WO2006103149A1 - Procede et dispositif cryptographique permettant de proteger les logiques de cles publiques contre les attaques par faute - Google Patents

Procede et dispositif cryptographique permettant de proteger les logiques de cles publiques contre les attaques par faute Download PDF

Info

Publication number
WO2006103149A1
WO2006103149A1 PCT/EP2006/060534 EP2006060534W WO2006103149A1 WO 2006103149 A1 WO2006103149 A1 WO 2006103149A1 EP 2006060534 W EP2006060534 W EP 2006060534W WO 2006103149 A1 WO2006103149 A1 WO 2006103149A1
Authority
WO
WIPO (PCT)
Prior art keywords
mod
value
values
cryptographic
crt
Prior art date
Application number
PCT/EP2006/060534
Other languages
English (en)
Inventor
Marc Joye
Mathieu Ciet
Original Assignee
Gemplus
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus filed Critical Gemplus
Publication of WO2006103149A1 publication Critical patent/WO2006103149A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Definitions

  • the present invention generally relates to cryptographic methods and devices based on the RSA primitive, and more specifically when it is in CRT mode (The Chinese Remainder Theorem).
  • the RSA primitive widely deployed in current cryptographic techniques, is used to encrypt a message m, to decrypt an encrypted message, to produce a signature S, or to verify the validity of the signature of a signed message.
  • the private key is itself the integer d.
  • RSA say RSA-CRT to increase the speed of signature calculation and / or decryption. It is considered that an RSA method in CRT mode is of the order of four times faster than RSA in standard mode.
  • Such countermeasures consist, see for example Adi Shamir, "How to check modular exponentiation” (impromptu session of EUROCRYPT '97), to add a random number to the calculation, this number random being used as an error detector.
  • Adi Shamir "How to check modular exponentiation” (impromptu session of EUROCRYPT '97)
  • the problem with this kind of countermeasure is that it does not protect against all types of fault injection attacks, and that it requires one or more validity test steps.
  • the final signature S is the result of the recombination of the exponent CRT cl.c2 where cl and c2 are values such that if an error occurs during the calculation of the CRT, then the product cl.c2 differs from 1. Also the final result is then no longer the signature S but S raised to the power ((cl.c2) mod N).
  • the "BOS” solution has the disadvantage of having to generate, preferably, two first integers, which increases the calculation time, but above all, requires the value of private key which, in practice, is not always available.
  • the object of the present invention is to provide a method and an RSA-CRT signature device capable of withstanding a fault injection attack.
  • this device comprising a central unit equipped with at least one working memory used to execute the calculations, and a rewritable memory used to store device-specific data and / or specific commands to be executed to implement the method .
  • the method of the invention which moreover conforms to the generic definition given in the preamble above, is essentially characterized in that it comprises at least the following stages consisting in: a) generating two integers ri and r2, b) generating, in the working memory, a first pair of values (sp *, si) from the value ri, and a second pair of values
  • An advantage of the invention is that a first pair of values (sp *, si) and a second pair of values (sq *, s2) are recombined to generate the signature without using a decision test.
  • Another advantage is that the integers r 1 and r 2 do not need to be prime, which increases the computation speed.
  • r1 and r2 are 32-bit integers; which, overall, has no impact on the performance in time and memory of the RSA signature.
  • the integers r 1 and r 2 are random.
  • the following parameters are stored in the rewritable memory: • p and q the prime integers,
  • the factoring module as the first public key element
  • an advantage of the present invention is that only the available data (dp, dq %) are used, the public exponent e being, in practice, not always available.
  • comparison values cl and c2 are defined by the relations
  • Ci (s * -Si + l) modi
  • the cryptographic method according to the invention is implemented advantageously in an electronic smart card device.
  • the present invention also aims to provide a cryptographic device for implementing the method according to one or other of the previous embodiments.
  • the cryptographic device makes it possible to protect the techniques based on public key logics against fault attacks.
  • the means of the device used make it possible to sign a message m in the form of a final signature
  • This device comprises a central unit equipped with at least one working memory used to execute the calculations, and a rewritable memory used to store data specific to the device and / or specific commands to be executed to implement the method .
  • the cryptographic device according to the invention is implemented advantageously in a smart card.
  • FIG. 1 The method according to the invention is shown schematically in FIG. 1 and operates as follows:
  • the cryptographic method for an electronic device consists in signing a message m in the form of a final signature S by RSA cryptography, using the Chinese Remainder Theorem (CRT).
  • the private key d is made up of two integers p and q
  • the final signature S is obtained by recombination according to the CRT.
  • the electronic device comprises a central unit equipped with at least one working memory used to execute the calculations, for example a volatile memory of the RAM type, and a non-volatile memory of the EEPROM or FLASH type used to store data specific to the device.
  • a volatile memory of the RAM type for example a volatile memory of the RAM type
  • a non-volatile memory of the EEPROM or FLASH type used to store data specific to the device.
  • device and / or specific commands to execute to implement the method for example an EEPROM or FLASH type memory.
  • such a device also comprises a code memory, of the ROM type, it may also be a non-volatile memory of the EEPROM or FLASH type, where the code to be executed is stored for implementing the method.
  • the method comprises at least the following steps:
  • the factoring module as the first public key element, • d and e, respectively private key and second public key element,
  • the first pair of values (sp *, si) is defined by the relations
  • This cryptographic method is implemented, in particular, in an electronic smart card device.
  • the cryptographic device makes it possible to protect the logics of public keys against fault attacks.
  • the following parameters are advantageously stored in the rewritable memory:
  • the factoring module as the first public key element
  • the device according to the invention is advantageously implemented in an electronic smart card device.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Procédé et dispositif cryptographiques selon le RSA, utilisant le théorème des restes chinois (CRT), comprenant les étapes consistant à 1. générer deux entiers aléatoires (r1, r2), à partir desquels on construit deux couples de valeurs (sp*, si) et (sq*, s2) à partir de ri et r2 respectivement, où si et s2 sont des valeurs de test, 2. générer une valeur s* de la signature finale S par recombinaison selon le CRT des valeurs sp* et sq*, 3. générer deux valeurs c1 et c2 par une fonction de comparaison entre s* et si ; et entre s* et s2, respectivement, 4. générer un résultat G fonction de Ci et C2, dont la valeur est égale à 1 si c1=c2=1 et différente de 1 sinon, et 5. produire la signature finale S définie par S=f2(s*,G) mod(N) telle que S=S* mod(N) si G=I et différente sinon , et la retourner vers l' extérieur.

