WO2007026092A1 - Anonymous and retroactively untraceable authentication of an electronic object by an authentication entity - Google Patents

Anonymous and retroactively untraceable authentication of an electronic object by an authentication entity Download PDF

Info

Publication number
WO2007026092A1
WO2007026092A1 PCT/FR2006/050805 FR2006050805W WO2007026092A1 WO 2007026092 A1 WO2007026092 A1 WO 2007026092A1 FR 2006050805 W FR2006050805 W FR 2006050805W WO 2007026092 A1 WO2007026092 A1 WO 2007026092A1
Authority
WO
WIPO (PCT)
Prior art keywords
identifier
cryptogram
authentication
electronic object
function
Prior art date
Application number
PCT/FR2006/050805
Other languages
French (fr)
Inventor
Henri Gilbert
Olivier Billet
Côme BERBAIN
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007026092A1 publication Critical patent/WO2007026092A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Definitions

  • the present invention relates to the authentication of an electronic object by an authentication entity. More particularly, it relates to anonymous authentication that is not traceable retroactively from an asymmetric cryptographic algorithm of an electronic object by an authentication entity such as an authentication server.
  • the electronic objects are according to a preferred embodiment of the invention electronic tags of RFID type (Radio Frequency
  • An electronic object having a small memory, a minimum of wiring and elements soliciting only simple operations, all implanted in an integrated circuit.
  • An electronic object can also be a smart card including a microcontroller having a low computing capacity.
  • Authentication methods based on an asymmetric cryptographic algorithm are known in the field of telecommunication networks and are described in the following manner with reference to FIG. 1: during authentication of an electronic tag type client entity A at a server B authentication entity, the label A transmits its identity IA in clear to the server B to initialize the authentication.
  • the server B sends a random number called random RA to the label A.
  • the label A encrypts the randomness RA by an encryption algorithm using a private key to obtain a cryptogram C (RA) that the label sends to the server B
  • the server verifies the accuracy of the encryption by performing a reverse operation based on a public key decryption algorithm for decrypting the cryptogram C (RA) into a random to compare to the initial randomness RA.
  • the attacker can link subsequent authentications of the label A by pretending to be the server B and proposing the same RA randomness.
  • An attacker is also able to know the label A by analyzing the behavior of the label deduced from characteristic responses of the label to known inputs, such as RA randomness, and the observation of previous authentications.
  • an electronic tag is authenticated by a server in which is implemented a class of stable encryption algorithms by public key composition whose private key is known to the server. Stability by composition means that the successive use of at least two algorithms of this class is equivalent to the use of an algorithm of said class.
  • the tag has a secret identifier also accessible by the server. The tag encrypts the secret identifier by iteration of the cryptographic algorithm according to an iteration counter. The label then a result returned by a bijective function, having as input parameters a random error emitted by the server and a concatenation of the encrypted secret identifier and the number of iterations.
  • the result is transmitted to the server that decrypts it by using a reverse bijective function and the random to extract the encrypted secret identifier and the number of iterations.
  • the server then decrypts the secret identifier by iteration of the inverse cryptographic algorithm and verifies the accuracy of the result with the secret identifier stored in the server.
  • composition-based stable encryption algorithm class currently involves the choice of the Rivest Shamir Adleman (RSA) algorithm. This choice is relatively far from the constraints of implementations in labels of very small sizes.
  • RSA Rivest Shamir Adleman
  • the invention aims to overcome the aforementioned drawback by providing anonymous authentication and non-traceable retroactively an electronic object by an authentication entity.
  • Authentication uses an asymmetric cryptographic algorithm whose relative simplicity facilitates its implementation in small electronic objects.
  • the invention is directed to a method for authenticating an electronic object, such as an electronic tag, an entity authentication dpf, such as a server.
  • An identifier of the electronic object is stored in the electronic object and in a database that is accessible to the authentication entity, and a hazard is generated by the authentication entity and transmitted to the electronic object. .
  • the method is characterized in that it comprises the following steps of: in the electronic object, encrypting and storing a first number by means of a first one-way function, determining a cryptogram from said identifier, said first number encrypted and said transmitted hazard, and transmitting the cryptogram to the authentication entity, and in the authentication entity, decrypting the transmitted cryptogram by applying a decryption function to the cryptogram and the generated random to produce a identifier decrypted, and search the database for an identifier equal to said decrypted identifier.
  • the identifier of the electronic object is never revealed during the authentication of the electronic object. Only an authentication entity having previously stored the identifier of the electronic object is able to recognize it in the step of searching for the identifier in the database. Therefore two different electronic objects are indistinguishable from an attacking third party.
  • the invention prohibits any recognition of the electronic object by observing characteristic values reflecting the behavior of the electronic object.
  • any retroactively traceable authentication is impossible, and the attacking third party can not identify the previous authentications between the electronic object and any authentication entity. .
  • Encrypting the first number using the first one-way function prevents the attacking third party who knows the contents of the electronic object from deducing the value of the first number from the encryption at the beginning of the previous authentication.
  • the authentication method according to the invention does not include encryption by successive iterations of the secret identifier to obtain an authentication that is not traceable retroactively, which makes the integrated circuit included in the electronic object less complex.
  • the determination of the cryptogram in the electronic object comprises the following steps of: applying a first bijective function to the stored identifier and the transmitted random to produce a second number, concatenating the first number and the second number determined in a third number, and determining the number encrypted by application to the third determined number of a second one-way function, which is a one-way trap function.
  • the bijective function can be an exclusive-OR that is applied in particular to a predetermined hazard.
  • a one-way function is a function that is easy to calculate but difficult to reverse.
  • a one-way hatch function is a function easy to calculate, difficult to reverse if we do not know the hatch, and easy to reverse if we know the hatch.
  • the decryption function in the authentication entity comprises the following steps: determining a fourth number by applying a resolution function to the cryptogram, and determining the decrypted identifier by application of a second bijective function at the fourth predetermined number and the generated randomness.
  • the invention also relates to an authentication system for implementing the method according to the invention, comprising the electronic object and the authentication entity.
  • the system is characterized in that it comprises: in the electronic object, means for encrypting and storing a first number by means of a first one-way function, means for determining a cryptogram from said identifier, said first an encrypted number and said transmitted hazard, and means for transmitting the cryptogram to the authentication entity, and in the authentication entity, means for decrypting the transmitted cryptogram by applying a decryption function to the cryptogram and the generated randomness to produce a decrypted identifier, and a means to search the database for data an identifier equal to said decrypted identifier.
  • the invention relates to a computer program for authenticating an electronic object with an authentication entity, an identifier of the electronic object being stored in the electronic object and in a database that is accessible. to the authentication entity, and a hazard being generated by the authentication entity and transmitted to the electronic object.
  • the program is characterized in that it comprises instructions which, when the program is executed in a system comprising said electronic object and said authentication entity, perform the steps according to the method of the invention.
  • FIG. 1 is a schematic block diagram of a known authentication system already commented
  • FIG. 2 is a schematic block diagram of an authentication system implementing an anonymous authentication method and non-traceable retroactively according to the invention
  • FIG. 3 is an algorithm of an anonymous authentication method that is not traceable retroactively according to the invention.
  • an authentication system comprises a f authentication server SA for example of the tag reader as an entity authentication, and an electronic tag as an object E e communicating with or without contact with the server.
  • the label E comprises a microcontroller including in known manner a processor, memories and registers as well as software modules. Some of them are specific to the invention and are in particular a memory ME which may be small, an internal register RI, encryption modules F and G implemented in ROM memory in the microcontroller, and an ICE communication interface .
  • a secret identifier IS of the label E is stored in the memory ME.
  • the internal register RI includes a first number Nl ⁇ whose initial value is predetermined either on the initiative of the label holder or on the initiative of the manufacturer of the label. The value of the first number changes with each authentication of the tag, i.e.
