JP6347819B2 - 暗号アルゴリズムの弱点保護 - Google Patents
暗号アルゴリズムの弱点保護 Download PDFInfo
- Publication number
- JP6347819B2 JP6347819B2 JP2016204123A JP2016204123A JP6347819B2 JP 6347819 B2 JP6347819 B2 JP 6347819B2 JP 2016204123 A JP2016204123 A JP 2016204123A JP 2016204123 A JP2016204123 A JP 2016204123A JP 6347819 B2 JP6347819 B2 JP 6347819B2
- Authority
- JP
- Japan
- Prior art keywords
- bit
- cryptographic
- key
- attack
- relationship
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 description 20
- 230000008859 change Effects 0.000 description 11
- 230000000295 complement effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/004—Countermeasures against attacks on cryptographic mechanisms for fault attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Description
本発明は、弱点攻撃に対して暗号アルゴリズムの実行を保護するための方法に関する。
暗号アルゴリズムは、通常、プログラム可能な任意のコンピュータで実行されることが可能である。しかしながら、安全に設計された暗号アルゴリズムであっても、安全ではないコンピュータ上で実行される場合に、安全ではなくなる場合がある。例えば、スパイウェアがコンピュータ内部にインストールされ、暗号アルゴリズムによって使用される重要なデータを取得しようとする可能性もあり、そうすると、暗号動作は完全に役立たなくなる(例えば、ハッカーは取得した重要なデータを使って完全なテキスト情報を入手することができるはずである)。
したがって、機密情報を扱うアプリケーションの場合、暗号アルゴリズムを特殊な暗号デバイス(安全な暗号デバイス)に実装することが提案されており、そのデバイスは、暗号動作の目的で可能な限り安全に設計されている。
そのような暗号デバイスは、普通のコンピュータの形を取ることができ、そのコンピュータ上にインストールされたソフトウェアを制御し、ファイアウォール、ウィルス対策、スパイウェア対策などの特定のセキュリティソフトウェアをインストールすることによって安全が確保される。そのようなコンピュータは、厳重に制御されることによってより安全にされる、ラップトップコンピュータ、デスクトップコンピュータ、PDA(personal digital assistant:携帯情報端末)、携帯電話、または他のいずれかの種類のコンピュータとすることができる。セキュリティは、コモンクライテリア(Common Criteria)、FIPS 140−2などのセキュリティ認定に適合することによって評価されることが可能である。
多くの場合、暗号に特化され、安全確保がより容易な、専用デバイスを頼りにすることが好ましい。そのような専用暗号デバイスの一般的な例には、スマートカード、USBキー、ドングル、TPM(Trusted Platform Module)、HSM(HSMとはHardware Security Moduleを表し、非常に酷使されるサーバーでもサポートする目的で多くの暗号動作を実行できるようにするため、通常、強力なCPUを搭載した、よく知られているセキュリティデバイスである)、SSL/TLSアクセラレータが含まれる。そのような専用暗号デバイスは、通常、普通のコンピュータ(例えば、ワークステーション、サーバー、PC、携帯電話、PDAなど)とともに使用され、例えば、重要なデータの盗難を非常に難しくすることによって、補充レベルのセキュリティを追加する。
しかしながら、専用デバイスであっても攻撃にさらされる場合がある。例えば、そのような専用暗号デバイスに対する侵入攻撃(物理的攻撃と呼ばれる場合がある、または弱点攻撃)は、通常、デバイスで期待される動作を妨害し、重要なデータを推測するために異常に動作させることにある。そのような攻撃は、90年代後半に出現してきた。それは深刻な懸念である。なぜならば、攻撃者は、通常、安全であると考えられるスマートカードなどの暗号デバイスに保存されている重要データであっても復元できる場合があるからである。これによって、攻撃者は本物のユーザーのふりをすることができるはずである(例えば、銀行口座からの金融取引の実行、電話回線の使用、その人物の名前での違法行為の実行など)。これまで、そのような攻撃は、パソコンにとって危険なものとは認識されていなかった。それは、通常、侵入攻撃という面倒なことをしなくても、純粋にソフトウェア的手段でコンピュータをクラッキングするより多くの簡単な方法があるからである。しかしながら、詐欺が増大したことによる、TPM(trusted platform module、その仕様はTrusted Computing Groupによって管理されている)などのコンポーネントの出現で、このことが変化している可能性がある。TPMとは、可能な限りあらゆる種類の製品(PDA、プリンター、携帯電話など)に安全な暗号機能を導入することを意味しており、特に企業のPCのほか、すべての種類の電子機器にもますます普及している。TPMは、その上に一体化されるマザーボードに一体部分となる場合がある(TPMが取り外し可能にされることは可能であり、それを専用スロットに挿入するようにすることができる。しかしながら、TPMにはたびたび取り外しされなければならない理由はほとんどない)。TPMは、通常、コンピューティングシステムプロセッサおよびメモリーなどのコンピューティングシステムの従来の手段のみで実行される場合に比べ、より安全にコンピューティングシステムの暗号データを管理するための手段を備えている。また、汎用プロセッサ(従来のコンピュータシステムに組み込まれたメインプロセッサなど)のセキュリティを改善するようにも試みられてきている。そのため、現在、侵入攻撃は、スタンドアロンの暗号デバイスや高セキュリティコンピュータ(例えば、機密サーバー)だけではなく、以前よりも多くのデバイスで脅威になってきている。ハードウェア製造業者の技術的対応の進展につれ、新しいハードウェア対応策が定期的に追加されている。しかしながら、それらの対応策は、有効なソフトウェア対応策と組み合わされる場合にのみ効果があり得ることが広く認識されている。組み込まれたデバイスは、攻撃者がハードウェアをすべて支配している場合には、とりわけこのカテゴリの攻撃にさらされる。侵入攻撃の代表例は、オリジナルのBellcore攻撃で、攻撃者は1つの不完全な署名を付与されたRSA秘密鍵を取得することができる。
特に懸念しているのは、キーレジスターに保存されている値が変えられることにある特別な進入攻撃である。キーレジスターとは、暗号キー、例えば、DESキー、AESキー、またはRSAキーを保存しているレジスターである。そのような攻撃はますます効果的になっており、現在、特定の状況で、キー(例えば、レーザーまたは他の手段)を入れるように意図されたレジスターの特定ビットをターゲットとし、このビットの値を変えることが可能である。また、同じ攻撃を繰り返すことも可能であり、それによって、例えば、同じキーで2つの連続した計算の結果の比較を無能にする。それは、キーの値は同じ方法で2度、変更され、それによって、動作の冗長性にもかかわらず同じ(誤った)結果になる可能性があるからである。
しかしながら、レジスターを構成するメモリーのタイプに応じて、既存の攻撃は、通常、ビットを必ず0にリセットするか、またはビットを必ず1に設定するものである。「セーフエラー攻撃」とは、攻撃者に、キーの正確なビットを強制的に1または0にする(チップによって異なる)上述の能力があるという想定に基づいている。したがって、攻撃者は、自分の攻撃によって生成された結果を調べることによって、ビットが0または1であるかを推測することができる。有効な結果/通常の反応とは、ビットが強制される前に、既に強制された値を有している場合である。誤った結果/異常な動作(例えば、攻撃が検出された場合)とは、ビットが強制された値とは反対の値を有している場合である。
選択されたビットを、容易に目的のいずれかの値(0または1)に自由自在に設定できる技術はまだ知られていない。マルチ空間フォールトインジェクションと呼ばれる、そのような技術は、ほとんど実現不可能と見なされている。
本発明の目的は、暗号アルゴリズムの実装形態を変更することであり(当然、最終的な結果を変更することはない)、それは、検出された暗号アルゴリズムの実行の際に暗号アルゴリズムを変更したり、または少なくとも、キーを構成するビットの値を推断する攻撃者の能力を低減化したりすることを試みるような方法である。特に、方法は、両方向でビットの値を変更することはできないが、ビットを0にリセットするか、またはビットを1に設定するかのいずれかにのみ変更できる巧妙な攻撃の状態に対する保護を目的としている。
本発明およびその利点は、添付図面を参照する以下の明細書でより詳細に説明される。
本発明の好ましい一実施形態によると、弱点攻撃に対する暗号アルゴリズムAの実行を安全にするための方法が提案されている。暗号アルゴリズムAは、例えば、DES(またはDES−1、すなわちDES復号化)、3DES(または3DES−1)、またはAES(AES−1)、あるいはRSAなどの非対称アルゴリズム、楕円曲線、Diffie Hellmanなどにすることができる(各非対称アルゴリズムは、RSA暗号化もしくはRSA署名認証などの公開鍵の動作、またはRSA署名もしくはRSA復号化などの秘密鍵の動作のいずれかで使用されている)。暗号アルゴリズムAには、キーK0およびメッセージMが関係している。暗号アルゴリズムAは、値A(K0,M)を計算するように設定されている。例えば、好ましい一実施形態では、AはDESアルゴリズムであり、MはDESアルゴリズムで暗号化される1つのデータで、K0は暗号化に使用されるDESキーで、A(K0,M)は暗号化されたメッセージである。A(K0,M)とA(f(K0),g(M))の間の関係Rとすると、ここで、fとgは2つの双射で、fは恒等関数とは異なっており、方法は次から構成されている:
a.暗号アルゴリズムの予測される結果A(K0,M)を計算する
b.暗号アルゴリズムAを変更されたキーf(K0)およびメッセージg(M)に適用することによって、変更された結果A(f(K0),g(M))を計算する