Description

PROCEDE ET DISPOSITIF CRYPTOGRAPHIQUE PERMETTANT DE PROTEGER LES LOGIQUES DE CLES PUBLIQUES CONTRE LES
ATTAQUES PAR FAUTE.
La présente invention concerne de façon générale les procédés et dispositifs cryptographiques basés sur la primitive RSA, et plus spécifiquement lorsque celle-ci est en mode CRT (théorème des restes chinois) .
La primitive RSA, largement déployée dans les techniques cryptographiques actuelles, est utilisée pour chiffrer un message m, pour déchiffrer un message chiffré, pour produire une signature S, ou encore pour vérifier la validité de la signature d'un message signé.
Elle fonctionne, de manière bien connue, sur les logiques de sécurité à base de clés publiques . La sécurité est basée sur la difficulté de factoriser des grands nombres.
La clé publique est constituée de deux entiers N et e, où N, aussi appelé module, est égal au produit de deux entiers premiers distincts p et q ; et e, également appelé exposant public, est tel que e.d congrue à 1 modulo le plus petit commun multiple (ppcm) de (p-1) et de (q-1) , soit e.d = 1 mod ppcm (p-1, q-1) ; où « . » dénote une multiplication.
En mode dit standard, la clé privée est, elle, constituée par l'entier d.
Il est classique d'utiliser des implémentations du
RSA dites RSA-CRT afin d'augmenter la vitesse de calcul de signature et/ou de déchiffrement. Il est en effet considéré qu'un procédé RSA en mode CRT est de l'ordre de quatre fois plus rapide qu'un RSA en mode standard.
En mode dit CRT, dans une première configuration, la clé privée est constituée par les entiers p, q, dp, dq et iq avec dp = d mod (p-1) , dq = d mod (q-1) et iq = 1/q mod p.
Dans une deuxième configuration, elle est constituée par les entiers p, q, dp, dq, ap et aq avec dp = d mod (p-1) , dq = d mod (q-1) , et ap et aq tels que ap = 1 mod p, ap = 0 mod q, aq = 0 mod p et aq = 1 mod q.
Dans la première configuration, la recombinaison CRT pour le calcul de mAd mod N est obtenue à partir de
(p, q, dp, dq, iq) par S = sq + q. (iq. (sp - sq) mod p) avec sp = mAdp mod p et sq = mAdq mod q ; où « A » dénote une élévation à la puissance.
Dans la deuxième configuration, la recombinaison CRT est obtenue à partir de (p, q, dp, dq, ap, aq) par S = (ap.sp + aq.sq) mod N avec sp = mAdp mod p et sq = mAdq mod q.
L'inconvénient est que cette primitive est attaquable, notamment par injection de fautes. Il a ainsi été prouvé qu'un message et une signature erronée suffisent à retrouver la factorisation du module N, donc à casser le système, par simple calcul du plus grand commun diviseur (PGCD) . Le problème général étant qu'une seule faute durant une étape de calcul du CRT peut suffire à un attaquant pour casser le système en retrouvant le module de factorisation.
Plusieurs solutions pour remédier à ce problème ont été envisagées. Notamment, des contre-mesures ont été proposées afin de détecter si une erreur de calcul est survenue pendant le calcul de la signature.
De telles contre-mesures consistent, voir par exemple Adi Shamir, « How to check modular exponentiation » (session impromptue d' EUROCRYPT' 97) , à ajouter un nombre aléatoire au calcul, ce nombre aléatoire étant utilisé comme détecteur d'erreur. Le problème de ce genre de contre-mesure est qu'il ne protège pas contre tous les types d'attaque par injection de faute, et qu'il nécessite une ou plusieurs étapes de tests de décision de validité.
Or, introduire une étape de test de décision fragilise la sécurité du système, puisqu'une injection de faute à ce niveau permettrait de forcer cette étape.
Des solutions ont donc été proposées pour remédier à cet inconvénient. Notamment la solution « BOS », du nom de leurs auteurs Blômer, Otto et Seifert, qui proposent dans l'article « A new CRT-RSA algorithm secure against Bellcore attacks » (ACM CCS 2003) un algorithme visant à être sécurisé contre les attaques par injection de faute, dites attaques Bellcore.
L'idée de cet algorithme est que la signature finale S est le résultat de la recombinaison du CRT exposant cl.c2 où cl et c2 sont des valeurs telles que si une erreur se produit pendant le calcul du CRT, alors le produit cl.c2 diffère de 1. Aussi le résultat final n'est alors plus la signature S mais S élevé à la puissance ( (cl.c2) mod N) .
Cependant une telle solution s'est avérée finalement non complètement sécurisée puisque David Wagner a prouvé dans son article « Cryptanalysis of a provably secure CRT-RSA algorithm » {ACM CCS 2004) que l'algorithme « BOS » n'était, finalement, pas sécurisé contre un certain type d'attaques.
De plus, la solution « BOS » a comme inconvénient de devoir générer, de préférence, deux entiers premiers, ce qui alourdit les temps de calcul, mais surtout, nécessite la valeur d (clé privée) qui, en pratique, n'est pas toujours disponible.
L'objectif de la présente invention est de fournir un procédé et un dispositif de signature RSA-CRT susceptible de résister à une attaque par injection de faute .
Autrement dit, elle présente donc un procédé et un dispositif de mise en œuvre de combinaisons à clés publiques contenant la forme CRT de l'opération d'exponentiation modulaire xAd mod N où N=p.q, aux fins de les rendre plus résistants aux attaques par fautes.
