 2, caractérisé en ce qu'il est mis en œuvre dans un dispositif électronique apte à effectuer des calculs du type avec ou sans résultat en place.
4. Procédé selon la revendication 3, appliqué à un algorithme d'exponentiation selon une méthode binaire ou k-aire avec balayage des bits ou chiffres
(ri) du nombre r de gauche à droite, caractérisé en ce que ledit index de registre est obtenu à partir de la valeur du bit ou chiffre indexé (ri) .
5. Procédé selon la revendication 3, appliqué à un algorithme d'exponentiation selon une méthode binaire avec balayage des bits du nombre r de droite à gauche, caractérisé en ce que ledit index de registre - est obtenu à partir du complément (—iri) de la valeur du bit indexé.
6. Procédé selon la revendication 3, appliqué à un algorithme d'exponentiation selon une méthode binaire signée, caractérisé en ce que ledit index de registre est obtenu selon les valeurs des bits de la représentation du chiffre indexé ( r±) .
7. Procédé selon la revendication 6, caractérisé en ce que le chiffre indexé est représenté par un bit de signe (riH) et un bit de valeur (riL) .
8. Procédé selon les revendications 6 ou 7, caractérisé en ce que le même registre est utilisé pour contenir une valeur et sa valeur inverse.
9. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que lesdits calculs d'exponentiation sont appliqués à des éléments d'un ensemble noté de façon additive.
10. Procédé selon la revendication '9, caractérisé en ce que ledit ensemble est une courbe elliptique.
11. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce ' que le nombre r représente une clé secrète.
12. Dispositif comprenant des moyens de calcul programmés (2) et des éléments mémoire, permettant de réaliser un calcul d' exponentation du type y=xr , notamment dans l'exécution d'un algorithme cryptographique, x étant un élément d'un ensemble noté de façon multiplicative et r, un nombre prédéterminé, au moins un .bit ou chiffre (ri) du nombre r étant traité à chaque itération, caractérisé en ce qu'il comprend des moyens pour indexer les bits dudit nombre r suivant un procédé selon l'une quelconque des revendications 1 à 11.
13. Carte à puce, caractérisée en ce. qu'elle intègre un dispositif selon la revendication 12.
14. Système cryptographique basé sur un algorithme cryptographique faisant intervenir au moins un calcul- d'exponentiation sécurisé par un dispositif selon la revendication 12.
PCT/FR2002/001945 2001-06-07 2002-06-06 Procede de securisation d'un calcul d'exponentiation dans un dispositif electronique WO2002099624A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0107472A FR2825863B1 (fr) 2001-06-07 2001-06-07 Procede de securisation d'un calcul d'exponentiation dans un dispositif electronique
FR01/07472 2001-06-07

Publications (1)

Publication Number Publication Date
WO2002099624A1 true WO2002099624A1 (fr) 2002-12-12

Family

ID=8864068

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2002/001945 WO2002099624A1 (fr) 2001-06-07 2002-06-06 Procede de securisation d'un calcul d'exponentiation dans un dispositif electronique

Country Status (2)

Country Link
FR (1) FR2825863B1 (fr)
WO (1) WO2002099624A1 (fr)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003083645A2 (fr) * 2002-04-03 2003-10-09 Gemplus Procede cryptographique protege contre les attaques de type a canal cache
EP1804161A1 (fr) 2005-12-29 2007-07-04 Proton World International N.V. Détection de perturbation dans un calcul cryptographique
EP1804160A1 (fr) 2005-12-29 2007-07-04 Proton World International N.V. Protection d'un calcul cryptographique effectué par un circuit intégré

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000025204A1 (fr) * 1998-10-28 2000-05-04 Certicom Corp. Cryptographie resistant aux attaques contre la signature electrique

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000025204A1 (fr) * 1998-10-28 2000-05-04 Certicom Corp. Cryptographie resistant aux attaques contre la signature electrique

