FR3002400A1 - Generation d'une cle de session pour l'authentification et la transmission de donnees securisees - Google Patents

Generation d'une cle de session pour l'authentification et la transmission de donnees securisees Download PDF

Info

Publication number
FR3002400A1
FR3002400A1 FR1400622A FR1400622A FR3002400A1 FR 3002400 A1 FR3002400 A1 FR 3002400A1 FR 1400622 A FR1400622 A FR 1400622A FR 1400622 A FR1400622 A FR 1400622A FR 3002400 A1 FR3002400 A1 FR 3002400A1
Authority
FR
France
Prior art keywords
session key
key
random number
communication partner
aes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1400622A
Other languages
English (en)
Other versions
FR3002400B1 (fr
Inventor
Berndt Gammel
Wieland Fischer
Stefan Mangard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to FR1400622A priority Critical patent/FR3002400B1/fr
Publication of FR3002400A1 publication Critical patent/FR3002400A1/fr
Application granted granted Critical
Publication of FR3002400B1 publication Critical patent/FR3002400B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • H04L9/0668Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator producing a non-linear pseudorandom sequence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Nonlinear Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un dispositif (20) de génération d'une clé de session (k0), qui est connue d'un premier partenaire de communication (P; T) et d'un deuxième partenaire de communication (T; P), pour le premier partenaire de communication (P; T), à partir d'une information secrète (kIV) pouvant être déterminée par le premier et le deuxième partenaire de communication, avec un moyen (22) pour obtenir un nombre aléatoire (rP; rT), un moyen (24) pour calculer la clé de session (ko) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rP; rT) et une partie de l'information secrète (kIV) et un moyen (28) pour utiliser la clé de session (k0) pour une communication avec le deuxième partenaire de communication.

Description

Génération d'une clé de session pour l'authentification et la transmission de données sécurisée.
Les exemples de réalisation de la présente invention concernent une génération d'une clé de session, telle qu'elle peut être utilisée par exemple pour une authentification réciproque entre deux partenaires de communication et une transmission de données successive. Une authentification réciproque sécurisée entre deux partenaires de communication, tels que par exemple deux terminaux d'abonné sous forme d'un appareil de lecture et d'une carte de données sans contact, peut, dans un procédé cryptographique symétrique être réalisée par exemple par un soi-disant procédé 'Challenge Response' (soit approximativement: procédé de réponse de défi), tel que par exemple un procédé 'Challenge Response' à deux ou trois directions. Un procédé 'Challenge Response' est un procédé d'authentification d'un partenaire de communication sur base de connaissance. Un partenaire de communication établit une mission (en anglais, challenge), que l'autre doit résoudre (en anglais, response), pour prouver qu'il connaît une certaine information. De tels procédés sont en général susceptibles d'attaques par canal latéral, telles que par exemple DPA (Differential Power Analysis), EMA (ElectroMagnetic Analysis), etc. C'est-à-dire qu'un agresseur peut, par exemple en enregistrant les profils de courant (profils de rayonnement EN) en cas de tentatives d'authentification répétées entre les partenaires de communication, reconstruire à un déploiement relativement faible une clé secrète de l'un des deux terminaux et, de ce fait, en principe cloner ce terminal.35 Les mesures sur le plan technique du matériel pour la protection d'un cryptage à la base de l'authentification, telles que par exemple un cryptage par bloc, sont relativement coûteuses.
L'objet de la présente invention consiste donc à proposer un concept pour éviter des attaques par canal latéral qui est amélioré par rapport aux mesures de protection conventionnelles.
Cet objectif est résolu par un dispositif de génération d'une clé de session (k0), qui est connue d'un premier partenaire de communication (P; T) et d'un deuxième partenaire de communication (T; P), pour le premier partenaire de 15 communication (P; T), à partir d'une information secrète (kIv) qui peut être déterminée par le premier et le deuxième partenaire de communication, ayant les caractéristiques suivantes: 20 un moyen pour obtenir un nombre aléatoire (rp; rT); un moyen pour calculer la clé de session (k0) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rp; rT) et une partie de l'information secrète (kiv); et 25 un moyen pour utiliser la clé de session (k0) pour une communication avec le deuxième partenaire de communication. L'invention vise aussi un procédé de génération d'une clé de 30 session (k0), qui est connue d'un premier partenaire de communication et d'un deuxième partenaire de communication, pour le premier partenaire de communication, à partir d'une information secrète (kni) pouvant être déterminée par le premier et le deuxième partenaire de communication, aux 35 étapes suivantes consistant à: obtenir un nombre aléatoire (rp; rT); calculer la clé de session (k0) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rp; rT) et une partie de l'information secrète (kiv); et utiliser la clé de session (1(0) pour une communication avec le deuxième partenaire de communication. L'invention vise enfin un programme d'ordinateur 10 corespondant. De préférence, le dispositif est caractérisé par le fait que le moyen pour obtenir le nombre aléatoire (rp; rT) est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire au 15 moins une première partie du nombre aléatoire. De préférence, le dispositif est caractérisé par le fait que le moyen pour obtenir le nombre aléatoire est adapté pour obtenir une deuxième partie du nombre aléatoire (rp; rT) du 20 deuxième partenaire de communication. De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session (k0) est adapté pour calculer la clé de session (k0) à l'aide d'un couplage non 25 linéaire (NLM) de l'au moins une partie du nombre aléatoire (rp; rT) et de la partie de l'information secrète (kTv). De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session (1(0) est adapté pour 30 mettre en oeuvre le couplage non linéaire (NLM) au moyen d'un registre à décalage rétrocouplé de manière non linéaire qui est chargé de l'au moins une partie (rp) du nombre aléatoire et couple en séquence des bits individuels de la partie de l'information secrète (kTv) avec des cellules du registre à 35 décalage.
De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session ((0) est adapté pour mettre en oeuvre le couplage non linéaire (NLM) au moyen d'un registre à décalage rétrocouplé de manière non linéaire qui est chargé de la partie de l'information secrète (kIv) et couple en séquence des bits individuels de l'au moins une partie (rp) du nombre aléatoire avec des cellules du registre à décalage.
De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session (k0) est adapté pour mettre en oeuvre le couplage non linéaire (NLM) au moyen d'un registre à décalage rétrocouplé de manière linéaire qui est défini par un polynôme irréductible (f(X)), de sorte qu'un résultat du couplage non linéaire (NLM) dépende d'une opération modulo d'un couplage multiplicatif de l'au moins une partie du nombre aléatoire (rp; rT) et de la partie de l'information secrète (k1v) avec le polynône irréductible (f(X)).
De préférence, le dispositif est caractérisé par le fait que le moyen pour calculer la clé de session (k0) est adapté pour utiliser une valeur (kp) dérivée du couplage non linéaire (NLM) comme clé pour un cryptage (AES), pour crypter l'information secrète (kIv) ou une valeur dérivée de cette dernière et pour obtenir, sur base du cryptage (AES), la clé de session (k0). De préférence, le dispositif est caractérisé par le fait que 30 le moyen pour calculer la clé de session (k0) est adapté pour utiliser l'information secrète (ku) ou une valeur dérivée de cette dernière comme clé pour un cryptage (AES), pour crypter une valeur (kp) dérivée du couplage non linéaire (NLM) et pour obtenir, sur base du cryptage (AES), la clé de session 35 (k0)- De préférence, le dispositif est caractérisé par le fait que le cryptage est un cryptage par bloc. De préférence, le dispositif est caractérisé par le fait que 5 le cryptage par bloc se base sur la norme 'Advanced Encryption Standard' (AES). De préférence, le dispositif est caractérisé par le fait que le moyen pour obtenir le nombre aléatoire est adapté pour 10 déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire (rE)) et pour obtenir un deuxième nombre aléatoire (rT) du deuxième partenaire de communication, et dans lequel le moyen pour calculer la clé de session (k0) est adapté pour obtenir la clé de session 15 (k0) sur base d'un deuxième cryptage (AES) d'une valeur (k') dérivée d'un premier cryptage (AES) avec une valeur dérivée du deuxième nombre aléatoire (rT), une valeur (kg) dérivée d'un couplage non linéaire (NLM) du premier nombre aléatoire (ri') et de la partie de l'information secrète (kTv) étant 20 utilisée comme clé pour le premier cryptage (AES), pour crypter l'information secrète (kTv) ou une valeur dérivée de cette dernière et pour obtenir, sur base du premier et du deuxième cryptage (AES), la clé de session (ko). 25 De préférence, le dispositif est caractérisé par le fait que le moyen pour obtenir le nombre aléatoire est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire (rg) et pour recevoir un deuxième nombre aléatoire (rT) du deuxième partenaire de 30 communication, et dans lequel le moyen pour calculer la clé de session (k0) est adapté pour calculer la clé de session (k0) sur base d'un cryptage (AES) d'une valeur dérivée de l'information secrète (k1v) avec une clé dérivée du premier (rE,) et du deuxième nombre aléatoire (rT). 35 De préférence, le dispositif est caractérisé par le fait qu'une information secrète (kIv) peut être déterminée au moyen d'une fonction d'obtention de clé (KD) sur base d'une identifikation spécifique à l'appareil (IV) et d'une clé générale (km).
De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (k0) est adapté pour calculer, pour la communication avec le deuxième partenaire de communication, une partie de contrôle (MAC) pour l'authentification d'un message sur base du message et de la clé de session (k0) ou d'une clé dérivée de cette dernière. De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (k0) est adapté pour calculer une partie de contrôle (Mi) d'un message à transmettre actuel sur base d'une clé actuelle (ki) dérivée de la clé de session (k0) et d'une clé suivante (ki+1) pour un message à transmettre suivant, la clé suivante (ki+i) dépendant de la clé actuelle (ki) dérivée et du message à transmettre actuel.
De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (k0) est adapté pour utiliser, pour le calcul de la partie de contrôle (Mi), un cryptage par bloc (AES) selon la norme 'Advanced Encryption Standard'. De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (1(0) est adapté pour crypter/décrypter, pour la communication avec le deuxième partenaire de communication, des blocs de données (Di) d'un message sur base de la clé de session (k0) ou d'une clé dérivée de cette dernière. De préférence, le dispositif est caractérisé par le fait que 35 le moyen pour utiliser la clé de session (k0) est adapté pour crypter/décrypter une clé actuelle (ki+1) pour un bloc de données à crypter/décrypter actuel (Di+1) sur base d'une clé précédente (ki) pour un bloc de données à crypter/décrypter précédent (Di) et d'une valeur prédéterminée (q). De préférence, le dispositif est caractérisé par le fait que le moyen pour utiliser la clé de session (k0) est adapté pour utiliser, pour le calcul de la clé actuelle (ki+1), un cryptage par bloc (AES) selon la norme 'Advanced Encryption Standard'.
Le procédé est caractérisé de préférence par : - une clé de session (k0) est générée tant par le premier que par le deuxième partenaire de communication sur base du nombre aléatoire (rp; rT) et de l'information secrète (k1v) ; 15 - un premier nombre aléatoire (kp) est, lors de l'obtention du nombre aléatoire, déterminé sur base d'un couplage non linéaire (NLM) d'un nombre aléatoire (rp) déterminé de manière aléatoire ou pseudo-aléatoire ou d'une valeur dérivée 20 de ce dernier et d'une partie de l'information secrète (k1v) et un deuxième nombre aléatoire (rT) est obtenu du deuxième partenaire de communication, et dans lequel le calcul de la clé de session (k0) se base sur un cryptage par bloc (AES) d'une valeur dérivée de l'information secrète (k1v) avec une 25 clé dérivée du premier (kp) et du deuxième nombre aléatoire (rT) ; - un premier nombre aléatoire (rp) est, lors de l'obtention du nombre aléatoire, déterminé de manière aléatoire ou 30 pseudo-aléatoire par le premier partenaire de communication et un deuxième nombre aléatoire (rT) est obtenu du deuxième partenaire de communication, et dans lequel le calcul de la clé de session (k0) se base sur un cryptage par bloc (AES) du deuxième nombre aléatoire (rT) avec un cryptage par bloc 35 (AES) de l'information secrète (k1v) avec un couplage non linéaire (NLM) du premier nombre aléatoire (rp) et de la partie de l'information secrète (k1v) ; - une clé de session (k0) est utilisée, dans un procédé d'authentification, comme secret commun pour une authentification entre le premier et le deuxième partenaire 5 de communication ; - un procédé de 'challenge response' pour une authentification unilatérale ou réciproque au moyen de la clé de session (k0). 10 Les exemples de réalisation de la présente invention se basent sur l'utilisation d'un procédé à base de protocole qui permet l'utilisation d'une mise en oeuvre de cryptage non protégé contre des attaques par canal latéral et, de ce fait, 15 plus économiques. Les exemples de réalisation permettent une dérivation sécurisée contre des attaques par canal latéral d'une soi-disant ,session key" ou clé de session. C'est-à-dire que, pour une authentification et sécurisation d'une transmission de données successive entre deux partenaires de 20 communication, il peut être dérivé, d'une ,root key" ou clé de base individuelle d'un terminal, une clé unique spécifique à la session (clé de session). La dérivation de la clé de session se base sur l'aide de nombres aléatoires qui, selon des exemples de réalisation, peuvent être échangés entre les 25 deux partenaires de communication. Une mise à disposition des nombres aléatoires par un tiers, un soi-disant tiers fiable (trusted third party), est également envisageable. Ci-après sont expliqués plus en détail des exemples de 30 réalisation de la présente invention, en référence aux figures jointes en annexe, dans lesquelles: la figure 1 est une représentation schématisée d'un protocole cryptographique selon un exemple de réalisation de la 35 présente invention; la figure 2A est un schéma-bloc d'un dispositif de génération d'une clé de session selon un exemple de réalisation de la présente invention; la figure 2B est un schéma-bloc d'un dispositif de génération d'une clé de session selon un autre exemple de réalisation de la présente invention. la figure 20 est un schéma-bloc d'un dispositif de génération 10 d'une clé de session selon encore un autre exemple de réalisation de la présente invention; la figure 3 est un schéma opérationnel d'un procédé de génération d'une clé de session selon un exemple de 15 réalisation de la présente invention; la figure 4 est une représentation d'une évolution d'un protocole d'authentification selon un exemple de réalisation de la présente invention; la figure 5a est une représentation détaillée d'une génération d'une clé de session et d'une authentification réciproque selon un premier exemple de réalisation de la présente invention; la figure 5b est une représentation détaillée d'une génération d'une clé de session et d'une authentification réciproque selon un autre exemple de réalisation de la présente invention; la figure 6 est un schéma d'ensemble d'un protocole d'échange de données selon un exemple de réalisation de la présente invention; 35 la figure 7 est une représentation d'un calcul d'une clé, dérivée de la clé de session, pour une transmission de 20 25 30 données entre les deux partenaires de communication, selon un exemple de réalisation de la présente invention; la figure 8 est une représentation schématisée d'une trame de 5 données à transmettre; la figure 9 est une représentation schématisée d'une génération d'une partie de contrôle pour l'authentification d'un message selon un exemple de réalisation de la présente 10 invention; la figure 10 est une représentation schématisée d'une génération de parties de contrôle successives pour l'authentification de messages successifs selon un exemple de 15 réalisation de la présente invention; la figure 11 est une représentation schématisée d'une trame de données cryptée; 20 la figure 12 est une représentation schématisée d'un cryptage d'une trame de données à transmettre selon un exemple de réalisation de la présente invention; la figure 13 est une représentation schématisée d'un cryptage 25 de trames de données à transmettre successives selon un exemple de réalisation de la présente invention; la figure 14 est une représentation schématisée d'un décryptage d'une trame de données reçue selon un exemple de 30 réalisation de la présente invention; la figure 15A est une représentation schématisée d'un registre à décalage autonome couplé en rétroaction de manière non linéaire selon un exemple de réalisation de la présente 35 invention; et la figure 15E est une représentation schématisée d'un registre à décalage couplé en rétroaction de manière non linéaire avec couplage selon un exemple de réalisation de la présente invention.
Les exemples de réalisation de la présente invention permettent une authentification réciproque sécurisée de deux partenaires de communication qui seront désignés ci-après, sans limitation de la généralité, comme terminal ou appareil de lecture T et carte à puce sans contact P (Proximity Integrated Circuit Card, PICC). De manière générale, on peut bien sûr aussi imaginer d'autres configurations des deux partenaires de communication, telles que par exemple des configurations serveur-client. Les cartes de proximité sont en général utilisées à proximité immédiate (Proximity) d'un appareil de lecture, par exemple à des fins de paiement. Il peut s'agir d'une carte à puce passive, en particulier d'une carte à puce passive RFID (RFID = Radio Frequency Identification) qui obtient son énergie de l'appareil de lecture. De telles cartes de proximité peuvent fonctionner par exemple à des fréquences de 125 kHz ou 13.56 MHz. Par ailleurs, les exemples de réalisation de la présente invention permettent une protection d'intégrité de messages échangés entre les deux partenaires de communication T et P après l'authentification. Une protection des messages échangés eux-mêmes, c'est-à-dire une protection de confidentialité, est également possible. Après une authentification réciproque selon un exemple de réalisation, les partenaires de communication peuvent convenir soit d'un mode de transfert de données avec protection d'intégrité, soit d'un mode de transfert de données avec protection de confidentialité. La condition requise est que puisse être déterminée, tant par le premier que par le deuxième partenaire de communication, une information secrète commune, de manière similaire à la soi-disant cryptographie à 'Private Key' (= clé privée).
