JPH118616A - 故障利用攻撃対応icカード - Google Patents
故障利用攻撃対応icカードInfo
- Publication number
- JPH118616A JPH118616A JP9159992A JP15999297A JPH118616A JP H118616 A JPH118616 A JP H118616A JP 9159992 A JP9159992 A JP 9159992A JP 15999297 A JP15999297 A JP 15999297A JP H118616 A JPH118616 A JP H118616A
- Authority
- JP
- Japan
- Prior art keywords
- error
- digital signature
- card
- error detection
- detection code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 中国人剰余定理を利用して高速に署名作成処
理をするICカードの故障利用攻撃に対する安全性を高
める。 【解決手段】 ディジタル署名の作成を行う冪乗剰余計
算を法nの素因数を用いて中国人剰余定理により高速で
処理し、中国人剰余定理による計算過程において生成さ
れるデータとともに、該データについてのエラー検出符
号を同時に計算して記憶しておき、ディジタル署名の作
成の際に、前記データのエラー検出符号を再度計算し、
記憶しておいたエラー検出符号と照合してデータの誤り
を検出し、誤りを検出した時にはエラーステータスを返
すようにしたことを特徴とする。
理をするICカードの故障利用攻撃に対する安全性を高
める。 【解決手段】 ディジタル署名の作成を行う冪乗剰余計
算を法nの素因数を用いて中国人剰余定理により高速で
処理し、中国人剰余定理による計算過程において生成さ
れるデータとともに、該データについてのエラー検出符
号を同時に計算して記憶しておき、ディジタル署名の作
成の際に、前記データのエラー検出符号を再度計算し、
記憶しておいたエラー検出符号と照合してデータの誤り
を検出し、誤りを検出した時にはエラーステータスを返
すようにしたことを特徴とする。
Description
【0001】
【発明の属する技術分野】本発明はRSA公開鍵暗号方
式の暗号化/復号化機能を有する冪乗剰余計算を高速に
処理するコプロセッサを搭載したICカードに係り、特
にICカードに対して外部から物理的刺激を与え、IC
カードの演算結果に対して故意に誤りを発生させ、その
誤りを利用して秘密情報を解析しようとする故障利用攻
撃への対策を施したICカードに関する。
式の暗号化/復号化機能を有する冪乗剰余計算を高速に
処理するコプロセッサを搭載したICカードに係り、特
にICカードに対して外部から物理的刺激を与え、IC
カードの演算結果に対して故意に誤りを発生させ、その
誤りを利用して秘密情報を解析しようとする故障利用攻
撃への対策を施したICカードに関する。
【0002】
【従来の技術】公開鍵暗号方式は、一対の暗号化鍵と復
号化鍵が異なり、暗号化鍵を公開し、復号化鍵を秘密に
する方式で、通信相手が増えても各利用者は自分だけの
1種類の復号化鍵を保持すればよいという利点を有して
いる。また、送信者が自分だけが知っている秘密鍵で署
名し、受信者が公開鍵で署名の検査をし、送信された通
信文の送信者が偽者でないこと、および送信された通信
文への改竄の有無を受信者が確認できる認証通信(ディ
ジタル署名通信)が可能である。このような認証通信機
能を備えた公開鍵暗号の代表例としてRSA公開鍵暗号
方式が知られている。
号化鍵が異なり、暗号化鍵を公開し、復号化鍵を秘密に
する方式で、通信相手が増えても各利用者は自分だけの
1種類の復号化鍵を保持すればよいという利点を有して
いる。また、送信者が自分だけが知っている秘密鍵で署
名し、受信者が公開鍵で署名の検査をし、送信された通
信文の送信者が偽者でないこと、および送信された通信
文への改竄の有無を受信者が確認できる認証通信(ディ
ジタル署名通信)が可能である。このような認証通信機
能を備えた公開鍵暗号の代表例としてRSA公開鍵暗号
方式が知られている。
【0003】RSA公開鍵暗号方式は、暗号化鍵を
(e,n)の組、復号化鍵を(d,n)の組とし、eと
n(乱数)は公開鍵で、dは秘密鍵である。公開鍵は、
任意の相異なる2つの大きな素因数p,qを選び、その
積n=pqを計算してnからeを生成し、生成した公開
鍵から秘密鍵dを生成している。RSA暗号によるディ
ジタル署名作成は、秘密鍵指数dを用いた冪乗剰余計算
によって行うが、冪乗剰余計算の法nの素因数p,qを
用いて計算量を減らし、高速に処理する方法が知られて
いる(J.J.Quisquater and C.Couvreur,"Fast Decipher
ment Algorithm forRSA Public-Key Cryptosystem",Ele
ctronics Letters Volume.18(1982)No.21,pp.905-90
7)。
(e,n)の組、復号化鍵を(d,n)の組とし、eと
n(乱数)は公開鍵で、dは秘密鍵である。公開鍵は、
任意の相異なる2つの大きな素因数p,qを選び、その
積n=pqを計算してnからeを生成し、生成した公開
鍵から秘密鍵dを生成している。RSA暗号によるディ
ジタル署名作成は、秘密鍵指数dを用いた冪乗剰余計算
によって行うが、冪乗剰余計算の法nの素因数p,qを
用いて計算量を減らし、高速に処理する方法が知られて
いる(J.J.Quisquater and C.Couvreur,"Fast Decipher
ment Algorithm forRSA Public-Key Cryptosystem",Ele
ctronics Letters Volume.18(1982)No.21,pp.905-90
7)。
【0004】冪乗剰余計算を高速に処理するコプロセッ
サを搭載し、RSA暗号によるディジタル署名の作成を
高速で行うICカードについて説明する。図5に示すよ
うに、リーダ/ライタ1とICカード2とは相互に通信
可能であり、リーダ/ライタ1からICカード2に対し
てディジタル署名作成のコマンド名とともに、メッセー
ジCを与えると、ICカードでは後述するような冪乗剰