Dans ce contexte, la présente invention a pour but de proposer un procédé et un dispositif cryptographique pour un dispositif électronique consistant à signer un message m sous forme d'une signature finale S (ou à déchiffrer un message chiffré) sur la base de la primitive RSA, utilisant le théorème des restes chinois (CRT), dont la clé publique (N, e) est constituée d'un module N qui est le produit de deux nombres premiers distincts p et q, et d'un exposant public e, et dont la clé privée (p, q, dp, dq, iq) est telle que e . dp = 1 mod
(p-1) et e . dq = 1 mod (q-1) ; ce dispositif comprenant une unité centrale équipée au moins d'une mémoire de travail utilisée pour exécuter les calculs, et d'une mémoire réinscriptible servant à stocker des données propres au dispositif et/ou propres à des commandes à exécuter pour mettre en œuvre le procédé.
A cette fin, le procédé de l'invention, par ailleurs conforme à la définition générique qu'en donne le préambule ci-dessus, est essentiellement caractérisé en ce que qu'il comprend au moins les étapes suivantes consistant à : a) générer deux entiers ri et r2, b) générer, dans la mémoire de travail, un premier couple de valeurs (sp*, si) à partir de la valeur ri, et un deuxième couple de valeurs
(sq*, s2) à partir de la valeur r2, où si et s2 sont des valeurs de test entières, c) générer une première valeur s* de la signature finale S par recombinaison selon le CRT des valeurs sp* et sq*, et la stocker dans la mémoire de travail, d) générer une première valeur de comparaison cl par une fonction de comparaison entre s* et si, et une deuxième valeur de comparaison c2 par une fonction de comparaison entre s* et s2, et stocker ces première et deuxième valeurs dans la mémoire de travail, e) générer un résultat G = _/"(ci,C2), dont la valeur est égale à 1 si cl=c2=l et différente de 1 sinon, et f) produire dans la mémoire de travail la signature finale S définie par S=f2(s*,G) mod N telle que
S = s* mod N si G=I et S Φ s* mod N sinon, écrire cette signature dans la mémoire réinscriptible, et la retourner vers l' extérieur.
Grâce à cet agencement, si une erreur est introduite, la valeur de G, qui est censée être 1, lui sera différente, auquel cas la signature finale S ne sera pas la signature S normale. Le calcul est donc ainsi protégé .
Un avantage de l'invention est qu'un premier couple de valeurs (sp*, si) et un deuxième couple de valeurs (sq*, s2) sont recombinés pour générer la signature sans utiliser de test de décision. Un autre avantage réside dans le fait que les entiers ri et r2 n'ont pas besoin d'être premiers, ce qui augmente la vitesse de calcul. Typiquement, ri et r2 sont des entiers de 32 bits ; ce qui, globalement, n'a pas d' impact sur les performances en temps et en mémoire de la signature RSA. Et avantageusement, les entiers ri et r2 sont aléatoires .
Aussi l'exploitation de l'invention ne coûte quasiment rien en ce qu'elle ne nécessite aucune ressource dédiée (« hardware » ou « software ») .
L'ensemble des opérations nécessaires à sa mise en œuvre se fait avec les moyens classiques, sans nécessiter de moyen (par exemple processeur, co-processeur) supplémentaire ou d'espace mémoire supplémentaire.
Dans le mode de réalisation préféré de l'invention, les paramètres suivants sont stockés dans la mémoire réinscriptible : • p et q les entiers premiers,
• N, le module de factorisation, comme premier élément de clé publique,
• d et e, respectivement clé privée et deuxième élément de clé publique, • la valeur iq telle que iq = q~1mod p,
• la valeur dp = d mod(p-l),
• la valeur dq = d mod(q-l) .
Ainsi un avantage de la présente invention est que seules les données disponibles (dp, dq...) sont utilisées, l'exposant public e n'étant, en pratique, pas toujours disponible .
Dans le mode de réalisation préféré de l'invention, le procédé cryptographique est tel que _/"(ci,C2) est une fonction rationnelle de type <Z^F(x,y) telle que <Z^F(1,1)=1 mod N et Vx,y≠l, <Z£F(x,y) ≠l .
Et plus particulièrement, la valeur G=_/"(ci,c2) est définie par la relation G = Arr[r3cl + (2AL-r3) c2/2AL] où r3 est un entier d'une longueur de L bits et Arr une fonction d'arrondi à la valeur entière supérieure, inférieure ou à la valeur entière la plus proche.
De préférence, les valeurs de comparaison cl et c2 sont définies par les relations
• Ci = (s*-Si+l)mod ri et
• C2 = (s*-s2+l)mod r2,
le premier couple de valeurs (sp*, si) est défini par les relations
• Sp* = (mp*)dpmod p* et
• Si = (mp*)dpmod ri où mp* = m mod p* et p* = ri.p,
et le deuxième couple de valeurs (sq*, s2) est défini par les relations
• Sq* = (mq*)dqmod q* et
• S2 = (mq*)dqmod r2 où mq* = m mod q* et q* = r2.q
De même, la valeur iq* est égale à (q*) "1ITiOd p* est calculée par exemple par les étapes suivantes : a ) iri = r2 ( g*; "1mod ri b ) j ri = (p*; "1ITiOd
Figure imgf000009_0001
c ) kq = { rl . iq + p* [ j rl ( irl -iq) mod ri ] } / ri d) ir2 = ( -p V1UiOd r2 et kr2 = ( l+p* . ir2 )
/ r2 e ) iq* = kqkr2 mod p*
Enfin, la recombinaison CRT pour générer une première valeur s* de la signature finale S est faite selon la relation : • s* = Sq* + q* [ iq* ( sp*-Sq* ) mod p* ] .
La signature finale S est construite à partir de la recombinaison CRT selon une fonction S=f2(s*,G) mod N telle que S = S* mod N si G=I et S ≠ s* mod N sinon. Typiquement, la fonction f2 est telle que S = s*AG mod N. A titre d'alternative, f2 peut aussi être telle que S = [ (G. s*) + (1-G) r4] mod N, où r4 est un entier aléatoire.
Dans un deuxième mode de réalisation, les paramètres suivants sont également stockés dans la mémoire réinscriptible : ap tel que ap = 1 mod p et ap = 0 mod q. Et aq tel que aq = 0 mod p et aq = 1 mod q.
