Tittel: Metode og enhet for randomisering av en hemmelig nøkkel for beskyttelse mot angrep fra supplerende kanaler

Transkript

1 V2199NO00 EP B1 Tittel: Metode og enhet for randomisering av en hemmelig nøkkel for beskyttelse mot angrep fra supplerende kanaler

2 Beskrivelse [0001] Oppfinnelsen omfatter en metode og en enhet som gjør det mulig å sikre manipuleringen av hemmelige nøkler som brukes særlig i kryptografiutstyr. [0002] Med kryptografi menes de samlede metodene som søker etter å forsikre konfidensialitet, autentisering, integritet og på en mer generell måte de samlede metodene som omhandler informasjonssikkerhet. [0003] Uttrykket «en maske for gitt x» brukes i det følgende for å betegne en sekvens (x 1, x 2,, x n ) av tilfeldige komponenter med unntak av en, kontroll x = x 1 O x 2 O... for en bestemt operasjon av gruppen O. Utrykken «randomisering av en maske» brukes i det følgende for å betegne fremstillingen, gitt en maske M av en oppgitt x, av en ny maske M av den samme oppgitte x med nye tilfeldige komponenter. [0004] Dette gjelder, for eksempel, i elektriske kretser og spesielt for maskering av informasjon som brukes i feltet for kryptografisk prosessering, spesielt for prosessering av en hemmelig nøkkel som intervenerer i en kryptografisk enhet. [000] I det som følger av beskrivelsen betegner ordet gruppe, i henhold til det vanlige matematiske begrepet, en samling som ikke er tom og som forutsetter en intern sammensetningslov. Metoden og enheten i henhold til oppfinnelsen kan brukes for enhver informasjon som kan presenteres i form av en rekke med elementer som tilhører en gruppe G. [0006] Den materielle implementeringen av en algoritme innenfor en kryptografisk enhet som manipulerer hemmelige elementer er i utgangspunktet sårbar ovenfor fysiske angrep som også kalles angrep via supplerende kanaler. Disse angrepene baseres på kapasiteten til en motstander til fysisk å samhandle med enheten som angripes. Denne samhandlingen kan like gjerne være aktiv som passiv. Aktive angrep søker etter å forstyrre den normale funksjonen til enheten for å oppnå informasjon ved å analysere den uberegnelige oppførselen som induseres. Passive angrep, også kalt angrep ved observasjon, består av å observere effektene som induseres av enheten på miljøet som ligger i dens funksjon. Det kan nevnes variasjoner i strømforbruk, elektromagnetiske utslipp, angrep via prober, osv. [0007] Formålet med oppfinnelsen sikter særlig på angrep ved observasjon. I denne sammenhengen definerer teknikkens stand oppfattelsen av orden. Dermed sies et angrep ved observasjon å være i orden d hvis motstanderen må utnytte d målinger oppnådd ved d separate øyeblikk av utførelsen av den kryptografiske algoritmen på den angrepne enheten for å oppnå informasjon om de hemmelige elementene som den inneholder. Man sier også at et angrep ved observasjon er i orden d i tilfellet av et angrep ved probe hvis, for å oppnå informasjon om de hemmelige elementene, motstanderen må utnytte d prober samtidig som er plassert på kablene til den angrepne enheten for å lese av verdier som den forflytter. På gjensidig måte sies en implemen-

3 tering å være resistent mot ordre d hvis og bare hvis ingen angrep av ordre som på det meste tilsvarer d ikke gjør det mulig å få informasjon om hemmeligheten som den inneholder. For å gjøre dette konstrueres implantasjonen slik at enhver d-tuppel av disse mellomvariablene som dannes under implementeringen av kryptografimodulen er uavhengig av hemmeligheten. [0008] Det er vanlig å bruke en tilfeldig mengde for å maskere en operasjon som manipulerer en nøkkel. For eksempel, en tekst som skal krypteres kombineres med en tilfeldig mengde før den manipuleres av enheten for å gi en kryptert tekst. Dette gjør det mulig å maskere korrelasjonen mellom informasjonen som er manipulert av den kryptografiske enheten og den hemmelige nøkkelen. [0009] Patentsøknaden EP beskriver en metode som gjør det mulig å maskere data manipulert med en elektronisk krets i et regnestykke. Denne metoden brukes likevel på dataen som skal krypteres og omhandler ikke den hemmelige nøkkelen i seg selv. [00] Den foreliggende oppfinnelsen omhandler særlig dannelsen av en maske av den hemmelige nøkkelen på en sikker måte mot angrep via supplerende kanaler av høyere orden. Definisjoner brukt i eksempelet i den foreliggende oppfinnelsen [0011] I det følgende betegner p en oppføring med en kryptografisk funksjon, p i komponentene av masken til p, og F k (p) utgangen av den kryptografiske funksjonen som avhenger særlig av oppføringen p og den hemmelige nøkkelen k. Mr = opprinnelig referansemaske lagret i ikke-flyktig overskrivbart minne med en lengde på D+1 komponenter Mr = ny maske med lengde på D+1 komponenter som vil knuse masken Mr i det ikke-flyktige overskrivbare minnet Mr" = ny maske med lengde på D+1 komponenter som vil bli derivert til en arbeidsmaske med redusert lengde på d+1 komponenter Mt = arbeidsmaske med d+1 komponenter som brukes i en kryptografisk prosess D = verdi på antall komponenter av referansemasken som kontrollerer D>=d. [0012] λ = verdi på antall iterasjoner utført av metoden i henhold til oppfinnelsen som er i funksjon av den ønskede resistansen mot angrep av anvendelsen. [0013] Betegnelsen av gruppe G er den som er assosiert med den matematiske betegnelsen som tidligere er introdusert. [0014] Oppfinnelsen omfatter en randomiseringsmetode av komponenter s (0) 1,, s (0) D+1 som tilhører en gruppe G med en referansemaske av en nøkkel k som er ment til kryptografiske algoritmer i en kryptografisk modul, hvor D og λ er

4 3 1 sikkerhetsparametere, hvor de nevnte verdiene av sikkerhetsparameterne velges i stigende funksjon av sikkerhetsnivået som etterspørres av brukeren, med D antallet komponenter av referansemasken og λ et antall iterasjoner, karakterisert ved at den inneholder minst bruken av en tilfeldighetsgenerator for å generere, ved hver nye implementering av nevnte prosess, komponentene av referansemasken til nevnte nøkkel som hører til G D+1, og komponentene av en arbeidsmaske til nevnte nøkkel som hører til G D+1, hvor nevnte maske oppdateres ved hver nye utførelse av den kryptografiske algoritmen, hvor nevnte prosess inneholder minst de følgende etappene: 1 fra komponentene av en referansemaske til nøkkelen k, s 1 (0),, s D+1 (0) G en gruppe med en intern operasjon O med k = s 1 (0) O O s D+1 (0), Utføres en løkke gjennom i = 0 til λ-1 som inneholder etappene 2 og 3 som følger: 2 danne en ny referanse- eller arbeidsmaske til nevnte nøkkel k ved å bruke nevnte tilfeldighetsgenerator som produserer de føreste D komponentene av iterasjonsmasken i (i+1) 3 deretter bestemmes den siste komponenten s D+1 av arbeids- eller referansemasken til iterasjonen i+1 ved å veksle mellom en komponent s (i) 1,, s D+1 (i) av iterasjonsmasken i med en komponent s (i+1) 1,, s (i+1) D av iterasjonsmasken i+1 som ble laget i etappe 2, ved å respektere ordenen til komponentene, 4 utføre λ iterasjoner av etappene 2 til 3 for å oppnå en maske av komponenter (s (λ) 1,, s (λ) D+1 ), bruke den nevnte masken enten for å oppdatere referansemasken, eller for å utføre en kryptografisk prosess. [001] Metoden kan inneholde en reduksjonsetappe av antall elementer oppnådd fra etappe 4 for å redusere masken (s (λ) 1,, s (λ) D+1 ) fra D+1 komponenter til d+1 komponenter (k 1,, k d+1 ) hvor hver av komponentene k i oppnås ved å kombinere en eller flere av komponentene s i (λ). [0016] Kombinasjonen av en eller flere komponenter s i (λ) utføres, for eksempel, ved å implementere operasjon O som er assosiert med gruppe G. [0017] I henhold til en variant av implementeringen er D fastsatt til D = 2d, parameteren λ er fastsatt λ = d+1 for å oppnå en oppdatert referansemaske, og λ = d-1 for å oppnå en arbeidsmaske før reduksjonen for anvendelse i en kryptografisk prosess.

