CA2480896C - Procede de securisation d'une entite electronique a acces crypte - Google Patents
Procede de securisation d'une entite electronique a acces crypte Download PDFInfo
- Publication number
- CA2480896C CA2480896C CA2480896A CA2480896A CA2480896C CA 2480896 C CA2480896 C CA 2480896C CA 2480896 A CA2480896 A CA 2480896A CA 2480896 A CA2480896 A CA 2480896A CA 2480896 C CA2480896 C CA 2480896C
- Authority
- CA
- Canada
- Prior art keywords
- result
- iterative process
- subkey
- value
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/004—Countermeasures against attacks on cryptographic mechanisms for fault attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Protection d'une entité électronique à accès crypté, contre les attaques du type DFA. On mémorise le résultat d'une étape choisie (R m, K n) d'un processus itératif faisant partie de l'algorithme cryptographique et on refait au moins une partie des étapes de ce processus itératif jusqu'à recalculer un résultat correspondant à celui qui a été mémorisé, on compare les deux résultats et on interdit la diffusion d'un message crypté (MC) s'ils sont différents.
Description
Procédé de sécurisation d'une entité électronique à accès crypté
L'invention se rapporte à un. procédé de sécurisation d'une entité
électronique à accès crypté, telle que par exemple une carte à microcircuit, le perfectionnement visant plus particulièrement à détecter les attaques connues sous l'abréviation DFA (Differential Fault Analysis, en anglais). L'invention vise particulièrement à sécuriser des algorithmes connus tels que l'AES ou le DES.
Certaines entités électroniques à accès crypté, notamment les cartes à
microcircuit, sont vulnérables à des attaques dites DFA consistant à perturber le déroulement de l'algorithme cryptographique de façon à changer la valeur d'un résultat intermédiaire, à traiter la différence obtenue entre le message chiffré
normalement et le message chiffré avec erreur et à en déduire des informations sur la clé secrète de l'entité électronique. Les erreurs sont très faciles à
produire sur une carte à microcircuit, en intervenant sur l'environnement extérieur, par exemple en provoquant un pic de tension, en soumettant la carte à un éclair lumineux (notamment à l'aide d'un faisceau laser), en faisant varier brutalement la fréquence de l'horloge extérieure, etc...
Parmi les algorithmes les plus utilisés, on peut citer le DES (Data Encryption Standard, en anglais) et surtout I'AES (Advanced Encryption Standard, en anglais). On rappelle que les deux algorithmes AES et DES ont en commun d'appliquer à un message d'entrée une succession de groupes d'opérations dits "rounds" sous le contrôle d'une série de sous-clés respectives, successivement élaborées à partir d'une clé initiale secrète, spécifique de l'entité
électronique considérée. C'est cette clé initiale (notée K ci-après) que le fraudeur tente de reconstituer. Une partie de l'algorithme est consacrée à
l'élaboration des sous-clés en mettant en oeuvre un processus d'extension de clé par une fonction F, non linéaire dans le cas de l'AES. La fonction est appliquée à ladite clé
initiale, puis à nouveau au résultat de l'application de ladite fonction et ainsi de suite. Les sous-clés sont élaborées à partir de cette succession de résultats intermédiaires issus de la clé initiale K.
Jusqu'à présent, les attaques de type DFA sont considérées comme inexploitables en pratique vis-à-vis de l'algorithme de type AES. Cependant, des études à l'origine de l'invention ont permis de mettre en évidence qu'une triple
L'invention se rapporte à un. procédé de sécurisation d'une entité
électronique à accès crypté, telle que par exemple une carte à microcircuit, le perfectionnement visant plus particulièrement à détecter les attaques connues sous l'abréviation DFA (Differential Fault Analysis, en anglais). L'invention vise particulièrement à sécuriser des algorithmes connus tels que l'AES ou le DES.
Certaines entités électroniques à accès crypté, notamment les cartes à
microcircuit, sont vulnérables à des attaques dites DFA consistant à perturber le déroulement de l'algorithme cryptographique de façon à changer la valeur d'un résultat intermédiaire, à traiter la différence obtenue entre le message chiffré
normalement et le message chiffré avec erreur et à en déduire des informations sur la clé secrète de l'entité électronique. Les erreurs sont très faciles à
produire sur une carte à microcircuit, en intervenant sur l'environnement extérieur, par exemple en provoquant un pic de tension, en soumettant la carte à un éclair lumineux (notamment à l'aide d'un faisceau laser), en faisant varier brutalement la fréquence de l'horloge extérieure, etc...
Parmi les algorithmes les plus utilisés, on peut citer le DES (Data Encryption Standard, en anglais) et surtout I'AES (Advanced Encryption Standard, en anglais). On rappelle que les deux algorithmes AES et DES ont en commun d'appliquer à un message d'entrée une succession de groupes d'opérations dits "rounds" sous le contrôle d'une série de sous-clés respectives, successivement élaborées à partir d'une clé initiale secrète, spécifique de l'entité
électronique considérée. C'est cette clé initiale (notée K ci-après) que le fraudeur tente de reconstituer. Une partie de l'algorithme est consacrée à
l'élaboration des sous-clés en mettant en oeuvre un processus d'extension de clé par une fonction F, non linéaire dans le cas de l'AES. La fonction est appliquée à ladite clé
initiale, puis à nouveau au résultat de l'application de ladite fonction et ainsi de suite. Les sous-clés sont élaborées à partir de cette succession de résultats intermédiaires issus de la clé initiale K.
Jusqu'à présent, les attaques de type DFA sont considérées comme inexploitables en pratique vis-à-vis de l'algorithme de type AES. Cependant, des études à l'origine de l'invention ont permis de mettre en évidence qu'une triple
2 attaque du type DFA, en synchronisme avec certaines applications de la fonction F et le début du dernier "round", permet de retrouver tous les octets de la dernière sous-clé dans le cas où ladite clé d'entrée K est codée sur 128 bits, ce qui est actuellement le cas pour la plupart des systèmes où l'algorithme AES
est utilisé. La connaissance de ces informations permet de retrouver la clé
d'entrée.
L'invention offre une parade simple et efficace à ce type d'attaque.
L'invention concerne un procédé de sécurisation d'une entité électronique à
accès crypté, exécutant un algorithme cryptographique consistant à appliquer à un message d'entrée une succession de groupes d'opérations faisant intervenir une série de sous-clés respectives, successivement élaborées par un processus itératif mis en oeuvre à partir d'une clé initiale, le procédé comprenant une mise en oeuvre d'étapes dudit processus itératif de façon à obtenir un résultat d'une étape intermédiaire, comprenant une mémorisation dans ladite entité éléctronique du résultat de ladite étape intermédiaire, une répétition d'au moins une partie des étapes dudit processus itératif jusqu'à un recalcul d'un résultat correspondant à
celui qui a été mémorisé à l'étape de mémorisation, une comparaison de la valeur dudit résultat mémorisé à la valeur du résultat recalculé correspondant et une interdiction d'une diffusion d'un message crypté résultant d'une mise en oeuvre dudit algorithme si ces deux valeurs sont différentes.
L'invention concerne également une entité électronique autonome exécutant un algorithme cryptographique consistant à appliquer à un message d'entrée une succession de groupes d'opérations faisant intervenir une série de sous-clés respectives, successivement élaborées par un processus itératif mis en oeuvre à
partir d'une clé initiale, l'entité électronique comprenant des moyens pour effectuer une mise en oeuvre dudit processus itératif de façon à obtenir un résultat d'une étape intermédiaire, comprenant des moyens pour effectuer une mémorisation dans ladite entité électronique du résultat de ladite étape intermédiaire, des moyens pour effectuer une répétition d'au moins une partie des étapes dudit processus itératif jusqu'à un recalcul d'un résultat correspondant à celui 2a qui a été mémorisé par les moyens pour effectuer une mémorisation, des moyens pour effectuer une comparaison de la valeur dudit résultat mémorisé à la valeur du résultat recalculé correspondant et des moyens pour effectuer une interdiction d'une diffusion d'un message crypté résultant d'une mise en oeuvre dudit algorithme si ces deux valeurs sont différentes.
En effet, si une erreur, due à une attaque DFA, intervient pendant le processus itératif d'élaboration des sous-clés, alors le résultat mémorisé et le résultat recalculé correspondant sont forcément différents car il est impossible de reproduire deux fois de suite la même "erreur" dans la pratique.
lo Par exemple, un résultat mémorisé, dit résultat intermédiaire, peut être l'une des étapes du processus dit de diversification de clé consistant à
appliquer une fonction F non linéaire au résultat de l'étape analogue précédente. On peut aussi mémoriser l'une des sous-clés et recalculer cette sous-clé à partir d'une étape antérieure dudit processus itératif. Par exemple, on mémorise la dernière sous-clé.
L'invention sera mieux comprise et d'autres avantages de celle-ci apparaîtront plus clairement à la lumière de la description qui va suivre, donnée uniquement à titre d'exemple et faite en référence aux dessins annexés dans lesquels :
est utilisé. La connaissance de ces informations permet de retrouver la clé
d'entrée.
L'invention offre une parade simple et efficace à ce type d'attaque.
L'invention concerne un procédé de sécurisation d'une entité électronique à
accès crypté, exécutant un algorithme cryptographique consistant à appliquer à un message d'entrée une succession de groupes d'opérations faisant intervenir une série de sous-clés respectives, successivement élaborées par un processus itératif mis en oeuvre à partir d'une clé initiale, le procédé comprenant une mise en oeuvre d'étapes dudit processus itératif de façon à obtenir un résultat d'une étape intermédiaire, comprenant une mémorisation dans ladite entité éléctronique du résultat de ladite étape intermédiaire, une répétition d'au moins une partie des étapes dudit processus itératif jusqu'à un recalcul d'un résultat correspondant à
celui qui a été mémorisé à l'étape de mémorisation, une comparaison de la valeur dudit résultat mémorisé à la valeur du résultat recalculé correspondant et une interdiction d'une diffusion d'un message crypté résultant d'une mise en oeuvre dudit algorithme si ces deux valeurs sont différentes.
L'invention concerne également une entité électronique autonome exécutant un algorithme cryptographique consistant à appliquer à un message d'entrée une succession de groupes d'opérations faisant intervenir une série de sous-clés respectives, successivement élaborées par un processus itératif mis en oeuvre à
partir d'une clé initiale, l'entité électronique comprenant des moyens pour effectuer une mise en oeuvre dudit processus itératif de façon à obtenir un résultat d'une étape intermédiaire, comprenant des moyens pour effectuer une mémorisation dans ladite entité électronique du résultat de ladite étape intermédiaire, des moyens pour effectuer une répétition d'au moins une partie des étapes dudit processus itératif jusqu'à un recalcul d'un résultat correspondant à celui 2a qui a été mémorisé par les moyens pour effectuer une mémorisation, des moyens pour effectuer une comparaison de la valeur dudit résultat mémorisé à la valeur du résultat recalculé correspondant et des moyens pour effectuer une interdiction d'une diffusion d'un message crypté résultant d'une mise en oeuvre dudit algorithme si ces deux valeurs sont différentes.
En effet, si une erreur, due à une attaque DFA, intervient pendant le processus itératif d'élaboration des sous-clés, alors le résultat mémorisé et le résultat recalculé correspondant sont forcément différents car il est impossible de reproduire deux fois de suite la même "erreur" dans la pratique.
lo Par exemple, un résultat mémorisé, dit résultat intermédiaire, peut être l'une des étapes du processus dit de diversification de clé consistant à
appliquer une fonction F non linéaire au résultat de l'étape analogue précédente. On peut aussi mémoriser l'une des sous-clés et recalculer cette sous-clé à partir d'une étape antérieure dudit processus itératif. Par exemple, on mémorise la dernière sous-clé.
L'invention sera mieux comprise et d'autres avantages de celle-ci apparaîtront plus clairement à la lumière de la description qui va suivre, donnée uniquement à titre d'exemple et faite en référence aux dessins annexés dans lesquels :
3 - la figure 1 est un schéma d'une entité électronique telle qu'une carte à
microcircuit, susceptible de mettre en oeuvre le procédé de l'invention ;
- la figure 2 est un organigramme illustrant l'algorithme dit AES ;
- la figure 3 est un organigramme illustrant la mise en oeuvre de l'invention à titre de complément dans l'exécution de I'AES ; et - la figure 4 est un organigramme illustrant l'algorithme DES auquel l'invention peut aussi s'appliquer.
Sur la figure 1, on a représenté une entité électronique 11, formant ici une carte à microcircuit avec ses composants essentiels, à savoir un ensemble de plages de contact 12, métalliques, permettant de connecter le microcircuit 13 contenu dans la carte à un lecteur de carte, serveur ou analogue avec lequel ladite carte à microcircuit va pouvoir échanger des informations après une phase d'authentification mettant en oeuvre un algorithme connu à clé secrète, par exemple l'algorithme AES ou l'algorithme DES. Classiquement, le microcircuit se décompose en un microprocesseur 14, dont certains accès sont connectés aux plages de contact, et une mémoire M couplée au microprocesseur. Lorsque la carte est couplée à une unité extérieure pour remplir une fonction donnée (transaction financière, accès à un service téléphonique ou télématique, contrôle d'accès, etc...), une phase d'authentification est mise en oeuvre dans la carte.
Ce processus est programmé dans le microcircuit 13 et une partie de la mémoire M lui est dédiée.
Par exemple, la phase d'authentification met en oeuvre un algorithme AES
dont le fonctionnement va être rappelé en référence à la figure 2.
L'algorithme AES s'opère à partir d'un message d'entrée ME transmis en clair par l'unité
extérieure à laquelle l'entité électronique se trouve couplée. L'entité 11 possède aussi une clé secrète K, mémorisée, et l'algorithme consiste à transformer le message ME jusqu'à obtenir un message chiffré MC à la suite d'un certain nombre de transformations opérées avec intervention d'un certain nombre de sous-clés K0, KI, K2, ..., Kn_1, Kn. D'autre part, une fonction non linéaire F
est programmée dans l'entité électronique pour s'appliquer successivement, d'abord à la clé K, puis au résultat RI la transformation de la clé K par la fonction F, puis au résultat R2 de la transformation du résultat RI par la même fonction F et ainsi de suite. Les différentes sous-clés Ko ... Kn sont extraites de ce processus
microcircuit, susceptible de mettre en oeuvre le procédé de l'invention ;
- la figure 2 est un organigramme illustrant l'algorithme dit AES ;
- la figure 3 est un organigramme illustrant la mise en oeuvre de l'invention à titre de complément dans l'exécution de I'AES ; et - la figure 4 est un organigramme illustrant l'algorithme DES auquel l'invention peut aussi s'appliquer.
Sur la figure 1, on a représenté une entité électronique 11, formant ici une carte à microcircuit avec ses composants essentiels, à savoir un ensemble de plages de contact 12, métalliques, permettant de connecter le microcircuit 13 contenu dans la carte à un lecteur de carte, serveur ou analogue avec lequel ladite carte à microcircuit va pouvoir échanger des informations après une phase d'authentification mettant en oeuvre un algorithme connu à clé secrète, par exemple l'algorithme AES ou l'algorithme DES. Classiquement, le microcircuit se décompose en un microprocesseur 14, dont certains accès sont connectés aux plages de contact, et une mémoire M couplée au microprocesseur. Lorsque la carte est couplée à une unité extérieure pour remplir une fonction donnée (transaction financière, accès à un service téléphonique ou télématique, contrôle d'accès, etc...), une phase d'authentification est mise en oeuvre dans la carte.
Ce processus est programmé dans le microcircuit 13 et une partie de la mémoire M lui est dédiée.
Par exemple, la phase d'authentification met en oeuvre un algorithme AES
dont le fonctionnement va être rappelé en référence à la figure 2.
L'algorithme AES s'opère à partir d'un message d'entrée ME transmis en clair par l'unité
extérieure à laquelle l'entité électronique se trouve couplée. L'entité 11 possède aussi une clé secrète K, mémorisée, et l'algorithme consiste à transformer le message ME jusqu'à obtenir un message chiffré MC à la suite d'un certain nombre de transformations opérées avec intervention d'un certain nombre de sous-clés K0, KI, K2, ..., Kn_1, Kn. D'autre part, une fonction non linéaire F
est programmée dans l'entité électronique pour s'appliquer successivement, d'abord à la clé K, puis au résultat RI la transformation de la clé K par la fonction F, puis au résultat R2 de la transformation du résultat RI par la même fonction F et ainsi de suite. Les différentes sous-clés Ko ... Kn sont extraites de ce processus
4 d'extension de la clé K par la fonction F. Plus précisément, on sait que la clé K
peut être un mot de 128 bits, 192 bits ou 256 bits. Le message d'entrée ME est un mot de 128 bits. Toutes les combinaisons sont possibles et l'homme du métier choisit la combinaison qui représente le meilleur compromis, compte tenu du contexte, entre la rapidité d'exécution et le niveau de sécurité requis.
Actuellement cependant, la plupart des algorithmes AES effectivement mis en oeuvre font appel à une clé K de 128 bits. Les sous-clés Ko ... Kn doivent être au format du message d'entrée. C'est pourquoi, chaque sous-clé est créée à partir d'un ou deux résultats successifs élaborés au cours du processus d'extension de clé par la fonction F. Dans l'exemple décrit, la clé K est codée sur 192 bits.
Par conséquent, la sous-clé Ko est extraite des deux premiers tiers de la clé K, la sous-clé KI est extraite de l'autre tiers de la clé K et du premiers tiers du résultat intermédiaire RI de la première transformation de cette clé par la fonction F, la sous-clé K2 est extraite des deux derniers tiers du résultat intermédiaire RI, et ainsi de suite jusqu'à l'élaboration de la dernière sous-clé Kn.
Du côté du traitement du message d'entrée, les opérations sont les suivantes. Ledit message d'entrée ME est combiné à la sous-clé Ko par une fonction ou exclusif 16. Après quoi, le résultat est soumis à un groupe d'opérations (appelé ici ROUND 1) avec intervention de la sous-clé KI. Puis, le résultat est soumis à nouveau à un groupe d'opérations dit ROUND 2 avec intervention de la sous-clé K2, jusqu'à ROUND,_,, dit dernier ROUND, avec intervention de la sous-clé Kn_1. Tous les "ROUNDS", de 1 à n-1, sont composés de quatre transformations. Un ROUND,,, dit ROUND final avec intervention de la sous-clé Kn comporte seulement trois transformations. Le résultat de ce round final est un message chiffré MC qui est renvoyé vers l'extérieur.
A la base de l'invention, on a mis en évidence que, si on est capable de provoquer des perturbations comme indiqué à des moments précis du déroulement de l'algorithme AES décrit ci-dessus, on peut retrouver tous les octets d'une sous-clé et plus particulièrement selon l'exemple, de la dernière sous-clé Kn de la façon suivante :
- si on provoque la perturbation au moment de l'application de la dernière fonction F, on arrive à retrouver des informations sur l'avant-dernière extension de la clé par la fonction F, à savoir les quatre derniers octets de l'avant-dernier résultat Rn,-i .
- si on parvient aussi à produire une perturbation au moment de l'exécution de l'avant-dernière extension par la fonction F, on peut retrouver les
peut être un mot de 128 bits, 192 bits ou 256 bits. Le message d'entrée ME est un mot de 128 bits. Toutes les combinaisons sont possibles et l'homme du métier choisit la combinaison qui représente le meilleur compromis, compte tenu du contexte, entre la rapidité d'exécution et le niveau de sécurité requis.
