DE69935913T2 - Leckresistente aktualisierung eines indexierten kryptographischen schlüssels - Google Patents

Leckresistente aktualisierung eines indexierten kryptographischen schlüssels Download PDF

Info

Publication number
DE69935913T2
DE69935913T2 DE69935913T DE69935913T DE69935913T2 DE 69935913 T2 DE69935913 T2 DE 69935913T2 DE 69935913 T DE69935913 T DE 69935913T DE 69935913 T DE69935913 T DE 69935913T DE 69935913 T2 DE69935913 T2 DE 69935913T2
Authority
DE
Germany
Prior art keywords
secret state
cryptographic
value
secret
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69935913T
Other languages
English (en)
Other versions
DE69935913D1 (de
Inventor
Paul C. 575 Market Street San Francisco KOCHER
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cryptography Research Inc
Original Assignee
Cryptography Research Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=22228888&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69935913(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Cryptography Research Inc filed Critical Cryptography Research Inc
Publication of DE69935913D1 publication Critical patent/DE69935913D1/de
Application granted granted Critical
Publication of DE69935913T2 publication Critical patent/DE69935913T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks

Description

  • BEREICH DER ERFINDUNG
  • Die vorliegende Erfindung betrifft Systeme zum sicheren Verwalten und Benutzen von kryptografischen Keys und spezieller Verfahren und Vorrichtungen zum Sichern kryptografischer Geräte (Devices) gegen externe Mithörattacken.
  • HINTERGRUND DER ERFINDUNG
  • Angreifer, die sich Zugang zu kryptografischen Keys und anderen Geheimnissen verschaffen, können potentiell unbefugte Vorgänge ausführen oder Transaktionen fälschen. Daher müssen in vielen Systemen wie z.B. elektronischen Zahlungssystemen auf Chipkartenbasis Geheimnisse in eingriffssicherer Hardware geschützt werden. Kürzliche Arbeiten durch Cryptography Research haben jedoch gezeigt, dass Chipkarten und andere Devices kompromittiert werden können, wenn Informationen über kryptografische Geheimnisse zu Angreifern gelangen, die die externen Kennwerte wie Leistungsaufnahme oder elektromagnetische Strahlung von Devices überwachen.
  • Sowohl in symmetrischen als auch in asymmetrischen Kryptosystemen müssen geheime Parameter geheim gehalten werden, da ein Angreifer, der einen Key kompromittiert, Kommunikationen entschlüsseln, Unterschriften fälschen, unbefugte Transaktionen ausführen, sich als ein Benutzer ausgeben oder andere Probleme verursachen kann. Methoden zum sicheren Verwalten von Keys unter Verwendung von physisch sicheren, gut abgeschirmten Räumen sind im Stand der Technik bekannt und werden heutzutage weithin eingesetzt. Früher bekannte Methoden zum Schützen von Keys in kostenarmen kryptografischen Devices waren jedoch häufig für viele Anwendungen unzureichend, z.B. solche mit herausfordernden technischen Beschränkungen (Kosten, Größe, Leistung usw.) oder solche, die ein hohes Maß an Eingriffssicherheit benötigen. Attacken wie Rückwärtsentwicklung von ROM mit Mikroskopen, Timing-Attacken-Kryptoanalyse (siehe z.B. P. Kocher in „Timing an Implementations of Diffie-Hellman, RSA, DSS and Other Systems", Advances in Cryptology – CRYPTO '96, Springer-Verlag, Seiten 104-113), und Fehleranalyse (siehe z.B. E. Biham und A. Shamir in „Differential Fault Analysis of Secret Key Cryptosystems", Advances in Cryptology – CRYPTO '97, Springer-Verlag 1997, Seiten 513-525) wurden zum Analysieren von Kryptosystemen beschrieben.
  • Es sind im Stand der Technik Key-Management-Techniken bekannt, die verhindern, dass Devices kompromittierende Angreifer frühere Keys ableiten können. So definiert z.B. ANSI X9.24, „Financial Services – Retail Management" ein Protokoll, das als Derived Unique Key Per Transaction (DUKPT) bekannt ist und verhindert, dass Angreifer frühere Keys nach vollständigem Kompromittieren des Zustands eines Device ableiten können. Solche Techniken können zwar verhindern, dass Angreifer alte Keys ableiten, aber sie haben praktische Beschränkungen und bieten keinen effektiven Schutz. gegen externe Mithörattacken, bei denen Angreifer partielle Informationen über aktuelle Keys nutzen, um zukünftige zu kompromittieren.
  • Cryptography Research hat auch Methoden zum Verwenden von wiederholten Hash-Operationen entwickelt, um es einem Client und Server zu ermöglichen, kryptografische Operationen auszuführen, während sich der Client gegen externe Mithörattacken selbst schützt. Bei solchen Methoden wendet der Client wiederholt eine kryptografische Funktion auf sein internes Geheimnis zwischen oder während Transaktionen an, so dass in jeder aus einer Reihe von Transaktionen ausleckende Informationen nicht zum Kompromittieren des Geheimnisses kombiniert werden können.
  • Dieses soeben beschriebene System hat jedoch den Nachteil, dass der Server eine ähnliche Folge von Operationen ausführen muss, um den in jeder Transaktion verwendeten symmetrischen Session-Key erneut abzuleiten. So kann der Server in Fällen wie z.B. denen, bei denen eine große Zahl von unsychronisierten Server-Devices (z.B. elektronische Bargeldanwendungen, bei denen eine große Zahl von Händlerterminals als unabhängige Server arbeiten) vorliegt oder wenn Server eine begrenzte Speicherkapazität haben, nicht alle möglichen Session-Keys, die Clients benutzen könnten, zuverlässig vorberechnen. Infolgedessen kann die Transaktionsleistung herabgesetzt werden, da möglicherweise eine relativ große Zahl von Operationen nötig ist, damit der Server den richtigen Session-Key erhält. So kann beispielsweise der n-te Client-Session-Key n Server-Operationen zum Ableiten benötigen. Daher wäre ein schnelles und effizientes Verfahren zum Erhalten von leckbeständiger und/oder lecksicherer symmetrischer Key-Vereinbarung von Vorteil.
  • Das US-Patent 5,633,930 beschreibt ein Speicherwertzahlungssystem, bei dem die Bankkarte (SVC = Stored Value Card) mit einem begrenzten Satz von Device-Keys ausgegeben wird (die in dem Patent abgeleitete Keys genannt werden). Der spezielle Device-Key, der in jeder Transaktion zu verwenden ist, wird extern ausgewählt. Es wird ein Key-Diversifizierungsverfahren beschrieben, das zum Ableiten von Transaktions-Keys von einem Haupt-Secret-Key verwendet werden kann (z.B. einem Device-Key), um zu verhindern, dass Angreifer, die sich einen oder mehrere Transaktions-Keys beschaffen, den Haupt-Device-Key ermitteln können. Die US-Patente 5,544,086 und 5,559,887 haben im Wesentlichen denselben Inhalt wie 5,633,930 .
  • Das US-Patent 5,761,306 beschreibt ein Online-Protokoll zum Ersetzen eines Public-Key durch einen anderen, wobei der alte Key zum Signieren des Austauschs verwendet wird. Dieses Key-Austauschsystem soll von einer zentralen Behörde verwendet werden, um einen designierten revidierten Key zu einer großen Zahl von Devices zu senden. Empängergeräte können den aktuellen Public-Key zum Verifizieren einer digitalen Signatur auf dem Ersatz vor dem Akzeptieren eines Updates verwenden.
  • Das US-Patent 4,203,166 beschreibt ein vernetztes kryptografisches Dateisystem. Das beschriebene System beinhaltet die Fähigkeit, zwischen Domains übertragene File-Keys zu verschlüsseln. Es werden Low-Level-Details einer Hardware-Implementation gegeben, inklusive Verfahren zum Ver- und Entschlüsseln von zwischen Servern ausgetauschten Keys.
  • Die europäische Patentanmeldung 0 582 395 beschreibt die Sicherung von über ein Netzwerk gesendeten Paketen durch Verwenden eines „Pufferwarteschlangenindex"-Wertes, der in dem Paket zum Authentifizieren und Ableiten von Paket-Keys enthalten ist. Das beschriebene Protokoll verwendet statische „Host-zu-Host-Keys", die an jeder Transaktion beteiligt sind und nicht aktualisiert werden.
  • Die europäische Patentanmeldung 0 529 261 beschreibt ein Online-Protokoll für die Verwendung eines Public-Key-Kryptosystems zum Verteilen eines symmetrischen Key zusammen mit assoziierten Gebrauchsregeln. Diese Regeln sollen gewährleisten, dass Empfänger, die diese einhalten, Keys nicht falsch verwenden.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die Erfindung ist in ihren verschiedenen Aspekten in den nachfolgenden Hauptansprüchen definiert, auf die nunmehr Bezug genommen werden sollte. Vorteilhafte Merkmale sind in den Unteransprüchen dargelegt.
  • Die vorliegende Erfindung kann benutzt werden, um Chipkarten (und andere kryptografische Client-Devices) selbst dann sicher zu machen, wenn Angreifer in der Lage sind, externe Mithör- (oder sonstige) Attacken zum Sammeln von Informationen in Bezug auf interne Vorgänge des Client-Device auszuführen. In einer Ausgestaltung führt ein kryptografisches Client-Device (z.B. eine Chipkarte) einen Secret-Key-Wert als Teil seines Zustands. Der Client kann seinen Geheimwert jederzeit, z.B. vor jeder Transaktion, mit einem Update-Prozess aktualisieren, der bewirkt, dass partielle Informationen, die möglicherweise zuvor an Angreifer über das Geheimnis ausgeleckt sind, den neuen aktualisierten Geheimwert nicht mehr (oder zu einem geringeren Grad) nützlich beschreiben. (Informationen werden dann als nützlich angesehen, wenn sie einem Angreifer helfen können oder es ihm ermöglichen, eine tatsächliche Attacke auszuführen.) So wird der Secret-Key-Wert oft genug aktualisiert (möglicherweise sogar einmal pro Transaktion), so dass über den Eingangszustand ausleckende Informationen den aktualisierten Zustand nicht so nützlich beschreiben. Durch wiederholtes Anwenden des Update-Prozesses veralten bei kryptografischen Operationen ausleckende Informationen, die von Angreifern gesammelt werden, schnell. So kann ein solches System gegen Attacken sicher bleiben, die wiederholte Messungen der Leistungsaufnahme oder der elektromagnetischen Kennwerte des Device beinhalten, selbst dann, wenn das System mit undichter Hardware und Software implementiert ist (d.h. bei denen Informationen über die Geheimwerte auslecken). Im Gegensatz dazu verwenden herkömmliche Systeme denselben Geheimwert wiederholt und ermöglichen es Angreifern so, von einer großen Zahl von Transaktionen gesammelte Informationen statistisch zu kombinieren.
  • Die vorliegende Erfindung kann in Verbindung mit einem ersten Device (z.B. einem Client) und einem zweiten Device (z.B. einem Server) unter Verwendung eines solchen Protokolls benutzt werden. Zur Ausführung einer Transaktion mit dem Client holt der Server den aktuellen Transaktionszählwert des Client (oder einen anderen Key-Indexwert) ein. Der Server führt dann eine Reihe von Operationen durch, um die Folge von Transformationen zu ermitteln, die zum erneuten Ableiten des richtigen Session-Key vom anfänglichen Geheimwert des Client benötigt werden. Diese Transformationen werden dann ausgeführt und das Ergebnis wird als Transaktions-Session-Key (oder zum Ableiten eines Session-Key) genutzt.
  • Die vorliegende Erfindung kann eine Folge von Clientseitigen Aktualisierungsprozessen beinhalten, die erhebliche Verbesserungen der Leistung der entsprechenden Server-Operationen zulassen und dabei leckbeständige und/oder lecksichere Sicherheitskennwerte im Client-Device beibehalten. In einer Ausgestaltung der Erfindung wird jeder Prozess in der Sequenz aus zwei kryptografischen Vorwärtstransformationen (FA und FB) und deren Umkehrungen (FA -1 und FB -1) ausgewählt. Mit nachfolgend ausführlich beschriebenen Methoden werden solche Update-Funktionen vom Client in einer Sequenz angewendet, die gewährleistet, dass jeder einzelne Geheimwert niemals öfter als eine festgelegte Anzahl (z.B. drei) von Malen benutzt oder abgeleitet wird. Ferner gewährleisten die Update-Funktionen und die Sequenz auch, dass der Zustand (und demgemäß der darin verwendete Geheim-Session-Key-Wert) einer beliebigen Transaktion effizient von einem Anfangszustand (z.B. dem in der ersten Transaktion verwendeten Zustand) innerhalb einer geringen Anzahl von Anwendungen von FA und FB (oder deren Umkehrungen) ableitbar ist.
  • Wenn die Zahl der Operationen, die von einem Client sicher ausgeführt werden können, n ist (d.h. n unterschiedliche Transaktionen können ausgeführt werden, ohne dass derselbe Geheimwert mehr als eine feste Anzahl von Malen verwendet wird), dann kann ein Server, der den anfänglichen Geheimwert K (oder den diesem entsprechenden Anfangszustand) kennt oder ihn beschaffen kann, einen resultierenden Geheimwert (oder entsprechenden Zustand) in der Serie von Transaktionen erheblich schneller ableiten als durch Ausführen von n entsprechenden Updates. In der Tat kann der Zustand für eine gegebene Transaktion häufig von einem Server mit 0(log n) Berechnungen von FA und FB (oder deren Umkehrungen) abgeleitet werden. Wenn der Systemdesigner n groß genug gemacht hat, dann kann es dadurch möglich werden, dass ein praktisch grenzenloser Satz von Transaktionen von Clients ausgeführt wird, während ausgezeichnete Serverleistung erzielt wird. So kann n beispielsweise größer als 50 sein.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die Erfindung wird nun ausführlicher beispielhaft mit Bezug auf die Begleitzeichnungen beschrieben. Dabei zeigt:
  • 1 eine beispielhafte Ausgestaltung eines Key-Update-Prozesses über eine Reihe von Transaktionen;
  • 2 einen beispielhaften Client-seitigen indexierten Key-Update-Prozess;
