ES2382615T3 - Soporte de datos portátil con protección de acceso mediante enmascaramiento de mensajes - Google Patents

Soporte de datos portátil con protección de acceso mediante enmascaramiento de mensajes Download PDF

Info

Publication number
ES2382615T3
ES2382615T3 ES00990805T ES00990805T ES2382615T3 ES 2382615 T3 ES2382615 T3 ES 2382615T3 ES 00990805 T ES00990805 T ES 00990805T ES 00990805 T ES00990805 T ES 00990805T ES 2382615 T3 ES2382615 T3 ES 2382615T3
Authority
ES
Spain
Prior art keywords
data
module
message
intermediate result
masked
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES00990805T
Other languages
English (en)
Inventor
Hermann Drexler
Harald Vater
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Application granted granted Critical
Publication of ES2382615T3 publication Critical patent/ES2382615T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7223Randomisation as countermeasure against side channel attacks
    • G06F2207/7233Masking, e.g. (A**e)+r mod n
    • G06F2207/7238Operand masking, i.e. message blinding, e.g. (A+r)**e mod n; k.(P+R)
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7223Randomisation as countermeasure against side channel attacks
    • G06F2207/7233Masking, e.g. (A**e)+r mod n
    • G06F2207/7247Modulo masking, e.g. A**e mod (n*r)
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • G06F2207/7223Randomisation as countermeasure against side channel attacks
    • G06F2207/7257Random modification not requiring correction

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Computational Mathematics (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Storage Device Security (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Abstract

Soporte de datos con un chip semiconductor que presenta al menos una memoria en la que está depositada un programa operativo que contiene varias órdenes, provocando cada orden señales detectables desde el exterior del chip semiconductor, y estando el soporte de datos diseñado de tal manera que los datos que son utilizados varias veces para un cálculo en una encriptación con operaciones de módulo son enmascarados mediante diferentes funciones, consistiendo los datos a enmascarar en el mensaje M a encriptar, caracterizado porque al mensaje M se suma en cada utilización i (i=1..k) ri*n, donde ri es un número aleatorio que puede tener un valor diferente para cada i, y n es el módulo.