5 4 [0018] I henhold til en utførelsesform utføres reduksjonsetappen av komponenter av en maske på følgende måte: med en maske s 1 (λ),, s D+1 (λ) til nøkkelen k, blir arbeidsmasken k 1,, k d med: med: П en hvilken som helst permutasjon av helheten {1, 2,, d+1}, for eksempel er П identiteten med П(1) = 1, П(2) = 2,, П(d+1) = d+1 П en hvilken som helst permutasjon av helheten {1, 2,, D+1}, for eksempel er П identiteten med П(1) = 1, П(2) = 2,, П(D+1) = D+1. [0019] Oppfinnelsen omfatter også en enhet for å generere en arbeidsmaske til en hemmelig nøkkel karakterisert ved at den inneholder minst de følgende elementene: en prosesseringsenhet adaptert for å utføre etappene til metoden som beskrevet i det foregående, et ikke-flyktig overskrivbart minne ment til å lagre referansemasken til nøkkelen, innganger/utganger for overføring av inngangs- og utgangsdata fra en kryptografisk prosess, en kommunikasjonsbuss, en tilfeldighetsgenerator. [00] Enheten kan inneholde et flyktig minne som gjør det mulig å lagre komponentene av en maske under implementeringen av metoden. [0021] Andre karakteristikker og fordeler med enheten i henhold til oppfinnelsen kommer bedre til syne i beskrivelsen som følges av et fremstillingseksempel som gis for å illustrere og er ikke begrensende, som annekteres med figurer som representerer: Figur 1, et implementeringseksempel av metoden i henhold til oppfinnelsen i en kryptografisk enhet, Figur 2, et blokkskjema av operasjoner som implementeres i metoden i henhold til oppfinnelsen, og Figur 3A, et forenklet organisasjonskart over operasjonene, figur 3B er en variant av figur 3A.

6 1 2 3 [0022] Før beskrivelsen av etappene som utføres av metoden i henhold til oppfinnelsen, gis noen påminnelser om de kryptografiske funksjonene som brukes i krypteringsenhetene. Om F k : p c = F k (p) en kryptografisk funksjon indeksert med en hemmelig k som tilhører gruppen G. Med gitt matematisk definisjon av F k eksisterer metoder for å konstruere på en systematisk måte en kryptografimodul A som er resistent mot ordre d, som tar p som inndata og en (d+1)-tuppel (k 1,,k d+1 ) for å regne ut C = F k (P), hvor k = k 1 O Ok d+1 konsekvente med operasjonene utført i F k for eksempel er O operasjonen til OU eksklusivt i tilfellet til de fleste krypteringsalgoritmer ved blokk, som den kjente kryptografialgoritmen DES for Data Encryption Standard eller den symmetriske krypteringsalgoritmen AES eller Advanced Encryption Standard, eller O er operasjonen av moduladdisjon av antall punkt av en elliptisk kurve i tilfellet av asymmetriske krypteringsalgoritmer på elliptiske kurver, osv [0023] I det foreliggende eksempelet interesserer man seg for algoritmen som produserer (d+1)-tuppelet (k 1,, k d+1 ) som kalles arbeidsmasken til k før hver nye utførelse av den forannevnte kryptografimetoden A. Hoved limitasjonen i den kjente teknikken er ikke å fremskaffe noen løsning for at den globale algoritmen som inneholder både kryptografimetoden A og algoritmen for genereringen av arbeidsmasken kan anses som sikker ved orden d. I teknikkens stand er problemet ganske enkelt ignorert ved å vurdere at motstanderen ikke kan observere mellomvariablene som kommer til syne i algoritmen for generering av arbeidsmasken. Figur 1 viser skjematisk et eksempel på arkitekturen til en elektronisk krets 1 som gjør det mulig å implementere metoden i henhold til oppfinnelsen. Denne kretsen inneholder en prosessor 2 (CPU) som er i stand til å utføre programmer som finnes i et eller flere minner. I dette eksempelet har kretsen 1 et ikke-flyktig overskrivbart minne 3 hvor referansemasken til nøkkelen k vil lagres. En eller flere databusser 4, med adresser og kommandoer som fungerer som kommunikasjonsstøtte mellom de forskjellige bestanddelene i krets 1 med et inngang/utgangsgrensesnitt, I/O, for kommunikasjon med utsiden. Dette grensesnittet fungerer til introduksjon av inngangsdata p og til utgangsdata F k (p). Et annet minne 6 kan brukes til å lagre mellomverdier fra prosesseringene utført av CPU 2, dette minnet er valgfritt, etappene til metoden kan implementeres ved å bruke det ikke-flyktige overskrivbare minnet 3. Figur 2 representerer et blokkskjema av de forskjellige implementerte etappene for utregningen til F k (p).