  • 3 einen beispielhaften Server-Prozess zum Ableiten eines Transaktions-Key von einem Key-Index und einem Basis-Key;
  • 4 beispielhafte Ausgestaltungen von vier Zustandstransformationsoperationen.
  • AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
  • Indexiertes Key-Management
  • Die Erfindung ermöglicht es, dass Personen kryptografische Operationen mit erhöhter Sicherheit gegen externe Mithörattacken ausführen. Es werden zwar Ausführungsbeispiele unter Beteiligung von zwei Parteien an einem ersten Device (z.B. einem „Client") und einem zweiten Device (z.B. einem „Server") beschrieben, aber die Begriffe „Client" und „Server" werden der Einfachheit halber benutzt und entsprechen nicht unbedingt direkt einer besonderen Rolle in einem Systemdesign. So könnte der Client beispielsweise eine Chipkarte und der Server ein Zentralrechner sein oder umgekehrt. Ferner könnten zwar die meisten kryptografischen Operationen zwei Parteien beinhalten (z.B. einen beim Client und einen beim Server), aber die Erfindung kann natürlich auch in Umgebungen zum Einsatz kommen, die nur eine Partei beinhalten (wie z.B. in sicheren Memory- oder Speichersystemen, in denen sowohl Client als auch Server von einer einzigen Partei gesteuert werden oder in einem einzelnen Device kombiniert sind) oder in Umgebungen, die mehr als zwei Parteien und/oder Devices beinhalten.
  • In einer beispielhaften Ausgestaltung wird der Client mit einem Secret-Key K0 für ein symmetrisches Kryptosystem initialisiert, wobei K0 dem Server ebenfalls bekannt ist (oder von ihm abgeleitet werden kann). Der Key K0 ist gewöhnlich (aber nicht unbedingt) für ein(e) bestimmte(s) Client-Device oder Partei spezifisch. Der Client hat auch einen (typischerweise nicht geheimen) Index oder Transaktionszähler C, der auf null initialisiert werden kann. Ein zusätzlicher Parameter ist eine Indextiefe D. Der Wert von D kann ebenfalls nichtgeheim sein und kann (z.B.) clientspezifisch oder eine systemweite globale Konstante sein. Der Wert von D bestimmt die Zykluslänge des Key-Update-Prozesses.
  • Ein die Erfindung ausgestaltender beispielhafter Computer-implementierter Prozess soll ein erstes Device (Client) sichern und gleichzeitig Transaktionen mit wenigstens einem zweiten Device (Server) ausführen. Das erste Device beinhaltet einen rechnerlesbaren Speicher, der einen internen Geheimzustand beinhaltet, der einen Key repräsentiert oder von dem er abgeleitet werden kann. Das zweite Device hat Zugang zu einem Basis- oder Anfangswert, der dem Anfangswert des internen Geheimzustands im Speicher des ersten Device entspricht. Ein Indexparameter ist mit dem internen Geheimzustand des Client assoziiert und dieser Indexparameter kann durch mehrere Werte aktualisiert werden. Es sind im Update-Prozess mehrere Transformationsoperationen verfügbar, die verwendet werden können. Das Client-Device benutzt den Indexparameter im Speicher, um eine der Transformationsoperationen auszuwählen. In einem Ausführungsbeispiel gibt es wenigstens zwei Transformationen und die Umkehrungen der beiden Transformationen. Jede Trans formationsoperation wirkt auf den internen Geheimzustand ein, um einen aktualisierten Geheimzustand zu erzeugen. Wenn dies erfolgt ist, wird im Speicher der interne Geheimzustand durch den aktualisierten Geheimzustand ersetzt und der Indexparameter wird durch einen aktualisierten Indexparameter ersetzt. Jetzt wird eine kryptografische Transaktion an Daten am Client- (ersten) Device ausgeführt, die für das zweite Device gedacht sind, um die Daten unter Verwendung des aktualisierten Geheimzustands zu sichern. Die Operation am ersten Device, insbesondere die Wahl einer Transformation und die Aktualisierung, wird mehrere wiederholt, z.B. vor jeder Transaktion. Die Werte für den aktualisierten internen Geheimzustand werden vom Client-Device nicht mehr als eine feste Anzahl von Malen, in diesem Ausführungsbeispiel dreimal, rekreiert. Die gesicherten Daten werden dann zusammen mit dem Indexparameter zum zweiten Device gesendet. Die gesicherten Daten und der Indexparameter werden am Server empfangen. Unter Verwendung des Indexparameters wird der aktualisierte Geheimzustand jetzt vom Basis- oder Anfangsgeheimzustand erzeugt, zu dem das zweite Device Zugang hat. Der aktualisierte Geheimzustand wird dann benutzt, um die empfangenen gesicherten Daten zu verarbeiten. Das Server-Device für eine solche nachfolgende Transformation kann die Regeneration des aktualisierten Geheimzustands in wesentlich weniger Transformationen als die Gesamtzahl der Wiederholungen von Auswahl und Aktualisierung am ersten Device ausführen. Wie dies erzielt wird, wird nun beschrieben.
  • 1 zeigt eine beispielhafte Folge von Client-Device-Geheimzustandswerten, die zum Ausführen einer Reihe von Transaktionen benutzbar sind, typischerweise (aber nicht unbedingt) unter Verwendung von einem Zustand pro Transaktion. (Der zum Erzeugen der Sequenz verwendete Client-Prozess wird mit Bezug auf 2 beschrieben, der entsprechende Server-Prozess wird mit Bezug auf 3 beschrieben.) Ein Geheimwert eines Zustands beinhaltet typischerweise, aber nicht unbedingt, einen Secret-Session-Key; daher wird, der Einfachheit halber, der Geheimwert mit K bezeichnet und der Begriff „Geheimwert" kann mit „Key" mehr oder weniger austauschbar verwendet werden. Die Fachperson wird jedoch erkennen, dass sie sich im allgemeinen Fall unterscheiden können. Ebenso zeigt die Figur der Deutlichkeit halber einen beispielhaften Key-Update-Prozess mit D=5, was bedeutet, dass fünf Ebenen von Key-Werten vorhanden sind. Es gibt jedoch keine spezielle Begrenzung für D und die Fachperson wird leicht verstehen, wie die dem Ausführungsbeispiel zu Grunde liegenden allgemeinen Prinzipien auch auf andere solche Zykluslängen anwendbar sind. In der Tat würden kommerziell eingesetzte Systeme normalerweise größere Werte für D verwenden.
  • Jeder dieser Kästen in der Figur repräsentiert einen Wert des Geheimwertes (KC). Somit repräsentieren mehrere Punkte in einer Box unterschiedliche Zustände, die denselben Geheimwert KC gemeinsam nutzen. Die obere Reihe (Reihe 0) der Figur enthält eine Box, die dem Anfangszustand K0 110 sowie nachfolgenden Zuständen K30 140 und K60 170 entspricht, die alle demselben Geheimwert KC nutzen. Die nächste Reihe (Reihe 1) enthält zwei Boxen, von denen die linke einem Trio von Zuständen (K1 111, K15 und K29) entspricht, die denselben Geheimwert nutzen, und die rechte Box in der zweiten Reihe entspricht einem zweiten Trio von Zuständen (K31, K45 und K59), die noch einen anderen Geheimwert gemeinsam nutzen. Ebenso enthält Reihe 2 vier Boxen, die insgesamt zwölf Zustände repräsentieren, von denen 4 Trios jeweils denselben Geheimwert gemeinsam nutzen. Allgemeiner, in dieser beispielhaften Ausgestaltung enthält Reihe N (wobei N < D-1 ist) 2N Boxen (oder eindeutige Geheimwerte) und 3(2N) Zustände und die letzte Reihe (N=D-1) enthält 2N Boxen und 2N Zustände. Der dickere (gekrümmte) Pfad stellt schematisch den Prozess dar, mit dem die Zustände aktualisiert werden, beginnend mit dem Anfangszustand 110 und weiterführend bis zum Endzustand 170. Während die Zustände aktualisiert werden, wird der Zähler C aktualisiert (um eins für jedes Update).
  • Die beispielhaften Zustands-Update-Prozesse beinhalten zwei Funktionen (FA und FB) und deren Umkehrungen (FA -1 und FB -1) für insgesamt vier Funktionen. In Schritt 100 wird der Client mit einem Startzähler C=0 und einem Startzustand mit einem Anfangsgeheimwert KC = K0 initialisiert oder personalisiert. In Schritt 110 führt das Device die erste Transaktion mit KC (oder einem von KC abgeleiteten Key) durch. Der Key kann in praktisch jeder symmetrischen kryptografischen Transaktion verwendet werden. (So könnte eine solche Transaktion beispielsweise, ohne Begrenzung, die Berechnung oder Verifizierung eines MAC (Message Authentication Code) an einer Meldung, die Ver- oder Entschlüsselung einer Meldung, die Erzeugung eines pseudozufälligen Challenge-Wertes, die Ableitung eines Key usw. beinhalten. Beispiele für Meldungen sind z.B., ohne Begrenzung, Daten, die die Beträge von Fondstransferoperationen vorgeben, Email-Meldungen, Challenge/Response-Authentifizierungsdaten, Parameter-Update-Autorisierungen, Code-Updates, Audiomeldungen, digitalisierte Bilder usw.).
  • Nach Schritt 110 wird der Geheimwert KC des Client-Device durch Anwenden der Funktion FA aktualisiert und der Zähler C wird inkrementiert, d.h. durch Ausführen von C ← C + 1 und KC ← FA(KC). (Somit sind in Schritt 111 C = 1 und KC = FA(K0).) Der aktualisierte Wert von KC wird zum Ausführen einer Transaktion in Schritt 111 benutzt. Nach Schritt 111 wird C wieder inkrementiert und FA wird erneut auf KC angewendet, d.h. durch Ausführen von C ← C + 1 und KC=2 ← FA(KC), was den in Schritt 112 verwendeten Secret-Key ergibt. Dasselbe Paar Operationen (C ← C + 1 und KC ← FA(KC)) wird ebenso zwischen den Schritten 112 und 113 sowie zwischen den Schritten 113 und 114 angewendet.
  • Die Transaktion in Schritt 115 sollte denselben Wert von KC verwenden wie auch die Transaktion in Schritt 113, da die Schritte 113 und 115 in derselben Box erscheinen. So erfolgt nach der Transaktion in Schritt 114 der Update- Prozess durch Berechnen von C ← C + 1 (ergibt C=5) und KC=5 ← FA -1(KC). Man beachte, dass KC=5 = FA -1(KC=4) = FA -1(FA(KC=3)) = Kc=3 ist. So ist der in Schritt 115 verwendete Wert von KC derselbe wie der in Schritt 113 verwendete Wert. Nach der Transaktion in Schritt 115 wird KC mit der Funktion FB durch Inkrementieren von C und Berechnen von KC=6 ← FB(KC) aktualisiert. Nach der Transaktion in Schritt 116 wird der Geheimwert für Transaktion 117 durch Anwenden der Funktion FB -1 auf KC berechnet.
  • Der Update-Prozess läuft so ab, dass nach jeder Transaktion ein Key-Zustands-Update-Prozess ausgeführt wird. Das Key-Update beinhaltet das Inkrementieren von C und die Anwendung einer der Funktionen FA, FB, FA -1 oder FB -1 auf den Zustand KC. Die Verwendung von umkehrbaren Funktionen lässt es zu, dass ein erster Zustand und ein zweiter Zustand denselben Geheimwert nutzen, wobei der erste Zustand dem Eintritt in eine untergeordnete (tiefere Ebene) Box von einer übergeordneten (höhere Ebene) Box vorangeht und der zweite Zustand durch erneutes Eintreten in die übergeordnete Box von der untergeordneten Box kreiert wird. Ferner erlaubt die Vielzahl von Funktionen (z.B. FA und FB in dem Ausführungsbeispiel) die Schaffung mehrerer untergeordneter Boxen für jede übergeordnete Box und somit eine große Zahl von zulässigen Zuständen, bevor die Sequenz zu Ende ist (z.B. im Endezustand 190). Beim Übergehen von einem besonderen Zustand in einen anderen besonderen Zustand hängt die Wahl der Funktionen (z.B. im Ausführungsbeispiel von 1, ob FA, FB, FA -1 oder FB -1 verwendet werden soll) von der/dem aktuellen Richtung und Ort der beiden jeweiligen Zustände ab. Insbesondere wird, wieder mit Bezug auf die in 1 gezeigte beispielhafte Anordnung, bei der Abwärtsbewegung von einer übergeordneten Box zu einer linken untergeordneten Box, wie z.B. zwischen den Schritten 112 und 113, FA durch Berechnen von KC ← FA(KC) angewendet. Ferner wird bei einer Abwärtsbewegung von einer übergeordneten Box zur rechten untergeordneten Box, z.B. zwischen den Schritten 115 und 116, FB angewendet. Ferner wird beim Bewegen von einer linken untergeordneten Box zu ihrer übergeordneten Box, z.B. zwischen den Schritten 114 und 115, FA -1 durch Berechnen von KC ← FA -1(KC) angewendet. Schließlich wird bei der Bewegung von einer rechten untergeordneten Box zu ihrer übergeordneten Box, wie z.B. zwischen den Schritten 116 und 117, FB -1 angewendet. Allgemeiner, die Wahl, welche Funktion in einem bestimmten Zustandsübergang angewendet werden soll, kann einfach in Abhängigkeit von C bestimmt werden, so dass der Client keine Informationen über seinen aktuellen Zustand und seinen aktuellen Zählerwert hinaus zu führen braucht. Dies wird ausführlicher im Abschnitt „Client-seitiges indexiertes Key-Update" unten in Zusammenhang mit dem Ausführungsbeispiel von 1 beschrieben.
  • Schließlich kann der Client einen Punkt erreichen, an dem die gesamte Tabelle durchlaufen wurde. So wird z.B. das Ende des Prozesses von 1 in Schritt 170 erreicht, wo C=60 ist. Nach dieser Transaktion (oder an einem früheren Punkt, wenn die Tabellenlänge die Höchstzahl der vom System zugelassenen Transaktionen übersteigt), könnte sich das Client-Device – und würde sich typischerweise auch – selbst sperren, z.B. durch Löschen seiner internen Geheimnisse. In einigen Fällen werden jedoch möglicherweise andere Aktionen bevorzugt (z.B. durch Wiederholen zurück bis Schritt 110, Eintreten in einen Zustand, in dem ein Rekeying-Vorgang erforderlich ist usw.). In dem illustrierten Ausführungsbeispiel ist die Zahl der Transaktionen, die vor dem Ende des Prozesses ausgeführt werden kann, gleich:
    Figure 00150001
    (In dem Beispiel mit D=5 kann es somit 26-3 = 61 Transaktionen geben.) Durch Wählen eines ausreichend großen Wertes für D kann ein Systemdesigner die maximale Anzahl von Transaktionen so groß machen, dass das „Ende" niemals erreicht wird. Zum Beispiel lässt D = 39 mehr als eine Billion (1012) Transaktionen ohne Wiederholung zu.
  • Client-seitiges indexiertes Key-Update Für das Ausführungsbeispiel von 1 können die Prozesse Inkrementieren von C und Wählen, welche Funktion angewendet werden soll (FA, FB, FA -1 oder FB -1) wie in 2 gezeigt ausgeführt werden. In Schritt 210 prüft das Client-Device, ob C gültig ist, z.B. durch Prüfen, dass C nicht negativ ist und dass C kleiner als 2D+1-3 ist. (Wenn C ungültig ist, dann verläuft die Transaktion erfolglos und es wird eine entsprechende Aktion ausgeführt.) Da der Client C intern führt, kann Schritt 210 wegfallen, wenn der Client sicher ist, dass C gültig ist. In Schritt 220 initialisiert das Gerät vorübergehende Tiefen- und Zählervariablen N und V, wobei die Werte jeweils in D und C gespeichert sind.
  • In Schritt 230 prüft das Device, ob die Variable V gleich der Größe 2N-3 ist. Wenn dies so ist, dann sollte Funktion FA -1 angewendet werden und die Verarbeitung geht weiter zu Schritt 235, wo das Device C inkrementiert und KC durch Berechnen von KC ← FA -1(KC) aktualisiert. Ansonsten prüft das Device in Schritt 240, ob die Variable V gleich der Größe 2(2N-2) ist. Wenn ja, dann sollte Funktion FB -1 angewendet werden und die Verarbeitung geht zu Schritt 245, wo das Device C inkrementiert und KC durch Berechnen von KC ← FB -1(KC) aktualisiert. Ansonsten prüft das Device in Schritt 250, ob die Variable V gleich null ist. Wenn ja, sollte Funktion FA angewendet werden und die Verarbeitung geht weiter zu Schritt 255, wo das Device C inkrementiert und KC durch Berechnen von KC ← FA(KC) aktualisiert. Ansonsten prüft das Device in Schritt 260, ob die Variable V gleich der Größe 2N-2 ist. Wenn ja, dann sollte Funktion FB angewendet werden und die Verarbeitung geht weiter zu Schritt 265, wo das Device C inkrementiert und KC durch Berechnen von KC ← FB(KC) aktualisiert.
  • In Schritt 270 prüft das Device, ob der Wert von V 2N-2 übersteigt. Wenn nicht, dann geht die Verarbeitung direkt zu Schritt 280. Wenn V größer ist als 2N-2, dann wird der Wert von V um 2N-2 verringert und die Verarbeitung geht zu Schritt 280. In Schritt 280 werden V und N jeweils dekrementiert, dann geht die Verarbeitung zu Schritt 230.
  • Nach der Ausführung einer Zustands-Update-Funktion in Schritt 235, Schritt 245, Schritt 255 oder Schritt 265 endet der Client-Prozess erfolgreich mit Schritt 290. Nach dem erfolgreichen Abschluss des Prozesses von 2 wird der Geheimwert KC zum Ausführen einer kryptografischen Transaktion (oder zum Ableiten eines Key, der zum Ausführen der Transaktion verwendet wird, z.B. durch Hashen oder Verschlüsseln von KC, Anhängen eines Salt oder Nonce usw.) verwendet.
  • Man beachte, dass jede Iteration des Prozesses von 2 dem Abwärtsbewegen um eine Ebene in der Zeichnung von 1 entspricht, bis die richtige Update-Operation ermittelt ist. So kann die Zahl der Iterationen der Schleife D nicht übersteigen. Mit Ausnahme der Key-Update-Funktionen (in dem Ausführungsbeispiel FA, FB, FA -1 und FB -1) brauchen nicht alle Implementationen des Funktionauswahlvorgangs leckbeständig zu sein; der Funktionsauswahlvorgang von 2, sein Eingangswert (d.h. C) und die Wahl der Update-Funktionen brauchen nicht geheim zu sein. Schließlich kann, wie zuvor erwähnt und oben im Falle des Ausführungsbeispiels illustriert wurde, die Auswahl der Funktion, die auf einen besonderen Zustandsübergang angewendet werden soll, allein in Abhängigkeit von C charakterisiert werden, so dass der Client keine Informationen jenseits seines aktuellen Zustands und Zählerwerts zu führen braucht.
  • Serverseitige indexierte Key-Ableitung
  • 3 zeigt einen beispielhaften serverseitigen Prozess, der mit dem beispielhaften Client-seitigen Prozess von 2 kompatibel ist. Die Fachperson wird verstehen, dass die Schritte von 3 in der gezeigten beispielhaften Reihenfolge oder in einer anderen Reihenfolge ausgeführt werden können. Vor Beginn des Vorgangs von 3 holt der Server den Zählerwert C des Client (typischerweise durch Empfangen von C vom Client-Device über eine digitale E/A-Schnittstelle) ein, der als Key-Index verwendet wird. (In diesem Ausführungsbeispiel wird ein Transaktionszähler als Key-Index verwendet, aber alternative Ausgestaltungen können auch einen anderen Wert oder eine Repräsentation des Key-Indexes verwenden.)
  • Der Server holt auch den Basis-Key-Wert K0 des Client ein (z.B. durch Abrufen von K0 aus dem Speicher des Servers, durch kryptografisches Ableiten von K0 mit anderen Secret-Keys oder Geheimalgorithmen, durch Beschaffen von K0 von Dritten wie z.B. einem Key-Server usw.). Der Server kennt oder beschafft auch D. In Schritt 310 validiert der Server C, um eventuelle mögliche ungültige Werte von C zurückzuweisen. In Schritt 330 werden die temporären Variablen N, V und K jeweils mit den Werten von D, C und K0 initialisiert. In Schritt 330 prüft der Server, ob der Wert von V gleich null ist. Wenn ja, dann ist der Wert von K gleich dem aktuellen Geheimnis (KC) des Client und der Vorgang endet mit Schritt 390. Ansonsten geht die Verarbeitung zu Schritt 340 weiter, wo der Server testet, ob V gleich dem Wert 2N-2 ist. Wenn ja, dann ist der Wert von K gleich dem aktuellen Geheimnis (KC) des Client und der Vorgang endet mit Schritt 390. Ansonsten geht die Verarbeitung mit Schritt 350 weiter, wo der Server testet, ob V gleich dem Wert 2(2N-2) ist. Wenn ja, dann ist der Wert von K gleich dem aktuellen Geheimnis (KC) des Client und der Vorgang endet mit Schritt 390. Ansonsten prüft der Server in Schritt 360, ob V größer ist als 2N-2. Wenn nicht, dann geht die Verarbeitung in Schritt 370 weiter, wo V dekrementiert, K durch Anwenden von FA aktualisiert (d.h. K ← FA(K)) und N dekrementiert werden. Wenn der Test in Schritt 360 ergibt, dass V größer ist als 2N-2, dann geht die Verarbeitung weiter zu Schritt 380, wo der Wert 2N-1 von V subtrahiert, K durch Anwenden von FB aktualisiert (d.h. K ← FB(K)) und N dekrementiert werden. Nach Schritt 370 oder Schritt 380 geht die Verarbeitung weiter mit Schritt 330. Die Verarbeitung wird so lange fortgesetzt, bis Schritt 330, Schritt 340 oder Schritt 350 Abschluss anzeigt. Wenn der Vorgang von 3 in Schritt 390 zu Ende geht, dann ist der in der Variablen K enthaltene Wert gleich dem Wert von KC am Client für den Zählerwert C. Client und Server können somit K=KC verwenden, um eine kryptografische Transaktion zu sichern. Wenn ein Fehler oder eine fehlerverursachende Attacke auftritt, dann unterscheiden sich K und KC und die kryptografische Transaktion sollte erfolglos verlaufen.
  • Statustransformationsoperationen
  • Die obige Diskussion beinhaltete die beispielhaften kryptografischen Operationen FA und FB und deren Umkehrungen FA -1 und FB -1, die nun auführlicher beschrieben werden. Es kann eine Reihe verschiedener solcher Funktionen verwendet werden und die geeignetste Form für diese Funktionen hängt von den Anforderungen und Charakteristiken des Systems ab.
  • In den in 4 gezeigten beispielhaften Funktionen haben der Eingang und der Ausgang jeder Funktion eine Größe von 128 Bit. Für die Funktion FA wird der Eingangszustand 400 in eine linke Hälfte 405 und eine rechte Hälfte 410 unterteilt, die jeweils 64 Bits haben. Die rechte Hälfte wird als der Eingang zu einer DES-Operation 415 bereitgestellt, die ihren Eingang (rechte Häfte 410) mit einem Fixed-Key KA1 verschlüsselt. Die DES-Operation wird nur als nichtlineare Transformation benutzt, die die Nützlichkeit der partiellen Informationen verringert oder eliminiert, die ein Angreifer über den Eingang haben könnte. Demzufolge braucht der Key KA1 nicht geheim zu sein und kann eine veröffentlichte Konstante sein. In Operation 420 wird das Ergebnis der DES-Verschlüsselung einem XOR-Vorgang auf die linke Hälfte des Eingangs unterzogen. Das Ergebnis des XOR wird sowohl zum Ergebnis linke Hälfte 435 als auch zum Eingang in eine zweite DES-Operation 425. Die zweite DES-Operation verwendet Key KA2 zum Erzeugen eines Ergebnisses, das in Operation 430 einem XOR-Vorgang mit dem Eingang rechte Hälfte 410 unterzogen wird. Das XOR-Ergebnis wird zum Ergebnis rechte Hälfte 440. Das Ergebnis linke Hälfte 435 und das Ergebnis rechte Hälfte 440 werden zum Erzeugen des Endergebnisses 445 kombiniert.
  • Die Struktur der Funktion FB kann im Wesentlichen identisch sein, mit der Ausnahme, dass unterschiedliche Keys verwendet werden. Insbesondere verschlüsselt die erste DES-Operation 455 die rechte Hälfte von Eingang 450 mit Key KB1 und die DES-Operation 460 verschlüsselt das XOR der linken Hälfte und das erste DES-Ergebnis mit Key KB2. Wie bei FA, werden das Ergebnis linke Hälfte 465 und rechte Hälfte 468 zum Erzeugen des Endergebnisses 470 kombiniert.
  • Die Funktion FA -1 (die Umkehr von FA) wird mit ähnlichen Funktionen berechnet wie FA, aber in der entgegengesetzten Reihenfolge. Der Eingang 475 wird in eine linke Hälfte 476 und eine rechte Hälfte 477 unterteilt. In der DES-Operation 478 wird die linke Hälfte 476 mit dem DES-Key KA2 verschlüsselt und das Ergebnis wird mit der rechten Hälfte 477 einem XOR-Vorgang unterzogen. Das XOR-Ergebnis wird zum Ergebnis rechte Hälfte 481 und wird als Eingang in die DES-Operation 479 verwendet, die mit dem Key KA1 verschlüsselt. Das Ergebnis der zweiten DES-Operation 479 wird mit dem Eingang linke Hälfte 476 zum Erzeugen des Ergebnisses linke Hälfte 480 einem XOR-Vorgang unterzogen. Schließlich werden das Ergebnis linke Hälfte 480 und rechte Hälfte 481 zum Erzeugen des Endergebnisses 482 kombiniert. Die Funktion FB -1 ist FA -1 ähnlich, mit der Ausnahme, dass der Eingang 485 mit den Keys KB2 und KB1 anstatt KA2 und KA1 in den Ausgang 490 transformiert wird.
  • Hauptziel der Funktionen FA, FB, FA -1 und FB -1 ist es, die Nützlichkeit partieller Informationen über den Eingang zu zerstören, die von einem Angreifer möglicherweise erhalten wurden. So machen beispielsweise die in der in 4 gezeigten beispielhaften Funktion FA verwendeten DES-Operationen die Funktion extrem nichtlinear. Ein Angreifer mit statistischen Informationen über den Wert jedes der 128 Eingangsbits (wie z.B. das Raten des Wertes des Bits, was mit einer Wahrscheinlichkeit von geringfügig mehr als 0,5 korrekt ist) ergibt statistische Informationen über den Eingang zur ersten DES-Operation 415. Der DES-Ausgang wird jedoch effektiv randomisiert – obwohl Angreifer den DES-Key KA1 eventuell kennen. Die beiden DES-Operationen in jedem Update-Prozess „mischen" den gesamten Eingangszustand.
  • So ergeben partielle statistische Informationen über individuelle DES-Eingangsbits keine nützlichen statistischen Informationen über die DES-Ausgangsbits, vorausgesetzt, dass Angreifer niemals genügend Informationen erhalten, um den gesamten Transformationsoperationseingang erraten zu können.
  • Andere Ausgestaltungen
  • 4 zeigt nur einen beispielhaften Satz von Funktionen für FA und FB; es können viele weitere Varianten oder alternative Designs verwendet werden. So können beispielsweise mittels zusätzlicher Runden erzeugte Funktionen verwendet werden (z.B. ein Luby-Rackoff-Block-Chiffre mit 3 Runden). Allgemeiner, Ver- und Entschlüsselung mit einem beliebigen Block-Chiffre können für die Funktionen und ihre Umkehrungen verwendet werden. Die zum Konstruieren der Update-Funktion benötigten Grundfunktionen brauchen lediglich zu verhindern, dass über den Eingang ausgeleckte partielle Informationen nützliche Informationen über den Ausgang liefern, so dass die Funktionen nicht unbedingt kryptografisch schwer zu invertieren zu sein brauchen. So können z.B. DES-Varianten mit weniger Runden verwendet werden. Dazu kommt, FA und FB in 4 haben eine ähnliche Struktur, aber dies ist nicht notwendig. FA und FB können auch je nach der Zustandsposition gewählt oder modifiziert werden (z.B. mittels unterschiedlicher Funktionen oder modifizierter Funktionen für jede der D-Ebenen).
  • Es können auch andere Funktionstypen für FA und FB verwendet werden. Zum Beispiel, wenn der Eingangszustand ein ungerader Wert zwischen 0 und 2B ist, dann könnten FA und FB mit Multiplikation modulo 2B mit ungeraden Konstanten implementiert werden und die Umkehrfunktionen könnten mit Multiplikation mit den Umkehrungen der Konstanten ebenfalls mod 2B implementiert werden. (Natürlich können auch andere Operationen wie Multiplikation mit Primmodulen verwendet werden.) Das oben Gesagte ist lediglich beispielhaft; die durchschnittliche Fachperson wird erkennen, dass eine breite Vielfalt anderer Funktionen existiert, die zum Implementieren der Funktionen FA, FB, FA -1 und FB -1 verwendet werden können.
  • Für zusätzliche Leckbeständigkeit können auch größere Zustände verwendet werden, z.B. kann ein 256-Bit-Zustand durch Verwenden von vier 64-Bit-Blöcken und Verwenden von vier (oder mehr) DES-Operationen zum Aktualisieren des Zustands oder durch Verwenden von zwei (oder mehr) Applikationen einer 128-Bit-Hash-Funktion implementiert werden.
  • In alternativen Ausgestaltungen der Erfindung können auch andere Key-Update-Prozesse zum Einsatz kommen. So kann beispielsweise durch Verwenden von mehr als zwei Update-Funktionen (und ihrer Umkehrungen) jeder übergeordnete Zustand mehr als zwei untergeordnete Zustände haben. In der Tat können übergeordnete Zustände eine beliebige Anzahl von untergeordneten Zuständen haben, obwohl mit zunehmender Zahl der untergeordneten Zustände die Zahl der kryptografischen Operationen, die den Wert des übergeordneten Zustands beinhalten, und die Zahl der Zustände, die denselben Secret-Key gemeinsam nutzen, ebenfalls zunehmen; dadurch nimmt die Gelegenheit für eine Attacke auf das System durch einen Angreifer potentiell zu.