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HASAN M A: "POWER ANALYSIS ATTACKS AND ALGORITHMIC APPROACHES TO THEIR COUNTERMEASURES FOR KOBLITZ CURVE CRYPTOSYSTEMS", CRYPTOGRAPHIC HARDWARE AND EMBEDDED SYSTEMS. 2ND INTERNATIONAL WORKSHOP, CHES 2000, WORCHESTER, MA; LECTURE NOTES IN COMPUTER SCIENCE 1965, 17 August 2000 (2000-08-17) - 18 August 2000 (2000-08-18), Springer-Verlag, Berlin, DE, pages 93 - 108, XP001027949 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003083645A2 (fr) * 2002-04-03 2003-10-09 Gemplus Procede cryptographique protege contre les attaques de type a canal cache
WO2003083645A3 (fr) * 2002-04-03 2004-04-01 Gemplus Card Int Procede cryptographique protege contre les attaques de type a canal cache
EP1804161A1 (fr) 2005-12-29 2007-07-04 Proton World International N.V. Détection de perturbation dans un calcul cryptographique
EP1804160A1 (fr) 2005-12-29 2007-07-04 Proton World International N.V. Protection d'un calcul cryptographique effectué par un circuit intégré
US8150029B2 (en) 2005-12-29 2012-04-03 Proton World International N.V. Detection of a disturbance in a calculation performed by an integrated circuit
US9313027B2 (en) 2005-12-29 2016-04-12 Proton World International N.V. Protection of a calculation performed by an integrated circuit

Also Published As

Publication number Publication date
FR2825863A1 (fr) 2002-12-13
FR2825863B1 (fr) 2003-09-19

Similar Documents

Publication Publication Date Title
EP2031792B1 (fr) Exponentiation modulaire sécurisée avec minimisation de fuite pour cartes à puce et autres systèmes cryptographiques
EP2380306B1 (fr) Circuit de cryptographie protege contre les attaques en observation, notamment d&#39;ordre eleve
Biham et al. Power analysis of the key scheduling of the AES candidates
EP1358732B1 (fr) Procede de cryptage securise et composant utilisant un tel procede de cryptage
EP1553490A2 (fr) Dispositif cryptographique, procédé cryptographique, et support de stockage correspondant
EP1362451A1 (fr) Procede de securisation d&#39;un ensemble electronique mettant en oeuvre un algorithme cryptographique utilisant des operations booleennes et des operations arithmetiques, et systeme embarque correspondant
FR2829331A1 (fr) Procede de securisation d&#39;une quantite secrete
EP1421473B1 (fr) Procédé de calcul universel appliqué à des points d&#39;une courbe elliptique
EP1832974A1 (fr) Protection EMA d&#39;un calcul par un circuit électronique
WO2007104706A1 (fr) Procede de securisation d&#39;un calcul d&#39;une exponentiation ou d&#39;une multiplication par un scalaire dans un dispositif electronique
EP1224765A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type rsa
EP1419434A1 (fr) Procede securise de realisation d&#39;une operation d&#39;exponentiation modulaire
WO2006067057A1 (fr) Procede d&#39;exponentiation securisee et compacte pour la cryptographie
WO2002099624A1 (fr) Procede de securisation d&#39;un calcul d&#39;exponentiation dans un dispositif electronique
EP1279141B1 (fr) Procede de contre mesure dans un microcircuit et carte a puce comportant ledit microcircuit
EP1254408B1 (fr) Procede de calcul d&#39;exponentation modulaire dans un composant electronique mettant en oeuvre un algorithme de chiffrement a cle publique
EP1530753A2 (fr) Procede de calcul universel applique a des points d&#39;une courbe elliptique
FR2818846A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie
EP1457858A1 (fr) Procédé de sécurisation d&#39;un ensemble électronique à cryptoprocesseur
EP4372548A1 (fr) Protection des opérations cryptographiques contre les attaques d&#39;analyse par canaux latéraux horizontal
WO2002082257A1 (fr) Dispositif destine a realiser des calculs d&#39;exponentiation securisee et utilisation d&#39;un tel dispositif
WO2002093411A1 (fr) Dispositif destine a realiser des calculs d&#34;exponentiation appliques a des points d&#34;une courbe elliptique
EP1350161A1 (fr) Dispositif destine a realiser des calculs d&#39;exponentiation, et procede de programmation et d&#39;utilisation du dispositif
FR2818473A1 (fr) Procedes de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type rsa
FR2864649A1 (fr) Circuit de calcul d&#39;inverse, procede de calcul d&#39;inverse et support d&#39;enregistrement contenant un code de programme lisible par ordinateur

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TN TR TT TZ UA UG US UZ VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP