DE10328860B4 - Vorrichtung und Verfahren zum Verschlüsseln von Daten - Google Patents

Vorrichtung und Verfahren zum Verschlüsseln von Daten Download PDF

Info

Publication number
DE10328860B4
DE10328860B4 DE10328860A DE10328860A DE10328860B4 DE 10328860 B4 DE10328860 B4 DE 10328860B4 DE 10328860 A DE10328860 A DE 10328860A DE 10328860 A DE10328860 A DE 10328860A DE 10328860 B4 DE10328860 B4 DE 10328860B4
Authority
DE
Germany
Prior art keywords
data
key
encryption
encrypted
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10328860A
Other languages
English (en)
Other versions
DE10328860A1 (de
Inventor
Wieland Dr. Fischer
Jean-Pierre Dr. Seifert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE10328860A priority Critical patent/DE10328860B4/de
Priority to US10/874,687 priority patent/US7450716B2/en
Priority to FR0406759A priority patent/FR2856864B1/fr
Publication of DE10328860A1 publication Critical patent/DE10328860A1/de
Application granted granted Critical
Publication of DE10328860B4 publication Critical patent/DE10328860B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Vorrichtung zum Verschlüsseln von ursprünglichen Daten, mit folgenden Merkmalen:
einer Einrichtung (12) zum Verschlüsseln der ursprünglichen Daten (m) mit einem Verschlüsselungsalgorithmus und einem Verschlüsselungsschlüssel (kV), um verschlüsselte Daten (c) zu erhalten;
einer Einrichtung (14) zum Entschlüsseln der verschlüsselten Daten (c) mit einem Entschlüsselungsalgorithmus, der auf den Verschlüsselungsalgorithmus abgestimmt ist, und einem Entschlüsselungsschlüssel (kE), der auf den Verschlüsselungsschlüssel (kV) abgestimmt ist, um entschlüsselte Daten (m') zu erhalten;
einer Einrichtung (16) zum Berechnen eines Hilfsschlüssel (kV') mit einer Hilfsschlüsselfunktion, wobei die Hilfsschlüsselfunktion ausgebildet ist, um dann, wenn die entschlüsselten Daten (m') in einer vorbestimmten Beziehung zu den ursprünglichen Daten (m) sind, den Verschlüsselungsschlüssel (kV) als Hilfsschlüssel (kV') zu liefern, und um dann, wenn die ursprünglichen Daten (m) nicht in der vorbestimmten Beziehung zu den entschlüsselten Daten (m') sind, einen von dem Verschlüsselungsschlüssel (kV) abweichenden Hilfsschlüssel (kV') zu liefern; und
einer Einrichtung (18) zum Verschlüsseln der entschlüsselten Daten (m')...

