WO2011110307A1 - Ausspähungsschutz bei der ausführung einer operationssequenz in einem tragbaren datenträger - Google Patents

Ausspähungsschutz bei der ausführung einer operationssequenz in einem tragbaren datenträger Download PDF

Info

Publication number
WO2011110307A1
WO2011110307A1 PCT/EP2011/001054 EP2011001054W WO2011110307A1 WO 2011110307 A1 WO2011110307 A1 WO 2011110307A1 EP 2011001054 W EP2011001054 W EP 2011001054W WO 2011110307 A1 WO2011110307 A1 WO 2011110307A1
Authority
WO
WIPO (PCT)
Prior art keywords
cache
data
data value
data values
cache line
Prior art date
Application number
PCT/EP2011/001054
Other languages
English (en)
French (fr)
Inventor
Christof Rempel
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to CN201180013116.3A priority Critical patent/CN102792310B/zh
Priority to EP11707595A priority patent/EP2545483A1/de
Priority to US13/581,955 priority patent/US9589157B2/en
Publication of WO2011110307A1 publication Critical patent/WO2011110307A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • G06F21/755Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack

Definitions

  • the invention generally relates to the technical field of spying protection in portable data carriers. More particularly, the invention relates to the technical field of preventing the spying of secret data when a portable data carrier is executing an operation sequence while doing cache accesses.
  • a portable data carrier in the sense of the present document may e.g. a chip card (smart card) in different designs or a chip module or other resource-limited system with at least one processor core, a main memory and a cache memory.
  • Portable data carriers are often used for safety-critical applications, for example in financial transactions, for authentication in mobile communications, as a signature card for electronic signatures and so on. Since unauthorized use could cause a high level of damage, secret data stored on such data media must be reliably protected against spying and manipulation.
  • v2 vl d mod N.
  • the access pattern to the data values vi and v2 during the calculation depends on the bits of the exponent d to be kept secret.
  • data values vi and v2 may be 256 bytes (2048 bits) in size.
  • Some microcontrollers provide special instructions to permanently cache data; this is called "blocking" the cache. Each time the blocked data is accessed, only cache hits occur. However, the volume of securely processable data is limited to the cache size. It would be desirable not to be subject to this restriction.
  • the invention accordingly has the object of solving the abovementioned problems in whole or in part and to provide a technique for protecting a spyware operation sequence executed by a portable data carrier, wherein the attack scenario to be guarded is based on an evaluation of the cache accesses - in particular the cache access. Hits and cache misses - while executing the operation sequence.
  • the invention is also intended to be applicable when the operation sequence accesses large amounts of data or when the volume does not support cache block instructions.
  • this object is achieved in whole or in part by a method having the features of claim 1, a computer program product according to claim 11 and a device, in particular a portable data carrier, according to claim 12.
  • the dependent claims relate to optional features of some embodiments of the invention.
  • the invention is based on the basic idea of arranging at least two data values which can be accessed during the execution of the operation sequence such that a part of a second data value is contained in each cache line which contains a part of a first data value. This ensures that if one of the two data values is accessed, the occurrence of a cache miss or a cache miss occurs. Regardless of whether the first or second data value is accessed. In other words, an attacker can not infer from the pattern of cache misses and cache hits in what order data values were accessed. Only the total number of cache accesses can be read from the cache behavior, but it is not possible to tell by which operation an access was made.
  • the occupation of the cache memory according to the invention is achieved in some embodiments in that the first and the second data value are stored in the main memory interlocked or entangled, so that when loading a portion of one of these data values in a cache line necessarily also a part of another data value is loaded into this cache line.
  • additional data values are provided. If each cache line is sufficiently large to hold a portion of each data value that the processor core is capable of accessing when executing the operation sequence, then in some embodiments these further data values are interleaved or interleaved with the first and second data values in main memory such that each field in main memory that contains a portion of one of the data values also contains a portion of each other data value.
  • field groups are formed in main memory so that each field group containing a portion of one of the data values also contains a portion of each other data value.
  • the operation sequence may be configured in such a way that when the processor core refers to a part of a field contained in a field of a field group Data value, access to all other fields of this field group is also possible.
  • the data values are conceptually divided into several equal parts, with the number of bits in each part being equal to each other
  • data value is a smooth power of 2 and a smooth fraction of the number of bits in the payload of each cache line.
  • each part may have 8 bits or 16 bits if the number of bits in the payload of each cache line is 32 bits or 64 bits.
  • the operational sequence implements a method of the type mentioned in the introduction, for example a "quadrature and multiply” method for modular exponentiation.
  • Embodiments of the invention can also be used in other sequences of operations, for example for exponentiation window methods, as described, for example, in the aforementioned "Handbook of Applied Cryptography" in Chapter 14.82.
  • a first step a small number of values (vi, vi, ..., im) are calculated first.
  • a second step in each case a multiplication with one of the values vi is carried out in a loop depending on the exponent to be kept secret.
  • Another application of the invention are "double and add" methods for multiplication, especially in the calculation in elliptic curves, such as in Bodo Möller: “Securing Elliptic Curve Point Multiplication against Side-Channel Attacks", ISC 2001, Springer LNVS, pp. 324-334 or described in WO 02/091332 A2.
  • Such a "doubling and adding” method can also be linked to a window method, the exponent of which being brought into a suitable representation for this purpose.
  • the inventive computer program product has program instructions in order to implement the method according to the invention.
  • Such a computer program product may be a physical medium, eg a semiconductor memory or a floppy disk or a CD-ROM.
  • the computer program product may also be a non-physical medium, eg, a signal transmitted over a computer network.
  • the computer program product may contain program instructions that are inserted into it in the course of the production or the initialization or the personalization of a portable data carrier.
  • the device according to the invention may in particular be a portable data carrier, e.g. a smart card or a chip module.
  • a data carrier contains, in a manner known per se, at least one processor core, a plurality of memories and various auxiliary subassemblies, such as e.g. Interface circuits, timers and connectors.
  • Fig. 1 shows a block diagram of a data carrier according to an embodiment of the invention
  • 2 shows a schematic representation of the manner in which, in one exemplary embodiment, m data values are stored in k fields of the main memory.
  • the portable data carrier 10 shown in FIG. 1 is configured as a chip card or as a chip module.
  • the data carrier 10 contains a Mikrocontr oller 12, which is configured as an integrated semiconductor chip with a processor core 14, a main memory 16, a cache memory 18 and a 20 interface interface Schalrung.
  • the main memory 16 is divided into a plurality of memory fields.
  • a read-only memory 22 designed as a ROM, a non-volatile overwritable memory 24 designed as an EEPROM and a main memory 26 designed as a RAM are provided as memory fields.
  • the cache memory 18 includes a plurality of cache lines 28.1, 28.2, ..., collectively referred to as cache lines 28.x.
  • Each cache line 28.x contains administration data 30 in a manner known per se-for example a validity bit and a tag-as well as payload data 32.
  • the payload data 32 of each cache line 28.x. consist of a predetermined number m of memory words.
  • the cache lines 28.x are the smallest unit of the cache memory 18.
  • the microcontroller 12 is designed such that accesses to at least one area 34 of the main memory 16 via the cache memory 18. In the exemplary embodiments described here, it is assumed for the sake of simplicity that this "cacheable" area 34 coincides with the working memory 26. However, embodiments are also possible in which the area 34 comprises only parts of the main memory 26 and / or additionally parts of the non-volatile rewritable memory 24.
  • each field 36.x also contains m words which are transferred to exactly one cache line 28.x in each reload. In other words, data that is in a single field 36.x is always loaded together into a single cache line 28.x. This does not imply that a field 36.x is always loaded into the same cache line 28.x each time it is loaded, even though there are embodiments in which it does.
  • the fields 36.x subdivide the area 34 into groups of m memory words without gaps, beginning with an address 0.
  • the fields 36.x. can also be designed and arranged differently.
  • the fields 36.x need neither be uniformly large nor be arranged without gaps or overlaps. Rather, fields 36.x may be any subsets of region 34 that need only have the property that the memory words of each field 36.x are always acquired in common from a cache line 28.x.
  • FIG. 1 is an example of one of two different types of
  • Example with very short data values vi and vi, each of which is only as long as the payload data 32 in a cache line 28.x are explained.
  • the first data value vi is conceptually divided into two parts and vli, and accordingly, the second data vi is divided into two parts and u2 2 divided.
  • the data values vi and vi are stored interlocked in the main memory 16, such that each part of each data value vi, vi is located in each field 36.x. More specifically, the first field 36.1 contains the first two parts of the two data values vi, vi, and the second field 36.2 contains the two second parts ul 2 and vli of the two data values vi, vi.
  • the interleaved arrangement of the data values vi and vi is automatically transferred from the main memory 16 to the cache memory 18 because, as mentioned above, each time a reload operation one field 36.x of the main memory 16 is completely inserted into exactly one cache line 28. x is loaded.
  • the property holds that if a part (eg vli) one of the data values (eg vi) is located in the cache line 28.x, also a part (eg v2i) of the other data value (eg vi) is contained therein.
  • the occurrence of a cache hit or a cache miss is independent of whether the processor core 14 is accessing the first data value vi or the second data value v2.
  • each data value vi, v2 includes, for example, 256 bytes, while each field 36.x and each cache line 28.x contain, for example, 4 bytes of payload data.
  • the data values vi, v2 must be distributed to a total of 128 fields 36.x, so that each of these fields 36.x contains at least a part of each of the data values vi, v2. This can be done, for example, by writing the data values vi, v2 alternately in portions of one byte or two bytes into the range 34, beginning with a field boundary.
  • a uniform field length is provided for efficiency reasons, which may be, for example, 1 bit or 1 byte or 2 bytes or 1 memory word.
  • the data values vi do not necessarily have to be the same length. However, in some embodiments, data values vi of uniform length are provided. For this purpose, for example, shorter data values vi can be supplemented by adding any data (padding) to the common length.
  • the parts vi j can then, for example, alternately as follows are stored in the main memory 16, beginning at a start address, which is an integer multiple of the field length m: v, v2i, vmi, vli, v2i, vmi, vlk, vlk , vmk
  • the fields 36.x conceptually JOINT to groups are Asst this, so that each field group j of each of the data values vi has a total of sufficient memory for each part vi.
  • the sequence of operations is then changed so that, when accessing a field 36.x which is contained in a field group, all other fields 36.x of this field group are always accessed, even if those in the other fields 36. x data are not needed for the calculation to be performed.
  • n data values vi are provided, which in turn - each having k pieces vi j to a respective memory word - as in the embodiment of Fig. 2.
  • the uniform length of the data values vi may be established by appending dummy data, as appropriate.
  • each field 36.x in main memory includes m memory words, but in the present example, n> m.
  • the data values vi are then stored in the main memory 16 in the following alternating sequence, similar to the embodiment of FIG.
  • the cache behavior in accessing a data value vi is independent of i, because of hits within the range vl j, vl j, vrri j and V within the range of (m + l) j , v (m + 2) j , v (2-m) j, and so on, each covered by a single cache line 28.x, and because by the