Description

Soporte de datos portátil con protección de acceso mediante enmascaramiento de mensajes
La presente invención se refiere a un soporte de datos que presenta un chip semiconductor en el que se almacenan y se procesan datos secretos.
Se utilizan para múltiples aplicaciones diferentes soportes de datos que contienen un chip, por ejemplo para realizar transacciones financieras, para pagar bienes o servicios, o como medio de identificación para llevar a cabo controles de acceso o de entrada. En todas estas aplicaciones en el interior del chip del soporte de datos se procesan generalmente datos secretos que han de ser protegidos contra el acceso por parte de terceros no autorizados. Esta protección está garantizada, entre otras cosas, por el hecho de que las estructuras internas del chip presentan dimensiones muy reducidas y, debido a ello, resulta muy difícil acceder a estas estructuras con el fin de tener acceso a los datos que son procesados en estas estructuras. Para dificultar todavía más el acceso a ellos, el chip puede estar embebido en una masa fuertemente adherida que provocará la destrucción de la plaquita semiconductora o, como mínimo, la destrucción de los datos secretos almacenados en ella cuando se intenta retirar violentamente. Asimismo, también es posible dotar la plaquita semiconductora, ya durante su producción, de una capa protectora que no puede ser eliminada sin destruir la plaquita semiconductora.
Con el correspondiente equipamiento técnico que ciertamente es muy caro pero, en principio, está disponible, un atacante podría conseguir eventualmente poner al descubierto y examinar la estructura interna del chip. La puesta al descubierto podría llevarse a cabo, por ejemplo, mediante un procedimiento de grabado especial o por un proceso de rebajado adecuado. Las estructuras del chip puestas al descubierto de esta manera tales como, por ejemplo, circuitos impresos pueden ser contactadas con microsondas o ser examinadas con otros métodos a efectos de detectar las trayectorias de señal en estas estructuras. A continuación se podría intentar averiguar, a partir de las señales detectadas, datos secretos del soporte de datos tales como, por ejemplo claves secretas, para utilizar éstas con fines de manipulación. Asimismo, se podría intentar influir de forma dirigida en las trayectorias de señal en las estructuras puestas al descubierto a través de las microsondas.
Recientemente se han dado a conocer además métodos que permiten deducir los datos secretos, especialmente la clave secreta, mediante la medición del consumo de corriente o el comportamiento en el tiempo durante la encriptación (Paul C. Kocher, “Timing Attacks on implementation of Diffie-Hellman, RSA, DSS, and other Systems”, (“Ataques de medición de tiempos en la implementación de Diffie-Hellman, RSA, DSS y otros sistemas”), edición Springer Verlag 1998; WO 99/35782).
Un ataque simple de este tipo consiste en el “Simple Power Analysis” (SPA), “(Análisis de potencia simple”). En este método analítico se procede, por ejemplo, a la encriptación de un mensaje conocido M mediante una clave secreta d, es decir, se genera el texto encriptado Y = Md mod n. En la exponenciación modular, cuando en el exponente d haya un “1” se lleva a cabo una operación de elevación al cuadrado del resultado intermedio y una operación de multiplicación de M, mientras que cuando haya un “0” en d, sólo se lleva a cabo una operación de elevación al cuadrado del resultado intermedio. Si M es conocido, observando el comportamiento de la corriente y/o en el tiempo durante las operaciones, se podrá detectar en qué momentos se utiliza el mensaje M. Dado que éste se utiliza siempre que exista un “1” en d, se podrá deducir la clave sin más.
Este ataque puede ser contrarrestado por modificaciones en el mensaje M o en la clave d. Por Paul C. Kocher, “Timing Attacks on implementation of Diffie-Hellman, RSA, DSS, and other Systems”, (“Ataques de medición de tiempos en la implementación de Diffie-Hellman, RSA, DDS y otros sistemas”), edición Springer Verlag 1998, y en la solicitud de patente internacional WO 99/35782 se dan a conocer, sin embargo, métodos de análisis con los cuales se puede deducir la clave incluso si el mensaje ha sido modificado, es decir velado o la llave ha sido velada, mediante el registro de múltiples curvas de medición en las que se mide el comportamiento de la corriente del circuito integrado (“Differential Power Analysis” = análisis de potencia diferencial (DPA) o Higher Order DPA).
Para evitar que la clave pueda ser detectada fácilmente, reconociendo la utilización del mensaje encriptado durante el cálculo, se ha propuesto añadir un factor r * n a la encriptación del mensaje. La transformación de un algoritmo de este tipo se conoce por Messerges y otros, “Power analysis attacks of modular exponentiation in smartcards” (“Ataques mediante análisis de potencia de exponenciación modular en tarjetas inteligentes”), Cryptographic hardware and embedded systems (Hardware criptográfico y sistemas embebidos), Primer Taller Internacional, CHES’99 Worcester, MA, USA, 12-13 de agosto de 1999. Páginas 144-157. El texto encriptado Y = Md mod n es modificado, por lo tanto, en (M+r*n)d mod n. De esta manera, al hacer el análisis no existe la posibilidad de recurrir al mensaje conocido M. Pero incluso con esta modificación del texto del mensaje M se puede reconocer una repetición de determinados patrones, observando la curva de la corriente. Estos patrones correlacionados contienen muy probablemente (M+r*n), de manera que, una vez más, se puede deducir la multiplicación y, por lo tanto, un 1 en la clave secreta.