  • the first encryption module F determines another first number N1 + 1 from the first number N1 + previously registered in the register R1 and to which a first one-way function f is applied at each authentication of the tag.
  • the second encryption module G includes a first bijective function X of the exclusive-OR type, a concatenation function C and a one-way trap function g to determine from the label identifier IS and the first number N1. d + i cryptogram X.
  • the cryptogram X is transmitted to the server SA via the communication interface ICE of the electronic tag E.
  • the electronic tag E in Figure 2 are shown schematically in the authentication server f SA as functional blocks performing functions related to the invention and corresponding software modules and / or hardware.
  • the server SA comprises an ICS communication interface, a GR random generation module, a decryption module H, a database BD and a verification module V.
  • the ICS communication interface transmits to the label E an R random used by the second encryption module G of the label and in response receives the cryptogram X transmitted by the label E.
  • the decryption module H includes a function h, called for convenience "resolution function" h, and a second OR-exclusive bijective function ®, and decrypts the cryptogram from the random generated R to obtain a secret identifier.
  • the database BD includes secret identifiers of electronic tags to be authenticated and in particular includes the identifier IS of the electronic tag being authenticated.
  • the verification module V of the server SA verifies the accuracy of the result of decryption from the secret identifier IS of the tag stored in the database BD to authenticate the electronic tag E.
  • the authentication entity may be, in addition to a server, a computer incorporating or accessing locally or through a telecommunications network to a database.
  • the computer may be an electronic personal telecommunications device to the user of the label, for example a personal digital assistant PDA.
  • the entity d f authentication can be also other portable domestic terminal or not, such as a video game console, or smart television receiver.
  • the authentication method f comprises steps Sl to S15.
  • step S1 when the tag is connected to the authentication server, with or without contact, the ICE communication interface of the electronic tag E transmits an authentication request RQAU to the authentication server SA.
  • the ICS communication interface in the server SA receives the request RQAU in step S2 and activates the generation module GR of the server.
  • step S3 the module GR randomly generates the hazard R and the ICS interface transmits the random R to the label E which stores it.
  • the steps S1 and S2 are deleted and the server SA generates the randomness R and directly transmits an authentication request including the randomness R to the label E.
  • the first encryption module F in the label E Upon receipt of the randomness R in step S4, the first encryption module F in the label E encrypts the first number N1 stored in the internal register RI of the label by means of the first one-way function. and produces another first number N1 + 1 in step S5.
  • the other first number N1 + 1 is stored in the internal register R1 by overwriting the former first number Ni d , becomes the first number N1 ⁇ and is used in the next step S7 of the method.
  • the step S5 for encrypting and storing the first number N1 is performed before the step S4 for receiving the random R.
  • step S8 the second encryption module G of the label finally determines the cryptogram X by applying the one-way function g with trap to the third number N3.
  • the second one-way gate function g is a public key function whose key is directly incorporated in the function coefficients.
  • An embodiment of the one-way functions f and g, the concatenation function C and the first bijective function est is presented in the following description.
  • the ICE communication interface of the tag then transmits in step S9 the cryptogram X to the ICS communication interface of the server.
  • the decryption module H of the server SA Upon reception of the cryptogram X by the communication interface ICS of the server SA at step SlO, the decryption module H of the server SA decrypts the cryptogram X at the steps S11 and S12.
  • the module H applies on the cryptogram X a resolution function h having the property of being executed partially or entirely by the module decryption H to determine a fourth number N4.
  • the resolution function h is applied to the cryptogram X, without the SA server knowing the value of the first number Nl ⁇ .
  • the resolution function h is a private key function whose key corresponds to the public key used for the second one-way function g, and is directly incorporated into the coefficients of the function. For example, in the embodiment where the function g is a system of quadratic equations, the function h performs a partial resolution of this system.
  • step S12 the decryption module H determines a decrypted identifier IS 'representative of the identifier IS stored in the label E by application of the second bijective function OR-Exclusive ® between the fourth number N4 determined previously and the randomness R generated in step S3. Applying twice, at step S6 and at step S12, the exclusive-OR function using the same operand R amounts to performing an identity operation:
  • IS IS ® R ® R.
  • step S13 the verification module V compares the determined identifier IS 'with the label identifiers read in the database BD of the server SA. If the determined identifier IS 'is identical to the one IS of the read identifiers IS, then the label E is authenticated in step S14. In the opposite case in step S15, the label E is not authenticated.
  • the non-traceable authentication of the electronic tag E according to the objective of the invention is achieved by the step S5.
  • Applying the first one-way function f to the first number Nl d + i prevents an attacker with the tag and knowing its contents from applying a function inverse to the first one-way function f on the first number Nl ⁇ + i to obtain the value of the first number Nl ⁇ of the previous authentication.
  • the attacker is unable to deduce the value of the cryptograms exchanged between the label and authentication servers during previous communications and therefore to trace exchanges between the label and the servers.
  • the database BD does not include the secret identifiers of the tags to be authenticated.
  • U u (IS)
  • the verification module V of the server SA applies the third one-way function u on the identifier IS' in order to obtain an image U '.
  • the verification module V searches in the database BD if one of the tag images stored in the database is identical to the image U 'determined.
  • the third one-way function u can be a SHA (Secure Hash Algorithm) secure hashing function, or IS identifier encryption with a constant using an Advanced Encryption Standard (AES) symmetric encryption algorithm.
  • SHA Secure Hash Algorithm
  • AES Advanced Encryption Standard
  • the first one-way function f implemented in the label E is a first system of T quadratic equations with unknown T, whose coefficients are drawn for example randomly by the manufacturer of the label.
  • a quadratic equation is of the type:
  • the first number Ni d comprises T bits Nl d, 0 to Ni d, T - Bits Nl d, t of the first number N d are operands Xi, Xj of each first one-way function ft of the first system to obtaining as a final result the further first number Nl d + i having T bit Nld + 1.0 to + Nld i, ⁇ - This number Nl of t + 1 are then stored in the register RI of the label E and replaces the former first number
  • the third number N3 Ni d
  • IS ® R is an M-bit number in N3O N3M bits, with the integer M greater than the first integer T.
  • resolution function h included in the decryption module H of the server SA is a third system of private key decryption key equation which is based on M quadratic equations and IIM to M unknown.
  • the decryption module H applies only the h. ⁇ to hyi equations to the XT XM bits respectively of the cryptogram X. Thus it is not useful for the decryption module H to know the first number Nl ⁇ .
  • This embodiment has the advantage of being implemented in electronic tags with low computing capacity. Indeed, this embodiment does not implement an encryption comprising several iterations requiring a large calculation capacity.
  • the encryption modules F and G respectively executing the one-way functions f and g described in the previous embodiment can be implemented in hard-wired logic in the label E.
  • the quadratic polynomials of the one-way functions f and g and of the resolution function h are preferably "hollow" polynomials whose monomials have zero coefficients.
  • the invention described herein relates to a method and an authentication system. It also relates to the implementation of the modules F, G and H of the electronic object E and the authentication server SA in the form of a computer program. The steps of the method of the invention are then determined by the instructions of the computer program incorporated at least in part in the authentication server SA.
  • the program includes program instructions which, when said program is executed in a system comprising the electronic object E and the authentication entity SA, carry out the steps of the method according to the invention.
  • the invention also applies to a computer program, including a computer program on or in an information carrier, adapted to implement the invention.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a partially compiled form, or in any other form desirable to implement the method according to the invention.
  • the information carrier may be any entity or device capable of storing the program.
  • the medium may comprise storage means or recording medium on which is stored the computer program according to the invention, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a USB key, or a magnetic recording means, for example a floppy disk or a hard disk.
  • the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can in particular be downloaded to an Internet type network.
  • the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method according to the invention.
  • the database BD is not necessarily on the server. It can be accessed remotely.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

