PROCEDE DE SECURISATION D'UN CALCUL D'EXPONENTIA ION DANS UN DISPOSITIF ELECTRONIQUE
La présente invention concerne un procédé de sécurisation d'un calcul d'exponentiation, avec application notamment dans le domaine de la cryptologie. L'invention s'applique en particulier à des algorithmes cryptographiques mis en œuvre dans des dispositifs électroniques tels que des cartes à puce.
De nombreux algorithmes cryptographiques sont basés sur des calculs d'exponentiation du type y = xr, où x est un élément d'un ensemble noté de façon multiplicative et r un nombre prédéterminé, qui codent une valeur y. Ceci est notamment le cas avec l'algorithme du type RSA (Rivest, Shamir et Adleman) . La valeur y peut correspondre par exemple à un texte chiffré, une donnée signée ou vérifiée.... On rappellera que sur un ensemble noté additivement, tel une courbe elliptique, l'exponentiation devient une multiplication scalaire du type Q=d.P, où P et Q sont des éléments de l'ensemble noté additivement (courbe elliptique) et d un nombre scalaire. Dans la suite, on se place dans le cas général, conventionnel, ce qui veut dire que l'on utilisera la notation multiplicative, sauf mention explicite- contraire.
Il existe différents types d'algorithmes d'exponentiation. ' On connaît notamment . là méthode binaire de type "élévation au carré et multiplication", plus habituellement connue sous la terminologie anglo- saxonne "square and multiply" (acronyme anglais SAM) , la méthode de Yacobi, dite M, M3, la méthode des fenêtres glissantes, etc.
Ces algorithmes doivent inclure des contre-mesures adaptées contre des attaques visant à découvrir des informations contenues et manipulées dans des traitements effectués par le dispositif de calcul. Notamment, des contre-mesures . sont prévues contre les attaques dites. à canaux cachés, simples ou différentielles. On entend par attaque à canal caché simple ou différentielle, une attaque basée sur une grandeur physique mesurable de l'extérieur du dispositif, et dont l'analyse directe (attaque simple) ou l'analyse selon une méthode statistique (attaque différentielle) permet de découvrir des informations contenues et manipulées dans des traitements réalisés dans le dispositif. Ces attaques peuvent ainsi permettre de découvrir des informations confidentielles. Ces attaques ont notamment été dévoilées par Paul Kocher {Advances in . Cryptology - CRYPTO ' 99 r vol . 1666 of Lecture Notes in Computer Science, pp . 388-397. Springer-Verlag, 1999) . Parmi les grandeurs physiques qui peuvent être exploitées- à ces fins, on peut citer la consommation en courant, le champ électromagnétique ... Ces attaques sont basées sur le fait que la manipulation d'un bit, c'est à dire son traitement par une instruction particulière a une empreinte particulière sur la grandeur physique considérée selon sa valeur.
Les algorithmes d'exponentiation précités ont dû inclure des contre-mesures pour empêcher de telles attaques de prospérer. Une parade efficace aux attaques de type différentiel est de rendre aléatoire les entrées et/ou les sorties de l'algorithme d'exponentiation utilisé
pour calculer y=xr. En d'autres termes, il s'agit- de rendre aléatoires l'opérande x et/ou l'exposant r.
En ce qui concerne les attaques de type simple, on sait sécuriser ces algorithmes en supprimant tous les branchements conditionnels à la valeur de la donnée traitée, branchements par lesquels une opération différente est exécutée.
Si on prend l'exemple de la méthode la plus couramment utilisée dans les systèmes cryptographiques à clé publique, la méthode binaire, aussi désignée par méthode .(ou ' algorithme) SAM (pour " square , and multiply" ) , deux variantes de mise en œuvre existent, selon que les bits du nombre r sont balayés de la droite vers la gauche ou de la gauche vers la droite. Dans le. premier cas (balayage droite .vers gauche) , l'algorithme SAM peut s'écrire de la façon suivante : Entrées de l'algorithme : x, r= (rm_ι, rm-2, ..., r0)2 Sortie de l'algorithme : y=xr. Registres temporaires .utilisés : R0, Ri. Initialisation : R0 <— 1 ; Ri <— x. Pour i=0 à m-1, faire :
Si rι=l, alors R0<—Ro•Rl Rl<-(Rl)2 Retourner R0. Dans le deuxième cas (balayage gauche vers droite) , l'algorithme SAM peut s'écrire de la façon suivante :
Entrées de l'algorithme : x, r= (rm_ι, rm_2, ..., r0)2 Sortie de l'algorithme : y=xr. Registre temporaire utilisé : R0. Initialisation : R0 <— 1
Pour i= m-1 à 0, faire :
Ro<-(Ro)2
Si rι=l, alors R0<—R0.x Retourner R0.
En considérant qu'une multiplication est aussi coûteuse qu'une élévation au carré, les deux algorithmes nécessitent en moyenne (3/2) .m multiplications.
Pour sécuriser ces algorithmes vis à vis des attaques à canaux cachés de type simple, la méthode généralement utilisée est de supprimer les branchements conditionnels à la valeur du nombre r (la clé secrète) , en sorte que l'on obtienne un algorithme à code constant.
La méthode binaire sécurisée, devient ainsi la méthode dite " square and mul tiply always" , ou algorithme SMA, c'est à dire une méthode dans laquelle une multiplication et une élévation au carré sont systématiquement réalisées.,
Dans le cas d'un balayage gauche vers droite, l'algorithme SMA sécurisé peut s'écrire comme suit : Entrées de l'algorithme : x, r= (rm_ι, rm-2, ..., r0)'2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés : R0, Ri. Variable utilisée : b Initialisation : R0 — 1
Pour i= m-1 à 0', faire :
Ro <-(Ro)
2 b=->ri
; R
b <-R
b .x ; R
0 <-R
b Retourner R
0. On rappelle que la notation —iri signifie valeur complémentaire de ri, (également appelée négation
booléenne) . Ainsi, si r
± vaut 1,
vaut 0 et si ri vaut
Dans cet algorithme, une multiplication inutile est réalisée, lorsque le bit r^ du nombre r vaut 0. Les performances de l'algorithme sécurisé résultant en termes de nombre de multiplications à effectuer tombent alors à 2.m.
D'une manière générale, la sécurisation des algorithmes d'exponentiation vis à vis des attaques de type simple affecte les performances de ces algorithmes de manière non négligeable.
Un objet de l'invention est un procédé de sécurisation d'un calcul d'exponentiation,- notamment pour empêcher des attaques à canaux cachés simples de prospérer.
Un autre objet de l'invention est un procédé de sécurisation permettant d'aboutir à un algorithme d'exponentiation performant en termes de nombre d' opérations . Un autre objet de l'invention est' un procédé de sécurisation' simple à implémenter.
Telle que caractérisée, l'invention concerne donc un procédé de sécurisation d'un calcul d'exponentiation du type y=xr, où x est un élément d'un ensemble noté de façon multiplicative et r est un nombre prédéterminé, au moins un bit ou chiffre dudit nombre r étant traité à chaque itération, un index sur le nombre r étant prévu, caractérisé en ce qu'à la fin de chaque itération, ledit index est incrémenté ou décrémenté selon la valeur du bit ou chiffre indexé et le bit ou chiffre indexé est réécrit à zéro.
Selon l'invention, au moins deux registres de calcul étant utilisés pour effectuer ledit calcul d'exponentiation, la valeur du bit ou chiffre indexé est utilisée pour indexer au moins un des registres à utiliser dans l'itération correspondante.
Le procédé de sécurisation selon l'invention peut être mis en œuvre dans un dispositif électronique apte à effectuer des calculs du type avec ou sans . résultat en place. Il s'applique à des dispositifs électroniques mettant en œuvre au moins un calcul d'exponentiation, notamment dans des cartes à puce ou autres systèmes cryptographiques.
L'invention et . les avantages qui' en découlent apparaîtront plus clairement à la lecture de la description qui suit et des exemples de réalisation donnés à titre purement indicatif, par référence à la figure unique en annexe. Celle-ci est un organigramme des éléments principaux d'un dispositif électronique, par exemple une carte à puce, permettant de mettre -en œuvre 1 ' invention.
La figure 1 représente sous forme de schéma bloc un dispositif électronique apte à réaliser des calculs d'exponentiation. Dans l'exemple, ce dispositif est une carte à puce destinée à exécuter un programme cryptographique. A cette fin, le dispositif 1 réunit dans une puce des moyens de calcul programmés, composés d'une unité centrale (UC) 2 reliée fonctionnellement à un ensemble de mémoires dont: - une mémoire 4 accessible en lecture seulement, dans l'exemple du type ROM masque, aussi connue sous
l'appellation anglaise "mask read-only memory (mask ROM)",
- une mémoire 6 reprogrammable électriquement, dans l'exemple du type EEPROM (de l'anglais "electrically erasable programmable ROM"), et
- une mémoire de travail 8 accessible en lecture et en écriture, dans l'exemple du type RAM (de l'anglais "random access memory"). Cette mémoire comprend notamment les registres utilisés par le dispositif 1.
Le code exécutable correspondant à l'algorithme d'exponentiation est contenu en mémoire programme. Ce code peut en- pratique être contenu en mémoire 4, accessible en lecture seulement, et/ou en mémoire 6, réinscriptible.
L'unité centrale 2 est reliée à une interface de communication 10 qui assure l'échange de signaux vis-à- vis de l'extérieur et l'alimentation de la puce. Cette interface peut comprendre des plots sur la carte pour une connexion dite "à contact" avec un lecteur, et/ou une antenne dans le cas d'une carte dite "sans contact" .
L'une des fonctions du dispositif 1 est de crypter et décrypter des données confidentielles respectivement transmises vers, et reçues de, l'extérieur. Ces données peuvent concerner par exemple des codes personnels, des informations médicales, une comptabilité sur des transactions bancaires ou commerciales, des autorisations d'accès à certains services restreints, etc. Une autre fonction consiste, dans le calcul d'une signature numérique ou dans sa vérification.
A cette fin, l'unité centrale 2 exécute un algorithme cryptographique à partir de données de programmation qui stockées dans les parties ROM masque 4 et/ou EEPROM 6. L'algorithme cryptographique peut être basé par exemple sur un algorithme RSA (Rivest, Shamir et Adleman) , ce qui implique un calcul . d'exponentiation modulaire du type y = xr, où x est une valeur prédéterminée et r, un nombre entier qui constitue une clé. Le nombre y ainsi obtenu constitue une donnée chiffrée, déchiffrée, signée ou vérifiée.
Le nombre r (la clé) est stocké dans une portion de mémoire ré-inscriptible 6, de type EEPROM dans l'exemple. Lorsque le dispositif 1 de calcul d'exponentiation est sollicité pour un calcul d'exponentiation de type y=xr, l'unité centrale mémorise le nombre x, transmis par l'interface de communication 10, en mémoire de travail 8, dans un registre de calcul. Dans un mode de réalisation courante, l'unité centrale va lire la clé r contenue , en .mémoire ré-inscriptible 6, pour la mémoriser temporairement, le temps du calcul d'exponentiation, dans un registre de calcul de la mémoire de travail. L'unité centrale lance alors l'algorithme d'exponentiation.
D'une manière générale, un algorithme d'exponentiation balaye tous les. bits (ou chiffres) du nombre- r pour effectuer l'exponentiation, par itérations successives. A chaque itération, il traite au moins un bit (ou chiffre) du nombre r. A cet effet, un index i sur le nombre r est prévu, incrémenté ou décrémenté d'une unité à la fin de chaque itération.
Selon l'invention, on prévoit qu'au lieu d' incrémenter ou décrémenter cet index d'une unité à la fin de chaque itération, on l'incrémente ou on le décrémente selon la valeur du bit (ou chiffre) indexé, et que ce bit (ou chiffre ) indexé est réécrit à zéro. De cette façon, on traite tous les bits (ou chiffres) du nombre r sans faire de tests sur leurs valeurs et sans aucune multiplication inutile.
Si on prend le cas d'une méthode binaire, le nombre r est représenté en binaire : r= (rm_ , ... , r0) 2. A chaque itération, un bit du nombre r est traité. Ce bit vaut soit 0 soit 1. Si le bit indexé vaut 1, à la fin de l'itération, l'index se retrouve incrémenté (ou décrémenté) de la valeur complémentaire, c'est à dire 0. Ainsi, à l'itération suivante, l'index i pointe toujours sur le même bit du nombre r, qui vaut alors 0.
A la fin de cette itération, l'index i est incrémenté
(ou décrémenté) de la valeur complémentaire du bit indexé, c'est à dire d'une unité. Ainsi, on traite le bit suivant du nombre r.
Avec un tel procédé, si un bit indexé vaut 1, l'index pointe deux fois de suite au même endroit, pour traiter d'abord le bit égal à 1, puis le bit égal à zéro. - Avantageusement, la valeur du bit indexé est alors utilisée pour indexer au moins un des registres de calcul utilisés par l'algorithme d'exponentiation. C'est l'indexation du ou des" registres par le bit indexé du nombre r qui détermine implicitement si c'est une multiplication par l'autre registre qui doit être effectuée ou une multiplication avec le même registre, dans l'itération concernée.
On notera qu'avec un procédé selon l'invention, un seul calcul multiplicatif est effectué à chaque itération : une multiplication avec l'autre registre ou une multiplication avec le même registre. Si le nombre r est représenté en binaire signé, on a r= (rm_ι, ... , r0) SD2, où ri est un chiffre dans {-1, 0, 1} représenté par deux bits : un bit de signe rιH et un bit de valeur rιL représentant sa valeur absolue 0 ou 1. L'index i pointe alors sur un chiffre du nombre r. Selon l'invention, il est incrémenté ou décrémenté de la valeur complémentaire du bit de valeur rιL. La valeur riH+riL est elle utilisée pour indexer le ou les registres de calcul.
L'invention présente d'autres avantages, qui seront détaillés plus loin, dans des exemples pratiques d' implémentation du procédé de l'invention. Parmi ces avantages, le registre de calcul utilisé pour contenir la valeur du nombre r est entièrement réécrit à zéro à la fin du calcul d'exponentiation, ce qui est particulièrement intéressant sur le plan sécuritaire.
En outre, l'invention ne nécessite pas de moyens complexes de calcul, en tous cas pas plus que ceux mis en œuvre pour les - algorithmes de l'état de la technique. Dans la suite, on va donner quelques exemples de mise en œuvre de l'invention.
Un premier exemple de mise en œuvre de l'invention concerne la méthode binaire avec balayage de droite à gauche. Avec un procédé de sécurisation selon l'invention, un algorithme binaire avec balayage de droite à gauche peut s ' écrire de la manière suivante : Entrées de l'algorithme : x, r= (r
m_ι, r
m_
2, ..., r
0)
2
Sortie de l'algorithme : y=x
r. Registres temporaires utilisés : R
0, Ri. variables utilisées : i, b Initialisation : R
0 - 1 ; Ri <— x ; i <— 0 Tant que
' i< m-1, faire :
R->ri <- R-ιri.Rι ; r± i- 0 ; i <— i+b Retourner R0. On notera qu'avec cet algorithme, à la fin du calcul d'exponentiation, le nombre x- mémorisé à l'initialisation dans le registre Ri, est perdu, . puisque les registres Ro et Ri sont utilisés pour contenir les résultats intermédiaires.
Un deuxième exemple de mise en œuvre de l'invention concerne la méthode binaire avec balayage de gauche, à droite. Avec un procédé selon l'invention, un algorithme binaire d'exponentiation sécurisée avec balayage de gauche à droite peut s'écrire de la manière suivante : Entrées de l'algorithme : x, r= (rm-ι, rm-2, ..., r0)2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés': R0, Ri. variables utilisées : i, b
Initialisation : R
0 <— 1 ; Ri <— x ; i <— m-1 Tant que i≥l, faire :
R0 r- R0. Rri ; ri <- 0 ; i <- i-b Si r0=l , alors R0 <- R0. Rι Retourner R0.
Cet algorithme est un peu moins simple que le précédent, parce que dans l'algorithme de base, .non
protégé, avec balayage du nombre r de gauche à droite (confère description supra), l'opération indépendante de la valeur du bit du nombre r, c'est à dire la multiplication du registre R0 avec lui-même, est effectuée avant l'opération dépendante de la valeur du bit, c'est à dire la multiplication par le registre Rx qui contient x.
Dans l'exemple de mise en œuvre de l'invention décrit ci-dessus, on conserve donc un unique test, sur la valeur du dernier bit r0 du nombre r.
Cependant, si on considère une application aux systèmes cryptographiques- de type RSA, la valeur de r0 est toujours 1, même dans le cas où le nombre r est rendu aléatoire (contre-mesure contre les attaques de type différentiel) . Ainsi, la dernière ligne de l'algorithme précédent devient une simple opération de multiplication. On a un algorithme à code constant, comme dans le premier exemple de réalisation, sécurisé implicitement contre les attaques à canaux cachés de type simple.
En outre, il est toujours possible de supprimer le test, par exemple, en remplaçant la dernière ligne de l'algorithme, par l'opération systématique suivante, utilisant la valeur du bit ro et son complément —iro pour indexer les registres R0 et Ri :
R-,r0 *— R_,r0 • RrO
Retourner R0.
Dans ce cas, si ro vaut 0, on effectue une multiplication inutile. On notera que dans ce cas, on perd aussi la valeur du nombre x, mémorisée initialement dans le registre Rx.
Enfin, dans certaines applications, on peut admettre un test sur le seul bit r0, selon le degré de sécurité recherché.
Les exemples qui viennent d'être donnés sont particulièrement simples à mettre en œuvre car ils n'utilisent que deux registres de calcul, R0 et R et que l'on a supposé que le dispositif de calcul autorise les calculs avec résultats en place ( " resuit in place" dans la littérature anglo-saxonne) , ce qui n'est pas toujours le cas. On entend par résultat en place, la "possibilité d'écrire dans un registre le résultat d'une opération (multiplication ici) effectuée avec le contenu même de ce. registre, c'est à dire des opérations du type R0 — R0.Rι ou R0 <— Ro-Ro Si les opérations du type résultat en place ne sont par permises, les algorithmes précédents doivent être modifiés en conséquence. Notamment, plus de deux registres sont nécessaires.
Si on considère le deuxième exemple présenté ci- dessus d'algorithme binaire sécurisé selon l'invention, du type à balayage du nombre r de la gauche vers la droite, un algorithme correspondant dans le cas où les résultats en place ne sont, pas permis, peut s'écrire : Entrées de l'algorithme : x, r= (rm_ι, rm_2, ..., r0)2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés :.R0, Ri, R2. Variables utilisées : i, b
Initialisation : R0 <— 1 ; Ri <— 1 ; R2 <— x ; i <- m-1 ; t <- 0 ;
Tant que i≥l, faire :
R_t <- Rt . R
2ri+tb ; r± - .0 ; i <r- i-b
Rt <- R-t • R2 Retourner R_,tφ ro-
On rappelle que la notation θ représente l'opération booléenne du OU exclusif (XOR en anglais).
Dans cet algorithme, à chaque itération, les registres R0 et . Ri contiennent successivement le résultat de la multiplication effectuée, puisqu'à chaque itération, la variable t prend la valeur complémentaire de l'itération précédente : t <— —it .'
Par ailleurs, lorsque le bit indexé ri vaut 0, alors (2ri+tb) . est égal à t, (avec t = 0 ou 1, selon •l'itération), et c'est une multiplication du registre Rt avec lui-même qui est réalisée : R_,t - Rt-Rt-
Lorsque le bit indexé r± vaut 1, alors (2rι+tb) est égal à 2 et c'est une multiplication par . le registre R2 qui contient x qui est effectuée : R_,t <— Rt-R2 (avec t = 0 ou 1, selon l'itération). Finalement, si r0 vaut 0, le résultat final est contenu dans R_,t ; sinon (r0=l) , il faut effectuer la multiplication : R_,t- R2-
On remarquera que dans cette implémentation, le dernier bit r0 du nombre r n'est pas mis à zéro et le • registre R2 contient toujours le nombre x à la fin du calcul d'exponentiation.
Les mêmes principes peuvent être appliqués pour adapter l'algorithme donné dans le premier exemple d' implémentation à un dispositif n'acceptant pas les résultats en place.
Un quatrième exemple d' implémentation d'un algorithme d'exponentiation sécurisée selon l'invention
va être donné, correspondant aux méthodes binaires signées (représentation binaire signée, notée SD2, du nombre r) . Ces méthodes sont plus particulièrement utilisées sur les ensembles notés additivement, tels les courbes elliptiques. En effet, il est bien connu que sur de tels ensembles, les inverses sont peu coûteux à obtenir.
Dans les' méthodes binaires signées, le nombre r est donné dans une représentation binaire signée, chaque chiffre du nombre r pouvant prendre une des trois valeurs suivantes : 0, 1 ou -1, généralement codées sur deux bits, soit respectivement 00, 01, 11.
Le bit de poids (rang) le plus faible est noté rL et représente la valeur du chiffre, 0 ou 1, et le bit de poids le plus élevé est noté rH et représente le signe du chiffre.
Ainsi, à chaque chiffre r± du nombre r, correspond un couple de bits (rιH, iL) .
Dans le cas où les opérations de type résultat en place sont permises, un algorithme sécurisé selon l'invention peut s'écrire :
Entrées dé l'algorithme : x, r= (rm-i, rm-2, ..., ro)SD2 Sortie de l'algorithme : y=xr. Registres temporaires utilisés : Ro, Ri, R2. Variables utilisées : i, b
Initialisation : R
0 r- 1 ; Ri <— x ; R
2 <— x
-1 ; i <- m-1 Tant que i≥l, faire : b < ιr
iL Ro <- Ro . RriH + riL ; r
± <- 0 ; i <r- i -b
Retourner R2roL-
Cet algorithme nécessite en moyenne 4/3. multiplications. Il . peut être amélioré sur le plan de l'espace mémoire nécessaire ( nombre de registres), en utilisant le même registre pour contenir x et x-1. Ceci 5 n'est intéressant que si le passage de x à x-1 est peu coûteux, ce qui est généralement le cas avec les ensembles notés additivement, tels les courbes elliptiques.
10 Un exemple de mise en œuvre de l'amélioration proposée est donné, dans le cas où les opérations de type résultat en place sont . permises, par l'algorithme sécurisé suivant :
Entrées de l'algorithme : x, r= (rm-ι, rm_2, ..., r0) SD2 15 Sortie de l'algorithme : y=xr.
Registres temporaires utilisés : Ro, Ri, R2. ' Variables utilisées : i, b, t, g Initialisation : Ri <— 1 ; R2 <— x ; i <— m-1 Tant que i> 1, faire :
20 b r- -!r
iL ; t .t g <- 2.r
iH + -πt.-iriH ; R
g <- (R
g)
_1
g - 2 . r
iH + t . -iriH ; R
g <- ( Rg)
"1 ri <- 0 ; i <— i-b 25 g <r- 2 . r
0H + t . -,r
θH ; R
g - ( R
g)
_1
g r- 2.r
0H + ^ .^r
0H ; R
g <- (R
g)
_1 Retourner R_,tβ ΓOL-
30 Dans cet algorithme, si r=-l, alors on remplace
' . la valeur du registre R2 par son inverse, c'est à dire x-1. Sinon, on inverse le contenu du registre qui va
être réécrit. Ensuite, après la multiplication, on réécrit x dans le registre R, et. ceci, à chaque itération.
Un dernier exemple de mise en oeuvre de l'invention est donné, appliqué aux méthodes dites k- aires, dans lesquels k bits du nombre r (en représentation binaire) sont traités dans une itération. Un ~ algorithme correspondant sécurisé avec balayage de gauche à droite selon l'invention peut s'écrire :
Entrées de l'algorithme : x, r= (rm_ι, rm_2, ..., r0)2 Sortie de l'algorithme : y=xr.
Registres temporaires utilisés : R0, Ri, R2, Rk. Variables' utilisées : i, b, t, j Initialisation : R0 <— 1 ; Ri <— x ; R2 <— x2 ; ...
Rk r- x ; t <- 0 ; i <- m-1; Tant que i≥l, faire : b <- (ri =0) ; t <r- t+b ; j <- i R0<-R0.Rri ; ri r- 0 ; i <- i- (t=k) ; t <- (j=i) .t si (ro ≠ 0) alors R0 <- Ro.Rro Retourner R0.
Cet algorithme sécurisé selon l'invention, est basé sur un algorithme k-aire issu d'une généralisation classique de l'algorithme de la méthode binaire avec balayage de gauche à droite. Dans ce cas d'une généralisation k-aire, les puissances successives de x
(x2, x3, ... , xk) sont précalculées et placées dans les registres R2, R3, Rk respectivement. Ensuite chaque chiffre r± de la représentation de l'exposant en base 2
(c'est à dire un élément de {0, 1, ...2k-1} ) est balayé de
la gauche vers la droite. La variable booléenne b vaut 1 lorsque le chiffre balayé est 0 et vaut 1 sinon. La variable t conserve le nombre de. multiplications à effectuer pour un même chiffre balayé et la variable j • est une variable qui permet de remettre la valeur de t à 0 avant le traitement d'un nouveau chiffre à balayer.
Comme dans le deuxième exemple de réalisation vu précédemment, cet algorithme n'est pas à code constant car il comprend un test sur le bit ro- Mais les remarques faites à ce sujet dans le cas du deuxième exemple s'appliquent de la même façon ici.
On comprendra que l'invention se prête à de nombreuses variantes de mise en œuvre. En particulier,. seulement quelques exemples d'application ont été donnés ici, correspondant aux méthodes d'exponentiation couramment employées. L'homme du métier saura adapter les principes de- l'invention à toute méthode d' exponentiation. La description a été donnée dans le cadre d'un dispositif électronique de type carte à puce. Il est cependant clair que les enseignements se transposent à toutes autres applications, telles que dans les terminaux informatiques, de communication sur réseau ou autre, et dans tout autre dispositif électronique qui fait appel à des calculs de codage ou de décodage.