7 [0024] Inndata til kryptografifunksjonen p introduseres i krypteringsenheten 1 og lagres i arbeidsminnet 6, for eksempel, for å behandles på en slik måte å danne 21 en maske til p ved å implementere en metode som er kjent for en fagperson, hvor dannelsen av masken kan utføres i arbeidsminnet 6. Etter denne prosesseringen fremvises inndata p i form av en d-tuppel av komponenter p i 22 kalt masken til p, assosiert med inngangsdata fra kryptografialgoritmen. I stedet for minnet 6 er det mulig å bruke det ikke-flyktige og overskrivbare minnet. [002] Referansemasken til nøkkelen k finnes i det ikke-flyktige overskrivbare minnet 3. [0026] Fremstillingen av masken gis i referansene til figur 2, 3A, 3B, prosessoren (2 figur 1) utfører et program som tar som inngang en gjeldende referansemaske med D+1 komponenter (r 1,, r D+1 ) (23 figur 2, figur 3A) til nøkkelen k, masken Mr er lagret i et ikke-flyktig minne ved anvendelse av algoritme SecUpdate, 31, å produserer både den neste referansemasken Mr med D+1 komponenter (r 1,, r D+1 ) 32 og ved etappe 31 en maske Mr" med D+1 komponenter (r" 1,, r" D+1 ), 33, hvor man deriverer ved reduksjon 34, som beskrevet i det følgende, en arbeidsmaske Mt med d+1 komponenter (k 1,, k d+1 ) 3 for den gjeldende utførelsen, med D som et sikkerhetsparameter slik at D>=d. Ideen til den foreliggende oppfinnelsen består særlig av å bruke en generator av tilfeldige nummere eller GDA for å generere tilfeldige verdier, å kombinere komponentene som danner den gjeldende referansemasken (masken som gis ved inngangen) til nøkkelen k med tilfeldige verdier som genereres for å fremstille nye masker til den samme nøkkelen. En av maskene til nøkkelen som dannes ved metoden i henhold til oppfinnelsen fungerer som neste referansemaske, den andre masken til nøkkelen, 24 (figur 2), brukes i en modul 2 (figur 2) som implementerer en kryptografimetode A for å regne ut utgangen til den kryptografiske funksjonen F k (p). Verdiene til sikkerhetsparameterne D og λ velges, for eksempel, fritt av brukeren av metoden i stigende funksjon av sikkerhetsnivået som etterspørres av brukeren. [0027] I tilfellet av en krypteringsalgoritme tilsvarer inngangen til den kryptografiske funksjonen en tydelig melding og utgangen til den kryptografiske funksjonen en kryptert melding. [0028] Eksempelet som følger gis for å illustrere metoden i tilfellet av en generisk gruppe G hvor den interne sammensetningsloven noteres O. [0029] Metoden i henhold til oppfinnelsen består særlig av å opprettholde den hemmelige kg i et ikke-flyktig overskrivbart minne i form av en maske MR med D+1 komponenter (r 1,, r D+1 ) G D+1 som oppdateres ved hver nye utførelse av kryptografialgoritmen A i form av en ny referansemaske Mr med D+1 komponenter (r 1,, r D+1 ), hvor man tar ut en maske Mr" med D+1 komponenter (r" 1,, r" D+1 )

8 7 G D+1 før reduksjonen til et antall på d+1 komponenter i form av en arbeidsmaske Mt med d+1 komponenter (k i,, k d+1 ) G D+1, ved å forsikre om at alle d-tuppler med mellomvariabler som kommer til syne under utførelsen av metoden ikke har noen informasjon om den hemmelige nøkkelen k = r 1 O..O r D+1 = r 1 O.O r D+1 = r" 1 O. O r" D+1 = k 1 O O k d+1. [00] Metoden i henhold til oppfinnelsen tar som inngang sekvensen med komponenter av referansemasken Mr (r 1,, r D+1 ) til den hemmelige nøkkelen k og returnerer sekvensen Mr (r 1,, r D+1 ) til den oppdaterte referansemasken og sekvensen (k 1,, k d+1 ) til arbeidsmasken Mt, hvor komponentene av maskene verifiserer det følgende forholdet: 1 2 [0031] Metoden ifølge oppfinnelsen baserer seg særlig på implementeringen av en algoritme betegnet som SecUpdate. [0032] Metoden utfører minst to kall til SecUpdate-algoritmen for å oppnå: komponentene r i ved et av kallene, og de forannevnte komponentene k i ved et annet kall. [0033] For dette tar SecUpdate-algoritmen som inndata sikkerhetsparameteren λ 1 heltall, en sekvens (s 1 (0),, s D+1 (0) ) som tilsvarer en referansemaske til hemmeligheten k, og utregner suksessivt λ sekvensene (s 1 (1),, s D+1 (1) ),, (s 1 (λ),, s D+1 (λ) ), som alle er representative for den samme verdien k, dvs som verifiserer: 3 [0034] I dette eksempelet tar variablene (s (0) 1,, s (0) D+1 ) verdien til komponentene (r 1,, r D+1 ) av den opprinnelige referansemasken til den hemmelige nøkkelen, variablene (s (λ) 1,, s (λ) D+1 ) tilsvarer verdien til komponentene (r 1,, r D+1 ) ved et av kallene til SecUpdate og verdien til komponentene (r" 1,, r" D+1 ) ved et annet kall til SecUpdate. [003] Uten å gå ut av rammen til oppfinnelsen, kan man for å generere komponentene (r" 1,, r" D+1 ) (33 figur 3A eller 39 figur 3B) også bruke komponentene (r 1,, r D+1 ) (32 figur 3A eller 38 figur 3B) som referansemaske i henhold til utførelsesformen oppgitt i figur 3B, hvor referansemasken til utførelse i-1 alltid er maske (r 1,, r D+1 ) ( figur 3A eller 36 figur 3B), den sammenflettede randomiseringsetappen 37 fremstiller en nøkkelreferansemaske (r 1,, r D+1 ) 38 som

9 8 lagres i det ikke-flyktige overskrivbare minnet, randomiseringsetappe 37 fremstiller en arbeidsmaske 39 for den gjeldende utførelsen før reduseringen, reduksjonsetappen 40 utfører komponentene 41 av arbeidsmasken som brukes av modul 2 (figur 2) for utførelsen av kryptografimetoden A. [0036] SecUpdate-algoritmen som har som formål å oppnå komponentene av masken Mr og Mr" til den hemmelige nøkkelen som er gitt en maske Mr gjelder, ved å ta de ønskede sikkerhetsparameterne D og λ i betrakning, og komponentene av referansemasken nøkkelen k: D: en sikkerhetsparameter med d D, D kan ta verdien 2d λ = en parameter 1 λ, λ kan ta verdiene d-1, d+1, 1 s 1 (0),..., s D+1 (0) GF(2) m med k= s 1 (0) O.. O s D+1 (0) en referansemaske til hemmeligheten s 1 (λ),..., s D+1 (λ) GF(2) m med k= s 1 (λ) O.. O s D+1 (λ) en ny referansemaske Mr eller Mr" til hemmeligheten. 2 3 [0037] Metoden utfører en løkke gjennom i = 1 til λ antall ønskede iterasjoner, som består av å generere de D første komponentene av masken til den hemmelige nøkkelen (s (i) 1,..., s (i) D ) ved å bruke tilfeldighetsgeneratoren, deretter fastsettes verdien av den D+1ste komponenten av masken til den hemmelige nøkkelen ved å kombinere komponentene (s (i+1) 1,..., s (i+1) D ) av masken til nøkkelen av iterasjon i-1 med komponentene (s (i) 1,..., s (i) D ) av masken til nøkkelen til den hemmelige nøkkelen til iterasjon i som dannes ved å anvende tilfeldighetsgeneratoren GDA, samtidig som ordenen respekteres hvor man setter inn en komponent av masken Mr til iterasjon i, en komponent av masken til iterasjon i-1, en komponent av masken til iterasjon i, en komponent av masken til iterasjon i-1, osv. Denne løkken utføres minst to ganger for å fremstille, som tidligere nevnt, komponentene av den oppdaterte referansemasken Mr, samt komponentene av masken Mr" som etter reduksjon blir masken Mt som brukes i en kryptografisk prosess. [0038] For eksempel, for å fastsette verdien av den D+1ste komponenten av masken til den hemmelige nøkkelen, tar metoden i betrakting hver av komponentene av masken til nøkkelen til iterasjon i-1 og komponentene av masken til nøkkelen til iterasjon i fremstilt med en tilfeldig funksjon, på følgende måte: på denne måten oppnås alle komponentene av masken til nøkkelen.