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Memory System Of A Hierarchy Structure (AREA)

Abstract

Bei einem Verfahren zum Schutz einer von einem tragbaren Datenträger (10) ausgeführten Operationssequenz gegen Ausspähung weist der Datenträger (10) mindestens einen Prozessorkern (14), einen Hauptspeicher (16) und einen Cache-Speicher (18) mit einer Mehrzahl von Cache-Zeilen (28.x) auf. Der Prozessorkern (14) vermag beim Ausführen der Operationssequenz auf mindestens zwei Datenwerte (vi, vi,..., vn) zuzugreifen, wobei die Datenwerte (vi, vi,..., vn) mindestens eine Cache-Zeile (28.x) in dem Cache-Speicher (18) belegen und jeweils in mehrere Teile (vij) unterteilt sind, so dass das Auftreten eines Cache-Fehlschlags oder eines Cache-Treffers unabhängig davon ist, auf welchen Datenwert (vi, vi,..., vn) zugegriffen wird. Ein Computerprogrammprodukt und eine Vorrichtung weisen entsprechende Merkmale auf. Die Erfindung dient zur Abwehr von Angriffen, die auf einer Auswertung der Cache-Zugriffe während des Ausführens der Operationssequenz beruhen.

Description

Ausspähungsschutz bei der Ausführung einer
Operationssequenz in einem tragbaren Datenträger Die Erfindung betrifft allgemein das technische Gebiet des Ausspähungs- schutzes bei tragbaren Datenträgern. Spezieller betrifft die Erfindung das technische Gebiet, das Ausspähen von geheimzuhaltenden Daten zu verhindern, wenn ein tragbarer Datenträger eine Operationssequenz ausführt und dabei Cache-Zugriffe erfolgen. Ein tragbarer Datenträger im Sinne des vorliegenden Dokuments kann z.B. eine Chipkarte (smart card) in unterschiedlichen Bauformen oder ein Chipmodul oder ein sonstiges ressourcenbeschränktes System mit mindestens einem Prozessorkern, einem Hauptspeicher und einem Cache-Speicher sein. Tragbare Datenträger werden oft für sicherheitskritische Anwendungen eingesetzt, beispielsweise bei Finanztransaktionen, zur Authentisierung im Mobilfunk, als Signaturkarte zur elektronischen Unterschrift und so weiter. Da durch eine unbefugte Verwendung hoher Schaden entstehen könnte, müssen geheime Daten, die auf solchen Datenträgern gespeichert sind, zuverlässig vor Ausspähung und Manipulation geschützt werden.
Es sind diverse Angriffsverfahren bekannt, bei denen physikalische Parameter des Datenträgers während der Programmausführung gemessen werden, um Rückschlüsse auf geheimzuhaltende Daten zu ziehen. Beispielsweise wird bei der einfachen Stromanalyse (SPA = Simple Power Analysis) die Stromaufnahme des Datenträgers während eines Berechnungsablaufs gemessen und untersucht. Bei der differentiellen Stromanalyse (DPA = Differential Power Analysis) wird dagegen die Stromaufnahme über viele Berechnungsabläufe hinweg statistisch ausgewertet.
Die gerade genannten Angriffe werden allgemein als Seitenkanalangriff e bezeichnet, weil der Informationsfluss nicht über den primären Kommunikationskanal des Datenträgers, sondern daran vorbei erfolgt. Kapitel 16.5.1 des Buches "Handbuch der Chipkarten" von W. Rankl und W. Effing, Hanser Verlag, 5. Auflage, 2008, Seiten 740-771, gibt einen Überblick über diverse Angriffs- und Abwehrverfahren. Die Abwehr von Seitenkanalangriff en ist auch Thema diverser Patentdokumente wie zum Beispiel der Offenlegungs- schriften DE 198 22 218 AI, WO 99/35782 AI, WO 99/67919 A2 und
US 2002/0124178 AI.
Untersuchungen haben gezeigt, dass bei leistungsfähigen Datenträgern, die einen Cache-Speicher aufweisen, zusätzliche Möglichkeiten für Seitenkanal- angriffe bestehen. Es ist nämlich in der Regel möglich, aus dem Zeitverhalten und/ oder dem Stromaufnahmemuster bei der Prograrnmausführung zu bestimmen, ob ein Cache-Treffer (cache hü) oder ein Cache-Fehlschlag {cache miss) auftritt. Aus dieser Information können wiederum Rückschlüsse auf geheimzuhaltende Daten gezogen werden, wenn diese Daten mit der aus- geführten Operationssequenz - und insbesondere mit den Datenwerten, auf die bei dieser Operationssequenz zugegriffen wird - korreliert sind.
Als Beispiel für eine ausspähungsgefährdete Operationssequenz sei die modulare Potenzierung, auch bekannt als„modulare Exponentiation", eines Datenwertes vi mit einem Exponenten d nach dem gut bekannten
"Quadriere und Multipliziere' -Verfahren (square and multiply method) genannt. Dieses Verfahren ist beispielsweise als Verfahren 2.143 in dem Buch "Handbook of Applied Cryptography" von A. Menezes, P. van Oorschot und S. Vanstone, CRC Press, 1996, Seite 71, beschrieben. Eine modulare Potenzie- rung wird z.B. bei RSA-Berechnungen verwendet. Der Exponent d bildet den privaten RSA-Schlüssel und muss daher vor Ausspähung geschützt werden.
Die Berechnung von vld mod N nach dem "Quadriere und Multipliziere' - Verfahren erfolgt in einer Schleife, die für jedes Bit des Exponenten d - beginnend mit dem höchstwertigen Bit - je einmal durchlaufen wird. Bei jedem Schleifendurchlauf wird zunächst ein Zwischenwert vi quadriert. Wenn das betrachtete Bit des Exponenten d den Wert "1" aufweist, so wird ferner der Zwischenwert vi mit dem Datenwert vi multipliziert. Insgesamt ergibt sich das folgende Verfahren; die Bitpositionen des Exponenten d seien hierbei mit d(i ) für i = 0, 1, k bezeichnet, so dass d = Σ ; = o, ι, k d( i) 2' gilt:
SETZE v2 := 1
FÜR i = k, (k-1), 1, 0, FÜHRE AUS
SETZE v2 := v2■ v2 mod N
WENN d{i) = 1 DANN SETZE v2 := v2■ vi mod N
Nach dem Berechnungsablauf gilt dann v2 = vld mod N. Das Zugriffsmuster auf die Datenwerte vi und v2 während der Berechnung hängt von den Bits des geheimzuhaltenden Exponenten d ab. Die Datenwerte vi und v2 können beispielsweise eine Größe von je 256 Byte (2048 Bit) aufweisen. Der Cache-Speicher ist bei tragbaren Datenträgern in der Regel relativ klein und kann z.B. eine Größe von 2 KByte aufweisen. Wenn der Cache-Speicher bereits zum Teil mit anderen Daten belegt ist, dann ist möglicherweise nur genügend Platz für einen der beiden Daten- werte vi und v2 - nicht jedoch für beide - vorhanden. In diesem Fall ergibt sich bei jedem Schleifendurchlauf mit d(i) = 1 mindestens ein Cache-Fehlschlag, weil zumindest der Datenwert vi nachgeladen werden muss. Bei aufeinanderfolgenden Schleif endurchläufen mit d(i) = 0 treten dagegen keine Cache-Fehlschläge auf, weil stets nur auf den Datenwert v2 zugegrif- fen wird. Wie bereits erwähnt, ist zu erwarten, dass Cache-Fehlschläge aus dem Stromverlaufsbild erkennbar sind, so dass ein Angreifer Rückschlüsse auf die Bits des Exponenten d ziehen kann.
Bei manchen MikroControllern sind spezielle Befehle vorgesehen, um Daten dauerhaft im Cache zu halten; dies wird als "Blocken" des Cache bezeichnet. Bei jedem Zugriff auf die geblockten Daten treten dann ausschließlich Cache- Treffer auf. Das Volumen der sicher verarbeitbaren Daten ist jedoch auf die Cache-Größe beschränkt. Es wäre wünschenswert, dieser Beschränkung nicht unterworfen zu sein.
Andere Mikrocontroller weisen keine Cache-Block-Befehle auf. Es wäre wünschenswert, auch in diesem Fall Angriffe der oben genannten Art zuverlässig zu verhindern. Die Erfindung hat demgemäß die Aufgabe, die oben genannten Probleme ganz oder zum Teil zu lösen und eine Technik zum Schutz einer von einem tragbaren Datenträger ausgeführten Operationssequenz gegen Ausspähung zu schaffen, wobei das abzuwehrende Angriffsszenario auf einer Auswertung der Cache-Zugriffe - insbesondere der Cache-Treffer und Cache-Fehl- schläge - während des Ausführens der Operationssequenz beruht. In bevorzugten Ausgestaltungen soll die Erfindung auch einsetzbar sein, wenn die Operationssequenz auf große Datenmengen zugreift oder wenn der Datenträger keine Cache-Block-Befehle unterstützt. Erfindungsgemäß wird diese Aufgabe ganz oder zum Teil gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1, ein Computerprogrammprodukt gemäß Anspruch 11 und eine Vorrichtung, insbesondere einen tragbaren Datenträger, gemäß Anspruch 12. Die abhängigen Ansprüche betreffen optionale Merkmale einiger Ausführungsformen der Erfindung.
Die Erfindung geht von der Grundüberlegung aus, mindestens zwei Datenwerte, auf die bei der Ausführung der Operationssequenz zugegriffen werden kann, derart anzuordnen, dass in jeder Cache-Zeile, die einen Teil eines ersten Datenwerts enthält, auch ein Teil eines zweiten Datenwerts enthalten ist. Auf diese Weise wird sichergestellt, dass bei einem Zugriff auf einen der beiden Datenwerte das Auftreten eines Cache-Fehlschlags oder eines Cache- Treffers unabhängig davon ist, ob auf den ersten oder den zweiten Datenwert zugegriffen wird. Mit anderen Worten kann ein Angreifer aus dem Muster von Cache-Fehlschlägen und Cache-Treffern keine Rückschlüsse ziehen, in welcher Reihenfolge auf welche Datenwerte zugegriffen wurde. An dem Cacheverhalten ist lediglich die Gesamtzahl der Cache-Zugriffe ablesbar, jedoch ist nicht erkennbar, durch welche Operation ein Zugriff erfolgte.
Die erfindungsgemäße Belegung des Cache-Speichers wird in manchen Ausgestaltungen dadurch erzielt, dass der erste und der zweite Datenwert im Hauptspeicher miteinander verzahnt oder verschränkt gespeichert sind, so dass bei einem Laden eines Teils eines dieser Datenwerte in eine Cache- Zeile zwingend auch ein Teil des anderen Datenwerts in diese Cache-Zeile geladen wird.
In manchen Ausgestaltungen sind weitere Datenwerte vorgesehen. Wenn jede Cache-Zeile genügend groß ist, um je einen Teil jedes Datenwerts, auf den der Prozessorkern beim Ausführen der Operationssequenz zuzugreifen vermag, aufzunehmen, dann werden in manchen Ausführungsformen diese weiteren Datenwerte verzahnt oder verschränkt mit dem ersten und dem zweiten Datenwert im Hauptspeicher abgelegt, so dass jedes Feld im Hauptspeicher, das einen Teil eines der Datenwerte enthält, auch je einen Teil jedes anderen Datenwerts enthält.
Sind dagegen die Cache-Zeilen nicht groß genug, so werden in manchen Ausgestaltungen Feldgruppen im Hauptspeicher gebildet, so dass jede Feldgruppe, die einen Teil eines der Datenwerte enthält, auch je einen Teil jedes anderen Datenwerts enthält. Die Operationssequenz kann in den letztgenannten Ausführungsformen derart ausgestaltet sein, dass, wenn der Prozessorkern auf einen in einem Feld einer Feldgruppe enthaltenen Teil eines Datenwerts zugreift, auch Zugriffe auf alle anderen Felder dieser Feldgruppe erfolgen.
In manchen Ausführungsformen sind die Datenwerte konzeptuell in mehre- re gleiche Teile unterteilt, wobei die Anzahl von Bit in jedem Teil jedes
Datenwerts beispielsweise eine glatte Zweierpotenz und ein glatter Bruchteil der Anzahl von Bit in den Nutzdaten jeder Cache-Zeile ist. Zum Beispiel kann jeder Teil 8 Bit oder 16 Bit aufweisen, wenn die Anzahl von Bit in den Nutzdaten jeder Cache-Zeile 32 Bit oder 64 Bit beträgt.
In manchen Ausgestaltungen implementiert die Operationssequenz ein Verfahren der eingangs genannten Art, beispielsweise ein "Quadriere und Multipliziere"-Verfahren zur modularen Potenzierung. Ausführungen der Erfindung können auch in anderen Operationssequenzen eingesetzt werden, beispielsweise für Fenstermethoden zur Exponentiation, wie sie etwa im erwähnten "Handbook of Applied Cryptography" in Kapitel 14.82 beschrieben sind. Dabei wird in einem ersten Schritt zunächst eine kleine Anzahl von Werten (vi, vi,..., im) berechnet. In einem zweiten Schritt wird dann abhängig von dem geheimzuhaltenden Exponenten in einer Schleife jeweils eine Multiplikation mit einem der Werte vi durchgeführt. Eine weitere Anwendungsmöglichkeit der Erfindung sind "Verdopple und Addiere"-Verfahren (double and add) zur Multiplikation, speziell bei der Berechnung in elliptischen Kurven, wie sie z.B. in Bodo Möller:„Securing Elliptic Curve Point Multiplication against Side-Channel Attacks", ISC 2001, Springer LNVS, S. 324-334 oder in der WO 02/091332 A2 beschrieben sind. Ein solches "Verdopple und Addiere"-Verfahren kann dabei auch mit einer Fenstermethode verknüpft sein, wobei der Exponent hierfür in eine geeignete Darstellung gebracht ist. Das erfindxingsgemäße Computerprogrammprodukt weist Programmbefehle auf, um das erfindungsgemäße Verfahren zu implementieren. Ein derartiges Computerprogrammprodukt kann ein körperliches Medium sein, z.B. ein Halbleiterspeicher oder eine Diskette oder eine CD-ROM. Das Computer- programmprodukt kann jedoch auch ein nicht-körperliches Medium sein, z.B. ein über ein Computernetzwerk übermitteltes Signal. Insbesondere kann das Computerprogrammprodukt Programmbefehle enthalten, die im Zuge der Herstellung oder der Initialisierung oder der Personalisierung eines tragbaren Datenträgers in diesen eingebracht werden.
Die erfindungsgemäße Vorrichtung kann insbesondere ein tragbarer Datenträger, z.B. eine Chipkarte oder ein Chipmodul, sein. Ein derartiger Datenträger enthält in an sich bekannter Weise mindestens einen Prozessorkern, mehrere Speicher und diverse Hilfsbaugruppen wie z.B. Schnittstellen- Schaltungen, Zeitgeber und Verbindungselemente.
In bevorzugten Weiterbildungen weisen das Computerprogrammprodukt und/ oder die Vorrichtung Merkmale auf, die den in der vorliegenden
Beschreibung erwähnten und/ oder den in den abhängigen Verfahrens- ansprüchen genannten Merkmalen entsprechen.
Weitere Merkmale, Aufgaben und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung eines Ausführungsbeispiels und mehrerer Ausführungsalternativen. Es wird auf die schematischen Zeichnungen verwie- sen.