c.先行する2つのステップで計算された値A(K0,M)とA(f(K0),g(M))の間の関係Rが検証されているかどうかをチェックする
d.関係Rが検証されない場合には、攻撃を検出する
a.暗号アルゴリズムの予測される結果A(K0,M)を計算する
b.暗号アルゴリズムAを変更されたキーf(K0)およびメッセージg(M)に適用することによって、変更された結果A(f(K0),g(M))を計算する
c.先行する2つのステップで計算された値A(K0,M)とA(f(K0),g(M))の間の関係Rが検証されているかどうかをチェックする
d.関係Rが検証されない場合には、攻撃を検出する
ステップaおよびbが実行される順序は問題ではなく、好ましくはランダムである。当然、双射fおよびgならびに関係Rはすべて共に暗号アルゴリズムAにリンクされており、任意に選択されることはできない。それらは、当業者によって定義される必要がある(特定のアルゴリズムAの場合、使いやすい関係Rがなく、そのような場合には、提案されている方法は適用できない)。
RSA秘密鍵の動作では、K0はd(RSA秘密鍵の指数)と表記されることができ、さらにA(K0,M)=A(d,M)=Md mod N(標準RSA、当業者にはよく知られている)である。eを公開指数、NをRSAキーのペアのモジュール(RSAの従来の表記)とすることにする。例えば、f(d)をf(d)=d+b*(e*d−1)として定義し、g(M)をg(M)=M*(ae)mod Nとして定義することが可能であり、ここで、aとbは1とN−1(0<a,b<N)の間で構成される2つのランダムな数値である。好ましくは、数値aはpまたはqの倍数であってはならず、ここで、pとqはモジュールNを構成する素数である(別の方法では、gは双射ではなく、関係Rの検証の容易さはより少なくなる。それは、A(d,M)からA(f(d),g(M))を計算することができるが、必ずしも他の方法である必要はない)。
fとgのこの定義により、A(f(d),g(M))=a*A(d,M)mod Nとなり、これは検証する関係Rである。
実際には次のとおりである:
A(f(d),g(M))=[M*(ae)][d+b*(e*d−1)]mod N
=[Md*(ae)d]*[M*(ae)][b*(e*d−1)]mod N
=Md*(ae)d mod N
=a*(Md)mod N
=a*A(d,M)mod N
A(f(d),g(M))=[M*(ae)][d+b*(e*d−1)]mod N
=[Md*(ae)d]*[M*(ae)][b*(e*d−1)]mod N
=Md*(ae)d mod N
=a*(Md)mod N
=a*A(d,M)mod N
関数fがキーK0で可能な限り多くのビットを変更することが好ましい。それは、K0とf(K0)の両方で同じ攻撃が実行されたので、通常、K0とf(K0)で異なっているビットの1つがターゲットにされる場合、K0とf(K0)の両方を変更することができないことになる(すなわち、K0とf(K0)の両方のターゲットビットではなく、K0またはf(K0)のいずれかのターゲットビットが変更される)。実際にところ、巧妙な攻撃の状態では、ビットを1に設定したり、ビットを0にリセットしたりすることができるが、ビットの値を自由に0または1に定義することはできない。攻撃でビットを自由に変更できた場合でも、攻撃者は、K0とf(K0)を、値A(K0,M)とA(f(K0),g(M))の間の関係Rが引き続き満たされるような方式で変更する必要がある。それは、Rが定義される方法により困難な問題となる場合がある。
上述の方法の一好ましいバージョンでは、双射fはキーK0のすべてのビットを反転し、すなわち、K0の各0はf(K0)で1に置き換えられ、その逆も同様である。このことは、巧妙な攻撃の上記で説明した状態に基づき、攻撃者はK0とf(K0)の両方で指定されたビットを変更できないので利点となる。
双射gでは、メッセージMのすべてのビットを反転させる場合がある。
メッセージを変更する必要がない場合もあるが、暗号アルゴリズムAのプロパティは、関係Rを単純化するためにメッセージも変更すること(gは恒等とは異なっている)が利点となるような場合もある。
メッセージを変更する必要がない場合もあるが、暗号アルゴリズムAのプロパティは、関係Rを単純化するためにメッセージも変更すること(gは恒等とは異なっている)が利点となるような場合もある。
特に、関係Rは、予測された結果A(K0,M)の各ビットが変更された結果A(f(K0),g(M))の対応するビットの反転であるという場合がある。
例えば、DESアルゴリズムを使うと、好ましい一方法は、次のようになるはずである:
a.予測される結果r=DES(K0,M)を計算する
b.変更された結果mr=DES(K0,M)を計算する。ここで、K0はK0の論理ビットの補数を表し、MはMの論理ビットの補数を表す。
c.最初の結果rが第2の結果mrの論理ビットの補数であるかどうかをチェックする例えば、r XOR mrが11111...11に等しいことをチェックすることができる。
d.関係が検証されない場合、すなわち、2つの結果が論理ビットの補数ではない場合、攻撃を検出する。
a.予測される結果r=DES(K0,M)を計算する
b.変更された結果mr=DES(K0,M)を計算する。ここで、K0はK0の論理ビットの補数を表し、MはMの論理ビットの補数を表す。
c.最初の結果rが第2の結果mrの論理ビットの補数であるかどうかをチェックする例えば、r XOR mrが11111...11に等しいことをチェックすることができる。