10 [0039] Den siste komponenten s (i+1) D+1 av arbeids- eller referansemasken til iterasjon i+1 oppnås ved å rotere en komponent s (i) 1,..., s (i) D+1 av masken til iterasjon i med en komponent s (i+1) 1,..., s (i+1) D av masken til iterasjon i+1 fremstilt i etappen for generering av en ny arbeids- eller arbeidsmaske, ved samtidig å respektere ordenen til komponentene. [0040] I en variant av fremstillingen kan man begynne med en komponent av iterasjon i, etterfulgt av en komponent av iterasjon i-1, etterfulgt av en komponent av iterasjon i, osv. [0041] Kombinasjonen av deler av nøkkelen med indeks i eller i-1 kan gjøres på forskjellige måter. [0042] I eksemplet gitt over består kombineringen av å vurdere, i rangert rekkefølge, komponentene, samt den siste komponenten av masken til nøkkelen til iterasjon i som regnes ut ved å kombinere komponent 1 av masken av iterasjon i med komponent 1 av masken til iterasjon i-1, hvor resultatet deretter kombineres med de andre komponentene og så videre helt til komponent D+1 av masken til iterasjon i-1 som ikke kombineres med komponenten D+1 av iterasjon i, fordi det er denne verdien som fastsettes. [0043] Uten å gå utenfor rammen til oppfinnelsen er det mulig å kombinere på en tilfeldig måte komponentene eller elementene som bygger opp nøkkelen, hvor det viktige er å vurdere alle komponentene av masken til nøkkelen til iterasjon i-1 og alle komponentene av masken til nøkkelen til iterasjon i med unntak av én for å fastsette den siste komponenten av masken til nøkkelen til iterasjon i. [0044] Ved utgangen oppnås en maske til nøkkelen med D+1 komponenter. En utførelse av SecUpdate gir direkte neste referansemaske til nøkkelen som blir lagret i det ikke-flyktige og overskrivbare minnet og som brukes som neste referansemaske. [004] For eksempel, med gitt opprinnelig referansemaske Mr = (r 1,, r D+1 ) til nøkkelen som inndata (s (0) 1,..., s (0) D+1 ) fra SecUpdate-algoritmen, blir referansemasken ganske enkelt Mr = (r 1,, r D+1 ) som tilsvarer utdata (s (λ) 1,..., s (λ) D+1 ) fra SecUpdatealgoritmen. En annen utførelse av SecUpdate-algoritmen (med andre tilfeldige verdier) gir en annen maske med D+1 komponenter Mr" = (r" 1,, r" D+1 ) som vil brukes etter reduksjonen som arbeidsmaske. Før den kan brukes som arbeidsmaske, må denne masken Mr" reduseres fra D+1 komponenter til d+1 komponenter notert Mt på følgende måte. Hver av komponentene av Mt oppnås, for eksempel, ved å kombinere en eller flere komponenter av maske Mr". For eksempel, gitt en maske til nøkkelen Mr" = (r" 1,, r" D+1 ) = (s (λ) 1,..., s (λ) D+1 ), blir arbeidsmasken Mt k 1,, k d med:

11 eller på en mer generell måte; reduksjonsetappen av komponentene til en maske utføres, for eksempel, på følgende måte: med en maske s (λ) 1,..., s (λ) D+1, til nøkkelen, blir arbeidsmasken k 1,, k d med: 1 med: 2 π en hvilken som helst permutasjon av helheten {1, 2,, d+1}, for eksempel er π identiteten med π (1) = 1, π (2) = 2,, π (d+1) = d+1 π en hvilken som helst permutasjon av helheten {1, 2,, D+1}, for eksempel er π identiteten med π (1) = 1, π (2) = 2,, π (D+1) = D+1. 3 [0046] Disse eksemplene på kombinasjoner er kun gitt som illustrasjon og er ikke begrensende, antallet komponenter som kombineres trenger ikke å limiteres til 2. [0047] Dermed, med metoden i henhold til oppfinnelsen, ved hver nye utførelse, det vil si hver gang man ønsker å oppnå en hemmelig nøkkel, trekkes to masker ut, den neste referansemasken, og arbeidsmasken for den gjeldende utførelsen ved å forsikre om at alle d-tuppler av mellomvariabler som kommer til syne under utførelsen av metoden ikke inneholder noen informasjon om hemmeligheten. [0048] Den følgende etappen 2 (figur 2) vil bestå i en kryptografimetode kjent for en fagperson for å utregne utdata Fk(p) med masken til den hemmelige nøkkelen. [0049] Metoden i henhold til oppfinnelsen tilbyr særlig et beviselig sikkerhetsnivå.

12 11 Forslag 1 [000] Med d, D, λ som heltall slik at D 2d og λ d+1. Med Ω 0 = {s (0) 1,, s (0) D+1 } og Ω 1 = {s (λ) 1,, s (λ) D+1 }. Med Ω SecUpdate som alle elementene som kommer til syne under utregningene utført i SecUpdate-algoritmen. Med en angriper som disponerer maks D-d elementer av Ω 0 og som utfører maks d observasjoner i Ω SecUpdate. [001] Dermed: 1. Angriperen oppnår ingen informasjon om k. 2. Angriperen oppnår informasjon om maks d elementer i datasettet Ω 1. Forslag [002] Med d, D, λ som heltall slik at D = 2d og λ = d-1. Med Ω 0 = {r 1,, r D+1 } og 0Ω + = {s (λ) 2 O s (λ) 3,, s (λ) D O s (λ) D+1 }. Med Ω SecUpdate som alle elementene som kommer til syne under utregningene utført i SecUpdate-algoritmen. Med en angriper som disponerer d elementer av Ω 0 og som utfører maks d observasjoner i Ω SecUpdate U Ω +. [003] Dermed oppnår angriperen ingen informasjon om k. Mulige anvendelser [004] Metoden og enheten i henhold til oppfinnelsen kan særlig anvendes i smartkort som består av en plaststøtte hvor det er festet, i eller på, en elektrisk kretsbrikke som er mottakelig for å kommunisere med utsiden ved kontakt eller ved emisjon-resepsjonselementer uten kontakt. I dette eksempelet på utførelse inneholder kretsen en prosessor hvor minst en funksjon utfører utregninger på data. [00] Ved kontrollert tilgang, det menes en numerisk mengde som man ønsker å beskytte mot innbrudsforsøk spesielt mot de typene som analyserer supplerende kanaler som nevnt tidligere. [006] Oppfinnelsen kan også anvendes til krinkastningssystemer med kontrollert tilgang. I dette tilfellet mottar en antenne signaler som kommer fra en satellitt som den sender til en dekoder for å vises på en tv-skjerm. Dekoderen inneholder en eller flere elektroniske kort som følger med en eller flere prosessorer av numeriske data som mottas. Denne prosesseringen består av en dekoding, dekryptering ved hjelp av en eller flere nøkler som dekoderen har tilgjengelig. Disse nøklene holdes i minner som er assosiert med den elektriske kretsen eller på et eksternt element, for eksempel en brikke som settes inn i dekoderen.

13 12 [007] Metoden og enheten for den assosierte implementeringen fremviser spesielt de følgende fordelene: en løsning som er bevist sikker ved alle ordrer d til problemet med dannelsen av en arbeidsmaske med hemmelige elementer. Angriperen oppnår ingen informasjon om hemmeligheten. Angriperen oppnår maks d komponenter av nøkkelmasken som ikke gjør det mulig å finne nøkkelen.

14 13 Patentkrav 1 1. En metode for randomisering av komponenter s1(0),, sd+1(0) som tilhører en gruppe G av en referansemaske til en nøkkel k som er ment for kryptografiske prosesseringer innenfor en kryptografisk modul, hvor D og λ er sikkerhetsparametere hvor verdiene velges i stigende funksjon av sikkerhetsnivået som etterspørres av brukeres, med D antall komponenter av referansemasken og λ antall iterasjoner, karakterisert ved at den inneholder minst bruken av en tilfeldighetsgenerator (7) for å generere, ved hver nye implementering av metoden, nye komponenter av referansemasken til nevnte nøkkel som tilhører G D+1, hvor nevnte maske oppdateres ved hver nye utførelse av kryptografialgoritmen, og komponentene av en arbeidsmaske til nevnte nøkkel tilhører G D+1, hvor nevnte metode inneholder minst de følgende etappene: 1 fra komponentene av en referansemaske til nøkkelen k, s 1 (0),, s D+1 (0) G en gruppe med en intern operasjon O med k = s 1 (0) O O s D+1 (0), Utføres en løkke gjennom i = 0 til λ-1 som inneholder etappene 2 og 3 som følger: 2 danne en ny referanse- eller arbeidsmaske til nevnte nøkkel k ved å bruke nevnte tilfeldighetsgenerator som produserer de føreste D komponentene av iterasjonsmasken i (i+1) 3 deretter bestemmes den siste komponenten s D+1 av arbeids- eller referansemasken til iterasjonen i+1 ved å veksle mellom en komponent s (i) 1,, s D+1 (i) av iterasjonsmasken i med en komponent s (i+1) 1,, s (i+1) D av iterasjonsmasken i+1 som ble laget i etappe 2, ved å respektere ordenen til komponentene, 4 utføre λ iterasjoner av etappene 2 til 3 for å oppnå en maske av komponenter (s (λ) 1,, s (λ) D+1 ), bruke den nevnte masken enten for å oppdatere referansemasken, eller for å utføre en kryptografisk prosess. 2. Metode i henhold til krav 1 karakterisert ved at den inneholder en reduksjonsetappe av antall elementer oppnådd i etappe 4 for å redusere masken (s (λ) 1,, s (λ) D+1 ) fra D+1 komponenter til d+1 komponenter (k 1,, k d+1 ) (3, 41) hvor hver av komponentene k i oppnås ved å kombinere en eller flere komponenter s (λ) i.

15 14 3. Metode i henhold til krav 2, karakterisert ved at kombinasjonen av en eller flere komponenter s i (λ) utføres ved å implementere operasjon O som assosieres med gruppe G. 4. Metode i henhold til krav 1 eller 2 karakterisert ved at parameteren D er fastsatt til D = 2d, parameteren λ er fastsatt til λ = d+1 for å oppnå en oppdatert referansemaske, og λ = d-1 for å oppnå en arbeidsmaske før reduksjonen for anvendelse av en kryptografisk prosess.. Metode i henhold til krav 2 karakterisert ved at reduksjonsetappen av komponentene av en maske utføres på følgende måte: med en maske s (λ) 1,, s (λ) D+1 til nøkkelen k, blir arbeidsmasken k 1,, k d med: 1 med: 2 3 π en hvilken som helst permutasjon av helheten {1, 2,, d+1}, for eksempel er π identiteten med π (1) = 1, π (2) = 2,, π (d+1) = d+1 π en hvilken som helst permutasjon av helheten {1, 2,, D+1}, for eksempel er π identiteten med π (1) = 1, π (2) = 2,, π (D+1) = D Enhet for å danne en arbeidsmaske til en hemmelig nøkkel karakterisert ved at den inneholder minst de følgende elementene: en prosessor (2) adaptert for å utføre etappene i metoden i henhold til et av kravene 1 til, et ikke-flyktig overskrivbart minne som er ment til å lagre referansemasken til nøkkelen, innganger/utganger for overføring av inngangs- og utgangsdata fra en kryptografisk prosess, en kommunikasjonsbuss (4), en tilfeldighetsgenerator (7). 7. Enhet i henhold til krav 6 karakterisert ved at den inneholder et flyktig minne (6) som gjør det mulig å lagre komponentene av en maske under implementeringen av metoden.

16 1

17 16

18 17

19 18