余計算を行ってディジタル署名Mを作成し、リーダ/ラ
イタ1へレスポンスとして返す。
サを搭載し、RSA暗号によるディジタル署名の作成を
高速で行うICカードについて説明する。図5に示すよ
うに、リーダ/ライタ1とICカード2とは相互に通信
可能であり、リーダ/ライタ1からICカード2に対し
てディジタル署名作成のコマンド名とともに、メッセー
ジCを与えると、ICカードでは後述するような冪乗剰
余計算を行ってディジタル署名Mを作成し、リーダ/ラ
イタ1へレスポンスとして返す。
【0005】図6に示すように、ICカード2は、CP
U2aの他に、冪乗剰余計算を高速で行うハードロジッ
クからなるコプロセッサ2bを有しており、ディジタル
署名作成時に、CPUからの命令で演算を実行する。ま
た、ICカード2のROM2cには、コマンドの実行手
順が格納され、また、冪乗剰余計算を行うための必要な
変数がEEPROM2dに記憶される。
U2aの他に、冪乗剰余計算を高速で行うハードロジッ
クからなるコプロセッサ2bを有しており、ディジタル
署名作成時に、CPUからの命令で演算を実行する。ま
た、ICカード2のROM2cには、コマンドの実行手
順が格納され、また、冪乗剰余計算を行うための必要な
変数がEEPROM2dに記憶される。
【0006】次に、上記ICカードによるディジタル署
名の高速処理について説明する。いま、 C:署名対象のメッセージ・ダイジェスト d:秘密鍵指数 M:作成されたディジタル署名 としたとき、 M=Cd mod n ……(1) の冪乗剰余計算(Cd をnで割った余りがM)でディジ
タル署名Mを作成する。この冪乗剰余計算の法nは、例
えば10進で数100桁もの非常に大きい値を使用する
ので、ICカードで(1)式の計算をそのまま行うと大
きな処理時間を要する。
名の高速処理について説明する。いま、 C:署名対象のメッセージ・ダイジェスト d:秘密鍵指数 M:作成されたディジタル署名 としたとき、 M=Cd mod n ……(1) の冪乗剰余計算(Cd をnで割った余りがM)でディジ
タル署名Mを作成する。この冪乗剰余計算の法nは、例
えば10進で数100桁もの非常に大きい値を使用する
ので、ICカードで(1)式の計算をそのまま行うと大
きな処理時間を要する。
【0007】そこで、まず、署名作成者本人はn=pq
の素因数p、qを知っておくことができるので、あらか
じめ dp =dmod (p−1 ) ……(2) dq =dmod (q−1 ) ……(3) a=q-1mod p ……(4) を計算し、ICカードのEEPROM2dに記憶してお
く。ここで(4)式のaはaq≡1mod (p)を満たす
qの乗法逆元である。
の素因数p、qを知っておくことができるので、あらか
じめ dp =dmod (p−1 ) ……(2) dq =dmod (q−1 ) ……(3) a=q-1mod p ……(4) を計算し、ICカードのEEPROM2dに記憶してお
く。ここで(4)式のaはaq≡1mod (p)を満たす
qの乗法逆元である。
【0008】次に、以下のステップ1〜3で、nの代わ
りに長さがnの半分であるpとqを用いて剰余計算を行
い、これにより(1)式をそのまま計算する場合よりも
高速に処理できる。 ステップ1:Cp =Cmod p 、Cq =Cmod q ……(5) ステップ2:Mp =Cp x mod p 、Mq =Cq y mod q ……(6) ここに、x=dp 、y=dqを計算する。ステップ2で
の計算は、p、q各々についての通常のRSA復号化計
算である。この結果を用いると、(1)式は次の連立合
同式に帰着する。 M≡Mp (mod p) ……(7) M≡Mq (mod q) ……(8) (7)式はM−Mp がpで割り切れ、(8)式はM−M
q がqで割り切れることを表している。 ステップ3:中国人剰余定理より、 M={a(Mp −Mq )mod p}*q+Mq ……(9) の計算でディジタル署名Mが求められる。
りに長さがnの半分であるpとqを用いて剰余計算を行
い、これにより(1)式をそのまま計算する場合よりも
高速に処理できる。 ステップ1:Cp =Cmod p 、Cq =Cmod q ……(5) ステップ2:Mp =Cp x mod p 、Mq =Cq y mod q ……(6) ここに、x=dp 、y=dqを計算する。ステップ2で
の計算は、p、q各々についての通常のRSA復号化計
算である。この結果を用いると、(1)式は次の連立合
同式に帰着する。 M≡Mp (mod p) ……(7) M≡Mq (mod q) ……(8) (7)式はM−Mp がpで割り切れ、(8)式はM−M
q がqで割り切れることを表している。 ステップ3:中国人剰余定理より、 M={a(Mp −Mq )mod p}*q+Mq ……(9) の計算でディジタル署名Mが求められる。
【0009】図7は上記した手順で高速でディジタル署
名Mを作成する処理フローを示している。ICカード2
がディジタル署名のコマンドを受け取ると(実際にはコ
マンド名を受け取り、コマンド名に対応するコマンドを
ROMから読みだす)、ICカードではあらかじめEE
PROMに記憶してあるdp 、dq 、aを読み出すとと
もに、コマンドとともに送られてくるメッセージを読み
込む(ステップ1〜2)。次いで、(5)式によりCmo
d p、Cmod qを計算してCp 、Cq を求め(ステップ
3〜4)、次いで、Cp 、Cq 、dp 、dq 、p、qを
用い、(6)式でMp 、Mq を計算する(ステップ5〜
6)。次いで、中国人剰余定理により(9)式を用いて
ディジタル署名Mを作成し、作成したディジタル署名M
をレスポンスとしてリーダ/ライタ1へ返す。
名Mを作成する処理フローを示している。ICカード2
がディジタル署名のコマンドを受け取ると(実際にはコ
マンド名を受け取り、コマンド名に対応するコマンドを
ROMから読みだす)、ICカードではあらかじめEE
PROMに記憶してあるdp 、dq 、aを読み出すとと
もに、コマンドとともに送られてくるメッセージを読み
込む(ステップ1〜2)。次いで、(5)式によりCmo
d p、Cmod qを計算してCp 、Cq を求め(ステップ
3〜4)、次いで、Cp 、Cq 、dp 、dq 、p、qを
用い、(6)式でMp 、Mq を計算する(ステップ5〜
6)。次いで、中国人剰余定理により(9)式を用いて
ディジタル署名Mを作成し、作成したディジタル署名M
をレスポンスとしてリーダ/ライタ1へ返す。
【0010】このように、nに対して半分の桁数のp、
qによる剰余計算となるため、(1)式の計算に比して
計算量がほぼ1/4となり、処理を高速化できる。
qによる剰余計算となるため、(1)式の計算に比して
計算量がほぼ1/4となり、処理を高速化できる。
【0011】ところで故障利用攻撃では、ディジタル署
名を作成するICカードに対して、外部から物理的刺激
(熱、圧力、放射線、電圧等)を加えることにより、I
Cカードのメモリやレジスタ上のビットパターンの一部
に故意に誤りを発生させる。例えば、前記ステップ2の
(6)式の計算途中で、故意に誤りを発生させ、Mpま
たはMq のどちらか一方の値を誤らせる。ここでは、M
p の計算結果が誤っているとしてそれをMp ′とし、M
q は正しく求められているとする。Mp ′、Mq を
(9)式に適用して求めた署名Mも誤っていることにな
るから、それをM′とする。
名を作成するICカードに対して、外部から物理的刺激
(熱、圧力、放射線、電圧等)を加えることにより、I
Cカードのメモリやレジスタ上のビットパターンの一部
に故意に誤りを発生させる。例えば、前記ステップ2の
(6)式の計算途中で、故意に誤りを発生させ、Mpま
たはMq のどちらか一方の値を誤らせる。ここでは、M
p の計算結果が誤っているとしてそれをMp ′とし、M
q は正しく求められているとする。Mp ′、Mq を
(9)式に適用して求めた署名Mも誤っていることにな
るから、それをM′とする。
【0012】このとき、署名対象データCと公開されて
いる法nの値を使って、 gcd((M′)e −C,n)(gcd:最大公約数) ……(10) によって秘密に保つべきnの素因数qが求められてしま
う(Marc Joye and Jean-Jacques Quisquater;"Attacks
on system using Chinese remaindering" November 1
1,1996 この論文はhttp://www.dice.ucl.ac.be/crypto/
techreports.htmlにて公開されている)。なぜならば、
Mが正しいとすると Me ≡C(mod n) ……(11) が成立するが、Mp ′に誤りがあるため成立しない。そ
して Mp ′≡Cp x (mod p)(x=dp ) なので、 (M′)e ≡C(mod q) ……(12) である。すなわち、(M′)e −Cとn(=pq)との
最大公約数はqである。こうして、qが分かるとpも分
かり、その結果、すべての秘密情報が分かってしまうこ
とになる。
いる法nの値を使って、 gcd((M′)e −C,n)(gcd:最大公約数) ……(10) によって秘密に保つべきnの素因数qが求められてしま
う(Marc Joye and Jean-Jacques Quisquater;"Attacks
on system using Chinese remaindering" November 1
1,1996 この論文はhttp://www.dice.ucl.ac.be/crypto/
techreports.htmlにて公開されている)。なぜならば、
Mが正しいとすると Me ≡C(mod n) ……(11) が成立するが、Mp ′に誤りがあるため成立しない。そ
して Mp ′≡Cp x (mod p)(x=dp ) なので、 (M′)e ≡C(mod q) ……(12) である。すなわち、(M′)e −Cとn(=pq)との
最大公約数はqである。こうして、qが分かるとpも分
かり、その結果、すべての秘密情報が分かってしまうこ
とになる。
【0013】
【発明が解決しようとする課題】このように、故障攻撃
により秘密情報が解析されるため、中国人剰余定理を利
用して計算したディジタル署名Mが正しいか否かを確認
する必要があるが、確認するには、作成されたディジタ
ル署名を署名作成者自ら検証してみる必要があった。す
なわち、署名作成者の公開鍵eを用いてMe ≡C(mod
n)を検証する必要があった。
により秘密情報が解析されるため、中国人剰余定理を利
用して計算したディジタル署名Mが正しいか否かを確認
する必要があるが、確認するには、作成されたディジタ
ル署名を署名作成者自ら検証してみる必要があった。す
なわち、署名作成者の公開鍵eを用いてMe ≡C(mod
n)を検証する必要があった。
【0014】ところで、冪乗剰余計算を高速に処理する
コプロセッサを搭載したICカードの場合、コプロセッ
サによる冪乗剰余計算の対象となる整数の大きさはハー
ドウェア的に制限がある。前述したように、高速処理の
ためにディジタル署名の作成において冪乗剰余計算の法
nの素因数p、qを用いるので、p、qの大きさをコプ
ロセッサで扱える限度いっぱいまでとると、p、qの積
であるnはコプロセッサで扱える限度を超えてしまう。
署名の検証はe,nのみ用いてMe ≡C(modn)を
コプロセッサで演算して行うが、この演算を行うことが
できなくなってしまう。一方、CPUの命令を用いてソ
フトウエアでの処理により検証すると、署名の作成本体
処理よりもはるかに多くの時間を要するため、故障利用
攻撃を受けたかどうかの検証を実用的なレスポンス時間
内に行うことができない。そのため、nの大きさがコプ
ロセッサで扱える限度を超える場合には、作成した署名
の検証を行わないことが一般的であり、故障利用攻撃を
許してしまう結果となっていた。
コプロセッサを搭載したICカードの場合、コプロセッ
サによる冪乗剰余計算の対象となる整数の大きさはハー
ドウェア的に制限がある。前述したように、高速処理の
ためにディジタル署名の作成において冪乗剰余計算の法
nの素因数p、qを用いるので、p、qの大きさをコプ
ロセッサで扱える限度いっぱいまでとると、p、qの積
であるnはコプロセッサで扱える限度を超えてしまう。
署名の検証はe,nのみ用いてMe ≡C(modn)を
コプロセッサで演算して行うが、この演算を行うことが
できなくなってしまう。一方、CPUの命令を用いてソ
フトウエアでの処理により検証すると、署名の作成本体
処理よりもはるかに多くの時間を要するため、故障利用
攻撃を受けたかどうかの検証を実用的なレスポンス時間
内に行うことができない。そのため、nの大きさがコプ
ロセッサで扱える限度を超える場合には、作成した署名
の検証を行わないことが一般的であり、故障利用攻撃を
許してしまう結果となっていた。
【0015】本発明は上記課題を解決するためのもの
で、メッセージ作成者本人がRSA秘密鍵を用いてディ
ジタル署名を作成する際に、中国人剰余定理を利用して
高速に署名作成処理をするICカードに対して、中国人
剰余定理の途中結果に計算誤りを発生させ、誤ったディ
ジタル署名を作らせることによって、秘密情報を得よう
とする故障利用攻撃に対する安全性を高めることを目的
とするものである。
で、メッセージ作成者本人がRSA秘密鍵を用いてディ
ジタル署名を作成する際に、中国人剰余定理を利用して
高速に署名作成処理をするICカードに対して、中国人
剰余定理の途中結果に計算誤りを発生させ、誤ったディ
ジタル署名を作らせることによって、秘密情報を得よう
とする故障利用攻撃に対する安全性を高めることを目的
とするものである。
【0016】
【課題を解決するための手段】本発明は、コプロセッサ
を搭載し、ディジタル署名の作成を行う冪乗剰余計算を
RSA公開鍵暗号方式の公開鍵nの素因数を用いて中国
人剰余定理により高速で処理するようにしたICカード
において、中国人剰余定理による計算過程において生成
されるデータとともに、該データについてのエラー検出
符号を同時に計算して記憶しておき、ディジタル署名の
作成時に、前記データのエラー検出符号を再度計算し、
記憶しておいたエラー検出符号と照合するようにしたこ
とを特徴とする。また、本発明は、エラー検出符号の照
合で誤りが検出されないことを条件に、ディジタル署名
を作成してレスポンスとして出力し、エラー検出符号の
照合で誤りが検出されたことを条件に、エラーステータ
スワードを出力して処理を終了することを特徴とする。
を搭載し、ディジタル署名の作成を行う冪乗剰余計算を
RSA公開鍵暗号方式の公開鍵nの素因数を用いて中国
人剰余定理により高速で処理するようにしたICカード
において、中国人剰余定理による計算過程において生成
されるデータとともに、該データについてのエラー検出
符号を同時に計算して記憶しておき、ディジタル署名の
作成時に、前記データのエラー検出符号を再度計算し、
記憶しておいたエラー検出符号と照合するようにしたこ
とを特徴とする。また、本発明は、エラー検出符号の照
合で誤りが検出されないことを条件に、ディジタル署名
を作成してレスポンスとして出力し、エラー検出符号の
照合で誤りが検出されたことを条件に、エラーステータ
スワードを出力して処理を終了することを特徴とする。
【0017】
【発明の実施の形態】以下、本発明の実施の形態につい
て説明する。図1、図2は本発明による故障利用攻撃へ
の対策を施したICカードを説明する図、図3、図4は
本発明のディジタル署名作成処理フローを説明する図で
ある。本発明は、図5、図6で説明したICカードを使
用し、(1)式のディジタル署名を、(2)〜(9)式
に示す処理により行う点は従来のものと同じである。し
たがって、以下ではこれらの式を援用して説明し、すで
に説明した変量の定義等については適宜説明を省略す
る。前述したように、故障利用攻撃では、(2)〜
(9)式によりRSA復号化計算を高速で行うICカー
ドに対して、外部から物理的刺激(熱、圧力、放射線、
電圧等)を加えることにより、ICカードのメモリやレ
ジスタ上のビットパターンの一部に故意に誤りを発生さ
せている。
て説明する。図1、図2は本発明による故障利用攻撃へ
の対策を施したICカードを説明する図、図3、図4は
本発明のディジタル署名作成処理フローを説明する図で
ある。本発明は、図5、図6で説明したICカードを使
用し、(1)式のディジタル署名を、(2)〜(9)式
に示す処理により行う点は従来のものと同じである。し
たがって、以下ではこれらの式を援用して説明し、すで
に説明した変量の定義等については適宜説明を省略す
る。前述したように、故障利用攻撃では、(2)〜
(9)式によりRSA復号化計算を高速で行うICカー
ドに対して、外部から物理的刺激(熱、圧力、放射線、
電圧等)を加えることにより、ICカードのメモリやレ
ジスタ上のビットパターンの一部に故意に誤りを発生さ
せている。
【0018】そこで、中国人剰余定理を用いてディジタ
ル署名を作成する途中の、ステップ1やステップ2の
(5)式、(6)式におけるCp =Cmod p 、Cq
=Cmodq、Mp =Cp x mod p(x=dp )、Mq =
Cq y mod q(y=dq )の各々の計算後に、それぞれ
についてエラー検出符号を計算しておき、メモリまたは
レジスタ中にCp 、Cq 、Mp 、Mq と同時に記憶して
おく。
ル署名を作成する途中の、ステップ1やステップ2の
(5)式、(6)式におけるCp =Cmod p 、Cq
=Cmodq、Mp =Cp x mod p(x=dp )、Mq =
Cq y mod q(y=dq )の各々の計算後に、それぞれ
についてエラー検出符号を計算しておき、メモリまたは
レジスタ中にCp 、Cq 、Mp 、Mq と同時に記憶して
おく。
【0019】こうして記憶させたCp 、Cq 、Mp 、M
q を用いて(9)式を用いてディジタル署名を計算する
際に、再びCp 、Cq 、Mp 、Mq のエラー検出符号を
計算し、先に記憶しておいたエラー検出符号と照合す
る。照合の結果、Cp 、Cq 、Mp 、Mq にビットエラ
ーが発生していないことを確認してから、Cp 、Cq 、
Mp 、Mq を使用する。照合の結果、Cp 、Cq 、
Mp 、Mq にビットエラーが発生している場合には、エ
ラーのステータスワードをリーダ/ライタに対して返し
て処理を終了する。このようにすれば、故障利用攻撃を
受けても、誤ったディジタル署名をレスポンスとして返
すことはない。
q を用いて(9)式を用いてディジタル署名を計算する
際に、再びCp 、Cq 、Mp 、Mq のエラー検出符号を
計算し、先に記憶しておいたエラー検出符号と照合す
る。照合の結果、Cp 、Cq 、Mp 、Mq にビットエラ
ーが発生していないことを確認してから、Cp 、Cq 、
Mp 、Mq を使用する。照合の結果、Cp 、Cq 、
Mp 、Mq にビットエラーが発生している場合には、エ
ラーのステータスワードをリーダ/ライタに対して返し
て処理を終了する。このようにすれば、故障利用攻撃を
受けても、誤ったディジタル署名をレスポンスとして返
すことはない。
【0020】図1はエラー検出符号としてCRC(Cycl
ic Redundancy Check )コードを用いた例を示してい
る。図1は、(5)式、(6)式により演算したCp 、
Cq 、Mp 、Mq をメモリ或いはレジスタにビットパタ
ーンとして格納した状態を示しており、同時にこれらの
CRCコードを生成して書き込んでおく。ICカードに
データを書き込むときに通常エラーチェックコードが付
加され、ICカードにおいては一般的にISO−CCI
TTの規格に基づくCRCコードが使用されている。C
RCコードは、書き込むデータに基づいて所定のアルゴ
リズムの論理演算を行って発生させ、データとともに書
き込まれる。例えば、ISO−CCITTの規格に基づ
くCRCコードは、書き込み対象であるデータを所定の
値、例えば、2進数で「10001000000100
001」なる17ビットの数で割ったときの余りとして
定義されている。
ic Redundancy Check )コードを用いた例を示してい
る。図1は、(5)式、(6)式により演算したCp 、
Cq 、Mp 、Mq をメモリ或いはレジスタにビットパタ
ーンとして格納した状態を示しており、同時にこれらの
CRCコードを生成して書き込んでおく。ICカードに
データを書き込むときに通常エラーチェックコードが付
加され、ICカードにおいては一般的にISO−CCI
TTの規格に基づくCRCコードが使用されている。C
RCコードは、書き込むデータに基づいて所定のアルゴ
リズムの論理演算を行って発生させ、データとともに書
き込まれる。例えば、ISO−CCITTの規格に基づ
くCRCコードは、書き込み対象であるデータを所定の
値、例えば、2進数で「10001000000100
001」なる17ビットの数で割ったときの余りとして
定義されている。
【0021】こうして生成した各Cp 、Cq 、Mp 、M
q に対するCRCコードX(Cp )、X(Cq )、X
(Mp )、X(Mq )を同時に記憶しておく。そして、
ディジタル署名を作成する段階で、再びCRCコードX
(Cp )′、X(Cq )′、X(Mp )′、X
(Mq )′を計算し、先に記憶しておいたCRCコード
X(Cp)、X(Cq )、X(Mp )、X(Mq )と照
合する。照合の結果、Cp 、Cq、Mp 、Mq にビット
エラーが発生していないことを確認してから、Cp 、C
q、Mp 、Mq を使用してディジタル署名Mを作成す
る。Cp 、Cq 、Mp 、Mqにビットエラーが発生して
いれば、エラーのステータスワードを返して処理を終了
する。
q に対するCRCコードX(Cp )、X(Cq )、X
(Mp )、X(Mq )を同時に記憶しておく。そして、
ディジタル署名を作成する段階で、再びCRCコードX
(Cp )′、X(Cq )′、X(Mp )′、X
(Mq )′を計算し、先に記憶しておいたCRCコード
X(Cp)、X(Cq )、X(Mp )、X(Mq )と照
合する。照合の結果、Cp 、Cq、Mp 、Mq にビット
エラーが発生していないことを確認してから、Cp 、C
q、Mp 、Mq を使用してディジタル署名Mを作成す
る。Cp 、Cq 、Mp 、Mqにビットエラーが発生して
いれば、エラーのステータスワードを返して処理を終了
する。
【0022】図2はエラー検出符号としてパリティ符号
を用いた例を示している。図2は(5)式、(6)式に
より演算したCp 、Cq 、Mp 、Mq をメモリ或いはレ
ジスタにビットパターンとして格納した状態を示してお
り、同時にCp 、Cq 、Mp 、Mq の各バイトについて
ビット毎に排他的論理和をとり、水平パリティP
(Cp )、P(Cq )、P(Mp )、P(Mq )を計算
し、同時に記憶しておく。そして、ディジタル署名を作
成する段階で、再び水平パリティP(Cp)′、P(C
q )′、P(Mp )′、P(Mq )′を計算し、先に記
憶しておいた水平パリティP(Cp )、P(Cq )、P
(Mp )、P(Mq )と照合する。照合の結果、Cp 、
Cq 、Mp 、Mq にビットエラーが発生していないこと
を確認してから、Cp 、Cq 、Mp 、Mq を使用してデ
ィジタル署名Mを作成する。Cp 、Cq 、Mp 、Mq に
ビットエラーが発生していれば、エラーのステータスワ
ードを返して処理を終了する。
を用いた例を示している。図2は(5)式、(6)式に
より演算したCp 、Cq 、Mp 、Mq をメモリ或いはレ
ジスタにビットパターンとして格納した状態を示してお
り、同時にCp 、Cq 、Mp 、Mq の各バイトについて
ビット毎に排他的論理和をとり、水平パリティP
(Cp )、P(Cq )、P(Mp )、P(Mq )を計算
し、同時に記憶しておく。そして、ディジタル署名を作
成する段階で、再び水平パリティP(Cp)′、P(C
q )′、P(Mp )′、P(Mq )′を計算し、先に記
憶しておいた水平パリティP(Cp )、P(Cq )、P
(Mp )、P(Mq )と照合する。照合の結果、Cp 、
Cq 、Mp 、Mq にビットエラーが発生していないこと
を確認してから、Cp 、Cq 、Mp 、Mq を使用してデ
ィジタル署名Mを作成する。Cp 、Cq 、Mp 、Mq に
ビットエラーが発生していれば、エラーのステータスワ
ードを返して処理を終了する。
【0023】次に、図3、図4により本発明によるディ
ジタル署名作成処理フローを説明する。ICカードがデ
ィジタル署名のコマンドを受け取ると、ICカードでは
あらかじめEEPROMに記憶してあるdp 、dq 、a
を読み出すとともに、コマンドとともに送られてくるメ
ッセージを読み込む(ステップ11〜12)。次いで、
(5)式によりCmod pを計算してCp を求めるととも
に、Cp のCRCコードX(Cp )を計算して記憶する
(ステップ13)。同様に、Cmod qを計算してCq を
求めるとともに、Cq のCRCコードX(Cq )を計算
して記憶する(ステップ14)。また、(6)式で
Mp 、Mq を計算するとともに、Mp 、Mq のCRCコ
ードX(Mp )、X(Mq )を計算してそれぞれ記憶す
る(ステップ15、16)。次いで、ディジタル署名を作
成する段階で、再びCp 、Cq 、Mp 、Mq のCRCコ
ードを計算し、記憶しておいたCRCコードX
(Cp )、X(Cq )、X(Mp )、X(Mq )とそれ
ぞれ照合する(ステップ17〜20)。
ジタル署名作成処理フローを説明する。ICカードがデ
ィジタル署名のコマンドを受け取ると、ICカードでは
あらかじめEEPROMに記憶してあるdp 、dq 、a
を読み出すとともに、コマンドとともに送られてくるメ
ッセージを読み込む(ステップ11〜12)。次いで、
(5)式によりCmod pを計算してCp を求めるととも
に、Cp のCRCコードX(Cp )を計算して記憶する
(ステップ13)。同様に、Cmod qを計算してCq を
求めるとともに、Cq のCRCコードX(Cq )を計算
して記憶する(ステップ14)。また、(6)式で
Mp 、Mq を計算するとともに、Mp 、Mq のCRCコ
ードX(Mp )、X(Mq )を計算してそれぞれ記憶す
る(ステップ15、16)。次いで、ディジタル署名を作
成する段階で、再びCp 、Cq 、Mp 、Mq のCRCコ
ードを計算し、記憶しておいたCRCコードX
(Cp )、X(Cq )、X(Mp )、X(Mq )とそれ
ぞれ照合する(ステップ17〜20)。
【0024】この照合は、図4に示すように、記憶して
おいたCRCコードX(Y)と、計算したYのCRCコ
ードTとを比較し、両者が一致すれば正常終了、一致し
なければ異常終了とする。図3のステップ17〜20の
どの段階で異常終了となっても、その時点でエラーのス
テータスワードをリーダ/ライタに返して処理を終了す
る。ステップ17〜20がすべて正常終了の場合、ディ
ジタル署名を作成して、これをレスポンスとして返す
(ステップ21、22)。
おいたCRCコードX(Y)と、計算したYのCRCコ
ードTとを比較し、両者が一致すれば正常終了、一致し
なければ異常終了とする。図3のステップ17〜20の
どの段階で異常終了となっても、その時点でエラーのス
テータスワードをリーダ/ライタに返して処理を終了す
る。ステップ17〜20がすべて正常終了の場合、ディ
ジタル署名を作成して、これをレスポンスとして返す
(ステップ21、22)。
【0025】
【発明の効果】以上のように本発明によれば、nの大き
さがコプロセッサで扱える限度を超える場合にも、作成
した署名の検証を短時間で行うことができるので、故障
利用攻撃を受けても、誤ったディジタル署名をレスポン
スとして返してしまう可能性を減らすことができる。故
障利用攻撃によって、エラー検出符号そのものに誤りが
発生したり、エラー検出符号の誤り検出能力を超える範
囲の誤りが発生する可能性が全くないとはいえないが、
ほとんどの場合において故障利用攻撃を受けたことを検
出することが可能である。
さがコプロセッサで扱える限度を超える場合にも、作成
した署名の検証を短時間で行うことができるので、故障
利用攻撃を受けても、誤ったディジタル署名をレスポン
スとして返してしまう可能性を減らすことができる。故
障利用攻撃によって、エラー検出符号そのものに誤りが
発生したり、エラー検出符号の誤り検出能力を超える範
囲の誤りが発生する可能性が全くないとはいえないが、
ほとんどの場合において故障利用攻撃を受けたことを検
出することが可能である。
【図1】 エラー検出符号としてCRCコードを用いた
例を説明する図である。
例を説明する図である。
【図2】 エラー検出符号としてパリティチェックを用
いた例を説明する図である。
いた例を説明する図である。
【図3】 本発明のディジタル署名作成処理フローを説
明する図である。
明する図である。
【図4】 CRC照合処理を説明する図である。
【図5】 リーダ/ライタとICカードとの通信を説明
する図である。
する図である。
【図6】 ICカードの説明図である。
【図7】 従来のディジタル署名作成処理フローの説明
図である。
図である。
1…リーダ/ライタ、2…ICカード、2a…CPU、
2b…コプロセッサ、2c…ロム、2d…EEPRO
M。
2b…コプロセッサ、2c…ロム、2d…EEPRO
M。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 9/32 H04L 9/00 673E
Claims (2)
- 【請求項1】 コプロセッサを搭載し、RSA公開鍵暗
号方式のディジタル署名の作成を行う冪乗剰余計算を公
開鍵nの素因数を用いて中国人剰余定理により高速で処
理するようにしたICカードにおいて、 中国人剰余定理による計算過程において生成されるデー
タとともに、該データについてのエラー検出符号を同時
に計算して記憶しておき、ディジタル署名の作成時に、
前記データのエラー検出符号を再度計算し、記憶してお
いたエラー検出符号と照合するようにした故障利用攻撃
対応ICカード。 - 【請求項2】 請求項1記載のICカードにおいて、エ
ラー検出符号の照合で誤りが検出されないことを条件
に、ディジタル署名を作成してレスポンスとして出力
し、エラー検出符号の照合で誤りが検出されたことを条
件に、エラーステータスワードを出力して処理を終了す
ることを特徴とするICカード。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9159992A JPH118616A (ja) | 1997-06-17 | 1997-06-17 | 故障利用攻撃対応icカード |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9159992A JPH118616A (ja) | 1997-06-17 | 1997-06-17 | 故障利用攻撃対応icカード |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH118616A true JPH118616A (ja) | 1999-01-12 |
Family
ID=15705644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9159992A Pending JPH118616A (ja) | 1997-06-17 | 1997-06-17 | 故障利用攻撃対応icカード |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH118616A (ja) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4872748A (en) * | 1985-02-18 | 1989-10-10 | U.S. Philips Corporation | Projection-lens system |
| JP2002536875A (ja) * | 1999-01-27 | 2002-10-29 | フランス テレコム | 減少した計算組を伴う認証または署名プロセス |
| JP2003501698A (ja) * | 1999-06-09 | 2003-01-14 | マイクロソフト コーポレイション | 基本的なレジスタ演算を用いたパラメータの生成 |
| JP2003051817A (ja) * | 2001-08-08 | 2003-02-21 | Toshiba Corp | 暗号化・復号装置、ディジタル署名生成・検証装置、方法及びプログラム |
| KR100431047B1 (ko) * | 2002-02-26 | 2004-05-12 | 주홍정보통신주식회사 | Crt에 기초한 rsa 공개키 암호화 방식을 이용한디지털 서명방법 및 그 장치 |
| JP2006504361A (ja) * | 2002-10-24 | 2006-02-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 誤り訂正コードに基づくメッセージ認証コード |
| US7388957B2 (en) | 2003-01-28 | 2008-06-17 | Matsushita Electric Industrial Co., Ltd. | Elliptic curve exponentiation apparatus that can counter differential fault attack, and information security apparatus |
| JP2009502070A (ja) * | 2005-07-19 | 2009-01-22 | ジェムプリュス | 永久データハードウェアインテグリティ |
| JP2009259126A (ja) * | 2008-04-18 | 2009-11-05 | Dainippon Printing Co Ltd | 故障攻撃の検知方法、及び、セキュリティデバイス |
| JP2011072040A (ja) * | 2002-07-09 | 2011-04-07 | Axalto Sa | 誤りに基づく攻撃から電子回路を保護する方法 |
| JP2016009114A (ja) * | 2014-06-25 | 2016-01-18 | ルネサスエレクトロニクス株式会社 | データ処理装置及び復号処理方法 |
| JP2016008994A (ja) * | 2014-06-23 | 2016-01-18 | 大日本印刷株式会社 | べき乗剰余演算装置、icカード、べき乗剰余演算方法、及び、べき乗剰余演算プログラム |
-
1997
- 1997-06-17 JP JP9159992A patent/JPH118616A/ja active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4872748A (en) * | 1985-02-18 | 1989-10-10 | U.S. Philips Corporation | Projection-lens system |
| JP2002536875A (ja) * | 1999-01-27 | 2002-10-29 | フランス テレコム | 減少した計算組を伴う認証または署名プロセス |
| USRE42517E1 (en) | 1999-01-27 | 2011-07-05 | Phentam Dire Nv, Llc | Authenticating or signature method with reduced computations |
| JP2003501698A (ja) * | 1999-06-09 | 2003-01-14 | マイクロソフト コーポレイション | 基本的なレジスタ演算を用いたパラメータの生成 |
| JP2003051817A (ja) * | 2001-08-08 | 2003-02-21 | Toshiba Corp | 暗号化・復号装置、ディジタル署名生成・検証装置、方法及びプログラム |
| KR100431047B1 (ko) * | 2002-02-26 | 2004-05-12 | 주홍정보통신주식회사 | Crt에 기초한 rsa 공개키 암호화 방식을 이용한디지털 서명방법 및 그 장치 |
| JP2011072040A (ja) * | 2002-07-09 | 2011-04-07 | Axalto Sa | 誤りに基づく攻撃から電子回路を保護する方法 |
| JP2006504361A (ja) * | 2002-10-24 | 2006-02-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 誤り訂正コードに基づくメッセージ認証コード |
| US7388957B2 (en) | 2003-01-28 | 2008-06-17 | Matsushita Electric Industrial Co., Ltd. | Elliptic curve exponentiation apparatus that can counter differential fault attack, and information security apparatus |
| JP2009502070A (ja) * | 2005-07-19 | 2009-01-22 | ジェムプリュス | 永久データハードウェアインテグリティ |
| JP4766285B2 (ja) * | 2005-07-19 | 2011-09-07 | ジェムアルト エスアー | 永久データハードウェアインテグリティ |
| JP2009259126A (ja) * | 2008-04-18 | 2009-11-05 | Dainippon Printing Co Ltd | 故障攻撃の検知方法、及び、セキュリティデバイス |
| JP2016008994A (ja) * | 2014-06-23 | 2016-01-18 | 大日本印刷株式会社 | べき乗剰余演算装置、icカード、べき乗剰余演算方法、及び、べき乗剰余演算プログラム |
| JP2016009114A (ja) * | 2014-06-25 | 2016-01-18 | ルネサスエレクトロニクス株式会社 | データ処理装置及び復号処理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8850221B2 (en) | Protection against side channel attacks with an integrity check | |
| US5414772A (en) | System for improving the digital signature algorithm | |
| Boneh et al. | On the importance of eliminating errors in cryptographic computations | |
| CN1842757B (zh) | 用于增量代码签署的方法和装置 | |
| US5955717A (en) | Transaction verification protocol for Smart Cards | |
| US20110016324A1 (en) | Data card verification system | |
| JPH09128507A (ja) | 相互認証方法 | |
| US7000110B1 (en) | One-way function generation method, one-way function value generation device, proving device, authentication method, and authentication device | |
| JPH06348202A (ja) | 確認装置によって少なくとも1つの識別装置を認証する方法および装置 | |
| JPH118616A (ja) | 故障利用攻撃対応icカード | |
| US7227947B2 (en) | Cryptographic method and cryptographic device | |
| JP2011530093A (ja) | 累乗法による暗号化を保護する解決策 | |
| Tzong-Chen et al. | Authenticating passwords over an insecure channel | |
| US8311212B2 (en) | Method of processing data protected against attacks by generating errors and associated device | |
| US7454625B2 (en) | Method and apparatus for protecting a calculation in a cryptographic algorithm | |
| US7496758B2 (en) | Method and apparatus for protecting an exponentiation calculation by means of the chinese remainder theorem (CRT) | |
| US20040184604A1 (en) | Secure method for performing a modular exponentiation operation | |
| EP1501236B1 (en) | Error correction for cryptographic keys | |
| WO2020233892A1 (en) | Method for securing against fault attacks a verification algorithm of a digital signature of a message | |
| JP2003255831A (ja) | 楕円曲線スカラー倍計算方法及び装置 | |
| Paar et al. | Digital Signatures | |
| CN100588155C (zh) | 在电子部件中实现用于寻找公共指数的加密算法的方法 | |
| AU2003269005B2 (en) | Cryptographic method and devices for facilitating calculations during transactions | |
| JP2003051817A (ja) | 暗号化・復号装置、ディジタル署名生成・検証装置、方法及びプログラム | |
| Horng | A secure server-aided RSA signature computation protocol for smart cards |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040512 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060824 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060830 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061030 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061220 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070219 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070403 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20070720 |