d.関係が検証されない場合、すなわち、2つの結果が論理ビットの補数ではない場合、攻撃を検出する。
ステップaおよびbの順序は問題ではなく、ランダムであることが好ましい。同じ例が、DES−1、3DES、または3DES−1によりDESを置き換えることにより同様に機能する。
上記の方法の改善された一バージョンによると、n個のランダムキーK1...Knを生成し、0とnの間の各iに対してA(Ki,M)およびA(f(Ki),g(M))をランダムな順序で計算することができる。順序は、方法が呼び出されるたびに異なることが好ましい。例えば、n=3の場合、順序はA(f(K2),g(M))、A(f(K0),g(M))、A(K1,M)、A(f(K3),g(M))、A(K3,M)、A(K0,M)、A(K2,M)、A(f(K1),g(M))となる場合があり、次に方法が呼び出される場合には、順序は異なるようにすることができる。
次に、好ましい方法ではA(Ki,M)およびA(f(Ki),g(M))の値の各組の関係Rをチェックし、関係Rが0とnの間のいずれかのiで検証されない場合に攻撃が検出される。この技術は、ハッカーがどの地点で、方法がどの暗号動作を計算するか知ることが非常に困難なので利点となる。例えば、ハッカーにとって方法が実際に有効な暗号動作(予測される結果A(K0,M)を計算する動作)を方法がいつ計算するかを知ることは非常に困難である。したがって、攻撃を行うとき、ハッカーには妨害しているのがどのキーかがわからない。これによって、ハッカーが成果を引き出すのはさらに困難になる。素朴な計算結果A(K0,M)を使って、ハッカーはK0の1ビットを設定するよう試みる場合があり、ビットが既に設定されている場合には、方法により予測される結果が出力されるようになり、キーのビットが設定されていない場合には、方法によりエラーメッセージ(攻撃が検出される場合)または誤った結果が出力されるようになる。したがって、ハッカーにはキーのビットが0であったか、または1であったかが通知される。しかし、この好ましい実施形態では、ハッカーが何かを変えるように試みるときには常に、ハッカーが推測する可能性のあるビットは必ずしもキーK0のビットではなく、いずれかのキーKi、またはf(Ki)のビットである場合があり(正しいキーをターゲットにするのは2*(n+1)回の中で1回)、誤った結果を引き出す可能性が非常に高くなる。
n=0の場合でも、ランダムな順序で、A(K0,M)次いでA(f(K0),g(M))、または最初にA(f(K0),g(M))次いでA(K0,M)のいずれかを計算することが可能であることに留意すべきである。
ちょうど説明されてきた方法の改善された一バージョンでは、検証が単純化されることができる。例えば、fおよびgで入力パラメータの論理ビットの補数を取り、関係で2つの結果が論理ビットの補数であることを検証される場合、検証ではすべての結果の排他的論理和をとり、nが奇数の場合、最終結果は0であること、nが偶数の場合、結果は1111...111であることを検証することができる。
例えば、DESの場合、図1による擬似コードが使用されることができる。
注記:この擬似コード、およびT[k]=DES(K s(k)−n−1 ,M)の行で、下線は論理ビットの補数演算であることを指定するものである。Rが1111...111に等しいことのチェックは、R+1が0に等しいことを検証によってチェックされることができる。
もちろん、同じ擬似コードはDES−1、3DES、または3DES−1にも適用することができる。
また本発明は、上記で説明された方法を実装する暗号デバイスにも関する。暗号デバイスは、暗号アルゴリズムをソフトウェアまたはハードウェアのいずれかで実装するあらゆるデバイスとすることができる。しかしながら、好ましい実施形態では、暗号デバイスは、スマートカード、TPM、またはHSMなどの安全な暗号デバイスであり、その3つすべてには、通常、例えば、汎用目的のコンピュータより安全性をかなり向上できるセキュリティ機能(ハードウェアおよび/またはソフトウェアベース)が備えられている。
Claims (5)
- 暗号キーKiおよびメッセージMとすると、暗号アルゴリズムAが値A(Ki,M)を計算するように設定されている暗号アルゴリズムAを実装する暗号デバイスであって、A(Ki,M)とA(f(Ki),g(M))の間の関係Rとすると、ここで、fとgが2つの双射で、fが恒等関数とは異なっており、暗号デバイスが、
n個のランダムキーK1...Knを生成し、
0とnの間の各iに対してA(Ki,M)およびA(f(Ki),g(M))をランダムな順序で計算し、
0とnの間の各iに対するA(Ki,M)およびA(f(Ki),g(M))のランダムな順序でのすべての前記計算が終了した後に、
0とnの間の各iに対して、A(Ki,M)およびA(f(Ki),g(M))の値の各組の関係Rをチェックし、
0とnの間のいずれかのiに対して関係Rが検証されない場合には、攻撃を検出するための手段を備える、暗号デバイス。 - 双射fが各々のランダムキーKiのすべてのビットを反転することである、請求項1に記載の暗号デバイス。
- 双射gがメッセージMのすべてのビットを反転することである、請求項1または2に記載の暗号デバイス。
- 関係Rは、予測される結果A(Ki,M)の各ビットが変更された結果A(f(Ki),g(M))の対応するビットの反転であることである、請求項1から3のいずれか一項に記載の暗号デバイス。
- 暗号デバイスがスマートカード、TPM、またはHSMである、請求項1から4のいずれか一項に記載の暗号デバイス。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08305727.3 | 2008-10-24 | ||
| EP08305727A EP2180631A1 (en) | 2008-10-24 | 2008-10-24 | Cryptographic algorithm fault protections |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014126948A Division JP2014197222A (ja) | 2008-10-24 | 2014-06-20 | 暗号アルゴリズムの弱点保護 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017034713A JP2017034713A (ja) | 2017-02-09 |
| JP6347819B2 true JP6347819B2 (ja) | 2018-06-27 |
Family
ID=40495723
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011532582A Pending JP2012506658A (ja) | 2008-10-24 | 2009-10-09 | 暗号アルゴリズムの弱点保護 |
| JP2014126948A Pending JP2014197222A (ja) | 2008-10-24 | 2014-06-20 | 暗号アルゴリズムの弱点保護 |
| JP2016204123A Active JP6347819B2 (ja) | 2008-10-24 | 2016-10-18 | 暗号アルゴリズムの弱点保護 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011532582A Pending JP2012506658A (ja) | 2008-10-24 | 2009-10-09 | 暗号アルゴリズムの弱点保護 |
| JP2014126948A Pending JP2014197222A (ja) | 2008-10-24 | 2014-06-20 | 暗号アルゴリズムの弱点保護 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8477933B2 (ja) |
| EP (2) | EP2180631A1 (ja) |
| JP (3) | JP2012506658A (ja) |
| KR (1) | KR101528836B1 (ja) |
| WO (1) | WO2010046251A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2367316B1 (en) * | 2010-03-12 | 2017-07-05 | STMicroelectronics (Rousset) SAS | Method and circuitry for detecting a fault attack |
| DE102010055237A1 (de) * | 2010-12-20 | 2012-06-21 | Giesecke & Devrient Gmbh | Verfahren zum geschützten Ausführen einer kryptographischen Berechnung |
| EP2602952A1 (en) | 2011-12-07 | 2013-06-12 | Gemalto SA | Cryptographic method for protecting a key hardware register against fault attacks |
| EP2620890A1 (en) * | 2012-01-25 | 2013-07-31 | Gemalto SA | Method for detecting a fault injected in hardware registers of an electronic device |
| DE102012011727A1 (de) * | 2012-06-13 | 2013-12-19 | Giesecke & Devrient Gmbh | Gegen Safe Error Angriffe geschützte kryptografische Berechnung |
| CN103530474A (zh) * | 2013-10-25 | 2014-01-22 | 东南大学 | 面向aes算法电路的差分功耗攻击测试方法 |
| FR3045184B1 (fr) | 2015-12-15 | 2018-07-20 | Idemia France | Procede d’ecriture dans une memoire non-volatile d’une entite electronique et entite electronique associee |
| JP6728799B2 (ja) | 2016-03-11 | 2020-07-22 | 日本電気株式会社 | 暗号通信システム、暗号通信方法、セキュリティチップ、通信装置およびその制御方法と制御プログラム |