Actuellement cependant, la plupart des algorithmes AES effectivement mis en oeuvre font appel à une clé K de 128 bits. Les sous-clés Ko ... Kn doivent être au format du message d'entrée. C'est pourquoi, chaque sous-clé est créée à partir d'un ou deux résultats successifs élaborés au cours du processus d'extension de clé par la fonction F. Dans l'exemple décrit, la clé K est codée sur 192 bits.
Par conséquent, la sous-clé Ko est extraite des deux premiers tiers de la clé K, la sous-clé KI est extraite de l'autre tiers de la clé K et du premiers tiers du résultat intermédiaire RI de la première transformation de cette clé par la fonction F, la sous-clé K2 est extraite des deux derniers tiers du résultat intermédiaire RI, et ainsi de suite jusqu'à l'élaboration de la dernière sous-clé Kn.
Du côté du traitement du message d'entrée, les opérations sont les suivantes. Ledit message d'entrée ME est combiné à la sous-clé Ko par une fonction ou exclusif 16. Après quoi, le résultat est soumis à un groupe d'opérations (appelé ici ROUND 1) avec intervention de la sous-clé KI. Puis, le résultat est soumis à nouveau à un groupe d'opérations dit ROUND 2 avec intervention de la sous-clé K2, jusqu'à ROUND,_,, dit dernier ROUND, avec intervention de la sous-clé Kn_1. Tous les "ROUNDS", de 1 à n-1, sont composés de quatre transformations. Un ROUND,,, dit ROUND final avec intervention de la sous-clé Kn comporte seulement trois transformations. Le résultat de ce round final est un message chiffré MC qui est renvoyé vers l'extérieur.
A la base de l'invention, on a mis en évidence que, si on est capable de provoquer des perturbations comme indiqué à des moments précis du déroulement de l'algorithme AES décrit ci-dessus, on peut retrouver tous les octets d'une sous-clé et plus particulièrement selon l'exemple, de la dernière sous-clé Kn de la façon suivante :
- si on provoque la perturbation au moment de l'application de la dernière fonction F, on arrive à retrouver des informations sur l'avant-dernière extension de la clé par la fonction F, à savoir les quatre derniers octets de l'avant-dernier résultat Rn,-i .
- si on parvient aussi à produire une perturbation au moment de l'exécution de l'avant-dernière extension par la fonction F, on peut retrouver les
5 quatre octets voisins de Rm_1.
- si on provoque une perturbation sur le début du dernier round (ROUNDn_1), on arrive à retrouver 8 octets de la dernière extension de clé par la fonction F, c'est-à-dire Rm. Ces octets appartiennent à la sous-clé K.
- en traitant les résultats précédents, on arrive encore à retrouver six octets de plus répartis dans la dernière extension de clé R. par la fonction F.
Ces octets appartiennent aussi à la sous-clé Kn.
Pour retrouver les deux derniers octets de la sous-clé K, il est envisageable d'étudier toutes les possibilités jusqu'à retrouver ces deux derniers octets. Par conséquent, si la clé K avait été codée sur 128 bits, elle aurait pu être retrouvée à coup sûr par la seule mise en oeuvre de l'attaque décrite ci-dessus.
On rappelle que dans la majorité des algorithmes AES mis en oeuvre actuellement, la clé K est effectivement codée sur 128 bits et il n'y a pas de différence entre les résultats intermédiaires RI, R2 ... Rm et les sous-clés KI, K2 ... Kn (dans ce cas, n = m) puisque chaque sous-clé est constituée de la totalité
d'un résultat intermédiaire R; correspondant. Dans l'exemple décrit cependant, la clé K a été codée sur 192 bits et l'attaque qui a été décrite dans ses grandes lignes ci-dessus ne permet pas de retrouver la clé puisque le résultat Rm n'est pas entièrement connu. On ne peut donc pas "remonter" jusqu'à la clé K à
partir de ce résultat incomplètement connu. Cependant, on a affaibli considérablement la sécurité puisqu'on dispose d'informations partielles sur la clé, ce qui rend plus efficaces d'autres attaques (par exemple du type DPA) connues en soi.
Quoi qu'il en soit, la parade à ce type d'attaque consiste à mémoriser un résultat intermédiaire R;, par exemple Rm, ou une sous-clé, par exemple ici la dernière sous-clé Kn, à refaire au moins une partie des étapes d'élaboration de la succession desdites sous-clés, c'est-à-dire essentiellement le processus d'extension de clé par la fonction F, jusqu'au recalcul d'un résultat correspondant à celui qui a été mémorisé. A partir de ce moment, on dispose de deux valeurs (de résultat intermédiaire ou de sous-clé) qui doivent être identiques si l'entité
- si on provoque une perturbation sur le début du dernier round (ROUNDn_1), on arrive à retrouver 8 octets de la dernière extension de clé par la fonction F, c'est-à-dire Rm. Ces octets appartiennent à la sous-clé K.
- en traitant les résultats précédents, on arrive encore à retrouver six octets de plus répartis dans la dernière extension de clé R. par la fonction F.
Ces octets appartiennent aussi à la sous-clé Kn.
Pour retrouver les deux derniers octets de la sous-clé K, il est envisageable d'étudier toutes les possibilités jusqu'à retrouver ces deux derniers octets. Par conséquent, si la clé K avait été codée sur 128 bits, elle aurait pu être retrouvée à coup sûr par la seule mise en oeuvre de l'attaque décrite ci-dessus.
On rappelle que dans la majorité des algorithmes AES mis en oeuvre actuellement, la clé K est effectivement codée sur 128 bits et il n'y a pas de différence entre les résultats intermédiaires RI, R2 ... Rm et les sous-clés KI, K2 ... Kn (dans ce cas, n = m) puisque chaque sous-clé est constituée de la totalité
d'un résultat intermédiaire R; correspondant. Dans l'exemple décrit cependant, la clé K a été codée sur 192 bits et l'attaque qui a été décrite dans ses grandes lignes ci-dessus ne permet pas de retrouver la clé puisque le résultat Rm n'est pas entièrement connu. On ne peut donc pas "remonter" jusqu'à la clé K à
partir de ce résultat incomplètement connu. Cependant, on a affaibli considérablement la sécurité puisqu'on dispose d'informations partielles sur la clé, ce qui rend plus efficaces d'autres attaques (par exemple du type DPA) connues en soi.
Quoi qu'il en soit, la parade à ce type d'attaque consiste à mémoriser un résultat intermédiaire R;, par exemple Rm, ou une sous-clé, par exemple ici la dernière sous-clé Kn, à refaire au moins une partie des étapes d'élaboration de la succession desdites sous-clés, c'est-à-dire essentiellement le processus d'extension de clé par la fonction F, jusqu'au recalcul d'un résultat correspondant à celui qui a été mémorisé. A partir de ce moment, on dispose de deux valeurs (de résultat intermédiaire ou de sous-clé) qui doivent être identiques si l'entité
6 électronique n'a été soumise à aucune attaque du type DFA. Il suffit de comparer la valeur du résultat ou sous-clé mémorisé à la valeur du résultat ou sous-clé
recalculé correspondant et interdire la diffusion du message crypté MC issu du ROUND final si ces deux valeurs sont différentes. C'est ce qu'illustre la figure 3 où l'algorithme AES est complété (selon un mode de réalisation) en refaisant la totalité des étapes d'élaboration de la succession desdites sous-clés et plus particulièrement du processus d'extension de la clé K. Selon cet exemple, l'algorithme AES décrit en référence à la figure 2 est exécuté une première fois, le résultat est un message crypté MC. La dernière sous-clé Kn est mémorisée.
Ensuite, on refait tout le processus d'extension de clé par la fonction F à
partir de la clé K secrète de l'entité. Ceci aboutit à déterminer une nouvelle valeur de Kn.
La valeur précédemment mémorisée et la nouvelle valeur sont comparées (test d'égalité). Si les deux valeurs sont égales, on autorise la sortie du message MC.
Si les deux valeurs ne coïncident pas, la valeur MC n'est pas retransmise à
l'extérieur et on peut émettre un message d'erreur.
Dans l'exemple qui vient d'être décrit, on refait la totalité du processus d'extension de clé jusqu'à obtenir le nouveau calcul de la dernière sous-clé
K.
Comme on l'a vu plus haut, on peut mémoriser un résultat intermédiaire R; ou sous-clé, quelconque et refaire au moins une partie des étapes d'élaboration de la succession des sous-clés jusqu'au recalcul d'un résultat intermédiaire ou sous-clé correspondant à celui qui a été mémorisé. D'une façon générale, on a avantage, si on ne refait pas la totalité du cycle d'extension de clé par la fonction F, à refaire au moins une partie finale des étapes d'élaboration de la succession desdites sous-clés, c'est-à-dire plus particulièrement une partie finale du processus d'extension de clé par la fonction F, jusqu'à obtenir un second calcul du dernier résultat intermédiaire Rn, ou de la dernière sous-clé.
Si on ne refait pas l'intégralité du processus itératif d'extension de clé (à
partir de la clé K), il faut évidemment mémoriser le résultat intermédiaire (ou la sous-clé) d'où on repart.
L'invention n'est pas limitée à la sécurisation de l'algorithme AES. A titre d'exemple, l'algorithme DES, également connu, est décrit à la figure 4.
Brièvement, dans cet algorithme, le processus d'extension de la clé K est le suivant. La clé K (64 bits) est soumise à une permutation P1 sur les bits et
recalculé correspondant et interdire la diffusion du message crypté MC issu du ROUND final si ces deux valeurs sont différentes. C'est ce qu'illustre la figure 3 où l'algorithme AES est complété (selon un mode de réalisation) en refaisant la totalité des étapes d'élaboration de la succession desdites sous-clés et plus particulièrement du processus d'extension de la clé K. Selon cet exemple, l'algorithme AES décrit en référence à la figure 2 est exécuté une première fois, le résultat est un message crypté MC. La dernière sous-clé Kn est mémorisée.
Ensuite, on refait tout le processus d'extension de clé par la fonction F à
partir de la clé K secrète de l'entité. Ceci aboutit à déterminer une nouvelle valeur de Kn.
La valeur précédemment mémorisée et la nouvelle valeur sont comparées (test d'égalité). Si les deux valeurs sont égales, on autorise la sortie du message MC.
Si les deux valeurs ne coïncident pas, la valeur MC n'est pas retransmise à
l'extérieur et on peut émettre un message d'erreur.
Dans l'exemple qui vient d'être décrit, on refait la totalité du processus d'extension de clé jusqu'à obtenir le nouveau calcul de la dernière sous-clé
K.
Comme on l'a vu plus haut, on peut mémoriser un résultat intermédiaire R; ou sous-clé, quelconque et refaire au moins une partie des étapes d'élaboration de la succession des sous-clés jusqu'au recalcul d'un résultat intermédiaire ou sous-clé correspondant à celui qui a été mémorisé. D'une façon générale, on a avantage, si on ne refait pas la totalité du cycle d'extension de clé par la fonction F, à refaire au moins une partie finale des étapes d'élaboration de la succession desdites sous-clés, c'est-à-dire plus particulièrement une partie finale du processus d'extension de clé par la fonction F, jusqu'à obtenir un second calcul du dernier résultat intermédiaire Rn, ou de la dernière sous-clé.
Si on ne refait pas l'intégralité du processus itératif d'extension de clé (à
partir de la clé K), il faut évidemment mémoriser le résultat intermédiaire (ou la sous-clé) d'où on repart.
L'invention n'est pas limitée à la sécurisation de l'algorithme AES. A titre d'exemple, l'algorithme DES, également connu, est décrit à la figure 4.
Brièvement, dans cet algorithme, le processus d'extension de la clé K est le suivant. La clé K (64 bits) est soumise à une permutation P1 sur les bits et
7 réduite à 56 bits. Le résultat est un mot 20 partagé en deux parties de 28 bits.
Chacune d'elles est soumise à une permutation R (rotation circulaire sur les bits) de 1 ou 2 bits selon les cas. Les deux résultats sont rassemblés pour former un nouveau mot 21 de 56 bits soumis à une nouvelle permutation P2 et concaténé
à 48 bits pour donner une sous-clé K1. Par ailleurs, le mot 21 de 56 bits est traité
de façon à subir deux rotations circulaires R pour aboutir à un nouveau mot 22, à
nouveau soumis à la permutation P2 pour engendrer une sous-clé K2 et ainsi de suite jusqu'à K16. Par ailleurs, le message d'entrée ME de 64 bits subit les transformations suivantes. Il est d'abord soumis à une permutation P3 sur les bits et le résultat est soumis à des fonctions constituant le ROUND 1 faisant intervenir la sous-clé K1. On met ensuite en oeuvre d'autres rounds successifs faisant intervenir d'autres sous-clés correspondantes (jusqu'à la sous-clé
K16) et le résultat du dernier round est soumis à une permutation inverse P3". Le résultat de cette permutation inverse est le message chiffré MC destiné à être renvoyé.
On conçoit que la structure générale de l'algorithme DES qui vient d'être rappelée ci-dessus se prête bien à la mise en oeuvre de l'invention. Il suffit par exemple de mémoriser la sous-clé KI 6 et de refaire tout ou partie du processus de diversification de la clé K composé de la permutation P1 et des rotations R.
Le test peut même être réalisé sur la valeur du dernier résultat intermédiaire (mot 36) avant la dernière permutation P2. Dans ce cas, c'est ce dernier résultat qui est mémorisé et non pas la sous-clé K16.
Bien entendu, l'invention concerne aussi toute entité électronique, notamment toute carte à microcircuit, comportant des moyens de mise en oeuvre du procédé décrit ci-dessus.
Chacune d'elles est soumise à une permutation R (rotation circulaire sur les bits) de 1 ou 2 bits selon les cas. Les deux résultats sont rassemblés pour former un nouveau mot 21 de 56 bits soumis à une nouvelle permutation P2 et concaténé
à 48 bits pour donner une sous-clé K1. Par ailleurs, le mot 21 de 56 bits est traité
de façon à subir deux rotations circulaires R pour aboutir à un nouveau mot 22, à
nouveau soumis à la permutation P2 pour engendrer une sous-clé K2 et ainsi de suite jusqu'à K16. Par ailleurs, le message d'entrée ME de 64 bits subit les transformations suivantes. Il est d'abord soumis à une permutation P3 sur les bits et le résultat est soumis à des fonctions constituant le ROUND 1 faisant intervenir la sous-clé K1. On met ensuite en oeuvre d'autres rounds successifs faisant intervenir d'autres sous-clés correspondantes (jusqu'à la sous-clé
K16) et le résultat du dernier round est soumis à une permutation inverse P3". Le résultat de cette permutation inverse est le message chiffré MC destiné à être renvoyé.
On conçoit que la structure générale de l'algorithme DES qui vient d'être rappelée ci-dessus se prête bien à la mise en oeuvre de l'invention. Il suffit par exemple de mémoriser la sous-clé KI 6 et de refaire tout ou partie du processus de diversification de la clé K composé de la permutation P1 et des rotations R.
Le test peut même être réalisé sur la valeur du dernier résultat intermédiaire (mot 36) avant la dernière permutation P2. Dans ce cas, c'est ce dernier résultat qui est mémorisé et non pas la sous-clé K16.
Bien entendu, l'invention concerne aussi toute entité électronique, notamment toute carte à microcircuit, comportant des moyens de mise en oeuvre du procédé décrit ci-dessus.
Claims (9)
1. Procédé de sécurisation d'une entité électronique à accès crypté, exécutant un algorithme cryptographique consistant à appliquer à un message d'entrée une succession de groupes d'opérations faisant intervenir une série de sous-clés respectives, successivement élaborées par un processus itératif mis en oeuvre à
partir d'une clé initiale, le procédé comprenant une mise en oeuvre d'étapes dudit processus itératif de façon à obtenir un résultat d'une étape intermédiaire, comprenant une mémorisation dans ladite entité éléctronique du résultat de ladite étape intermédiaire, une répétition d'au moins une partie des étapes dudit processus itératif jusqu'à un recalcul d'un résultat correspondant à celui qui a été
mémorisé à l'étape de mémorisation, une comparaison de la valeur dudit résultat mémorisé à la valeur du résultat recalculé correspondant et une interdiction d'une diffusion d'un message crypté résultant d'une mise en oeuvre dudit algorithme si ces deux valeurs sont différentes.
partir d'une clé initiale, le procédé comprenant une mise en oeuvre d'étapes dudit processus itératif de façon à obtenir un résultat d'une étape intermédiaire, comprenant une mémorisation dans ladite entité éléctronique du résultat de ladite étape intermédiaire, une répétition d'au moins une partie des étapes dudit processus itératif jusqu'à un recalcul d'un résultat correspondant à celui qui a été
mémorisé à l'étape de mémorisation, une comparaison de la valeur dudit résultat mémorisé à la valeur du résultat recalculé correspondant et une interdiction d'une diffusion d'un message crypté résultant d'une mise en oeuvre dudit algorithme si ces deux valeurs sont différentes.
2. Procédé selon la revendication 1, caractérisé en ce qu'il consiste à
mémoriser la valeur d'une sous-clé et à refaire au moins une partie des étapes dudit processus itératif jusqu'au recalcul d'une sous-clé correspondant à
ladite sous-clé mémorisée.
mémoriser la valeur d'une sous-clé et à refaire au moins une partie des étapes dudit processus itératif jusqu'au recalcul d'une sous-clé correspondant à
ladite sous-clé mémorisée.
3. Procédé selon la revendication 1, caractérisé en ce qu'il consiste à
mémoriser la valeur d'un résultat intermédiaire dudit processus itératif et à
refaire au moins une partie dudit processus itératif jusqu'au recalcul d'un résultat intermédiaire correspondant à celui qui a été mémorisé.
mémoriser la valeur d'un résultat intermédiaire dudit processus itératif et à
refaire au moins une partie dudit processus itératif jusqu'au recalcul d'un résultat intermédiaire correspondant à celui qui a été mémorisé.
4. Procédé selon la revendication 2, caractérisé en ce qu'il consiste à
mémoriser la valeur de la dernière sous-clé et à refaire au moins une partie finale des étapes d'élaboration de la succession desdites sous-clés jusqu'à obtenir un second calcul de ladite dernière sous-clé.
mémoriser la valeur de la dernière sous-clé et à refaire au moins une partie finale des étapes d'élaboration de la succession desdites sous-clés jusqu'à obtenir un second calcul de ladite dernière sous-clé.
5. Procédé selon la revendication 4, caractérisé en ce qu'il consiste à
refaire la totalité des étapes d'élaboration de la succession desdites sous-clés.
refaire la totalité des étapes d'élaboration de la succession desdites sous-clés.
6. Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce qu'il s'applique à un algorithme AES.
7. Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en ce qu'il s'applique à un algorithme DES.
8. Entité électronique autonome exécutant un algorithme cryptographique consistant à appliquer à un message d'entrée une succession de groupes d'opérations faisant intervenir une série de sous-clés respectives, successivement élaborées par un processus itératif mis en oeuvre à partir d'une clé initiale, l'entité
électronique comprenant des moyens pour effectuer une mise en oeuvre dudit processus itératif de façon à obtenir un résultat d'une étape intermédiaire, comprenant des moyens pour effectuer une mémorisation dans ladite entité
électronique du résultat de ladite étape intermédiaire, des moyens pour effectuer une répétition d'au moins une partie des étapes dudit processus itératif jusqu'à un recalcul d'un résultat correspondant à celui qui a été mémorisé par les moyens pour effectuer une mémorisation, des moyens pour effectuer une comparaison de la valeur dudit résultat mémorisé à la valeur du résultat recalculé
correspondant et des moyens pour effectuer une interdiction d'une diffusion d'un message crypté
résultant d'une mise en oeuvre dudit algorithme si ces deux valeurs sont différentes.
électronique comprenant des moyens pour effectuer une mise en oeuvre dudit processus itératif de façon à obtenir un résultat d'une étape intermédiaire, comprenant des moyens pour effectuer une mémorisation dans ladite entité
électronique du résultat de ladite étape intermédiaire, des moyens pour effectuer une répétition d'au moins une partie des étapes dudit processus itératif jusqu'à un recalcul d'un résultat correspondant à celui qui a été mémorisé par les moyens pour effectuer une mémorisation, des moyens pour effectuer une comparaison de la valeur dudit résultat mémorisé à la valeur du résultat recalculé
correspondant et des moyens pour effectuer une interdiction d'une diffusion d'un message crypté
résultant d'une mise en oeuvre dudit algorithme si ces deux valeurs sont différentes.
9. Entité électronique selon la revendication 8, caractérisée en ce qu'elle est agencée sous forme de carte à microcircuit.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0204341A FR2838262B1 (fr) | 2002-04-08 | 2002-04-08 | Procede de securisation d'une electronique a acces crypte |
| FR02/04341 | 2002-04-08 | ||
| PCT/FR2003/001032 WO2003085881A1 (fr) | 2002-04-08 | 2003-04-02 | Procede de securisation d'une entite electronique a acces crypte |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CA2480896A1 CA2480896A1 (fr) | 2003-10-16 |
| CA2480896C true CA2480896C (fr) | 2012-10-30 |
Family
ID=28052188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CA2480896A Expired - Lifetime CA2480896C (fr) | 2002-04-08 | 2003-04-02 | Procede de securisation d'une entite electronique a acces crypte |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US7796750B2 (fr) |
| EP (1) | EP1493242A1 (fr) |
| JP (2) | JP2005522912A (fr) |
| AU (1) | AU2003260714A1 (fr) |
| CA (1) | CA2480896C (fr) |
| FR (1) | FR2838262B1 (fr) |
| WO (1) | WO2003085881A1 (fr) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2838262B1 (fr) * | 2002-04-08 | 2004-07-30 | Oberthur Card Syst Sa | Procede de securisation d'une electronique a acces crypte |
| DE10328860B4 (de) * | 2003-06-26 | 2008-08-07 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Verschlüsseln von Daten |
| US7937595B1 (en) * | 2003-06-27 | 2011-05-03 | Zoran Corporation | Integrated encryption/decryption functionality in a digital TV/PVR system-on-chip |
| KR100546375B1 (ko) * | 2003-08-29 | 2006-01-26 | 삼성전자주식회사 | 자체 오류 감지 기능을 강화한 상호 의존적 병렬 연산방식의 하드웨어 암호화 장치 및 그 하드웨어 암호화 방법 |
| DE102004008901A1 (de) * | 2004-02-24 | 2005-09-15 | Giesecke & Devrient Gmbh | Sichere Ergebniswertberechnung |
| FR2867635B1 (fr) * | 2004-03-11 | 2006-09-22 | Oberthur Card Syst Sa | Procede de traitement de donnees securise, base notamment sur un algorithme cryptographique |
| FR2875657B1 (fr) * | 2004-09-22 | 2006-12-15 | Trusted Logic Sa | Procede de securisation de traitements cryptographiques par le biais de leurres. |
| EP1646174A1 (fr) * | 2004-10-07 | 2006-04-12 | Axalto SA | Méthode et appareil pour générer un jeux d'instructions cryptographique automatiquement et génération d'un code |
| KR100817048B1 (ko) | 2005-03-05 | 2008-03-26 | 삼성전자주식회사 | 여러 가지 포인트 표현을 기반으로 한 ecc에서 dfa대책을 위한 암호화 방법 및 장치 |
| US20070019805A1 (en) * | 2005-06-28 | 2007-01-25 | Trustees Of Boston University | System employing systematic robust error detection coding to protect system element against errors with unknown probability distributions |
| KR100850202B1 (ko) | 2006-03-04 | 2008-08-04 | 삼성전자주식회사 | Ecc 패스트 몽고매리 전력 래더 알고리즘을 이용하여dfa 에 대응하는 암호화 방법 |
| US8458790B2 (en) | 2006-10-12 | 2013-06-04 | International Business Machines Corporation | Defending smart cards against attacks by redundant processing |
| EP1998488A1 (fr) * | 2007-05-26 | 2008-12-03 | DSI Informationstechnik GmbH | Chiffrement AES personnalisé |
| ES2366753T3 (es) * | 2007-12-13 | 2011-10-25 | Oberthur Technologies | Método de procesamiento criptográfico de datos, en particular con la ayuda de una caja s, dispositivo y programas asociados. |
| JP5483838B2 (ja) * | 2008-07-08 | 2014-05-07 | ルネサスエレクトロニクス株式会社 | データ処理装置 |
| JP5387144B2 (ja) | 2009-06-01 | 2014-01-15 | ソニー株式会社 | 誤動作発生攻撃検出回路および集積回路 |
| FR2949010A1 (fr) | 2009-08-05 | 2011-02-11 | St Microelectronics Rousset | Procede de contremesure pour proteger des donnees memorisees |
| JP5296217B2 (ja) | 2009-09-24 | 2013-09-25 | 株式会社東芝 | 鍵スケジュール装置および方法 |
| EP2367316B1 (fr) * | 2010-03-12 | 2017-07-05 | STMicroelectronics (Rousset) SAS | Procédé et circuit pour détecter une attaque par injection d'une faute |
| JP5776927B2 (ja) * | 2011-03-28 | 2015-09-09 | ソニー株式会社 | 情報処理装置及び方法、並びにプログラム |
| US9152801B2 (en) | 2012-06-28 | 2015-10-06 | Steven W. Cooke | Cryptographic system of symmetric-key encryption using large permutation vector keys |
| US8897440B2 (en) * | 2012-06-28 | 2014-11-25 | Steven W. Cooke | Cryptographic system of symmetric-key encryption using large permutation vector keys |
| EP2936730B1 (fr) * | 2012-12-21 | 2016-06-15 | Koninklijke Philips N.V. | Dispositif de calcul configuré avec un réseau de tables |
| JP7063628B2 (ja) * | 2018-01-11 | 2022-05-09 | Necプラットフォームズ株式会社 | 暗号化装置、暗号化方法およびプログラム |
| US12034831B2 (en) * | 2022-06-21 | 2024-07-09 | Silicon Laboratories Inc. | Hardware countermeasures against DFA attacks on AES operations |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10154976A (ja) | 1996-11-22 | 1998-06-09 | Toshiba Corp | タンパーフリー装置 |
| WO1998035467A1 (fr) * | 1997-02-07 | 1998-08-13 | Bell Communications Research, Inc. | Procede d'utilisation de defauts transitoires afin de verifier la securite d'un systeme cryptographique |
| US5991415A (en) * | 1997-05-12 | 1999-11-23 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for protecting public key schemes from timing and fault attacks |
| US6182216B1 (en) * | 1997-09-17 | 2001-01-30 | Frank C. Luyster | Block cipher method |
| US6108419A (en) * | 1998-01-27 | 2000-08-22 | Motorola, Inc. | Differential fault analysis hardening apparatus and evaluation method |
| US6219420B1 (en) * | 1998-09-02 | 2001-04-17 | Motorola, Inc. | High assurance encryption system and method |
| US6985581B1 (en) * | 1999-05-06 | 2006-01-10 | Intel Corporation | Method and apparatus to verify circuit operating conditions |
| FR2829331B1 (fr) * | 2001-09-04 | 2004-09-10 | St Microelectronics Sa | Procede de securisation d'une quantite secrete |
| FR2838262B1 (fr) * | 2002-04-08 | 2004-07-30 | Oberthur Card Syst Sa | Procede de securisation d'une electronique a acces crypte |
| TW574660B (en) * | 2002-05-16 | 2004-02-01 | Ind Tech Res Inst | Method targeting at range search and for information search complying with specified rule |
| CN1672352A (zh) * | 2002-05-23 | 2005-09-21 | 爱特梅尔股份有限公司 | 基于先进加密标准(aes)的硬件密码机 |
| US7190791B2 (en) * | 2002-11-20 | 2007-03-13 | Stephen Laurence Boren | Method of encryption using multi-key process to create a variable-length key |
| US7340053B2 (en) * | 2003-07-18 | 2008-03-04 | National Institute Of Information And Communications Technology | Cipher strength estimating device |
| US8065532B2 (en) * | 2004-06-08 | 2011-11-22 | Hrl Laboratories, Llc | Cryptographic architecture with random instruction masking to thwart differential power analysis |
| DE102004062825B4 (de) * | 2004-12-27 | 2006-11-23 | Infineon Technologies Ag | Kryptographische Einheit und Verfahren zum Betreiben einer kryptographischen Einheit |
| US20080298642A1 (en) * | 2006-11-03 | 2008-12-04 | Snowflake Technologies Corporation | Method and apparatus for extraction and matching of biometric detail |
| CN100495961C (zh) * | 2007-11-19 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于分组密码算法的加密处理方法 |
| JP4748227B2 (ja) * | 2009-02-10 | 2011-08-17 | ソニー株式会社 | データ変調装置とその方法 |
-
2002
- 2002-04-08 FR FR0204341A patent/FR2838262B1/fr not_active Expired - Lifetime
-
2003
- 2003-04-02 US US10/510,284 patent/US7796750B2/en active Active
- 2003-04-02 AU AU2003260714A patent/AU2003260714A1/en not_active Abandoned
- 2003-04-02 CA CA2480896A patent/CA2480896C/fr not_active Expired - Lifetime
- 2003-04-02 WO PCT/FR2003/001032 patent/WO2003085881A1/fr active Application Filing
- 2003-04-02 EP EP03740554A patent/EP1493242A1/fr not_active Ceased
- 2003-04-02 JP JP2003582947A patent/JP2005522912A/ja active Pending
-
2010
- 2010-08-09 US US12/852,637 patent/US8180046B2/en not_active Expired - Fee Related
-
2011
- 2011-01-04 JP JP2011000207A patent/JP2011103686A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| FR2838262A1 (fr) | 2003-10-10 |
| US8180046B2 (en) | 2012-05-15 |
| US7796750B2 (en) | 2010-09-14 |
| US20100322421A1 (en) | 2010-12-23 |
| JP2011103686A (ja) | 2011-05-26 |
| CA2480896A1 (fr) | 2003-10-16 |
| EP1493242A1 (fr) | 2005-01-05 |
| WO2003085881A1 (fr) | 2003-10-16 |
| FR2838262B1 (fr) | 2004-07-30 |
| AU2003260714A1 (en) | 2003-10-20 |
| JP2005522912A (ja) | 2005-07-28 |
| US20060104438A1 (en) | 2006-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2480896C (fr) | Procede de securisation d'une entite electronique a acces crypte | |
| EP1064752B1 (fr) | Procede de securisation de donnees mettant en oeuvre un algorithme cryptographique | |
| EP1358733A1 (fr) | Procede securise de calcul cryptographique a cle secrete et composant mettant en oeuvre un tel procede | |
| EP0346180B1 (fr) | Dispositif de communication sécurisée de données | |
| EP1120662B1 (fr) | Procédé pour tester un circuit intégré comportant des parties matérielles et/ou logicielles ayant un caractère de confidentialité | |
| EP1159797B1 (fr) | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete | |
| EP1119940B1 (fr) | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete | |
| EP1122909A1 (fr) | Procédé d'exécution d'un protocole cryptographique entre deux entités électroniques. | |
| EP1198921A2 (fr) | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete | |
| FR2806858A1 (fr) | Procede cryptographique de protection contre la fraude | |
| EP1119939B1 (fr) | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete | |
| EP1387519A2 (fr) | Procédé de sécurisation d'un ensemble électronique contre des attaques par introduction d'erreurs | |
| EP1125394B1 (fr) | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete | |
| EP1180260B1 (fr) | Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete et dynamique | |
| EP1591866B1 (fr) | Contrôle de l'exécution d'un algorithme par un circuit intégré | |
| FR2566155A1 (fr) | Procede et systeme pour chiffrer et dechiffrer des informations transmises entre un dispositif emetteur et un dispositif recepteur | |
| EP3799347B1 (fr) | Sécurisation du chiffrement des et du déchiffrement des inverse | |
| WO2024083855A1 (fr) | Clés cryptographiques en boite blanche | |
| CA2359198C (fr) | Unite de calcul pour l'execution d'un protocole cryptographique | |
| WO2001075821A1 (fr) | Procede de protection d'une puce electronique contre la fraude | |
| FR3135854A1 (fr) | Fourniture sécurisée de clefs pour un cryptage totalement homomorphe | |
| WO2001039466A1 (fr) | Dispositif informatique pour securiser des messages au niveau d'une couche reseau | |
| WO2003069841A1 (fr) | Procede de detection des attaques par mise en defaut contre les algorithmes cryptographiques | |
| FR2984646A1 (fr) | Procede de traitement de donnees et dispositif associe |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EEER | Examination request | ||
| MKEX | Expiry |
Effective date: 20230403 |