Fig. 1 zeigt ein Blockdiagramm eines Datenträgers nach einem Ausführungsbeispiel der Erfindung, und Fig. 2 zeigt eine schematische Darstellung der Art und Weise, in der in einem Ausführungsbeispiel m Datenwerte in k Feldern des Hauptspeichers abgespeichert werden. Der in Fig. 1 dargestellte tragbare Datenträger 10 ist als Chipkarte oder als Chipmodul ausgestaltet. In an sich bekannter Weise enthält der Datenträger 10 einen Mikrocontr oller 12, der als integrierter Halbleiterchip mit einem Prozessorkern 14, einem Hauptspeicher 16, einem Cache-Speicher 18 und einer Schnittstellenschalrung 20 ausgestaltet ist. Der Hauptspeicher 16 ist in mehrere Speicherfelder unterteilt. Im vorliegenden Ausführungsbeispiel sind als Speicherfelder ein als ROM ausgebildeter Festwertspeicher 22, ein als EEPROM ausgebildeter, nicht-flüchtiger überschreibbarer Speicher 24 und ein als RAM ausgebildeter Arbeitsspeicher 26 vorgesehen.
Der Cache-Speicher 18 weist eine Vielzahl von Cache-Zeilen 28.1, 28.2, ... auf, die im folgenden zusammenfassend als Cache-Zeilen 28.x bezeichnet werden. Jede Cache-Zeile 28.x enthält in an sich bekannter Weise Verwaltungsdaten 30 - z.B. ein Gültigkeitsbit und eine Kennung (tag) - sowie Nutzdaten 32. In den vorliegend beschriebenen Ausführungsbeispielen wird davon ausgegangen, dass die Nutzdaten 32 jeder Cache-Zeile 28.x aus einer vorgege- benen Anzahl m von Speicherwörtern bestehen. Beispielsweise können in jeder Cache-Zeile 28.x vier Wörter Nutzdaten 32 enthalten sein (m = 4), wobei die Wortbreite in der Regel von der Busbreite des Mikrocontrollers 12 abhängt und z.B. ein Byte betragen kann. Die Cache-Zeilen 28.x sind die kleinste Einheit des Cache-Speichers 18. Dies heißt, dass bei einem Ladevorgang in den Cache-Speicher 18 stets alle m Wörter der Nutzdaten 32 aus dem Hauptspeicher 16 in die entsprechende Cache-Zeile 28.x eingeschrieben werden, wodurch die gesamten bisher in der Cache-Zeile 28.x enthaltenen Nutzdaten 32 überschrieben werden. Der Mikrocontroller 12 ist so ausgestaltet, dass Zugriffe auf mindestens einen Bereich 34 des Hauptspeichers 16 über den Cache-Speicher 18 erfolgen. In den hier beschriebenen Ausführungsbeispielen wird der Einfachheit halber angenommen, dass dieser "cachebare" Bereich 34 mit dem Arbeits- Speicher 26 übereinstimmt. Es sind jedoch auch Ausführungsformen möglich, bei denen der Bereich 34 nur Teile des Arbeitsspeichers 26 und/ oder zusätzlich Teile des nicht-flüchtigen überschreibbaren Speichers 24 umfasst.
Ferner wird bei dem hier beschriebenen Ausführungsbeispiel angenommen, dass der Bereich 34 konzeptuell in eine Vielzahl von Feldern 36.1, 36.2, ... unterteilt ist, die im folgenden zusammenfassend als Felder 36.x bezeichnet werden. Jedes Feld 36.x enthält ebenfalls m Wörter, die bei jedem Nachladevorgang in jeweils genau eine Cache-Zeile 28.x übertragen werden. Mit anderen Worten werden Daten, die sich in einem einzigen Feld 36.x befin- den, stets gemeinsam in eine einzige Cache-Zeile 28.x geladen. Dies impliziert nicht, dass ein Feld 36.x bei jedem Ladevorgang immer in dieselbe Cache-Zeile 28.x geladen wird, auch wenn es Ausführungsformen gibt, in denen dies der Fall ist. In den hier beschriebenen Ausführungsbeispielen unterteilen die Felder 36.x den Bereich 34 lückenlos in Gruppen zu je m Speicherwörtern, und zwar beginnend von einer Adresse 0. Das x-te Feld 36.x umfasst somit die Wörter mit den Adressen a, a+1, ... a+m-1 für eine Startadresse a = ra -(x-l). In Ausführungsalternativen können die Felder 36.x jedoch auch anders ausgebildet und angeordnet sein. Insbesondere brauchen die Felder 36.x weder einheitlich groß zu sein noch lückenlos noch überlappungsfrei angeordnet zu sein. Die Felder 36.x können vielmehr beliebige Teilmengen des Bereichs 34 sein, die lediglich die Eigenschaft aufweisen müssen, dass die Speicherwörter jedes Feldes 36.x stets gemeinsam von einer Cache-Zeile 28.x erfasst werden. Fig. 1 geht beispielhaft von einer aus zwei verschiedenen Arten von
Operationen aufgebauten Operationssequenz aus, wobei beide Arten von Operationen auf zwei Datenwerte vi und v2 zuzugreifen vermögen und von einem vergleichbaren Operationstyp sind, so daß sie bei gegebenem gleichen Cacheverhalten praktisch nicht unterscheidbar sind. Die verschiedenen Operationen werden in einer verzahnten Abfolge ausgeführt, wobei die genaue Folge der Zugriffe von einem geheimzuhaltenden Wert d abhängt und soll verschleiert werden. Eine solche Operationssequenz ist eingangs am Beispiel des "Quadriere und Multipliziere "-Verfahrens erläutert worden. Auf der logischen Programmebene sind die Datenwerte vi und vi als Variablen des ausgeführten Programms zu verstehen. In der Implementierung auf dem Datenträger 10 befinden sich die Datenwerte vi und vi dagegen im Hauptspeicher 16 sowie gegebenenfalls zusätzlich im Cache-Speicher 18. Die vorliegende Ausführungsform der Erfindung soll nun anhand eines
Beispiels mit sehr kurzen Datenwerten vi und vi, die jeweils nur so lang wie die Nutzdaten 32 in einer Cache-Zeile 28.x sind, erläutert werden. Der erste Datenwert vi ist konzeptuell in zwei Teile
Figure imgf000012_0001
und vli unterteilt, und entsprechend ist der zweite Datenwert vi in zwei Teile
Figure imgf000012_0002
und u22 unterteilt. Die Datenwerte vi und vi sind ineinander verzahnt im Hauptspeicher 16 gespeichert, und zwar derart, dass sich je ein Teil jedes Datenwerts vi, vi in je einem Feld 36.x befindet. Genauer enthält das erste Feld 36.1 die beiden ersten Teile
Figure imgf000012_0003
der beiden Datenwerte vi, vi, und das zweite Feld 36.2 enthält die beiden zweiten Teile ul2 und vli der beiden Datenwerte vi, vi.
Die ineinander verzahnte Anordnung der Datenwerte vi und vi überträgt sich automatisch vom Hauptspeicher 16 auf den Cache-Speicher 18 weil, wie oben erwähnt, bei jedem Nachladevorgang je ein Feld 36.x des Haupt- Speichers 16 vollständig in genau eine Cache-Zeile 28.x geladen wird. Somit gilt auch für alle Cache-Zeilen 28.x die Eigenschaft, dass, wenn sich ein Teil (z.B. vli) eines der Datenwerte (z.B. vi) in der Cache-Zeile 28.x befindet, auch ein Teil (z.B. v2i) des anderen Datenwerts (z.B. vi) darin enthalten ist. Dies hat zur Folge, dass das Auftreten eines Cache-Treffers oder eines Cache-Fehlschlags unabhängig davon ist, ob der Prozessorkern 14 auf den ersten Datenwert vi oder den zweiten Datenwert v2 zugreift. Somit kann ein Angreifer, der z.B. durch eine Stromanalyse Cache-Fehlschläge zu erkennen vermag, daraus nicht ableiten, auf welchen Datenwert vi oder v2 der Zugriff erfolgte. Wie bereits erwähnt, sind in der Darstellung von Fig. 1 die Datenwerte vi, v2 nur jeweils so lang wie ein Feld 36.x des Hauptspeichers 16 bzw. eine Cache- Zeile 28.x und damit außergewöhnlich kurz. In einen praxisnäheren Anwendungsfall umf asst jeder Datenwert vi, v2 beispielsweise 256 Byte, während jedes Feld 36.x und jede Cache-Zeile 28.x beispielsweise 4 Byte Nutzdaten enthalten. In diesem Fall müssen die Datenwerte vi, v2 auf insgesamt 128 Felder 36.x verteilt werden, so dass jedes dieser Felder 36.x mindestens je einen Teil jedes der Datenwerte vi, v2 enthält. Dies kann beispielsweise dadurch geschehen, dass die Datenwerte vi, v2 alternierend in Teilen von je einem Byte oder je zwei Byte in den Bereich 34 eingeschrieben werden, und zwar beginnend mit einer Feldgrenze.