| EP3267354A1 (en) * | 2016-07-04 | 2018-01-10 | Gemalto Sa | Secure loading of secret data to non-protected hardware registers |
| FR3056789B1 (fr) * | 2016-09-27 | 2018-09-21 | Safran Identity & Security | Procede de chiffrement ou de dechiffrement symetrique par bloc |
| CN109508157A (zh) * | 2017-09-14 | 2019-03-22 | 北京立思辰计算机技术有限公司 | 一种打印机控制器及打印机控制方法 |
| JP7272533B2 (ja) * | 2018-11-05 | 2023-05-12 | エッジ ケース リサーチ,インコーポレイテッド | 知覚システムを評価するシステム及び方法 |
| CN113434332B (zh) * | 2021-05-27 | 2022-02-18 | 国家信息技术安全研究中心 | 基于故障蔓延的针对des/3des中间轮攻击的密钥恢复方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10154976A (ja) * | 1996-11-22 | 1998-06-09 | Toshiba Corp | タンパーフリー装置 |
| JP2000165375A (ja) * | 1998-11-30 | 2000-06-16 | Hitachi Ltd | 情報処理装置、icカード |
| JP4188571B2 (ja) * | 2001-03-30 | 2008-11-26 | 株式会社日立製作所 | 情報処理装置の演算方法および耐タンパ演算攪乱実装方式 |
| JP3844116B2 (ja) * | 2001-04-16 | 2006-11-08 | 株式会社ルネサステクノロジ | 暗号化・復号化装置とicカード |
| DE10136335B4 (de) * | 2001-07-26 | 2007-03-22 | Infineon Technologies Ag | Prozessor mit mehreren Rechenwerken |
| FR2829331B1 (fr) * | 2001-09-04 | 2004-09-10 | St Microelectronics Sa | Procede de securisation d'une quantite secrete |
| DE102004062825B4 (de) * | 2004-12-27 | 2006-11-23 | Infineon Technologies Ag | Kryptographische Einheit und Verfahren zum Betreiben einer kryptographischen Einheit |
| JP4529719B2 (ja) * | 2005-02-16 | 2010-08-25 | ソニー株式会社 | 信号処理回路 |
| FR2893796B1 (fr) * | 2005-11-21 | 2008-01-04 | Atmel Corp | Procede de protection par chiffrement |
| JP4871194B2 (ja) * | 2006-04-18 | 2012-02-08 | 株式会社半導体エネルギー研究所 | パラメータ抽出方法及び当該パラメータ抽出方法を実行させるプログラムを具備するコンピュータ読み取り可能な記憶媒体 |
| US7836309B2 (en) * | 2007-07-20 | 2010-11-16 | Microsoft Corporation | Generic extensible pre-operating system cryptographic infrastructure |
-
2008
- 2008-10-24 EP EP08305727A patent/EP2180631A1/en not_active Withdrawn
-
2009
- 2009-10-09 KR KR1020117009006A patent/KR101528836B1/ko active IP Right Grant
- 2009-10-09 WO PCT/EP2009/063205 patent/WO2010046251A1/en active Application Filing
- 2009-10-09 EP EP09783910.4A patent/EP2351286B1/en active Active
- 2009-10-09 US US13/123,655 patent/US8477933B2/en active Active
- 2009-10-09 JP JP2011532582A patent/JP2012506658A/ja active Pending
-
2014
- 2014-06-20 JP JP2014126948A patent/JP2014197222A/ja active Pending
-
2016
- 2016-10-18 JP JP2016204123A patent/JP6347819B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2351286B1 (en) | 2020-04-22 |