La figure 1 illustre une représentation schématisée d'une partie cryptographique d'un protocole de communication selon un exemple de réalisation de la présente invention. La partie cryptographique du protocole se compose de deux parties: une authentification 10 et un transfert de données 12 successif. Pendant l'authentification 10, les deux partenaires de communication P et T s'authentifient mutuellement. Cela peut se faire, selon des exemples de réalisation, dans le cadre d'un protocole de 'challenge response' à trois directions. Le résultat de l'authentification 10 est soit une acceptation de l'autre partenaire de communication respectif ou un rejet de l'autre respectif. En cas d'acceptation, il résulte de l'authentification 10 un secret temporaire commun, une soi-disant 'session key' ou clé de session ko, et éventuellement quelques informations additionnelles qui sont nécessaires pour le transfert de données 12 successif.
Après une authentification 10 fructueuse, le premier partenaire de communication P peut libérer des parties de sa mémoire pour un accès par le deuxième partenaire de communication T. De ce dait, le deuxième partenaire de communication T peut lire et/ou écrire des blocs de données déterminés pour lesquels il possède des droits d'accès appropriés. La lecture/l'écriture de/dans la mémoire non volatile (NVM - Non Volatile Memory) de P peut être effectuée par P. Les commandes à cet effet peuvent toutefois provenir du deuxième partenaire de communication T. Cela vaut en particulier pour les exemples de réalisation dans lesquels le premier partenaire de communication P est une carte à puce sans contact et le deuxième partenaire de communication T est un appareil de lecture.
Pour sécuriser le transfert de données 12, il existe, selon les exemples de réalisation, deux mesures: un mécanisme de protection d'intégrité de données, également appelé mode MAC (MAC = Message Authentication Code). un mécanisme de protection de confidentialité, appelé mode de cryptage. Selon des exemples de réalisation, un seul des modes de protection peut être utilisé à un moment déterminé pour le transfert de données 12 entre les deux partenaires de communication P et T. La protection du transfert de données 12 est liée à l'authentification 10 par la clé de session ko déterminée pendant l'authentification précédente. Pour la protection d'intégrité, la clé de session 1(0 est utilisée, selon des exemples de réalisation, comme clé de base, pour générer de soi-disant 'Message Authentication Codes' (= codes d'authentification de message)(MAC), c'est-à-dire des parties de contrôle pour l'authentification d'un message envoyé.
Pour la protection de confidentialité, la clé de session 1(0 est utilisée comme clé de base, pour crypter les paquets de données transmis.
Après qu'ait été donné, en référence à la figure 1, un aperçu du concept selon l'invention, des exemples de réalisation de la présente invention seront décrits plus en détail en référence aux autres figures.
La figure 2A illustre à cet effet de manière schématisée un dispositif 20 de génération d'une clé de session ko, qui est connue d'un premier partenaire de communication et d'un deuxième partenaire de communication, pour le premier partenaire de communication. La clé de session k0 est générée 35 à partir d'une information secrète kn, qui peut être déterminée par le premier et le deuxième partenaire de communication. Le dispositif 20 est à cet effet associé au premier partenaire de communication. Lequel des deux partenaires de communication P et T considérés ici est désigné comme premier ou deuxième partenaire de communication est totalement sans importance.
Le dispositif 20 comporte un moyen 22 pour obtenir un nombre aléatoire r. Au moins une partie rp ou rT du nombre aléatoire r peut être alimentée vers un moyen 24 de calcul de la clé de session 1(0 à l'aide d'un couplage de l'au moins une partie du 10 nombre aléatoire et d'une partie de l'information secrète kTv. Pour obtenir l'information secrète kTv, il est prévu un moyen 26. La clé de session 1(0 calculée peut alors être utilisée par un moyen 28 pour une communication avec le deuxième partenaire de communication (non illustré). Pour la 15 communication avec le deuxième partenaire de communication, il est prévu une interface 29 avec une entrée 29a et une sortie 29b. Selon le partenaire de communication dans lequel est installé 20 le dispositif 20 de génération de la clé de session ko, des conditions requises différentes peuvent s'imposer pour les différents blocs ou moyens du dispositif 20. Si le dispositif 20 est installé par exemple dans une carte de proximité P, il est prévu, selon des exemples de réalisation, différentes 25 ressources pour garantir une authentification sécurisée et un transfert de données sécurisé entre P et T. Un schéma-bloc d'un dispositif 20 intégré dans une carte de proximité P est illustré à la figure 2B. 30 Le moyen 26 pour obtenir l'information secrète kTv est, selon cet exemple de réalisation, réalisé pour mettre à disposition une identifikation IV individuelle par puce du premier partenaire de communication, c'est-à-dire donc par exemple de la carte de proximité P, et pour en dériver l'information 35 secrète kIv. Cela peut se faire de manière spécifique au fabricant.
Le moyen 22 pour obtenir le nombre aléatoire comprend, selon des exemples de réalisation, un générateur de nombre aléatoire cryptographique RNG comme module de matériel. Par ce dernier peut être générée au moins une partie rp du nombre aléatoire r. Selon un exemple de réalisation, le moyen 24 pour calculer la clé de session ko comprend un module de matériel pour un cryptage ou décryptage. Il peut s'agir d'un cryptage par bloc, en particulier d'un cryptage par bloc selon la norme AES (AES = Advanced Encryption Standard). Le couplage de l'au moins une partie rp du nombre aléatoire et de la partie de l'information secrète kn, peut, du côté d'une carte à puce P sans contact être effectué par un module de matériel NLM.
Pour le couplage, il s'agit, selon un exemple de réalisation, d'un couplage ou reproduction non linéaire (NLM = Non Linear Map). Pour un appareil de lecture T, on peut en général se baser sur le fait qu'il se trouve dans un environnement sécurisé contre des attaques. De ce fait, moins de conditions pertinentes en matière de sécurité doivent être imposées pour la mise en oeuvre en technique de matériel d'un appareil de lecture. Aussi, purement du point de vue de la construction schématisée, un dispositif 20 de génération de la clé de session 1(0 intégrée du côté d'un appareil de lecture T ne diffère pas d'un dispositif 20 de génération de la clé de session ko inclus du côté d'une carte à puce P. Selon des exemples de réalisation, uniquement l'information secrète kIv est obtenue d'une autre manière du côté de l'appareil de lecture T, d'où il peut y avoir des différences de principe entre les partenaires de communication en ce qui concerne le moyen 26. Cela est illustré à la figure 2C.
Du côté d'un appareil de lecture T, le moyen pour obtenir l'information secrète kIv peut être rféalisé de manière à obtenir l'information secrète kr, sur base d'une identifikation IV spécifique à l'appareil de la carte à puce P et d'une clé générale km. La clé générale km et l'identifikation IV spécifique à l'appareil peuvent être amenées à la fonction d'obtention de clé KD, pour déterminer kIv. Avant d'entrer plus en détail sur un exemple de réalisation d'un procédé de génération d'une clé de session selon l'invention, il sera donné, en référence à la figure 3, un 10 aperçu approximatif des étapes de procédé. Les différentes étapes de procédé peuvent être effectuées par chacun des deux partenaires de communication. Les étapes de procédé peuvent toutefois tout aussi bien se répartir de 15 manière différente sur les deux partenaires de communication. Finalement, il est également imaginable qu'une troisième identité digne de foi effectue les étapes de procédé. Dans une première étape 32 est obtenu un nombre aléatoire r 20 ou une partie de celui-ci. Dans une deuxième étape 34 est calculée la clé de session ko à l'aide d'un couplage d'au moins une partie du nombre aléatoire et d'une partie de l'information secrète kIv. Ensuite, dans une troisième étape 36, la clé de session ko calculée est utilisée pour une 25 communication entre les deux partenaires de communication P et T. Pour la descfription détaillée qui suit est utilisée la notation mathématique suivante: 30 L'égalité mathématique de deux expressions x et y est exprimée par X = y, (1) 35 une attribution d'une valeur x à une variable y étant écrite comme y := x. (2) Un enchaînement z de deux nombres binaires x et y est z := x I y. (3) Une addition modulo 2 ou OU exclusif par bit de deux nombres binaires x et y est écrite comme z := x XOR y (4) Un cryptage d'un bloc de données m de 2' bits au moyen d'une clé k de 2Y bits est exprimé ci-après selon c := AES(key=k, m), (5) les exemples de réalisation de la présente invention prévoyant un cryptage par bloc, en particulier un cryptage 20 selon la norme AES. Par conséquent, un décryptage est désigné m := AES-1(key=k, c), (6) où il peut s'agir d'un décryptage par bloc selon la norme 25 AES. Un schéma opérationnel de la génération de la clé de session ko et d'une authentification réciproque des deux partenaires de communication P et T selon un exemple de réalisation de la 30 présente invention est illustré dans le schéma de déroulement/séquence à la figure 4. Ci-après sont données, pour chaque étape du côté du premier partenaire de communication P et du deuxième partenaire de 35 communication T, des explications détaillées en tenant compte d'un ordre d'exécution des étapes individuelles. Pour l'exemple de réalisation présenté à l'aide de la figure 4, l'ordre décrit des différentes étapes est important. Les étapes sont désignées par PO,P1,....,n ou TO,T1,...,Tn, P signifiant le premier partenaire de communication, T le deuxième partenaire de communication et les indices n l'ordre dans le temps. Les étapes qui peuvent être exécutées simultanément ou qui peuvent être interchangées pour faciliter une mise en oeuvre sont mises en évidence explicitement. Pour une représentation simpifiée, un nom est donné à chaque étape.
Pl: Génération d'un nombre aléatoire du côté du premier partenaire de communications P: Le générateur aléatoire sur puce RNG peut être mis en marche, pour générer, selon un exemple de réalisation, deux nombres aléatoires rp et Rp. Rp peut, selon les exemples de réalisation, être d'une largeur de 128 bits et être envoyé, comme soi-disant ,Challenge" ou défi au deuxième partenaire de communication T. Selon un exemple de réalisation, rp a une largeur de 32 bits et peut être utilisé pour calculer la clé de session ko. Rp et rp sont considérés comme étant des nombres binaires à bits aléatoires indépendants et répartis de manière uniforme. Selon un exemple de réalisation, le moyen 22 pour obtenir le nombre aléatoire est donc adapté pour déterminer de manière aléatoire ou pseudo-aléatoire au moins une première partie du nombre aléatoire. P2: Premier message du premier partenaire de communication P au deuxième partenaire de communication T: Selon les exemples de réalisation, le premier partenaire de communication P enchaîne son identification d'appareil IV, la valeur aléatoire de clé de session rp du côté de P et le 'challenge' aléatoire Rp du côté de P, pour obtenir un 35 premier message M1 qui est transmis au deuxième partenaire de communication T: := IV 11 rp I Rp (11) C'est-à-dire qu'après l'obtention des nombres aléatoires rp et Rp, rp est transmis, ensemble avec Rp et l'identification 5 spécifique à l'appareil IV, au deuxième partenaire de communication T. P3: Détermination de l'information secrète krv du côté du premier partenaire de communication P: 10 L'information secrète kIv peut être obtenue du côté de P par des mesures spécifiques au fabricant qui protègent l'information secrète kIv contre des attaques. 15 T4: Génération d'un nombre aléatoire du côté du deuxième Partenaire de communication T: Le moyen 22 pour obtenir le nombre aléatoire ou le générateur de nombres aléatoires RNG du côté du deuxième partenaire de 20 communication T peut être mis en marche, pour obtenir deux nombres aléatoires rT et RT. Selon les exemples de réalisation, RT peut être d'une largeur de 128 bits et servir de ,challenge" qui est transmis au premier partenaire de communication P. rT peut, selon les exemples de réalisation, 25 être d'une largeur de 32 bits et être utilisé pour calculer la clé de session ko. RT et rT comportent tous deux des bits aléatoires indépendants et répartis de manière uniforme. T5: Détermination de l'information secrète kw du côté du 30 deuxième partenaire de communication T: Après une réception du premier message M1 du premier partenaire de communication P (étape 22), le deuxième partenaire de communication T peut dériver l'information 35 secrète, c'est-à-dire, la clé secrète individuelle kIv du premier partenaire de communications, par exemple d'une clé générale km ensemble avec l'identification spécifique à l'appareil IV obtenue au moyen d'une fonction d'obtention de clé KD: kIv : =KD ( km, IV) . (14) Une définition de la fonction d'obtention de clé KD peut être spécifique au fabricant et n'a donc pas d'influence sur le protocole selon l'invention. Du côté d'un appareil de lecture T, l'information secrète kIv peut également être déterminée au moyen d'une fonction d'obtention de clé KD sur base d'une clé générale km et d'une identification spécifique à l'appareil IV de la carte à puce P. T6: Calcul de la clé de session ko du côté du deuxième 15 partenaire de communication T: La clé de session ko est calculée à l'aide d'un couplage SK d'au moins une partie du nombre aléatoire et d'une partie de l'information secrète ku. A cet effet, x = (x0,x1, 20 e GF(2) 128 et y = (Yo,Y1,-..,Y31) e GF(2)32, GF(2)n signifiant un corps de Galois, donc une quantité avec un nombre fini de 2n éléments, sur lequel sont définies les opérations de base addition, soustraction, multiplication et division. Une fonction 25 EXT: GF (2)128 GF (2)32 (15) signifie alors généralement une extraction de 32 bits quelconques d'une valeur de 128 bits. Selon les exemples de 30 réalisation, il s'agit de l'extraction des 32 bits à la valeur la plus basse. Par contre, la fonction PAD: GF(2)32 GF (2) 128 (16) 35 désigne un remplissage généralement à volonté d'une valeur de 32 bits, pour obtenir une valeur de 128 bits. C'est-à-dire que PAD désigne une règle de remplissage de bits. Selon les exemples de réalisation, il s'agit d'un remplissage de zéros d'une valeur de 32 bits, pour obtenir une valeur de 128 bits. Selon un exemple de réalisation, le deuxième partenaire de 5 communication T calcule une clé de session 1(0 commune et unique selon ko = SK(kiv,rp,rT) . SK signifie un couplage de kIv et d'au moins une partie (rp,rT) d'un nombre aléatoire r sous forme de fonction de calcul de clé de session. Selon un exemple de réalisation, la clé de session peut être calculée 10 comme suit: SK: kp := NLM(EXT(kiv),rp), k' := AES(key=PAD(kp),kiv), 15 ko := AES(key=PAD(rT),k'). C'est-à-dire que, dans une première sous-étape (Eq. 17), il peut être formé une reproduction ou un couplage non linéaire de 32 bits de l'information secrète kIV et de la valeur 20 aléatoire de 32 bits rp selon kp := NLM(EXT(kiv),rp), où vaut: NLM: GF(2)32 x GF(2)32- GF(2)32, z = NLM (x, y) (20) 25 c'est-à-dire que, selon les exemples de réalisation, le moyen 24 pour calculer la clé de session ko est adapté pour calculer la clé de session à l'aide d'un couplage non linéaire NLM de l'au moins une partie rp du nombre aléatoire et de la partie EXT(kiv) de l'information secrète kIv. Une 30 tâche du couplage non linéaire NLM est le couplage du secret individuel par puce kTv et du nombre aléatoire accessible publiquement rp, de sorte qu'il ne puisse pas être obtenu d'information relative à kIv au moyen d'une attaque de canal latéral ou DPA. Selon les exemples de réalisation, le secret 35 de 128 bits kTv et la variable aléatoire de 32 bits rp sont combinés pour obtenir une valeur précurseur de clé de session aléatoire de 32 bits kp. La clé de session définitive ko peut être déterminée sur base de la valeur précurseur kp. De manière formelle, le couplage non linéaire peut être défini selon l'Eq. (20). Etant donné que kp est, selon les exemples de réalisation, la seule base aléatoire pour la clé de session 1(0, il peut, selon l'exemple décrit ici, être généré un maximum de 232 clés de session différentes. Aussi, il suffit d'utiliser uniquement 32 bits de kni comme entrée pour le couplage non linéaire NLM. Bien entendu, il peut toutefois aussi être utilisé un autre nombre de bits, tel que par exemple 16, 64, 128, etc. Un registre à décalage rétrocouplé de manière non linéaire (NLFSR = Non-Linear Feedback Shift Register) peut être utilisé comme mise en oeuvre hautement efficace du couplage non linéaire NLM. Un registre à décalage rétrocouplé de manière non linéaire présente la propriété qu'il maintient un état zéro, c'est-à-dire un étant dans lequel toutes les cellules de registre sont initialisées à zéro. Tout état initial différent de zéro se répétera, par exemple dans le cas de 32 cellules de registre, exactement après 232 - 1 cycles. En d'autres termes, un état du registre à décalage, s'il est à fonctionnement autonome, se répète avec une période de 232-1.
Une représentation schématisée d'une possible mise en oeuvre d'un registre à décalage rétrocouplé de manière non linéaire selon un exemple de réalisation de la présente invention est donnée à la figure 15A.
Tous les contenus des 32 cellules de registre Do à Dn sont alimentés vers la fonction f. Après chaque cycle, un contenu d'une cellule de registre peut être transmis à une cellule de registre voisine, tel qu'indiqué par les flèches dessinées à la figure 15A. C'est-à-dire que le contenu de la cellule de registre D1 est transmis à la cellule de registre DO, le contenu de la cellule de registre D2 est transmis à la cellule de registre D1, etc. Le résultat de la fonction f est écrit dans la cellule de registre Dm, après que celle-ci ait transmis sa valeur précédente à la cellule D30. Un possible calcul du couplage non linéaire NLM au moyen du 5 NLFSR implique, selon un exemple de réalisation, les étapes suivantes: 1. Régler l'état initial du NLFSR: Charger rp[0..31] dans les cellules de registre 10 D[0..31]. 2. Insérer la partie de l'information secrète: La partie de l'information secrète 1(1\7[0..31] est couplée en séquence, selon l'ordre k1v[0], k1v[1], kIv[2], 15 kiv[31] dans le NLFSR, tel que représenté à la figure 15B. Le NLFSR est synchronisé après chaque étape de couplage. C'est-à-dire que l'insertion de la partie kIv[0. .31] requiert TsIK = 32 cycles. 20 3. Coupler Le NLFSR est synchronisé de manière autonome pour une période Tmix = 64 cycles. C'est-à-dire que rien n'est inséré ou couplé dans le registre pendant cette période Tpilx. Après 64 cycles, le contenu de reigstre T[0..31] 25 constitue la valeur précurseur de clé de session kp. Selon un autre exemple de réalisation de la présente invention, le couplage non linéaire NLM peut être réalisé, au lieu d'au moyen d'un registre à décalage rétrocouplé de 30 manière non linéaire, également sur base d'un polynôme irréductible f(X), donc d'un polynôme qui ne peut pas être écrit comme produit de deux polynômes non triviaux. Avec x= (x0, xl . . , x31) Y= (x0, Yi, . .,Y31) r z=(zo,z1, . . Zn) Z = 35 NLM(x,y) peut être déterminé par exemple selon z31X31 +. . . + + zo = (x31(31 +.. . + xixl + xo)* (y31)(31 +... + yo) mod f (X) (21) ou en bref, z = x * y mod f. Etant donné qu'il s'agit ici 5 d'une multiplication dans le corps fini GF(232), NLM (x, NLM (yi, y2) ) = NLM (NLM (x, yi) Y2) est d'application. C'est pourquoi, une mise en oeuvre de l'Eq. (17) selon rp := NLM(r1,r2), (22) 10 k'p := NLM (EXT (kiv) ri) r (23) kp := NLM(k'p,r2) (24) peut être sécurisée contre des attaques DPA, pour autant que EXT(kiv) # (0,0,...,0). Selon cet exemple de réalisation, le 15 couplage non linéaire selon l'Eq. (17) est subdivisé en deux couplages non linéaires selon les Eq. (23) et (24). A cet effet, le générateur de nombres aléatoires RNG génère, dans un mode de réalisation alternatif de l'étape Pl, trois valeurs aléatoires rl, r2 et Rp. Rp peut, selon les exemples 20 de réalisation, être d'une largeur de 128 bis et sera envoyé comme soi-disant ,challenge" ou défi au deuxième partenaire de communication T. r1 et r2 peut être d'une largeur de 32 bits et sont utilisés pour le calcul de la clé de session 1(0. Rp et rl, r2 sont considérés être des nombres binaires avec 25 des bits aléatoires indépendants et répartis de manière uniforme. Le premier partenaire de communication P calcule rp := NLM(r1,r2) et mémorise r1 et r2 dans une mémoire temporaire. 30 Une réalisation de NLM avec le polynône irréductible f(X) utilise, selon un exemple de réalisation, principalement un registre à décalage rétrocouplé de manière linéaire (LFSR) qui est défini par le polynôme f(X), ensemble avec un deuxième registre qui contient le premier argument x de la 35 fonction z = NLM(x,y). Le deuxième registre est couplé au LFSR par l'intermédiaire de portes ET et XOR logiques. La valeur z peut être calculée par exemple comme suit: 1. Placer toutes les cellules de registre du LFSR à zéro: 2. Charger les cellules de registre Xi du deuxième registre de la valeur xi (i=0,...,31) 3. Coupler les valeurs yn, ym,...,y0 dans la porte ET pour une période T = 32 cycles, pour coupler y avec x. 4. Après 32 cycles, le contenu de registre du LFSR constitue la valeur z=(zo,z1,...,z31).
C'est-à-dire que le moyen pour calculer la clé de session ko est, selon un exemple de réalisation, adapté pour mettre en oeuvre le couplage non linéaire NLM au moyen d'un registre à décalage rétrocouplé de manière linéaire qui est défini par un polynôme irréductible f(X), de sorte qu'un résultat du couplage non linéaire (NLM) dépende d'une opération modulo d'un couplage multiplicatif de l'au moins une partie du nombre aléatoire et de la partie de l'information secrète kIv par le polynône irréductible f(X) (cf. Eq. 23 en rapport avec l'Eq. 21).
A l'aide d'une mise en oeuvre adéquate du couplage non linéaire NLM peut être obtenue une réduction importante de fuites par canal latéral pendant la génération de la clé de session ko - et ce dans une mesure telle que les attaques DPA deviennent pratiquement impossibles, même pour des agresseurs expérimentés. Par ailleurs, le calcul de la clé de session ko peut être acéléré par le couplage non linéaire NLM. Dans une étape suivant le couplage non linéaire NLM, l'information secrète kIv est couplée avec la valeur précurseur de clé de session kp selon l'Eq. (18). Il s'agit ici, pour le couplage AES (.,.), d'un algorithme de cryptage. Selon les exemples de réalisation, il s'agit, pour l'algorithme de cryptage AES, d'un cryptage par bloc ou d'un chiffrage par bloc. En particulier, il peut être utilisé un cryptage par bloc selon la soi-disant 'Advanced Encryption Standard' (AES). C'est-à-dire que, selon les exemples de réalisation, le moyen 24 pour calculer la clé de session 1(0 est adapté pour utiliser une valeur kp dérivée du couplage non linéaire NLM comme clé pour un cryptage AES, pour crypter l'information secrète kIv ou une valeur dérivée de cette dernière et pour obtenir, sur base du cryptage, la clé de session ko. Selon les exemples de réalisation, il est également possible que seul le premier partenaire de communication P détermine un nombre aléatoire rp, mais toutefois pas le deuxième partenaire de communication T. Dans ce cas, la valeur k' selon l'Eq. (18) résultant du cryptage serait déjà la clé de session.
Dans l'exemple de réalisation décrit ici, le cryptage selon l'Eq. (18) peut toutefois être davantage amélioré par le deuxième nombre aléatoire rT en couplant, dans une troisième étape (Eq. 19), le résultat intermédiaire k' avec la deuxième valeur aléatoire rT selon ko:=AES(key=PAD(rT),k'), (22) pour obtenir finalement la clé de session ko commune. Si les Eq. (17) - (19) sont regroupées, le moyen 24 pour calculer la 25 clé de session ko est, selon les exemples de réalisation, adapté pour calculer la clé de session ko sur base de ko = AES (PAD ( rT) (AES (PAD (NLM (EXT(kiv) rp) ) kiv) (23) 30 rp signifiant un premier nombre aléatoire, rT un deuxième nombre aléatoire et kIv l'information secrète, et NLM(*,*) correspondant au couplage non linéaire, EXT(*) à une règle d'extraction, PAD(*) à une règle de remplissage de bits et AES(*,') à un cryptage par bloc selon la norme 'Advanced 35 Encryption Standard'.
On peut par ailleurs s'imaginer que les étapes selon les Eq. (18) et (19) soient remplacées par une seule étape de cryptage, par exemple selon 1(0 := AES(key=PAD2(kp) XOR PAD(rT) ,kiv) (24) la fonction PAD2: GF(2)32- GF(2) 128 (25) signifiant un remplissage d'une valeur de 64 bits qui résulte d'un dédoublement des 32 bits de la valeur d'entrée y. En particulier, la valeur de 64 bits peut être remplie de zéros.
C'est-à-dire que, selon un exemple de réalisation, le moyen 22 pour obtenir le nombre aléatoire est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire rp et pour obtenir un deuxième nombre aléatoire rT de l'autre partenaire de communication.
Le moyen 24 pour calculer la clé de session 1(0 est adapté pour calculer la clé de session 1(0 sur base d'un cryptage AES d'une valeur dérivée de l'information secrète kTv avec une clé dérivée du premier rp et du deuxième nombre aléatoire rT. Selon un autre exemple de réalisation, le moyen 22 pour obtenir le nombre aléatoire est adapté pour déterminer un premier nombre aléatoire kp sur base d'un couplage non linéaire NLM d'un mombre aléatoire rp déterminé de manière aléatoire ou pseudo-aléatoire ou d'une valeur dérivée de ce dernier et d'une partie EXT(kiv) de l'information secrète kTv et pour obtenir un deuxième nombre aléatoire rT de l'autre partenaire de communication. Le moyen 24 pour calculer la clé de session ko est adapté pour calculer la clé de session ko sur base d'un cryptage AES d'une valeur dérivée de l'information secrète kTv avec une clé dérivée du premier kp et du deuxième nombre aléatoire rT (cf. Eq. 24).
T7: Calcul de la réponse du côté du deuxième partenaire de communication T A l'étape T7, le deuxième partenaire de communication T 5 calcule une ,response" ou réponse cp au 'challenge" Rp du premier partenaire de communication P, la clé de session de l'étape T6 étant utilisée à cet effet: cp := AES (key---ko, R0) (26) 10 T8: Deuxième message du deuxième partenaire de communication T au premier partenaire de communication P A l'étape T8 sont enchaînés du côté du deuxième partenaire de 15 communication T la Response cp calculée à l'étape T7, la valeur aléatoire rT déterminée du côté du deuxième partenaire de communication T et le challenge aléatoire RT, pour former un deuxième message M2. Ce message M2 est transmis du deuxième partenaire de communication T au premier partenaire 20 de communication P: M2 := c0 I rT I RT - (27) Le deuxième partenaire de communication T détermine donc, 25 selon un exemple de réalisation, tout d'abord sur base d'un couplage AES de 1(0 et Rp par l'intermédiaire d'un algorithme cryptographique, une réponse au challenge Rp du premier partenaire de communication P (Eq. 26) et la transmet ensemble avec le deuxième nombre aléatoire rT et la quantité 30 aléatoire RT, au premier partenaire de communication P. P9: Calcul de la clé de session ko du côté du premier partenaire de communication P: 35 Après que le premier partenaire de communication P ait obtenu le deuxième message M2 avec le deuxième nombre aléatoire rT, la clé de session commune peut également être calculée, du côté du premier partenaire de communication P, selon 1(0 = SK kiv, rp,rT), en effectuant, du côté du premier partenaire de communication P, les trois mêmes étapes que les étapes déjà décrites en référence aux Eq. (17) - (19) du deuxième 5 partenaire de communication T: kp = NLM (EXT ( kiv) rp) (28) k' = AES ( key-PAD ( kp) , kIv) (29) ko = AES ( key-PAD (rT) , k' ) . (30) 10 Les deux premières étapes, c'est-à-dire le calcul de kp et k', peuvent également déjà être réalisées avant la réception du deuxième message M2. Il y a lieu de mentionner à nouveau ici que la troisième étape, c'est-à-dire le calcul de ko 15 selon l'Eq. (30) ne doit être effectuée que lorsque le deuxième nombre aléatoire rT est déterminé, par exemple du côté du deuxième partenaire de communication T. Tel que déjà mentionné plus haut, les exemples de réalisation de la présente invention comprennent également les cas où un nombre 20 aléatoire est uniquement combiné du côté du premier partenaire de communication P ou par un tiers digne de confiance et mis à disposition des partenaires de communication P, T. L'étape selon l'Eq. (30) sert donc à augmenter davantage la sécurité du calcul de clé. Selon 25 l'exemple de réalisation décrit ici, le moyen 22 pour obtenir le nombre aléatoire du côté de P est également adapté pour déterminer de manière aléatoire ou pseudo-aléatorie un premier nombre aléatoire rp et pour obtenir un deuxième nombre aléatoire rT du deuxième partenaire de communication 30 T. Le moyen 24 pour calculer la clé de session ko est adapté pour obtenir la clé de session ko sur base d'un deuxième cryptage (Eq. 30) d'une valeur k' dérivée d'un premier cryptage (Eq. 29) avec une valeur dérivée du deuxième nombre aléatoire rT, une valeur kp dérivée d'un couplage non 35 linéaire (Eq. 28) du premier nombre aléatoire rp et de la partie de l'information secrète kTv étant utilisée comme clé pour le premier cryptage, pour crypter l'information secrète ou une valeur dérivée de cette dernière, et pour obtenir, sur base du premier et du deuxième cryptage, la clé de session ko.
Tel qu'il a déjà été décrit plus haut, il est également possible que les étapes selon les Eq. (18) et (19) ou les Eq. (29) et (30) soient remplacées par une seule étape de cryptage, par exemple selon ko := AES (key=PAD2 (kg) XOR PAD (rT) kni) - (31) Au cas où NLM se base sur le polynône irréductible f(X), le calcul de la clé de session ko du côté du premier partenaire de communication P, selon un exemple de réalisation, peut 15 également se faire selon k' p : = NLM (EXT (kiv) ri) r (32) kp : = NLM(k' g, r2) (33) ko AES (key=PAD2 (kg) XOR PAD (rT) , kiv) - (34) 20 P10: Calcul de la réponse du côté du premier partenaire de communication P: Dans une étape P10, le premier partenaire de communication P 25 calcule, selon un exemple de réalisation, une réponse cT au défi RT du deuxième partenaire de communication T, sur base de la clé de session commune kt) qui a été calculée à l'étape P9: 30 cT := AES(key=ko, RT). (35) C'est-à-dire que la clé de session 1(0 est utilisée comme clé pour un cryptage par bloc selon la norme AES, pour crypter le défi RT du deuxième partenaire de communication T et, donc, 35 pour obtenir la réponse cp.
P11: Troisième message (du premier partenaire de communication P au deuxième partenaire de communication T): Dans une étape Pli, le premier partenaire de communication P 5 envoie au deuxième partenaire de communication T la réponse CT calculée à l'étape P10. P12: Vérification de réponse du côté du premier partenaire de communication P: A cet effet est crypté, du côté du premier partenaire de communication P, le défi aléatoire Rp qui a été envoyé au moyen du premier message M1 au deuxième partenaire de communication T, à l'aide de la clé de session ko selon cp' = AES(key=k0, Rp), (36) pour obtenir une valeur de comparaison de réponse cp'. Ensuite, la valeur de comparaison de réponse cp' obtenue du 20 côté du premier partenaire de communication P est comparée avec la réponse cp qui a été obtenue par le deuxième partenaire de communication T à l'aide du deuxième message M2- Si cp' = cp, le deuxième partenaire de communication T peut être authentifié fructueusement du côté du premier 25 partenaire de communication P. Autrement, l'authentification est échouée. En cas d'échec de l'authentification, une nouvelle communication entre les deux partenaires de communication P, T doit être arrêtée. L'échec de l'authentification peut être signalé au deuxième partenaire 30 de communication T. T13: Vérification de réponse du côté du deuxième partenaire de communication T: 35 A cet effet est crypté, du côté du deuxième partenaire de communication T, le défi aléatoire RT qui a été envoyé au 10 15 deuxième partenaire de communication P au moyen du deuxième message M2, à l'aide de la clé de session ko selon cT' = AES (key=ko, RT) r (37) pour obtenir une valeur de comparaison de réponse cT'. Ensuite, du côté du deuxième partenaire de communication T, la valeur de comparaison de réponse cT' est comparée avec la réponse cT qui a été obtenue du deuxième partenaire de communication T par le troisième message M3 (étape P11),. Si cT' = cT, le premier partenaire de communication P peut être authentifié fructueusement du côté du deuxième partenaire de communication T. Autrement, l'authentification échoue. En cas d'échec de l'authentification, une nouvelle communication entre les deux partenaires de communication P, T doit être arrêtée. L'échec de l'authentification peut être signalé au premier partenaire de communication P. Une représentation graphique détaillée des exemples de réalisation qui viennent d'être décrits pour le procédé d'authentification, ensemble avec les blocs de matériel/ logiciel y impliqués du côté des deux partenaires de communication P, T, est donnée aux figures 5a et 5b.
Après une authentification fructueuse 10 et une génération fructueuse de la clé de session 1(0, il peut être passé à l'étape 12 de transfert de données entre les deux partenaires de communication P et T. A cet effet, le premier partenaire de communication P peut rendre accessibles des parties de sa mémoire au deuxième partenaire de communication (éventuellement aussi inversement), de sorte que le deuxième partenaire de communication T puisse lire des blocs de données déterminés pour lesquels il possède des droits d'accès correspondants. De même, T peut écrire des blocs de données déterminés. La lecture ou la programmation de ou dans une mémoire non volatile du premier partenaire de communication P est alors certes provoquée par P lui-même. Le premier partenaire de communication P reçoit toutefois les commandes à cet effet du deuxième partenaire de communication T.
La communication ou le transfert de données entre les deux partenaires de communication P et T peut être organisé en trames de données Fl, F2, F3, .... qui peuvent être transmises tant de P à T qu'inversement. Pour des raisons de sécurité, il est requis pour chaque trame de données Fi une clé secrète ki comme entrée. Après qu'une trame de données Fi ait été traitée, il peut être généré une nouvelle clé ki+1 qui peut être utilisée pour la trame de données Fill à transmettre suivante. Une première clé secrète kl pour la première trame de données F1 à transmettre est dérivée de la clé de session 1(0. Toutes les trames de données contiennent des paquets de données pertinents pour la sécurité D1, D2, D3,... qui sont échangés entre les deux partenaires de communication P et T.
Peu importe la direction dans laquelle les paquets de données sont envoyés. Ils peuvent être indexés selon leur occurrence globale, tel que représenté de manière schématisée et à titre d'exemple à la figure 6.
Selon un exemple de réalisation de la présente invention, chaque paquet de données Dx contient tout au plus 128 bits, d'autres grandeurs de paquet de données étant bien sûr aussi imaginables. Les paquets de données qui sont envoyés du premier partenaire de communication P au deuxième partenaire de communication T peuvent contenir des données lues de la mémoire de P. Les paquets de données dans l'autre direction, c'est-à-dire de T à P, peuvent contenir des données qui doivent être écrites dans la mémoire de P. En outre, les paquets de données échangés peuvent contenir des ordres de lecture/écriture et/ou des adresses de mémoire des données. Une couche de protocole supérieure (Wrapping Protocol Layer) définit, selon les exemples de réalisation, celles parmi les données de contrôle qui peuvent être envoyées en dehors des paquets de données Dx soumis aux mécanismes de protection décrits ici.
Les paquets de données peuvent être disposés en trames de données contenant des paquets de données successifs. Tous les paquets de données d'une trame de données sont envoyés dans la même direction, c'est-à-dire soit de T à P, soit inversement, de P à T, et ont un ordre particulier.
L'organisation à cet effet est assurée par la couche de protocole supérieure. Les paquets de données transmis pendant le transfert de données 12 peuvent être cryptés, en mode de protection de confidentialité, par exemple au moyen d'un algorithme AES. A cet effet, chaque paquet peut avoir, par exemple, exactement une grandeur de 128 bits. D'autre part, pendant le transfert de données 12, le mode de protection d'intégrité peut également être utilisé, en calculant des codes d'authentification de message (MAC). Dans ce cas, la grandeur des paquets de données peut être inférieure ou égale à 128 bits. Chaque trame de données peut, dans ce cas, comporter un paquet de MAC Mi qui ne fait pas partie des paquets de données D1, D2, D3,...
Tel qu'indiqué de manière schématisée à la figure 6, une première étape 61 de la phase de transfert de données est la dérivation de la première clé secrète k1 pour la première trame de données F1 à transmettre sur base de la clé de 30 session ko. L'étape 61 est identique tant pour le mode de protection d'intégrité que pour le mode de protection de confidentialité. Les paramètres d'entrée pour l'étape 61 peuvent, tel que représenté à la figure 7, être la clé de session 1(0, ainsi que les deux défis aléatoires Rp et RT qui 35 ont été générés pendant la phase d'authentification 10 tant par le premier partenaire de communication P que par le deuxième partenaire de communication T. Selon un exemple de réalisation, la première clé kl peut être calculée selon kl := AES(key = Rp; ko XOR RT), (38) tel que représenté graphiquement à la figure 7a. C'est-à-dire que la valeur de défi Rp peut être utilisée comme clé pour un cryptage AES, pour crypter un couplage XOR de la valeur de défi RT et de la clé de session 1(0 et pour obtenir, sur base rend du cryptage AES, la première clé dérivée kl. Selon un autre exemple de réalisation, la prfemière clé kl peut également être calculée selon kl := AES(key = Rp; 1(0 XOR RT) XOR (k0 XOR RT), ( 39 ) tel que le montre graphiquement la figure 7b. En mode de protection d'intégrité, chaque trame de données Fi 20 peut être pourvue d'une partie de contrôle (MAC) Mi pour l'authentification de la trame de données, la partie de contrôle Mi étant générée au moyen d'une clé ki correspondante. Pour la partie de contrôle Mi, il peut s'agit par exemple d'un CBC-MAC (Cipher Block Chaining Message 25 Authentication Code), d'un HMAC (keyed-Hash Message Authentication Code), d'un OMAC (One-key MAC), d'un UMAC (message authentication code based on universal hashing), d'un PMAC (Parallelizable MAC) ou d'un CMAC (Cipher-based MAC). 30 L'ordre des paquets de données Dx,D.+1, . ..,Dy d'une trame de données Fi est décidée par la partie de contrôle Mi, tel que cela est illustré de manière schématisée à la figure 8. L'émetteur de la trame Fi utilise ki et les paquets de 35 données D Dx+i, 'Dy, pour déterminer la partie de contrôle Mi et envoie (D',...,Dy,Mi) dans la trame Fi. C'est-à-dire que le moyen 28 pour utiliser la clé de session 1(0 est, selon les exemples de réalisation, adapté pour calculer, pour la communication avec le deuxième partenaire de communication, une partie de contrôle Mi pour l'authentification d'un message Fi sur base du message et de la clé de session 1(0 ou d'une clé ki dérivée de cette dernière. De la même manière, le récepteur de la trame de données Mi avec le contenu (Dx,...,Dy,Mi) peut être réalisé pour utiliser ki et les paquets de données Dx,Dx+1,...,Dy reçus, pour calculer une partie de contrôle qui en résulte. Le récepteur compare la partie de contrôle résultante avec la valeur Mi reçue. Si les deux valeurs sont identiques, le transfert de données entre les deux partenaires de communication peut être continué, autrement le transfert de données doit être arrêté.
Le récepteur peut informer l'émetter par une erreur de MAC. Les deux partenaires de communication P et T calculent également la clé ki+1 pour une trame de données Fi+1 à transmettre suivante (voir la figure 6, étapes 62, 63, 64).
Selon un exemple de réalisation de la présente invention, la partie de contrôle Mi et la clé suivante ki+1 peuvent être calculées comme suit: (40) hx := AES(key - hx; Dx) XOR Dx, hx+1 := AES(key - hx+i; Dx+1) XOR Dx+1 h+2; D+2) XOR Dx+2 hx+2 := AES(key = hy; Dy) XOR Dy, ki; ki+1) XOR ki+1, hx+3 := AES(key = := hy+1 hy+1 ki+1 M', := AES(key = := EXT(M'i) Si la grandeur d'un paquet de données Dx est de moins de 128 bits, le paquet de données Dx correspondant peut être rempli de zéros, pour obtenir une grandeur de 128 bits. Le paquet de données Dx rempli peut alors être utilisé comme entrée pour le cryptage AES par bloc et/ou les couplages XOR. La génération de la valeur de contrôle Mi et de la clé 5 suivante ki+1 est à nouveau illustrée graphiquement à la figure 9. Il ressort clairement de la figure 9 que la clé suivante ki+1 est déterminée à partir de la clé précédente ki et des 10 différents paquets de données D',Dx+1,...,Dy de la trame de données Fi. Un premier paquet de données Dx est crypté par bloc avec la clé précédente ki, le résultat de ce cryptage par bloc est à nouveau couplé XOR au premier paquet de données Dx, le résultat de couplage étant, à son tour, 15 utilisé comme clé pour crypter par bloc le deuxième paquet de données Dx+1, pour coupler, à son tour, le résultat de ce cryptage par bloc au deuxième paquet de données Dx+1 et pour utiliser, à son tour, le résultat de ce couplage comme clé pour le paquet de données suivant Dx+2, etc. 20 La partie de contrôle Mi est formée en utilisant la clé précédente ki comme clé, pour crypter la clé suivante ki+1 selon un cryptage par bloc AES. Le résultat de ce cryptage peut être couplé XOR avec ki+1, pour obtenir la valeur de 25 contrôle MAC Mi. C'est-à-dire que, selon un exemple de réalisation de la présente invention, le moyen 28 pour utiliser la clé de session est adaptée pour calculer une partie de contrôle Mi d'un message à transmettre actuel Fi, sur base d'une clé ki dérivée de la clé de session 1(0 et 30 d'une clé suivante ki+1 pour un message à transmettre suivant Fi+1, la clé suivante ki+1 étant fonction de la clé actuelle dérivée ki et du message à transmettre actuel Fi. La figure 10 illustre un déroulemet d'ensemble du mode de 35 protection d'intégrité pour deux trames de données à transmettre, en commençant par la génération de la première clé kl sur base de la clé de session ko.
En mode de protection de confidentialité, chaque trame de données Fi est sécurisée en cryptant les blocs de données D., pour obtenir des blocs cryptés Ci, la clé ki étant chaque fois utilisée à cet effet. Cette procédure est illustrée de manière schématisée à la figure 11. L'émetteur de la trame de données Fi utilise ki et les paquets de données D, D+1, . ..,Dy, crypte chaque paquet de 10 données Di, pour obtenir un paquet crypté Ci et envoie Cy) dans la trame de données F. Le récepteur de la trame de données Fi avec (C.,...., Cy) utilise également la clé ki et les C.,...,Cy cryptés, pour récupérer les paquets D.+1, . . ,D, non cryptés. Les deux partenaires de 15 communication calculent la clé suivante ki+1 pour la trame de données suivante Fi+1. Pour le traitement de messages plus longs, il existe différentes procédures. Les données peuvent tout d'abord être subdivisées en paquets de données D. dont la grandeur est prédéterminée par l'algorithme de cryptage 20 (par exemple 128 bits). Les modes de fonctionnement Electronic Code Book Mode (ECB) et Cipher Block Chaining Mode (CBC) présupposent des paquets de données entiers. Aussi, le dernier paquet de données Dy peut être rempli de données de remplissage (padding). Les paquets de données peuvent ensuite 25 être cryptés successivement. Dans un procédé CEC souvent utilisé, le résultat du cryptage d'un paquet de données, Chiffre (en anglais Cipher) du paquet de données crypté auparavant est couplé ou enchaîné avec le paquet de données suivant. Les calculs de l'émetteur, pour obtenir Ci et ki+1, 30 sont, selon un exemple de réalisation, comme suit: 35 := ki, hi; q) XOR q, h.; D.) , := AES(key = := AES(key = := AES(key = := AES(key = h.; q) XOR q, h.+1; Dx+i) hy := AES(key = hy_1; q) XOR q, Cy := AES(key = hy; Dy), ki+1 := hy (41) La valeur q signifie par exemple une valeur de 128 bits qui peut être définie à volonté, mais reste ensuite toutefois fixe. Selon les exemples de réalisation, la grandeur d'un paquet de données Dx peut toujours être de 128 bits. Un 10 remplissage avec des zéros, pour obtenir cette grandeur, peut être réalisé par une couche de protocole supérieure. La structure de la génération de clé en mode de protection de confidentialité, qui est représentée graphiquement à la figure 12, est, selon les exemples de réalisation, identique 15 à la génération de clé en mode de protection d'intégrité ou MAC. Une comparaison des figures 9 et 12 montre que, par rapport au mode MAC, D'i en mode de protection de confidentialité est uniquement remplacé par la constante q. Cette procédure offre l'avantage qu'il peut ainsi être évité 20 une réduction de ressources de matériel, par exemple sous forme de trajets de contrôle et de données additionnels. Tout comme la figure 10 pour le mode MAC, la figure 13 illustre, pour le mode de protection de confidentialité, un 25 flux de données total pour deux trames de données à transmettre, où il est commencé par la génération de la première clé kl, sur base de la clé de session ko. La figure 14 illustre, de manière analogue à la figure 12, un 30 schéma du décryptage des paquets cryptés Cx,...,Cy de la trame de données Fi du côté d'un récepteur de la trame de données. Le calcul des clés ki et ki+1, ainsi que de toutes les clés intermédiaires h,1, hx, hx+1, ... entre ces dernières s'effectue de manière identique à celui du côté de l'émtteur, 35 c'est-à-dire selon les Eq. (41). Pour décrypter les paquets cryptés Cx, les clés intermédiaires hx déterminées sont utilisées comme clé pour un décryptage par bloc AES-1 inverse au cryptage par bloc AES: := hx := AES ( key = hi; q) XOR q, Dx := AES-1( key = hx; Cx) , hx+1 := AES ( key = hx; q) XOR q, Dx+i := AES-1( key = h+1; C.+1) hy := AES ( key = hy_1; q) XOR q, Dy := AES-1( key = hy; C'), ki+1 := hy (42) Etant donné que les deux partenaires de communication P et T agissent, en général, tant comme émetteur que comme récepteur, le moyen 28 pour utiliser la clé de session est donc, selon les exemples de réalisation, adapté pour crypter ou décrypter une clé actuelle ki+1 pour un bloc de données actuel à crypter ou décrypter Dili/Cili, sur base d'une clé précédente ki pour un bloc de données à crypter ou décrypter précédent Di/Ci et d'une valeur q prédéterminée. En résumé, les exemples de réalisation de la présente invention visent donc premièrement une authentification réciproque sécurisée de deux partenaires de communication P et T. Selon les exemples de réalisation, un premier partenaire de communication peut être une soi-disant carte de proximité P et le deuxième partenaire de communication un appareil de lecture T correspondant. Deuxièmement, les exemples de réalisation de la présente invention visent à garantir une protection d'intégrité de messages échangés entre les deux partenaires de communication. Troisièmement, selon les exemples de réalisation, il doit également être permis une protection de la confidentialité des messages échangés. Selon les exemples de réalisation, ces deux derniers objectifs s'excluent mutuellement, c'est-à-dire que les partenaires de communication peuvent, après une authentification réciproque sécurisée 10, accorder soit un mode de transfert de données 12 avec protection d'intégrité ou un mode de transfert de données avec protection de confidentialité. Comme condition de base requise, les deux partenaires de communication T et P partagent une information secrète commune kIv, selon les réglages d'une cryptographie de clé privée. Selon les exemples de réalisation, il peut être utilisé, pour le cryptage par bloc, l'AES avec une 10 longueur de clé de 128 bits. D'autres algorithmes de cryptage par bloc ainsi que d'autres longueur de clé sont bien sûr également imaginables. Les exemples de réalisation de la présente invention peuvent, 15 de manière inhérente, augmenter la sécurité contre les attaques par canal latéral. De ce fait est possible une réduction de mesures spécifiques au matériel dans un module de cryptage à la base, en particulier un module de matériel AES. Cela peut conduire par exemple à des cartes de proximité 20 de grandeur nettement réduite. En fonction des circonstances, les procédés selon l'invention peuvent être mis en oeuvre tant en matériel qu'en logiciel. La mise en oeuvre peut avoir lieu sur un support de mémoire 25 numérique, par exemple un DVD, un CD ou une disquette avec des signaux de commande lisibles électroniquement pouvant coopérer avec un système d'ordinateur programmable de sorte que soit réalisé le procédé correspondant. De manière générale, l'invention consiste donc également en un programme 30 d'ordinateur avec un code de programme mémorisé sur un support et lisible en machine pour la réalisation du programme selon l'invention respectif lorsque le programme d'ordinateur est exécuté sur un ordinateur. En d'autres termes, l'invention peut également être réalisée sous forme 35 de programme d'ordinateur pour la réalisation d'un programme pour la génération d'une clé de session lorsque le programme d'ordinateur est exécuté sur un ordinateur.