An authentication entity such as a server (SA) generates a random variable and transmits it to an electronic object such as an electronic label (E). In order to prohibit an anonymous and retroactively traceable authentication of the electronic object, the electronic object (E) encrypts a predetermined number (N1d) using a first one-way function (f), determines a cryptogram (X) from the identifier (IS), from the first encrypted number and from the random variable (R), and transmits the cryptogram to the authentication entity. The authentication entity (SA) decrypts the transmitted cryptogram by applying a decryption function (h, ⊕) to the cryptogram and to the generated random variable in order to produce a decrypted identifier and searches a database (BD) for an identifier equal to this decrypted identifier.

Description

Authentification anonyme et non traçable rétroactivement d'un objet électronique par une entité d' authentification Anonymous and non-traceable authentication of an electronic object by an authentication entity
La présente invention est relative à 1 ' authentification d'un objet électronique par une entité d' authentification. Plus particulièrement elle a trait à une authentification anonyme non traçable rétroactivement à partir d'un algorithme de cryptographie asymétrique d'un objet électronique par une entité d' authentification comme par exemple un serveur d' authentification.The present invention relates to the authentication of an electronic object by an authentication entity. More particularly, it relates to anonymous authentication that is not traceable retroactively from an asymmetric cryptographic algorithm of an electronic object by an authentication entity such as an authentication server.
Les objets électroniques sont selon une réalisation préférée de l'invention des étiquettes électroniques de type RFID (Radio FrequencyThe electronic objects are according to a preferred embodiment of the invention electronic tags of RFID type (Radio Frequency
IDentifier) comportant une mémoire de petite taille, un minimum de câblage et des éléments ne sollicitant que des opérations simples, le tout implanté dans un circuit intégré. Un objet électronique peut être également une carte à puce incluant un microcontrôleur présentant une faible capacité de calcul .IDentifier) having a small memory, a minimum of wiring and elements soliciting only simple operations, all implanted in an integrated circuit. An electronic object can also be a smart card including a microcontroller having a low computing capacity.
L'utilisation massive et croissante des étiquettes électroniques pose de nouveaux problèmes de sécurité. En particulier, elle soulève le problème de la protection de la vie privée des porteurs de ces étiquettes. La détection d'une étiquette par un lecteur ou un serveur peut se faire sans action particulière de l'utilisateur portant son étiquette, par exemple par simple proximité. Combinée à une interaction croissante entre les lecteurs et les serveurs, l'identification fréquente des étiquettes contribue à la constitution de bases de données qui servent à tracer les utilisations des étiquettes au détriment de l'anonymat des porteurs des étiquettes. Par exemple une étiquette électronique utilisée comme un passe électronique dans les transports en commun permet de tracer une partie du déplacement du porteur d'étiquette; selon un autre exemple, une étiquette électronique supportée par un vêtement permet de suivre le cheminement du vêtement et donc de tracer une partie du déplacement du porteur du vêtement. Des procédés d' authentification basés sur un algorithme de cryptographie asymétrique sont connus dans le domaine des réseaux de télécommunication et se déclinent de la manière suivante en référence à la figure 1 : lors d'une authentification d'une entité cliente de type étiquette électronique A auprès d'une entité d' authentification de type serveur B, l'étiquette A transmet son identité IA en clair au serveur B pour initialiser l ' authentification. Le serveur B envoie un nombre aléatoire appelé aléa RA à l'étiquette A. L'étiquette A chiffre l'aléa RA par un algorithme de chiffrement utilisant une clé privée pour obtenir un cryptogramme C(RA) que l'étiquette envoie au serveur B. Le serveur vérifie l'exactitude du chiffrement en réalisant une opération inverse basée sur un algorithme de déchiffrement à clé publique pour déchiffrer le cryptogramme C (RA) en un aléa à comparer à l'aléa initial RA.The massive and increasing use of electronic tags poses new security challenges. In particular, it raises the issue of protecting the privacy of the carriers of these labels. The detection of a label by a reader or a server can be done without any particular action of the user carrying his label, for example by mere proximity. Combined with the growing interaction between readers and servers, the frequent identification of labels contributes to the creation of databases that used to trace the uses of the labels to the detriment of the anonymity of the carriers of the labels. For example, an electronic tag used as an electronic pass in the public transport makes it possible to trace part of the movement of the tag carrier; according to another example, an electronic tag supported by a garment makes it possible to follow the path of the garment and thus to trace part of the wearer's movement of the garment. Authentication methods based on an asymmetric cryptographic algorithm are known in the field of telecommunication networks and are described in the following manner with reference to FIG. 1: during authentication of an electronic tag type client entity A at a server B authentication entity, the label A transmits its identity IA in clear to the server B to initialize the authentication. The server B sends a random number called random RA to the label A. The label A encrypts the randomness RA by an encryption algorithm using a private key to obtain a cryptogram C (RA) that the label sends to the server B The server verifies the accuracy of the encryption by performing a reverse operation based on a public key decryption algorithm for decrypting the cryptogram C (RA) into a random to compare to the initial randomness RA.
Il est possible à un attaquant se faisant passer pour le serveur B de connaître l'identité IA de l'étiquette A simplement en la lui demandant pendant l'initialisation d'une phase d' authentification.It is possible for an attacker pretending to be the server B to know the identity IA of the label A simply by asking it during the initialization of an authentication phase.
L'attaquant peut relier des authentifications ultérieures de l'étiquette A en se faisant passer pour le serveur B et en proposant le même aléa RA. Un attaquant est aussi capable de connaître l'étiquette A en analysant le comportement de l'étiquette déduit de réponses caractéristiques de l'étiquette à des entrées connues, telles que l'aléa RA, et de l'observation d' authentifications antérieures .The attacker can link subsequent authentications of the label A by pretending to be the server B and proposing the same RA randomness. An attacker is also able to know the label A by analyzing the behavior of the label deduced from characteristic responses of the label to known inputs, such as RA randomness, and the observation of previous authentications.
Ces inconvénients peuvent être surmontés en assurant l'anonymat d'une authentification d'une étiquette électronique dans un réseau de la façon suivante : l'étiquette électronique ne fournit pas son identité, mais envoie à l'entité d' authentification un cryptogramme calculé, entre autres, à partir d'une valeur de compteur d' authentification garantissant le non rejeu de 1 ' authentification. Cependant, cette génération de cryptogramme expose encore l'étiquette à sa traçabilité rétroactive par un attaquant qui en possession de l'étiquette et accédant à son contenu est en mesure de corréler le contenu de l'étiquette avec des communications passées entre l'étiquette et des entités d' authentification.These disadvantages can be overcome by ensuring the anonymity of an authentication of an electronic tag in a network as follows: the electronic tag does not provide its identity, but sends to the authentication entity a calculated cryptogram, among other things, from an authentication counter value guaranteeing the non-replay of the authentication. However, this generation of cryptogram still exposes the label to its retroactive traceability by an attacker who in possession of the label and accessing its content is able to correlate the content of the label with communications passed between the label and authentication entities.
Pour remédier à la traçabilité rétroactive, une étiquette électronique est authentifiée par un serveur dans lequel est mise en œuvre une classe d'algorithmes de chiffrement stable par composition à clé publique dont la clé privée est connue du serveur. La stabilité par composition signifie que l'utilisation successive d'au moins deux algorithmes de cette classe équivaut à l'utilisation d'un algorithme de ladite classe. L'étiquette comporte un identificateur secret accessible également par le serveur. L'étiquette chiffre l'identificateur secret par itération de l'algorithme de cryptographie selon un compteur d'itération. L'étiquette chiffre ensuite un résultat retourné par une fonction bijective, ayant comme paramètres d'entrée un aléa émis par le serveur et une concaténation de l'identificateur secret chiffré et du nombre d'itérations. Le résultat est transmis au serveur qui le déchiffre par utilisation d'une fonction bijective inverse et de l'aléa pour extraire l'identificateur secret chiffré et le nombre d'itérations. Le serveur déchiffre ensuite l'identificateur secret par itération de l'algorithme de cryptographie inverse et vérifie l'exactitude du résultat avec l'identificateur secret mémorisé dans le serveur.To remedy the retroactive traceability, an electronic tag is authenticated by a server in which is implemented a class of stable encryption algorithms by public key composition whose private key is known to the server. Stability by composition means that the successive use of at least two algorithms of this class is equivalent to the use of an algorithm of said class. The tag has a secret identifier also accessible by the server. The tag encrypts the secret identifier by iteration of the cryptographic algorithm according to an iteration counter. The label then a result returned by a bijective function, having as input parameters a random error emitted by the server and a concatenation of the encrypted secret identifier and the number of iterations. The result is transmitted to the server that decrypts it by using a reverse bijective function and the random to extract the encrypted secret identifier and the number of iterations. The server then decrypts the secret identifier by iteration of the inverse cryptographic algorithm and verifies the accuracy of the result with the secret identifier stored in the server.