Description

  • Die vorliegende Erfindung bezieht sich auf Verschlüsselungstechniken und insbesondere auf Verschlüsselungstechniken, die gegenüber DFA-Attacken sicher sind.
  • In jüngster Zeit hat sich herausgestellt, daß die DFA-Attacke (DFA = Differential Fault Analysis = differentielle Fehleranalyse) eine sehr wirkungsvolle Attacke auf Kryptosysteme darstellt. Insbesondere wurde dargelegt, daß bei RSA-Systemen, bei denen zur modularen Exponentiation der chinesische Restsatz (CRT; CRT = Chinese Remainder Theorem) eingesetzt wird, bereits eine einzige „fehlerhafte" Ausgabe aufgrund einer DFA-Attacke ausreichen kann, um den geheimen Schlüssel beispielsweise bei einer Signaturberechnung zu „eruieren". Andererseits wird die modulare Exponentiation beim RSA-Algorithmus vorzugsweise mittels des CRT gerechnet, da insbesondere für große Module eine hohe Recheneffizienz erreichbar ist. Der RSA-Algorithmus zur Nachrichten-Chiffrierung bzw. zur Nachrichten-Dechiffrierung oder zur Signaturberechnung ist in seiner Anwendung mit oder ohne CRT im „Handbook of Applied Cryptography", A. Menezes u. a., CRC Press, 1996, beschrieben. Während zur effizienten Berechnung der modularen Exponentiation ohne CRT Rechenwerke benötigt werden, deren Breite zumindest so groß ist, wie der Modul, kann aufgrund des RSA-CRT-Algorithmus mit einem Rechenwerk mit einer vorbestimmten Anzahl an Elementarzellen, also einer vorbestimmten Länge, eine Berechnung durchgeführt werden, bei der der Modul (und damit der Schlüssel) nahezu die doppelte Länge im Vergleich zum Rechenwerk hat. Dies ist insbesondere für RSA-Anwendungen von Bedeutung, da hier die Sicherheit ge genüber sogenannten „Brute Force Attacken", bei denen nacheinander alle Möglichkeiten ausgetestet werden, mit zunehmender Schlüssellänge immer höher wird.
  • Der Grundgedanke einer DFA-Attacke besteht darin, den Kryptochip während der Ausführung einer kryptographischen Berechnung einer Extremsituation auszusetzen, so daß die Ausgabe des Kryptochips fehlerhaft wird. Eine solche Maßnahme besteht beispielsweise darin, den Chip während der Berechnung einer starken mechanischen Spannung, einer starken elektromagnetischen Strahlung, einer Serie von Lichtblitzen, etc. auszusetzen, derart, daß z. B. Registerinhalte des Chips fehlerhaft werden, oder daß Gatter innerhalb des Chips nicht mehr ihre spezifizierte Funktion erfüllen, sondern etwas anderes, was zu einem Ausgabefehler führt.
  • Es wurde gezeigt, daß eine solche fehlerhafte Ausgabe zwar fehlerhaft ist, jedoch dennoch so viel Information über das einem Algorithmus zugrundeliegende Geheimnis, wie beispielsweise der Verschlüsselungsschlüssel im Falle eines symmetrischen Kryptosystems oder der private Schlüssel im Falle eines asymmetrischen Kryptosystems, enthalten sind, daß eine wirkungsvolle DFA-Attacke ausgeführt werden kann.
  • Abwehrmaßnahmen gegen solche DFA-Attacken bestehen im einfachsten Fall darin, daß z. B. jede kryptographische Berechnung zweimal durchgeführt wird, wobei das Ergebnis der ersten kryptographischen Berechnung mit dem Ergebnis der (identischen) zweiten kryptographischen Berechnung verglichen wird. Abhängig von diesem Vergleich findet dann eine Abfrage statt, die darin besteht, daß im (guten) Fall, bei dem beide Ergebnisse gleich sind, eine Ausgabe bewerkstelligt wird, während in dem Fall, in dem sich die beiden Ergebnisse unterscheiden, eine Ausgabe unterbunden wird bzw. wenigstens eine Alarmmeldung verfügt wird. Der Kern dieser Abwehrmaßnahme besteht somit darin, in dem Fall, in dem die Vermutung über einen Fehler besteht, jegliche Ausgaben zu unterdrücken, so daß ein Angreifer dann, wenn er eine DFA-Attacke ausgeführt hat, keine Chipausgabe erhalten wird und daher keine Rückschlüsse auf das dem Algorithmus zugrundeliegende Geheimnis ziehen kann.
  • Die vorstehende Abwehrmaßnahme gegenüber DFA-Attacken ist insofern problematisch, da sie voraussetzt, daß der Chip nicht bei der doppelten Berechnung denselben Fehler macht. Eine solche Attacke würde nicht erkannt werden.
  • Alternative Maßnahmen bestehen darin, den Kryptochip mit Spannungssensoren, Strahlungssensoren, Temperatursensoren etc. zu versehen, um eventuelle äußere Angriffe auf den Chip direkt detektieren zu können, um dann bei der Detektion eines Angriffs eine Ausgabe unterbinden zu können.
  • Aufgrund der Verschiedenartigkeit der Angriffsszenarien und der damit verbundenen vielen Sensoren ist eine solche Abwehrmaßnahme jedoch oftmals nicht oder nur in Teilen durchführbar.
  • Wieder andere Abwehrmaßnahmen bestehen darin, Zwischenergebnisse innerhalb eines (längeren) Kryptoalgorithmus zu betrachten bzw. untereinander zu vergleichen. Oftmals existieren Abhängigkeiten innerhalb eines Algorithmus, die bereits vor der Ausgabe eine Anzahl von Zwischenergebnissen benötigen, die unabhängig von den zu verschlüsselnden Daten bzw. von dem Schlüssel in einem bestimmten Zusammenhang stehen müssen. Wird festgestellt, daß die Zwischenergebnisse, die eigentlich, bei korrektem Algorithmusablauf, in einem vorbe stimmten Zusammenhang stehen müßten, nicht in diesem Zusammenhang sind, so kann daraus geschlossen werden, daß gerade ein Angriff stattfindet. In diesem Fall wird wieder eine IF-Verzweigung, also ein bedingter Sprung bzw. Conditional Jump durchgeführt, dahingehend, daß dann, wenn das erwartete Ergebnis der Abfrage auftritt, eine Ausgabe durchgeführt wird, während dann, wenn ein von den Erwartungen abweichendes Ergebnis auftritt, die Ausgabe unterdrückt wird bzw. Fehlermeldungen, Interrupts, etc. durchgeführt werden, um z. B. ein Betriebssystem auf einen gerade laufenden (vermuteten) DFA-Angriff hinzuweisen.
  • DFA-Attacken auf Kryptosysteme, wie beispielsweise RSA, symmetrische Systeme wie DES, AES und andere oder Elliptische-Kurven-Kryptosysteme, werden somit dahingehend abgewehrt, daß eine Korrektheitüberprüfung irgend einer Art durchgeführt wird, und daß im Falle eines Fehlers die Ausgabe einer falschen chiffrierten Nachricht bzw. einer falschen Signatur z. B. einer Smartcard, unterdrückt wird. Problematisch bei dieser Abwehrmaßnahme ist jedoch die IF-Verzweigung. Sollte ein Angreifer nämlich in der Lage sein, diese abschließende Fehlerüberprüfung, also den bedingten Sprung, zu stören, so bewirkt er die Ausgabe einer fehlerhaften chiffrierten Nachricht bzw. einer fehlerhaften „Signatur", um damit eine DFA-Attacke erfolgreich zu Ende zu bringen.
  • Die EP 1237322 A2 offenbart ein Verfahren zum Detektieren eines Fehlers für einen kryptographischen Prozess. Verschlüsselte Daten werden empfangen und gespeichert. Hierauf werden die verschlüsselten Daten entschlüsselt, um Klartextdaten zu haben, die ebenfalls gespeichert werden. Hierauf werden die Klartextdaten wieder verschlüsselt, um ein Ergebnis zu haben. Wenn das erhaltene Ergebnis mit den ursprünglich im Speicher gespeicherten Verschlüsselungsdaten übereinstimmt, wird festgestellt, dass keine Fehlerattacke stattgefunden hat.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, ein verbessertes Konzept zum Verschlüsseln von Daten zu schaffen, das eine höhere Sicherheit gegenüber DFA-Attacken aufweist.