Claims (24)

  1. REVENDICATIONS1. Dispositif (20) de génération d'une clé de session (k0), qui est connue d'un premier partenaire de communication (P; T) et d'un deuxième partenaire de communication (T; P), pour le premier partenaire de communication (P; T), à partir d'une information secrète (kIv) qui peut être déterminée par les premier et deuxième partenaires de communication, aux caractéristiques suivantes: un moyen (22) pour obtenir un nombre aléatoire (rp; rT); un moyen (24) pour calculer la clé de session (k0) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rp; 15 rT) et d'une partie de l'information secrète (kiv); et un moyen (28) pour utiliser la clé de session (k0) pour une communication avec le deuxième partenaire de communication. 20
  2. 2. Dispositif selon la revendication 1, caractérisé en ce que le moyen (22) pour obtenir le nombre aléatoire (rp; rT) est adapté pour déterminer de manière aléatoire ou pseudoaléatoire au moins une première partie du nombre aléatoire. 25
  3. 3. Dispositif selon la revendication 2, caractérisé en ce que le moyen (22) pour obtenir le nombre aléatoire est adapté pour obtenir une deuxième partie du nombre aléatoire (rp; rT) du deuxième partenaire de communication. 30
  4. 4. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (24) pour calculer la clé de session (k0) est adapté pour calculer la clé de session (ko) à l'aide d'un couplage non linéaire (NLM) de l'au moins une partie du nombre aléatoire (rp; rT) et de la partie de 35 l'information secrète (kIv) .
  5. 5. Dispositif selon la revendication 4, caractérisé en ce que le moyen (24) pour calculer la clé de session (k0) est adapté pour utiliser une valeur (kp) dérivée du couplage non linéaire (NLM) comme clé pour un cryptage (AES), pour crypter l'information secrète (k1v) ou une valeur dérivée de cette dernière et pour obtenir, sur la base du cryptage (AES), la clé de session (k0).
  6. 6. Dispositif selon la revendication 4, caractérisé en ce que le moyen (24) pour calculer la clé de session (k0) est adapté pour utiliser l'information secrète (kIv) ou une valeur dérivée de cette dernière comme clé pour un cryptage (AES), pour crypter une valeur (k0) dérivée du couplage non linéaire (NLM) et pour obtenir, sur la base du cryptage (AES), la clé de session (k0).
  7. 7. Dispositif selon la revendication 5 ou 6, caractérisé en ce que le cryptage est un cryptage par bloc.
  8. 8. Dispositif selon la revendication 7, caractérisé en ce que le cryptage par bloc se base sur la norme 'Advanced Encryption Standard' (AES).
  9. 9. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (22) pour obtenir le nombre aléatoire est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire (rp) et pour obtenir un deuxième nombre aléatoire (rT) du deuxième partenaire de communication, et dans lequel le moyen (24) pour calculer la clé de session (k0) est adapté pour obtenir la clé de session (1(0) sur la base d'un deuxième cryptage (AES) d'une valeur (k') dérivée d'un premier cryptage (AES) avec une valeur dérivée du deuxième nombre aléatoire (rT), une valeur (k0) dérivée d'un couplage non linéaire (NLM) du premier nombre aléatoire (rp) et de la partie de l'information secrète (k1v) étant utilisée comme clé pour le premier cryptage (AES), pour crypter l'information secrète(kIv) ou une valeur dérivée de cette dernière et pour obtenir, sur la base du premier et du deuxième cryptage (AES), la clé de session (ko).
  10. 10. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (22) pour obtenir le nombre aléatoire est adapté pour déterminer de manière aléatoire ou pseudo-aléatoire un premier nombre aléatoire (rp) et pour obtenir un deuxième nombre aléatoire (rT) du deuxième partenaire de communication, et dans lequel le moyen (24) pour calculer la clé de session (1(0) est adapté pour calculer la clé de session (k0) sur la base d'un cryptage (AES) d'une valeur dérivée de l'information secrète (kIv) avec une clé dérivée des premier (rp) et deuxième nombres aléatoires (rT).
  11. 11. Dispositif selon l'une des revendications précédentes, caractérisé en ce que l'information secrète (kIv) peut être déterminée au moyen d'une fonction de dérivation de clé (KD) sur la base d'une identification (IV) spécifique à l'appareil et d'une clé générale (km).
  12. 12. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (28) pour utiliser la clé de session (k0) est adapté pour calculer, pour la communication avec le deuxième partenaire de communication, une partie de contrôle (MAC) pour l'authentification d'un message sur la base du message et de la clé de session (k0) ou d'une clé dérivée de cette dernière.
  13. 13. Dispositif selon la revendication 12, caractérisé en ce que le moyen (28) pour utiliser la clé de session (k0) est adapté pour calculer une partie de contrôle (Mi) d'un message à transmettre actuel sur la base d'une clé actuelle (ki) dérivée de la clé de session (k0) et d'une clé suivante (ki+1) 35 pour un message à transmettre suivant, la clé suivante (kill) dépendant de la clé actuelle (ki) dérivée et du message à transmettre actuel.
  14. 14. Dispositif selon la revendication 12 ou 13, caractérisé en ce que le moyen (28) pour utiliser la clé de session (1(0) est adapté pour utiliser, pour le calcul de la partie de contrôle (Mi), un cryptage par bloc (AES) selon la norme 'Advanced Encryption Standard'.
  15. 15. Dispositif selon l'une des revendications précédentes, caractérisé en ce que le moyen (28) pour utiliser la clé de session (1(0) est adapté pour crypter/décrypter, pour la communication avec le deuxième partenaire de communication, des blocs de données (Di) d'un message sur la base de la clé de session (k0) ou d'une clé dérivée de cette dernière.
  16. 16. Dispositif selon la revendication 15, caractérisé en ce que le moyen (28) pour utiliser la clé de session (k0) est adapté pour crypter/décrypter une clé actuelle (ki+i) pour un bloc de données à crypter/décrypter actuel (Di+1) sur la base d'une clé précédente (ki) pour un bloc de données à crypter/décrypter précédent (Di) et d'une valeur prédéterminée (q).
  17. 17. Dispositif selon la revendication 15 ou 16, caractérisé en ce que le moyen (28) pour utiliser la clé de session (k0) est adapté pour utiliser, pour le calcul de la clé actuelle (ki+1), un cryptage par bloc (AES) selon la norme 'Advanced Encryption Standard'.
  18. 18. Procédé de génération d'une clé de session (k0), qui est 30 connue d'un premier partenaire de communication et d'un deuxième partenaire de communication, pour le premier partenaire de communication, à partir d'une information secrète (kIv) pouvant être déterminée par les premier et deuxième partenaires de communication, comportant les étapes 35 suivantes : obtenir (32) un nombre aléatoire (rp; rT);calculer (34) la clé de session (1(0) à l'aide d'un couplage d'au moins une partie du nombre aléatoire (rp; rT) et d'une partie de l'information secrète (kiv); et utiliser (36) la clé de session (k0) pour une communication avec le deuxième partenaire de communication.
  19. 19. Procédé selon la revendication 18, dans lequel la clé de 10 session (1(0) est générée tant par le premier que par le deuxième partenaire de communication sur la base du nombre aléatoire (rp; rT) et de l'information secrète (kTv) -
  20. 20. Procédé selon la revendication 18 ou 19, dans lequel un 15 premier nombre aléatoire (kp) est, lors de l'obtention du nombre aléatoire, déterminé sur la base d'un couplage non linéaire (NLM) d'un nombre aléatoire (rp) déterminé de manière aléatoire ou pseudo-aléatoire ou d'une valeur dérivée de ce dernier et d'une partie de l'information secrète (k1v) 20 et un deuxième nombre aléatoire (rT) est obtenu du deuxième partenaire de communication, et dans lequel le calcul de la clé de session (k0) se base sur un cryptage par bloc (AES) d'une valeur dérivée de l'information secrète (kIv) avec une clé dérivée du premier (kg) et du deuxième nombre aléatoire 25 (rT)-
  21. 21. Procédé selon l'une des revendications 18 à 20, dans lequel un premier nombre aléatoire (rp) est, lors de l'obtention du nombre aléatoire, déterminé de manière 30 aléatoire ou pseudo-aléatoire par le premier partenaire de communication et un deuxième nombre aléatoire (rT) est obtenu du deuxième partenaire de communication, et dans lequel le calcul de la clé de session (k0) se base sur un cryptage par bloc (AES) du deuxième nombre aléatoire (rT) avec un cryptage 35 par bloc (AES) de l'information secrète (kTv) avec un couplage non linéaire (NLM) du premier nombre aléatoire (rp) et de la partie de l'information secrète (kTv) -
  22. 22. Procédé selon l'une des revendications 18 à 21, dans lequel la clé de session (k0) est utilisée, dans un procédé d'authentification, comme secret commun pour une authentification entre les premier et deuxième partenaires de communication.
  23. 23. Procédé selon l'une des revendications 18 à 22, dans lequel le procédé d'authentification est un procédé de 'challenge response' pour une authentification unilatérale ou réciproque au moyen de la clé de session (k0).
  24. 24. Programme d'ordinateur pour réaliser le procédé selon l'une des revendications 18 à 23 lorsque le programme 15 d'ordinateur est exécuté sur un ordinateur ou un micro-contrôleur.
FR1400622A 2009-06-10 2014-03-17 Generation d'une cle de session pour l'authentification et la transmission de donnees securisees Active FR3002400B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1400622A FR3002400B1 (fr) 2009-06-10 2014-03-17 Generation d'une cle de session pour l'authentification et la transmission de donnees securisees