Le chiffrement dans l'étiquette de l'identificateur secret par itération d'un algorithme de cryptographie selon un compteur d'itération dont la valeur est modifiée à chaque chiffrement, interdit un tiers non autorisé s ' emparant de l'étiquette et accédant à son contenu de déchiffrer l'identité secrète sans connaître la valeur du compteur d'itération.The encryption in the tag of the secret identifier by iteration of a cryptography algorithm according to an iteration counter whose value is modified at each encryption, prohibits an unauthorized third party taking possession of the label and accessing its content to decrypt the secret identity without knowing the value of the iteration counter.
Cependant l'utilisation d'une classe d'algorithmes de chiffrement stable par composition implique actuellement le choix de l'algorithme RSA (Rivest Shamir Adleman) . Ce choix est relativement éloigné des contraintes d' implémentations dans des étiquettes de très petites tailles .However, the use of a composition-based stable encryption algorithm class currently involves the choice of the Rivest Shamir Adleman (RSA) algorithm. This choice is relatively far from the constraints of implementations in labels of very small sizes.
L'invention a pour objectif de s'affranchir de l'inconvénient précité en proposant une authentification anonyme et non traçable rétroactivement d'un objet électronique par une entité d' authentification. L' authentification recourt à un algorithme cryptographique asymétrique dont la relative simplicité facilite son implémentation dans des objets électroniques de petite taille. Pour atteindre cet objectif, l'invention est dirigée vers un procédé pour authentifier un objet électronique, comme par exemple une étiquette électronique, par une entité df authentification, comme par exemple un serveur. Un identificateur de l'objet électronique est mémorisé dans l'objet électronique et dans une base de données qui est accessible à l'entité d' authentification, et un aléa est généré par l'entité d' authentification et transmis à l'objet électronique. Le procédé est caractérisé en ce qu'il comprend les étapes suivantes de : dans l'objet électronique, chiffrer et mémoriser un premier nombre au moyen d'une première fonction à sens unique, déterminer un cryptogramme à partir dudit identificateur, dudit premier nombre chiffré et dudit aléa transmis, et transmettre le cryptogramme à l'entité d' authentification, et dans l'entité d' authentification, déchiffrer le cryptogramme transmis par application d'une fonction de déchiffrement au cryptogramme et à l'aléa généré afin de produire un identificateur déchiffré, et chercher dans la base de données un identificateur égal audit identificateur déchiffré.The invention aims to overcome the aforementioned drawback by providing anonymous authentication and non-traceable retroactively an electronic object by an authentication entity. Authentication uses an asymmetric cryptographic algorithm whose relative simplicity facilitates its implementation in small electronic objects. To achieve this objective, the invention is directed to a method for authenticating an electronic object, such as an electronic tag, an entity authentication dpf, such as a server. An identifier of the electronic object is stored in the electronic object and in a database that is accessible to the authentication entity, and a hazard is generated by the authentication entity and transmitted to the electronic object. . The method is characterized in that it comprises the following steps of: in the electronic object, encrypting and storing a first number by means of a first one-way function, determining a cryptogram from said identifier, said first number encrypted and said transmitted hazard, and transmitting the cryptogram to the authentication entity, and in the authentication entity, decrypting the transmitted cryptogram by applying a decryption function to the cryptogram and the generated random to produce a identifier decrypted, and search the database for an identifier equal to said decrypted identifier.
Selon l'invention, l'identificateur de l'objet électronique n'est jamais révélé au cours de 1 ' authentification de l'objet électronique. Seule une entité d' authentification ayant préalablement mémorisé l'identificateur de l'objet électronique est capable de reconnaître celui-ci à l'étape de chercher l'identificateur dans la base de données. Par conséquent deux objets électroniques différents sont indiscernables par un tiers attaquant. L'invention interdit toute reconnaissance de l'objet électronique par observation de valeurs caractéristiques reflétant le comportement de l'objet électronique . Conformément à l'objectif de l'invention, même en possession de l'objet électronique, toute authentification traçable rétroactivement est impossible, et le tiers attaquant ne peut identifier les authentifications précédentes entre l'objet électronique et n'importe quelle entité d' authentification . Le chiffrement du premier nombre au moyen de la première fonction à sens unique interdit le tiers attaquant qui connaît le contenu de l'objet électronique de déduire la valeur du premier nombre issu du chiffrement au début de 1 ' authentification précédente.According to the invention, the identifier of the electronic object is never revealed during the authentication of the electronic object. Only an authentication entity having previously stored the identifier of the electronic object is able to recognize it in the step of searching for the identifier in the database. Therefore two different electronic objects are indistinguishable from an attacking third party. The invention prohibits any recognition of the electronic object by observing characteristic values reflecting the behavior of the electronic object. In accordance with the objective of the invention, even in possession of the electronic object, any retroactively traceable authentication is impossible, and the attacking third party can not identify the previous authentications between the electronic object and any authentication entity. . Encrypting the first number using the first one-way function prevents the attacking third party who knows the contents of the electronic object from deducing the value of the first number from the encryption at the beginning of the previous authentication.
Le procédé d' authentification selon l'invention ne comprend pas de chiffrement par itérations successives de l'identificateur secret pour obtenir une authentification non traçable rétroactivement ce qui rend moins complexe le circuit intégré inclus dans l'objet électronique.The authentication method according to the invention does not include encryption by successive iterations of the secret identifier to obtain an authentication that is not traceable retroactively, which makes the integrated circuit included in the electronic object less complex.
Selon une caractéristique de l'invention, la détermination du cryptogramme dans l'objet électronique comprend les étapes suivantes de : appliquer une première fonction bijective à l'identificateur mémorisé et à l'aléa transmis pour produire un deuxième nombre, concaténer le premier nombre et le deuxième nombre déterminé en un troisième nombre, et déterminer l'identificateur chiffré par application au troisième nombre déterminé d'une deuxième fonction à sens unique, qui est une fonction à sens unique à trappe. La fonction bijective peut être un OU-Exclusif qui est appliqué notamment à un aléa prédéterminé.According to one characteristic of the invention, the determination of the cryptogram in the electronic object comprises the following steps of: applying a first bijective function to the stored identifier and the transmitted random to produce a second number, concatenating the first number and the second number determined in a third number, and determining the number encrypted by application to the third determined number of a second one-way function, which is a one-way trap function. The bijective function can be an exclusive-OR that is applied in particular to a predetermined hazard.
Une fonction à sens unique est une fonction facile à calculer mais difficile à inverser. Une fonction à sens unique à trappe est une fonction facile à calculer, difficile à inverser si l'on ne connaît pas la trappe, et facile à inverser si l'on connaît la trappe.A one-way function is a function that is easy to calculate but difficult to reverse. A one-way hatch function is a function easy to calculate, difficult to reverse if we do not know the hatch, and easy to reverse if we know the hatch.
Selon une autre caractéristique de l'invention, la fonction de déchiffrement dans l'entité d' authentification comprend les étapes suivantes de : déterminer un quatrième nombre par application d'une fonction de résolution au cryptogramme, et déterminer l'identificateur déchiffré par application d'une deuxième fonction bijective au quatrième nombre déterminé et à l'aléa généré.According to another characteristic of the invention, the decryption function in the authentication entity comprises the following steps: determining a fourth number by applying a resolution function to the cryptogram, and determining the decrypted identifier by application of a second bijective function at the fourth predetermined number and the generated randomness.
L'invention a aussi pour objet un système d' authentification pour la mise en œuvre du procédé selon l'invention, comprenant l'objet électronique et l'entité d' authentification. Le système est caractérisé en ce qu'il comprend : dans l'objet électronique, un moyen pour chiffrer et mémoriser un premier nombre au moyen d'une première fonction à sens unique, un moyen pour déterminer un cryptogramme à partir dudit identificateur, dudit premier nombre chiffré et dudit aléa transmis, et un moyen pour transmettre le cryptogramme à l'entité d' authentification, et dans l'entité d' authentification, un moyen pour déchiffrer le cryptogramme transmis par application d'une fonction de déchiffrement au cryptogramme et à l'aléa généré afin de produire un identificateur déchiffré, et un moyen pour chercher dans la base de données un identificateur égal audit identificateur déchiffré .The invention also relates to an authentication system for implementing the method according to the invention, comprising the electronic object and the authentication entity. The system is characterized in that it comprises: in the electronic object, means for encrypting and storing a first number by means of a first one-way function, means for determining a cryptogram from said identifier, said first an encrypted number and said transmitted hazard, and means for transmitting the cryptogram to the authentication entity, and in the authentication entity, means for decrypting the transmitted cryptogram by applying a decryption function to the cryptogram and the generated randomness to produce a decrypted identifier, and a means to search the database for data an identifier equal to said decrypted identifier.
Enfin, l'invention se rapporte à un programme d'ordinateur pour authentifier un objet électronique auprès d'une entité d' authentification, un identificateur de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données qui est accessible à l'entité d' authentification, et un aléa étant généré par l'entité d' authentification et transmis à l'objet électronique. Le programme est caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans un système comprenant ledit objet électronique et ladite entité d' authentification, réalisent les étapes selon le procédé de l'invention.Finally, the invention relates to a computer program for authenticating an electronic object with an authentication entity, an identifier of the electronic object being stored in the electronic object and in a database that is accessible. to the authentication entity, and a hazard being generated by the authentication entity and transmitted to the electronic object. The program is characterized in that it comprises instructions which, when the program is executed in a system comprising said electronic object and said authentication entity, perform the steps according to the method of the invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention, données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels :Other features and advantages of the present invention will emerge more clearly on reading the following description of several preferred embodiments of the invention, given by way of non-limiting examples, with reference to the corresponding appended drawings in which:
- la figure 1 est un bloc diagramme schématique d'un système d' authentification connu déjà commenté;- Figure 1 is a schematic block diagram of a known authentication system already commented;
- la figure 2 est un bloc-diagramme schématique d'un système d' authentification mettant en œuvre un procédé d' authentification anonyme et non traçable rétroactivement selon l'invention; et - la figure 3 est un algorithme d'un procédé d' authentification anonyme et non traçable rétroactivement selon l'invention.- Figure 2 is a schematic block diagram of an authentication system implementing an anonymous authentication method and non-traceable retroactively according to the invention; and FIG. 3 is an algorithm of an anonymous authentication method that is not traceable retroactively according to the invention.
En référence à la figure 2, un système d' authentification selon l'invention comprend un serveur df authentification SA par exemple de type lecteur d'étiquette en tant qu'entité d' authentification, et une étiquette électronique E en tant qu'objet électronique communiquant avec ou sans contact avec le serveur.With reference to FIG. 2, an authentication system according to the invention comprises a f authentication server SA for example of the tag reader as an entity authentication, and an electronic tag as an object E e communicating with or without contact with the server.
L'étiquette E comprend un microcontrôleur incluant de manière connue un processeur, des mémoires et des registres ainsi que des modules logiciels. Certains d'entre eux sont propres à l'invention et sont notamment une mémoire ME qui peut être de petite taille, un registre interne RI, des modules de chiffrement F et G implémentés en mémoire ROM dans le microcontrôleur, et une interface de communication ICE. Un identificateur secret IS de l'étiquette E est mémorisé dans la mémoire ME. Le registre interne RI inclut un premier nombre Nl^ dont une valeur initiale est prédéterminée soit à l'initiative du porteur de l'étiquette, soit à l'initiative du constructeur de l'étiquette. La valeur du premier nombre change à chaque authentification de l'étiquette, c'est-à-dire le premier module de chiffrement F détermine un autre premier nombre Nl^+i à partir du premier nombre Nl^ précédemment enregistré dans le registre RI et auquel est appliquée une première fonction à sens unique f à chaque authentification de l'étiquette. Le deuxième module de chiffrement G inclut une première fonction bijective ® de type OU-Exclusif, une fonction de concaténation C et une fonction à sens unique à trappe g afin de déterminer à partir de l'identificateur d'étiquette IS et du premier nombre Nld+i un cryptogramme X. Le cryptogramme X est transmis au serveur SA par l'intermédiaire de l'interface de communication ICE de l'étiquette électronique E. De même que dans l'étiquette électronique E, à la figure 2 ne sont montrés schématiquement dans le serveur df authentification SA que des blocs fonctionnels assurant des fonctions ayant un lien avec l'invention et correspondant à des modules logiciels et/ou matériels. En particulier le serveur SA comprend une interface de communication ICS, un module de génération d'aléa GR, un module de déchiffrement H, une base de données BD et un module de vérification V. L'interface de communication ICS transmet vers l'étiquette E un aléa R utilisé par le deuxième module de chiffrement G de l'étiquette et en réponse reçoit le cryptogramme X transmis par l'étiquette E. Le module de déchiffrement H inclut une fonction h, appelée par commodité "fonction de résolution" h, et une deuxième fonction bijective ® de type OU-Exclusif, et déchiffre le cryptogramme à partir de l'aléa généré R pour obtenir un identificateur secret. La base de données BD inclut des identificateurs secrets d'étiquettes électroniques à authentifier et notamment comprend l'identificateur IS de l'étiquette électronique en cours d' authentification . Le module de vérification V du serveur SA vérifie l'exactitude du résultat du déchiffrement à partir de l'identificateur secret IS de l'étiquette mémorisé dans la base de données BD pour authentifier l'étiquette électronique E.The label E comprises a microcontroller including in known manner a processor, memories and registers as well as software modules. Some of them are specific to the invention and are in particular a memory ME which may be small, an internal register RI, encryption modules F and G implemented in ROM memory in the microcontroller, and an ICE communication interface . A secret identifier IS of the label E is stored in the memory ME. The internal register RI includes a first number Nl ^ whose initial value is predetermined either on the initiative of the label holder or on the initiative of the manufacturer of the label. The value of the first number changes with each authentication of the tag, i.e. the first encryption module F determines another first number N1 + 1 from the first number N1 + previously registered in the register R1 and to which a first one-way function f is applied at each authentication of the tag. The second encryption module G includes a first bijective function X of the exclusive-OR type, a concatenation function C and a one-way trap function g to determine from the label identifier IS and the first number N1. d + i cryptogram X. The cryptogram X is transmitted to the server SA via the communication interface ICE of the electronic tag E. As in the electronic tag E in Figure 2 are shown schematically in the authentication server f SA as functional blocks performing functions related to the invention and corresponding software modules and / or hardware. In particular the server SA comprises an ICS communication interface, a GR random generation module, a decryption module H, a database BD and a verification module V. The ICS communication interface transmits to the label E an R random used by the second encryption module G of the label and in response receives the cryptogram X transmitted by the label E. The decryption module H includes a function h, called for convenience "resolution function" h, and a second OR-exclusive bijective function ®, and decrypts the cryptogram from the random generated R to obtain a secret identifier. The database BD includes secret identifiers of electronic tags to be authenticated and in particular includes the identifier IS of the electronic tag being authenticated. The verification module V of the server SA verifies the accuracy of the result of decryption from the secret identifier IS of the tag stored in the database BD to authenticate the electronic tag E.
L'entité d' authentification peut être, outre un serveur, un ordinateur incorporant ou accédant localement ou à travers un réseau de télécommunications à une base de données . L'ordinateur peut être un dispositif électronique de télécommunications personnel à l'utilisateur de l'étiquette, par exemple un assistant numérique personnel communicant PDA. L'entité df authentification peut être également tout autre terminal domestique portable ou non tel qu'une console de jeux vidéo, ou un récepteur de télévision intelligent .The authentication entity may be, in addition to a server, a computer incorporating or accessing locally or through a telecommunications network to a database. The computer may be an electronic personal telecommunications device to the user of the label, for example a personal digital assistant PDA. The entity d f authentication can be also other portable domestic terminal or not, such as a video game console, or smart television receiver.
En référence à la figure 3, le procédé df authentification selon l'invention comprend des étapes Sl à S15.Referring to Figure 3, the authentication method f according to the invention comprises steps Sl to S15.
A l'étape Sl, lorsque l'étiquette est connectée au serveur d' authentification, avec ou sans contact, l'interface de communication ICE de l'étiquette électronique E transmet une requête d' authentification RQAU au serveur d' authentification SA. L'interface de communication ICS dans le serveur SA reçoit la requête RQAU à l'étape S2 et active le module de génération GR du serveur. A l'étape S3, le module GR génère aléatoirement l'aléa R et l'interface ICS transmet l'aléa R à l'étiquette E qui le mémorise. En variante, les étapes Sl et S2 sont supprimées et le serveur SA génère l'aléa R et transmet directement une requête d' authentification incluant l'aléa R à l'étiquette E.In step S1, when the tag is connected to the authentication server, with or without contact, the ICE communication interface of the electronic tag E transmits an authentication request RQAU to the authentication server SA. The ICS communication interface in the server SA receives the request RQAU in step S2 and activates the generation module GR of the server. In step S3, the module GR randomly generates the hazard R and the ICS interface transmits the random R to the label E which stores it. As a variant, the steps S1 and S2 are deleted and the server SA generates the randomness R and directly transmits an authentication request including the randomness R to the label E.
A la réception de l'aléa R à l'étape S4, le premier module de chiffrement F dans l'étiquette E chiffre le premier nombre Nl^ mémorisé dans le registre interne RI de l'étiquette au moyen de la première fonction à sens unique f et produit un autre premier nombre Nl^+i, à l'étape S5. L'autre premier nombre Nl^+i est mémorisé dans le registre interne RI par écrasement de l'ancien premier nombre Nid, devient le premier nombre Nl^ et est utilisé dans l'étape suivante S7 du procédé. Dans une variante, l'étape S5 de chiffrement et de mémorisation du premier nombre Nl^ est effectuée avant l'étape S4 de réception de l'aléa R.Upon receipt of the randomness R in step S4, the first encryption module F in the label E encrypts the first number N1 stored in the internal register RI of the label by means of the first one-way function. and produces another first number N1 + 1 in step S5. The other first number N1 + 1 is stored in the internal register R1 by overwriting the former first number Ni d , becomes the first number N1 ^ and is used in the next step S7 of the method. In a variant, the step S5 for encrypting and storing the first number N1 is performed before the step S4 for receiving the random R.
A l'étape S6, le deuxième module de chiffrement G dans l'étiquette E détermine un deuxième nombre N2 = IS ® R par application de la première fonction bijective OU-Exclusif ® à l'identificateur secret IS lu dans la mémoire ME de l'étiquette et à l'aléa reçu R généré et transmis par le serveur SA. Le deuxième module de chiffrement G exécute la fonction de concaténation C en concaténant le premier nombre Nl^ mémorisé dans le registre RI et le deuxième nombre N2 précédemment déterminé et produit un troisième nombre N3 = NId I N2 à l'étape S7. A l'étape S8, le deuxième module de chiffrement G de l'étiquette détermine finalement le cryptogramme X en appliquant la fonction à sens unique g avec trappe au troisième nombre N3. La deuxième fonction à sens unique g avec trappe est une fonction à clé publique dont la clé est directement incorporée dans les coefficients de la fonction. Une réalisation des fonctions à sens unique f et g, de la fonction de concaténation C et de la première fonction bijective ® est présentée dans la suite de la description. L'interface de communication ICE de l'étiquette transmet ensuite à l'étape S9 le cryptogramme X à l'interface de communication ICS du serveur.In step S6, the second encryption module G in the label E determines a second number N2 = IS ® R by applying the first bijective function OR-Exclusive ® to the secret identifier IS read in the memory ME of the tag and random received R generated and transmitted by the server SA. The second encryption module G runs the concatenation function C by concatenating the first number Nl ^ stored in the RI register and the second previously determined number N2 and produces a third number N3 = NOR d I N2 in step S7. In step S8, the second encryption module G of the label finally determines the cryptogram X by applying the one-way function g with trap to the third number N3. The second one-way gate function g is a public key function whose key is directly incorporated in the function coefficients. An embodiment of the one-way functions f and g, the concatenation function C and the first bijective function est is presented in the following description. The ICE communication interface of the tag then transmits in step S9 the cryptogram X to the ICS communication interface of the server.
A la réception du cryptogramme X par l ' interface de communication ICS du serveur SA à l'étape SlO, le module de déchiffrement H du serveur SA déchiffre le cryptogramme X aux étapes SIl et S12. A l'étape SIl, le module H applique sur le cryptogramme X une fonction de résolution h ayant pour propriété d'être exécutée partiellement ou en totalité par le module de déchiffrement H pour déterminer un quatrième nombre N4. La fonction de résolution h est appliquée au cryptogramme X, sans que le serveur SA ne connaisse la valeur du premier nombre Nl^. La fonction de résolution h est une fonction à clé privée dont la clé correspond à la clé publique utilisée pour la deuxième fonction à sens unique g, et est directement incorporée dans les coefficients de la fonction. Par exemple, dans le mode de réalisation où la fonction g est un système d'équations quadratiques, la fonction h effectue une résolution partielle de ce système.Upon reception of the cryptogram X by the communication interface ICS of the server SA at step SlO, the decryption module H of the server SA decrypts the cryptogram X at the steps S11 and S12. In step SI1, the module H applies on the cryptogram X a resolution function h having the property of being executed partially or entirely by the module decryption H to determine a fourth number N4. The resolution function h is applied to the cryptogram X, without the SA server knowing the value of the first number Nl ^. The resolution function h is a private key function whose key corresponds to the public key used for the second one-way function g, and is directly incorporated into the coefficients of the function. For example, in the embodiment where the function g is a system of quadratic equations, the function h performs a partial resolution of this system.
A l'étape S12, le module de déchiffrement H détermine un identificateur déchiffré IS' représentatif de l'identificateur IS mémorisé dans l'étiquette E par application de la deuxième fonction bijective OU-Exclusif ® entre le quatrième nombre N4 déterminé précédemment et l'aléa R généré à l'étape S3. Le fait d'appliquer deux fois, à l'étape S6 et à l'étape S12, la fonction OU-Exclusif en utilisant le même opérande R revient à faire une opération d'identité :In step S12, the decryption module H determines a decrypted identifier IS 'representative of the identifier IS stored in the label E by application of the second bijective function OR-Exclusive ® between the fourth number N4 determined previously and the randomness R generated in step S3. Applying twice, at step S6 and at step S12, the exclusive-OR function using the same operand R amounts to performing an identity operation:
IS = IS ® R ® R.IS = IS ® R ® R.
A l'étape S13, le module de vérification V compare l'identificateur déterminé IS' aux identificateurs d'étiquette lus dans la base de données BD du serveur SA. Si l'identificateur déterminé IS' est identique à l'un IS des identificateurs lus IS, alors l'étiquette E est authentifiée à l'étape S14. Dans le cas contraire à l'étape S15, l'étiquette E n'est pas authentifiée.In step S13, the verification module V compares the determined identifier IS 'with the label identifiers read in the database BD of the server SA. If the determined identifier IS 'is identical to the one IS of the read identifiers IS, then the label E is authenticated in step S14. In the opposite case in step S15, the label E is not authenticated.
Une réalisation d'une fonction de déchiffrement basée sur la fonction de résolution h et la deuxième fonction bijective est présentée dans la suite de la description. L ' authentification non traçable rétroactivement de l'étiquette électronique E selon l'objectif de l'invention est atteinte grâce à l'étape S5. L'application de la première fonction à sens unique f au premier nombre Nld+i empêche un attaquant possédant l'étiquette et connaissant son contenu d'appliquer une fonction inverse de la première fonction à sens unique f sur le premier nombre Nl^+i pour obtenir la valeur du premier nombre Nl^ de 1 ' authentification précédente. Ainsi, l'attaquant est incapable d'en déduire la valeur des cryptogrammes échangés entre l'étiquette et des serveurs d' authentification lors de communications antérieures et donc de tracer des échanges entre l'étiquette et les serveurs .An embodiment of a decryption function based on the resolution function h and the second bijective function is presented in the remainder of the description. The non-traceable authentication of the electronic tag E according to the objective of the invention is achieved by the step S5. Applying the first one-way function f to the first number Nl d + i prevents an attacker with the tag and knowing its contents from applying a function inverse to the first one-way function f on the first number Nl ^ + i to obtain the value of the first number Nl ^ of the previous authentication. Thus, the attacker is unable to deduce the value of the cryptograms exchanged between the label and authentication servers during previous communications and therefore to trace exchanges between the label and the servers.
Selon une variante de l'invention, la base de données BD ne comprend pas les identificateurs secrets des étiquettes à authentifier. La base de données BD comprend une image U de chaque identificateur déterminée par une troisième fonction à sens unique u : U = u(IS) . Dès que le module de vérification V du serveur SA a déchiffré l'identificateur IS' à l'étape S12, il applique la troisième fonction à sens unique u sur l'identificateur IS' afin d'en obtenir une image U'. Le module de vérification V recherche ensuite dans la base de données BD si l'une des images d'étiquettes mémorisées dans la base de données est identique à l'image U' déterminée.According to a variant of the invention, the database BD does not include the secret identifiers of the tags to be authenticated. The database BD comprises an image U of each identifier determined by a third one-way function u: U = u (IS). As soon as the verification module V of the server SA has deciphered the identifier IS 'in the step S12, it applies the third one-way function u on the identifier IS' in order to obtain an image U '. The verification module V then searches in the database BD if one of the tag images stored in the database is identical to the image U 'determined.
La troisième fonction à sens unique u peut être une fonction de condensation de type algorithme de hachage sûr SHA (Secure Hash Algorithm) , ou un chiffrement de l'identificateur IS avec une constante au moyen d'un algorithme de chiffrement symétrique de type AES (Advanced Encryption Standard) .The third one-way function u can be a SHA (Secure Hash Algorithm) secure hashing function, or IS identifier encryption with a constant using an Advanced Encryption Standard (AES) symmetric encryption algorithm.
Selon une réalisation préférée de l'invention, la première fonction à sens unique f mise en œuvre dans l'étiquette E est un premier système de T équations quadratiques à T inconnues, dont les coefficients sont tirés par exemple aléatoirement par le constructeur de l'étiquette. Une équation quadratique est du type :According to a preferred embodiment of the invention, the first one-way function f implemented in the label E is a first system of T quadratic equations with unknown T, whose coefficients are drawn for example randomly by the manufacturer of the label. A quadratic equation is of the type:
ft = ∑ OCi, j Xi Xj + ∑ βi Xi + CST, f t = Σ OCi, j Xi Xj + Σ βi Xi + CST,
avec l ≤ t ≤ T, l ≤ i ≤ I, l ≤ j ≤ J , OCi, j et βi des coefficients aléatoires et CST une constante. Le premier nombre Nid comporte T bits de Nld,0 à Nid, T- Les bits Nld,t du premier nombre Nid sont des opérandes Xi, Xj de chaque première fonction à sens unique ft du premier système afin d'obtenir comme résultat final l'autre premier nombre Nld+i comportant T bits de Nld+1,0 à Nld+i,τ- Ce nombre Nld+1 est ensuite mémorisé dans le registre RI de l'étiquette E et remplace l'ancien premier nombrewith l ≤ t ≤ T, l ≤ i ≤ I, l ≤ j ≤ J, OCi, j and βi of the random coefficients and CST a constant. The first number Ni d comprises T bits Nl d, 0 to Ni d, T - Bits Nl d, t of the first number N d are operands Xi, Xj of each first one-way function ft of the first system to obtaining as a final result the further first number Nl d + i having T bit Nld + 1.0 to + Nld i, τ- This number Nl of t + 1 are then stored in the register RI of the label E and replaces the former first number
NId-Nest-
Le troisième nombre N3 = Nid | IS ® R est un nombre à M bits N3o à N3M bits, avec l'entier M supérieur à l'entier T. Les T premiers bits N3o à N3τ-i correspondent au premier nombre Nid et les bits restants N3τ à N3M correspondent au deuxième nombre N2 = IS ® R. La deuxième fonction à sens unique g est un deuxième système d'équations à clé publique basé sur M équations quadratiques à M inconnues gi à gM- Une équation quadratique gm du deuxième système avec l'indice m où 1 < m < M est du type : gm = km ® am,i pi θ am,2 P2 ® - ® am,r Pr. où : ki à kM sont M polynômes quadratiques à M inconnues formant un système public de polynômes, les coefficients de ces polynômes étant relatifs à une clé publique de chiffrement; pi à pr sont des polynômes quadratiques dont les coefficients sont des valeurs tirées aléatoirement ; etThe third number N3 = Ni d | IS ® R is an M-bit number in N3O N3M bits, with the integer M greater than the first integer T. The T N3O bit N3τ-i correspond to the first number of Ni and the remaining bits to N3τ N3M correspond to second number N2 = iS ® A. the second one-way function g is a second public key system of equations based on m quadratic equations in m unknowns gi g m - a quadratic equation g m of the second system with the index where 1 <m <M is of the type: g m = k m a m , i pi θ m , 2 P2 - - a m , r Pr where: ki to k M are M quadratic polynomials with M unknowns forming a public system of polynomials, the coefficients of these polynomials being relative to a public encryption key; pi to p r are quadratic polynomials whose coefficients are values drawn randomly; and
(a.1,1, a.i,2r - a-l,r) r - (am, 1, am,2, - am,r) , - (a-M, Ir 3-M,2r - &M, r) sont un ensemble de M listes à r coefficients tirés aléatoirement.(a.1,1, ai, 2r-al, r) r - (a m , 1, a m , 2, - a m , r ), - (aM, Ir 3 -M, 2r - & M, r) are a set of M lists with r coefficients drawn randomly.
Afin de déterminer le cryptogramme X, le deuxième module de chiffrement G de l'étiquette électronique E applique à chaque bit N3m du troisième nombre N3, une équation gm du deuxième système avec l'indice m tel que 1 < m < M : Xm = gm (N3m) . Le cryptogramme X comprend ainsi M bits de xo à XM avec les T premiers bits xo à xτ-1 déterminés à partir du premier nombre Nl^ et les bits restants xτ+1 à XM déterminés en fonction du nombre N2 = IS ® R. La fonction de résolution h comprise dans le module de déchiffrement H du serveur SA est un troisième système d'équation à clé de déchiffrement privée qui est basé sur M équations quadratiques ni à ÏIM à M inconnues. Une équation hm du troisième système avec 1 < m < M, est du type : hm = k'V ® am, i pi ® am,2 P2 ® - ® am,r Pr où : k"1 ! à k"X M sont M polynômes quadratiques à M inconnues formant un système public de polynômes, les coefficients de ces polynômes étant relatifs à la clé de déchiffrement privée; pi à pr sont les polynômes quadratiques identiques aux polynômes quadratiques du système g; etIn order to determine the cryptogram X, the second encryption module G of the electronic tag E applies to each bit N3 m of the third number N3, an equation g m of the second system with the index m such that 1 <m <M: X m = g m (m N3). The cryptogram X thus comprises M bits xo to XM with the first T bits xo to xτ- 1 determined from the first number Nl ^ and the remaining bits xτ + 1 to XM determined according to the number N2 = IS ® R. resolution function h included in the decryption module H of the server SA is a third system of private key decryption key equation which is based on M quadratic equations and IIM to M unknown. An equation h m of the third system with 1 <m <M, is of the type: h m = k ' V ® a m , i pi ® a m , 2 P2 ® - ® a m , r Pr where: k "1 ! to k "X M are M quadratic polynomials with M unknowns forming a public system of polynomials, the coefficients of these polynomials being relative to the private decryption key; pi to p r are the quadratic polynomials identical to the quadratic polynomials of the system g; and
(ai,i, ai, 2, ». ai,r), - (am, i, am,2, - am,r) r - (aM, Ir 3-M,2r - &M, r) sont également un ensemble de M listes à r coefficients identique à l'ensemble de M listes du système g.(ai, i, ai, 2, "ai, r ), - (a m , i, a m , 2, - a m , r ) r - (aM, Ir 3 -M, 2r - & M, r) are also a set of M lists with r coefficients identical to the set of M lists of the system g.
Dans cette réalisation, le module de déchiffrement H applique uniquement les h.τ à hyi équations respectivement aux XT à XM bits du cryptogramme X. Ainsi il n'est pas utile au module de déchiffrement H de connaître le premier nombre Nl^.In this embodiment, the decryption module H applies only the h.τ to hyi equations to the XT XM bits respectively of the cryptogram X. Thus it is not useful for the decryption module H to know the first number Nl ^.
Cette réalisation a pour avantage de pouvoir être implémentée dans des étiquettes électroniques offrant une faible capacité de calcul. En effet, cette réalisation ne met pas en œuvre un chiffrement comportant plusieurs itérations nécessitant une capacité de calcul importante. Les modules de chiffrement F et G exécutant respectivement les fonctions à sens unique f et g décrites dans la réalisation précédente peuvent être implémentés en logique câblée dans l'étiquette E.This embodiment has the advantage of being implemented in electronic tags with low computing capacity. Indeed, this embodiment does not implement an encryption comprising several iterations requiring a large calculation capacity. The encryption modules F and G respectively executing the one-way functions f and g described in the previous embodiment can be implemented in hard-wired logic in the label E.
Afin de diminuer le nombre de portes logiques dans l ' implémentation précédente, les polynômes quadratiques des fonctions à sens unique f et g et de la fonction de résolution h sont, de préférence, des polynômes « creux » dont des monômes ont des coefficients nuls.In order to reduce the number of logic gates in the previous implementation, the quadratic polynomials of the one-way functions f and g and of the resolution function h are preferably "hollow" polynomials whose monomials have zero coefficients.
L'invention décrite ici concerne un procédé et un système d' authentification. Elle concerne également l ' implémentation des modules F, G et H de l'objet électronique E et du serveur d' authentification SA sous la forme d'un programme d'ordinateur. Les étapes du procédé de l'invention sont alors déterminées par les instructions du programme d'ordinateur incorporé au moins pour partie dans le serveur d' authentification SA. Le programme comporte des instructions de programme qui, lorsque ledit programme est exécuté dans un système comprenant l'objet électronique E et l'entité d' authentification SA, réalisent les étapes du procédé selon l'invention.The invention described herein relates to a method and an authentication system. It also relates to the implementation of the modules F, G and H of the electronic object E and the authentication server SA in the form of a computer program. The steps of the method of the invention are then determined by the instructions of the computer program incorporated at least in part in the authentication server SA. The program includes program instructions which, when said program is executed in a system comprising the electronic object E and the authentication entity SA, carry out the steps of the method according to the invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur sur ou dans un support d'informations, adapté à mettre en œuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention. Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage ou support d'enregistrement sur lequel est stocké le programme d'ordinateur selon l'invention, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore une clé USB, ou un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.Accordingly, the invention also applies to a computer program, including a computer program on or in an information carrier, adapted to implement the invention. This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a partially compiled form, or in any other form desirable to implement the method according to the invention. The information carrier may be any entity or device capable of storing the program. For example, the medium may comprise storage means or recording medium on which is stored the computer program according to the invention, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a USB key, or a magnetic recording means, for example a floppy disk or a hard disk.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type internet.On the other hand, the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means. The program according to the invention can in particular be downloaded to an Internet type network.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé selon l'invention. On notera que la base de données BD n'est pas nécessairement sur le serveur. Elle peut être accessible à distance. Alternatively, the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method according to the invention. Note that the database BD is not necessarily on the server. It can be accessed remotely.

Claims

REVENDICATIONS
1 - Procédé pour authentifier un objet électronique (E) par une entité d' authentification (SA), un identificateur (IS) de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données (BD) qui est accessible à l'entité d' authentification (SA), et un aléa (R) étant généré1 - Method for authenticating an electronic object (E) by an authentication entity (SA), an identifier (IS) of the electronic object being stored in the electronic object and in a database (BD) which is accessible to the authentication entity (SA), and a randomness (R) being generated
(S3) par l'entité d' authentification (SA) et transmis à l'objet électronique, caractérisé en ce qu'il comprend les étapes suivantes de : dans l'objet électronique (E), chiffrer et mémoriser (S5) un premier nombre (Nl^) au moyen d'une première fonction à sens unique (f) , déterminer (S6, S8) un cryptogramme (X) à partir dudit identificateur (IS) , dudit premier nombre chiffré (Nl^) et dudit aléa transmis (R) , et transmettre (S9) le cryptogramme (X) à l'entité d' authentification, et dans l'entité d' authentification (SA), déchiffrer (SIl - S12) le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, Θ) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS"), et chercher (S13) dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS') .(S3) by the authentication entity (SA) and transmitted to the electronic object, characterized in that it comprises the following steps of: in the electronic object (E), encrypting and storing (S5) a first number (Nl ^) by means of a first one-way function (f), determining (S6, S8) a cryptogram (X) from said identifier (IS), said first encrypted number (Nl ^) and said transmitted randomly (R), and transmitting (S9) the cryptogram (X) to the authentication entity, and in the authentication entity (SA), decrypting (SI1 - S12) the encrypted (X) cryptogram transmitted by application of a decryption function (h, Θ) to the cryptogram and generated randomness (R) to produce an identifier decrypted (IS "), and search (S13) in the database (BD) an identifier equal to said decrypted identifier (IS ').
2 - Procédé conforme à la revendication 1, selon lequel la première fonction à sens unique (f) est un système d'équations quadratiques à coefficients aléatoires .2 - Process according to claim 1, wherein the first one-way function (f) is a system of quadratic equations with random coefficients.
3 - Procédé conforme à la revendication 1 ou 2, selon lequel la détermination du cryptogramme (X) dans l'objet électronique (E) comprend les étapes suivantes de : appliquer (S6) une première fonction bijective à l'identificateur mémorisé (IS) et à l'aléa transmis (R) pour produire un deuxième nombre (N2), concaténer (S7) le premier nombre (Nl^) et le deuxième nombre déterminé (N2) en un troisième nombre (N3), et déterminer (S8) l'identificateur chiffré (X) par application au troisième nombre déterminé (N3) d'une deuxième fonction (g) à sens unique, qui est une fonction à sens unique à trappe.3 - Process according to claim 1 or 2, wherein the determination of the cryptogram (X) in the electronic object (E) comprises the following steps of: applying (S6) a first bijective function to the stored identifier (IS) and the transmitted randomness (R) to produce a second number (N2), concatenating ( S7) the first number (Nl ^) and the second determined number (N2) into a third number (N3), and determining (S8) the encrypted identifier (X) by application to the determined third number (N3) of a second one-way function (g), which is a one-way trapdoor function.
4 - Procédé conforme à la revendication 3, selon lequel la deuxième fonction à sens unique (g) est un système d'équations quadratiques.4 - Process according to claim 3, wherein the second one-way function (g) is a system of quadratic equations.
5 - Procédé conforme à l'une quelconque des revendications 1 à 4, selon lequel la fonction de déchiffrement (h, θ) dans l'entité d' authentification (SA) comprend les étapes suivantes de : déterminer un quatrième nombre (N4) par application d'une fonction de résolution (h) au cryptogramme (X) , et déterminer l'identificateur déchiffré (IS') par application d'une deuxième fonction bijective au quatrième nombre déterminé (N4) et à l'aléa généré5 - Process according to any one of claims 1 to 4, wherein the decryption function (h, θ) in the authentication entity (SA) comprises the following steps of: determining a fourth number (N4) by applying a resolution function (h) to the cryptogram (X), and determining the decrypted identifier (IS ') by applying a second bijective function to the fourth predetermined number (N4) and to the generated randomness
(R) •(R) •
β - Procédé conforme à la revendication 3 ou 4 et à la revendication 5, selon lequel les première et deuxième fonctions bijectives sont des fonctions OU-β - A method according to claim 3 or 4 and claim 5, wherein the first and second bijective functions are OR functions.
Exclusif. 7 - Système pour authentifier un objet électronique (E) par une entité d' authentification (SA), un identificateur (IS) de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données (BD) qui est accessible à l'entité d' authentification (SA), et un aléa (R) étant généré (S3) par l'entité d' authentification (SA) et transmis à l'objet électronique, caractérisé en ce qu'il comprend : dans l'objet électronique (E), un moyen (F, RI) pour chiffrer et mémoriser un premier nombre (Nid) au moyen d'une première fonction à sens unique (f) , un moyen (G) pour déterminer un cryptogramme (X) à partir dudit identificateur (IS) , dudit premier nombre chiffré (Nl^) et dudit aléa transmis (R) , et un moyen (ICE) pour transmettre le cryptogramme (X) à l'entité d' authentification, et dans l'entité d' authentification (SA), un moyen (H) pour déchiffrer le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, θ) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS'), et un moyen (V) pour chercher dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS').Exclusive. 7 - System for authenticating an electronic object (E) by an authentication entity (SA), an identifier (IS) of the electronic object being stored in the electronic object and in a database (BD) which is accessible to the authentication entity (SA), and a randomness (R) being generated (S3) by the authentication entity (SA) and transmitted to the electronic object, characterized in that it comprises: in the electronic object (E), means (F, RI) for encrypting and storing a first number (Ni d ) by means of a first one-way function (f), means (G) for determining a cryptogram (X ) from said identifier (IS), said first encrypted number (Nl ^) and said transmitted random (R), and means (ICE) for transmitting the cryptogram (X) to the authentication entity, and in the authentication entity (SA), means (H) for decrypting the transmitted cryptogram (X) by applying a decryption function (h, θ) to cryptogram and generated randomness (R) to produce a decrypted identifier (IS '), and means (V) for searching in the database (BD) for an identifier equal to said decrypted identifier (IS').
8 - Système d' authentification conforme à la revendication 7, dans lequel les moyens pour chiffrer (F, G) de l'objet électronique (E) sont implémentés en logique câblée.8 - Authentication system according to claim 7, wherein the means for encrypting (F, G) of the electronic object (E) are implemented in hardwired logic.
9 - Programme d'ordinateur pour authentifier un objet électronique (E) auprès d'une entité d' authentification (SA), un identificateur (IS) de l'objet électronique (E) étant mémorisé dans l'objet électronique (E) et dans une base de données (BD) qui est accessible à l'entité d' authentification (SA), et un aléa (R) étant généré (S3) par l'entité d' authentification (SA) et transmis à l'objet électronique (E) , ledit programme étant caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans un système comprenant ledit objet électronique (E) et ladite entité d' authentification (SA), réalisent les étapes suivantes de: dans l'objet électronique (E), chiffrer et mémoriser (S5) un premier nombre (NId) au moyen d'une première fonction à sens unique (f) , déterminer (Sβ, S8) un cryptogramme (X) à partir dudit identificateur (IS) , dudit premier nombre chiffré (Nid) et dudit aléa transmis (R) , et transmettre (S9) le cryptogramme (X) à l'entité d' authentification, et dans l'entité d' authentification (SA), déchiffrer (SIl - S12) le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, Θ) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS'), et chercher (S13) dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS'). 9 - Computer program for authenticating an electronic object (E) with an authentication entity (SA), an identifier (IS) of the electronic object (E) being stored in the object electronic (E) and in a database (BD) that is accessible to the authentication entity (SA), and a randomness (R) being generated (S3) by the authentication entity (SA) and transmitted to the electronic object (E), said program being characterized in that it comprises instructions which, when the program is executed in a system comprising said electronic object (E) and said authentication entity (SA), realize the following steps of: in the electronic object (E), encrypting and storing (S5) a first number (NI d) by means of a first one-way function (f), determining (Sβ, S8) a cryptogram (X ) from said identifier (IS), said encrypted first number (Ni d) and said transmitted random number (R), and transmitting (S9) the cryptogram (X) to the entity authentication, and the entity of authentication (SA), decrypt (S1-S12) the cryptogram (X) transmitted by application of a decryption function (h, Θ) the cryptogram and the random generated (R) to produce a decrypted identifier (IS '), and search (S13) in the database (BD) an identifier equal to said decrypted identifier (IS').
PCT/FR2006/050805 2005-09-01 2006-08-17 Anonymous and retroactively untraceable authentication of an electronic object by an authentication entity WO2007026092A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0552653A FR2890269A1 (en) 2005-09-01 2005-09-01 Electronic object e.g. radio frequency identifier type electronic label, authenticating method, involves encrypting number using one-way function, and determining cryptogram from secret identifier, of encrypted number and variable
FR0552653 2005-09-01

Publications (1)

Publication Number Publication Date
WO2007026092A1 true WO2007026092A1 (en) 2007-03-08

Family

ID=36390272

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/050805 WO2007026092A1 (en) 2005-09-01 2006-08-17 Anonymous and retroactively untraceable authentication of an electronic object by an authentication entity

Country Status (2)

Country Link
FR (1) FR2890269A1 (en)
WO (1) WO2007026092A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5384846A (en) * 1993-04-26 1995-01-24 Pitney Bowes Inc. System and apparatus for controlled production of a secure identification card
DE19527715A1 (en) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Smart card for access to global mobile communication system - has integrated circuit chip using identification and authentication data to control access
FR2757723A1 (en) * 1996-12-24 1998-06-26 France Telecom AUTHENTICATION METHOD WITH AN ACCESS AND / OR PAYMENT CONTROL SYSTEM
US20030028771A1 (en) * 1998-01-02 2003-02-06 Cryptography Research, Inc. Leak-resistant cryptographic payment smartcard

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5384846A (en) * 1993-04-26 1995-01-24 Pitney Bowes Inc. System and apparatus for controlled production of a secure identification card
DE19527715A1 (en) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Smart card for access to global mobile communication system - has integrated circuit chip using identification and authentication data to control access
FR2757723A1 (en) * 1996-12-24 1998-06-26 France Telecom AUTHENTICATION METHOD WITH AN ACCESS AND / OR PAYMENT CONTROL SYSTEM
US20030028771A1 (en) * 1998-01-02 2003-02-06 Cryptography Research, Inc. Leak-resistant cryptographic payment smartcard

Also Published As

Publication number Publication date
FR2890269A1 (en) 2007-03-02

Similar Documents

Publication Publication Date Title
FR2930390A1 (en) METHOD FOR SECURE DIFFUSION OF DIGITAL DATA TO AN AUTHORIZED THIRD PARTY
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
WO2009153519A1 (en) Method for authenticating an entity by a verifier
EP2953291B1 (en) Secured distributed storage by multiparty calculation
FR2964812A1 (en) AUTHENTICATION METHOD FOR ACCESSING A WEB SITE
CA2816933C (en) Protection against passive sniffing
WO2009130088A1 (en) Terminal for strong authentication of a user
EP2509025A1 (en) Method for access to a protected resource of a trusted personal device
EP1851901A1 (en) Method for fast pre-authentication by distance recognition
EP2568406B1 (en) Implementation method, from a terminal, of cryptographic data for a user stored in a database
EP3731116B1 (en) Method of authenticating an identification document of an individual and authenticating said individual.
FR3113800A1 (en) Data exchange between a client and a remote device, for example a secure module
EP3673633B1 (en) Method for authenticating a user with an authentication server
WO2007026092A1 (en) Anonymous and retroactively untraceable authentication of an electronic object by an authentication entity
WO2003036865A1 (en) Method and device for verifying possession of a confidential information without communicating same, based on a so-called zero knowledge process
FR3057374B1 (en) ENCRYPTION METHOD, DECRYPTION METHOD, DEVICE AND CORRESPONDING COMPUTER PROGRAM.
EP3842970B1 (en) Method for checking the password of a dongle, associated computer program, dongle and user terminal
FR2985337A1 (en) Method for securing result of cryptographic calculations against attack by injection of faults in chip card in electronic component, involves providing discretionary value processed by processing unit for one of output values of blocks
FR3038414A1 (en) METHOD AND SYSTEM FOR CONTROLLING ACCESS TO A SERVICE VIA A MOBILE MEDIA
WO2022135952A1 (en) Method and device for generating authentication information for a secure entity and associated identity checking method and device
CA3183198A1 (en) Device, method and program for secure communication between white boxes
WO2021110518A1 (en) Method for cogenerating a shared cryptographic material, devices, system and corresponding computer program
EP2180654A1 (en) Method of securing messages sent to an evolved terminal in a distributed architecture
FR2882209A1 (en) METHOD OF AUTHENTICATING AN ELECTRONIC LABEL USING A CRYPTOGRAPHIC ALGORITHM WITH A PUBLIC KEY
FR3013477A1 (en) METHOD AND SYSTEM FOR VERIFYING THE VALIDITY OF A DIGITAL MESSAGE SIGNATURE

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06808246

Country of ref document: EP

Kind code of ref document: A1