Et, de même que dans le premier mode de réalisation, ap* = 1 mod p* et ap* = 0 mod q* ; et aq* = 0 mod p* et aq* = 1 mod q* . La recombinaison CRT pour générer une première valeur s* de la signature finale S est faite selon la relation :
s* = ap* . sp* + aq* . sq* mod rl.r2.N, Les autres étapes du procédé étant identiques .
Le procédé cryptographique selon l'invention est mis en œuvre avantageusement dans un dispositif électronique de carte à puce .
La présente invention a pour but également de proposer un dispositif cryptographique pour la mise en œuvre du procédé selon l'un ou l'autre des modes de réalisation précédents. Le dispositif cryptographique permet de protéger les techniques basées sur des logiques de clés publiques contre les attaques par faute.
Les moyens du dispositif mis en oeuvre permettent de signer un message m sous forme d'une signature finale
S (ou à déchiffrer un message chiffré) sur la base de la primitive RSA, utilisant le théorème des restes chinois
(CRT), dont la clé publique (N, e) est constituée d'un module N qui est le produit de deux nombres premiers distincts p et q, et d'un exposant public e, et dont la clé privée (p, q, dp, dq, iq) est telle que e . dp = 1 mod
(p-1) et e . dq = 1 mod (q-1) .
Ce dispositif comprend une unité centrale équipée au moins d'une mémoire de travail utilisée pour exécuter les calculs, et d'une mémoire réinscriptible servant à stocker des données propres au dispositif et/ou propres à des commandes à exécuter pour mettre en œuvre le procédé.
Le dispositif cryptographique selon l'invention est mis en œuvre avantageusement dans une carte à puce.
Le procédé selon l'invention est représenté schématiquement sur la figure 1 et fonctionne comme suit :
Le procédé cryptographique pour un dispositif électronique consiste à signer un message m sous forme d'une signature finale S par cryptographie RSA, utilisant le théorème des restes chinois (CRT) .
Dans un système RSA classique, la clé privée d est constituée à partir de deux entiers p et q, et la clé publique (N, e) est telle que N, le module de factorisation, satisfait la relation N=p.q et e l'exposant public est tel que e.d=l mod(p-l) (q-1); La signature finale S est obtenue par recombinaison selon le CRT.
Le dispositif électronique comprend une unité centrale équipée au moins d'une mémoire de travail utilisée pour exécuter les calculs, par exemple une mémoire volatile de type RAM, et d'une mémoire non volatile de type EEPROM ou FLASH servant à stocker des données propres au dispositif et/ou propres à des commandes à exécuter pour mettre en œuvre le procédé, par exemple une mémoire de type EEPROM ou FLASH. En général un tel dispositif comprend également une mémoire de code, de type ROM, il peut s'agir également d'une mémoire non volatile de type EEPROM ou FLASH, où est stocké le code à exécuter pour mettre en œuvre le procédé.
Le procédé comprend au moins les étapes suivantes consistant à :
• Générer (10) deux entiers aléatoires, non nécessairement premiers, ri et r2, et les stocker dans la mémoire de travail. Ces entiers permettent notamment de masquer les valeurs p et q en p* et q* respectivement.
• Générer (20) , dans la mémoire de travail, un premier couple de valeurs (sp*, si) à partir de la valeur ri, et un deuxième couple de valeurs
(sq*, s2) à partir de la valeur r2, où si et s2 sont des valeurs de test entières, qui servent de références .
• Générer (30) une première valeur s* de la signature finale S par recombinaison selon le
CRT des valeurs sp* et sq*, et la stocker dans la mémoire de travail.
• Générer (40) une première valeur de comparaison cl par une fonction de comparaison entre s* et si, et une deuxième valeur de comparaison c2 par une fonction de comparaison entre s* et s2, et stocker ces première et deuxième valeurs dans la mémoire de travail. Ainsi, si une erreur de calcul s'est produite, alors cl est différent de 1 ou c2 est différent de 1. • Générer (50) , dans la mémoire de travail, un résultat G= _/"(ci,C2), dont la valeur est égale à 1 si cl=c2=l et différente de 1 sinon, et • Produire (60) dans la mémoire de travail la signature finale S définie par S=f2(s*,G) mod N telle que S = S* mod N si G=I et S ≠ s* mod N sinon écrire cette signature dans la mémoire réinscriptible, et la retourner vers l' extérieur.
Les paramètres suivants sont stockés dans la mémoire réinscriptible :
• p et q les entiers premiers,
• N, le module de factorisation, comme premier élément de clé publique, • d et e, respectivement clé privée et deuxième élément de clé publique,
• la valeur iq telle que iq = q~1mod p,
• la valeur dp = d mod(p-l),
• la valeur dq = d mod(q-l) .
_/"(ci,C2) est, de préférence, une fonction rationnelle, afin d'augmenter la vitesse de calcul. Elle est de type ^(x,y) telle que 3JiF(I, I)=I mod N et Vx,y≠l, flfiF(x,y) ≠l. Par exemple, G=/(ci,C2) est défini par la relation G = Arr[r3cl + (2AL-r3) c2/2AL] où r3 est un entier d'une longueur de L bits et Arr une fonction d'arrondi à la valeur entière supérieure, inférieure ou à la valeur entière la plus proche. Les valeurs cl et c2, valeurs de comparaison entre s* et si, et s* et s2, sont définies par les relations Ci = (s*-Si+l) mod ri et C2 = (s*-s2+l)mod r2
Le premier couple de valeurs (sp*, si) est défini par les relations
Sp* = (mp*)dpmod p* et Si = (mp*)dpmod ri où mp* = m mod p* et p* = ri.p
De même, le deuxième couple de valeurs (sq*, s2) est défini par les relations Sq* = (mq*)dqmod q* et S2 = (mq*)dqmod r2 où mq* = m mod q* et q* = r2.q
Ainsi, les valeurs p et q sont masquées respectivement en p* et q* et permettent de générer sp* et Sq* en vue de la recombinaison CRT.
La recombinaison CRT est utilisée pour générer une première valeur s* de la signature finale S, faite selon la relation : s* = Sq* + q* [iq* (sp*-Sq*)mod p*]
où la valeur iq* est définie comme l'inverse de q* modulo p* par (q*) "1TTiOd p* est calculée, par exemple, par les étapes suivantes :
• iri = r2 ( q* ) "1ITiOd ri ( soit iri = q~1mod ri ) • j n = (PV1ITiOd r f
• kq = { rl . iq + p* [ j rl ( irl -iq) mod ri ] } / ri
• ir2 = ( -PV1ITiOd r2 et kr2 = ( l+p* . ir2 ) / r2
• iq* = kqkr2 mod p* Ainsi, la signature finale S est produite à l'extérieur après recombinaison CRT mais sans étape de test de décision.
La signature finale S est construite à partir de la recombinaison CRT selon une fonction S=f2(s*,G) mod N telle que S = S* mod N si G=I et S Φ s* mod N sinon. Typiquement, la fonction f2 est telle que S = s*AG mod N. A titre d'alternative, f2 peut aussi être telle que S = [ (G. s*) + (1-G) r4] mod N, où r4 est un entier aléatoire.
Ce procédé cryptographique est mis en œuvre, notamment, dans un dispositif électronique de carte à puce .
Le dispositif cryptographique selon l'invention permet de protéger les logiques de clés publiques contre les attaques par faute.
Le dispositif de mise en œuvre d'un procédé cryptographique pour un dispositif électronique par cryptographie RSA, utilisant le théorème des restes chinois (CRT) , comprend : a) Des moyens pour générer deux entiers aléatoires ri et r2, b) Des moyens pour générer, dans la mémoire de travail, un premier couple de valeurs (sp*, si) à partir de la valeur ri, et un deuxième couple de valeurs (sq*, s2) à partir de la valeur r2, où si et s2 sont des valeurs de test entières, c) Des moyens pour générer une première valeur s* de la signature finale S par recombinaison selon le CRT des valeurs sp* et sq*, et la stocker dans la mémoire de travail, d) Des moyens pour générer une première valeur de comparaison cl par une fonction de comparaison entre s* et si, et une deuxième valeur de comparaison c2 par une fonction de comparaison entre s* et s2, et stocker ces première et deuxième valeurs dans la mémoire de travail, e) Des moyens pour générer un résultat G= f(ci,C2), dont la valeur est égale à 1 si cl=c2=l et différente de 1 sinon, et f) Des moyens pour produire dans la mémoire de travail la signature finale S définie par S=f2(s*,G) mod N telle que S = S* mod N si G=I et S ≠ s* mod N sinon, écrire cette signature dans la mémoire réinscriptible, et la retourner vers l'extérieur.
Dans le dispositif selon l'invention, les paramètres suivants sont avantageusement stockés dans la mémoire réinscriptible :
• p et g les entiers premiers,
• N, le module de factorisation, comme premier élément de clé publique,
• d et e, respectivement clé privée et deuxième élément de clé publique,
• la valeur iq telle que iq = q~1mod p,
• la valeur dp = d mod(p-l),
• la valeur dq = d mod(q-l) .
Dans le mode de réalisation préféré, _/"(ci,C2) est une fonction rationnelle de type <2^F(x,y) telle que <2^F(1,1)=1 mod N et Vx,y≠l, <Z£F(x,y) ≠l .
Avantageusement, G=/(ci,C2) est défini par la relation G = Arr[r3cl + (2AL-r3) c2/2AL] où r3 est un entier d'une longueur de L bits et Arr une fonction d'arrondi à la valeur entière supérieure, inférieure ou à la valeur entière la plus proche.
Les valeurs de comparaison cl et c2 sont, de préférence, définies par les relations Ci = ( s*- Si+l ) mod ri et C2 = ( s*- s2+l ) mod r2
Et le premier couple de valeurs (sp*, si) est défini par les relations
Sp* = (mp*) dpmod p* et
Si = (mp*)dpmod r± où mp* = m mod p* et p* = ri.p
Le deuxième couple de valeurs (sq*, s2) est défini par les relations
Sg* = (mq*) dqmod q et s = (mq*)dqmod r2 où mq* = m mod q* et q* = r2.q
La valeur iq* est définie par (q*)~1mod p* . Elle est calculée, par exemple, par des moyens permettant de calculer les valeurs suivantes : iri = r2 (g*; "1ItIOd ri jn = (p*; "1ITiOd ri2 kq = {rl.iq + p* [jrl (irl-iq) mod ri]} / ri ir2 = (-p*; "1ITiOd r2 et kr2 = (l+p*.ir2) / r2 iq* = kqkr2 mod p*
La recombinaison CRT pour générer une première valeur s* de la signature finale S est faite par des moyens pour calculer la relation : s* = Sq* + q* [iq* (sp*-Sq*) mod p*].
Dans un autre mode de réalisation, les paramètres suivants sont également stockés dans la mémoire réinscriptible : ap tel que ap = 1 mod p et ap = 0 mod q. Et aq tel que aq = 0 mod p et aq = 1 mod q.
Et, de même que dans le premier mode de réalisation, ap* = 1 mod p* et ap* = 0 mod q* ; et aq* = 0 mod p* et aq* = 1 mod q* . La recombinaison CRT pour générer une première valeur s* de la signature finale S est faite par des moyens pour calculer la relation :
s* = ap* . sp* + aq*.sq* mod rl.r2.N
La signature finale S est construite à partir de la recombinaison CRT selon une fonction S=f2(s*,G) mod N telle que S = S* mod N si G=I et S ≠ s* mod N sinon. Typiquement, la fonction f2 est telle que S = s*AG mod N. A titre d'alternative, f2 peut aussi être telle que S = [ (G. s*) + (1-G) r4] mod N, où r4 est un entier aléatoire.
Le dispositif selon l'invention est avantageusement mis en œuvre dans un dispositif électronique de carte à puce .