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102009024604A DE102009024604B4 (de) 2009-06-10 2009-06-10 Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
US21993009P 2009-06-24 2009-06-24
FR1002434A FR2947126B1 (fr) 2009-06-10 2010-06-09 Generation d'une cle de session pour l'authentification et la transmission de donnees securisee
FR1400622A FR3002400B1 (fr) 2009-06-10 2014-03-17 Generation d'une cle de session pour l'authentification et la transmission de donnees securisees

Publications (2)

Publication Number Publication Date
FR3002400A1 true FR3002400A1 (fr) 2014-08-22
FR3002400B1 FR3002400B1 (fr) 2017-09-08

Family

ID=43303738

Family Applications (2)

Application Number Title Priority Date Filing Date
FR1002434A Active FR2947126B1 (fr) 2009-06-10 2010-06-09 Generation d'une cle de session pour l'authentification et la transmission de donnees securisee
FR1400622A Active FR3002400B1 (fr) 2009-06-10 2014-03-17 Generation d'une cle de session pour l'authentification et la transmission de donnees securisees

Family Applications Before (1)

Application Number Title Priority Date Filing Date
FR1002434A Active FR2947126B1 (fr) 2009-06-10 2010-06-09 Generation d'une cle de session pour l'authentification et la transmission de donnees securisee

Country Status (4)

Country Link
US (2) US8861722B2 (fr)
JP (2) JP2011010291A (fr)
DE (2) DE102009024604B4 (fr)
FR (2) FR2947126B1 (fr)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120323717A1 (en) 2011-06-16 2012-12-20 OneID, Inc. Method and system for determining authentication levels in transactions
US8843737B2 (en) * 2011-07-24 2014-09-23 Telefonaktiebolaget L M Ericsson (Publ) Enhanced approach for transmission control protocol authentication option (TCP-AO) with key management protocols (KMPS)
JP5700128B2 (ja) 2011-07-27 2015-04-15 富士通株式会社 暗号化処理装置および認証方法
WO2013109932A1 (fr) * 2012-01-18 2013-07-25 OneID Inc. Procédés et systèmes de gestion d'identité sécurisée
DE102012201164B4 (de) * 2012-01-26 2017-12-07 Infineon Technologies Ag Vorrichtung und verfahren zur erzeugung eines nachrichtenauthentifizierungscodes
US9740884B2 (en) * 2012-04-10 2017-08-22 Good Technology Holdings Limited Method and device for generating a code
JP5954030B2 (ja) * 2012-08-02 2016-07-20 富士通株式会社 暗号処理装置および方法
WO2014208035A1 (fr) 2013-06-28 2014-12-31 Nec Corporation Sécurité pour une communication de groupe prose
EP2890074A1 (fr) * 2013-12-31 2015-07-01 Gemalto SA Procédé pour transmettre des messages poussoirs
CN104754576B (zh) * 2013-12-31 2018-07-31 华为技术有限公司 设备验证方法、用户设备及网络设备
EP2903204A1 (fr) * 2014-02-03 2015-08-05 Tata Consultancy Services Limited Système informatisé et procédé d'authentification léger de transport de datagramme pour internet des objets
EP2996277B1 (fr) * 2014-09-10 2018-11-14 Nxp B.V. Fixation d'un dispositif cryptographique contre l'implémentation des attaques
EP3089398B1 (fr) * 2015-04-30 2017-10-11 Nxp B.V. Sécurisation d'un dispositif cryptographique
US9876641B2 (en) 2015-10-08 2018-01-23 The Boeing Company Data dependent authentication keys for differential power analysis resistant authentication
CN105553647A (zh) * 2016-02-26 2016-05-04 南京航空航天大学 基于非线性循环移位寄存器的轻量级流密码技术lsnr2
US11277439B2 (en) 2016-05-05 2022-03-15 Neustar, Inc. Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
WO2017193093A1 (fr) 2016-05-05 2017-11-09 Neustar, Inc. Systèmes et procédés pour permettre des communications de confiance entre des entités
US11025428B2 (en) 2016-05-05 2021-06-01 Neustar, Inc. Systems and methods for enabling trusted communications between controllers
US11108562B2 (en) 2016-05-05 2021-08-31 Neustar, Inc. Systems and methods for verifying a route taken by a communication
US10958725B2 (en) 2016-05-05 2021-03-23 Neustar, Inc. Systems and methods for distributing partial data to subnetworks
SG10201606164TA (en) * 2016-07-26 2018-02-27 Huawei Int Pte Ltd System and method for obtaining a common session key between devices
KR102594656B1 (ko) 2016-11-25 2023-10-26 삼성전자주식회사 보안 프로세서, 이를 포함하는 어플리케이션 프로세서 및 보안 프로세서의 동작 방법
US11057186B1 (en) * 2019-05-17 2021-07-06 Juniper Networks, Inc. Generating cryptographic random data from raw random data
SG10201906806XA (en) * 2019-07-23 2021-02-25 Mastercard International Inc Methods and computing devices for auto-submission of user authentication credential
CN114902606A (zh) * 2020-01-08 2022-08-12 索尼集团公司 信息处理装置、信息处理方法、程序和信息处理***
US11477189B2 (en) * 2020-07-10 2022-10-18 Salesforce.Com, Inc. Primary domain and secondary domain authentication
US11895251B2 (en) * 2020-09-18 2024-02-06 Assa Abloy Ab Mutual authentication with pseudo random numbers