  • Der Typ des Zustandsaktualisierungsprozesses, der illustrativ mit Bezug auf 1 beschrieben wurde, ist deshalb vorteilhaft, weil er sehr wenig Speicher und sehr wenig Verarbeitungs-Overhead benutzt, während die maximale Anzahl an Transaktionen unter Verwendung desselben Geheimwertes gering ist. (Je öfter solche Geheimwerte verwendet werden, desto wahrscheinlicher wird eine erfolgreiche externe Mithörattacke.) Daher werden in einer alternativen Ausgestaltung Transformationen unter Verwendung nur der Zustände auf der untersten Ebene des Diagramms (die nur einmal erzeugt werden) ausgeführt, so dass Geheimwerte nicht wiederverwendet werden. Dies verringert die Möglichkeit, dass Informationen auslecken, erhöht aber das Verarbeitungs-Overhead pro Transaktion auf durchschnittlich etwa vier Updates. (Auch ist die Menge an Zeit pro Transaktion nicht genau, da die Anzahl der Update-Prozesse von 2 bis 2D-2 reicht. Dies ist jedoch häufig kein Problem, da nur wenige Anwendungen jemals Werte von D benötigen, die größer als etwa 40 sind, und viele Devices Tausende von kryptografischen Operationen pro Sekunde ausführen können.)
  • In noch einer anderen alternativen Ausgestaltung kann der Client einen Wert in jeder vertikalen Ebene oder Reihe cachen. Wenn höhere Werte gecacht werden, brauchen keine Umkehroperationen ausgeführt zu werden, aber es wird etwas mehr Speicherplatz benötigt. Bei einer solchen Ausgestaltung werden durchschnittlich zwei Anwendungen von FA oder FB (die in einer solchen Ausgestaltung keine leichten Umkehrfunktionen zu haben brauchen) pro Operation benötigt, wenn nur Zustände auf unterster Ebene (Einzelbenutzung) für Transaktionen verwendet werden. Ein Diagramm der Zustands-Update-Prozesse für eine solche Implementation würde einer Hash-Baumstruktur ähneln. Für Implementationen, die Konstantzeit- oder vorhersehbarere Leistung benötigen, kann die bei Operationen, die nur eine einzige Anwendung von FA oder FB brauchen, verfügbare zusätzliche Verarbeitungszeit zum Vorberechnen von Werten benutzt werden, die in der Zukunft benötigt werden, und dadurch die Ausführungszeit auf zwei FA oder FR Operationen pro Transaktion begrenzen.
  • In anderen Ausgestaltungen kann der vom Server verwendete Key-Index ein anderer Wert als ein Transaktionszähler sein, da der Server lediglich genügend Informationen benötigt, um den aktuellen Transaktions-Key vom Root-Key abzuleiten.
  • In einigen Anwendungen kann C periodisch (z.B. wenn C von einem Timer angesteuert wird) oder von einem anderen Event als ausgeführten Transaktionen inkrementiert werden. In solchen Ausgestaltungen verläuft, wenn der Client (oder Server) C nicht korrekt aktualisiert und den entsprechenden aktualisierten Key ableitet, die Transaktion erfolglos. Wenn der erste vom Client (oder Server) versuchte Wert von C erfolglos ist, dann können andere wahrscheinliche Session-Key-Werte (wie z.B. die mit nahen Werten von C) versucht werden. (Wenn natürlich die Client- und Server-Versionen von C zu weit divergieren, dann läuft die Transaktion nicht ab.) Während der Key-Index (z.B. C) normalerweise explizit ausgetauscht wird, könnte in Fällen wie diesem der Server möglicherweise C indirekt erraten oder beschaffen können.
  • Wenn sowohl der Client als auch der Server vor externen Mithörattacken geschützt werden müssen, dann kann die Transaktion mit dem größeren der Transaktionszähler C der beiden Parteien ausgeführt werden. Insbesondere können Client und Server Zählerwerte austauschen und (wenn die Zähler nicht gleich sind) jedes Device kann seinen Zählerwert auf gleich dem größeren aus seinem Wert und dem empfangenen Wert einstellen. Das Device mit dem niedrigeren Wert aktualisiert sein Geheimnis, um den entsprechenden Transaktions-Key abzuleiten. Dieses Update kann durch Anwenden einer Kombination aus den gewöhnlichen Update-Funktionen und deren Umkehrungen implementiert werden. (Zum Beispiel, mit Bezug auf die in 2 exemplifizierte Technik, ein Client in Zustand 117 könnte zu Zustand 136 springen, indem er FA -1 zweimal, dann FB dreimal anwendet. Im Allgemeinen sollte die benötigte Gesamtzahl der Update-Funktionen kleiner als 2D-1 sein. Diese „Schnellvorlauf"-Fähigkeit bewahrt die Eigenschaft, dass kein Zustand mehr als eine finite Anzahl von – hier drei – Malen benutzt oder abgeleitet wird.) In Devices, die diese Fähigkeit implementieren, ist sorgfältig darauf zu achten, dass gewährleistet wird, dass das System nicht erfolglos verläuft, wenn ein großer, inkorrekter Wert von C auftritt. (Zum Beispiel können Devices zu große Sprünge in C zurückweisen oder können zusätzliche kryptografische Authentifizierung benötigen, z.B. die höchstwertigen Bits von C.) Ein solches Protokoll kann zum Vereinbaren eines Transaktionszählers für Ausgestaltungen verwendet werden, die mehr als zwei Parteien in kryptografischen Transaktionen involvieren.
  • Schließlich kann der für den Transaktions-Key verwendete Ist-Wert der Wert sein, der von der Transformationsfunktion erzeugt wird, und es kann ein Wert verwendet werden, der vom Transformationsergebnis abgeleitet wird. So kann beispielsweise das Transformationsergebnis zum Erzeugen des Session-Key verschlüsselt oder gehasht werden. Ein Hash-Schritt kann dabei helfen, die Zahl der von irgendeinem Key ausgeführten Operationen zu begrenzen und somit dabei beizutragen, die Menge an Informationen über den Key zu begrenzen, die an Angreifer auslecken kann. Alternativ oder zusätzlich können zusätzliche Hash-Operationen periodisch während der Verwendung des Session-Key ausgeführt oder frische Session-Keys periodisch benötigt werden.
  • Um die größtmögliche Anzahl von Transaktionen mit einem bestimmten Secret-Key zu beobachten, könnte ein Angreifer versuchen, ein Zieldevice zurückzusetzen, bevor der Speicher des Device mit dem neuen Wert von KC aktualisiert werden kann (z.B. während oder unmittelbar nach der Berechnung von FA oder FB). Ein solches Reset bedeutet jedoch nicht unbedingt, dass eine Attacke abläuft, da Resets während des normalen Betriebs vieler Systeme auftreten können. (Zum Beispiel kann die Stromzufuhr unterbrochen werden, wenn eine Chipkarte bei einer Transaktion entfernt wird.) Daher wird in einer bevorzugten Ausgestaltung ein im nichtflüchtigen Speicher gespeicherter Störungszähler vor jedem Update-Vorgang aktualisiert. Vor Beginn des Updates wird der Zähler getestet, um zu ermitteln, ob die Zahl sequentieller Fehler einen Maximalwert übersteigt, und wenn nicht, dann läuft die Transaktion normal ab. Wenn der neue Wert von KC berechnet und sicher auf den Speicher geschrieben und C inkrementiert wurde, dann wird der Störungszähler zurückgesetzt. Die Wahrscheinlichkeit, dass der Zählerschwellenwert während des normalen Betriebs des Device überschritten wird (d.h. wenn keine Attacke abläuft), ist gering, besonders dann, wenn der Update-Vorgang schnell ist.
  • Der mit Bezug auf die 1, 2 und 3 beschriebene beispielhafte Key-Update-Prozess gewährleistet, dass kein Secret-Key-Wert jemals in mehr als nur einer relativ geringen Zahl (hier drei) von Transaktionen benutzt wird. Angreifer haben so die Gelegenheit, Informationen über den Geheimzustand während den drei Transaktionen selbst, den drei Key-Update-Prozessen, die die Transaktions-Keys erzeugen, und den drei Update-Prozessen, die die Transaktions-Keys nach den Transaktionen transformieren, zu sammeln. Implementierer müssen sicherstellen, dass die Gesamtzahl der Informationen über die Geheimnisse, die bei diesen Vorgängen an Angreifer auslecken, nicht ausreicht, um den Geheimzustand zu kompromittieren. Beim Charakterisieren eines Designs ist es häufig nützlich, die maximale Menge an Informationen, die von jeder Transaktion auslecken kann, ohne die Sicherheit zu kompromittieren, zu ermitteln oder zu schätzen.
  • Weitere Überlegungen
  • Kryptografische Operationen sollten normalerweise geprüft werden, um sicherzustellen, dass falsche Berechnungen Keys nicht kompromittieren oder andere Attacken ermöglichen. Kryptografische Implementationen der vorliegenden Erfindung können, und werden in einer bevorzugten Ausgestaltung der Erfindung auch, mit Fehlererkennungs- und/oder Fehlerkorrekturlogik kombiniert, um zu gewährleisten, dass kryptografische Operationen korrekt ausgeführt werden. So besteht eine einfache und effektive Technik beispielsweise darin, kryptografische Operationen zweimal auszuführen, idealerweise mit zwei unabhängigen Hardware-Prozessoren und Implementationen, mit einem Komparator, um zu prüfen, ob beide identische Ergebnisse produzieren. Wenn die von den beiden Einheiten produzierten Ergebnisse nicht übereinstimmen, dann verhindert der Komparator eine Benutzung von beiden. In Situationen, bei denen Sicherheit wichtiger ist als Zuverlässigkeit, kann der Komparator das Gerät veranlassen, sich selbst zu zerstören, wenn ernsthafte Fehler auftreten. So könnte der Komparator beispielsweise eine Selbstzerstörung veranlassen, wenn zwei defekte DES-Operationen sequentiell auftreten oder wenn fünf defekte DES-Operationen während der Lebensdauer des Device auftreten. In einigen Kryptosystemen ist keine Redundanz notwendig. So können beispielsweise mit RSA Selbstprüffunktionen in die Kryptosystemimplementation selbst eingebaut werden oder eine Verifikation kann nach den Operationen ausgeführt werden.
  • Selbstdiagnostikfunktionen wie POST (Power On Self Test) sollten auch eingebaut werden, um sicherzustellen, dass keine kryptografischen Funktionen beschädigt sind. In einigen Chipkarten und anderen Devices muss ATR (Answer To Reset) vorgesehen werden, bevor ein umfassender Selbsttest vollzogen werden kann. In solchen Fällen kann der Selbsttest bis zur ersten Transaktion oder bis zu einer ausreichenden Ruheperiode aufgeschoben werden. So kann beispielsweise nach der Initialisierung ein Flag gesetzt werden, der einen erfolgreichen POST-Abschluss anzeigt. Während die Karte auf einen Befehl vom Hostsystem wartet, kann sie den POST versuchen. Sämtliche während des POST empfangenen E/A verursachen einen Interrupt, der den POST storniert (und den POST-beendet-Flag auf null lassen). Wenn eine kryptografische Funktion aufgerufen wird, dann prüft das Device den POST-Flag und führt (wenn er nicht gesetzt ist) zuerst den POST aus.
  • Schlussfolgerungen
  • Die Erfindung umfasst daher eine Familie von verwandten Techniken, die die Konstruktion von Devices ermöglichen, die erheblich beständiger gegen Attacken sind als Devices zu ähnlichen Kosten und mit ähnlicher Komplexität, die die Erfindung nicht anwenden. Zudem könnten mehrere Sicherheitstechniken erforderlich sein, um ein System sicher zu machen; und Leckbeständigkeit könnte in Zusammenhang mit anderen Sicherheitsmethoden oder Gegenmaßnahmen eingesetzt werden.
  • Wie die Fachperson verstehen wird, sind die oben beschriebenen Techniken nicht auf besondere Wirtsumgebungen oder Formfaktoren begrenzt. Stattdessen können sie in einer breiten Vielfalt von Anwendungen eingesetzt werden, einschließlich und ohne Begrenzung: kryptografische Chipkarten jeder Art einschließlich, ohne Begrenzung, Chipkarten, im Wesentlichen gemäß ISO 7816-1, ISO 7816-2 und ISO 7816-3 („Chipkarten gemäß ISO 7816"); kontaklose und auf Annäherung basierende Chipkarten und kryptografische Tokens; Speicherwertkarten und -systeme; kryptografisch gesicherte Kredit- und Debitkarten; Kundentreuekarten und -systeme; kryptografisch authentifizierte Kreditkarten; kryptografische Beschleuniger; Spiel- und Wettsysteme; sichere kryptografische Chips; eingriffsresistente Mikroprozessoren; Software-Programme (einschließlich, ohne Begrenzung, Programme für die Verwendung auf Personal Computern, Servern usw. sowie Programme, die auf kryptografische Devices geladen oder darin eingebettet sein können); Key-Management-Devices; Banking-Key-Management-Systeme; sichere Webserver; elektronische Zahlungssysteme; Mikrozahlungssysteme und -zähler; vorausbezahlte Telefonkarten; kryptografische Identifikationskarten und sonstige Identitätsprüfsysteme; Systeme für elektronische Geldübertragungen; Bankautomaten; Verkaufsstellenterminals; Zertifikatausstellungssysteme; elektronische Marken; Zutrittssysteme; physikalische Schlösser jeder Art, die mit kryptografischen Keys arbeiten; Systeme zum Entschlüsseln von Fernsehsignalen (einschließlich, ohne Begrenzung, Rundfunkfernsehen, Satellitenfernsehen und Kabelfernsehen); Systeme zum Entschlüsseln von verschlüsselter Musik und sonstigem Toninhalt (einschließlich über Computernetze verteilter Musik); Systeme zum Schützen von Videosignalen jeder Art; Systeme zum Schützen von geistigem Eigentum und von Urheberrechten (wie z.B. die, die zum Verhindern des unbefugten Kopierens oder Gebrauchs von Kinofilmen, Toninhalt, Computerprogrammen, Videospielen, Bildern, Text, Datenbanken usw. verwendet werden); Verwürfelung von Zellulartelefon und Authentifizierungssysteme (inkl.
  • Telefonauthentifizierungs-Chipkarten); sichere Telefone (einschließlich Key-Speichergeräte für solche Telefone); kryptografische PCMCIA-Karten; tragbare kryptografische Tokens und kryptografische Datenprüfsysteme.
  • Das oben Gesagte illustriert beispielhafte Ausgestaltungen und Anwendungen der Erfindung, anhand derer verwandte Variationen, Erweiterungen und Modifikationen offensichtlich werden, ohne vom Umfang der Erfindung abzuweichen.

Claims (43)

  1. Rechnerimplementiertes Verfahren zum Sichern eines ersten Gerätes während der Durchführung von Transaktionen mit wenigstens einem zweiten Gerät, wobei das erste Gerät einen rechnerlesbaren Speicher mit einem internen Geheimzustand beinhaltet und wobei das wenigstens eine zweite Gerät Zugang zu einem Grundgeheimzustand hat, der dem anfänglichen internen Geheimzustand des ersten Gerätes entspricht, umfassend die folgenden, von dem ersten Gerät ausgeführten Schritte: (a) (i) Lesen (220) eines mit dem internen Geheimzustand assoziierten Indexparameters aus dem Speicher, der eine Mehrzahl von Werten gemäß einer definierten Sequenz annimmt, wobei jeder Wert auf einem von mehreren Pegeln ist; (ii) Benutzen des Indexparameters zum Auswählen (230, 240, 250, 260) von wenigstens einer aus mehreren Transformationsoperationen (235, 245, 255, 265), die einen Eingangsgeheimzustand in einen Ausgangsgeheimzustand umwandeln, wobei der Eingangsgeheimzustand und der Ausgangsgeheimzustand auf einem höheren oder tieferen Pegel relativ zueinander innerhalb der mehreren Pegel von internen Geheimzuständen sind; (b) Anwenden wenigstens der ausgewählten Transformationsoperation (235, 245, 255, 265) auf den internen Geheimzustand als Eingangsgeheimzustand, um einen aktualisierten Geheimzustand als den Ausgangsgeheimzustand zu erzeugen, wobei jede ausgewählte Transformationsoperation eine nichtlineare kryptografische Funktion umfasst, die Teile des Eingangsgeheimzustands mischt, um einen Ausgangsgeheimzustand zu erzeugen, auf eine solche Weise, dass ein Leck von partieller statistischer Information über den Eingangsgeheimzustand keine nützliche Information über den Ausgangsgeheimzustand ergibt, selbst dann, wenn die kryptografische Funktion bekannt ist; wobei eine Wiederholung der obigen Schritte (a) und (b) gemäß Schritt (e) die Sequenz von Werten von internen Geheimzuständen definiert, die die Mehrzahl von Pegeln von internen Geheimzuständen vom Grundgeheimzustand zu dem aktualisierten Geheimzustand durchlaufen, wobei wenigstens einige der internen Geheimzustände in der Sequenz dieselben Werte haben; und für wenigstens einige Wiederholungen der obigen Schritte (a) und (b) gemäß Schritt (e) Ausführen der folgenden Schritte (c) und (d): (c) Ersetzen (235, 245, 255, 265) in dem Speicher: (i) den internen Geheimzustand durch den aktualisierten Geheimzustand, wobei der aktualisierte Geheimzustand bei einem nachfolgenden Auftreten von Schritt (b) als der Eingangsgeheimzustand verwendet wird, wenn Schritt (b) gemäß Schritt (e) wiederholt wird; und (ii) den Indexparameter durch einen aktualisierten Indexparameter; (d) Ausführen einer kryptografischen Transaktion mit dem wenigstens einen zweiten Gerät durch Übertragen des aktualisierten Indexparameters und von mit dem aktualisierten Geheimzustand gesicherten Daten zu dem wenigstens einen zweiten Gerät, wobei das zweite Gerät für die folgenden Aufgaben konfiguriert ist: (i) Regenerieren des aktualisierten Geheimzustands von dem Grundgeheimzustand, zu dem das zweite Gerät Zugang hat, mittels des aktualisierten Indexparameters, durch Ausführen nur von Vorwärtstransformationsoperationen aus den mehreren Transformationsoperationen bei (ii) von einem höheren Pegel zu einem tieferen Pegel innerhalb der mehreren Pegel, wobei die Anzahl der Ausführungen erheblich geringer ist als die Anzahl der Wiederholungen der Schritte (a) bis (d) am ersten Gerät gemäß Schritt (e); und (ii) Verwenden des abgeleiteten aktualisierten Geheimzustands zum Verarbeiten der gesicherten Daten; und (e) Wiederholen der Schritte (a) bis (d) mehrere Male über eine Mehrzahl von durch das erste Gerät ausgeführten Transaktionen.
  2. Verfahren nach Anspruch 1, wobei die Transaktion mit einem kryptografischen Schlüssel ausgeführt wird, der der Wert des Geheimzustands ist.
  3. Verfahren nach Anspruch 1, wobei die Transaktion mit einem kryptografischen Schlüssel ausgeführt wird, der vom Wert des Geheimzustands abgeleitet wird.
  4. Verfahren nach Anspruch 1, 2 oder 3, wobei die Transformationsoperationen (235, 245, 255, 265) so gewählt werden (230, 240, 250, 260), dass Werte für den aktualisierten Geheimzustand niemals mehr als eine festgelegte Anzahl von Malen neu geschaffen werden, wenn Schritt (b) eine große Anzahl von Malen wiederholt wird.
  5. Verfahren nach Anspruch 4, wobei die feste Zahl drei ist.
  6. Verfahren nach einem der Ansprüche 1 bis 5, das ferner einen Schritt des Verifizierens beinhaltet, dass die gewählte Transformation korrekt berechnet wurde.
  7. Verfahren nach einem der Ansprüche 1 bis 6, das ferner die Schritte des Inkrementierens eines Fehlerzählers vor Schritt (b), das Anhalten, wenn der Fehlerzähler einen Höchstwert überschreitet und das Zurückstellen des Fehlerzählers nach dem Vollzug von dem Schritt (b) beinhaltet.
  8. Verfahren nach einem der Ansprüche 1 bis 7, das in einer Chipkarte gemäß ISO 7816 implementiert ist.
  9. Verfahren nach Anspruch 8, wobei die Chipkarte eine Karte mit gespeichertem Wert ist.
  10. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Transaktionen eine sichere Bezahlung für einen Kauf beinhalten.
  11. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Transaktionen das Autorisieren des Zugriffs auf einen Dienst beinhalten.
  12. Verfahren nach Anspruch 11, wobei der Dienst den Zugriff auf einen Webserver beinhaltet.
  13. Erstes kryptografisches Gerät zum Ausführen von Transaktionen mit wenigstens einem zweiten kryptografischen Gerät, das Folgendes umfasst: (a) wenigstens einen Speicher, der einen internen Geheimzustand enthält, der mehrere Werte gemäß einer definierten Sequenz mit einem Grundgeheimzustand annimmt, wobei jeder Wert auf einem von mehreren Pegeln ist; (b) einen Prozessor, der so konfiguriert ist, dass er wiederholt eine Mehrzahl von kryptografischen Transaktionen mit dem zweiten kryptografischen Gerät ausführt, wobei jede Transaktion kryptografisch verarbeitete Daten beinhaltet, wobei: (i) jede der kryptografischen Transaktionen (235, 245, 255, 265) mit dem internen Geheimzustand ausgeführt wird, (ii) zwischen den wiederholten Transaktionen wenigstens eine von mehreren Transformationsoperationen (235, 245, 255, 265), die einen Eingangsgeheimzustand in einen Ausgangsgeheimzustand umwandeln, ausgewählt und auf den internen Geheimzustand als den Eingangsgeheimzustand angewendet wird, um einen aktualisierten Geheimzustand als den Ausgangsgeheimzustand zu erzeugen, wobei der Eingangsgeheimzustand und der Ausgangsgeheimzustand auf einem höheren oder tieferen Pegel relativ zueinander innerhalb der mehreren Pegel von internen Geheimzuständen sind, wobei die Transformationsoperation eine nichtlineare kryptografische Funktion umfasst, die Teile des Eingangsgeheimzustands mischt, um einen Ausgangsgeheimzustand zu erzeugen, auf eine solche Weise, dass ein Leck von partieller statistischer Information über den Eingangsgeheimzustand keine nützlichen Informationen über den Ausgangsgeheimzustand ergibt, selbst dann, wenn die kryptografische Funktion bekannt ist; (iii) nach der Transformationsoperation der Wert des aktualisierten Geheimzustands in dem wenigstens einen Speicher zur Nutzung in wenigstens einer Folgetransaktion gespeichert wird; und (iv) die Schritte (i) bis (iii) mehrere Male über mehrere durch das erste Gerät ausgeführte Transaktionen wiederholt werden, wobei eine Wiederholung der Schritte (i) bis (iii) die Sequenz von Werten von internen Geheimzuständen definiert, die die mehreren Pegel von internen Geheimzuständen vom Grundgeheimzustand zum aktualisierten Geheimzustand durchlaufen, wobei wenigstens einige der internen Geheimzustände in der Sequenz dieselben Werte haben; (c) eine Schnittstelle, die so konfiguriert ist, dass sie die mit dem aktualisierten Geheimzustand gesicherten Daten zu dem zweiten Gerät überträgt, in dem der Wert des aktualisierten Geheimzustands, nachdem der Prozessor mehrere Transformationsoperationen ausgeführt hat, vom Grundgeheimzustand durch Ausführen einer erheblich kleineren Zahl von Transformationsoperationen als die Zahl der vom ersten Gerät ausgeführten Wiederholungen abgeleitet werden kann.
  14. Erstes Gerät nach Anspruch 13, wobei die Transaktion mit einem kryptografischen Schlüssel ausgeführt wird, der der Wert des Geheimzustands ist.
  15. Erstes Gerät nach Anspruch 13, wobei die Transaktion mit einem kryptografischen Schlüssel ausgeführt wird, der vom Wert des Geheimzustands abgeleitet wird.
  16. Erstes Gerät nach Anspruch 13, 14 oder 15, wobei das erste Gerät eine Chipkarte gemäß ISO 7816 ist.
  17. Erstes Gerät nach einem der Ansprüche 13 bis 16, bei dem: (i) die Mehrzahl von Transformationsoperationen n Mal ausgeführt wird; und (ii) die Transformationsoperationen (235, 245, 255, 265) so gewählt werden (230, 240, 250, 26), dass der Wert des aktualisierten Geheimzustands, nachdem der Prozessor die n Transformationsoperationen ausgeführt hat, durch das zweite Gerät vom Wert des internen Geheimzustands vor den n Transformationsoperationen mit erheblich weniger Rechenaufwand abgeleitet werden kann, als zum Ausführen von n Transformationsoperationen nötig wäre.
  18. Erstes Gerät nach Anspruch 17, wobei n größer als 50 ist.
  19. Erstes Gerät nach Anspruch 17 oder 18, wobei die Zahl der vom zweiten Gerät ausgeführten Transformationsoperationen durch den Logarithmus der Zahl der vom Prozessor ausgeführten Transformationsoperationen (235, 245, 255, 265) ermittelt wird.
  20. Erstes Gerät nach Anspruch 17, 18 oder 19, wobei der wenigstens eine Speicher ferner einen Indexparameter enthält, und wobei der Prozessor so konfiguriert ist, dass er den Wert des Indexparameters jedes Mal inkrementiert, wenn der Wert des internen Geheimzustands aktualisiert wird.
  21. Erstes Gerät nach Anspruch 20, wobei der Prozessor so konfiguriert ist, dass er den Wert des internen Geheimzustands durch Auswählen (230, 240, 250, 260) von wenigstens einer kryptografischen Transformation aus mehreren vordefinierten kryptografischen Transformationen (235, 245, 255, 265) und Anwenden der wenigstens einen kryptografischen Transformation auf den internen Geheimzustand aktualisiert.
  22. Erstes Gerät nach Anspruch 21, wobei der wenigstens eine Speicher ferner einen Tiefenparameter D enthält und wobei der Prozessor so konfiguriert ist, dass er die wenigstens eine kryptografische Transformation (235, 245, 255, 265) auf der Basis des aktuellen Wertes des Indexparameters und des Tiefenparameters D auswählt (230, 240, 250, 260).
  23. Erstes Gerät nach Anspruch 22, wobei der Geheimzustand D Unterelemente beinhaltet und die wenigstens eine kryptografische Transformation (235, 245, 255, 265) wenigstens eines der Unterelemente modifiziert und wobei die Wahl (230, 240, 250, 260) des wenigstens einen zu modifizierenden Unterelementes vom Indexparameter abhängt.
  24. Erstes Gerät nach Anspruch 23, wobei die mehreren von vordefinierten kryptografischen Transformationen (235, 245, 255, 265) wenigstens zwei Transformationen (235, 245) und die Umkehrungen der beiden Transformationen (255, 265) beinhaltet.
  25. Erstes Gerät nach Anspruch 24, wobei die mehreren kryptografischen Transformationen (235, 245, 255, 265) eine Blockverschlüsselung beinhalten.
  26. Erstes Gerät nach Anspruch 23 oder 24, wobei der Speicher so initialisiert (220) wird, dass der Anfangswert des Indexparameters null ist, und der Prozessor so konfiguriert ist, dass er eine erste kryptografische Transformation (235, 245, 255, 265) auswählt (230, 240, 250, 260), wenn der aktuelle Wert des Indexparameters kleiner als D-1 ist.
  27. Erstes Gerät nach Anspruch 26, wobei der Prozessor so konfiguriert ist, dass er die Umkehrung der ersten kryptografischen Transformation wählt, wenn der aktuelle Wert des Indexparameters gleich D-1 ist, und wobei der Prozessor so konfiguriert ist, dass er eine zweite kryptografische Transformation wählt, wenn der aktuelle Wert des Indexparameters gleich D ist, und wobei der Prozessor so konfiguriert ist, dass er die Umkehrung der zweiten kryptografischen Transformation wählt, wenn der aktuelle Wert des Indexparameters gleich D+1 ist.
  28. Erstes Gerät nach einem der Ansprüche 13 bis 27, wobei der Prozessor Überlauferkennungslogik beinhaltet, die so konfiguriert ist, dass sie prüft, ob der aktuelle Wert des Indexparameters gültig ist.
  29. Zweites kryptografisches Gerät zum Ausführen von Transaktionen mit einem ersten kryptografischen Gerät, das Folgende umfassend: (a) eine Schnittstelle zum Empfangen eines Wertes (320) eines Indexparameters und von mit einem aktuellen Wert eines internen Geheimzustands gesicherten Daten, wobei der aktuelle Wert des internen Geheimzustands vom ersten Gerät durch Ausführen einer Sequenz von durch den Indexparameter (230, 240, 250, 260) definierten Transformationsoperationen (235, 245, 255, 265) erzeugt wurde, beginnend mit einem Basiswert des internen Geheimzustands und endend mit dem aktuellen Wert des internen Geheimzustands, wobei jeder Wert auf einem von mehreren Pegeln ist, wobei jede Transformationsoperation einen Eingangsgeheimzustand in einen Ausgangsgeheimzustand umwandelt, wobei der Eingangsgeheimzustand und der Ausgangsgeheimzustand auf einem höheren oder tieferen Pegel relativ zueinander innerhalb mehreren Pegeln von internen Geheimzuständen sind; und (b) einen Prozessor, der so konfiguriert ist, dass er den aktuellen Wert des internen Geheimzustands vom Basiswert des internen Geheimzustands erneut ableitet, zu dem das zweite Gerät Zugang hat, wobei: (i) die Neuableitung die Ausführung einer erheblich kleineren Zahl von Transformationsoperationen (370, 380) relativ zur Zahl der vom ersten Gerät ausgeführten Transformationsoperationen beinhaltet, indem nur Vorwärtstransformationsoperationen aus den Transformationsoperationen bei (a) von einem höheren Pegel zu einem tieferen Pegel innerhalb der mehreren Pegel ausgeführt werden, wobei jede Transformationsoperation eine nichtlineare kryptografische Funktion beinhaltet, die Teile des Eingangsgeheimzustands mischt, um den Ausgangsgeheimzustand zu erzeugen; (ii) der Indexparameter die kürzere Sequenz von Transformationsoperationen (370, 380) in (i) ermittelt; und (iii) die Höchstzahl der in der kürzeren Sequenz benötigten Transformationsoperationen (370, 380) erheblich geringer ist als die Anzahl der zulässigen Werte für den Indexparameter.
  30. Zweites Gerät nach Anspruch 29, wobei die Höchstzahl der Transformationsoperationen in (b) (iii) durch den Logarithmus der Anzahl der zulässigen Werte für den Indexparameter bestimmt wird.
  31. Zweites Gerät nach Anspruch 29 oder 30, wobei die empfangenen Daten mit einem Schlüssel gesichert werden, der vom aktuellen Wert des internen Geheimzustands abgeleitet wurde.
  32. Zweites Gerät nach Anspruch 29, 30 oder 31, wobei das erste Gerät eine Chipkarte gemäß ISO 7816 umfasst.
  33. Zweites Gerät nach einem der Ansprüche 29 bis 32, wobei das zweite Gerät ein Handelsterminal für ein Zahlungssystem ist.
  34. Zweites Gerät nach Anspruch 33, wobei der Prozessor so konfiguriert ist, dass er den aktuellen Wert des internen Geheimzustands ableitet, indem er für jede Wiederholung der Geheimzustandstransformationsschleife einen Wert benutzt, der vom Indexparameter abgeleitet wurde, um wenigstens eine kryptografische Transformation aus einer Mehrzahl von kryptografischen Transformationen (370, 380) auszuwählen (360), und die wenigstens eine kryptografische Transformation (370, 380) auf den internen Geheimzustand anwendet.
  35. Kryptografisches System, das ein erstes Gerät nach Anspruch 13 und ein zweites Gerät nach Anspruch 29 zum Ausführen von Transaktionen dazwischen umfasst.
  36. Verfahren, das von einem kryptografischen Servergerät ausgeführt wird und Folgendes beinhaltet: (a) Empfangen, von einem Client-Gerät, eines Wertes (320) eines Indexparameters und von mit einem aktuellen Wert eines internen Geheimzustands gesicherten Daten, wobei der aktuelle Wert des internen Geheimzustands vom Client-Gerät durch Ausführen einer Sequenz von durch den Indexparameter (230, 240, 250, 260) definierten Transformationsoperationen (235, 245, 255, 265) erzeugt wurde, beginnend mit einem Basiswert des internen Geheimzustands und endend mit dem aktuellen Wert des internen Geheimzustands, wobei jeder Wert auf einem von mehreren Pegeln ist, wobei jede Transformationsoperation einen Eingangsgeheimzustand in einen Ausgangsgeheimzustand umwandelt, wobei der Eingangsgeheimzustand und der Ausgangsgeheimzustand auf einem höheren oder tieferen Pegel relativ zueinander innerhalb mehrerer Pegel von internen Geheimzuständen sind; und (b) im Server-Gerät, erneutes Ableiten des aktuellen Wertes des internen Geheimzustands vom Basiswert des internen Geheimzustands, zu dem das Servergerät Zugang hat, wobei: (i) die Neuableitung die Ausführung einer erheblich kleineren Zahl von Transformationsoperationen (370, 380) relativ zu der Anzahl der vom Client-Gerät ausgeführten Transformationsoperationen beinhaltet, indem nur Vorwärtstransformationsoperationen aus den Transformationsoperationen bei (a) von einem höheren Pegel zu einem tieferen Pegel innerhalb der mehreren Pegel ausgeführt werden, wobei jede Transformationsoperation eine nichtlineare kryptografische Funktion beinhaltet, die Teile des Eingangsgeheimzustands mischt, um einen Ausgangsgeheimzustand zu erzeugen; (ii) der Indexparameter die kürzere Sequenz von Transformationsoperationen (370, 380) in (i) bestimmt; und (iii) die Höchstzahl der in der kürzeren Sequenz benötigten Transformationsoperationen (370, 380) erheblich kleiner ist als die Anzahl der zulässigen Werte für den Indexparameter.
  37. Verfahren nach Anspruch 36, wobei das Client-Gerät eine Chipkarte gemäß ISO 7816 ist.
  38. Verfahren nach Anspruch 36 oder 37, wobei das Client-Gerät und das Servergerät Komponenten eines größeren Gerätes sind.
  39. Verfahren nach Anspruch 36, 37 oder 38, wobei das Servergerät auch einen Indexparameter enthält, und das ferner die folgenden Schritte beinhaltet: (a) Auswählen des größeren Indexparameters der beiden Geräte, (b) Verwenden des größeren Indexparameterwertes zum Sichern der Transaktion, und (c) durch beide Geräte das Inkrementieren und Speichern des größeren Indexparameterwertes für die Verwendung in Folgetransaktionen.
  40. Verfahren nach einem der Ansprüche 36 bis 39, wobei die Schritte in der gegebenen Reihenfolge ausgeführt werden.
  41. Verfahren nach einem der Ansprüche 36 bis 40, wobei die Transformationsoperation Folgendes beinhaltet: (a) Teilen des Wertes des internen Geheimzustands (400, 450, 475, 485) in wenigstens zwei Unterwerte (405, 410, 476, 477); (b) Verschlüsseln (415, 460, 478) eines ersten der Unterwerte (410, 476) zum Erzeugen eines verschlüsselten Unterwertes; (c) Verwenden einer XOR-Operation (420) zum Kombinieren des verschlüsselten Unterwertes mit einem zweiten der Unterwerte (405, 477), um einen ersten Teil des Ergebnisses der Transformationsoperation zu bilden; (d) Verschlüsseln (425, 460, 479) des ersten Ergebnisteils; und (e) Unterziehen der Verschlüsselung (425, 460, 479) des ersten Ergebnisteils einem XOR-Operation (430) mit dem ersten Unterwert (410, 476), um einen zweiten Teil des Ergebnisses der Transformationsoperation zu erzeugen.
  42. Verfahren nach Anspruch 41, wobei die Verschlüsselungsschritte die Anwendung des DES-Algorithmus beinhalten.
  43. Verfahren nach einem der Ansprüche 36 bis 39, wobei die Schritte in einer anderen als der gegebenen Reihenfolge ausgeführt werden.
DE69935913T 1998-07-02 1999-07-02 Leckresistente aktualisierung eines indexierten kryptographischen schlüssels Expired - Lifetime DE69935913T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US9164498P 1998-07-02 1998-07-02
US91644P 1998-07-02
PCT/US1999/015146 WO2000002342A2 (en) 1998-07-02 1999-07-02 Leak-resistant cryptographic indexed key update

Publications (2)

Publication Number Publication Date
DE69935913D1 DE69935913D1 (de) 2007-06-06
DE69935913T2 true DE69935913T2 (de) 2008-01-10

Family

ID=22228888

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69935913T Expired - Lifetime DE69935913T2 (de) 1998-07-02 1999-07-02 Leckresistente aktualisierung eines indexierten kryptographischen schlüssels

Country Status (8)

Country Link
US (5) US6539092B1 (de)
EP (1) EP1092297B1 (de)
JP (1) JP4216475B2 (de)
AT (1) ATE360866T1 (de)
AU (1) AU5458199A (de)
CA (1) CA2334597C (de)
DE (1) DE69935913T2 (de)
WO (1) WO2000002342A2 (de)

Families Citing this family (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7587044B2 (en) 1998-01-02 2009-09-08 Cryptography Research, Inc. Differential power analysis method and apparatus
DE69834431T3 (de) * 1998-01-02 2009-09-10 Cryptography Research Inc., San Francisco Leckresistentes kryptographisches verfahren und vorrichtung
CA2333095C (en) * 1998-06-03 2005-05-10 Cryptography Research, Inc. Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems
ATE360866T1 (de) * 1998-07-02 2007-05-15 Cryptography Res Inc Leckresistente aktualisierung eines indexierten kryptographischen schlüssels
CA2243761C (en) * 1998-07-21 2009-10-06 Certicom Corp. Timing attack resistant cryptographic system
AU1966601A (en) 1999-10-18 2001-04-30 Stamps.Com Method and apparatus for on-line value-bearing item system
AU1432901A (en) * 1999-10-18 2001-04-30 Stamps.Com Cryptographic module for secure processing of value-bearing items
WO2001061652A2 (en) * 2000-02-16 2001-08-23 Stamps.Com Secure on-line ticketing
ES2184633B1 (es) * 2001-08-07 2004-08-01 J. URIACH &amp; CIA, S.A. Procedimiento para la preparacion de derivados de 4-(imidazol-1-il) bencenosulfonamida.
US7444676B1 (en) 2001-08-29 2008-10-28 Nader Asghari-Kamrani Direct authentication and authorization system and method for trusted network of financial institutions
US8281129B1 (en) 2001-08-29 2012-10-02 Nader Asghari-Kamrani Direct authentication system and method via trusted authenticators
FR2829331B1 (fr) * 2001-09-04 2004-09-10 St Microelectronics Sa Procede de securisation d'une quantite secrete
US7363494B2 (en) * 2001-12-04 2008-04-22 Rsa Security Inc. Method and apparatus for performing enhanced time-based authentication
US20030131087A1 (en) * 2002-01-04 2003-07-10 Shippy Keith L. Method of using billing log activity to determine software update frequency
EP1387519A3 (de) * 2002-07-09 2004-02-18 Cp8 Verfahren zur Sicherung von Schaltkreisen gegen fehlerbasierte Seitenkanalangriffe
US8396926B1 (en) * 2002-07-16 2013-03-12 Sonicwall, Inc. Message challenge response
US7908330B2 (en) 2003-03-11 2011-03-15 Sonicwall, Inc. Message auditing
US7539726B1 (en) 2002-07-16 2009-05-26 Sonicwall, Inc. Message testing
US8924484B2 (en) 2002-07-16 2014-12-30 Sonicwall, Inc. Active e-mail filter with challenge-response
EP1557025B1 (de) * 2002-10-30 2006-05-03 Thomson Licensing Vereinfachtes verfahren zur symmetrischen schlüsselerneuerung in einem digitalen netzwerk
US8266215B2 (en) * 2003-02-20 2012-09-11 Sonicwall, Inc. Using distinguishing properties to classify messages
US7406502B1 (en) 2003-02-20 2008-07-29 Sonicwall, Inc. Method and system for classifying a message based on canonical equivalent of acceptable items included in the message
US7299261B1 (en) * 2003-02-20 2007-11-20 Mailfrontier, Inc. A Wholly Owned Subsidiary Of Sonicwall, Inc. Message classification using a summary
US7730518B2 (en) * 2003-07-31 2010-06-01 Emc Corporation Method and apparatus for graph-based partition of cryptographic functionality
JP2007506392A (ja) * 2003-09-22 2007-03-15 イムプシス ディジタル セキュリティ アクチボラゲット データ通信機密保護の仕組みおよび方法
BRPI0415314B8 (pt) * 2003-10-14 2018-05-02 Magnus Nystroem método e arranjo para gerenciar gerações de informação de código de segurança em um ambiente de informação, e, entidades consumidora e de produção de código de segurança em um ambiente de informação
US8055584B2 (en) * 2003-10-20 2011-11-08 First Data Corporation Systems and methods for fraud management in relation to stored value cards
US10109141B2 (en) * 2003-12-24 2018-10-23 Intel Corporation Method and apparatus for establishing trust in smart card readers
US20050182934A1 (en) * 2004-01-28 2005-08-18 Laszlo Elteto Method and apparatus for providing secure communications between a computer and a smart card chip
KR100969241B1 (ko) * 2004-02-13 2010-07-09 노키아 코포레이션 네트워크 상의 데이터 관리 방법 및 시스템
EP1764698A1 (de) * 2004-04-26 2007-03-21 Matsushita Electric Industrial Co., Ltd. Computersystem und computerprogramm zur ausführung von verschlüsselung oder entschlüsselung
FR2873523B1 (fr) * 2004-07-22 2007-08-10 Sagem Procede et dispositif d'execution d'un calcul cryptographique
US7477741B1 (en) 2004-10-01 2009-01-13 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Analysis resistant cipher method and apparatus
US20060212407A1 (en) * 2005-03-17 2006-09-21 Lyon Dennis B User authentication and secure transaction system
US20060269066A1 (en) * 2005-05-06 2006-11-30 Schweitzer Engineering Laboratories, Inc. System and method for converting serial data into secure data packets configured for wireless transmission in a power system
US8041032B2 (en) * 2005-08-19 2011-10-18 Cardiac Pacemakers, Inc. Symmetric key encryption system with synchronously updating expanded key
WO2007024828A2 (en) * 2005-08-23 2007-03-01 Soft Resources, Llc Authentication protection apparatus and method
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
WO2007129197A1 (en) * 2006-05-04 2007-11-15 Synaptic Laboratories Limited Cryptographic apparatus and process
EP1873671B2 (de) * 2006-06-29 2018-08-22 STMicroelectronics International N.V. Verfahren zum Schutz von IC-Karten vor Leistungsanalyse-Attacken
US8301890B2 (en) * 2006-08-10 2012-10-30 Inside Secure Software execution randomization
US7613907B2 (en) * 2006-08-11 2009-11-03 Atmel Corporation Embedded software camouflage against code reverse engineering
US7984301B2 (en) * 2006-08-17 2011-07-19 Inside Contactless S.A. Bi-processor architecture for secure systems
US7554865B2 (en) * 2006-09-21 2009-06-30 Atmel Corporation Randomizing current consumption in memory devices
US7958320B2 (en) * 2006-12-05 2011-06-07 Intel Corporation Protected cache architecture and secure programming paradigm to protect applications
US20080183618A1 (en) * 2007-01-26 2008-07-31 First Data Corporation Global government sanctions systems and methods
US8059814B1 (en) * 2007-09-28 2011-11-15 Emc Corporation Techniques for carrying out seed or key derivation
IL187045A0 (en) * 2007-10-30 2008-02-09 Sandisk Il Ltd Software protection against fault attacks
FR2928060B1 (fr) * 2008-02-25 2010-07-30 Groupe Des Ecoles De Telecommunications Get Ecole Nat Superieure Des Telecommunications Enst Procede de test de circuits de cryptographie, circuit de cryptographie securise apte a etre teste, et procede de cablage d'un tel circuit.
US8301876B2 (en) * 2008-05-16 2012-10-30 Emc Corporation Techniques for secure network communication
FR2935059B1 (fr) * 2008-08-12 2012-05-11 Groupe Des Ecoles De Telecommunications Get Ecole Nationale Superieure Des Telecommunications Enst Procede de detection d'anomalies dans un circuit de cryptographie protege par logique differentielle et circuit mettant en oeuvre un tel procede
CN103560880B (zh) 2008-08-19 2017-04-12 Nxp股份有限公司 用于生成基于密码的消息认证码的方法
US8341084B2 (en) * 2009-06-08 2012-12-25 Mastercard International Incorporated Method, apparatus, and computer program product for topping up prepaid payment cards for offline use
WO2010033476A1 (en) * 2008-09-17 2010-03-25 Mastercard International, Inc. Off-line activation/loading of pre-authorized and cleared payment cards
CN101729243B (zh) * 2008-10-21 2011-12-07 中兴通讯股份有限公司 密钥更新方法和系统
CN101729247B (zh) * 2008-10-22 2012-07-18 中兴通讯股份有限公司 密钥更新方法和系统
EP2290901A1 (de) * 2009-08-26 2011-03-02 Gemalto SA Mobile elektronische Vorrichtung, die konfiguriert ist, um eine gesicherte drahtlose Kommunikation aufzubauen
EP2290872B1 (de) 2009-08-27 2014-06-18 Nxp B.V. Vorrichtung zur Erzeugung eines Nachrichtenauthentifizierungscodes zur Authentifizierung einer Nachricht
US8533451B2 (en) 2009-09-29 2013-09-10 Zamtec Ltd Method of encrypted communication with limited number of stored encryption key retrievals
US8683196B2 (en) * 2009-11-24 2014-03-25 Red Hat, Inc. Token renewal
CN102725737B (zh) 2009-12-04 2016-04-20 密码研究公司 可验证防泄漏的加密和解密
FR2960366A1 (fr) * 2010-05-20 2011-11-25 Ingenico Sa Procede d’obtention de cles de chiffrement, terminal, serveur, et produits programmes d’ordinateurs correspondants
US8966253B1 (en) 2010-06-01 2015-02-24 Xilinx, Inc. Method and apparatus for authenticating a programmable device bitstream
US8539254B1 (en) 2010-06-01 2013-09-17 Xilinx, Inc. Method and integrated circuit for protecting against differential power analysis attacks
US8583944B1 (en) 2010-08-04 2013-11-12 Xilinx, Inc. Method and integrated circuit for secure encryption and decryption
US8650408B2 (en) 2010-09-08 2014-02-11 Xilinx, Inc. Protecting against differential power analysis attacks on decryption keys
US8832462B2 (en) 2010-09-08 2014-09-09 Xilinx, Inc. Protecting against differential power analysis attacks on sensitive data
JP5198526B2 (ja) 2010-09-21 2013-05-15 株式会社東芝 暗号化装置および復号装置
JP5159849B2 (ja) * 2010-09-24 2013-03-13 株式会社東芝 メモリ管理装置及びメモリ管理方法
US8379850B1 (en) 2010-10-08 2013-02-19 Xilinx, Inc. Method and integrated circuit for secure encryption and decryption
US20120124378A1 (en) * 2010-11-12 2012-05-17 Xac Automation Corp. Method for personal identity authentication utilizing a personal cryptographic device
US20120158528A1 (en) * 2010-12-21 2012-06-21 Ebay, Inc. Efficient transactions at a point of sale location
DE102010055699A1 (de) * 2010-12-22 2012-06-28 Giesecke & Devrient Gmbh Kryptographisches Verfahren
IT1404162B1 (it) * 2010-12-30 2013-11-15 Incard Sa Metodo per de-correlare segnali elettrici emessi da una carta a circuito integrato
US8909941B1 (en) 2011-03-31 2014-12-09 Xilinx, Inc. Programmable integrated circuit and a method of enabling the detection of tampering with data provided to a programmable integrated circuit
US9106633B2 (en) 2011-05-26 2015-08-11 First Data Corporation Systems and methods for authenticating mobile device communications
US9008303B1 (en) * 2011-12-22 2015-04-14 Emc Corporation Method and apparatus for generating forward secure pseudorandom numbers
US8334705B1 (en) 2011-10-27 2012-12-18 Certicom Corp. Analog circuitry to conceal activity of logic circuitry
US8635467B2 (en) 2011-10-27 2014-01-21 Certicom Corp. Integrated circuit with logic circuitry and multiple concealing circuits
US9553725B2 (en) * 2011-11-21 2017-01-24 Combined Conditional Access Development And Support, Llc System and method for authenticating data
JP6251732B2 (ja) * 2012-05-03 2017-12-20 テレフオンアクチーボラゲット エルエム エリクソン(パブル) Embmsにおける集中化した鍵管理
US9106405B1 (en) * 2012-06-25 2015-08-11 Amazon Technologies, Inc. Multi-user secret decay
US20140192974A1 (en) 2012-10-17 2014-07-10 Elliptic Technologies Inc. System and method for cryptographic processing in a time window
FR2998693B1 (fr) 2012-11-29 2015-03-13 Spirtech Procede de derivation de cles cryptographiques multiples a partir d'une cle maitresse dans un microprocesseur de securite
US9407434B2 (en) 2013-01-07 2016-08-02 Cisco Technology, Inc. Secrets renewability
JP6279217B2 (ja) * 2013-03-08 2018-02-14 株式会社東芝 Icカード、電子装置、及び携帯可能電子装置
US9009495B2 (en) 2013-06-28 2015-04-14 Envieta, LLC High speed cryptographic combining system, and method for programmable logic devices
US9641641B1 (en) * 2014-04-21 2017-05-02 Google Inc. Temporal adjustment of identifiers
EP2996277B1 (de) * 2014-09-10 2018-11-14 Nxp B.V. Befestigung einer kryptografischen Vorrichtung gegen die Implementierung von Angriffen
US9710675B2 (en) * 2015-03-26 2017-07-18 Intel Corporation Providing enhanced replay protection for a memory
US9792229B2 (en) 2015-03-27 2017-10-17 Intel Corporation Protecting a memory
EP3089398B1 (de) 2015-04-30 2017-10-11 Nxp B.V. Sicherung einer kryptographischen vorrichtung
US20170091758A1 (en) * 2015-09-30 2017-03-30 Bank Of America Corporation Merchant tokenization migration infrastructure system
US10607215B2 (en) 2015-09-30 2020-03-31 Bank Of America Corporation Account tokenization for virtual currency resources
US10453059B2 (en) 2015-09-30 2019-10-22 Bank Of America Corporation Non-intrusive geo-location determination associated with transaction authorization
TWI581123B (zh) * 2015-12-01 2017-05-01 Chunghwa Telecom Co Ltd Application of Dual - mode Authentication and Authorization System and Method in Hardware Password Module
EP3208789B1 (de) * 2016-02-22 2020-08-05 Eshard Verfahren zum schutz einer schaltung gegen eine seitenkanalanalyse
DE102016107913A1 (de) * 2016-04-28 2017-11-16 Deutscher Genossenschafts-Verlag Eg Verfahren zur Übertragung von vertraulichen Nachrichten
US10271209B2 (en) * 2016-06-12 2019-04-23 Apple Inc. Session protocol for backward security between paired devices
EP4131038A1 (de) * 2016-07-25 2023-02-08 Apple Inc. System und verfahren zur authentifizierung einer komponente einer elektronischen vorrichtung
US20180150836A1 (en) * 2016-11-29 2018-05-31 Ca, Inc. Generating tokens dynamically using payment keys
EP3337086A1 (de) * 2016-12-15 2018-06-20 Gemalto Sa Verfahren zur synchronisierten signatur mit zusätzlicher rsa-schlüssel-spaltung unter verwendung eines gleitfensters
EP3340147A1 (de) 2016-12-22 2018-06-27 Mastercard International Incorporated Verfahren zur bereitstellung von schlüsselkennungen in transaktionsdaten
CN107222306A (zh) * 2017-01-22 2017-09-29 天地融科技股份有限公司 一种密钥更新方法、装置及系统
JP6844328B2 (ja) * 2017-03-06 2021-03-17 大日本印刷株式会社 Icカードおよびコンピュータプログラム
US10997322B2 (en) 2017-05-22 2021-05-04 Arm Limited Efficient power distribution
US10924261B2 (en) 2017-05-22 2021-02-16 Arm Limited Efficient power distribution
US20190156337A1 (en) * 2017-11-17 2019-05-23 Visa International Service Association System and Method for Processing Deferred Authorization Transactions
US10826694B2 (en) 2018-04-23 2020-11-03 International Business Machines Corporation Method for leakage-resilient distributed function evaluation with CPU-enclaves
US11019098B2 (en) * 2018-06-29 2021-05-25 Intel Corporation Replay protection for memory based on key refresh
US10554411B1 (en) 2018-10-02 2020-02-04 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
JP2022511281A (ja) 2018-10-02 2022-01-31 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 非接触カードの暗号化認証のためのシステムおよび方法
US10581611B1 (en) * 2018-10-02 2020-03-03 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
JP2021048518A (ja) 2019-09-19 2021-03-25 株式会社東芝 情報処理装置、情報処理システム及び情報処理装置の制御方法
US11695559B2 (en) * 2019-09-30 2023-07-04 Salesforce, Inc. Nested tenancy that permits a hierarchy having a plurality of levels
CN111581223B (zh) * 2020-04-11 2023-08-22 北京城市网邻信息技术有限公司 一种数据更新方法、装置、终端设备及存储介质
US11394308B1 (en) 2021-05-05 2022-07-19 Arm Limited Apparatuses and methods for power isolation