  • Diese Aufgabe wird durch eine Vorrichtung zum Verschlüsseln von ursprünglichen Daten nach Patentanspruch 1, ein Verfahren zum Verschlüsseln von ursprünglichen Daten nach Patentan spruch 11 oder ein Computer-Programm nach Patentanspruch 12 gelöst.
  • Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daß der in üblichen DFA-Abwehrmaßnahmen enthaltene bedingte Sprung eine Schwachstelle dieser Maßnahmen darstellt. Erfindungsgemäß wird die DFA-Sicherheit nicht auf diesen bedingten Sprung aufgebaut. Statt dessen wird im Falle einer DFA-Attacke das fehlerhafte Ergebnis, auf das ein Angreifer aus ist, erneut verschlüsselt, so daß die in dieser fehlerhaften Ausgabe enthaltenen Informationen über das Geheimnis der Verschlüsselung für einen Angreifer wertlos werden. Die DFA-Sicherheit des erfindungsgemäßen Konzepts erschöpft sich somit nicht darin, daß eine fehlerhafte Ausgabe unterdrückt wird, sondern daß in jedem Fall eine Ausgabe erzeugt wird, die im Falle eines nicht erfolgten Angriffs das Nutzergebnis des Verschlüsselungskonzepts ist, die jedoch im Falle eines DFA-Angriffs automatisch und systemimmanent eine verschlüsselte Version des von dem Angreifer gesuchten falschen Ergebnisse ist. Der Angreifer hat keine Möglichkeit die verschlüsselte Version des falschen Ergebnisses zu entschlüsseln, da er den Schlüssel hierzu nicht erlangen kann. Dieser Schlüssel ist nirgendwo explizit gegeben, und somit auch dem Anwender des erfindungsgemäßen Konzepts unbekannt. Er hängt lediglich von den ursprünglichen Eingangsdaten und den verschlüsselten/entschlüsselten Daten ab. Die Abhängigkeit hierzu ist über eine Hilfsschlüsselfunktion gegeben, die beliebig ausgestaltet sein kann, und die darin besteht, daß der Schlüssel bei der letzten Verschlüsselung nur dann dem eigentlichen Verschlüsselungsschlüssel entspricht, wenn die ursprünglichen Daten und die verschlüsselten und wieder entschlüsselten Daten gleich sind.
  • Erfindungsgemäß werden ursprüngliche Daten somit zunächst verschlüsselt, um verschlüsselte Daten zu erhalten. Die Verschlüsselung erfolgt über eine Verschlüsselungsalgorithmus und einen Verschlüsselungsschlüssel. Dann werden die verschlüsselten Daten mit einem korrespondierenden Entschlüsselungsalgorithmus und einem korrespondierenden Entschlüsselungsschlüssel entschlüsselt, um entschlüsselte Daten zu erhalten. Hierauf wird unter Verwendung der ursprünglichen Daten und der entschlüsselten Daten ein Hilfsschlüssel berechnet, der dann zu einer abschließenden Verschlüsselung der entschlüsselten Daten mit dem Verschlüsselungsalgorithmus verwendet wird, um Ausgabedaten zu erhalten.
  • Bei einem Ausführungsbeispiel der vorliegenden Erfindung können diese Ausgabedaten direkt ausgegeben werden. Bei einem alternativen Ausführungsbeispiel der vorliegenden Erfindung werden die Ausgabedaten noch weiter verarbeitet, um verschlüsselte ursprüngliche Daten als endgültige Ausgabe zu erhalten. Die Verarbeitung findet unter Verwendung einer Verarbeitungsfunktion statt, die wiederum die verschlüsselten Daten, die durch die erste Verschlüsselung gewonnen worden sind, mit den Ausgabedaten in Beziehung setzt, so daß die letztendlich ausgegebenen verschlüsselten ursprünglichen Daten nur dann den mit dem Verschlüsselungsschlüssel verschlüsselten Daten entsprechen, wenn die verschlüsselten Daten gleich den Ausgabedaten am Ausgang der zweiten Verschlüsselungsstufe sind.
  • Bei einem bevorzugten Ausführungsbeispiel der vorliegenden Erfindung sind der Verschlüsselungsalgorithmus und der mit dem Verschlüsselungsalgorithmus korrespondierende Entschlüsselungsalgorithmus Teil eines symmetrischen Kryptosystems, wie beispielsweise dem DES-System, dem AES-System, etc. Dies ist der Fall, da symmetrische Kryptosysteme typischerweise schneller und rechenzeiteffizienter ablaufen als asymmetrische Kryptosysteme.
  • Alternativ, wenn Rechenzeitressourcen nicht die entscheidende Rolle spielen, ist die vorliegende Erfindung auch in Verbindung mit einem asymmetrischen Kryptosystem nützlich, und zwar vorzugsweise bei einer RSA-Signaturerzeugung einerseits oder RSA-Dechiffrierung andererseits.
  • Die vorliegende Erfindung ist dahingehend vorteilhaft, daß immer eine Ausgabe erzeugt wird, also daß die Sicherheit nicht auf einen im Stand der Technik typischerweise vorhandenen expliziten Korrektheit-Test basiert wird. Im Falle einer korrekten Verschlüsselung/Signatur wird das Ergebnis ebenfalls ausgegeben wie im Falle einer fehlerhaft Verschlüsselung/Signatur. Im Falle einer fehlerhaften Verschlüsselung/Signatur, bei der sehr wahrscheinlich ein DFA-Angriff stattgefunden hat, ist das Ergebnis jedoch für einen Angreifer unbrauchbar, da es durch den Hilfsschlüssel, der sich von dem ursprünglichen Verschlüsselungsschlüssel unterscheidet, erneut verschlüsselt ist, so daß eine DFA-Attacke ins Leere läuft. Mit anderen Worten ausgedrückt wird die fehlerhafte Ausgabe, die ein Angreifer induziert hat, diesem nichts nützen, da die Ausgabe verschlüsselt ist und der Angreifer keine Chance hat, an den Hilfsschlüssel, mit dem die Ausgabe verschlüsselt ist, zu kommen.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen detailliert erläutert. Es zeigen:
  • 1 ein Blockschaltbild eines bevorzugten Ausführungsbeispiels der vorliegenden Erfindung entweder mit direkter Ausgabe der Ausgabedaten oder mit einer Verarbeitung der Ausgabedaten, um als Ausgabe die verschlüsselten ursprünglichen Daten zu erhalten; und
  • 2 eine Gegenüberstellung der Algorithmen/Schlüssel für ein symmetrisches Kryptosystem einerseits und ein asymmetrisches Kryptosystem andererseits.
  • 1 zeigt ein Blockschaltbild einer erfindungsgemäßen Vorrichtung zum Verschlüsseln von ursprünglichen Daten m, die über einen Eingang 10 in die Gesamtvorrichtung eingespeist werden. Die ursprünglichen Daten m werden zunächst einer Einrichtung 12 zum Verschlüsseln der ursprünglichen Daten m mit einem Verschlüsselungsalgorithmus (V.-Alg.) und einem Verschlüsselungsschlüssel kV eingespeist, um verschlüsselte Daten c am Ausgang der Einrichtung 12 zu erhalten.
  • Die verschlüsselten Daten c werden dann einer Einrichtung 14 zum Entschlüsseln der verschlüsselten Daten zugeführt, welche ausgangsseitig entschlüsselte Daten m' liefert. Die Einrichtung 14 zum Entschlüsseln ist ausgeführt, um einen Entschlüsselungsalgorithmus (E.-Alg.) und einen Entschlüsselungsschlüssel kE zu verwenden. Der Verschlüsselungsalgorithmus, der in der Einrichtung 12 verwendet wird, und der Entschlüsselungsalgorithmus, der in der Einrichtung 14 verwendet wird, bilden Teil eines Kryptosystems und sind aufeinander abgestimmt, wie es in der Technik bekannt ist. Entsprechend bilden der Verschlüsselungsschlüssel kV und der Entschlüsselungsschlüssel kE ebenfalls Teile eines Kryptosystems, wobei dieselben ebenfalls aufeinander abgestimmt sind, wie es in der Technik bekannt ist.