| EP2180631A1 (en) | 2010-04-28 |
| JP2014197222A (ja) | 2014-10-16 |
| JP2012506658A (ja) | 2012-03-15 |
| US8477933B2 (en) | 2013-07-02 |
| KR101528836B1 (ko) | 2015-06-15 |
| EP2351286A1 (en) | 2011-08-03 |
| US20110274268A1 (en) | 2011-11-10 |
| JP2017034713A (ja) | 2017-02-09 |
| KR20110088509A (ko) | 2011-08-03 |
| WO2010046251A1 (en) | 2010-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6347819B2 (ja) | 暗号アルゴリズムの弱点保護 | |
| Dunn et al. | Cloaking malware with the trusted platform module | |
| US9571289B2 (en) | Methods and systems for glitch-resistant cryptographic signing | |
| US8677482B2 (en) | Hardware security for software processes | |
| WO2018017421A1 (en) | Modular exponentiation with side channel attack countermeasures | |
| JPH10154976A (ja) | タンパーフリー装置 | |
| RU2579990C2 (ru) | Защита от пассивного сниффинга | |
| WO2016045458A1 (zh) | 一种安全控制方法及网络设备 | |
| JP2021144239A (ja) | 暗号アルゴリズム向けのワンタイムの中国剰余定理のべき乗のためのシステムおよび方法 | |
| WO2014153760A1 (en) | Detecting exploits against software applications | |
| JP2011072040A (ja) | 誤りに基づく攻撃から電子回路を保護する方法 | |
| Götzfried et al. | Mutual authentication and trust bootstrapping towards secure disk encryption | |
| Schmidt et al. | Combined implementation attack resistant exponentiation | |
| CN112332973B (zh) | 一种细粒度的物联网设备控制流保护方法 | |
| CN116956298A (zh) | 应用运行环境检测方法和装置 | |
| EP3891630B1 (en) | Method for end entity attestation | |
| Sarma | Security of hard disk encryption | |
| CN114124366A (zh) | 一种可信芯片的密钥生成方法及相关设备 | |
| US10305678B2 (en) | Imbalanced montgomery ladder | |
| Stumpf et al. | Towards secure e-commerce based on virtualization and attestation techniques | |
| Warsi et al. | Secure Firmware based Lightweight Trusted Platform Module (FLTPM) for IoT Devices | |
| Yousuf | Security of hard disk encryption | |
| Algawi et al. | In kernel implementation of rsa routines | |
| Fournaris | Hardware module design for ensuring trust | |
| Farrell | Applications Directly Using Cryptography |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171114 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180209 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180427 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180515 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180529 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6347819 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |