WO2006103341A1 - Procédé de traitement de données impliquant une exponentiation modulaire et un dispositif associé - Google Patents

Procédé de traitement de données impliquant une exponentiation modulaire et un dispositif associé Download PDF

Info

Publication number
WO2006103341A1
WO2006103341A1 PCT/FR2006/000662 FR2006000662W WO2006103341A1 WO 2006103341 A1 WO2006103341 A1 WO 2006103341A1 FR 2006000662 W FR2006000662 W FR 2006000662W WO 2006103341 A1 WO2006103341 A1 WO 2006103341A1
Authority
WO
WIPO (PCT)
Prior art keywords
variable
value
operand
modular exponentiation
test
Prior art date
Application number
PCT/FR2006/000662
Other languages
English (en)
Inventor
Arnaud Boscher
Christophe Giraud
Robert Naciri
Original Assignee
Oberthur Card Systems Sa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oberthur Card Systems Sa filed Critical Oberthur Card Systems Sa
Priority to DE602006012292T priority Critical patent/DE602006012292D1/de
Priority to EP06743602A priority patent/EP1864211B1/fr
Priority to US11/887,632 priority patent/US8682951B2/en
Priority to AT06743602T priority patent/ATE458219T1/de
Publication of WO2006103341A1 publication Critical patent/WO2006103341A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7271Fault verification, e.g. comparing two values which should be the same, unless a computational fault occurred

Definitions

  • the invention relates to a data processing method involving a modular exponentiation, and an associated device.
  • Modular exponentiation calculations are frequently used in cryptographic algorithms and generally involve a secret in this context, ie a number stored by the device that implements the cryptographic algorithm and that is not not accessible from the outside.
  • the steps that implement modular exponentiation are particularly the subject of attacks by malicious people; they may be fault generation attacks (in particular of the DFA type of "Differential Fault Analysis") or by analysis of the current consumption of the device that implements the algorithm (of the SPA type of the device). 'English
  • WO 98/52319 proposes, when using the Chinese Remainder Theorem (CRT), to take advantage of the assumed identity of two values each obtained in one of the branches of the algorithm using this theorem to check the a priori faultless course of the algorithm in its two branches.
  • CRT Chinese Remainder Theorem
  • this solution practices a verification by means of data used at an intermediate stage of the process, and thus does not allow a verification of the operation without fault in any point of the process, as could wish the designer: for example, this technique does not allow not to protect the process in case of fault attacks during the recombination of the result obtained by each of the branches of the algorithm.
  • the invention proposes a method of processing (in particular cryptographic general), in which an element (such as a message) undergoes a first operation with a given operand (for example a secret key), comprising a step of updating by a second operation of a first variable or a second variable according to whether a corresponding bit of the operand is 0 or 1, characterized by a step testing a relationship between a first value from the first variable and a second value from the second variable.
  • a method of processing in particular cryptographic general
  • an element such as a message
  • a given operand for example a secret key
  • the first value and the second value are for example precisely those of the first variable and the second variable; in this case, the first variable and the second variable can themselves be used for the test, which implies in particular a gain in memory.
  • the first operation is for example a modular exponentiation, in which case the second operation is a modular multiplication and the operand is an exponent.
  • the test step may then include comparing the product of the first variable and the second variable to a third variable that is updated regardless of the corresponding bit of the operand.
  • An alternative test step includes comparing the first variable to the product of the element and the second variable.
  • the first operation is a multiplication on an elliptic curve and the second operation is an addition on the elliptic curve.
  • the relationship may be independent of the operand, which simplifies the test step.
  • the verification step may in particular be applied to the result of the first operation, that is to say after the calculation steps involving the second operation.
  • the method may also include a step of checking the relationship for each bit of the operand.
  • a possible fault attack is thus detected as soon as it has disturbed a calculation implementing the second operation, which guarantees a good level of security throughout the steps implementing the first operation.
  • the first value results from a first recombination according to the Chinese remainder theorem involving the first variable and the second value results from a second recombination according to the Chinese remainder theorem involving the second variable.
  • the invention also proposes a data processing device allowing a first operation on an element by means of an operand, comprising means for updating by a second operation of a first variable or of a second variable according to which a corresponding bit of the operand is 0 or 1, characterized by means for testing a relationship between the first and the second variable.
  • FIG. 1 represents a data processing method according to a first embodiment of the invention
  • FIG. 2 represents a method of data processing according to a second embodiment of the invention
  • FIG. 3 represents a method of data processing according to a third embodiment of the invention.
  • FIG. 1 represents an example of a method allowing a modular exponentiation calculation and carried out in accordance with the teachings of the invention.
  • the example given here is described as a subroutine that receives input values and outputs the result of the modular exponentiation calculation. However, it is understood that the invention is not limited to such subroutines.
  • the step E100 of FIG 1 corresponds to the reception in input values m, n and d as a function which is desired to make the modular exponentiation, that is to say, to obtain the number m d mod n.
  • step E104 which is the first step of a loop as described below
  • bit d t that is to say the bit of rank i in the number of
  • step E108 is carried out in the calculation of BS mod n, and then the variable B is updated with the result of this calculation.
  • step E110 at which S 2 MOdH is calculated, and the result of this is stored.
  • S (with overwriting the value previously stored in this variable).
  • the value of the index i is then incremented in step E112, then the new value of the index i is tested at step E114: if i is strictly greater than k, step E116 described here is -after, while in the negative (that is to say, as i is less than or equal to k) step E114 is followed by step E104 previously described (which carries out the loop mentioned above).
  • step E116 if the test of step E116 is positive, it is considered that a normal (i.e. fault-free) operation has taken place and proceed to step E120 to which the value of output A, which by virtue of its modular multiplication update for the only bits of d equal to 1, has m d mod n.
  • step E116 determines whether a fault has occurred during the processing described, and consequently, step E118 is carried out, to which an error value is returned.
  • fault detection is considered as the consequence of a fault attack aimed at determining the secret key d.
  • protective measures such as, for example, the blocking of the electronic entity implementing the method (entity that is for example a microcircuit card).
  • the test here uses variables which are necessary for the implementation of the symmetric calculation of the modular exponentiation; this embodiment thus makes it possible to carry out the test step without requiring the use of other variables.
  • the relation involves the two alternatively modified variables A and B during the modular exponentiation calculation process, so that the modification of one or the other of these two variables, for example by means of a fault attack, will result in the non-verification of the relationship. Effectively fighting so-called "safe errof" attacks that seek to detect the possible lack of consequence of a fault to deduce that the operation concerned is not actually used by the calculation.
  • step E116 at each iteration of the loop (that is to say for example insert a similar test step between steps E110 and E112) since the relationship is verified in normal operation at each iteration.
  • any detection of an error can be interpreted as the result of a fault attack; it is therefore preferable in this case that the non-verification of the relation puts an end to the modular exponentiation calculation, whereas its verification entails the normal continuation of the iterations.
  • Figure 2 shows a second embodiment of the invention.
  • input step E200 has designated the subprogram described herein as m, d and n. As before, it is naturally only a possible example of implementation of the invention.
  • an initialization step E202 during which we initialize a variable ⁇ 0 to 1, a variable ⁇ ⁇ to m and a variable i to the value k which represents as before the number of bits of the secret key d (k is a fixed data of the cryptographic system used).
  • k is a fixed data of the cryptographic system used.
  • One enters then in a loop allowing strictly speaking the computation of the modular exponentiation, beginning with a step E204 of test of the value of the bit d t .. (The notations relating to the decomposition of the key d in bits is identical to that presented about the first embodiment and therefore will not be repeated here.)
  • Step E206 If the bit of rank i in the key d is 1, we go to the step E206 to which we first proceed to the multiplication of the variable a 0 by the variable ⁇ , (that is to say at calculation of ⁇ 0 * ⁇ , mod n), whose result is stored in the variable a 0 (with overwriting). Step E206 is also used to calculate the value mod rc and the update of the variable a, by the result of this calculation.
  • steps E206 and E208 implemented respectively when the bit of the secret key d concerned during the iteration i is equal to 1 or 0, are totally symmetrical with respect to the variables a 0 and ⁇ , one of these variables being in each case updated by multiplication by the other variable.
  • step E210 In normal operation, that is to say when the operations of the preceding step E206 or E208 have been carried out without fail, this relation must be verified. Therefore, if the test of step E210 is positive, it is considered that the flow of the calculation takes place without fault, and thus the processing is continued in step E214 as described below.
  • a step E212 is carried out, in which a fault is considered to be detected and requires an adequate treatment. As seen above, this treatment may vary according to the applications.
  • step E214 at which the variable i is decremented. It is then tested in step E216 if the variable i has reached 0. If not, all the bits of the secret key d have not been processed and the next iteration of the loop is carried out by going to step E216
  • step E210 can be performed between steps E216 and
  • Step E302 is then carried out at the partial modular exponentiation of the number m at the exponent d p according to an algorithm of the type described above with reference to FIG. 2. At the end of this algorithm, a number is thus obtained.
  • step E306 of recombining the partial modular results according to the formula of the Chinese remains. On the one hand, this is done by combining the values S p ' and S g ' with the result S ', and on the other hand by recombining the values S p and S g , which makes it possible to obtain the value S .
  • a step E310 is carried out in which it is considered that an error has been produced during the calculation, probably caused by a fault generation attack.
  • a suitable treatment can then be applied as described with respect to the other embodiments.

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Electrotherapy Devices (AREA)

Abstract

Dans un procédé de traitement de données, un élément subit une première opération avec un opérande donné. Ce procédé comprend une étape de mise à jour par une seconde opération d'une première variable (B ;a

Description

"Procédé de traitement de données impliquant une exponentiation modulaire et un dispositif associé"
L'invention concerne un procédé de traitement de données impliquant une exponentiation modulaire, et un dispositif associé.
Les calculs d'exponentiation modulaire sont fréquemment utilisés dans les algorithmes cryptographiques et font en général intervenir dans ce cadre un secret, c'est-à-dire un nombre stocké par le dispositif qui met en œuvre l'algorithme cryptographique et qui n'est pas accessible de l'extérieur.
Les étapes qui mettent en œuvre l'exponentiation modulaire sont particulièrement l'objet d'attaques de la part de personnes malintentionnées ; il peut s'agir d'attaques par génération de faute (notamment du type DFA de l'anglais "Differential Fault Analysis") ou par analyse de la consommation de courant du dispositif qui met en œuvre l'algorithme (du type SPA de l'anglais
"Statistical Power Analysis" ou en DPA de l'anglais " Différentiel Power Analysis").
On a de ce fait déjà cherché à protéger ces étapes, en particulier dans le cas où le secret à protéger correspond à l'exposant mis en jeu dans l'exponentiation modulaire. Ainsi, lorsqu'on utilise un algorithme du type "square-and-multiply"
(terme anglais signifiant "mise au carré et multiplication") dans lequel une variable est mise à jour par multiplication pour chaque bit de l'exposant valant 1 (et pour ces bits seulement), on a cherché à symétriser le processus, par exemple en effectuant une multiplication leurre lorsque le bit de l'exposant vaut 0, dans le but de contrer les attaques par mesure de courant (parfois référencées SPA) ou par mesure de temps ("timing attacks").
Partant de cette idée générale, divers algorithmes protégés contre les attaques de type SPA ont été développés, tels que celui décrit dans l'article "The Montgomery Powering Ladder", de B.S. Kaliski Jr., CQ. Koç et C. Paar, "Cryptographie Hardware and Embedded Systems" - CHES 2002, pages 291- 302.
On a par ailleurs cherché à protéger les algorithmes cryptographiques, et parmi eux ceux utilisant une exponentiation modulaire, des attaques par faute, aux moyens desquelles un attaquant tente de déduire des informations sur le fonctionnement interne de l'appareil qui met en œuvre le procédé cryptographique en générant un disfonctionnement au sein de ce procédé.
Une solution couramment utilisée pour lutter contre ce dernier type d'attaques consiste à doubler les calculs effectués afin de vérifier que les deux itérations du même calcul donnent le même résultat, ce qui tend à prouver en général qu'aucune faute ne s'est produite lors de leur déroulement. Cette solution implique toutefois de doubler le temps de calcul pour chaque opération que l'on souhaite protéger (sans compter l'étape nécessaire de vérification subséquente) ce qui n'est naturellement pas souhaitable. Afin de remédier à cet inconvénient, la demande de brevet
WO 98/52319 propose, lorsqu'on utilise le théorème des restes chinois (ou CRT de l'anglais "Chinese Remainder Theorem"), de profiter de l'identité supposée de deux valeurs obtenues chacune dans l'une des branches de l'algorithme utilisant ce théorème pour vérifier le déroulement a priori sans faute de l'algorithme dans ses deux branches.
Cette solution, qui profite d'une particularité des mises en œuvre utilisant le théorème des restes chinois, n'est toutefois pas applicable à d'autres types d'implémentation. On peut d'ailleurs rappeler à ce sujet que l'utilisation du théorème des restes chinois implique la connaissance de la décomposition en nombres premiers p, g du module public n=p.g.
Enfin, cette solution pratique une vérification au moyen de données employées à une étape intermédiaire du processus, et ne permet donc pas une vérification du fonctionnement sans faute en tout point du processus, comme pourrait le souhaiter le concepteur : par exemple, cette technique ne permet pas de protéger le procédé en cas d'attaques par faute lors de la recombinaison du résultat obtenu par chacune des branches de l'algorithme.
Afin d'améliorer cet état de fait, et donc de proposer un procédé de traitement de données impliquant une exponentiation modulaire protégée à la fois contre les attaques par analyse de courant et les attaques par faute, l'invention propose un procédé de traitement (en général cryptographique) de données, dans lequel un élément (tel qu'un message) subit une première opération avec un opérande donné (par exemple une clé secrète), comprenant une étape de mise à jour par une seconde opération d'une première variable ou d'une seconde variable selon qu'un bit correspondant de l'opérande vaut 0 ou 1 , caractérisé par une étape de test d'une relation entre une première valeur issue de la première variable et une seconde valeur issue de la seconde variable.
En effet, du fait de la complémentarité des mises à jour de la première variable et de la seconde variable, il existe une relation qui doit normalement être vérifiée entre les deux variables, ou entre les valeurs qui en sont issues. La non- vérification du test indique donc au contraire une faute au cours du calcul et permet ainsi de détecter une attaque, même lorsque l'attaque est dirigée contre une opération leurre (cas des attaques "safe errot").
La première valeur et la seconde valeur sont par exemple précisément celles de la première variable et de la seconde variable ; dans ce cas, la première variable et la seconde variable peuvent elles-mêmes être utilisées pour le test, ce qui implique notamment un gain en mémoire.
La première opération est par exemple une exponentiation modulaire, auquel cas la seconde opération est une multiplication modulaire et l'opérande est un exposant.
L'étape de test peut alors comprendre la comparaison du produit de la première variable et de la seconde variable à une troisième variable mise à jour quel que soit le bit correspondant de l'opérande.
Une étape de test alternative comprend la comparaison de la première variable au produit de l'élément et de la seconde variable.
Selon une autre réalisation possible, la première opération est une multiplication sur une courbe elliptique et la seconde opération est une addition sur la courbe elliptique.
La relation peut être indépendante de l'opérande, ce qui permet de simplifier l'étape de test.
L'étape de vérification peut notamment être appliquée au résultat de la première opération, c'est-à-dire après les étapes de calcul impliquant la seconde opération.
Le procédé peut également comprendre une étape de vérification de la relation pour chaque bit de l'opérande. On détecte ainsi une attaque par faute éventuelle dès qu'elle a perturbé un calcul mettant en œuvre la seconde opération, ce qui garantit un bon niveau de sécurité tout au long des étapes mettant en œuvre la première opération. Selon un mode de mise en œuvre possible, la première valeur résulte d'une première recombinaison selon le théorème des restes chinois impliquant la première variable et la seconde valeur résulte d'une seconde recombinaison selon le théorème des restes chinois impliquant la seconde variable. L'invention propose également un dispositif de traitement de données permettant une première opération sur un élément au moyen d'un opérande, comprenant des moyens de mis à jour par une seconde opération d'une première variable ou d'une seconde variable selon qu'un bit correspondant de l'opérande vaut 0 ou 1 , caractérisé par des moyens de test d'une relation entre la première et la seconde variable.
Un tel dispositif est par exemple inclus dans une carte à microcircuit. D'autres caractéristiques et avantages de l'invention apparaîtront à la lumière de la description qui suit, faits en référence aux dessins annexés dans lesquels : - la figure 1 représente un procédé de traitement de données selon un premier mode de réalisation de l'invention ;
- la figure 2 représente un procédé de traitement de données selon un second mode de réalisation de l'invention ;
- la figure 3 représente un procédé de traitement de données selon un troisième mode de réalisation de l'invention.
La figure 1 représente un exemple de procédé permettant un calcul d'exponentiation modulaire et réalisée conformément aux enseignements de l'invention. L'exemple donné ici est décrit sous forme d'un sous-programme qui reçoit des valeurs en entrée et émet en sortie le résultat du calcul d'exponentiation modulaire. On comprend toutefois que l'invention ne se limite pas à de tels sous-programmes.
L'étape E100 de la figure 1 correspond à la réception en entrée des valeurs m, d et n en fonction desquelles on souhaite réaliser l'exponentiation modulaire, c'est-à-dire obtenir le nombre md modn. Dans la suite, on exprimera le nombre d sous forme de sa décomposition binaire (J^ ..., df), où A; est le nombre de bits composant le nombre d, où chaque dt constitue un bit du nombre correspondant avec notamment di le bit de poids le plus faible et dk le bit de poids le plus fort. On a donc d=∑ φ.2''1.
Dans les algorithmes cryptographiques, un tel calcul d'exponentiation modulaire est en général utilisé avec le nombre m représentant un message, le nombre d la clé secrète et le nombre n le module public. On cherche donc dans ce cadre à protéger en particulier la détermination du nombre d (c'est-à-dire de ses composantes binaires dt) par l'observation de la mise en œuvre du procédé dans une entité électronique ou la génération de fautes dans ce procédé.
Le procédé décrit à la figure 1 débute à proprement parler à l'étape
E102 d'initialisation des registres utilisés dans ce sous-programme, à savoir l'initialisation à la valeur 1 d'une variable A, l'initialisation à la valeur m d'une variable B et d'une variable S et l'initialisation à la valeur 1 d'une variable i servant d'indice.
On passe alors à l'étape E104 (qui constitue la première étape d'une boucle comme décrit ci-après) à laquelle on teste si le bit dt (c'est-à-dire le bit de rang i dans le nombre d) vaut 1.
Dans l'affirmative, on passe à l'étape E106 à laquelle on procède au calcul de la valeur A.S mod n, puis on mémorise le résultat de ce calcul dans la variable A (ici avec écrasement de la valeur précédemment stockée dans cette variable). Autrement dit, on met à jour la variable A au moyen d'une multiplication modulaire par la variable S qui, du fait de l'étape E110 décrite dans la suite, vaut m2' lors de cette mise à jour, quelle que soit l'itération i concernée dans la boucle.
Si le test de l'étape E104 est négatif (c'est-à-dire si le bit dt est nul), on procède à l'étape E108 au calcul de B.S mod n, puis on met à jour la variable B avec le résultat de ce calcul.
Ainsi, selon la valeur du bit du on met à jour soit la variable A, soit la variable B par multiplication modulaire par la variable S.
Quel que soit le résultat du test de l'étape E104, le procédé se poursuit (après l'étape E106 ou l'étape E108) à l'étape E110, à laquelle on calcule S2 MOdH, puis on mémorise le résultat de ce calcul dans la variable S (avec écrasement de la valeur précédemment stockée dans cette variable). On incrémente alors la valeur de l'indice i à l'étape E112, puis on teste la nouvelle valeur de l'indice i à l'étape E114 : si i est strictement supérieur à k, on passe à l'étape E116 décrite ci-après, alors que dans la négative (c'est-à-dire tant que i est inférieur ou égal à k) l'étape E114 est suivie de l'étape E104 précédemment décrite (ce qui réalise la boucle évoquée précédemment).
Lorsque i est strictement supérieur à k après incrémentation, c'est-à- dire que l'ensemble des bits du nombre d ont été traités, on passe à l'étape E116 à laquelle on teste la validité de la relation suivante : S=AB modn.
En fonctionnement normal, du fait des mises à jour complémentaires des variables A et B et de la mise à jour systématique de la variable S comme décrit ci-dessus, la relation S=A.B modn est vérifiée.
Par conséquent, si le test de l'étape E116 est positif, on considère qu'un fonctionnement normal (c'est-à-dire sans faute) a eu lieu et on procède à l'étape E120 à laquelle on renvoie la valeur de sortie A, qui du fait de sa mise à jour par multiplication modulaire pour les seuls bits de d valant 1 , vaut md mod n.
En revanche, si le test de l'étape E116 est négatif, on considère qu'une faute a eu lieu lors du traitement décrit, et on passe par conséquent à l'étape E118 à laquelle on retourne une valeur d'erreur.
Dans le cadre des algorithmes cryptographiques, une telle détection de faute est considérée comme la conséquence d'une attaque par faute visant la détermination de la clé secrète d. On ne retournera donc naturellement aucune information susceptible d'aider l'attaquant dans sa recherche de la connaissance de la clé secrète. Par contre, on pourra alors déclencher des mesures de protection, telles que par exemple le blocage de l'entité électronique mettant en œuvre le procédé (entité qui est par exemple une carte à microcircuit).
On peut remarquer que le test utilise ici des variables qui sont nécessaires à la mise en œuvre du calcul symétrisé de l'exponentiation modulaire ; ce mode de réalisation permet ainsi de réaliser l'étape de test sans nécessiter l'utilisation d'autres variables. On peut également remarquer que la relation testée n'implique pas la clé secrète d et ne nécessite pas en outre la connaissance de la clé publique (c'est-à-dire la connaissance du nombre e tel que d.e = \vaoà{p -l){q -X)). Par ailleurs, la relation fait intervenir les deux variables A et B modifiées alternativement au cours du procédé de calcul d'exponentiation modulaire si bien que la modification de l'une ou de l'autre de ces deux variables, au moyen par exemple d'une attaque par faute, se traduira par la non-vérification de la relation. On lutte ainsi efficacement contre les attaques dites "safe errof qui cherchent à détecter l'absence éventuelle de conséquence d'une faute pour en déduire que l'opération concernée n'est pas effectivement utilisée par le calcul.
En variante, on pourrait procéder au test de l'étape E116 à chaque itération de la boucle (c'est-à-dire par exemple insérer une étape de test similaire entre les étapes E110 et E112) puisque la relation est vérifiée en fonctionnement normal à chaque itération.
Dans ce cas, toute détection d'une erreur (par non-vérification de la relation) pourra être interprétée comme le résultat d'une attaque par faute ; il est donc préférable dans ce cas que la non-vérification de la relation mette fin au calcul d'exponentiation modulaire, alors que sa vérification entraîne la poursuite normale des itérations.
Quelle que soit la variante mise en œuvre (vérification en fin de calcul comme sur la figure 1 ou à chaque itération comme il vient d'être décrit), on remarque, comme bien visible sur la figure 1 , que le nombre d'étapes réalisées et le type des opérations effectuées au cours de ces étapes ne varie pas en fonction de la clé secrète d , ce qui permet une sécurisation du procédé contre les attaques par mesure de courant de type SPA.
La figure 2 représente un second mode de réalisation de l'invention.
Comme pour le premier mode de réalisation, on a désigné par étape d'entrée E200 la réception par le sous-programme décrit ici des valeurs m , d et n . Comme précédemment, il ne s'agit naturellement que d'un exemple possible de mise en œuvre de l'invention.
En considération de ces valeurs, on procède à une étape d'initialisation E202, au cours de laquelle on initialise une variable α0 à 1 , une variable αλ à m et une variable i à la valeur k qui représente comme précédemment le nombre de bits de la clé secrète d (k est une donnée fixe du système cryptographique utilisé). On décrémente également d d'une unité du fait du mode de réalisation utilisé ici pour le calcul d'exponentiation modulaire. On entre alors dans une boucle permettant à proprement parler le calcul de l'exponentiation modulaire, à commencer par une étape E204 de test de la valeur du bit dt.. (Les notations relatives à la décomposition de la clé d en bits est identique à celle présentée au sujet du premier mode de réalisation et ne sera donc pas reprise ici.)
Si le bit de rang i dans la clé d vaut 1 , on passe à l'étape E206 à laquelle on procède tout d'abord à la multiplication de la variable a0 par la variable α, (c'est-à-dire au calcul de α0 *α, mod n ), dont on mémorise le résultat dans la variable a0 (avec écrasement). On procède également au sein de l'étape E206 au calcul de la valeur
Figure imgf000010_0001
mod rc et la mise à jour de la variable a, par le résultat de ce calcul.
S'il est déterminé à l'étape E204 que le bit de rang i de la clé secrète d vaut zéro (c'est-à-dire si d, = 0 ), on procède à l'étape E208 au cours de laquelle on calcule le produit de la variable ax par la variable a0 (c'est-à-dire que l'on calcule ax * a0 mod n ), on mémorise la valeur obtenue dans ax avec écrasement, on calcule le carré modulaire de la variable α0 (c'est-à-dire la valeur α0 2 mod« ) et on stocke le résultat de cette dernière opération dans la variable α0 avec écrasement.
On peut remarquer que les étapes E206 et E208, mises en œuvre respectivement lorsque le bit de la clé secrète d concerné lors de l'itération i vaut 1 ou 0 sont totalement symétriques par rapport aux variables a0 et α, , l'une de ces variables étant dans chaque cas mise à jour par multiplication par l'autre variable.
Quel que soit le résultat du test de l'étape E204, on procède, après l'étape E206 ou l'étape E208, à l'étape E210 à laquelle on teste la relation suivante : m *aQ = ax .
En fonctionnement normal, c'est-à-dire lorsque les opérations de l'étape E206 ou E208 précédente ont été réalisées sans faute, cette relation doit être vérifiée. Par conséquent, si le test de l'étape E210 est positif, on considère que le déroulement du calcul a lieu sans faute, et on poursuit donc le traitement à l'étape E214 comme décrit ci-après.
En revanche, si l'étape de test E210 ne permet pas la vérification de la relation m *ao = ax , on en déduit que l'un des calculs effectués à l'étape précédente E206 ou E208 a subi une perturbation, telle que par exemple une attaque par faute.
C'est pourquoi si l'étape de test E210 conduit à un résultat négatif, on procède à une étape E212 à laquelle on considère qu'une faute est détectée et nécessite un traitement adéquat. Comme vu précédemment, ce traitement peut varier selon les applications.
Comme déjà indiqué, le fonctionnement normal conduit à l'étape E214, à laquelle on décrémente la variable i . On teste alors à l'étape E216 si la variable i a atteint 0. Dans la négative, tous les bits de la clé secrète d n'ont pas été traités et on procède à l'itération suivante de la boucle en passant à l'étape
E204 déjà décrite. Dans l'affirmative, l'ensemble des bits de la clé secrète ont été traités et le calcul d'exponentiation modulaire est alors terminé : la variable α, correspond au résultat souhaité, soit md moάn . On retourne donc en sortie du sous-programme décrit ici la valeur ax à l'étape E218. En variante, l'étape E210 peut être réalisée entre les étapes E216 et
E218, en remplacement ou en supplément de l'étape E210 décrite plus haute.
Dans le cas où l'étape E210 n'est plus réalisée dans la boucle, mais seulement après la boucle (entre les étapes E216 et E218 par exemple), on allège les phases de test de l'algorithme. On va à présent décrire en référence à la figure 3 un troisième mode de réalisation de l'invention, mis en œuvre dans le cadre d'une exponentiation modulaire utilisant le théorème des restes chinois (ou CRT).
L'algorithme présenté à la figure 3 reçoit en entrée le nombre m (ou message) dont on souhaite réaliser l'exponentiation modulaire, les deux nombres premiers p,q composant le module public n = p.g , les composantes dp,dq de la clé secrète d relativement à p et q (où dp = dmoà(p -\) et dq = dvaoà(q -ï) ) et le nombre a tel que a = ρ moàq . On procède alors à l'étape E302 à l'exponentiation modulaire partielle du nombre m à l'exposant dp selon un algorithme du type de celui décrit précédemment en référence à la figure 2. On obtient ainsi à Ia fin de cet algorithme un nombre Sp (correspondant au nombre ax en figure 2) résultat de l'exponentiation modulaire partielle (c'est-à-dire Sp = mdp rnoàp ) et un nombre Sp ' (correspondant au nombre a0 en figure 2) tel que Sp = m.Sp ' .
On procède de même lors d'une étape E304 à l'exponentiation modulaire partielle au moyen de l'exposant dq selon un algorithme comme celui décrit à la figure 2, qui permet d'obtenir Sq = mdq modg (Sq correspond au nombre α, en figure 2), ainsi que Sq ' (correspondant à a0 en figure 2) qui vérifie en fonctionnement normal Sq = m.Sq ' .
On passe alors à une étape E306 de recombinaison des résultats modulaires partiels selon la formule des restes chinois. On procède ainsi d'une part à la combinaison des valeurs Sp ' et Sg ' avec pour résultat S' , et d'autre part à la recombinaison des valeurs Sp et Sg , ce qui permet d'obtenir la valeur S .
Les résultats de l'exponentiation modulaire partielle étant Sp et Sq comme vu respectivement aux étapes E302 et E304, la variable S contient le résultat de l'exponentiation modulaire (soit S = md mod(/> * q) ). Par ailleurs, du fait des relations mentionnées ci-dessus entre Sp ' et Sp d'une part et Sq ' et Sq d'autre part, on a également après recombinaison en fonctionnement normal la relation S = m*S'mod(p*q) .
C'est pourquoi on vérifie l'exactitude de cette relation à l'étape de test E308.
En cas de vérification négative lors de l'étape de test, on procède à une étape E310 où l'on considère qu'une erreur a été produite lors du calcul, probablement causée par une attaque par génération de faute. On peut alors appliquer un traitement adapté comme décrit à propos des autres modes de réalisation.
Si en revanche on vérifie à l'étape E308 la relation S = m * S'modQ? * q) , on considère que l'algorithme s'est déroulé sans faute et on procède à l'étape E312, à laquelle on renvoie la valeur S qui correspond, comme indiqué précédemment, au résultat de l'exponentiation modulaire.
Les modes de réalisation qui viennent d'être décrits ne sont que des exemples possibles de mise en œuvre de l'invention. Celle-ci s'applique naturellement dans d'autres cas, par exemple à d'autres opérations que l'exponentiation modulaire décomposée en multiplications modulaires : elle s'applique ainsi également aux algorithmes cryptographiques basés sur des courbes elliptiques dans lesquelles on effectue des multiplications sur ces courbes décomposées comme un ensemble d'additions. En outre, l'invention peut s'appliquer à d'autres systèmes de calcul que ceux décrits, tels que par exemple l'arithmétique de Montgomery.
Par ailleurs, il existe différentes formules de recombinaison selon la méthode CRT et l'invention peut s'appliquer à ces différentes formules.

Claims

REVENDICATIONS
1. Procédé de traitement de données, dans lequel un élément (m) subit une première opération avec un opérande donné (d), comprenant une étape de mise à jour par une seconde opération d'une première variable (B ; a0 ; Sp ' ,
Sg ' ) ou d'une seconde variable (A ; α, ; Sp , S9) selon qu'un bit correspondant de l'opérande vaut 0 ou 1 , caractérisé par une étape de test (E116; E210; E308) d'une relation entre une première valeur (B ; a0 ; S' ) issue de la première variable et une seconde valeur (A ; α, ; S ) issue de la seconde variable.
2. Procédé selon la revendication 1 , caractérisé en ce que la première valeur est la valeur de la première variable et en ce que la seconde valeur est la valeur de la seconde variable.
3. Procédé selon la revendication 1 ou 2, caractérisé en ce que l'étape de test (E116) est appliquée au résultat de la première opération.
4. Procédé selon la revendication 1 , caractérisé en ce que la première valeur (£' ) résulte d'une première recombinaison selon le théorème des restes chinois impliquant la première variable (Sp ' , Sq ' ) et en ce que la seconde valeur
(S ) résulte d'une seconde recombinaison selon le théorème des restes chinois impliquant la seconde variable (Sp , Sq ).
5. Procédé selon l'une des revendications 1 à 4, caractérisé en ce que la première opération est une exponentiation modulaire, en ce que la seconde opération est une multiplication modulaire et en ce que l'opérande est un exposant.
6. Procédé selon la revendication 5, caractérisé en ce que l'étape de test comprend la comparaison du produit de la première variable (B ) et de la seconde variable (A ) à une troisième variable (S) mise à jour par le calcul d'un carré quel que soit le bit correspondant de l'opérande.
7. Procédé selon la revendication 5, caractérisé en ce que l'étape de test comprend la comparaison de la seconde variable (α, ) au produit de l'élément
(m ) et de la première variable (α0).
8. Procédé selon l'une des revendications 1 à 4, caractérisé en ce que la première opération est une multiplication sur une courbe elliptique et en ce que la seconde opération est une addition sur la courbe elliptique.
9. Procédé selon l'une des revendications 1 à 8, caractérisé en ce que la relation est indépendante de l'opérande.
10. Dispositif de traitement de données permettant une première opération sur un élément au moyen d'un opérande, comprenant :
- des moyens de mis à jour par une seconde opération d'une première variable ou d'une seconde variable selon qu'un bit correspondant de l'opérande vaut 0 ou 1 , caractérisé par :
- des moyens de test d'une relation entre une première valeur issue de la première variable et une seconde valeur issue de la seconde variable.
11. Dispositif selon la revendication 10, caractérisé en ce que la première valeur est la valeur de la première variable et en ce que la seconde valeur est la valeur de la seconde variable.
12. Dispositif selon la selon la revendication 10 ou 11 , caractérisé en ce que les moyens de test sont appliqués au résultat de la première opération.
13. Dispositif selon la revendication 10, caractérisé par des moyens pour obtenir la première valeur (S') comme résultat d'une première recombinaison selon le théorème des restes chinois impliquant la première variable (sp ' , ^ ) et par des moyens pour obtenir la seconde valeur (S ) comme résultat d'une seconde recombinaison selon le théorème des restes chinois impliquant la seconde variable (Sp , S11 ).
14. Dispositif selon l'une des revendications 10 à 13, caractérisé en ce que la première opération est une exponentiation modulaire, en ce que la seconde opération est une multiplication modulaire et en ce que l'opérande est un exposant.
15. Dispositif selon la revendication 14, caractérisé en ce que les moyens de test comprennent des moyens de comparaison du produit de la première variable (B ) et de la seconde variable (A ) à une troisième variable (S ) mise à jour par le calcul d'un carré quel que soit le bit correspondant de l'opérande.
16. Dispositif selon la revendication 14, caractérisé en ce que les moyens de test comprennent des moyens de comparaison de la première variable (a{ ) au produit de l'élément (m ) et de la seconde variable (a0).
17. Dispositif selon l'une des revendications 10 à 13, caractérisé en ce que la première opération est une multiplication sur une courbe elliptique et en ce que la seconde opération est une addition sur la courbe elliptique.
18. Dispositif selon l'une des revendications 10 à 17, caractérisé en ce que la relation est indépendante de l'opérande.
19. Carte à microcircuit comprenant un dispositif selon l'une des revendications 10 à 18.
PCT/FR2006/000662 2005-03-30 2006-03-27 Procédé de traitement de données impliquant une exponentiation modulaire et un dispositif associé WO2006103341A1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE602006012292T DE602006012292D1 (de) 2005-03-30 2006-03-27 Verfahren zur datenverarbeitung mit modularer potenzierung und dazugehörige vorrichtung
EP06743602A EP1864211B1 (fr) 2005-03-30 2006-03-27 Procédé de traitement de données impliquant une exponentiation modulaire et un dispositif associé
US11/887,632 US8682951B2 (en) 2005-03-30 2006-03-27 Method for processing data involving modular exponentiation and related device
AT06743602T ATE458219T1 (de) 2005-03-30 2006-03-27 Verfahren zur datenverarbeitung mit modularer potenzierung und dazugehörige vorrichtung

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0503083A FR2884004B1 (fr) 2005-03-30 2005-03-30 Procede de traitement de donnees impliquant une exponentiation modulaire et un dispositif associe
FR0503083 2005-03-30

Publications (1)

Publication Number Publication Date
WO2006103341A1 true WO2006103341A1 (fr) 2006-10-05

Family

ID=35559283

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/000662 WO2006103341A1 (fr) 2005-03-30 2006-03-27 Procédé de traitement de données impliquant une exponentiation modulaire et un dispositif associé

Country Status (7)

Country Link
US (1) US8682951B2 (fr)
EP (1) EP1864211B1 (fr)
AT (1) ATE458219T1 (fr)
DE (1) DE602006012292D1 (fr)
ES (1) ES2337925T3 (fr)
FR (1) FR2884004B1 (fr)
WO (1) WO2006103341A1 (fr)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2280511A1 (fr) 2009-07-30 2011-02-02 Oberthur Technologies Procédé de traitement de données protégé contre les attaques par faute et dispositif associé
WO2011092552A1 (fr) * 2010-01-28 2011-08-04 Nds Limited Système d'élévation à une puissance
US8139763B2 (en) 2007-10-10 2012-03-20 Spansion Llc Randomized RSA-based cryptographic exponentiation resistant to side channel and fault attacks
US8311212B2 (en) 2007-08-03 2012-11-13 Oberthur Technologies Method of processing data protected against attacks by generating errors and associated device
EP2535805A1 (fr) * 2011-06-17 2012-12-19 Thomson Licensing Algorithme de mise à la puissance résistant contre des fautes
US8670557B2 (en) 2007-09-10 2014-03-11 Spansion Llc Cryptographic system with modular randomization of exponentiation
US8774400B2 (en) 2008-01-03 2014-07-08 Spansion Llc Method for protecting data against differntial fault analysis involved in rivest, shamir, and adleman cryptography using the chinese remainder theorem
EP3579492A1 (fr) 2018-06-08 2019-12-11 STMicroelectronics (Rousset) SAS Protection d'un calcul itératif
EP3579493A1 (fr) 2018-06-08 2019-12-11 STMicroelectronics (Rousset) SAS Protection d'un calcul itératif
US10977365B2 (en) 2017-07-25 2021-04-13 Stmicroelectronics (Rousset) Sas Protection of an iterative calculation against horizontal attacks
US11456853B2 (en) 2019-03-29 2022-09-27 Stmicroelectronics (Rousset) Sas Protection of an iterative calculation

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2916113B1 (fr) * 2007-05-07 2009-07-31 Oberthur Card Syst Sa Procede de traitement cryptographique d'un message.
FR2942560B1 (fr) * 2009-02-24 2015-06-26 Oberthur Technologies Procede de traitement de donnees impliquant une exponentiation et un dispositif associe.
FR2979725B1 (fr) * 2011-09-06 2016-05-27 Oberthur Technologies Procede de calculs cryptographique resistant aux defaillances materielles
EP2793123A1 (fr) * 2013-04-16 2014-10-22 Gemalto SA Procédé d'exécution sécurisée d'une exponentiation modulaire
US9590805B1 (en) * 2014-12-23 2017-03-07 EMC IP Holding Company LLC Ladder-based cryptographic techniques using pre-computed points
TW201810989A (zh) * 2016-05-18 2018-03-16 納格維遜股份有限公司 用以保護密碼指數的方法及系統
CN106603221B (zh) * 2016-12-23 2022-07-26 北京握奇智能科技有限公司 一种抵抗spa攻击的模幂计算方法、系统及嵌入式单芯片

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6748410B1 (en) * 1997-05-04 2004-06-08 M-Systems Flash Disk Pioneers, Ltd. Apparatus and method for modular multiplication and exponentiation based on montgomery multiplication
ATE325478T1 (de) * 1998-01-02 2006-06-15 Cryptography Res Inc Leckresistentes kryptographisches verfahren und vorrichtung
US6298442B1 (en) * 1998-06-03 2001-10-02 Cryptography Research, Inc. Secure modular exponentiation with leak minimization for smartcards and other cryptosystems
FR2799851B1 (fr) * 1999-10-14 2002-01-25 Gemplus Card Int Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type rsa
FR2828608B1 (fr) 2001-08-10 2004-03-05 Gemplus Card Int Procede securise de realisation d'une operation d'exponentiation modulaire
JP2004226674A (ja) * 2003-01-23 2004-08-12 Renesas Technology Corp 情報処理方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CK KIM, JC HA, SJ MOON, SM YEN, SH KIM, S KIM: "a crt-based rsa system resistant to physical cryptanalysis", FORUM2004.ITRC.OR.KR, 2004, pages 1 - 9, XP002364935, Retrieved from the Internet <URL:http://forum2004.itrc.or.kr/PDS/Paper_Data/2004_file/3_4_4.pdf> [retrieved on 20060126] *
SUNG-MING YEN; SEUNGJOO KIM; SEONGAN LIM; SANGJAE MOONED;: "A countermeasure against one physical cryptanalysis may benefit another attack", INFORMATION SECURITY AND CRYPTOLOGY-ICISC 2001. 4TH INTERNATIONAL CONFERENCE, PROCEEDINGS 6-7 DEC. 2001, vol. 2288, 2000, berlin, pages 414 - 427, XP002364934 *

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8311212B2 (en) 2007-08-03 2012-11-13 Oberthur Technologies Method of processing data protected against attacks by generating errors and associated device
US8670557B2 (en) 2007-09-10 2014-03-11 Spansion Llc Cryptographic system with modular randomization of exponentiation
US8139763B2 (en) 2007-10-10 2012-03-20 Spansion Llc Randomized RSA-based cryptographic exponentiation resistant to side channel and fault attacks
US8774400B2 (en) 2008-01-03 2014-07-08 Spansion Llc Method for protecting data against differntial fault analysis involved in rivest, shamir, and adleman cryptography using the chinese remainder theorem
EP2280511A1 (fr) 2009-07-30 2011-02-02 Oberthur Technologies Procédé de traitement de données protégé contre les attaques par faute et dispositif associé
WO2011092552A1 (fr) * 2010-01-28 2011-08-04 Nds Limited Système d'élévation à une puissance
US8930435B2 (en) 2010-01-28 2015-01-06 Cisco Technology Inc. Exponentiation system
EP2629195A1 (fr) * 2010-01-28 2013-08-21 Nds Limited Système d'exponentiation
US8700921B2 (en) 2011-06-17 2014-04-15 Thomson Licensing Fault-resistant exponentiation algorithm
EP2535804A1 (fr) * 2011-06-17 2012-12-19 Thomson Licensing Algorithme de mise à la puissance résistant contre des fautes
EP2535805A1 (fr) * 2011-06-17 2012-12-19 Thomson Licensing Algorithme de mise à la puissance résistant contre des fautes
US10977365B2 (en) 2017-07-25 2021-04-13 Stmicroelectronics (Rousset) Sas Protection of an iterative calculation against horizontal attacks
EP3579492A1 (fr) 2018-06-08 2019-12-11 STMicroelectronics (Rousset) SAS Protection d'un calcul itératif
EP3579493A1 (fr) 2018-06-08 2019-12-11 STMicroelectronics (Rousset) SAS Protection d'un calcul itératif
US11265142B2 (en) 2018-06-08 2022-03-01 Stmicroelectronics (Rousset) Sas Protection of an iterative calculation
US11329796B2 (en) 2018-06-08 2022-05-10 Stmicroelectronics (Rousset) Sas Protection of an iterative calculation
US11456853B2 (en) 2019-03-29 2022-09-27 Stmicroelectronics (Rousset) Sas Protection of an iterative calculation

Also Published As

Publication number Publication date
EP1864211A1 (fr) 2007-12-12
EP1864211B1 (fr) 2010-02-17
US8682951B2 (en) 2014-03-25
FR2884004A1 (fr) 2006-10-06
ATE458219T1 (de) 2010-03-15
ES2337925T3 (es) 2010-04-30
FR2884004B1 (fr) 2007-06-29
US20090240756A1 (en) 2009-09-24
DE602006012292D1 (de) 2010-04-01

Similar Documents

Publication Publication Date Title
EP1864211B1 (fr) Procédé de traitement de données impliquant une exponentiation modulaire et un dispositif associé
EP1358733B1 (fr) Procede securise de calcul cryptographique a cle secrete et composant mettant en oeuvre un tel procede
EP2706455B1 (fr) Procédé de test de la sécurité d&#39;un dispositif électronique vis-à-vis d&#39;une attaque, et diispositif électronique mettant en oeuvre des contre-mesures
FR3033965A1 (fr)
CA2712178A1 (fr) Procede et dispositifs de contre-mesure pour cryptographie asymetrique
EP3117555B1 (fr) Procédé de contremesure pour un composant électronique mettant en oeuvre un algorithme de cryptographie sur une courbe elliptique
EP1652336B1 (fr) Procede pour la mise en oeuvre securisee d&#39;un algorithme de cryptographie de type rsa et composant correspondant
EP2363975B1 (fr) Circuit intégré protégé contre une analyse par canal auxiliaire horizontale
FR2919739A1 (fr) Procede de traitement de donnees protege contre les attaques par generation de fautes et dispositif associe
EP1904921A1 (fr) Procede cryptographique pour la mise en oeuvre securisee d&#39;une exponentiation et composant associe
FR2867635A1 (fr) Procede de traitement de donnees securise, base notamment sur un algorithme cryptographique
FR3055444A1 (fr) Dispositif et procedes de commande de dispositif de cryptage sur courbe elliptique securises
EP2280511B1 (fr) Procédé de traitement de données protégé contre les attaques par faute et dispositif associé
WO2006070092A1 (fr) Procede de traitement de donnees et dispositif associe
EP1493078B1 (fr) Procédé cryptographique protégé contre les attaques de type à canal caché
EP1994465A1 (fr) Procede de securisation d&#39;un calcul d&#39;une exponentiation ou d&#39;une multiplication par un scalaire dans un dispositif electronique
FR2979725A1 (fr) Procede de calculs cryptographique resistant aux defaillances materielles
WO2006067057A1 (fr) Procede d&#39;exponentiation securisee et compacte pour la cryptographie
FR3069993A1 (fr) Dispositifs et procedes de masquage d&#39;operations de chiffrement rsa
EP3482524B1 (fr) Procédé de génération des paramètres caractérisant un protocole cryptographique
FR2942560A1 (fr) Procede de traitement de donnees impliquant une exponentiation et un dispositif associe.
EP3100403B1 (fr) Échelle de montgomery déséquilibrée résistante aux attaques par canaux auxiliaires
EP4307143A1 (fr) Procede et circuit pour la verification de l&#39;integrite d&#39;un logiciel
FR2899751A1 (fr) Procede de traitement cryptographique de donnees, dispositif et programme associes
EP1571754B1 (fr) Dispositif de protection contre l&#39;injection d&#39;erreur dans une bascule synchrone d&#39;un module logique élémentaire

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2006743602

Country of ref document: EP

WWW Wipo information: withdrawn in national office

Country of ref document: DE

WWE Wipo information: entry into national phase

Ref document number: 11887632

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: RU

WWW Wipo information: withdrawn in national office

Country of ref document: RU

WWP Wipo information: published in national office

Ref document number: 2006743602

Country of ref document: EP