  • Arbeiten die Einrichtungen 12 und 14 korrekt, also waren sie nicht „Opfer" einer DFA-Attacke, so werden die entschlüsselten Daten m' mit den ursprünglichen Daten m übereinstimmen. Wurde jedoch entweder die Einrichtung 12 oder die Einrichtung 14 oder beide Einrichtungen 12 und 14 angegriffen, so werden sich die ursprünglichen Daten m von den entschlüsselten Daten m' unterscheiden, da entweder eine der Einrichtungen 12 und 14 oder beide Einrichtungen 12 und 14 aufgrund des DFA-Angriffs einen Fehler gemacht haben.
  • Sowohl die entschlüsselten Daten m' als auch die ursprünglichen Daten m werden gemäß der vorliegenden Erfindung einer Einrichtung 16 zum Berechnen eines Hilfsschlüssels k'V zugeführt. Die Einrichtung 16 ist ausgebildet, um eine Hilfsschlüsselfunktion durchzuführen, wobei die Hilfsschlüsselfunktion ausgebildet ist, um dann, wenn die entschlüsselten Daten m' in einer vorbestimmten Beziehung zu den ursprünglichen Daten m sind, den Verschlüsselungsschlüssel kV als Hilfsschlüssel kV' zu liefern, und um dann, wenn die ursprünglichen Daten m nicht in der vorbestimmten Beziehung zu den entschlüsselten Daten m' sind, einen von dem Verschlüsselungsschlüssel kV abweichenden Schlüssel k'V als Hilfsschlüssel zu liefern. Die Hilfsschlüsselfunktion, die nachfolgend auch als ρ bezeichnet wird, arbeitet folgendermaßen:
    Es gelte: ρ: M × M × K → K
  • M bezeichnet die Menge aller möglichen Nachrichten (messages) und K bedeutet die Menge aller möglichen Schlüssel (keys). Prinzipiell ist die Länge in Byte der Schlüssel und der Nachrichten unerheblich. Sofern die Längen der Nachrichten und der Schlüssel gleich sind, kann auf die nachfolgenden Beispiele zurückgegriffen werden. Sofern sich die Längen von Schlüsseln und Nachrichten unterscheiden, wie es z. B. beim DES-Verschlüsselungsalgorithmus der Fall ist, wird dies bei der Funktion ρ entsprechend berücksichtigt.
  • ρ soll ferner die folgenden Eigenschaften haben: ρ(m, m', k) = k, wenn gilt: m = m' ρ(m, m', k) ≠ k, wenn gilt: m ≠ m'
  • Aus dem vorstehenden wird klar, daß die Hilfsschlüsselfunktion, die vorzugsweise dahingehend ausgebildet ist, daß die beschriebene vorbestimmte Beziehung zwischen den ursprünglichen Daten und den entschlüsselten Daten die Gleichheitsbeziehung ist, eine einfache Funktion sein kann. So könnte dieselbe beispielsweise ausgebildet sein, um folgendermaßen zu arbeiten, wenn M = K = [0; 2N[ für z. B. N = 64, 128, 1024, ... kV' = m – m' + k
  • Alternative Ausgestaltungen der Hilfsschlüsselfunktion könnten beispielsweise folgendermaßen lauten: kV' = √m·m' + kV – moder kV' = √m·m' + kV – m'
  • Nachdem die Wurzelfunktion nicht-ganzzahlige Ergebnisse liefern kann, jedoch eine Integer-Berechnung bevorzugt wird, wird es vorgezogen, das Ergebnis der Wurzelfunktion auf- oder abzurunden, wobei die Aufrundung bevorzugt wird.
  • Aus dem vorhergehenden ist ersichtlich, daß für die Hilfsschlüsselfunktion beliebige Funktionen gefunden werden können, die die allgemeine Definition, die oben angegeben worden ist, erfüllen, und die immer dann, wenn die ursprünglichen Daten von den entschlüsselten Daten abweichen, etwas anderes liefert als kV, so daß in der durch eine nachfolgende in 1 gezeigte Einrichtung 18 zum Verschlüsseln der entschlüsselten Daten unter Verwendung des Verschlüsselungsalgorithmus (V.-Alg.) erhaltenen Ausgabedaten c' mit kV' verschlüsselt sind. Insbesondere wird es bevorzugt, daß die Hilfsschlüsselfunktion genauso wie die Verarbeitungsfunktion, auf die später noch eingegangen wird, ohne IF-Bedingung arbeitet, sondern aus den Eingangsdaten zunächst einen Kombinationswert, wie eine Summe, ein Produkt, etc. berechnen und dann mit diesem Kombinationswert einen anderen Wert kombinieren, beispielsweise mittels einer Summe, Differenz etc.
  • Bei einem bevorzugten Ausführungsbeispiel der vorliegenden Erfindung wird auch keine direkte Ausgabe der Ausgabedaten c' durchgeführt. Statt dessen werden, wie es in 1 gezeigt ist, die Ausgabedaten c' zusammen mit den verschlüsselten Daten c am Ausgang der Einrichtung 12 einer Einrichtung 20 zum Verarbeitung unter Verwendung einer Verarbeitungsfunktion zugeführt. Für die Verarbeitungsfunktion, die nachfolgend als μ bezeichnet wird, gelte folgendes: μ: M × M → C
  • C ist die Menge aller verschlüsselten Nachrichten (Ciphertexts). Die Funktion μ habe wieder folgende Eigenschaften: μ(c, c') = c, wenn gilt: c = c' μ(c, c') ≠ c, wenn gilt: c ≠ c'
  • Für die Verarbeitungsfunktion μ können wieder beliebige Funktionen, die die oben gegebene allgemeine Definition erfüllen, verwendet werden. Allgemein gesagt sollte μ so gewählt sein, dass nicht ohne weiteres aus c'' und c der Wert von c' zurückgerechnet werden kann. Beispielhafte Funktionen sind: c'' = 12 (c + c') + f(c – c') – f(0).
  • f() bezeichnet hier eine sogenannte One-Way-Funktion, wie z. B. eine Hash-Funktion, für die keine inverse Funktion f–1() angebbar ist. f(0) könnte hierbei als feste Konstante abgespeichert werden, um nicht jedes Mal neu berechnet werden zu müssen.
  • Eine alternative Verarbeitungsfunktion wäre: c'' = √c·c' + (c – c')R' mod R''
  • R und R'' sind hierbei zwei beliebig ausgewählte Zufallszahlen, für die lediglich gilt, dass sie in einer geeigneten Größenordnung sind. Obgleich für die modulare Exponentiation zwar prinzipiell eine Umkehrfunktion angebbar ist, ist dies für einen Angreifer kaum möglich, da er nicht im Besitz der Zufallszahlen R' und R'' ist.
  • Die durch die Einrichtung 20 ausgegebenen Daten c'' stellen somit die verschlüsselten ursprünglichen Daten dar, die dann unabhängig davon, ob eine DFA-Attacke stattgefunden hat oder nicht, ausgegeben werden können. Sie werden mit den verschlüsselten Daten c übereinstimmen, wenn während der gesamten Abarbeitung des in 1 gezeigten Algorithmus keine Attacke stattgefunden hat. Hat jedoch eine Attacke stattgefunden, so werden die verschlüsselten ursprünglichen Daten c'', die von der Einrichtung 20 ausgegeben werden, zu den verschlüsselten Daten am Ausgang der Einrichtung 12 unterschiedlich sein.
  • An dieser Stelle sei darauf hingewiesen, daß moderne Kryptoalgorithmen, seien sie symmetrisch oder asymmetrisch, eine derart hohe Verschlüsselungskraft haben, daß selbst bei minimalen Unterschieden zwischen dem Hilfsschlüssel k'V und dem eigentlichen Verschlüsselungsschlüssel kV bereits eine komplette Veränderung der Ausgabedaten c' im Vergleich zu den verschlüsselten Daten c vorhanden sein wird, derart, daß die Ausgabedaten selbst bei minimalen Unterschieden zwischen dem Verschlüsselungsschlüssel und dem Hilfsschlüssel keinerlei Ähnlichkeit mehr zu den verschlüsselten Daten c am Ausgang der Einrichtung 12 haben werden.
  • Nachfolgend wird ein Ausführungsbeispiel der vorliegenden Erfindung am Beispiel eines symmetrischen Kryptosystems dargelegt:
    Input: m, k
    Output: c'' = AE(m, k)

    c: = AE(m, k)
    m' = AD(c, k)
    k': = ρ(m, m', k)
    c': = AE(m', k')
    c'': = μ(c, c')
    return (c'')
  • Wie in der vorstehenden algorithmischen Darstellung des erfindungsgemäßen Konzepts steht der Ausdruck „AE" für den Verschlüsselungsalgorithmus (algorithm encryption), während der Ausdruck „AD" für algorithm decryption steht. Nachdem es sich bei dem betrachteten Kryptosystem um ein symmetrisches Kryptosystem handelt, ist der Verschlüsselungsschlüssel kV gleich dem Entschlüsselungsschlüssel kE, so daß es nur einen einzigen Schlüssel gibt, nämlich den vorstehend dargestellten Schlüssel k. Der Fall des symmetrischen Kryptosystems ist in der linken Hälfte der in 2 gezeigten Tabelle dargestellt.
  • Das erfindungsgemäße Konzept ist jedoch genauso anwendbar für ein asymmetrisches Kryptosystem. Im Falle des asymmetrischen Kryptosystems muß eine DFA-Sicherheit immer dann gewährleistet sein, wenn der private Schlüssel „im Spiel" ist, während in dem Fall, in dem der öffentliche Schlüssel „im Spiel" ist, keine Abwehrmaßnahmen getroffen werden müssen, da der öffentliche Schlüssel dem Angreifer ohnehin bekannt ist.
  • Im Falle eines asymmetrischen Kryptosystems sind ferner zwei Fälle zu unterscheiden, nämlich die Signaturerzeugung, um eine digitale Signatur für ein Dokument zu erhalten, und die Nachrichtendechiffrierung. So ist bei der Signaturerzeugung der private Schlüssel, der als „e" bezeichnet wird, im Spiel, um die digitale Signatur zu erzeugen. Bei der Verifikation wird dagegen lediglich der öffentliche Schlüssel benötigt, so daß hier keine Sicherheitsmaßnahmen getroffen werden müssen. Bei der Verschlüsselung mit einem symmetrischen Kryptosystem wird ebenfalls nur der öffentliche Schlüssel benötigt. Somit muß bei der Verschlüsselung keine besondere DFA-Maßnahme getroffen werden. Dies ist jedoch anders, wenn eine innerhalb eines symmetrischen Kryptosystems chiffrierte, also verschlüsselte Nachricht entschlüsselt werden muß, also unter Verwendung des privaten Schlüssels des Empfängers, für den die Nachricht bestimmt ist, verarbeitet werden muß.
  • Zu Zwecken der vorliegenden Erfindung sind somit die „ursprünglichen Daten" entweder tatsächliche Klartextdaten, wie beispielsweise bei einer Chiffrierung von Nachrichten mittels eines symmetrischen Verschlüsselungsalgorithmus oder bei einer Erzeugung einer digitalen Signatur mit einem asymmetrischen Algorithmus.
  • Die „ursprünglichen" Daten können jedoch auch verschlüsselte Daten sein, wie beispielsweise im Falle einer Dechiffrierung von Nachrichten innerhalb eines symmetrischen Kryptosystems, oder im Falle einer Dechiffrierung von Nachrichten in einem asymmetrischen Kryptosystem, bei dem der private Schlüssel zum Einsatz kommt. Wenn die „ursprünglichen Daten" verschlüsselte Daten sind, dann sind der „Verschlüsselungsalgorithmus" und der „Verschlüsselungsschlüssel" im Sinne der vorliegenden Anmeldung tatsächlich ein Dechiffrieralgorithmus bzw. ein Dechiffrierschlüssel.
  • In diesem Fall sind der „Entschlüsselungsalgorithmus" und der „Entschlüsselungsschlüssel" im Sinne der vorliegenden Erfindung analog zu den vorstehenden Ausführungen ein „Verschlüsselungsalgorithmus" bzw. ein „Verschlüsselungsschlüssel".
  • Die rechte Hälfte in 2 zeigt die Bezeichnung der Algorithmen für ein asymmetrisches Kryptosystem am Beispiel einer Signaturerzeugung.
  • Die Signaturerzeugung, die mit dem geheimen Schlüssel e des asymmetrischen Kryptosystems stattfindet, der mit einem öffentlichen Schlüssel d korrespondiert, lautet somit folgendermaßen:
    Input: m, k
    Output: c'' = AE(m, e)

    c: = AE(m, e)
    m': = AD(c, d)
    e': = ρ(m, m', e)
    c': = AE(m', e')
    c'' = μ(c, c')
    return (c'')
  • Im Falle der Entschlüsselung innerhalb eines symmetrischen Kryptosystems würde dagegen die zweite Alternative in der letzten Zeile der linken Hälfte der Tabelle in 2 gelten, also AE–1 für den Verschlüsselungsalgorithmus und AE für den Entschlüsselungsalgorithmus.
  • Im Falle der Nachrichten-Dechiffrierung innerhalb eines asymmetrischen Kryptosystems würde ebenfalls die zweite Alternative in der letzten Zeile der rechten Hälfte der Tabelle in 2 gelten, nämlich daß der Verschlüsselungsalgorithmus (V. Alg.) im Sinne der vorliegenden Anmeldung einen Dechiffrieralgorithmus (AD) des asymmetrischen Kryptosystems unter Verwendung des privaten Schlüssels e entsprechen würde, während der Entschlüsselungsalgorithmus (E. Alg.) im Sinne der vorliegenden Erfindung einem Nachrichten-Chiffrieralgorithmus unter Verwendung des öffentlichen Schlüssel d entsprechen würde.
  • Abhängig von den Gegebenheiten kann das erfindungsgemäße Fehlerverschleierungsverfahren in Hardware oder in Software implementiert werden. Die Implementierung kann auf einem digitalen Speichermedium, insbesondere einer Diskette oder CD mit elektronisch auslesbaren Steuersignalen erfolgen, die so mit einem programmierbaren Computersystem zusammenwirken können, daß das Verfahren ausgeführt wird. Allgemein besteht die Erfindung somit auch in einem Computer-Programm-Produkt mit einem auf einem maschinenlesbaren Träger gespeicherten Programmcode zur Durchführung des erfindungsgemäßen Verfahrens zum Verschlüsseln von ursprünglichen Daten, wenn das Computer-Programm-Produkt auf einem Rechner abläuft. In anderen Worten ausgedrückt kann die Erfindung somit auch als ein Computer-Programm mit einem Programmcode zur Durchführung des Verfahrens zum Verschlüsseln von ursprünglichen Daten realisiert werden, wenn das Computer-Programm auf einem Computer abläuft.

Claims (12)

  1. Vorrichtung zum Verschlüsseln von ursprünglichen Daten, mit folgenden Merkmalen: einer Einrichtung (12) zum Verschlüsseln der ursprünglichen Daten (m) mit einem Verschlüsselungsalgorithmus und einem Verschlüsselungsschlüssel (kV), um verschlüsselte Daten (c) zu erhalten; einer Einrichtung (14) zum Entschlüsseln der verschlüsselten Daten (c) mit einem Entschlüsselungsalgorithmus, der auf den Verschlüsselungsalgorithmus abgestimmt ist, und einem Entschlüsselungsschlüssel (kE), der auf den Verschlüsselungsschlüssel (kV) abgestimmt ist, um entschlüsselte Daten (m') zu erhalten; einer Einrichtung (16) zum Berechnen eines Hilfsschlüssel (kV') mit einer Hilfsschlüsselfunktion, wobei die Hilfsschlüsselfunktion ausgebildet ist, um dann, wenn die entschlüsselten Daten (m') in einer vorbestimmten Beziehung zu den ursprünglichen Daten (m) sind, den Verschlüsselungsschlüssel (kV) als Hilfsschlüssel (kV') zu liefern, und um dann, wenn die ursprünglichen Daten (m) nicht in der vorbestimmten Beziehung zu den entschlüsselten Daten (m') sind, einen von dem Verschlüsselungsschlüssel (kV) abweichenden Hilfsschlüssel (kV') zu liefern; und einer Einrichtung (18) zum Verschlüsseln der entschlüsselten Daten (m') mit dem Verschlüsselungsalgorithmus und dem Hilfsschlüssel (kV'), um Ausgabedaten (c') zu erhalten.
  2. Vorrichtung nach Anspruch 1, die ferner folgendes Merkmal aufweist: eine Einrichtung (20) zum Verarbeiten der Ausgabedaten (c') und der verschlüsselten Daten (c) unter Verwendung einer Verarbeitungsfunktion, um verschlüsselte ursprüngliche Daten (c'') zu erhalten, wobei die Verarbeitungsfunktion ausgebildet ist, um die verschlüsselten Daten (c) und die Ausgabedaten (c') zu kombinieren, um ein Kombinationsergebnis zu erhalten, und um das Kombinationsergebnis so weiter zu verarbeiten, daß dann, wenn die verschlüsselten Daten (c) gleich den Ausgabedaten (c') sind, die verschlüsselten ursprünglichen Daten (c'') gleich den Ausgabedaten (c'') oder den verschlüsselten Daten (c) sind, und daß dann, wenn die verschlüsselten Daten (c) ungleich den Ausgabedaten (c') sind, die verschlüsselten ursprünglichen Daten (c'') ungleich den Ausgabedaten (c') oder den verschlüsselten Daten (c) sind.
  3. Vorrichtung nach Anspruch 2, bei der die Verarbeitungsfunktion folgendermaßen ausgebildet ist: c'' = 12 (c + c') + f(c – c') – f(0),wobei f() eine One-Way-Funktion ist, wobei c die verschlüsselten Daten darstellt, c' die Ausgabedaten darstellt, und c'' die verschlüsselten ursprünglichen Daten darstellt.
  4. Vorrichtung nach Anspruch 2, bei der die Verarbeitungsfunktion folgendermaßen ausgebildet ist: c'' = √c·c' + (c – c')R' mod R'', wobei R' und R'' zwei beliebig ausgewählte Zufallszahlen sind, wobei mod die Modulo-Funktion darstellt, wobei c die verschlüsselten Daten darstellt, c' die Ausgabedaten darstellt, und c'' die verschlüsselten ursprünglichen Daten darstellt.
  5. Vorrichtung nach einem der vorhergehenden Ansprüche, bei der der Verschlüsselungsalgorithmus und der Entschlüsselungsalgorithmus zu einem symmetrischen Kryptosystem gehören und der Verschlüsselungsschlüssel (kV) gleich dem Entschlüsselungsschlüssel (kE) ist bzw. in einer vorbestimmten Beziehung steht.
  6. Vorrichtung nach einem der Ansprüche 1 bis 4, bei der der Verschlüsselungsalgorithmus und der Entschlüsselungsalgorithmus zu einem asymmetrischen Kryptosystem gehören und der Verschlüsselungsschlüssel ein privater Schlüssel des Kryptosystems ist und der Entschlüsselungsschlüssel ein öffentlicher Schlüssel des Kryptosystems ist.
  7. Vorrichtung nach Anspruch 6, bei der die ursprünglichen Daten (m) eine zu signierende Nachricht sind und die Ausgabedaten (c') bzw. die verschlüsselten ursprünglichen Daten (c'') eine digitale Signatur der Nachricht darstellen.
  8. Vorrichtung nach einem der vorhergehenden Ansprüche, bei der die Hilfsschlüsselfunktion folgendermaßen ausgebildet ist: ρ(m, m', k) = k, für m = m ρ'(m, m', k) ≠ k für m ≠ m wobei m die ursprünglichen Daten sind, wobei m' die entschlüsselten Daten sind, wobei ρ die Hilfsschlüsselfunktion ist und wobei k den Verschlüsselungsschlüssel darstellt.
  9. Vorrichtung nach einem der vorhergehenden Ansprüche, bei der der Entschlüsselungsalgorithmus so auf den Verschlüsselungsalgorithmus abgestimmt ist, daß bei korrekter Funktionalität der Einrichtung (12) zum Verschlüsseln und der Einrichtung (14) zum Entschlüsseln und bei korrekter Wahl des Verschlüsselungsschlüssels und des Entschlüsselungsschlüssels die entschlüsselten Daten (m') gleich den ursprünglichen Daten (m) sind.
  10. Vorrichtung nach einem der vorhergehenden Ansprüche, bei der die ursprünglichen Daten (m) chiffrierte Daten sind, bei der der Verschlüsselungsalgorithmus ein Dechiffrieralgorithmus eines Kryptosystems ist, bei der der Entschlüsselungsalgorithmus ein Chiffrieralgorithmus des Kryptosystems ist, bei der der Verschlüsselungsschlüssel ein Dechiffrierschlüssel des Kryptosystems ist, und bei der der Entschlüsselungsschlüssel ein Chiffrierschlüssel des Kryptosystems ist.
  11. Verfahren zum Verschlüsseln von ursprünglichen Daten, mit folgenden Schritten: Verschlüsseln (12) der ursprünglichen Daten (m) mit einem Verschlüsselungsalgorithmus und einem Verschlüsselungsschlüssel (kV), um verschlüsselte Daten (c) zu erhalten; Entschlüsseln (14) der verschlüsselten Daten (c) mit einem Entschlüsselungsalgorithmus, der auf den Verschlüsselungsalgorithmus abgestimmt ist, und einem Entschlüsselungsschlüssel (kE), der auf den Verschlüsselungsschlüssel (kV) abgestimmt ist, um entschlüsselte Daten (m') zu erhalten; Berechnen (16) eines Hilfsschlüssel (kV') mit einer Hilfsschlüsselfunktion, wobei die Hilfsschlüsselfunktion ausgebildet ist, um dann, wenn die entschlüsselten Daten (m') in einer vorbestimmten Beziehung zu den ursprünglichen Daten (m) sind, den Verschlüsselungsschlüssel (kV) als Hilfsschlüssel (kV') zu liefern, und um dann, wenn die ursprünglichen Daten (m) nicht in der vorbestimmten Beziehung zu den entschlüsselten Daten (m') sind, einen von dem Verschlüsselungsschlüssel (kV) abweichenden Hilfsschlüssel (kV') zu liefern; und Verschlüsseln (18) der entschlüsselten Daten (m') mit dem Verschlüsselungsalgorithmus und dem Hilfsschlüssel (kV'), um Ausgabedaten (c') zu erhalten.
  12. Computer-Programm mit einem Programmcode zum Durchführen des Verfahrens zum Verschlüsseln nach Patentanspruch 11, wenn das Computer-Programm auf einem Computer abläuft.
DE10328860A 2003-06-26 2003-06-26 Vorrichtung und Verfahren zum Verschlüsseln von Daten Expired - Fee Related DE10328860B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10328860A DE10328860B4 (de) 2003-06-26 2003-06-26 Vorrichtung und Verfahren zum Verschlüsseln von Daten
US10/874,687 US7450716B2 (en) 2003-06-26 2004-06-22 Device and method for encrypting data
FR0406759A FR2856864B1 (fr) 2003-06-26 2004-06-22 Dispositif et procede pour crypter des donnees

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10328860A DE10328860B4 (de) 2003-06-26 2003-06-26 Vorrichtung und Verfahren zum Verschlüsseln von Daten

Publications (2)

Publication Number Publication Date
DE10328860A1 DE10328860A1 (de) 2005-01-20
DE10328860B4 true DE10328860B4 (de) 2008-08-07

Family

ID=33515089

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10328860A Expired - Fee Related DE10328860B4 (de) 2003-06-26 2003-06-26 Vorrichtung und Verfahren zum Verschlüsseln von Daten

Country Status (3)

Country Link
US (1) US7450716B2 (de)
DE (1) DE10328860B4 (de)
FR (1) FR2856864B1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4774766B2 (ja) * 2005-03-18 2011-09-14 株式会社日立製作所 コンテンツ受け渡しシステム、事業者端末装置及び再生端末装置
FR2888370A1 (fr) * 2005-07-05 2007-01-12 St Microelectronics Sa Protection de l'execution d'un programme
DE102005038228A1 (de) * 2005-08-12 2007-02-15 Giesecke & Devrient Gmbh Geschütztes kryptographisches Verfahren
EP1920374A1 (de) * 2005-08-19 2008-05-14 Nxp B.V. Kreisanordnung mit nichtflüchtigem speichermodul und verfahren zum registrieren von angriffen auf das nichtflüchtige speichermodul
JP5387144B2 (ja) * 2009-06-01 2014-01-15 ソニー株式会社 誤動作発生攻撃検出回路および集積回路
US8832462B2 (en) 2010-09-08 2014-09-09 Xilinx, Inc. Protecting against differential power analysis attacks on sensitive data
WO2012033580A1 (en) * 2010-09-08 2012-03-15 Xilinx, Inc. Protecting against differential power analysis attacks on sensitive data
US8650408B2 (en) 2010-09-08 2014-02-11 Xilinx, Inc. Protecting against differential power analysis attacks on decryption keys
CN106685635B (zh) * 2015-11-07 2019-10-18 上海复旦微电子集团股份有限公司 回旋校验方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1237322A2 (de) * 2001-03-02 2002-09-04 Hitachi, Ltd. Verfahren zur Fehlererkennung bei einem kryptographischen Vorgang
WO2003024017A2 (fr) * 2001-09-04 2003-03-20 Stmicroelectronics S.A. Procede de securisation d'une quantite secrete

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5631960A (en) * 1995-08-31 1997-05-20 National Semiconductor Corporation Autotest of encryption algorithms in embedded secure encryption devices
US6101254A (en) * 1996-10-31 2000-08-08 Schlumberger Systemes Security method for making secure an authentication method that uses a secret key algorithm
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks
US6144740A (en) * 1998-05-20 2000-11-07 Network Security Technology Co. Method for designing public key cryptosystems against fault-based attacks with an implementation
DE69932740T2 (de) * 1998-12-30 2006-12-07 Nokia Corp. Verfahren und vorrichtung zur kryptographischen datenverarbeitung
US6724894B1 (en) * 1999-11-05 2004-04-20 Pitney Bowes Inc. Cryptographic device having reduced vulnerability to side-channel attack and method of operating same
FR2838262B1 (fr) * 2002-04-08 2004-07-30 Oberthur Card Syst Sa Procede de securisation d'une electronique a acces crypte

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1237322A2 (de) * 2001-03-02 2002-09-04 Hitachi, Ltd. Verfahren zur Fehlererkennung bei einem kryptographischen Vorgang
WO2003024017A2 (fr) * 2001-09-04 2003-03-20 Stmicroelectronics S.A. Procede de securisation d'une quantite secrete

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MENEZES,A., et.al.: Handbook of Applied Crypto- graphy. CRC-Press, 1996
MENEZES,A., et.al.: Handbook of Applied Cryptography. CRC-Press, 1996 *

Also Published As

Publication number Publication date
FR2856864A1 (fr) 2004-12-31
DE10328860A1 (de) 2005-01-20
FR2856864B1 (fr) 2006-05-19
US20050041809A1 (en) 2005-02-24
US7450716B2 (en) 2008-11-11

Similar Documents

Publication Publication Date Title
DE2843583C2 (de) Verfahren für den zugriffsicheren Nachrichtenverkehr über einen ungesicherten Nachrichtenübertragungskanal
EP2742643B1 (de) Vorrichtung und verfahren zum entschlüsseln von daten
DE69834431T3 (de) Leckresistentes kryptographisches verfahren und vorrichtung
DE3685987T2 (de) Verfahren zum vermindern der fuer eine rsa-verschluesselung benoetigten veraenderlichen speicherkapazitaet.
DE102012201164B4 (de) Vorrichtung und verfahren zur erzeugung eines nachrichtenauthentifizierungscodes
EP2901611B1 (de) Seitenkanalgeschützte maskierung
EP2118739A1 (de) Reduktion von seiten-kanal-informationen durch interagierende krypto-blocks
DE112007003061T5 (de) Mechanismus zum Schützen eines Schlüssels
DE10143728B4 (de) Vorrichtung und Verfahren zum Berechnen eines Ergebnisses einer modularen Exponentiation
DE60025401T2 (de) Erzeugung eines mathematischen eingeschränkten schlüssels unter verwendung einer einwegfunktion
DE102016210786A1 (de) Komponente zur Anbindung an einen Datenbus und Verfahren zur Umsetzung einer kryptografischen Funktionalität in einer solchen Komponente
CH711133B1 (de) Protokoll zur Signaturerzeugung
DE602004006628T2 (de) Verfahren zur gesicherten ausführung eines rsa kryptographischen algorithmus, sowie diesbezüglicher baustein.
DE102005024609A1 (de) Bestimmung einer modularen Inversen
DE10328860B4 (de) Vorrichtung und Verfahren zum Verschlüsseln von Daten
CH708240A2 (de) Signaturprotokoll und Gerät zu dessen Umsetzung.
DE10304451B3 (de) Modulare Exponentiation mit randomisiertem Exponenten
EP1442391B1 (de) Verfahren und vorrichtung zum absichern einer berechnung in einem kryptographischen algorithmus
EP1454260B1 (de) Verfahren und vorrichtung zum absichern einer exponentiations-berechnung mittels dem chinesischen restsatz (crt)
EP1573955B1 (de) Verschl sselungsverfahren
DE10162496B4 (de) Verfahren und Vorrichtung zum Absichern einer Berechnung in einem kryptographischen Algorithmus
DE102004001659B4 (de) Vorrichtung und Verfahren zum Konvertieren einer ersten Nachricht in eine zweite Nachricht
EP0616447B1 (de) Verfahren zur gesicherten Datenübertragung über ungesicherte Verbindungen
DE602005003984T2 (de) Kryptografisches Verfahren und Gerät
DE10057203C1 (de) Verfahren zur Berechnung eines digitalen Signalwertes für ein cryptographisches Verfahren

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee