WO2001048706A1 - Tragbarer datenträger mit zugriffsschutz durch nachrichtenverfremdung - Google Patents
Tragbarer datenträger mit zugriffsschutz durch nachrichtenverfremdung Download PDFInfo
- Publication number
- WO2001048706A1 WO2001048706A1 PCT/EP2000/013029 EP0013029W WO0148706A1 WO 2001048706 A1 WO2001048706 A1 WO 2001048706A1 EP 0013029 W EP0013029 W EP 0013029W WO 0148706 A1 WO0148706 A1 WO 0148706A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- message
- data
- data carrier
- intermediate result
- alienated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/723—Modular exponentiation
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/003—Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7223—Randomisation as countermeasure against side channel attacks
- G06F2207/7233—Masking, e.g. (A**e)+r mod n
- G06F2207/7238—Operand masking, i.e. message blinding, e.g. (A+r)**e mod n; k.(P+R)
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7223—Randomisation as countermeasure against side channel attacks
- G06F2207/7233—Masking, e.g. (A**e)+r mod n
- G06F2207/7247—Modulo masking, e.g. A**e mod (n*r)
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
- G06F2207/7223—Randomisation as countermeasure against side channel attacks
- G06F2207/7257—Random modification not requiring correction
Definitions
- the invention relates to a data carrier which has a semiconductor chip in which secret data are stored and processed.
- Data carriers containing a chip are used in a large number of different applications, for example for carrying out financial transactions, for paying for goods or services, or as identification means for controlling access or access controls.
- secret data are generally processed within the chip of the data carrier and must be protected against access by unauthorized third parties. This protection is ensured, inter alia, by the fact that the internal structures of the chip have very small dimensions and therefore access to these structures with the aim of spying out data which are processed in these structures is very difficult.
- the chip can be embedded in a very firmly adhering mass, the violent removal of which will destroy the semiconductor chip or at least destroy the secret data stored therein. It is also possible to provide the semiconductor wafer with a protective layer during its manufacture, which cannot be removed without destroying the semiconductor wafer.
- an attacker could possibly be able to uncover and examine the internal structure of the chip.
- the exposure could take place, for example, by means of special etching processes or by means of a suitable grinding process.
- the structures of the chip exposed in this way such as conductor tracks, could be probes are contacted or examined using other methods to determine the signal profiles in these structures. It could then be attempted to determine secret data of the data carrier, such as secret keys, from the detected signals in order to use them for manipulation purposes. An attempt could also be made to influence the signal profiles in the exposed structures in a targeted manner using the microprobes.
- SPA squaring ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇
- the object of the invention is to protect secret data which are present in the chip of a portable data carrier from unauthorized access, the efficient use of the data still being intended to be guaranteed. This object is achieved on the basis of the preamble of claims 1 and 5 by the characterizing features of the respective claim.
- the invention is based on a data carrier with a semiconductor chip which has at least one memory in which an operating program is stored which contains a plurality of instructions, each instruction causing signals which can be detected from outside the semiconductor chip.
- the data carrier is designed in such a way that data which are used several times for a calculation are alienated with different functions.
- the data can be a message, but also intermediate results that were created when an invoice was executed or data that is stored in the data carrier.
- the data to be alienated preferably consists of a message to be encrypted.
- operations with the intermediate result can be made safe in an advantageous manner.
- powers of the message M can occur several times, to which r * * n is then added each time.
- a random number r is first selected for encryption and the product r * n is formed.
- the exponentiation then begins with a squaring operation, in which the product r * n is added to the intermediate result Z in order to calculate the expression (Z * (Z + r * n) mod k * n) instead of Z * Z mod n , where k is an integer.
- a further increase in security can be achieved by dividing security-critical arithmetic operations f (z), which have a correlation between z and f (z), into arithmetic operations gl (z) and (g2 f (gl (z)) , so that gl (z) and g2 f (gl (z)) are uncorrelated to each other.gl (z) and g2 (z) are suitable alienation functions.
Landscapes
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Computational Mathematics (AREA)
- Strategic Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Finance (AREA)
- Signal Processing (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Abstract
Die Erfindung betrifft einen Datenträger mit einem Halbleiterchip, der wenigstens einen Speicher aufweist, in dem ein Betriebsprogramm abgelegt ist, das mehrere Befehle beinhaltet, wobei jeder Befehl von ausserhalb des Halbleiterchips detektierbare Signale hervorruft. Gemäss der Erfindung ist der Datenträger so ausgelegt, dass Daten, welche für eine Berechnung mehrmals verwendet werden, mit unterschiedlichen Funktionen verfremdet werden.
Description
Tragbarer Datenträger mit Zugriffsschutz durch Nachrichtenverfremdung
Die Erfindung betrifft einen Datenträger, der einen Halbleiterchip aufweist, in dem geheime Daten abgespeichert sind und verarbeitet werden.
Datenträger die einen Chip enthalten, werden in einer Vielzahl von unterschiedlichen Anwendungen eingesetzt, beispielsweise zum Durchführen von Finanztransaktionen, zum Bezahlen von Waren oder Dienstleistungen, oder als Identifikationsmittel zur Steuerung von Zugangs- oder Zutrittskontrollen. Bei allen diesen Anwendungen werden innerhalb des Chips des Datenträgers in der Regel geheime Daten verarbeitet, die vor dem Zugriff durch unberechtigte Dritte geschützt werden müssen. Dieser Schutz wird unter anderem dadurch gewährleistet, daß die inneren Strukturen des Chips sehr kleine Abmessungen aufweisen und daher ein Zugriff auf diese Strukturen mit dem Ziel, Daten, die in diesen Strukturen verarbeitet werden, auszuspähen, sehr schwierig ist. Um einen Zugriff weiter zu erschweren, kann der Chip in eine sehr fest haftende Masse eingebettet werden, bei deren gewalt- samer Entfernung das Halbleiterplättchen zerstört wird oder zumindest die darin gespeicherten geheimen Daten vernichtet werden. Ebenso ist es auch möglich, das Halbleiterplättchen bereits bei dessen Herstellung mit einer Schutzschicht zu versehen, die nicht ohne Zerstörung des Halbleiterplätt- chens entfernt werden kann.
Mit einer entsprechenden technischen Ausrüstung, die zwar extrem teuer aber dennoch prinzipiell verfügbar ist, könnte es einem Angreifer möglicherweise gelingen, die innere Struktur des Chips freizulegen und zu untersuchen. Das Freilegen könnte beispielsweise durch spezielle Ätzverfahren oder durch einen geeigneten Abschleifprozeß erfolgen. Die so freigelegten Strukturen des Chips, wie beispielsweise Leiterbahnen, könnten mit Mikro-
sonden kontaktiert oder mit anderen Verfahren untersucht werden, um die Signalverläufe in diesen Strukturen zu ermitteln. Anschließend könnte versucht werden, aus den detektierten Signalen geheime Daten des Datenträgers, wie z.B. geheime Schlüssel zu ermitteln, um diese für Manipulations- zwecke einzusetzen. Ebenso könnte versucht werden, über die Mikrosonden die Signalverläufe in den freigelegten Strukturen gezielt zu beeinflussen.
In jüngerer Zeit sind überdies Methoden bekannt geworden, die es erlauben durch die Messung der Stromaufnahme oder des Zeitverhaltens bei der Ver- schlüsselung auf die geheimen Daten, insbesondere den geheimen Schlüssel zu schließen (Paul C. Kocher, „Timing Attacks on implementation of Diffie- Hellman, RSA, DSS, and other Systems", Springer Verlag 1998; WO 99/35782).
Ein einfacher derartiger Angriff besteht in der „Simple Power Analysis"
(SPA). Bei dieser Analysemethode wird beispielsweise eine bekannte Nachricht M einer Verschlüsselung mit einem geheimen Schlüssel d unterzogen, d.h. es wird der verschlüsselte Text Y = Md mod n gebildet. Bei der modula- ren Exponentiation wird bei einer "1" im Exponenten d eine Quadrier- Operation mit dem Zwischenergebnis und eine Multilizier-Operation mit M durchgeführt, während bei einer "0" in d nur eine Quadrier-Operation mit dem Zwischenergebnis ausgeführt wird. Bei bekanntem M kann durch die Beobachtung des Strom- und/ oder Zeitverhaltens während der Operationen erkannt werden, zu welchen Zeitpunkten die Nachricht M verwendet wird. Da diese immer bei Vorliegen einer "1" in d verwendet wird, kann ohne weiteres auf den Schlüssel geschlossen werden.
Diesem Angriff kann durch Änderungen in der Nachricht M bzw. im Schlüssel d begegnet werden. Aus Paul C. Kocher, „Timing attacks on implementa- tion of Diffie-Hellman, RSA, DSS, and other Systems", Springer Verlag 1998
und der internationalen Patentanmeldung WO 99/35782 sind jedoch Analysemethoden bekannt, bei denen auch bei geänderter, d.h. verschleierter Nachricht oder verschleiertem Schlüssel durch die Aufnahme einer Vielzahl von Meßkurven, in denen das Stromverhalten des integrierten Schaltkreises gemessen wird auf den Schlüssel geschlossen werden kann („Differential Power Analysis" (DPA) bzw. Higher Order DPA).
Um zu verhindern, daß der Schlüssel einfach erkannt werden kann, indem man bei der Berechnung die Benutzung der zu verschlüsselnden Nachricht erkennt, wurde bereits vorgeschlagen, zur Verschlüsselung der Nachricht einen Faktor r * n hinzuzufügen. Der Verschlüsselungstext Y = Md mod n wird somit verändert in (M+r*n)d mod n. Damit besteht bei einer Analyse nicht die Möglichkeit, auf die bekannte Nachricht M zurückzugreifen. Aber auch bei dieser Änderung des Nachrichtentextes M kann durch Beobachtung der Stromkurve eine Wiederholung bestimmter Muster erkannt werden. Diese korrelierten Muster enthalten mit hoher Wahrscheinlichkeit (M+r*n), so daß hier wiederum auf die Multiplikation und somit auf eine 1 im geheimen Schlüssel geschlossen werden kann.
Ein weiteres Problem tritt auf, wenn bei der Stromanalyse erkannt werden kann, ob bei einer Multiplikation gleiche (entspricht Quadrier-Operation mit Zwischenergebnis) oder unterschiedliche (entspricht Multiplizier-Operation von Zwischenergebnis mit Nachricht) Faktoren multipliziert werden, da auch damit Multiplikationen mit (M + r*n) identifiziert werden können.
Es ist Aufgabe der Erfindung, geheime Daten, die im Chip eines tragbaren Datenträger vorhanden sind, vor unberechtigtem Zugriff zu schützen, wobei der effiziente Einsatz der Daten nach wie vor gewährleistet sein soll.
Diese Aufgabe wird ausgehend vom Oberbegriff der Ansprüche 1 bzw. 5 durch die kennzeichnenden Merkmale des jeweiligen Anspruchs gelöst.
Die Erfindung geht aus von einem Datenträger mit einem Halbleiterchip der wenigstens einen Speicher aufweist, in dem ein Betriebsprogramm abgelegt ist, das mehrere Befehle beinhaltet, wobei jeder Befehl von außerhalb des Halbleiterchips detektierbare Signale hervorruft.
Gemäß der Erfindung wird der Datenträger so ausgelegt, daß Daten, welche für eine Berechnung mehrmals verwendet werden, mit unterschiedlichen Funktionen verfremdet werden.
Dabei kann es sich bei den Daten um eine Nachricht handeln, aber auch um Zwischenergebnisse, die bei der Ausführung einer Rechnung entstanden sind oder auch um Daten, die im Datenträger gespeichert sind.
Vorzugsweise bestehen die zu verfremdenden Daten in einer zu verschlüsselnden Nachricht.
Es kann auch vorgesehen sein, daß die Daten ein Zwischenergebnis sind und eine nachfolgende Quadrier-Operation als Multiplikation ausgeführt wird, wobei das Zwischenergebnis vorher mit unterschiedlichen Funktionen verfremdet wird, oder daß die Daten ein Zwischenergebnis sind und eine nachfolgende Verdoppelung des Zwischenergebnisses als Addition ausgeführt wird, wobei das Zwischenergebnis vorher mit unterschiedlichen Funktionen verfremdet wird. Damit können in vorteilhafter Weise auch Operationen mit dem Zwischenergebnis (Quadrierung, Addition, usw.) sicher gemacht werden.
Es ist insbesondere vorgesehen, die Funktionsverfremdung in einer Verschlüsselung mittels Modulo-Operationen vorzusehen, bei der bei einer "1" im Exponenten d die Nachricht M verwendet wird, und die Nachricht M bei jeder Verwendung mit einer anderen Funktion verändert wird.
Gemäß einer vorteilhaften Ausgestaltung der Erfindung wird die Nachricht verfremdet, indem zur Nachricht M bei jeder Verwendung i (i = l..k) ein Faktor rι*n (n ist der Modulus), wobei rα für jedes i einen anderen Wert besitzen kann, hinzuaddiert wird. Bei anderen Berechnungs verfahren können auch Potenzen der Nachricht M mehrmals auftreten, auf die dann bei jeder Verwendung rι*n addiert wird.
Eine weitere Erhöhung der Sicherheit ergibt sich, wenn der Modulus n mit einem konstanten Faktor k multipliziert wird und erst später eine weitere Modulo-Operation mit dem Modulus n durchgeführt wird, da dann die Zwischenergebnisse ebenfalls verfremdet sind.
Im folgenden wird die Erfindung an Hand eines Ausführungsbeispiels für die modulare Exponentiation beschrieben. Es wird ohne Beschränkung der Allgemeinheit davon ausgegangen, daß die modulare Exponentiation zur Bildung einer verschlüsselten Nachricht Y = Md mod n berechnet wird, indem bei einer "1" in d eine Quadrier-Operation mit dem Zwischenergebnis sowie eine Multiplikation mit der Nachricht M und bei einer "0" eine Quadrier-Operation mit dem Zwischenergebnis durchgeführt wird.
Gemäß der Erfindung wird zur Verschlüsselung zunächst eine Zufallszahl r gewählt und das Produkt r*n gebildet. Anschließend beginnt die Exponentiation mit einer Quadrier-Operation, bei der zum Zwischenergebnis Z das Produkt r*n hinzuaddiert wird, um anstelle von Z*Z mod n den Ausdruck (Z*(Z+r*n) mod k*n) zu berechnen, wobei k eine ganze Zahl ist. Für den Fall,
daß der Exponent, d.h. der geheime Schlüssel d, an der Stelle eine "1" enthält wird eine Multiplikationsoperation angeschlossen, für die zunächst zur Nachricht M (rι*n) hinzuaddiert wird, d.h. es wird M + r n gebildet und anstelle von Z*M mod n wird (Z*(M + n*n) mod k*n)) berechnet. Diese Schleife wird so oft durchlaufen, bis alle Stellen des geheimen Schlüssels abgearbeitet sind, wobei bei der jeweils nächsten Multiplikation i um 1 erhöht wird. Nach Beendigung einer Exponentiation wird das Ergebnis noch mod n reduziert.
Durch die Eigenschaft, daß durch die Addition eines ganzzahligen Vielfa- chen des Modulus zur Nachricht M das Ergebnis nicht verändert wird, kann eine derartige Erweiterung ohne weiteres eingeführt werden und man erhält den Vorteil, daß durch eine Analyse des Stromverhaltens des Chips die Nachricht M nicht mehr feststellbar ist, da aufeinanderfolgende Verarbeitungen der Nachricht nicht mehr korreliert sind und damit kein gleiches, sich wiederholendes Muster erkannt werden kann.
Darüberhinaus ist es bei einer Analyse dann kaum noch möglich eine Multi- plizier-Operation von einer Quadrier-Operation zu unterscheiden, da sich sowohl die Zwischenergebnisse Z als auch die verarbeitete Nachricht M + ri*n bei jeder Operation verändern und somit bei einer Multiplizier-
Operation wie auch bei einer Quadrier-Operation ein Produkt zwischen dem Zwischenergebnis und einem dazu unkorreliertem Faktor gebildet wird.
Eine weitere Erhöhung der Sicherheit läßt sich noch erreichen, indem sicher- heitskritische Rechenoperationen f (z), die eine Korrelation zwischen z und f(z) besitzen, in Rechenoperationen gl(z) und (g2 f(gl(z)) geteilt werden, so daß gl(z) und g2 f(gl(z)) zueinander unkorreliert sind. gl(z) und g2(z) sind dabei geeignete Verfremdungsfunktionen.
Claims
1. Datenträger mit einem Halbleiterchip der wenigstens einen Speicher aufweist, in dem ein Betriebsprogramm abgelegt ist, das mehrere Befehle beinhaltet, wobei jeder Befehl von außerhalb des Halbleiterchips detektier- bare Signale hervorruft, dadurch gekennzeichnet, daß der Datenträger ausgelegt ist, um Daten, welche für eine Berechnung mehrmals verwendet werden, mit unterschiedlichen Funktionen zu verfremden.
2. Datenträger nach Anspruch 1, dadurch gekennzeichnet, daß die zu verfremdenden Daten in der zu verschlüsselnden Nachricht bestehen.
3. Datenträger nach Anspruch 1, dadurch gekennzeichnet, daß die verwendeten Daten ein Zwischenergebnis sind und eine nachfolgende Qua- drier-Operation als Multiplikation ausgeführt wird, wobei das Zwischenergebnis vorher mit unterschiedlichen Funktionen verfremdet wird.
4. Datenträger nach Anspruch 1, dadurch gekennzeichnet, daß die verwendeten Daten ein Zwischenergebnis sind und eine nachfolgende Verdop- pelung des Zwischenergebnisses als Addition ausgeführt wird, wobei das Zwischenergebnis vorher mit unterschiedlichen Funktionen verfremdet wird
5. Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Berechnung in einer Verschlüsselung mittels Modulo- Operationen besteht, bei der bei einer "1" im Exponenten d die Nachricht M verwendet wird, und die Nachricht M bei jeder Verwendung mit einer anderen Funktion verändert wird.
6. Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß zur Nachricht M bei jeder Verwendung i (i = l..k) ein Faktor rι*n hinzuaddiert wird, wobei r eine Zufallszahl und n der Modulus ist.
7. Datenträger nach Anspruch 6, dadurch gekennzeichnet, daß τ, für alle i gleich ist.
8. Datenträger nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Berechnung in einer Modulo-Operation besteht, bei der die Potenzen der Nachricht verwendet werden, wobei diese Potenzen der Nachricht bei jeder Verwendung mit einer anderen Funktion verändert werden.
9. Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Modulus n mit einem konstanten Faktor k multipli- ziert wird und eine weitere Modulo-Operation mit dem Modulus n durchgeführt wird.
10. Verfahren zur Sicherung geheimer Daten in Datenträgern mit einem Halbleiterchip der wenigstens einen Speicher aufweist, in dem ein Betriebs- programm abgelegt ist, das mehrere Befehle beinhaltet, wobei jeder Befehl von außerhalb des Halbleiterchips detektierbare Signale hervorruft, dadurch gekennzeichnet, daß Daten, welche für eine Berechnung mehrmals verwendet werden mit unterschiedlichen Funktionen verfremdet werden
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß die zu verfremdenden Daten in einer zu verschlüsselnden Nachricht bestehen.
12. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß die verwendeten Daten ein Zwischenergebnis sind und eine nachfolgende Qau- drier-Operation als Multiplikation ausgeführt wird, wobei das Zwischenergebnis vorher mit unterschiedlichen Funktionen verfremdet wird.
13. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß die verwendeten Daten ein Zwischenergebnis sind und eine nachfolgende Verdoppelung des Zwischenergebnisses als Addition ausgeführt wird, wobei das Zwischenergebnis vorher mit unterschiedlichen Funktionen verfremdet wird
14. Verfahren nach einem der Ansprüche 10 bis 13, dadurch gekennzeichnet, daß die Berechnung in einer Verschlüsselung mittels Modulo-Operationen besteht, bei der bei einer "1" im Exponenten d die Nachricht M verwendet wird, und die Nachricht M bei jeder Verwendung mit einer anderen Funkti- on verändert wird.
15. Verfahren nach einem der Ansprüche 10 bis 14, dadurch gekennzeichnet, daß die Berechnung in einer Modulo-Operation besteht, bei der die Potenzen der Nachricht verwendet werden, wobei diese Potenzen der Nach- rieht bei jeder Verwendung mit einer anderen Funktion verändert werden.
16. Verfahren nach einem der Ansprüche 10 bis 15, dadurch gekennzeichnet, daß zur Nachricht M bei jeder Verwendung i (i = l..k) ein Faktor n*n hinzuaddiert wird, wobei n eine Zufallszahl und n der Modulus ist.
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß n für alle i gleich ist.
18. Verfahren nach einem der Ansprüche 10 bis 17, dadurch gekennzeichnet, daß der Modulus n mit einem konstanten Faktor k multipliziert wird und eine weitere Modulo-Operation mit dem Modulus n durchgeführt wird.
19. Verfahren nach einem der Ansprüche 10 bis 18, dadurch gekennzeichnet, daß sicherheitskritische Rechenoperationen f(z), die eine Korrelation zwischen z und f(z) besitzen in Rechenoperationen gl(z) und (g2 f(gl(z)) aufgeteilt werden, so daß gl(z) und (g2 f(gl(z)) zueinander unkorreliert sind.
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AT00990805T ATE545921T1 (de) | 1999-12-28 | 2000-12-20 | Tragbarer datenträger mit schutz vor seitenkanalattacken |
| AU30151/01A AU3015101A (en) | 1999-12-28 | 2000-12-20 | Portable data carrier provided with access protection by rendering messages unfamiliar |
| ES00990805T ES2382615T3 (es) | 1999-12-28 | 2000-12-20 | Soporte de datos portátil con protección de acceso mediante enmascaramiento de mensajes |
| JP2001548354A JP2003525538A (ja) | 1999-12-28 | 2000-12-20 | メッセージをスクランブルすることによってアクセスを防止する携帯可能なデータ記憶媒体 |
| HK03104061.3A HK1051928B (en) | 1999-12-28 | 2000-12-20 | Method for protection of secret data in data storage media |
| EP00990805A EP1272984B1 (de) | 1999-12-28 | 2000-12-20 | Tragbarer datenträger mit schutz vor seitenkanalattacken |
| US10/168,549 US7441125B2 (en) | 1999-12-28 | 2000-12-20 | Portable data carrier provide with access protection by rendering messages unfamiliar |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19963407.6 | 1999-12-28 | ||
| DE19963407A DE19963407A1 (de) | 1999-12-28 | 1999-12-28 | Tragbarer Datenträger mit Zugriffsschutz durch Nachrichtenverfremdung |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2001048706A1 true WO2001048706A1 (de) | 2001-07-05 |
Family
ID=7934773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2000/013029 Ceased WO2001048706A1 (de) | 1999-12-28 | 2000-12-20 | Tragbarer datenträger mit zugriffsschutz durch nachrichtenverfremdung |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US7441125B2 (de) |
| EP (1) | EP1272984B1 (de) |
| JP (1) | JP2003525538A (de) |
| KR (1) | KR100867077B1 (de) |
| CN (1) | CN1180568C (de) |
| AT (1) | ATE545921T1 (de) |
| AU (1) | AU3015101A (de) |
| DE (1) | DE19963407A1 (de) |
| ES (1) | ES2382615T3 (de) |
| RU (1) | RU2280285C2 (de) |
| WO (1) | WO2001048706A1 (de) |
| ZA (1) | ZA200204746B (de) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2829335A1 (fr) * | 2001-09-06 | 2003-03-07 | St Microelectronics Sa | Procede de brouillage d'un calcul a quantite secrete |
| WO2007000702A2 (en) | 2005-06-29 | 2007-01-04 | Koninklijke Philips Electronics N.V. | Arrangement for and method of protecting a data processing device against a cryptographic attack or analysis |
| FR2897963A1 (fr) * | 2006-02-28 | 2007-08-31 | Atmel Corp | Procede pour les conjectures de quotient rapide et une manip ulation de congruences |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2810138B1 (fr) * | 2000-06-08 | 2005-02-11 | Bull Cp8 | Procede de stockage securise d'une donnee sensible dans une memoire d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede |
| FR2848753B1 (fr) * | 2002-12-11 | 2005-02-18 | Gemplus Card Int | Procede de division entiere ou de reduction modulaire securise contre les attaques a canaux caches |
| FR2856537B1 (fr) * | 2003-06-18 | 2005-11-04 | Gemplus Card Int | Procede de contre-mesure par masquage de l'accumulateur dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique |
| FR2862454A1 (fr) * | 2003-11-18 | 2005-05-20 | Atmel Corp | Methode de reduction modulaire aleatoire et equipement associe |
| FR2885711B1 (fr) * | 2005-05-12 | 2007-07-06 | Atmel Corp | Procede et materiel modulaire et aleatoire pour la reduction polynomiale |
| WO2006124160A2 (en) * | 2005-05-12 | 2006-11-23 | Atmel Corporation | Randomized modular polynomial reduction method and hardware therefor |
| EP1899803A2 (de) * | 2005-06-29 | 2008-03-19 | Koninklijke Philips Electronics N.V. | Anordnung für und verfahren zum schutz einer datenschutzvorrichtung gegen einen angriff oder eine analyse |
| FR2917197B1 (fr) * | 2007-06-07 | 2009-11-06 | Thales Sa | Procede de masquage du resultat d'une operation de multiplication modulaire et dispositif associe. |
| KR101101870B1 (ko) * | 2009-04-14 | 2012-01-05 | 우성태 | 전동 브라인드의 회송장치 |
| DE102010064578B3 (de) * | 2010-08-12 | 2015-12-10 | Infineon Technologies Ag | Kryptographie-Prozessor, Chipkarte und Verfahren zur Berechnung eines Ergebnisses einer Exponentiation |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0682327A2 (de) * | 1994-05-09 | 1995-11-15 | Yeda Research And Development Company, Ltd. | Verfahren und Vorrichtung für speicherfähige Varianten von Verschlüssungs- und Identifikationsschemas mit öffentlichen Schlüsseln, zur Anwendung in Chipkarten |
| US5991415A (en) * | 1997-05-12 | 1999-11-23 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for protecting public key schemes from timing and fault attacks |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4759063A (en) * | 1983-08-22 | 1988-07-19 | Chaum David L | Blind signature systems |
| JP3053106B2 (ja) * | 1990-11-02 | 2000-06-19 | 株式会社日立製作所 | 暗号化処理装置、及び復号化処理装置 |
| DE4239430A1 (de) * | 1992-11-24 | 1994-05-26 | Merck Patent Gmbh | Mittel und Verfahren zur immunoloigschen Bestimmung von Amiodaron und dessen Metaboliten |
| KR100216363B1 (ko) * | 1993-10-13 | 1999-08-16 | 윤종용 | 신용조회 서비스 시스템 및 방법 |
| DE19723862C2 (de) * | 1997-06-06 | 2000-07-13 | Ibm | Mobiler Datenträger für Sicherheitsmodule |
| US6064740A (en) * | 1997-11-12 | 2000-05-16 | Curiger; Andreas | Method and apparatus for masking modulo exponentiation calculations in an integrated circuit |
| DE69840959D1 (de) * | 1997-12-17 | 2009-08-20 | Nippon Telegraph & Telephone | Verschlüsselungs- und Entschlüsselungsvorrichtungen für Kryptosysteme mit öffentlichem Schlüssel und Aufzeichnungsmedium mit darauf gespeicherten zugehörigen Verarbeitungsprogrammen. |