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4404426A (en) * 1962-05-23 1983-09-13 American Standard Inc. Cryptographic telegraphy programming system
US3522374A (en) * 1966-06-17 1970-07-28 Int Standard Electric Corp Ciphering unit
US3657699A (en) * 1970-06-30 1972-04-18 Ibm Multipath encoder-decoder arrangement
SE7714587L (sv) * 1977-12-21 1979-06-22 Brendstrom Hugo System for meddelanden
US4325129A (en) * 1980-05-01 1982-04-13 Motorola Inc. Non-linear logic module for increasing complexity of bit sequences
JP2831650B2 (ja) * 1988-05-06 1998-12-02 日本放送協会 信号スクランブル伝送方式および装置
WO1994016509A1 (fr) * 1992-12-30 1994-07-21 Telstra Corporation Limited Procede et appareil pour generer une suite de donnees chiffree
JP2942913B2 (ja) * 1993-06-10 1999-08-30 ケイディディ株式会社 相手認証/暗号鍵配送方式
CA2128115C (fr) * 1993-07-20 1999-08-10 Keiichi Iwamura Appareil et methode de chiffrement et systeme de communication utilisant cet appareil
JPH0736672A (ja) * 1993-07-20 1995-02-07 Canon Inc 乱数発生器、及びそれを用いた通信システム及びその方法
JPH08335040A (ja) 1995-06-02 1996-12-17 Fujitsu Ltd 暗号化処理方式
US5943248A (en) * 1997-01-17 1999-08-24 Picturetel Corporation w-bit non-linear combiner for pseudo-random number generation
WO1998032070A1 (fr) * 1997-01-17 1998-07-23 Picturetel Corporation Generateur de nombres pseudo-aleatoires exploitant des unites de traitement a parallelisme au niveau instruction et utilisation de ce generateur pour le cryptage
US6577733B1 (en) * 1999-12-03 2003-06-10 Smart Card Integrators, Inc. Method and system for secure cashless gaming
TW545023B (en) * 1999-12-10 2003-08-01 Koninkl Philips Electronics Nv Synchronization of session keys
TW508494B (en) * 2001-03-28 2002-11-01 Shansun Technology Company Data protection device capable of self-defining address arrangement sequence in protection area of storage device
CA2446304C (fr) * 2001-05-01 2012-03-20 Vasco Data Security, Inc. Utilisation et production d'une cle de session dans une connexion ssl
DE10137152A1 (de) * 2001-07-30 2003-02-27 Scm Microsystems Gmbh Verfahren zur Übertragung vertraulicher Daten
US20020076044A1 (en) * 2001-11-16 2002-06-20 Paul Pires Method of and system for encrypting messages, generating encryption keys and producing secure session keys
US7477748B2 (en) * 2002-03-18 2009-01-13 Colin Martin Schmidt Session key distribution methods using a hierarchy of key servers
US7080404B2 (en) * 2002-04-01 2006-07-18 Microsoft Corporation Automatic re-authentication
US7464265B2 (en) * 2002-05-03 2008-12-09 Microsoft Corporation Methods for iteratively deriving security keys for communications sessions
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
SG105005A1 (en) * 2002-06-12 2004-07-30 Contraves Ag Device for firearms and firearm
US7400732B2 (en) * 2002-07-25 2008-07-15 Xerox Corporation Systems and methods for non-interactive session key distribution with revocation
US7239864B2 (en) * 2002-08-14 2007-07-03 Thomson Licensing Session key management for public wireless LAN supporting multiple virtual operators
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
JP4107063B2 (ja) * 2002-11-26 2008-06-25 日本ビクター株式会社 暗号情報の送受信システム、送受信方法、暗号情報埋め込み用プログラム及び暗号情報記録装置
US7706540B2 (en) * 2002-12-16 2010-04-27 Entriq, Inc. Content distribution using set of session keys
US7299356B2 (en) * 2003-09-02 2007-11-20 Authernative, Inc. Key conversion method for communication session encryption and authentication system
US7581100B2 (en) * 2003-09-02 2009-08-25 Authernative, Inc. Key generation method for communication session encryption and authentication system
KR100571820B1 (ko) * 2003-10-20 2006-04-17 삼성전자주식회사 신원 정보를 기반으로 하는 암호 시스템에서의 컨퍼런스세션 키 분배 방법
US7526649B2 (en) * 2003-12-30 2009-04-28 Intel Corporation Session key exchange
JP4763972B2 (ja) * 2004-03-31 2011-08-31 富士通エフ・アイ・ピー株式会社 暗号化情報伝送方法、コンピュータプログラム及び通信システム
US7376972B2 (en) * 2004-04-14 2008-05-20 Microsoft Corporation Session key exchange key
US7356846B2 (en) * 2004-04-14 2008-04-08 Microsoft Corporation Unilateral session key shifting
JP4570626B2 (ja) * 2004-05-03 2010-10-27 リサーチ イン モーション リミテッド 再生可能なセッションキーを生成するためのシステムおよび方法
DE102004032057A1 (de) * 2004-07-01 2006-01-26 Francotyp-Postalia Ag & Co. Kg Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels
US20060075259A1 (en) * 2004-10-05 2006-04-06 Bajikar Sundeep M Method and system to generate a session key for a trusted channel within a computer system
US9436804B2 (en) * 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US20060240802A1 (en) * 2005-04-26 2006-10-26 Motorola, Inc. Method and apparatus for generating session keys
US7577258B2 (en) * 2005-06-30 2009-08-18 Intel Corporation Apparatus and method for group session key and establishment using a certified migration key
CN101243719B (zh) * 2005-07-06 2012-10-17 诺基亚公司 安全的会话密钥上下文
JP2007053612A (ja) * 2005-08-18 2007-03-01 Toshiba Corp 通信機器及び通信方法
US20070101122A1 (en) * 2005-09-23 2007-05-03 Yile Guo Method and apparatus for securely generating application session keys
US8001584B2 (en) * 2005-09-30 2011-08-16 Intel Corporation Method for secure device discovery and introduction
US20070140488A1 (en) * 2005-12-21 2007-06-21 Roundbox, Inc. Restriction of broadcast session key use by secure module decryption policy
US20070189512A1 (en) * 2006-01-20 2007-08-16 Chiou-Haun Lee Method and apparatus for processing stream encryption/decryption
EP1873960B1 (fr) * 2006-06-29 2013-06-05 Incard SA Procédé de dérivation d'une clé de séance sur une carte à circuit imprimé
US7831051B2 (en) * 2007-03-13 2010-11-09 Aladdin Europe Gmbh Secure communication between a hardware device and a computer
JP2008252299A (ja) * 2007-03-29 2008-10-16 Hitachi Ltd 暗号処理システム及び暗号処理方法
JP5207654B2 (ja) * 2007-04-16 2013-06-12 塩谷 安男 通信装置、通信装置間のペアリング方法、ウェアラブルキーとicカードとをペアリングする方法、及びウェアラブルキーとicカードからなるシステム
KR101391151B1 (ko) * 2007-06-01 2014-05-02 삼성전자주식회사 세션 키를 이용한 인증 방법 및 이를 위한 장치
US7992200B2 (en) * 2007-07-16 2011-08-02 International Business Machines Corporation Secure sharing of transport layer security session keys with trusted enforcement points
US8533474B2 (en) * 2008-02-27 2013-09-10 Red Hat, Inc. Generating session keys

Also Published As

Publication number Publication date
FR2947126A1 (fr) 2010-12-24
DE102009061045A1 (de) 2011-02-03
US8861722B2 (en) 2014-10-14
DE102009024604A1 (de) 2011-01-05
US20140169557A1 (en) 2014-06-19
JP2011010291A (ja) 2011-01-13
US20100316217A1 (en) 2010-12-16
JP2014017841A (ja) 2014-01-30
JP5784084B2 (ja) 2015-09-24
DE102009024604B4 (de) 2011-05-05
DE102009061045B4 (de) 2012-05-03
FR3002400B1 (fr) 2017-09-08
FR2947126B1 (fr) 2018-01-19
US9509508B2 (en) 2016-11-29

Similar Documents

Publication Publication Date Title
FR3002400A1 (fr) Generation d'une cle de session pour l'authentification et la transmission de donnees securisees
EP3506556B1 (fr) Méthode d'échange de clés authentifié par chaine de blocs
EP2892176A2 (fr) Procédé de conversion d'un contenu a accès conditionnel et récepteur pour la mise en oeuvre de ce procédé
CN103036872B (zh) 数据传输的加密和解密方法、设备及***
EP2772004A1 (fr) Distribution sécurisée de contenu
FR2952778A1 (fr) Procede de transmission de donnees securise et systeme de chiffrement et de dechiffrement permettant une telle transmission
EP1529369A1 (fr) Proc d d' change s curis d'informations entre deux dispositifs
CN108632296B (zh) 一种网络通信的动态加密与解密方法
CN112804205A (zh) 数据加密方法及装置、数据解密方法及装置
EP3340531B1 (fr) Procédé de restauration d'un secret d'un utilisateur
WO2018002856A1 (fr) Systèmes et procédés pour authentifier des communications à l'aide d'un seul échange de message et d'une clé symétrique
EP2795833B1 (fr) Procede d'authentification entre un lecteur et une etiquette radio
WO2023231817A1 (fr) Procédé et appareil de traitement de données, et dispositif informatique et support de stockage
EP3185468B1 (fr) Procédé de transmission de données, procédé de réception de données, dispositifs et programmes correspondants
CN112948867A (zh) 加密报文的生成与解密方法、装置及电子设备
EP3965361B1 (fr) Echange de données entre un client et un dispositif distant, par exemple un module sécurisé
EP1514377A1 (fr) Procede et dispositif d'interface pour echanger de maniere protegee des donnees de contenu en ligne
Duits The post-quantum Signal protocol: Secure chat in a quantum world
EP1032158B1 (fr) Circuit et procédé pour la sécurisation d'un coprocesseur dédié à la cryptographie
WO2019197780A1 (fr) Procédés, dispositifs et programmes d'ordinateur pour le chiffrement et le déchiffrement de données pour la transmission ou le stockage de données
FR2899750A1 (fr) Procede et terminal pour securiser la generation d'une cle de chiffrement
EP1642413B1 (fr) Procede de chiffrement/dechiffrement d un message et disposi tif associe
WO1998010563A2 (fr) Instrument de securisation d'echanges de donnees
JP2023535012A (ja) 鍵交換プロトコル
FR3143148A1 (fr) Procédés d’authentification mutuelle, dispositif électronique, système et programmes d’ordinateur associés.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 7

PLSC Publication of the preliminary search report

Effective date: 20170127

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14