Otro problema se presenta cuando durante el análisis de la corriente se puede reconocer si en una multiplicación se multiplican factores idénticos (corresponde a la operación de elevación al cuadrado del resultado intermedio) o
diferentes (corresponde a la operación de multiplicación del resultado intermedio con mensaje), ya que con ello también se pueden identificar multiplicaciones con (M + r*n).
El objetivo de la invención consiste en proteger datos secretos que se encuentran en un soporte de datos portátil contra accesos no autorizados, siguiendo asegurando la utilización eficaz de los datos.
Este objetivo se consigue partiendo de la parte introductoria de las reivindicaciones 1 ó 6 por las características de cada reivindicación.
La invención parte de un soporte de datos con un chip semiconductor que presenta, como mínimo, una memoria en la que está depositado un programa operativo que contiene varias órdenes provocando cada orden señales detectables desde el exterior del chip semiconductor.
De acuerdo con la invención, el soporte de datos está diseñado de tal manera que los datos que son utilizados varias veces para un cálculo son enmascarados mediante diferentes funciones, consistiendo los datos a enmascarar en el mensaje M a encriptar y sumando al mensaje M en cada utilización i (i=1..k) ri*n, donde ri es un número aleatorio que puede tener un valor diferente para cada i, y n es el módulo.
Los datos pueden ser un mensaje, pero también pueden ser resultados intermedios que se han generado al realizar un cálculo, o también datos que están almacenados en el soporte de datos.
También se puede prever que los datos sean un resultado intermedio y una subsiguiente operación de elevación al cuadrado se lleve a cabo como una multiplicación, siendo el resultado intermedio enmascarado previamente mediante diferentes funciones, o que los datos sean un resultado intermedio y una subsiguiente multiplicación por dos del resultado intermedio se lleve a cabo como una adición, siendo el resultado intermedio enmascarado previamente mediante diferentes funciones. De esta manera, se pueden asegurar también ventajosamente operaciones con el resultado intermedio (elevación al cuadrado, adición, etc.).
En especial se prevé que el enmascaramiento de la función sea una encriptación mediante operaciones de módulo en la que se utiliza el mensaje M cuando hay un “1” en el exponente d, y en la que el mensaje M es modificado con una función diferente cada vez que se utiliza.
Según una realización ventajosa de la invención, también pueden aparecer varias veces potencias en el mensaje M a las que se suma con cada utilización ri*n.
Se podrá aumentar todavía más la seguridad si el módulo n es multiplicado con un factor constante k y sólo más tarde se realiza otra operación de módulo con el módulo n, ya que entonces los resultados intermedios también están enmascarados.
A continuación se describirá la invención por medio de un ejemplo de realización para la exponenciación modular. Sin limitar la generalidad se parte del hecho de que la exponenciación modular se calcula para generar un mensaje encriptado Y = Md mod n, llevando a cabo una operación de elevación al cuadrado del resultado intermedio, así como una multiplicación del mensaje M cuando hay un “1” en d, y una operación de elevación al cuadrado del resultado intermedio cuando hay un “0”.
De acuerdo con la invención, para la encriptación primero se elige un número aleatorio r y se forma el producto r*n. A continuación empieza la exponenciación con una operación de elevación al cuadrado en la que se suma el producto r*n al resultado intermedio Z, a efectos de calcular la expresión (Z*(Z+r*n) mod k*n) en lugar de Z*Z mod n, donde k es un número entero. En el caso de que el exponente, es decir la clave secreta d, contiene un “1” en el dígito, se seguirá con una operación de multiplicación para la cual se añade primero (ri*n) al mensaje M, es decir se forma M + ri*n, y en lugar de Z*M mod n se calcula (Z*(M + ri*n) mod k*n)). Se pasará tantas veces como sea necesario por este bucle hasta que todos los dígitos de la clave secreta hayan sido trabajados, aumentando i en 1 en cada una de las multiplicaciones subsiguientes. Una vez terminada la exponenciación, el resultado se reduce a mod n.
Debido a la característica de que el resultado no es modificado por la adición de un múltiple entero del módulo al mensaje M, se puede introducir sin más una ampliación de este tipo y se obtiene la ventaja de que mediante un análisis del comportamiento de la corriente del chip, el mensaje M ya no es detectable, dado que los sucesivos procesamientos del mensaje ya no son correlacionados y, por lo tanto, no se puede reconocer ningún patrón idéntico que se repita.
Además, resulta prácticamente imposible diferenciar mediante un análisis una operación de multiplicación de una operación de elevación al cuadrado, ya que tanto los resultados intermedios Z, como también el mensaje procesado M + ri*n son modificados en cada operación y, por lo tanto, se forma un producto del resultado intermedio y de un factor no correlacionado con respecto al mismo, tanto en una operación de multiplicación como también en una operación de elevación al cuadrado.
Se podrá aumentar todavía más la seguridad si las operaciones de cálculo críticas para la seguridad f(z) que poseen una correlación entre z y f(z) son divididas en operaciones de cálculo g1(z) y (g2 f(g1(z)) de manera que g1(z) y g2 f(g1(z)) no están correlacionados entre sí. En esta caso, g1(z) y g2(z) son funciones de enmascaramiento adecuadas.

Claims (8)

  1. REIVINDICACIONES
    1. Soporte de datos con un chip semiconductor que presenta al menos una memoria en la que está depositada un programa operativo que contiene varias órdenes, provocando cada orden señales detectables desde el exterior del
    5 chip semiconductor, y estando el soporte de datos diseñado de tal manera que los datos que son utilizados varias veces para un cálculo en una encriptación con operaciones de módulo son enmascarados mediante diferentes funciones, consistiendo los datos a enmascarar en el mensaje M a encriptar, caracterizado porque al mensaje M se suma en cada utilización i (i=1..k) ri*n, donde ri es un número aleatorio que puede tener un valor diferente para cada i, y n es el módulo.
  2. 2. Soporte de datos, según la reivindicación 1, caracterizado porque los datos utilizados son un resultado intermedio y una subsiguiente operación de elevación al cuadrado se lleva a cabo como una multiplicación, siendo el resultado intermedio enmascarado previamente mediante diferentes funciones.
    15 3. Soporte de datos, según la reivindicación 1, caracterizado porque los datos utilizados son un resultado intermedio y una subsiguiente multiplicación por dos del resultado intermedio se lleva a cabo como una adición, siendo el resultado intermedio enmascarado previamente mediante diferentes funciones.
  3. 4. Soporte de datos, según la reivindicación 1, caracterizado porque el cálculo consiste en una operación de
    20 módulo en la que se utilizan las potencias del mensaje, siendo estas potencias modificadas con una función diferente en cada utilización, sumando al mensaje M en cada utilización i (i=1..k) ri*n, donde ri es un número aleatorio que puede tener un valor diferente para cada i, y n es el módulo.
  4. 5. Soporte de datos, según una de las reivindicaciones anteriores, caracterizado porque el módulo n es 25 multiplicado por un factor constante k y porque se realiza otra operación de módulo con el módulo n.
  5. 6. Procedimiento para la protección de datos secretos en soportes de datos en un chip semiconductor que presenta al menos una memoria en la que está depositada un programa operativo que contiene varias órdenes, provocando cada orden señales detectables desde el exterior del chip semiconductor, en el que los datos que son utilizados
    30 varias veces para un cálculo en una encriptación con operaciones de módulo son enmascarados mediante diferentes funciones y los datos a enmascarar consisten en el mensaje M a encriptar, caracterizado porque al mensaje M se suma en cada utilización i (i=1..k) ri*n, donde ri es un número aleatorio que puede tener un valor diferente para cada i, y n es el módulo.
    35 7. Procedimiento, según la reivindicación 6, caracterizado porque los datos utilizados son un resultado intermedio y una subsiguiente operación de elevación al cuadrado se lleva a cabo como una multiplicación, siendo el resultado intermedio enmascarado previamente mediante diferentes funciones.
  6. 8. Procedimiento, según la reivindicación 6, caracterizado porque los datos utilizados son un resultado intermedio y
    40 una subsiguiente multiplicación por dos del resultado intermedio se lleva a cabo como una adición, siendo el resultado intermedio enmascarado previamente mediante diferentes funciones, sumando al mensaje M en cada utilización i (i=1..k) ri*n, donde ri es un número aleatorio que puede tener un valor diferente para cada i, y n es el módulo.
    45 9. Procedimiento, según una de las reivindicaciones 6 a 8, caracterizado porque el cálculo consiste en una operación de módulo en la que se utilizan las potencias del mensaje, siendo estas potencias modificadas con una función diferente en cada utilización.
  7. 10. Procedimiento, según una de las reivindicaciones 6 a 9, caracterizado porque el módulo n es multiplicado por 50 un factor constante k y porque se realiza otra operación de módulo con el módulo n.
  8. 11. Procedimiento, según una de las reivindicaciones 6 a 10, caracterizado porque operaciones de cálculo críticas para la seguridad f(z) que poseen una correlación entre z y f(z) son divididas en operaciones de cálculo g1(z) y (g2 f(g1(z)) de manera que g1(z) y g2 f(g1(z)) no están correlacionados entre sí.
ES00990805T 1999-12-28 2000-12-20 Soporte de datos portátil con protección de acceso mediante enmascaramiento de mensajes Expired - Lifetime ES2382615T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19963407A DE19963407A1 (de) 1999-12-28 1999-12-28 Tragbarer Datenträger mit Zugriffsschutz durch Nachrichtenverfremdung
DE19963407 1999-12-28
PCT/EP2000/013029 WO2001048706A1 (de) 1999-12-28 2000-12-20 Tragbarer datenträger mit zugriffsschutz durch nachrichtenverfremdung

Publications (1)

Publication Number Publication Date
ES2382615T3 true ES2382615T3 (es) 2012-06-11

Family

ID=7934773

Family Applications (1)

Application Number Title Priority Date Filing Date
ES00990805T Expired - Lifetime ES2382615T3 (es) 1999-12-28 2000-12-20 Soporte de datos portátil con protección de acceso mediante enmascaramiento de mensajes

Country Status (12)

Country Link
US (1) US7441125B2 (es)
EP (1) EP1272984B1 (es)
JP (1) JP2003525538A (es)
KR (1) KR100867077B1 (es)
CN (1) CN1180568C (es)
AT (1) ATE545921T1 (es)
AU (1) AU3015101A (es)
DE (1) DE19963407A1 (es)
ES (1) ES2382615T3 (es)
RU (1) RU2280285C2 (es)
WO (1) WO2001048706A1 (es)
ZA (1) ZA200204746B (es)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2810138B1 (fr) * 2000-06-08 2005-02-11 Bull Cp8 Procede de stockage securise d'une donnee sensible dans une memoire d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede
FR2829335A1 (fr) * 2001-09-06 2003-03-07 St Microelectronics Sa Procede de brouillage d'un calcul a quantite secrete
FR2848753B1 (fr) * 2002-12-11 2005-02-18 Gemplus Card Int Procede de division entiere ou de reduction modulaire securise contre les attaques a canaux caches
FR2856537B1 (fr) * 2003-06-18 2005-11-04 Gemplus Card Int Procede de contre-mesure par masquage de l'accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique
FR2862454A1 (fr) * 2003-11-18 2005-05-20 Atmel Corp Methode de reduction modulaire aleatoire et equipement associe
FR2885711B1 (fr) * 2005-05-12 2007-07-06 Atmel Corp Procede et materiel modulaire et aleatoire pour la reduction polynomiale
WO2006124160A2 (en) * 2005-05-12 2006-11-23 Atmel Corporation Randomized modular polynomial reduction method and hardware therefor
JP5179358B2 (ja) * 2005-06-29 2013-04-10 イルデト アイントホーフェン ベー フェー 攻撃又は解析に対してデータ処理装置を保護するための装置及び方法
EP1899803A2 (en) * 2005-06-29 2008-03-19 Koninklijke Philips Electronics N.V. Arrangement for and method of protecting a data processing device against an attack or analysis
FR2897963A1 (fr) * 2006-02-28 2007-08-31 Atmel Corp Procede pour les conjectures de quotient rapide et une manip ulation de congruences
FR2917197B1 (fr) * 2007-06-07 2009-11-06 Thales Sa Procede de masquage du resultat d'une operation de multiplication modulaire et dispositif associe.
KR101101870B1 (ko) * 2009-04-14 2012-01-05 우성태 전동 브라인드의 회송장치
DE102010064578B3 (de) * 2010-08-12 2015-12-10 Infineon Technologies Ag Kryptographie-Prozessor, Chipkarte und Verfahren zur Berechnung eines Ergebnisses einer Exponentiation

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4759063A (en) * 1983-08-22 1988-07-19 Chaum David L Blind signature systems
JP3053106B2 (ja) * 1990-11-02 2000-06-19 株式会社日立製作所 暗号化処理装置、及び復号化処理装置
DE4239430A1 (de) * 1992-11-24 1994-05-26 Merck Patent Gmbh Mittel und Verfahren zur immunoloigschen Bestimmung von Amiodaron und dessen Metaboliten
KR100216363B1 (ko) * 1993-10-13 1999-08-16 윤종용 신용조회 서비스 시스템 및 방법
US5504817A (en) * 1994-05-09 1996-04-02 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for memory efficient variants of public key encryption and identification schemes for smart card applications
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks
DE19723862C2 (de) * 1997-06-06 2000-07-13 Ibm Mobiler Datenträger für Sicherheitsmodule
US6064740A (en) * 1997-11-12 2000-05-16 Curiger; Andreas Method and apparatus for masking modulo exponentiation calculations in an integrated circuit
DE69840959D1 (de) * 1997-12-17 2009-08-20 Nippon Telegraph & Telephone Verschlüsselungs- und Entschlüsselungsvorrichtungen für Kryptosysteme mit öffentlichem Schlüssel und Aufzeichnungsmedium mit darauf gespeicherten zugehörigen Verarbeitungsprogrammen.
ATE325478T1 (de) * 1998-01-02 2006-06-15 Cryptography Res Inc Leckresistentes kryptographisches verfahren und vorrichtung
ES2660057T3 (es) * 1998-05-18 2018-03-20 Giesecke + Devrient Mobile Security Gmbh Soporte de almacenamiento de datos de acceso protegido
DE19822217B4 (de) * 1998-05-18 2018-01-25 Giesecke+Devrient Mobile Security Gmbh Zugriffsgeschützter Datenträger
AU6381699A (en) * 1998-06-03 2000-01-10 Cryptography Research, Inc. Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems
EP2280502B1 (en) * 1998-06-03 2018-05-02 Cryptography Research, Inc. Using unpredictable information to Resist Discovery of Secrets by External Monitoring
JP4317607B2 (ja) * 1998-12-14 2009-08-19 株式会社日立製作所 情報処理装置、耐タンパ処理装置
US6870929B1 (en) * 1999-12-22 2005-03-22 Juniper Networks, Inc. High throughput system for encryption and other data operations
DE19963408A1 (de) * 1999-12-28 2001-08-30 Giesecke & Devrient Gmbh Tragbarer Datenträger mit Zugriffsschutz durch Schlüsselteilung
JP2001308843A (ja) * 2000-04-19 2001-11-02 Nec Commun Syst Ltd 暗号復号化装置
WO2002005061A2 (en) * 2000-07-06 2002-01-17 David Paul Felsher Information record infrastructure, system and method

Also Published As

Publication number Publication date
RU2280285C2 (ru) 2006-07-20
US7441125B2 (en) 2008-10-21
KR100867077B1 (ko) 2008-11-04
HK1051928A1 (en) 2003-08-22
KR20020075877A (ko) 2002-10-07
ZA200204746B (en) 2003-12-13
JP2003525538A (ja) 2003-08-26
EP1272984A1 (de) 2003-01-08
CN1180568C (zh) 2004-12-15
CN1415106A (zh) 2003-04-30
US20030079139A1 (en) 2003-04-24
AU3015101A (en) 2001-07-09
ATE545921T1 (de) 2012-03-15
EP1272984B1 (de) 2012-02-15
WO2001048706A1 (de) 2001-07-05
RU2002120470A (ru) 2004-02-20
DE19963407A1 (de) 2001-07-12

Similar Documents

Publication Publication Date Title
RU2251218C2 (ru) Портативный носитель данных с их защитой от несанкционированного доступа, обеспечиваемой за счет разделения ключа на несколько частей
ES2382615T3 (es) Soporte de datos portátil con protección de acceso mediante enmascaramiento de mensajes
US7599491B2 (en) Method for strengthening the implementation of ECDSA against power analysis
US8422685B2 (en) Method for elliptic curve scalar multiplication
Nara et al. Scan-based attack against elliptic curve cryptosystems
US8065531B2 (en) Decryption method
US20090214023A1 (en) Method for elliptic curve scalar multiplication
CN103221917A (zh) 加密运算中模幂的保护
JP4378480B2 (ja) 隠れたチャネル攻撃に対して安全に整数除算またはモジュラ換算する方法
US20050152539A1 (en) Method of protecting cryptographic operations from side channel attacks
CN100472751C (zh) 防止对rsa算法进行能量分析攻击的方法
US10992464B2 (en) Chip and method for securely storing secret data
US7174016B2 (en) Modular exponentiation algorithm in an electronic component using a public key encryption algorithm
US20060126828A1 (en) Inverse calculation circuit, inverse calculation method, and storage medium encoded with computer-readable computer program code
Mahmoud et al. Novel algorithmic countermeasures for differential power analysis attacks on smart cards
HK1051928B (en) Method for protection of secret data in data storage media
HK1051755B (en) Portable data carrier provided with access protection by dividing up codes
Almanei Protecting smart cards from power analysis attacks
Vuillaume et al. Side channel attacks on elliptic curve cryptosystems
Nagl et al. Coupon Recalculation for the Schnorr and GPS Identification Scheme: A Performance Evaluation
Joye et al. SPA-Type Attacks
Bar-El Information Security Analyst Email: hagai. bar-el@ discretix. com Tel:+ 972-9-8858810 www. discretix. com
JP2010271363A (ja) モンゴメリ乗算回路、rsa暗号回路、及び、icカード