WO2006084979A1 - Method for authenticating an electronic label by using a public-key cryptographic algorithm - Google Patents

Method for authenticating an electronic label by using a public-key cryptographic algorithm Download PDF

Info

Publication number
WO2006084979A1
WO2006084979A1 PCT/FR2006/000260 FR2006000260W WO2006084979A1 WO 2006084979 A1 WO2006084979 A1 WO 2006084979A1 FR 2006000260 W FR2006000260 W FR 2006000260W WO 2006084979 A1 WO2006084979 A1 WO 2006084979A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic tag
result
identifier
encryption
value
Prior art date
Application number
PCT/FR2006/000260
Other languages
French (fr)
Inventor
Côme BERBAIN
David Arditti
Olivier Billet
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2006084979A1 publication Critical patent/WO2006084979A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Definitions

  • a method of authenticating an electronic tag by using a public key cryptographic algorithm is a method of authenticating an electronic tag by using a public key cryptographic algorithm.
  • the present invention relates to a method of authentication of an electronic tag by an authentication server and using a public key encryption / decryption algorithm, the tag comprising a counter initialized to the null value and a register of current identifier initialized with a secret identifier of the electronic tag and the authentication server having access to storage means of said secret identifier of the electronic tag. It also relates to the authentication system, the electronic tag and the associated authentication server.
  • RFID Radio Frequency IDentifiers
  • the object of the invention is therefore to propose a method for authenticating an electronic tag accessible only to authorized readers / servers and thus not allowing a third party to trace a tag by the information it generates.
  • the object of the invention is a method of authentication of an electronic tag by an authentication server and using a public key encryption / decryption algorithm, the electronic tag having a counter initialized to the value null and a current identifier register initialized with a secret identifier of the electronic tag, and the authentication server having access to storage means of said secret identifier of the electronic tag, said method comprising the steps of: a) encrypting by the electronic tag of said current identifier by a predetermined number of iterations of the encryption algorithm using said public key, incrementing the counter of said predetermined number of iterations and storing the value of the counter, storing the result of the encryption in the current identifier register, b) transmitting a randomness from the authentication server to the electronic tag, c) encrypting, by the electronic tag, the result of
  • step b) the electronic tag issues an authentication request to the authentication server; in step a), said predetermined number of iterations is equal to 1 and is applied to the current identifier stored in step a) during the preceding authentication;
  • the encryption step a) is executed after step c) in preparation for a subsequent authentication; and the encryption algorithm is an RSA algorithm using a low value exponent;
  • the initialization of the authentication server is done by loading an image of the secret identifier obtained by using a one-way function, and the step h) is followed by a step of calculating an image of the result decryption obtained using the same function and step i) is replaced by a step of searching for said image;
  • a first pair of public / secret keys is used in steps a) and h) for the encryption / decryption of the current identifier and a second public / secret key pair is used in steps c) and e) for encryption / decryption of the result of the bijective function.
  • an electronic tag comprising:
  • means for storing a current identifier means for storing a public key and means for implementing an asymmetric encryption algorithm using this public key;
  • first computing means adapted to iterate the encryption of the current identifier by a predetermined number of iterations using the encryption algorithm and said public key; means of communication with an authentication server able to receive a randomness of this server and to send back the result obtained by
  • an authentication server comprising:
  • means for generating a hazard means of communication with the electronic tag able to transmit to it the random generated and to receive a value in return;
  • separating means capable of extracting from the result of the bijective function a first value and a second value considered as a number of iterations; second decryption means able to repeat the number of iterations contained in the second value; the decryption algorithm with the secret key on the first value;
  • an authentication system comprising at least one electronic tag and at least one authentication server.
  • FIG. 1 is a block diagram of a system of FIG. authentication according to the invention
  • FIG. 2 is a flow chart of an embodiment of the method according to the invention.
  • FIG. 3 is a detailed flow chart of an encryption operation
  • FIG. 4 is a detailed flow chart of a decryption operation
  • FIG. 5 is a block diagram of an electronic tag
  • FIG. 6 is a block diagram of an authentication server.
  • the authentication system FIG. 1, comprises an electronic tag 1 connected to an authentication server 2 by a wireless link 3.
  • the electronic tag 1 is, for example, a contactless card or a radio frequency identifier.
  • the authentication server 2 is, for example, a base station, a banking terminal or a radio frequency reader. Generally, the authentication server 2 is connected by a conventional data link 4, for example of the TCP / IP (Transfer Control Protocol / Internet Protocol) type, to other processing and storage machines. information.
  • TCP / IP Transfer Control Protocol / Internet Protocol
  • the link 3 is generally a very short-range radio-frequency link, for example that defined by the ISO 14443 standard.
  • An infrared link is also possible although having the disadvantage of operating only at sight between the label 1 and the authentication server 2.
  • the authentication method described below is based on asymmetric cryptographic algorithms. These algorithms are well known to those skilled in the art, the most famous of them being the RSA algorithm. For the understanding of what will follow, it will be recalled only that to encrypt a transmission of information between an Alice transmitter and a receiver Bob with such an algorithm, it is necessary for Bob to generate a pair of keys: a public key and a key secret. Bob then sends Alice her public key. Alice encrypts her message using Bob's public key and the appropriate encryption algorithm and passes the encrypted message to Bob. Bob decrypts the message with his secret key and the corresponding decryption algorithm.
  • the mathematical properties of these algorithms are such that knowledge of the public key alone does not allow decryption.
  • the encryption algorithm will be noted Asym and the corresponding decryption algorithm Asym "1.
  • the electronic tag 1 comprises means for implementing the encryption algorithm Asym and storage means of the public key P 2 of authentication server 2, common to a set of authentication servers, the authentication server 2 comprises means for setting implementation of the decryption algorithm Asy m '1 and storage means of the secret key S 2 .
  • FIG. 2 implements a first initialization step of the card during which a current identifier register Ki is initialized with a secret identifier IS specific to this tag.
  • This secret identifier is, for example, a serial number or the result of a diversification such as a MAC code ("Message Authentication Code").
  • a counter Ci is also initialized to 0.
  • step 11 the secret identifier IS of the electronic tag
  • the tag encrypts the secret identifier IS at 12 by successive iteration of the Asym encryption algorithm with the public key P 2 and stores the number of iterations in the counter Ci as well as the result of the encryption in a Ki register.
  • Steps 12A to 12C are repeated N times, N being a predetermined value selected, for example, randomly.
  • the secret identifier IS having thus been encrypted, the electronic tag 1 in this embodiment transmits at 13, FIG. 2, an authentication request to the authentication server 2.
  • the electronic tag 1 concatenates the previously encrypted current identifier Ki and the number of iterations Ci and digit with the public key P 2 the result of the exclusive-OR operation between the hazard R and this concatenation, either
  • This result X is sent at 16 by the electronic tag 1 to the authentication server 2.
  • the second value C'i is interpreted as indicating the number of iterations performed to encrypt the secret identifier.
  • step 2OD return to step 2OA.
  • the server has a list of secret identifiers corresponding to all valid tags for the application.
  • the server looks in this list of secret identifiers if one of them corresponds to the value IS '.
  • the electronic tag 1 is authenticated at 22.
  • a method has thus been described which advantageously allows an authentication of the electronic tag 1 without a third party being able to intercept the identifier of the tag or pretend to be the authentication server.
  • the prior encryption of the secret identifier according to a number of iterations which is preferably different to each authentication request makes the label can be seen by a third party only as a different label for each test. authentication.
  • a preferred way of obtaining this variation is to execute one and only one encryption operation on the value Ki stored during the preceding authentication, before an authentication and thus to increment the counter Ci by one unit before each authentication.
  • the encryption of Ki and the incrementation of the counter can take place indifferently before or after the calculation, step 15, of the value X transmitted to the authentication server 2.
  • the Asym encryption algorithm is an asymmetric RSA algorithm with a low value exponent, for example a value of 3.
  • the calculation of step 12A then amounts to producing 2 modulo n multiplications, where n is the product of several prime numbers.
  • RSA algorithm please refer to Ronald L. Rivest, Adi Shamir and Leonard M. Adleman.
  • a microprocessor card without a crypto-processor or a radio frequency identifier can easily perform the operation. This advantageously makes it possible to use low cost components.
  • the verification by the authentication server 2 is done quickly: the iterated application C 1 time of Asym "1 (S 2 , K'i) is done in a single calculation of Asym " 1 (S'2, K'i) where S'2 is the inverse of P 2 raised to the power C ' 1 modulo ⁇ (n) with ⁇ (n), function of Euler.
  • two pairs of public / secret keys are used. A first pair is used to encrypt and decrypt the secret identifier IS, steps 12 and 20, and the second pair is used to encrypt and decrypt the result of the exclusive-OR operation, steps 15 and 17.
  • the secret identifiers IS are not stored in the authentication server 2. Instead, an image of the secret identifier is stored by a one-way function such as a SHA type of condensation function (by for example, NITS, FIPS 180-1 and 180-2) or encryption by a symmetric algorithm with a secret key.
  • a one-way function such as a SHA type of condensation function (by for example, NITS, FIPS 180-1 and 180-2) or encryption by a symmetric algorithm with a secret key.
  • the only change is then to use the same function on the result of the decryption operation 20 and to search for the result with the list of images of the identifiers.
  • This variant advantageously protects the secret identifier by avoiding its dissemination on a multitude of authentication servers.
  • the electronic tag 1 therefore comprises, FIG. 5, storage means 50 of the current identifier K 1, storage means 51 of the public key P2 and means 52 for implementing of the encryption algorithm Asym.
  • It also comprises a counter 53 containing the value of C 1 corresponding to the total number of iterations since the initialization of the card. All the preceding means are connected to first computing means 54 for iteration of the encryption of the secret identifier IS to obtain the value Ki stored in storage means 55.
  • the electronic tag 1 also comprises second calculation means 56 capable of encrypting the result of the exclusive-OR operation, or of a equivalent bijective function, between the hazard R and the concatenation of the encrypted secret identifier Ki and the value Ci contained in the counter 53.
  • the hazard R is received from the authentication server 2 by the communication means 57 of the electronic tag 1. These same communication means 57 are adapted to send to the authentication server 2 the result of the calculation performed by the means 56. .
  • the authentication server 2 comprises, FIG. 6, communication means 60 connected to randomization generating means 61 in order to be able to send this hazard to the electronic tag 1. These communication means 60 are also connected to first ones. decryption means 62 capable of decrypting the value transmitted by the electronic tag 1.
  • the authentication server also comprises calculation means 65 exclusive-OR, or an equivalent bijective function, between the hazard R and the value decrypted by the decryption means 62, the result of which is transferred to means 66 for separating the first value K'i and the second value C'L Second means 67 for decryption are adapted to repeat the number of iterations Ci using the means 63 for implementing the decryption algorithm Asym '1 .
  • the result is transferred to search means 68 for the secret identifier IS stored in storage means accessible by access means 69.
  • the authentication system comprises a plurality of authentication servers sharing the pair of keys (public, secret).
  • the authentication system comprises electronic tags and at least one authentication server as described above.
  • the method thus described and the system associated with it advantageously allow authentication of electronic tags accessible only to authorized servers, that is to say to those who know the secret identifier.
  • a third party can not therefore draw such a label by the information it generates, these varying with each authentication request in a mode that seems random to this third party.

Abstract

The invention relates to a method for authenticating an electronic label (1) by a server (2) and by using a public-key cryptographic algorithm of which the secret key is known by the server (2). The electronic label (1) comprises a secret identifier also accessible to the server (2). The method consists of, on the label; encrypting (12) the secret identifier by iteration of the cryptographic algorithm; encrypting (15) the result of a bijection having, as input parameters, a random variable emitted by the server (2) and the concatenation of the encrypted secret identifier and of the number of iterations and, on the server; decrypting (17) the transmitted result; utilizing (18) the inverse bijection and the random variable for extracting the encrypted secret identifier and the number of iterations; decrypting (20) the secret identifier by iteration of the decryption algorithm, and; searching (21) on the server.

Description

Procédé d'authentification d'une étiquette électronique par utilisation d'un algorithme cryptoqraphique à clé publique. A method of authenticating an electronic tag by using a public key cryptographic algorithm.
La présente invention concerne un procédé d'authentification d'une étiquette électronique par un serveur d'authentification et par utilisation d'un algorithme chiffrement / déchiffrement à clé publique, l'étiquette comportant un compteur initialisé à la valeur nulle et un registre d'identifiant courant initialisé avec un identifiant secret de l'étiquette électronique et le serveur d'authentification ayant accès à des moyens de stockage dudit identifiant secret de l'étiquette électronique. Elle concerne également le système d'authentification, l'étiquette électronique et le serveur d'authentification associés.The present invention relates to a method of authentication of an electronic tag by an authentication server and using a public key encryption / decryption algorithm, the tag comprising a counter initialized to the null value and a register of current identifier initialized with a secret identifier of the electronic tag and the authentication server having access to storage means of said secret identifier of the electronic tag. It also relates to the authentication system, the electronic tag and the associated authentication server.
L'utilisation massive et croissante des étiquettes électroniques (Radio Frequency IDentifiers (RFID) - identifiant radio-fréquence, cartes sans contacts,...) posent de nouveaux problèmes de sécurité. En particulier, elle soulève le problème de la protection de la vie privée des porteurs de ces étiquettes. En effet, la détection d'une étiquette par un lecteur peut se faire sans action particulière du porteur, par simple proximité. Combinée avec une interaction grandissante entre ces lecteurs, l'identification fréquente de ces étiquettes permet la constitution de bases de données permettant le suivi du porteur au détriment de son anonymat.The massive and increasing use of electronic tags (Radio Frequency IDentifiers (RFID) - radio-frequency identifier, cards without contacts, ...) pose new security problems. In particular, it raises the issue of protecting the privacy of the carriers of these labels. Indeed, the detection of a label by a reader can be done without particular action of the wearer, by mere proximity. Combined with a growing interaction between these readers, the frequent identification of these tags allows the constitution of databases to track the wearer at the expense of anonymity.
Le but de l'invention est donc de proposer un procédé d'authentification d'une étiquette électronique accessible seulement aux lecteurs/serveurs habilités et donc ne permettant pas à un tiers de tracer une étiquette par les informations qu'elle génère. L'objet de l'invention est un procédé d'authentification d'une étiquette électronique par un serveur d'authentification et par utilisation d'un algorithme de chiffrement/déchiffrement à clé publique, l'étiquette électronique comportant un compteur initialisé à la valeur nulle et un registre d'identifiant courant initialisé avec un identifiant secret de l'étiquette électronique, et le serveur d'authentification ayant accès à des moyens de stockage dudit identifiant secret de l'étiquette électronique, ledit procédé comportant les étapes de : a) chiffrement par l'étiquette électronique dudit identifiant courant par un nombre prédéterminé d'itérations de l'algorithme de chiffrement utilisant ladite clé publique, incrémentation du compteur dudit nombre prédéterminé d'itérations et stockage de la valeur du compteur, stockage du résultat du chiffrement dans le registre d'identifiant courant, b) émission d'un aléa du serveur d'authentification vers l'étiquette électronique, c) chiffrement, par l'étiquette électronique, du résultat d'une fonction bijective ayant deux paramètres d'entrée, le premier paramètre étant l'aléa et le second paramètre étant la concaténation de l'identifiant courant chiffré précédemment et du compteur, ladite fonction étant telle que le second paramètre est calculable à partir du résultat de cette fonction, de l'aléa et de la fonction inverse, d) émission du résultat du chiffrement vers le serveur d'authentification, e) déchiffrement par le serveur d'authentification du résultat en utilisant la clé secrète associée à la clé publique et l'algorithme de déchiffrement, puis f) calcul du second paramètre à partir de ladite fonction inverse, de l'aléa et du résultat déchiffré, g) séparation dans le second paramètre de la valeur dérivée de l'identifiant courant et du compteur, h) déchiffrement de la valeur dérivée de l'identifiant courant (K'-i) par itérations successives dudit compteur, de l'algorithme de déchiffrement avec la clé secrète, i) recherche dans lesdits moyens de stockage dudit résultat de déchiffrement ainsi calculé, j) authentification de l'étiquette électronique si ladite recherche est positive.The object of the invention is therefore to propose a method for authenticating an electronic tag accessible only to authorized readers / servers and thus not allowing a third party to trace a tag by the information it generates. The object of the invention is a method of authentication of an electronic tag by an authentication server and using a public key encryption / decryption algorithm, the electronic tag having a counter initialized to the value null and a current identifier register initialized with a secret identifier of the electronic tag, and the authentication server having access to storage means of said secret identifier of the electronic tag, said method comprising the steps of: a) encrypting by the electronic tag of said current identifier by a predetermined number of iterations of the encryption algorithm using said public key, incrementing the counter of said predetermined number of iterations and storing the value of the counter, storing the result of the encryption in the current identifier register, b) transmitting a randomness from the authentication server to the electronic tag, c) encrypting, by the electronic tag, the result of a bijective function having two input parameters, the first parameter being the hazard and the second parameter being the concatenation of the current encrypted current identifier and the counter, said function being as the second parameter is computable from the result of this function, the random and the inverse function, d) emission of the result of the encryption to the authentication server, e) decryption by the authentication server of the result using the secret key associated with the public key and the decryption algorithm, then f) calculating the second parameter from said inver function se, of the hazard and the decrypted result, g) separation in the second parameter of the value derived from the current identifier and the counter, h) decryption of the value derived from the current identifier (K'-i) by successive iterations of said counter, of the decryption algorithm with the secret key, i) search in said storage means for said decryption result thus calculated, j) authentication of the electronic tag if said search is positive.
D'autres caractéristiques du procédé d'authentification sont :Other characteristics of the authentication method are:
- préalablement à l'étape b), l'étiquette électronique émet une demande d'authentification auprès du serveur d'authentification ; - à l'étape a), ledit nombre prédéterminé d'itérations est égal à 1 et est appliqué à l'identifiant courant stocké à l'étape a) lors de l'authentification précédente ;prior to step b), the electronic tag issues an authentication request to the authentication server; in step a), said predetermined number of iterations is equal to 1 and is applied to the current identifier stored in step a) during the preceding authentication;
- l'étape a) de chiffrement est exécutée après l'étape c) en préparation à une authentification suivante ; et - l'algorithme de chiffrement est un algorithme RSA utilisant un exposant de faible valeur ;the encryption step a) is executed after step c) in preparation for a subsequent authentication; and the encryption algorithm is an RSA algorithm using a low value exponent;
- l'initialisation du serveur d'authentification se fait par chargement d'une image de l'identifiant secret obtenue en utilisant une fonction à sens unique, et l'étape h) est suivie par une étape de calcul d'une image du résultat du déchiffrement obtenue en utilisant la même fonction et l'étape i) est remplacée par une étape de recherche de ladite image ;the initialization of the authentication server is done by loading an image of the secret identifier obtained by using a one-way function, and the step h) is followed by a step of calculating an image of the result decryption obtained using the same function and step i) is replaced by a step of searching for said image;
- une première paire de clés publiques /secrètes est utilisée aux étapes a) et h) pour le chiffrement/déchiffrement de l'identifiant courant et une seconde paire de clés publique/secrète est utilisée aux étapes c) et e) pour le chiffrement/déchiffrement du résultat de la fonction bijective. D'autres objets de l'invention sonta first pair of public / secret keys is used in steps a) and h) for the encryption / decryption of the current identifier and a second public / secret key pair is used in steps c) and e) for encryption / decryption of the result of the bijective function. Other objects of the invention are
- une étiquette électronique, comportant :an electronic tag, comprising:
- des moyens de stockage d'un identifiant courant ; - des moyens de stockage d'une clé publique et des moyens de mise en œuvre d'un algorithme de chiffrement asymétrique utilisant cette clé publique ;means for storing a current identifier; means for storing a public key and means for implementing an asymmetric encryption algorithm using this public key;
- un compteur apte à s'incrémenter du nombre d'itérations d'application de l'algorithme de chiffrement de l'identifiant courant ; - des premiers moyens de calcul adaptés pour itérer le chiffrement de l'identifiant courant d'un nombre d'itérations prédéterminé en utilisant l'algorithme de chiffrement et ladite clé publique ; des moyens de communication avec un serveur d'authentification aptes à recevoir un aléa de ce serveur et à émettre en retour le résultat obtenu para counter able to increment the number of iterations of application of the encryption algorithm of the current identifier; first computing means adapted to iterate the encryption of the current identifier by a predetermined number of iterations using the encryption algorithm and said public key; means of communication with an authentication server able to receive a randomness of this server and to send back the result obtained by
- des seconds moyens de calcul d'une fonction bijective ayant deux paramètres d'entrée, le premier paramètre étant l'aléa et le second paramètre étant la concaténation de l'identifiant courant chiffré et du compteur, ladite fonction étant telle que le second paramètre est calculable à partir du résultat de cette fonction, de l'aléa et de la fonction inverse ;second means for calculating a bijective function having two input parameters, the first parameter being the hazard and the second parameter being the concatenation of the current encrypted identifier and the counter, said function being such that the second parameter can be calculated from the result of this function, the hazard and the inverse function;
- un serveur d'authentification, comportant :an authentication server, comprising:
- des moyens d'accès à des moyens de stockage d'au moins un identifiant secret d'une étiquette électronique ;means for accessing storage means for at least one secret identifier of an electronic tag;
- des moyens de génération d'un aléa ; - des moyens de communication avec l'étiquette électronique aptes à lui transmettre l'aléa généré et à recevoir une valeur en retour ;means for generating a hazard; means of communication with the electronic tag able to transmit to it the random generated and to receive a value in return;
- des moyens de mise en oeuvre d'un algorithme de déchiffrement asymétrique auxquels sont connectés des moyens de stockage d'une clé secrète ;means for implementing an asymmetric decryption algorithm to which means for storing a secret key are connected;
- des premiers moyens de déchiffrement de la valeur reçue par utilisation des moyens de mise en œuvre de l'algorithme de déchiffrement asymétrique ;first means for decrypting the value received by using the means for implementing the asymmetric decryption algorithm;
- des moyens de calcul d'une fonction bijective inverse ayant deux paramètres d'entrée, le premier paramètre étant l'aléa et le second paramètre le résultat des premiers moyens de déchiffrement ;means for calculating an inverse bijective function having two input parameters, the first parameter being the random value and the second parameter the result of the first decrypting means;
- des moyens de séparation aptes à extraire du résultat de la fonction bijective une première valeur et une seconde valeur considérée comme un nombre d'itérations ; - des seconds moyens de déchiffrement aptes à répéter du nombre d'itérations contenu dans la seconde valeur l'algorithme de déchiffrement avec la clé secrète sur la première valeur ;separating means capable of extracting from the result of the bijective function a first value and a second value considered as a number of iterations; second decryption means able to repeat the number of iterations contained in the second value; the decryption algorithm with the secret key on the first value;
- des moyens de recherche de la valeur déchiffrée dans les moyens de stockage de l'identifiant secret ; et - un système d'authentification comportant au moins une étiquette électronique et au moins un serveur d'authentification.means for finding the value decrypted in the storage means of the secret identifier; and an authentication system comprising at least one electronic tag and at least one authentication server.
L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple, et faite en se référant aux dessins en annexe dans lesquels : - la figure 1 est un schéma synoptique d'un système d'authentification selon l'invention ;The invention will be better understood on reading the description which will follow, given solely by way of example, and with reference to the appended drawings in which: FIG. 1 is a block diagram of a system of FIG. authentication according to the invention;
- la figure 2 est un ordinogramme d'un mode de réalisation du procédé selon l'invention ;FIG. 2 is a flow chart of an embodiment of the method according to the invention;
- la figure 3 est un ordinogramme détaillé d'une opération de chiffrement ;FIG. 3 is a detailed flow chart of an encryption operation;
- la figure 4 est un ordinogramme détaillé d'une opération de déchiffrement ;FIG. 4 is a detailed flow chart of a decryption operation;
- la figure 5 est un schéma synoptique d'une étiquette électronique ; etFIG. 5 is a block diagram of an electronic tag; and
- la figure 6 est un schéma synoptique d'un serveur d'authentification. Le système d'authentification, figure 1 , comporte une étiquette électronique 1 connectée à un serveur d'authentification 2 par une liaison sans fil 3.FIG. 6 is a block diagram of an authentication server. The authentication system, FIG. 1, comprises an electronic tag 1 connected to an authentication server 2 by a wireless link 3.
L'étiquette électronique 1 est, par exemple, une carte sans contact ou un identifiant radio-fréquence.The electronic tag 1 is, for example, a contactless card or a radio frequency identifier.
Le serveur d'authentification 2 est, par exemple, une borne d'accès, un terminal bancaire ou un lecteur radio-fréquence. Généralement, le serveur d'authentification 2 est relié par une liaison de données 4 classique, par exemple de type TCP/IP (en anglais "Transfer Control Protocol/Internet Protocol"), à d'autres machines 5 de traitement et de stockage d'informations.The authentication server 2 is, for example, a base station, a banking terminal or a radio frequency reader. Generally, the authentication server 2 is connected by a conventional data link 4, for example of the TCP / IP (Transfer Control Protocol / Internet Protocol) type, to other processing and storage machines. information.
La liaison 3 est généralement une liaison radio-fréquence très courte portée comme, par exemple, celle définie par la norme ISO 14443. Une liaison infra-rouge est également possible bien que présentant l'inconvénient de ne fonctionner qu'à vue entre l'étiquette 1 et le serveur d'authentification 2. Le procédé d'authentification, décrit ci-après est basé sur des algorithmes cryptographiques asymétriques. Ces algorithmes sont bien connus de l'homme du métier, le plus célèbre d'entre eux étant l'algorithme RSA. Pour la compréhension de ce qui va suivre, on rappellera seulement que pour chiffrer une transmission d'informations entre un émetteur Alice et un récepteur Bob avec un tel algorithme, il est nécessaire que Bob génère un couple de clés : une clé publique et une clé secrète. Bob transmet alors à Alice sa clé publique. Alice chiffre son message en utilisant la clé publique de Bob et l'algorithme de chiffrement adapté puis transmet le message chiffré à Bob. Bob déchiffre le message grâce à sa clé secrète et à l'algorithme de déchiffrement correspondant. Les propriétés mathématiques de ces algorithmes sont telles que la connaissance de la clé publique seule ne permet pas le déchiffrement.The link 3 is generally a very short-range radio-frequency link, for example that defined by the ISO 14443 standard. An infrared link is also possible although having the disadvantage of operating only at sight between the label 1 and the authentication server 2. The authentication method described below is based on asymmetric cryptographic algorithms. These algorithms are well known to those skilled in the art, the most famous of them being the RSA algorithm. For the understanding of what will follow, it will be recalled only that to encrypt a transmission of information between an Alice transmitter and a receiver Bob with such an algorithm, it is necessary for Bob to generate a pair of keys: a public key and a key secret. Bob then sends Alice her public key. Alice encrypts her message using Bob's public key and the appropriate encryption algorithm and passes the encrypted message to Bob. Bob decrypts the message with his secret key and the corresponding decryption algorithm. The mathematical properties of these algorithms are such that knowledge of the public key alone does not allow decryption.
Dans la suite de la description, on notera donc PA la clé publique de A et SA sa clé secrète. L'algorithme de chiffrement sera noté Asym et l'algorithme de déchiffrement correspondant Asym"1. L'étiquette électronique 1 comporte des moyens de mise en œuvre de l'algorithme de chiffrement Asym et des moyens de stockage de la clé publique P2 du serveur d'authentification 2, commune à un ensemble de serveurs d'authentification. Le serveur d'authentification 2 comporte des moyens de mise en œuvre de l'algorithme de déchiffrement Asy m'1 et des moyens de stockage de la clé secrète S2.In the following description, note PA public key A and SA his secret key. The encryption algorithm will be noted Asym and the corresponding decryption algorithm Asym "1. The electronic tag 1 comprises means for implementing the encryption algorithm Asym and storage means of the public key P 2 of authentication server 2, common to a set of authentication servers, the authentication server 2 comprises means for setting implementation of the decryption algorithm Asy m '1 and storage means of the secret key S 2 .
Préalablement à tout procédé d'authentification, figure 2, on met en oeuvre une première étape 10 d'initialisation de la carte pendant laquelle un registre d'identifiant courant Ki est initialisé avec un identifiant secret IS propre à cette étiquette. Cet identifiant secret est, par exemple, un numéro d'ordre ou le résultat d'une diversification tel qu'un code MAC (« Message Authentification Code - Code d'authentification des messages). Un compteur Ci est également initialisé à 0. En parallèle, étape 11 , l'identifiant secret IS de l'étiquette électroniquePrior to any authentication method, FIG. 2 implements a first initialization step of the card during which a current identifier register Ki is initialized with a secret identifier IS specific to this tag. This secret identifier is, for example, a serial number or the result of a diversification such as a MAC code ("Message Authentication Code"). A counter Ci is also initialized to 0. In parallel, step 11, the secret identifier IS of the electronic tag
1 est également chargé sur le serveur d'authentification 2, ou est accessible par le serveur d'authentification 2 auprès d'une autre machine 5.1 is also loaded on the authentication server 2, or is accessible by the authentication server 2 to another machine 5.
Puis, préalablement à une authentification, l'étiquette chiffre en 12 l'identifiant secret IS par itération successive de l'algorithme de chiffrement Asym avec la clé publique P2 et stocke le nombre d'itérations dans le compteur Ci ainsi que le résultat du chiffrement dans un registre Ki.Then, prior to authentication, the tag encrypts the secret identifier IS at 12 by successive iteration of the Asym encryption algorithm with the public key P 2 and stores the number of iterations in the counter Ci as well as the result of the encryption in a Ki register.
En référence à la figure 3, cette étape 12 se découpe en une étape 12A de chiffrement y = Asym(P2, K1) , une étape de stockage du résultat en 12B dans le registre KiWith reference to FIG. 3, this step 12 is divided into an encryption step 12A y = Asym (P 2 , K 1 ), a step of storing the result in 12B in the Ki register
et une étape d'incrémentation en 12C du compteur C1 <- C1 + 1 .and a step of incrementation at 12C of the counter C 1 <- C 1 + 1.
Les étapes 12A à 12C sont répétées N fois, N étant une valeur prédéterminée choisie, par exemple, de façon aléatoire. L'identifiant secret IS ayant été ainsi chiffré, l'étiquette électronique 1 dans ce mode de réalisation émet en 13, figure 2, une demande d'authentification auprès du serveur d'authentification 2.Steps 12A to 12C are repeated N times, N being a predetermined value selected, for example, randomly. The secret identifier IS having thus been encrypted, the electronic tag 1 in this embodiment transmits at 13, FIG. 2, an authentication request to the authentication server 2.
Celui-ci lui répond en 14 en lui envoyant un aléa R, c'est-à-dire une valeur quelconque aléatoire. En 15, l'étiquette électronique 1 concatène l'identifiant courant chiffré précédemment Ki et le nombre d'itérations Ci et chiffre avec la clé publique P2 le résultat de l'opération OU-exclusif entre l'aléa R et cette concaténation, soitIt responds to 14 by sending a random R, that is to say some random value. At 15, the electronic tag 1 concatenates the previously encrypted current identifier Ki and the number of iterations Ci and digit with the public key P 2 the result of the exclusive-OR operation between the hazard R and this concatenation, either
X = Asym (P2,(Kpi)® R) en notant classiquement le résultat X, la concaténation et le OU- exclusif Θ . On rappelle que l'opération OU-exclusif de deux nombres en notation binaire consiste à additionner les 2 nombres bit à bit modulo 2.X = Asym (P 2 , (Kpi) ® R) classically noting the result X, the concatenation and the exclusive OR Θ. Remember that the OR-exclusive operation of two numbers in binary notation consists of adding the 2 bit-to-bit numbers modulo 2.
Ce résultat X est envoyé en 16 par l'étiquette électronique 1 au serveur d'authentification 2.This result X is sent at 16 by the electronic tag 1 to the authentication server 2.
En utilisant sa clé secrète S2, le serveur d'authentification 2 déchiffre en 17 le résultat X avec l'algorithme de déchiffrement Asym'1, soit
Figure imgf000009_0001
puis calcule en 18 le OU-exclusif de X' avec l'aléa R, soit Z'= X'θRBy using its secret key S 2 , the authentication server 2 decrypts in 17 the result X with the decryption algorithm Asym '1 , that is
Figure imgf000009_0001
then calculates in 18 the exclusive-OR of X 'with the hazard R, ie Z' = X'θR
Pour la compréhension de l'opération, il est rappelé qu'effectuer deux fois un OU-exclusif en utilisant un même opérande revient à faire une opération identité : X = X @ R @ R .For the understanding of the operation, it is recalled that performing an exclusive-OR twice using the same operand amounts to doing an identity operation: X = X @ R @ R.
Ainsi, il est possible d'utiliser une autre fonction bijective que le OU- exclusif, cette fonction devant avoir pour propriété que, en connaissant la fonction inverse et l'aléa, il est possible de retrouver la valeur initiale. Par exemple, la multiplication ou l'addition avec l'aléa sont des fonctions ayant cette propriété.Thus, it is possible to use another bijective function than the exclusive OR, this function having the property that, knowing the inverse function and the hazard, it is possible to find the initial value. For example, multiplication or addition with randomness are functions with this property.
Le résultat Z' du OU-exclusif peut être séparé en 19 en une première valeur K'i et une seconde valeur Ci telles que Z'= K\ C1 . La seconde valeur C'i est interprétée comme indiquant le nombre d'itérations effectuées pour chiffrer l'identifiant secret.The result Z 'of the exclusive OR can be separated into 19 into a first value K'i and a second value Ci such that Z' = K \ C 1 . The second value C'i is interpreted as indicating the number of iterations performed to encrypt the secret identifier.
La première valeur K'i est donc déchiffrée en 20 en répétant du nombre d'itérations C'i l'utilisation de l'algorithme de déchiffrement Asym"1 avec la clé secrète S2 du serveur, soit IS'= (Asym fι (S2,K\)The first value K'i is thus decrypted by repeating the number of iterations It is the use of the decryption algorithm Asym "1 with the secret key S 2 of the server, ie IS '= (Asym ~ ι f ι (S 2 , K \)
Cette opération, symétrique de l'opération de chiffrement de l'étape 12 se décompose, figure 4, selon l'algorithme suivant :This operation, symmetrical with the encryption operation of step 12, is decomposed, FIG. 4, according to the following algorithm:
- déchiffrement en 2OA de la première valeur K'i par utilisation de l'algorithme de déchiffrement Asym"1 et de la clé secrète S2 du serveur d'authentification 2,decryption in 2OA of the first value K'i by using the decryption algorithm Asym "1 and the secret key S 2 of the authentication server 2,
- assignation du résultat du déchiffrement à K'i, en 2OB,assigning the decryption result to K'i, in 2OB,
- décrémentation du compteur d, en 2OC,- decrementation of the counter d, in 2OC,
- si C'i est positif, en 2OD, retour à l'étape 2OA. On obtient ainsi une valeur IS'. On recherche alors en 21 si cette valeur IS' est égale à l'identifiant secret IS qui avait été stocké dans le serveur, ou rendu accessible à ce dernier, lors de l'étape 11.- if it is positive, in 2OD, return to step 2OA. This gives a value IS '. It is then searched in 21 if this IS 'value is equal to the secret identifier IS which had been stored in the server, or made accessible to the latter, during step 11.
De façon générale, le serveur possède une liste d'identifiants secrets correspondant à l'ensemble des étiquettes valides pour l'application. Par des méthodes bien connues de l'homme du métier (lecture en séquence, table de hachage,...) le serveur recherche dans cette liste d'identifiants secrets si un de ceux-ci correspond à la valeur IS'.In general, the server has a list of secret identifiers corresponding to all valid tags for the application. By methods well known to those skilled in the art (read in sequence, hash table, ...) the server looks in this list of secret identifiers if one of them corresponds to the value IS '.
Si un tel identifiant secret est trouvé, alors l'étiquette électronique 1 est authentifiée en 22.If such a secret identifier is found, then the electronic tag 1 is authenticated at 22.
On a ainsi décrit un procédé qui permet avantageusement une authentification de l'étiquette électronique 1 sans qu'un tiers ne puisse intercepter l'identifiant de l'étiquette ou se faire passer pour le serveur d'authentification.A method has thus been described which advantageously allows an authentication of the electronic tag 1 without a third party being able to intercept the identifier of the tag or pretend to be the authentication server.
En effet, le chiffrement préalable de l'identifiant secret selon un nombre d'itérations qui est, de préférence, différent à chaque demande d'authentification fait que l'étiquette ne peut être vue par un tiers que comme une étiquette différente à chaque essai d'authentification.Indeed, the prior encryption of the secret identifier according to a number of iterations which is preferably different to each authentication request makes the label can be seen by a third party only as a different label for each test. authentication.
Un moyen préférentiel d'obtenir cette variation est d'exécuter une et une seule opération de chiffrement sur la valeur Ki stockée lors de l'authentification précédente, avant une authentification et donc d'incrémenter le compteur Ci d'une unité avant chaque authentification.A preferred way of obtaining this variation is to execute one and only one encryption operation on the value Ki stored during the preceding authentication, before an authentication and thus to increment the counter Ci by one unit before each authentication.
Il est à noter que dans cette variante, le chiffrement de Ki et l'incrémentation du compteur peuvent avoir lieu indifféremment avant ou après le calcul, étape 15, de la valeur X transmise au serveur d'authentification 2. Dans une autre variante du procédé, l'algorithme de chiffrement Asym est un algorithme asymétrique RSA avec un exposant de valeur faible, par exemple de valeur 3. Le calcul de l'étape 12A revient alors à réaliser 2 multiplications modulo n, n étant le produit de plusieurs nombres premiers. Pour toute référence à l'algorithme RSA on pourra se référer à Ronald L. Rivest, Adi Shamir, Léonard M. Adleman "A Method for Obtaining Digital Signatures andIt should be noted that in this variant, the encryption of Ki and the incrementation of the counter can take place indifferently before or after the calculation, step 15, of the value X transmitted to the authentication server 2. In another variant of the method the Asym encryption algorithm is an asymmetric RSA algorithm with a low value exponent, for example a value of 3. The calculation of step 12A then amounts to producing 2 modulo n multiplications, where n is the product of several prime numbers. For any reference to the RSA algorithm, please refer to Ronald L. Rivest, Adi Shamir and Leonard M. Adleman.
Public-Key Cryptosystems", Commun. ACM 21 (2): 120-126 (1978).Public Key Cryptosystems, "Common ACM 21 (2): 120-126 (1978).
Ainsi une carte à microprocesseur sans crypto-processeur ou un identifiant radio-fréquence peut facilement réaliser l'opération. Cela permet avantageusement d'utiliser des composants de faible coût. De plus, dans cette variante, la vérification par le serveur d'authentification 2 se fait de manière rapide : l'application itérée C1 fois de Asym"1(S2,K'i) se fait en un seul calcul de Asym"1(S'2,K'i) où S'2 est l'inverse de P 2 élevé à la puissance C'1 modulo φ(n) avecφ{n) , fonction d'Euler. Dans une autre variante, deux paires de clés publiques / secrètes sont utilisées. Une première paire est utilisée pour chiffrer et déchiffrer l'identifiant secret IS, étapes 12 et 20, et la seconde paire est utilisée pour chiffrer et déchiffrer le résultat de l'opération OU-exclusif, étapes 15 et 17.Thus a microprocessor card without a crypto-processor or a radio frequency identifier can easily perform the operation. This advantageously makes it possible to use low cost components. Moreover, in this variant, the verification by the authentication server 2 is done quickly: the iterated application C 1 time of Asym "1 (S 2 , K'i) is done in a single calculation of Asym " 1 (S'2, K'i) where S'2 is the inverse of P 2 raised to the power C ' 1 modulo φ (n) with φ (n), function of Euler. In another variant, two pairs of public / secret keys are used. A first pair is used to encrypt and decrypt the secret identifier IS, steps 12 and 20, and the second pair is used to encrypt and decrypt the result of the exclusive-OR operation, steps 15 and 17.
Cela permet avantageusement de moduler la taille des paires de clés en fonction des contraintes de sécurité. Par exemple, une analyse de risque peut conduire à augmenter la taille de la paire de clés utilisée pour le transfert, tout en gardant une taille de clés permettant un calcul rapide pour le calcul itératif sur l'identifiant secret.This advantageously makes it possible to modulate the size of the key pairs according to the security constraints. For example, a risk analysis may lead to increasing the size of the key pair used for the transfer, while keeping a key size allowing a quick calculation for the iterative calculation on the secret identifier.
Dans une autre variante, les identifiants secrets IS ne sont pas stockés dans le serveur d'authentification 2. A la place, est stockée une image de l'identifiant secret par une fonction à sens unique comme une fonction de condensation de type SHA (par exemple, celles du NITS, les normes FIPS 180-1 et 180-2) ou le chiffrement par un algorithme symétrique avec une clé secrète.In another variant, the secret identifiers IS are not stored in the authentication server 2. Instead, an image of the secret identifier is stored by a one-way function such as a SHA type of condensation function (by for example, NITS, FIPS 180-1 and 180-2) or encryption by a symmetric algorithm with a secret key.
Le seul changement consiste alors à utiliser la même fonction sur le résultat de l'opération de déchiffrement 20 et à rechercher le résultat avec la liste des images des identifiants.The only change is then to use the same function on the result of the decryption operation 20 and to search for the result with the list of images of the identifiers.
Cette variante protège avantageusement l'identifiant secret en évitant sa dissémination sur une multitude de serveurs d'authentification.This variant advantageously protects the secret identifier by avoiding its dissemination on a multitude of authentication servers.
Pour la mise en œuvre de ce procédé, l'étiquette électronique 1 comporte donc, figure 5, des moyens de stockage 50 de l'identifiant courant K-i, des moyens de stockage 51 de la clé publique P2 et des moyens 52 de mise en œuvre de l'algorithme de chiffrement Asym.For the implementation of this method, the electronic tag 1 therefore comprises, FIG. 5, storage means 50 of the current identifier K 1, storage means 51 of the public key P2 and means 52 for implementing of the encryption algorithm Asym.
Elle comporte également un compteur 53 contenant la valeur de C1 correspondant au nombre total d'itérations depuis l'initialisation de la carte. Tous les moyens précédents sont connectés à des premiers moyens de calcul 54 permettant l'itération du chiffrement de l'identifiant secret IS pour obtenir la valeur Ki stockée dans des moyens de stockage 55.It also comprises a counter 53 containing the value of C 1 corresponding to the total number of iterations since the initialization of the card. All the preceding means are connected to first computing means 54 for iteration of the encryption of the secret identifier IS to obtain the value Ki stored in storage means 55.
L'étiquette électronique 1 comporte également des seconds moyens de calcul 56 aptes à chiffrer le résultat de l'opération OU-exclusif, ou d'une fonction bijective équivalente, entre l'aléa R et la concaténation de l'identifiant secret chiffré Ki et la valeur Ci contenue dans le compteur 53.The electronic tag 1 also comprises second calculation means 56 capable of encrypting the result of the exclusive-OR operation, or of a equivalent bijective function, between the hazard R and the concatenation of the encrypted secret identifier Ki and the value Ci contained in the counter 53.
L'aléa R est reçu du serveur d'authentification 2 par les moyens 57 de communication de l'étiquette électronique 1. Ces mêmes moyens 57 de communication sont adaptés pour envoyer au serveur d'authentification 2 le résultat du calcul effectué par les moyens 56.The hazard R is received from the authentication server 2 by the communication means 57 of the electronic tag 1. These same communication means 57 are adapted to send to the authentication server 2 the result of the calculation performed by the means 56. .
Le serveur d'authentification 2 comporte, figure 6, des moyens 60 de communication connectés à des moyens 61 de génération d'aléa afin de pouvoir envoyer cet aléa à l'étiquette électronique 1. Ces moyens 60 de communication sont également connectés à des premiers moyens de déchiffrement 62 aptes à déchiffrer la valeur émise par l'étiquette électronique 1.The authentication server 2 comprises, FIG. 6, communication means 60 connected to randomization generating means 61 in order to be able to send this hazard to the electronic tag 1. These communication means 60 are also connected to first ones. decryption means 62 capable of decrypting the value transmitted by the electronic tag 1.
Ces premiers moyens 62 de déchiffrement utilisent les moyens 63 de mise en œuvre de l'algorithme de déchiffrement Asym"1 auxquels sont connectés les moyens de stockage 64 de la clé secrète S2. Le serveur d'authentification comporte également des moyens 65 de calcul de OU-exclusif, ou d'une fonction bijective équivalente, entre l'aléa R et la valeur déchiffrée par les moyens 62 de déchiffrement, dont le résultat est transféré à des moyens 66 de séparation de la première valeur K'i et de la seconde valeur C'L Des seconds moyens 67 de déchiffrement sont adaptés pour répéter du nombre d'itérations Ci l'utilisation des moyens 63 de mise en œuvre de l'algorithme de déchiffrement Asym'1.These first decryption means 62 use the means 63 for implementing the decryption algorithm Asym "1 to which the storage means 64 of the secret key S 2 are connected, The authentication server also comprises calculation means 65 exclusive-OR, or an equivalent bijective function, between the hazard R and the value decrypted by the decryption means 62, the result of which is transferred to means 66 for separating the first value K'i and the second value C'L Second means 67 for decryption are adapted to repeat the number of iterations Ci using the means 63 for implementing the decryption algorithm Asym '1 .
Le résultat est transféré à des moyens 68 de recherche de l'identifiant secret IS stocké dans des moyens de stockage accessibles par des moyens 69 d'accès.The result is transferred to search means 68 for the secret identifier IS stored in storage means accessible by access means 69.
Dans une variante, le système d'authentification comporte une pluralité de serveurs d'authentification partageant le couple de clés (publique, secrète).In one variant, the authentication system comprises a plurality of authentication servers sharing the pair of keys (public, secret).
De façon générale, le système d'authentification comporte des étiquettes électroniques et au moins un serveur d'authentification tels que décrits précédemment.In general, the authentication system comprises electronic tags and at least one authentication server as described above.
Le procédé ainsi décrit et le système qui lui est associé permettent avantageusement une authentification des étiquettes électroniques accessibles seulement aux serveurs habilités, c'est-à-dire à ceux qui connaissent l'identifiant secret. Un tiers ne peut donc pas tracer une telle étiquette par les informations qu'elle génère, celles-ci variant à chaque demande d'authentification selon un mode qui paraît aléatoire à ce tiers.The method thus described and the system associated with it advantageously allow authentication of electronic tags accessible only to authorized servers, that is to say to those who know the secret identifier. A third party can not therefore draw such a label by the information it generates, these varying with each authentication request in a mode that seems random to this third party.
Ils permettent également et avantageusement d'assurer une non traçabilité rétroactive, c'est-à-dire qu'un tiers non autorisé qui s'emparerait de l'étiquette électronique et accéderait ainsi à son contenu n'est pas à même de corréler ces informations avec des communications passées de l'étiquette avec des serveurs puisqu'il ne peut pas dérouler le procédé dans l'ordre chronologique inverse.They also allow and advantageously ensure a retroactive non-traceability, that is to say that an unauthorized third party who seized the electronic tag and thus accesses its content is not able to correlate these information with past communications of the tag with servers since it can not unroll the process in reverse chronological order.
Enfin, ce procédé ne nécessitant, du côté de l'étiquette électronique que des calculs simples, celui-ci peut être implémenté en logique câblée ce qui permet avantageusement d'utiliser des étiquettes de faible coût. Finally, since this method only requires simple calculations on the electronic tag side, it can be implemented in hardwired logic, which advantageously makes it possible to use low cost tags.

Claims

REVENDICATIONS
1. Procédé d'authentification d'une étiquette électronique (1) par un serveur d'authentification (2) et par utilisation d'un algorithme de chiffrement/déchiffrement à clé publique, l'étiquette électronique (1) comportant un compteur (C-i) initialisé à la valeur nulle et un registre d'identifiant courant (K-O initialisé avec un identifiant secret (IS) de l'étiquette électronique, et le serveur d'authentification (2) ayant accès à des moyens de stockage dudit identifiant secret (IS) de l'étiquette électronique, ledit procédé comportant les étapes de : a) chiffrement (12) par l'étiquette électronique (1) dudit identifiant courant (Ki) par un nombre prédéterminé d'itérations de l'algorithme de chiffrement utilisant ladite clé publique, incrémentation du compteur (C-i) dudit nombre prédéterminé d'itérations et stockage de la valeur du compteur, stockage du résultat du chiffrement dans le registre d'identifiant courant (K1), b) émission (14) d'un aléa (R) du serveur d'authentification (2) vers l'étiquette électronique (1), c) chiffrement (15), par l'étiquette électronique (1), du résultat d'une fonction bijective ayant deux paramètres d'entrée, le premier paramètre étant l'aléa (R) et le second paramètre étant la concaténation de l'identifiant courant chiffré (K-O précédemment et du compteur (Ci), ladite fonction étant telle que le second paramètre est calculable à partir du résultat de cette fonction, de l'aléa et de la fonction inverse, d) émission (16) du résultat du chiffrement vers le serveur d'authentification (2), e) déchiffrement (17) par le serveur d'authentification (2) du résultat en utilisant la clé secrète associée à la clé publique et l'algorithme de déchiffrement, puis f) calcul (18) du second paramètre à partir de ladite fonction inverse, de l'aléa et du résultat déchiffré, g) séparation (19) dans le second paramètre de la valeur dérivée de l'identifiant courant (K'-i) et du compteur (C'i), h) déchiffrement (20) de la valeur dérivée de l'identifiant courant (K'-i) par itérations successives dudit compteur (C'i), de l'algorithme de déchiffrement avec la clé secrète, i) recherche (21) dans lesdits moyens de stockage dudit résultat de déchiffrement ainsi calculé, j) authentification (22) de l'étiquette électronique si ladite recherche est positive.1. A method for authenticating an electronic tag (1) by an authentication server (2) and using a public key encryption / decryption algorithm, the electronic tag (1) comprising a counter (Ci ) initialized to the null value and a current identifier register (KO initialized with a secret identifier (IS) of the electronic tag, and the authentication server (2) having access to storage means of said secret identifier (IS ) of the electronic tag, said method comprising the steps of: a) encrypting (12) by the electronic tag (1) of said current identifier (Ki) by a predetermined number of iterations of the encryption algorithm using said key public, incrementation of the counter (Ci) of said predetermined number of iterations and storage of the value of the counter, storage of the result of the encryption in the current identifier register (K 1 ), b) transmission (14) of a random ( R) d u authentication server (2) to the electronic tag (1), c) encryption (15), by the electronic tag (1), the result of a bijective function having two input parameters, the first parameter being the hazard (R) and the second parameter being the concatenation of the current encrypted identifier (KO previously and the counter (Ci), said function being such that the second parameter is computable from the result of this function, from the random and inverse function, d) transmission (16) of the result of the encryption to the authentication server (2), e) decryption (17) by the authentication server (2) of the result using the secret key associated with the public key and the decryption algorithm, then f) calculating (18) the second parameter from said inverse function, the random and the decrypted result, g) separation (19) in the second parameter of the value derived from the current identifier (K'-i) and the counter r (C'i), h) decrypting (20) the value derived from the current identifier (K'-i) by successive iterations of said counter (C'i), the decryption algorithm with the secret key, i) search (21) in said storage means of said decryption result thus calculated, j) authentication (22) of the electronic tag if said search is positive.
2. Procédé d'authentification d'une étiquette électronique (1) par un serveur d'authentification (2) et par utilisation d'un algorithme de chiffrement/déchiffrement à clé publique, l'étiquette électronique (1) comportant un compteur (C-i) initialisé à la valeur nulle et un registre d'identifiant courant (K-O initialisé avec un identifiant secret (IS) de l'étiquette .électronique,-. et le- serveur d'authentification (2) ayant accès à des moyens de stockage d'une image dudit identifiant secret (IS) de l'étiquette électronique obtenue en utilisant une fonction à sens unique, ledit procédé comportant les étapes de : a) chiffrement (12) par l'étiquette électronique (1) dudit identifiant courant (K-O par un nombre prédéterminé d'itérations de l'algorithme de chiffrement utilisant ladite clé publique, incrémentation du compteur (d) dudit nombre prédéterminé d'itérations et stockage de la valeur du compteur, stockage du résultat du chiffrement dans le registre d'identifiant courant2. A method for authenticating an electronic tag (1) by an authentication server (2) and using a public key encryption / decryption algorithm, the electronic tag (1) comprising a counter (Ci initialized to the null value and a current identifier register (KO initialized with a secret identifier (IS) of the electronic tag, and the authentication server (2) having access to storage means an image of said secret identifier (IS) of the electronic tag obtained using a one-way function, said method comprising the steps of: a) encrypting (12) by the electronic tag (1) of said current identifier (KO by a predetermined number of iterations of the encryption algorithm using said public key, incrementing the counter (d) of said predetermined number of iterations and storing the value of the counter, storing the result of the encryption in the registrar current identifier
b) émission (14) d'un aléa (R) du serveur d'authentification (2) vers l'étiquette électronique (1), c) chiffrement (15), par l'étiquette électronique (1), du résultat d'une fonction bijective ayant deux paramètres d'entrée, le premier paramètre étant l'aléa (R) et le second paramètre étant la concaténation de l'identifiant courant chiffré (Ki) précédemment et du compteur (C-i), ladite fonction étant telle que le second paramètre est calculable à partir du résultat de cette fonction, de l'aléa et de la fonction inverse, d) émission (16) du résultat du chiffrement vers le serveur d'authentification (2), e) déchiffrement (17) par le serveur d'authentification (2) du résultat en utilisant la clé secrète associée à la clé publique et l'algorithme de déchiffrement, puis f) calcul (18) du second paramètre à partir de ladite fonction inverse, de l'aléa et du résultat déchiffré, g) séparation (19) dans le second paramètre de la valeur dérivée de l'identifiant courant (K' -i) et du compteur (C'-i), h) déchiffrement (20) de la valeur dérivée de l'identifiant courant (K'-i) par itérations successives dudit compteur (C'i), de l'algorithme de déchiffrement avec la clé secrète, h') calcul, au moyen de ladite fonction à sens unique, de l'image du résultat du déchiffrement ainsi calculé, i1) recherche (21) dans lesdits moyens de stockage de l'image ainsi calculée, j) authentification (22) de l'étiquette électronique si ladite recherche est positive.b) transmission (14) of a randomness (R) of the authentication server (2) to the electronic tag (1), c) encryption (15), by the electronic tag (1), of the result of a bijective function having two input parameters, the first parameter being the hazard (R) and the second parameter being the concatenation of the current encrypted identifier (Ki) and the counter (Ci), said function being such that the second parameter is computable from the result of this function, from the hazard and from the inverse function, d) sending (16) the result of the encryption to the authentication server (2), e) decryption (17) by the authentication server (2) of the result using the secret key associated with the public key and the decryption algorithm, then f) calculating (18) the second parameter from said inverse function , random and deciphered result, g) separation (19) in the second parameter of the value derived from the current identifier (K '-i) and the counter (C'-i), h) decryption (20) ) of the value derived from the current identifier (K'-i) by successive iterations of said counter (C'i), of the decryption algorithm with the secret key, h ') calculation, by means of said one-way function unique, the image of the result of decryption thus calculated, i 1 ) search (21) in said image storage means thus calculated, j) authentication (22) of the electronic tag if said search is positive.
3. Procédé d'authentification selon la revendication 1 ou la revendication 2, caractérisé en ce que préalablement à l'étape b), l'étiquette électronique (1) émet une demande d'authentification auprès du serveur d'authentification (2).3. Authentication method according to claim 1 or claim 2, characterized in that prior to step b), the electronic tag (1) issues an authentication request to the authentication server (2).
4. Procédé d'authentification selon l'une quelconque des revendications précédentes, caractérisé en ce que, à l'étape a), ledit nombre prédéterminé d'itérations est égal à 1 et est appliqué à l'identifiant courant stocké à l'étape a) lors de l'authentification précédente. 4. Authentication method according to any one of the preceding claims, characterized in that, in step a), said predetermined number of iterations is equal to 1 and is applied to the current identifier stored in step a) during the previous authentication.
5. Procédé d'authentification selon la revendication 4, caractérisé en ce que l'étape a) de chiffrement est exécutée après l'étape c) en préparation à une authentification suivante.5. Authentication method according to claim 4, characterized in that the encryption step a) is performed after step c) in preparation for a subsequent authentication.
6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'algorithme de chiffrement est un algorithme RSA utilisant un exposant de faible valeur.6. Method according to any one of the preceding claims, characterized in that the encryption algorithm is an RSA algorithm using a low value exponent.
7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que une première paire de clés publiques /secrètes est utilisée aux étapes a) et h) pour le chiffrement/déchiffrement de l'identifiant courant (K-I, K'i) et une seconde paire de clés publique/secrète est utilisée aux étapes c) et e) pour le chiffrement/déchiffrement du résultat de la fonction bijective.7. Method according to any one of the preceding claims, characterized in that a first pair of public / secret keys is used in steps a) and h) for the encryption / decryption of the current identifier. (K- I , K'i) and a second public / secret key pair is used in steps c) and e) for the encryption / decryption of the result of the bijective function.
8. Etiquette électronique, caractérisé en ce qu'elle comporte :8. Electronic label, characterized in that it comprises:
- des moyens (50) de stockage d'un identifiant courant, - des moyens (51) de stockage d'une clé publique et des moyens (52) de mise en œuvre d'un algorithme de chiffrement asymétrique utilisant cette clé publique,means (50) for storing a current identifier; means (51) for storing a public key and means (52) for implementing an asymmetric encryption algorithm using this public key;
- un compteur (53) apte à s'incrémenter du nombre d'itérations d'application de l'algorithme de chiffrement de l'identifiant courant, - des premiers (54) moyens de calcul adaptés pour itérer le chiffrement de l'identifiant courant d'un nombre d'itérations prédéterminé en utilisant l'algorithme de Ghiffrement et ladite-dé publique,a counter (53) capable of incrementing the number of application iterations of the encryption algorithm of the current identifier; first (54) calculation means adapted to iterate the encryption of the current identifier; a predetermined number of iterations using the algorithm of Ghiffrement and said public die,
- des moyens (57) de communication avec un serveur d'authentification aptes à recevoir un aléa de ce serveur et à émettre en retour le résultat obtenu parmeans (57) for communicating with an authentication server able to receive a random event from this server and to send back the result obtained by
- des seconds (56) moyens de calcul d'une fonction bijective ayant deux paramètres d'entrée, le premier paramètre étant l'aléa et le second paramètre étant la concaténation de l'identifiant courant chiffré et du compteur (53), ladite fonction étant telle que le second paramètre est calculable à partir du résultat de cette fonction, de l'aléa et de la fonction inverse.second means (56) for calculating a bijective function having two input parameters, the first parameter being the hazard and the second parameter being the concatenation of the current encrypted identifier and the counter (53), said function being such that the second parameter is computable from the result of this function, the random and the inverse function.
9. Serveur d'authentification, caractérisé en ce qu'il comporte :Authentication server, characterized in that it comprises:
- des moyens (69) d'accès à des moyens de stockage d'au moins un identifiant secret d'une étiquette électronique (1),means (69) for accessing storage means for at least one secret identifier of an electronic tag (1),
- des moyens (61) de génération d'un aléa, - des moyens (60) de communication avec l'étiquette électronique (1) aptes à lui transmettre l'aléa généré et à recevoir une valeur en retour,means (61) for generating a hazard; means (60) for communicating with the electronic tag (1) able to transmit to it the random generated and to receive a return value,
- des moyens (63) de mise en œuvre d'un algorithme de déchiffrement asymétrique auxquels sont connectés des moyens (64) de stockage d'une clé secrète, - des premiers (62) moyens de déchiffrement de la valeur reçue par utilisation des moyens de mise en œuvre de l'algorithme de déchiffrement asymétrique, - des moyens (65) de calcul d'une fonction bijective inverse ayant deux paramètres d'entrée, le premier paramètre étant l'aléa et le second paramètre le résultat des premiers moyens (62) de déchiffrement,means (63) for implementing an asymmetric decryption algorithm to which means (64) for storing a secret key are connected; first means (62) for decrypting the value received by using the means; implementation of the asymmetric decryption algorithm, means (65) for calculating an inverse bijective function having two input parameters, the first parameter being the random value and the second parameter the result of the first decryption means (62),
- des moyens (66) de séparation aptes à extraire du résultat de la fonction bijective une première valeur et une seconde valeur considérée comme un nombre d'itérations,separating means (66) able to extract from the result of the bijective function a first value and a second value considered as a number of iterations,
- des seconds (67) moyens de déchiffrement aptes à répéter du nombre d'itérations contenu dans la seconde valeur l'algorithme de déchiffrement avec la clé secrète sur la première valeur, - des moyens (68) de recherche de la valeur déchiffrée dans les moyens de stockage de l'identifiant secret.second (67) decryption means capable of repeating the number of iterations contained in the second value; the decryption algorithm with the secret key on the first value; means (68) for finding the value decrypted in the first value; storage means of the secret identifier.
10. Système d'authentification caractérisé en ce qu'il comporte au moins une étiquette électronique selon la revendication 8 et au moins un serveur d'authentification selon la revendication 9. 10. Authentication system characterized in that it comprises at least one electronic tag according to claim 8 and at least one authentication server according to claim 9.
PCT/FR2006/000260 2005-02-11 2006-02-03 Method for authenticating an electronic label by using a public-key cryptographic algorithm WO2006084979A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0501428A FR2882209A1 (en) 2005-02-11 2005-02-11 METHOD OF AUTHENTICATING AN ELECTRONIC LABEL USING A CRYPTOGRAPHIC ALGORITHM WITH A PUBLIC KEY
FR0501428 2005-02-11

Publications (1)

Publication Number Publication Date
WO2006084979A1 true WO2006084979A1 (en) 2006-08-17

Family

ID=34982246

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/000260 WO2006084979A1 (en) 2005-02-11 2006-02-03 Method for authenticating an electronic label by using a public-key cryptographic algorithm

Country Status (2)

Country Link
FR (1) FR2882209A1 (en)
WO (1) WO2006084979A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5384846A (en) * 1993-04-26 1995-01-24 Pitney Bowes Inc. System and apparatus for controlled production of a secure identification card
FR2757723A1 (en) * 1996-12-24 1998-06-26 France Telecom AUTHENTICATION METHOD WITH AN ACCESS AND / OR PAYMENT CONTROL SYSTEM
US20030028771A1 (en) * 1998-01-02 2003-02-06 Cryptography Research, Inc. Leak-resistant cryptographic payment smartcard
US20040222878A1 (en) * 2003-05-06 2004-11-11 Ari Juels Low-complexity cryptographic techniques for use with radio frequency identification devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5384846A (en) * 1993-04-26 1995-01-24 Pitney Bowes Inc. System and apparatus for controlled production of a secure identification card
FR2757723A1 (en) * 1996-12-24 1998-06-26 France Telecom AUTHENTICATION METHOD WITH AN ACCESS AND / OR PAYMENT CONTROL SYSTEM
US20030028771A1 (en) * 1998-01-02 2003-02-06 Cryptography Research, Inc. Leak-resistant cryptographic payment smartcard
US20040222878A1 (en) * 2003-05-06 2004-11-11 Ari Juels Low-complexity cryptographic techniques for use with radio frequency identification devices

Also Published As

Publication number Publication date
FR2882209A1 (en) 2006-08-18

Similar Documents

Publication Publication Date Title
EP2301188B1 (en) Method for authenticating an entity by a verifier
EP1459479A2 (en) Cryptographic system for group signature
FR3054905B1 (en) KEY GENERATION METHOD AND ACCESS CONTROL METHOD
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
FR2930390A1 (en) METHOD FOR SECURE DIFFUSION OF DIGITAL DATA TO AN AUTHORIZED THIRD PARTY
EP1747639A1 (en) Method and system for generating a list signature
CN110460581B (en) File sharing method, system, equipment, SE device, shared end and medium
CA2816933C (en) Protection against passive sniffing
EP1847061A1 (en) Method for private-key encryption of messages, and application to an installation
EP2795833B1 (en) Authentication method between a reader and a radio tag
WO2009130088A1 (en) Terminal for strong authentication of a user
WO2016102833A1 (en) Secure electronic entity, electronic apparatus and method for verifying the integrity of data stored in such a secure electronic entity
CN110533417B (en) Digital asset management device, issuing method and system
WO2016207715A1 (en) Secure management of electronic tokens in a cell phone
FR3005186A1 (en) PROJECT FOR VALIDATION OF A CRYPTOGRAPHIC PARAMETER, AND CORRESPONDING DEVICE
WO2006084979A1 (en) Method for authenticating an electronic label by using a public-key cryptographic algorithm
EP3673633B1 (en) Method for authenticating a user with an authentication server
FR2916317A1 (en) PROTECTION OF EXECUTION OF A CRYPTOGRAPHIC CALCULATION
CN117370673B (en) Data management method and device for algorithm recommendation service
Sangoro et al. Enhancement of Security in RFID using RSA Algorithm
WO2022135952A1 (en) Method and device for generating authentication information for a secure entity and associated identity checking method and device
WO2021249854A1 (en) Method for securely acquiring and processing a piece of acquired secret information
FR2975249A1 (en) METHOD, SERVER AND BIOMETRIC AUTHENTICATION SYSTEM
WO2010046168A1 (en) Method of securing messages intended for an upgraded terminal in a distributed architecture
WO2007026092A1 (en) Anonymous and retroactively untraceable authentication of an electronic object by an authentication entity

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06709249

Country of ref document: EP

Kind code of ref document: A1

WWW Wipo information: withdrawn in national office

Ref document number: 6709249

Country of ref document: EP