Claims

REVENDICATIONS
1. Procédé cryptographique pour dispositif électronique, permettant de protéger les techniques de clés publiques contre les attaques par faute, consistant à signer un message m sous forme d'une signature finale
S par cryptographie RSA, utilisant le théorème des restes chinois (CRT) , dont la clé privée d est constituée à partir de deux entiers p et q, et la clé publique (N, e) est telle que N, le module de factorisation, satisfait la relation N=p.q et e l'exposant public est tel que e.d=l mod(p-l) (q-1) ; ce dispositif comprenant une unité centrale équipée au moins d'une mémoire de travail utilisée pour exécuter les calculs, et d'une mémoire réinscriptible servant à stocker des données propres au dispositif et/ou propres à des commandes à exécuter pour mettre en œuvre le procédé, caractérisé en ce que ce procédé comprend au moins les étapes suivantes consistant à : a) générer (10) deux entiers aléatoires ri et r2, b) générer (20) , dans la mémoire de travail, un premier couple de valeurs (sp*, si) à partir de la valeur ri, et un deuxième couple de valeurs
(sq*, s2) à partir de la valeur r2, où si et s2 sont des valeurs de test entières, c) générer (30) une première valeur s* de la signature finale S par recombinaison selon le CRT des valeurs sp* et sq*, et la stocker dans la mémoire de travail, d) générer (40) une première valeur de comparaison cl par une fonction de comparaison entre s* et si, et une deuxième valeur de comparaison c2 par une fonction de comparaison entre s* et s2, et stocker ces première et deuxième valeurs dans la mémoire de travail, e) générer (50) un résultat G= f(ci,C2), dont la valeur est égale à 1 si cl=c2=l et différente de 1 sinon, et f) produire (60) dans la mémoire de travail la signature finale S définie par S=f2(s*,G) mod(N) telle que S=S* mod(N) si G=I et différente sinon, écrire cette signature dans la mémoire réinscriptible, et la retourner vers l' extérieur.
2. Procédé cryptographique selon la revendication 1, caractérisé en ce que notamment les paramètres suivants sont stockés dans la mémoire réinscriptible :
• p et q les entiers premiers, • N, le module de factorisation, comme premier élément de clé publique,
• d et e, respectivement clé privée et deuxième élément de clé publique,
• la valeur iq telle que iq = q~1mod p, • la valeur dp = d mod(p-l),
• la valeur dq = d mod(q-l) .
3. Procédé cryptographique selon l'une quelconque des revendications précédentes, dans lequel _/"(ci,C2) est une fonction rationnelle de type <2^F(x,y) telle que flfiF(l,l)=l mod N et Vx,y≠l, <Z£F(x,y) ≠l .
4. Procédé cryptographique selon la revendication 3, dans lequel G=/(ci,C2) est défini par la relation G = Arr[r3cl + (2AL-r3) c2/2AL] où r3 est un entier d'une longueur de L bits et Arr une fonction d'arrondi à la valeur entière supérieure, inférieure ou à la valeur entière la plus proche.
5. Procédé cryptographique selon l'une quelconque des revendications précédentes, dans lequel les valeurs de comparaison cl et c2 sont définies par les relations
• Ci = (s*-Si+l) mod ri et
Figure imgf000021_0001
6. Procédé cryptographique selon l'une quelconque des revendications précédentes, dans lequel le premier couple de valeurs (sp*, si) est défini par les relations • Sp* = (mp*) dpmod p* et
• Si = (mp*)dpmod r± où mp* = m mod p* et p* = ri.p
7. Procédé cryptographique selon l'une quelconque des revendications précédentes, dans lequel le deuxième couple de valeurs (sq*, s2) est défini par les relations
• Sg* = (mq*) dqmod q et
• s = (mq*)dqmod r2 où mq* = m mod q* et q* = r2.q
8. Procédé cryptographique selon l'une quelconque des revendications précédentes, dans lequel la valeur iq* est définie par iq* = (q*)~1mod p*
9. Procédé cryptographique selon la revendication 8, caractérisé en ce que la recombinaison CRT pour générer une première valeur s* de la signature finale S est faite selon la relation :
• s* = Sq* + q* [iq* (sp*-Sq*) mod p*].
10. Procédé cryptographique selon l'une quelconque des revendications 1 à 7, caractérisé en ce que les paramètres suivants sont également stockés dans la mémoire réinscriptible : ap* = 1 mod p* et ap* = 0 mod q* ; et aq* = 0 mod p* et aq* = 1 mod q*, la recombinaison CRT pour générer une première valeur s* de la signature finale S étant faite selon la relation : s* = (ap*.sp* + aq*.sq*) mod rl.r2.N
11. Procédé cryptographique selon l'une quelconque des revendications 1 à 10 dans lequel la signature finale S est construite à partir de la recombinaison CRT selon une fonction f2 telle que S = s*AG mod N ; ou telle que
S = [ (G.s*) + (1-G) r4] mod N, où r4 est un entier aléatoire .
12. Procédé cryptographique selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il est mis en œuvre dans un dispositif électronique de carte à puce .
13. Dispositif cryptographique apte à protéger les techniques de clés publiques contre les attaques par faute, mettant en œuvre un procédé cryptographique par cryptographie RSA, utilisant le théorème des restes chinois (CRT) , comprenant : a) Des moyens pour générer deux entiers aléatoires ri et r2, b) Des moyens pour générer, dans la mémoire de travail, un premier couple de valeurs (sp*, si) à partir de la valeur ri, et un deuxième couple de valeurs (sq*, s2) à partir de la valeur r2, où si et s2 sont des valeurs de test entières, c) Des moyens pour générer une première valeur s* de la signature finale S par recombinaison selon le CRT des valeurs sp* et sq*, et la stocker dans la mémoire de travail, d) Des moyens pour générer une première valeur de comparaison cl par une fonction de comparaison entre s* et si, et une deuxième valeur de comparaison c2 par une fonction de comparaison entre s* et s2, et stocker ces première et deuxième valeurs dans la mémoire de travail, e) Des moyens pour générer un résultat G= _/"(ci,C2), dont la valeur est égale à 1 si cl=c2=l et différente de 1 sinon, et f) Des moyens pour produire dans la mémoire de travail la signature finale S définie par S=f2(s*,G) mod N telle que S = S* mod N si G=I et S ≠ s* mod N sinon, écrire cette signature dans la mémoire réinscriptible, et la retourner vers l'extérieur.
14. Dispositif cryptographique selon la revendication 13 dans lequel les paramètres suivants sont stockés dans la mémoire réinscriptible :
• p et g les entiers premiers,
• N, le module de factorisation, comme premier élément de clé publique,
• d et e, respectivement clé privée et deuxième élément de clé publique,
• la valeur iq telle que iq = q mod p,
• la valeur dp = d mod(p-l), • la valeur dq = d mod(q-l) .
15. Dispositif cryptographique selon l'une des revendications 13 ou 14, dans lequel _/"(ci,C2) est une fonction rationnelle de type <2^F(x,y) telle que <2^F(1,1)=1 mod N et Vx,y≠l, <Z£F(x,y) ≠l .
16. Dispositif cryptographique selon l'une quelconque des revendications 13 à 15, dans lequel G=/(ci,C2) est défini par la relation G = Arr[r3cl + (2AL-r3) c2/2AL] où r3 est un entier d'une longueur de L bits et Arr une fonction d'arrondi à la valeur entière supérieure, inférieure ou à la valeur entière la plus proche .
17. Dispositif cryptographique selon l'une quelconque des revendications 13 à 16, dans lequel les valeurs de comparaison cl et c2 sont, de préférence, définies par les relations Ci = (s*-Si+l) mod ri et
Figure imgf000024_0001
18. Dispositif cryptographique selon l'une quelconque des revendications 13 à 17, dans lequel le premier couple de valeurs (sp*, si) est défini par les relations Sp* = (mp*) dpmod p* et
Si = (mp*)dpmod ri où mp* = m mod p* et p* = ri.p
19. Dispositif cryptographique selon l'une quelconque des revendications 13 à 17, dans lequel le deuxième couple de valeurs (sq*, s2) est défini par les relations
Sg* = (mq*) dqmod q et s = (mq*)dqmod r2 où mq* = m mod q* et q* = r2.q
20. Dispositif cryptographique selon l'une quelconque des revendications 13 à 18, dans lequel la valeur iq* est calculée par des moyens permettant de calculer la valeur iq* = (q*)~1mod p*
21. Dispositif cryptographique selon l'une quelconque des revendications 13 à 20, dans lequel la recombinaison CRT pour générer une première valeur s* de la signature finale S est faite par des moyens pour calculer la relation : s* = Sq* + q* [iq* (sp*-Sq*) mod p*] .
22. Dispositif cryptographique selon l'une quelconque des revendications 13 à 19, dans lequel, les paramètres suivants sont également stockés dans la mémoire réinscriptible : ap* = 1 mod p* et ap* = 0 mod q* ; et aq* = 0 mod p* et aq* = 1 mod q*, et la recombinaison CRT pour générer une première valeur s* de la signature finale S est faite par des moyens pour calculer la relation : s* = ap* . sp* + aq* . sq* mod rl.r2.N
23. Dispositif cryptographique selon l'une quelconque des revendications 13 à 22 dans lequel la signature finale S est construite à partir de la recombinaison CRT par des moyens pour calculer une fonction f2 telle que
S = s*AG mod N ; ou telle que
S = [ (G.s*) + (1-G) r4] mod N, où r4 est un entier aléatoire .
24. Dispositif cryptographique selon l'une quelconque des revendications 13 à 20, mis en œuvre dans une carte à puce .
PCT/EP2006/060534 2005-03-31 2006-03-07 Procede et dispositif cryptographique permettant de proteger les logiques de cles publiques contre les attaques par faute WO2006103149A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0503166 2005-03-31
FR0503166A FR2884088B1 (fr) 2005-03-31 2005-03-31 Procede et dispositif cryptographique permettant de proteger les logiques de cles publiques contre les attaques par faute

Publications (1)

Publication Number Publication Date
WO2006103149A1 true WO2006103149A1 (fr) 2006-10-05

Family

ID=35448141

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/060534 WO2006103149A1 (fr) 2005-03-31 2006-03-07 Procede et dispositif cryptographique permettant de proteger les logiques de cles publiques contre les attaques par faute

Country Status (2)

Country Link
FR (1) FR2884088B1 (fr)
WO (1) WO2006103149A1 (fr)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2916113A1 (fr) * 2007-05-07 2008-11-14 Oberthur Card Syst Sa Procede de traitement cryptographique d'un message.
US7907724B2 (en) 2007-10-25 2011-03-15 Infineon Technologies Ag Method and apparatus for protecting an RSA calculation on an output by means of the chinese remainder theorem
CN101632255B (zh) * 2007-03-12 2014-03-05 英赛瑟库尔公司 密码方法
US9571281B2 (en) 2014-02-03 2017-02-14 Samsung Electronics Co., Ltd. CRT-RSA encryption method and apparatus
CN109388954A (zh) * 2017-08-07 2019-02-26 英飞凌科技股份有限公司 用于检查结果的方法和设备及存储介质
CN110113169A (zh) * 2019-04-15 2019-08-09 北京三未信安科技发展有限公司 基于rsa的协同数字签名方法、装置及电子设备