Allgemein lässt sich das Prinzip der hier beschriebenen Ausführungsbeispiele wie folgt zusammenfassen: Es sei eine Operationssequenz vorgegeben, die potentiell - also nicht notwendigerweise bei jeder Ausführung - auf n Da- tenwerte vi mit i = 1, 2, n zugreift. Jeder der Datenwerte vi sei in k Teile vij mit j = 1, 2, k unterteilt. Diese Teile vij werden nun so im Hauptspeicher 16 angeordnet, dass jedes Feld 36.x - und damit auch jede Cache-Zeile 28.x - das/ die mindestens einen Teil vij enthält, auch alle anderen Teile vij, v2j, ... vrij enthält. Prinzipiell können die Teile vij beliebig lang sein und brauchen auch nicht alle die gleiche Länge aufzuweisen. In vielen praktischen Ausgestaltungen ist aus Effizienzgründen jedoch eine einheitliche Feldlänge vorgesehen, die beispielsweise 1 Bit oder 1 Byte oder 2 Byte oder 1 Speicherwort betragen kann. Auch die Datenwerte vi brauchen nicht zwingend die gleiche Länge aufzuweisen. In manchen Ausführungsformen sind jedoch Datenwerte vi einheitlicher Länge vorgesehen. Hierzu können beispielsweise kürzere Datenwerte vi durch Anfügen beliebiger Daten (padding) auf die gemeinsame Länge ergänzt werden.
Fig. 2 veranschaulicht ein Ausführungsbeispiel, bei dem jedes Feld 36.x eine Länge von m Speicherwörtern aufweist und die gleiche Anzahl von Datenwerten vi mit i = 1, 2, m vorgesehen sind. Wenn die Operationssequenz tatsächlich nur auf n Datenwerte mit n < m zugreift, dann werden zusätzli- che Datenwerte v(n+l), vm zumindest konzeptuell als Dummy- Variablen angelegt. Ferner umfasst in diesem Ausführungsbeispiel jeder Datenwert vi genau k Teile vij für; = 1, 2, k, wobei jeder Teil vij genau ein Speicherwort umfasst. Die Teile vij können dann beispielsweise wie folgt alternierend im Hauptspeicher 16 abgelegt werden, und zwar beginnend bei einer Start- adresse, die ein ganzzahliges Vielfaches der Feldlänge m ist: v , v2i, vmi, vli, v2i, vmi, , vlk, vlk, vmk
Wiederum gilt, dass die Teile vij, v2j, vmj jeweils gemeinsam durch eine Cache-Zeile 28.x erfasst werden. Somit wird auch bei jedem Cache-Zugriff auf einen dieser Teile vij, v2j, vmj stets die gleiche Cache-Zeile 28.x angesprochen. Ja nachdem, ob sich die Daten im Cache 18 befinden oder nicht, ergibt sich ein Cache-Treffer oder ein Cache-Fehlschlag. Da aber das Auftreten von Treffer oder Fehlschlag unabhängig davon ist, auf welchen der Teile vij, v2j, vmj zugegriffen werden sollte, kann ein Angreifer daraus keine Rückschlüsse auf den ausgeführten Berechnungsablauf ziehen. In dem Ausführungsbeispiel gemäß Fig. 2 wurde angenommen, dass die Felder 36.x - und entsprechend die Cache-Zeilen 28.x - groß genug sind, um je einen Teil vij jedes der Datenwerte vi aufzunehmen. Auch wenn diese Bedingung nicht erfüllt ist, kann die erfindungsgemäße Idee in weiteren Ausführungsformen angewendet werden. Es werden hierzu die Felder 36.x konzeptuell zu Gruppen zusammengef asst, so dass jede Feldgruppe insgesamt genügend Speicherplatz für je einen Teil vij jedes der Datenwerte vi bietet. Die Operationssequenz wird dann so verändert, dass bei einem Zu- griff auf ein Feld 36.x, das in einer Feldgruppe enthalten ist, immer auch auf alle anderen Felder 36.x dieser Feldgruppe zugegriffen wird, auch wenn die in den anderen Feldern 36.x enthaltenen Daten für die auszuführende Berechnung nicht benötigt werden. In einer beispielhaften Implementierung der gerade beschriebenen Erweiterung seien n Datenwerte vi vorgesehen, die wiederum - wie bei dem Ausführungsbeispiel von Fig. 2 - je k Teile vij zu je einem Speicherwort aufweisen. Wieder kann die einheitliche Länge der Datenwerte vi gegebenenfalls durch Anhängen von Dummy-Daten hergestellt werden. Ferner umfasse jedes Feld 36.x im Hauptspeicher m Speicherwörter, wobei aber im vorliegenden Beispiel n > m gelte. Ohne Einschränkung werde n = g- m für eine Gruppengröße g > 1 angenommen; diese Bedingung kann durch das Hinzufügen von Dummy-Datenwerten stets erfüllt werden. Die Datenwerte vi werden dann, ähnlich wie bei dem Ausführungsbeispiel von Fig. 2, in der folgenden alternierenden Sequenz im Hauptspeicher 16 abgelegt, und zwar mit einer Startadresse, die ein ganzzahliges Vielfaches der Feldlänge m ist und den Anfang einer Feldgruppe definiert:
Figure imgf000015_0001
vlz, vli, v , , vlk, v2k, ..., vm Die Teile vlj, vlj, vrij befinden sich somit jeweils gemeinsam in einer einzigen Gruppe von g aufeinanderfolgenden Feldern 36.x.
Das vom Prozessorkern 14 ausgeführte Programm wird so ausgestaltet, dass jeder Zugriff auf einen Teil vij durch eine Sequenz von Zugriffen auf die Teile v(n)j, v(r2)j, v(rg)j ersetzt wird, wobei ri = i mod m mit n€ { 1, 2, m } gilt und Γ2 = n + m, n = r2 + m bis zu rg = ^-i) + m gelten. Von diesen Teilen ist lediglich der Teil vij erf orderlich; alle anderen Teile können verworfen werden. Wenn beispielsweise die Operationssequenz bei n = 16 Datenwerten i7i und einer Feldlänge m = 4 den Teil v7j benötigt, so wird eine Sequenz von Zugriffen auf die Teile v3j, v7j, ulO/, vl3j ausgeführt, weil n = 7 mod 4 = 3, r2 = r\ + 4 = 7, r3 = ri + 4 = 10 und n = r?, + 4 = 13 gelten.
Bei der gerade beschriebenen Ausgestaltung mit mehr als m Datenwerten vi ist das Cache- Verhalten beim Zugriff auf einen Datenwert vi unabhängig von i, weil Zugriffe innerhalb des Bereichs vlj, vlj, vrrij beziehungsweise innerhalb des Bereichs v(m+l)j, v(m+2)j, v(2- m)j und so weiter durch je eine einzige Cache-Zeile 28.x abgedeckt werden, und weil durch die
Zugriffssequenz v(n)j, v(r2)j, v(rg)j alle diese Bereiche je genau einmal angesprochen werden. Auch hier kann also ein Angreifer, der Cache-Treffer und Cache-Fehlschläge ausspäht, daraus keine Rückschlüsse auf den Index z des von der Operationssequenz benötigten Datenwerts v, ziehen.
Es versteht sich, dass die hier beschriebenen Ausführungsformen und Aus- führungs Varianten lediglich als Beispiele zu sehen sind. Weitere Abwandlungen und Kombinationen der hier beschriebenen Merkmale sind für den Fachmann unmittelbar ersichtlich.

Claims

Verfahren zum Schutz einer von einem tragbaren Datenträger (10) ausgeführten Operationssequenz gegen Ausspähung, wobei der Datenträger (10) mindestens einen Prozessorkern (14), einen Hauptspeicher (16) und einen Cache-Speicher (18) mit einer Mehrzahl von Cache-Zeilen (28.x) aufweist, und wobei der Prozessorkern (14) beim Ausführen der Operationssequenz auf mindestens zwei Datenwerte (vi, vi,..., vn, n ^2) zuzugreifen vermag, wobei die mindestens zwei Datenwerte (vi, vT.,..., vn) mindestens eine Cache-Zeile (28.x) in dem Cache-Speicher (18) belegen und jeweils in mehrere Teile (vij) unterteilt sind,
dadurch gekennzeichnet, dass
in jeder Cache-Zeile (28.x), die einen Teil (i?ij) eines ersten Datenwerts (vi) enthält, auch ein Teil (ukj) jedes anderen Datenwerts (vk) enthalten ist, so dass das Auftreten eines Cache-Fehlschlags oder eines Cache-Treffers unabhängig davon ist, ob auf den ersten oder einen anderen Datenwert (vk) zugegriffen wird.
Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Datenwerte (vi) im Hauptspeicher (16) miteinander verzahnt gespeichert sind, so dass bei einem Laden eines Teils (uij) eines dieser Datenwerte (vi) in eine Cache-Zeile (28.x) zwingend auch ein Teil (vk) jedes anderen Datenwerts (vk) in die Cache-Zeile (28.x) geladen wird.
Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass jeder Datenwert (vi ) gleichmäßig in mehrere Teile (vij) unterteilt ist.
Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Anzahl von Bit in jedem Teil (vij) jedes Datenwerts (vi) eine glatte
Zweierpotenz und ein glatter Bruchteil der Anzahl von Bit in den Nutzdaten (32) jeder Cache-Zeile (28.x) ist.
Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass jede Cache-Zeile (28.x) genügend groß ist, um je einen Teil (vij) jedes Datenwerts (vi), auf den der Prozessorkern (14) beim Ausführen der Operationssequenz zuzugreifen vermag, aufzunehmen. Verfahren nach einem der Ansprüche 1 bis 5 dadurch gekennzeichnet, dass
ein Bereich (26) des Hauptspeichers (16) in mehrere Felder (36.x) unterteilt ist, wobei bei jedem Cache-Fehlschlag der Inhalt eines Feldes (36.x) aus dem Hauptspeicher (16) in eine Cache-Zeile (28.x) geladen wird, und
jedes Feld (36.x), das einen Teil (vij) eines der Datenwerte (vi) enthält, auch je einen Teil (vij) jedes anderen Datenwerts (vi) enthält.
Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass jede Cache-Zeile (28.x) kleiner ist als erforderlich, um je einen Teil (vij) jedes Datenwerts (vi ), auf den der Prozessorkern (14) beim Ausführen der Operationssequenz zuzugreifen vermag, aufzunehmen.
Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass ein Bereich (26) des Hauptspeichers (16) in mehrere Felder (36.x) unterteilt ist, wobei bei jedem Cache-Fehlschlag der Inhalt eines Feldes (36.x) aus dem Hauptspeicher (16) in eine Cache-Zeile (28.x) geladen wird, mindestens je zwei Felder (36.x) zu je einer Feldgruppe zusam- mengefasst sind,
jede Feldgruppe, die einen Teil (vi,) eines der Datenwerte (vi) enthält, auch je einen Teil (vij) jedes anderen Datenwerts (vi) enthält, und
die Operationssequenz derart ausgestaltet ist, dass, wenn der Prozessorkern (14) auf einen in einem Feld (36.x) einer Feldgruppe enthaltenen Teil (vij) eines Datenwerts (vi) zugreift, auch Zugriffe auf alle anderen Felder (36.x) dieser Feldgruppe erfolgen.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die Operationssequenz ein Verfahren ist, bei dem eine erste Art Operationen stets ausgeführt wird und eine zweite Art Operationen, deren Ausführung mit der ersten Art verzahnt ist, indem beide Arten auf die gleichen Datenwerte (vi)
zuzugreifen vermögen, nur in Abhängigkeit von einem
geheimzuhaltenden Wert ausgeführt wird.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Operationssequenz eine modulare Potenzierung ist.
11. Computerprogrammprodukt mit einer Vielzahl von Programmbefehlen, die mindestens einen Prozessorkern (14) dazu veranlassen, ein Verfahren nach einem der Ansprüche 1 bis 10 auszuführen.
12. Vorrichtung, insbesondere tragbarer Datenträger (10), mit
mindestens einem Prozessorkern (14), einem Hauptspeicher (16) und einem Cache-Speicher (18), wobei die Vorrichtung dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 10 auszuführen.
PCT/EP2011/001054 2010-03-10 2011-03-03 Ausspähungsschutz bei der ausführung einer operationssequenz in einem tragbaren datenträger WO2011110307A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201180013116.3A CN102792310B (zh) 2010-03-10 2011-03-03 在便携式数据载体中操作序列的执行期间的访问冲突的保护
EP11707595A EP2545483A1 (de) 2010-03-10 2011-03-03 Ausspähungsschutz bei der ausführung einer operationssequenz in einem tragbaren datenträger
US13/581,955 US9589157B2 (en) 2010-03-10 2011-03-03 Protection against access violation during the execution of an operating sequence in a portable data carrier

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102010010851.0 2010-03-10
DE102010010851A DE102010010851A1 (de) 2010-03-10 2010-03-10 Ausspähungsschutz bei der Ausführung einer Operationssequenz in einem tragbaren Datenträger

Publications (1)

Publication Number Publication Date
WO2011110307A1 true WO2011110307A1 (de) 2011-09-15

Family

ID=44201846

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2011/001054 WO2011110307A1 (de) 2010-03-10 2011-03-03 Ausspähungsschutz bei der ausführung einer operationssequenz in einem tragbaren datenträger

Country Status (5)

Country Link
US (1) US9589157B2 (de)
EP (1) EP2545483A1 (de)
CN (1) CN102792310B (de)
DE (1) DE102010010851A1 (de)
WO (1) WO2011110307A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120278886A1 (en) * 2011-04-27 2012-11-01 Michael Luna Detection and filtering of malware based on traffic observations made in a distributed mobile traffic management system
EP3008943A4 (de) 2013-06-11 2017-02-22 Seven Networks, LLC Optimierung von keepalive und anderem hintergrundverkehr in einem drahtlosen netzwerk
CN105468543B (zh) * 2014-09-11 2020-06-16 中兴通讯股份有限公司 一种保护敏感信息的方法及装置
KR102415875B1 (ko) * 2017-07-17 2022-07-04 에스케이하이닉스 주식회사 메모리 시스템 및 메모리 시스템의 동작 방법

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999035782A1 (en) 1998-01-02 1999-07-15 Cryptography Research, Inc. Leak-resistant cryptographic method and apparatus
DE19822218A1 (de) 1998-05-18 1999-11-25 Giesecke & Devrient Gmbh Zugriffsgeschützter Datenträger
WO1999067919A2 (en) 1998-06-03 1999-12-29 Cryptography Research, Inc. Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems
US20020124178A1 (en) 1998-01-02 2002-09-05 Kocher Paul C. Differential power analysis method and apparatus
WO2002091332A2 (de) 2001-05-10 2002-11-14 Giesecke & Devrient Gmbh Berechnung eines vielfachen eines gruppenelements für kryptographische zwecke
US20050166069A1 (en) * 2000-02-14 2005-07-28 Kabushiki Kaisha Toshiba Tamper resistant microprocessor
WO2009110630A1 (en) * 2008-03-07 2009-09-11 Kabushiki Kaisha Toshiba Memory system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2660057T3 (es) 1998-05-18 2018-03-20 Giesecke + Devrient Mobile Security Gmbh Soporte de almacenamiento de datos de acceso protegido
FR2818771A1 (fr) * 2000-12-21 2002-06-28 Bull Cp8 Procede d'allocation dynamique de memoire par blocs de memoire elementaires a une structure de donnees, et systeme embarque correspondant
US7472285B2 (en) * 2003-06-25 2008-12-30 Intel Corporation Apparatus and method for memory encryption with reduced decryption latency
WO2005103908A1 (ja) * 2004-04-26 2005-11-03 Matsushita Electric Industrial Co., Ltd. 暗号又は復号を行うコンピュータシステム及びコンピュータプログラム
US7565492B2 (en) * 2006-08-31 2009-07-21 Intel Corporation Method and apparatus for preventing software side channel attacks
US8781111B2 (en) * 2007-07-05 2014-07-15 Broadcom Corporation System and methods for side-channel attack prevention
US20090311945A1 (en) * 2008-06-17 2009-12-17 Roland Strasser Planarization System
US8549208B2 (en) * 2008-12-08 2013-10-01 Teleputers, Llc Cache memory having enhanced performance and security features
US20100325374A1 (en) * 2009-06-17 2010-12-23 Sun Microsystems, Inc. Dynamically configuring memory interleaving for locality and performance isolation
US8375225B1 (en) * 2009-12-11 2013-02-12 Western Digital Technologies, Inc. Memory protection

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999035782A1 (en) 1998-01-02 1999-07-15 Cryptography Research, Inc. Leak-resistant cryptographic method and apparatus
US20020124178A1 (en) 1998-01-02 2002-09-05 Kocher Paul C. Differential power analysis method and apparatus
DE19822218A1 (de) 1998-05-18 1999-11-25 Giesecke & Devrient Gmbh Zugriffsgeschützter Datenträger
WO1999067919A2 (en) 1998-06-03 1999-12-29 Cryptography Research, Inc. Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems
US20050166069A1 (en) * 2000-02-14 2005-07-28 Kabushiki Kaisha Toshiba Tamper resistant microprocessor
WO2002091332A2 (de) 2001-05-10 2002-11-14 Giesecke & Devrient Gmbh Berechnung eines vielfachen eines gruppenelements für kryptographische zwecke
WO2009110630A1 (en) * 2008-03-07 2009-09-11 Kabushiki Kaisha Toshiba Memory system

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
BODO MÖLLER: "ISC", 2001, SPRINGER LNVS, article "Securing Elliptic Curve Point Multiplication against Side-Channel Attacks", pages: 324 - 334
BUC; VON A. MENEZES; P. VAN OORSCHOT; S. VANSTONE: "Handbook of Applied Cryptography", 1996, CRC PRESS, pages: 71
BUCHES; VON W. RANKL; W. EFFING: "Handbuch der Chipkarten", 2008, HANSER VERLAG, pages: 740 - 771

Also Published As

Publication number Publication date
CN102792310A (zh) 2012-11-21
DE102010010851A1 (de) 2011-09-15
US20120324168A1 (en) 2012-12-20
EP2545483A1 (de) 2013-01-16
US9589157B2 (en) 2017-03-07
CN102792310B (zh) 2016-05-11

Similar Documents

Publication Publication Date Title
EP3593483B1 (de) Übergang von einer booleschen maskierung zu einer arithmetischen maskierung
EP1262037A1 (de) Tragbarer datenträger mit zugriffsschutz durch schlüsselteilung
EP3254227B1 (de) Verfahren zum schutz sicherheitsrelevanter daten in einem cachespeicher
DE102016120558A1 (de) Datenverarbeitungsvorrichtung und -verfahren für kryptographische verarbeitung von daten
EP0981115B1 (de) Verfahren zur Ausführung eines Verschlüsselungsprogramms zur Verschlüsselung von Daten in einem mikroprozessorgestützten, tragbaren Datenträger
EP1496420B1 (de) Sicherheits-Datenverarbeitungseinheit sowie dazugehöriges Verfahren
DE10313318A1 (de) Kontrollierte Ausführung eines für eine virtuelle Maschine vorgesehenen Programms auf einem tragbaren Datenträger
WO2011110307A1 (de) Ausspähungsschutz bei der ausführung einer operationssequenz in einem tragbaren datenträger
EP1540880B1 (de) Geschützte kryptographische berechnung
EP3387636B1 (de) Kryptoalgorithmus mit schlüsselabhängigem maskiertem rechenschritt (sbox-aufruf)
EP1272984B1 (de) Tragbarer datenträger mit schutz vor seitenkanalattacken
DE112018002723T5 (de) System, verfahren und vorrichtung zur verschleierung von vorrichtungsoperationen
DE60022840T2 (de) Verfahren zum sichern einer oder mehrerer elektronischer baugruppen, unter zuhilfenahme eines privatschlüssel-krypto-algorithmus, sowie elektronische baugruppe
DE102005057104A1 (de) Smartcard und Steuerverfahren hierfür
DE102021101697B3 (de) Datenverarbeitungsvorrichtung und verfahren zum verarbeiten geheimer daten
DE102012015158A1 (de) Gegen Ausspähen geschützte kryptographische Berechnung
EP3804209B1 (de) Verfahren mit safe-error-abwehrmassnahme
DE60220793T2 (de) Verwürfelung bzw. Verschleierung (Scrambling) einer Berechnung, bei welcher eine modulare Funktion zur Anwendung kommt
DE102012219205A1 (de) Vorrichtung und Verfahren zur Ausführung eines kryptographischen Verfahrens
DE102012025416A1 (de) Verfahren zum Betreiben eines portablen Datenträgers sowie ein solcher portabler Datenträger
DE102015209120A1 (de) Recheneinrichtung und Betriebsverfahren hierfür
DE102008054627A1 (de) Steuergerät mit dem Verfahren zum Manipulationsschutz Computerprogramm, Computerprogrammprodukt
WO2002019065A2 (de) Verfahren und vorrichtung zum durchführen einer modularen exponentiation in einem kryptographischen prozessor
DE10253285B4 (de) Verschleierung eines geheimen Wertes
DE19960047B4 (de) Verfahren und Einheit zur sicheren Informationsbehandlung in einem kryptographischen Informationsverarbeitungssystem

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 201180013116.3

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11707595

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 13581955

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2011707595

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2919/KOLNP/2012

Country of ref document: IN