| ATE325478T1 (de) * | 1998-01-02 | 2006-06-15 | Cryptography Res Inc | Leckresistentes kryptographisches verfahren und vorrichtung |
| ES2660057T3 (es) * | 1998-05-18 | 2018-03-20 | Giesecke + Devrient Mobile Security Gmbh | Soporte de almacenamiento de datos de acceso protegido |
| DE19822217B4 (de) * | 1998-05-18 | 2018-01-25 | Giesecke+Devrient Mobile Security Gmbh | Zugriffsgeschützter Datenträger |
| AU6381699A (en) * | 1998-06-03 | 2000-01-10 | Cryptography Research, Inc. | Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems |
| EP2280502B1 (de) * | 1998-06-03 | 2018-05-02 | Cryptography Research, Inc. | Verwenden von unvorhersehbaren Informationen zu widerstehen die Entdeckung von Geheimnissen durch externe Überwachung |
| JP4317607B2 (ja) * | 1998-12-14 | 2009-08-19 | 株式会社日立製作所 | 情報処理装置、耐タンパ処理装置 |
| US6870929B1 (en) * | 1999-12-22 | 2005-03-22 | Juniper Networks, Inc. | High throughput system for encryption and other data operations |
| DE19963408A1 (de) * | 1999-12-28 | 2001-08-30 | Giesecke & Devrient Gmbh | Tragbarer Datenträger mit Zugriffsschutz durch Schlüsselteilung |
| JP2001308843A (ja) * | 2000-04-19 | 2001-11-02 | Nec Commun Syst Ltd | 暗号復号化装置 |
| WO2002005061A2 (en) * | 2000-07-06 | 2002-01-17 | David Paul Felsher | Information record infrastructure, system and method |
-
1999
- 1999-12-28 DE DE19963407A patent/DE19963407A1/de not_active Withdrawn
-
2000
- 2000-12-20 JP JP2001548354A patent/JP2003525538A/ja active Pending
- 2000-12-20 US US10/168,549 patent/US7441125B2/en not_active Expired - Lifetime
- 2000-12-20 EP EP00990805A patent/EP1272984B1/de not_active Expired - Lifetime
- 2000-12-20 CN CNB008178259A patent/CN1180568C/zh not_active Expired - Lifetime
- 2000-12-20 ES ES00990805T patent/ES2382615T3/es not_active Expired - Lifetime
- 2000-12-20 KR KR1020027008263A patent/KR100867077B1/ko not_active Expired - Lifetime
- 2000-12-20 AT AT00990805T patent/ATE545921T1/de active
- 2000-12-20 RU RU2002120470/09A patent/RU2280285C2/ru active
- 2000-12-20 AU AU30151/01A patent/AU3015101A/en not_active Abandoned
- 2000-12-20 WO PCT/EP2000/013029 patent/WO2001048706A1/de not_active Ceased
-
2002
- 2002-06-13 ZA ZA200204746A patent/ZA200204746B/en unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0682327A2 (de) * | 1994-05-09 | 1995-11-15 | Yeda Research And Development Company, Ltd. | Verfahren und Vorrichtung für speicherfähige Varianten von Verschlüssungs- und Identifikationsschemas mit öffentlichen Schlüsseln, zur Anwendung in Chipkarten |
| US5991415A (en) * | 1997-05-12 | 1999-11-23 | Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science | Method and apparatus for protecting public key schemes from timing and fault attacks |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2829335A1 (fr) * | 2001-09-06 | 2003-03-07 | St Microelectronics Sa | Procede de brouillage d'un calcul a quantite secrete |
| EP1291763A1 (de) * | 2001-09-06 | 2003-03-12 | STMicroelectronics S.A. | Verfahren zum Verwürflen einer Berechnung mit einer Geheimzahl |
| WO2007000702A2 (en) | 2005-06-29 | 2007-01-04 | Koninklijke Philips Electronics N.V. | Arrangement for and method of protecting a data processing device against a cryptographic attack or analysis |
| WO2007000702A3 (en) * | 2005-06-29 | 2007-03-29 | Koninkl Philips Electronics Nv | Arrangement for and method of protecting a data processing device against a cryptographic attack or analysis |
| US8738927B2 (en) | 2005-06-29 | 2014-05-27 | Irdeto B.V. | Arrangement for and method of protecting a data processing device against an attack or analysis |
| FR2897963A1 (fr) * | 2006-02-28 | 2007-08-31 | Atmel Corp | Procede pour les conjectures de quotient rapide et une manip ulation de congruences |
| US7788311B2 (en) | 2006-02-28 | 2010-08-31 | Atmel Rousset S.A.S. | Method for fast quotient guess and congruencies manipulation |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2280285C2 (ru) | 2006-07-20 |
| US7441125B2 (en) | 2008-10-21 |
| KR100867077B1 (ko) | 2008-11-04 |
| HK1051928A1 (en) | 2003-08-22 |
| KR20020075877A (ko) | 2002-10-07 |
| ZA200204746B (en) | 2003-12-13 |
| ES2382615T3 (es) | 2012-06-11 |
| JP2003525538A (ja) | 2003-08-26 |
| EP1272984A1 (de) | 2003-01-08 |
| CN1180568C (zh) | 2004-12-15 |
| CN1415106A (zh) | 2003-04-30 |
| US20030079139A1 (en) | 2003-04-24 |
| AU3015101A (en) | 2001-07-09 |
| ATE545921T1 (de) | 2012-03-15 |
| EP1272984B1 (de) | 2012-02-15 |
| RU2002120470A (ru) | 2004-02-20 |
| DE19963407A1 (de) | 2001-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1262037B1 (de) | Tragbarer datenträger mit zugriffsschutz durch schlüsselteilung | |
| DE69938045T2 (de) | Verwendung von unvorhersagbarer Information zur Leckminimierung von Chipkarten und anderen Kryptosystemen | |
| EP3593483B1 (de) | Übergang von einer booleschen maskierung zu einer arithmetischen maskierung | |
| DE60217260T2 (de) | Datenverarbeitungs- und Verschlüsselungseinheit | |
| DE102009024179B4 (de) | Schaltung mit einer Mehrzahl von Funktionsweisen | |
| WO2001048706A1 (de) | Tragbarer datenträger mit zugriffsschutz durch nachrichtenverfremdung | |
| EP0981115B1 (de) | Verfahren zur Ausführung eines Verschlüsselungsprogramms zur Verschlüsselung von Daten in einem mikroprozessorgestützten, tragbaren Datenträger | |
| DE102008051447B4 (de) | Verfahren und Vorrichtung zum Schützen einer RSA-Berechnung an einer Ausgabe mit Hilfe des chinesischen Restsatzes | |
| EP1080454B2 (de) | Zugriffsgeschützter datenträger | |
| EP1891512B1 (de) | Bestimmung einer modularen inversen | |
| EP1080400B1 (de) | Verfahren und vorrichtung zum verarbeiten von daten | |
| DE102015209120A1 (de) | Recheneinrichtung und Betriebsverfahren hierfür | |
| EP1110185B1 (de) | Zugriffsgeschützter datenträger | |
| DE19960047B4 (de) | Verfahren und Einheit zur sicheren Informationsbehandlung in einem kryptographischen Informationsverarbeitungssystem | |
| EP1596527B1 (de) | Übergang von einer booleschen Maskierung zu einer arithmetischen Maskierung | |
| EP3504616B1 (de) | Modul und verfahren zur abgesicherten berechnung von mathematischen operationen | |
| DE19822218B4 (de) | Zugriffsgeschützter Datenträger | |
| DE10326057B4 (de) | Gegen Seitenkanalangriffe geschütztes Verfahren zum Testen einer natürlichen Zahl auf Primalität | |
| DE10222212A1 (de) | Ausspähungsgeschützte modulare Inversion | |
| DE19822220B4 (de) | Zugriffsgeschützter Datenträger | |
| DE102023106166B3 (de) | Sicherheits-controller und verfahren zur durchführung einer auswahlfunktion | |
| EP0944202A2 (de) | Verfahren und Anordnung zur Abwehr kryptoanalytischer Untersuchungen | |
| WO2000019367A1 (de) | Datenverarbeitungseinrichtung und verfahren zu dessen betrieb zum verhindern einer differentiellen stromverbrauchanalyse | |
| EP1760929B1 (de) | Geschütztes kryptographisches Verfahren | |
| EP1750217B1 (de) | Absicherung von Speichereinhalten eines Datenträgers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CR CU CZ DK DM DZ EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG |
|
| DFPE | Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101) | ||
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| WWE | Wipo information: entry into national phase |
Ref document number: 2002/04746 Country of ref document: ZA Ref document number: 200204746 Country of ref document: ZA |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 1020027008263 Country of ref document: KR |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 008178259 Country of ref document: CN |
|
| ENP | Entry into the national phase |
Ref country code: JP Ref document number: 2001 548354 Kind code of ref document: A Format of ref document f/p: F |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2000990805 Country of ref document: EP |
|
| ENP | Entry into the national phase |
Ref country code: RU Ref document number: 2002 2002120470 Kind code of ref document: A Format of ref document f/p: F |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 10168549 Country of ref document: US |
|
| WWP | Wipo information: published in national office |
Ref document number: 1020027008263 Country of ref document: KR |
|
| WWP | Wipo information: published in national office |
Ref document number: 2000990805 Country of ref document: EP |