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3188401B1 (fr) 2015-12-29 2019-12-18 Secure-IC SAS Procédé et système de protection d'une opération cryptographique
EP3242202A1 (fr) 2016-05-04 2017-11-08 Gemalto Sa Contre-mesure contre des attaques par injection de défaut exempte d'erreur sur des algorithmes d'exponentiation cryptographique

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
BIERNAT,NIKODEM: "RSA with Chinese Reminder Theorem Immune to Fault Cryptanalysis", 7 July 2004 (2004-07-07), XP002359951, Retrieved from the Internet <URL:http://www.zak.ict.pwr.wroc.pl/nikodem/publikacje/RSA_2004.pdf> [retrieved on 20051219] *
BLÖMER,OTTO,SEIFERT: "A New CRC-RSA Algorithm Secure Against Bellcore Attacks", 27 October 2003 (2003-10-27), XP002359950, Retrieved from the Internet <URL:http://delivery.acm.org/10.1145/950000/948151/p311-bloemer.pdf?key1=948151&key2=5979894311&coll=GUIDE&dl=GUIDE&CFID=60415762&CFTOKEN=87848810> [retrieved on 20051219] *
MENEZES, VANSTONE, OORSCHOT: "Handbook of Applied Cryptography", 1997, CRC PRESS LLS, USA, XP002359970 *
WAGNER: "Cryptanalysis of a Provably Secure CRC-RSA Algorithm", 25 October 2004 (2004-10-25), XP002359949, Retrieved from the Internet <URL:http://www.cs.berkeley.edu/~daw/papers/crtrsa-ccs04.pdf> [retrieved on 20051219] *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101632255B (zh) * 2007-03-12 2014-03-05 英赛瑟库尔公司 密码方法
FR2916113A1 (fr) * 2007-05-07 2008-11-14 Oberthur Card Syst Sa Procede de traitement cryptographique d'un message.
US7907724B2 (en) 2007-10-25 2011-03-15 Infineon Technologies Ag Method and apparatus for protecting an RSA calculation on an output by means of the chinese remainder theorem
DE102008051447B4 (de) * 2007-10-25 2013-08-01 Infineon Technologies Ag Verfahren und Vorrichtung zum Schützen einer RSA-Berechnung an einer Ausgabe mit Hilfe des chinesischen Restsatzes
DE102008051447B9 (de) * 2007-10-25 2014-02-20 Infineon Technologies Ag Verfahren und Vorrichtung zum Schützen einer RSA-Berechnung an einer Ausgabe mit Hilfe des chinesischen Restsatzes
US9571281B2 (en) 2014-02-03 2017-02-14 Samsung Electronics Co., Ltd. CRT-RSA encryption method and apparatus
CN109388954A (zh) * 2017-08-07 2019-02-26 英飞凌科技股份有限公司 用于检查结果的方法和设备及存储介质
CN110113169A (zh) * 2019-04-15 2019-08-09 北京三未信安科技发展有限公司 基于rsa的协同数字签名方法、装置及电子设备
CN110113169B (zh) * 2019-04-15 2021-11-12 北京三未信安科技发展有限公司 基于rsa的协同数字签名方法、装置及电子设备

Also Published As

Publication number Publication date
FR2884088A1 (fr) 2006-10-06
FR2884088B1 (fr) 2007-06-22

Similar Documents

Publication Publication Date Title
EP1889391B1 (fr) Recodage de scalaire pour la multiplication d&#39;un point d&#39;une courbe elliptique
WO2006103149A1 (fr) Procede et dispositif cryptographique permettant de proteger les logiques de cles publiques contre les attaques par faute
EP2256987B1 (fr) Protection d&#39;une génération de nombres premiers pour algorithme RSA
Vigilant RSA with CRT: A new cost-effective solution to thwart fault attacks
WO2007074149A1 (fr) Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée
EP2296086B1 (fr) Protection d&#39;une génération de nombres premiers contre des attaques par canaux cachés
US8639944B2 (en) Zero divisors protecting exponentiation
EP2162820A1 (fr) Mise a la puissance modulaire selon montgomery securisee contre les attaques a canaux caches
FR2788650A1 (fr) Procede cryptographique a cles publique et privee
WO2009112686A2 (fr) Procede et dispositifs de contre-mesure pour cryptographie asymetrique
US20040028221A1 (en) Cryptographic method and cryptographic device
EP2378707B1 (fr) Mise en oeuvre des schémas ElGamal, DSA, ECDSA ainsi que leurs variations, sécurisés contre des attaques par canaux auxiliaires.
FR2926652A1 (fr) Procede et dispositifs de contre-mesure pour cryptographie asymetrique a schema de signature
EP2377268A1 (fr) Codage de points d&#39;une courbe elliptique
EP1904921A1 (fr) Procede cryptographique pour la mise en oeuvre securisee d&#39;une exponentiation et composant associe
EP0909495B1 (fr) Procede de cryptographie a cle publique
FR2828608A1 (fr) Procede securise de realisation d&#39;une operation d&#39;exponentiation modulaire
EP2530867B1 (fr) Procédé de traitement cryptographique de données
Le et al. On double exponentiation for securing RSA against fault analysis
EP1820297A1 (fr) Procédé de génération de signature avec preuve de sécurité &#34;tight&#34;, procédé de vérification et schéma de signature associés basés sur le modèle de diffie-hellman
WO2003036863A1 (fr) Procede cryptographique a cle publique base sur les groupes de tresses
EP1352494B1 (fr) Dispositif et procede d&#39;execution d&#39;un algorithme cryptographique
Kim et al. A CRT-based RSA countermeasure against physical cryptanalysis
FR2818846A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie
McKee et al. Further attacks on server-aided RSA cryptosystems

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

NENP Non-entry into the national phase

Ref country code: RU

WWW Wipo information: withdrawn in national office

Country of ref document: RU

122 Ep: pct application non-entry in european phase

Ref document number: 06708679

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 06708679

Country of ref document: EP

Kind code of ref document: A1

WWW Wipo information: withdrawn in national office

Ref document number: 6708679

Country of ref document: EP