Family Cites Families (254)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US19945A (en) * 1858-04-13 Kigidly the ends of metal beams
US515438A (en) * 1894-02-27 Hame-tug
US2733432A (en) * 1956-01-31 Breckman
FR561910A (de) 1922-02-11 1923-10-30
US2201650A (en) * 1936-12-14 1940-05-21 United Specialties Co Air cleaner
US4214126A (en) * 1945-04-30 1980-07-22 Rca Corporation Cadence suppression system
US2632058A (en) * 1946-03-22 1953-03-17 Bell Telephone Labor Inc Pulse code communication
US3816762A (en) * 1973-01-02 1974-06-11 Fairchild Camera Instr Co Noise suppression circuit
US4078152A (en) 1976-04-26 1978-03-07 International Business Machines Corporation Block-cipher cryptographic system with chaining
US4243890A (en) * 1976-08-23 1981-01-06 Miller Bruce J Isolator/switching assembly for data processing terminal
US4107458A (en) 1976-08-23 1978-08-15 Constant James N Cipher computer and cryptographic system
DE2658065A1 (de) * 1976-12-22 1978-07-06 Ibm Deutschland Maschinelles chiffrieren und dechiffrieren
US4139839A (en) * 1977-03-18 1979-02-13 Nasa Digital data reformatter/deserializer
US4295041A (en) 1977-08-26 1981-10-13 Compagnie Internationale Pour L'informatique Cii-Honeywell Bull (Societe Anonyme) Device for the protection of access to a permanent memory of a portable data carrier
FR2401459A1 (fr) * 1977-08-26 1979-03-23 Cii Honeywell Bull Support d'information portatif muni d'un microprocesseur et d'une memoire morte programmable
US4200770A (en) * 1977-09-06 1980-04-29 Stanford University Cryptographic apparatus and method
US4202051A (en) 1977-10-03 1980-05-06 Wisconsin Alumni Research Foundation Digital data enciphering and deciphering circuit and method
CH623271A5 (de) 1977-11-15 1981-05-29 Hasler Ag
US4203166A (en) * 1977-12-05 1980-05-13 International Business Machines Corporation Cryptographic file security for multiple domain networks
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US4309569A (en) 1979-09-05 1982-01-05 The Board Of Trustees Of The Leland Stanford Junior University Method of providing digital signatures
US4369332A (en) 1979-09-26 1983-01-18 Burroughs Corporation Key variable generator for an encryption/decryption device
US4268898A (en) * 1980-03-20 1981-05-19 Lorain Products Corporation Semiconductor switching circuit with clamping and energy recovery features
DE3127843A1 (de) * 1981-07-15 1983-05-26 AEG-Telefunken Nachrichtentechnik GmbH, 7150 Backnang Verfahren zur verhinderung von "kompromittierender abstrahlung" bei der verarbeitung und uebertragung geheimer dateninformationen
JPS58187015A (ja) 1982-04-26 1983-11-01 Nippon Telegr & Teleph Corp <Ntt> スイツチト・キヤパシタ回路
US4605921A (en) 1983-06-20 1986-08-12 Riddle Herbert S Digital word-framing technique and system
US4569052A (en) * 1983-07-14 1986-02-04 Sperry Corporation Coset code generator for computer memory protection
US4759063A (en) * 1983-08-22 1988-07-19 Chaum David L Blind signature systems
US4776011A (en) 1983-10-24 1988-10-04 Sony Corporation Recursive key schedule cryptographic system
US4605820A (en) 1983-11-10 1986-08-12 Visa U.S.A. Inc. Key management system for on-line communication
US4570084A (en) * 1983-11-21 1986-02-11 International Business Machines Corporation Clocked differential cascode voltage switch logic systems
JPS60146361A (ja) 1984-01-10 1985-08-02 Nippon Telegr & Teleph Corp <Ntt> Icカ−ドによる個人の認証方法
US4799258A (en) * 1984-02-13 1989-01-17 National Research Development Corporation Apparatus and methods for granting access to computers
NL8401989A (nl) * 1984-06-22 1986-01-16 Nederlanden Staat Video-eindstation met beeldlijnverhaspeling.
JPS61102167A (ja) * 1984-10-23 1986-05-20 Yokogawa Hokushin Electric Corp Dc/dcコンバ−タ
US4661658A (en) 1985-02-12 1987-04-28 International Business Machines Corporation Offline PIN validation with DES
US4972472A (en) * 1985-03-15 1990-11-20 Tandem Computers Incorporated Method and apparatus for changing the master key in a cryptographic system
JPS6282702A (ja) 1985-10-07 1987-04-16 Yokogawa Hewlett Packard Ltd 擬似ランダム・ガウス雑音発生装置
US4686392A (en) 1985-10-30 1987-08-11 International Business Machines Corporation Multi-functional differential cascode voltage switch logic
JPH0664635B2 (ja) 1986-01-20 1994-08-22 日本電信電話株式会社 Icカ−ドシステム
GB8608172D0 (en) 1986-04-03 1986-05-08 Walker S M Computer security devices
JPS62260406A (ja) 1986-05-06 1987-11-12 Nec Corp 白色雑音発生器
FR2600183B1 (fr) * 1986-06-13 1990-10-12 Eurotechnique Sa Circuit integre pour la memorisation et le traitement d'informations de maniere confidentielle comportant un dispositif anti-fraude
US4937866A (en) * 1986-08-13 1990-06-26 U.S. Philips Corporation System for decoding transmitted scrambled signals
JPS6370550A (ja) * 1986-09-12 1988-03-30 Nec Corp 半導体集積回路装置
US5341423A (en) * 1987-02-06 1994-08-23 General Electric Company Masked data transmission system
US4969188A (en) * 1987-02-17 1990-11-06 Gretag Aktiengesellschaft Process and apparatus for the protection of secret elements in a network of encrypting devices with open key management
GB8704920D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging system
GB8704883D0 (en) 1987-03-03 1987-04-08 Hewlett Packard Co Secure information storage
FR2617976B1 (fr) * 1987-07-10 1989-11-10 Thomson Semiconducteurs Detecteur electrique de niveau logique binaire
US4881264A (en) * 1987-07-30 1989-11-14 Merkle Ralph C Digital signature system and method based on a conventional encryption function
EP0304733B1 (de) 1987-08-14 1993-02-10 Siemens Aktiengesellschaft Datenübertragungsverfahren
JPS6481087A (en) 1987-09-22 1989-03-27 Hitachi Maxell Ic card data transmission system
JPH01114995A (ja) * 1987-10-29 1989-05-08 Toppan Printing Co Ltd Icカード
JP2698588B2 (ja) * 1987-11-13 1998-01-19 株式会社東芝 携帯可能電子装置
US4888801A (en) * 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
US5412379A (en) 1988-05-27 1995-05-02 Lectron Products, Inc. Rolling code for a keyless entry system
JPH022475A (ja) 1988-06-15 1990-01-08 Omron Tateisi Electron Co Icカード
NO165698C (no) 1988-07-05 1991-03-20 System Sikkerhet As System for beskyttelse mot avlytting av digitalt utstyr.
DE3825880C1 (de) 1988-07-29 1995-12-21 Siemens Ag Schlüsseleinrichtung
GB8819767D0 (en) * 1988-08-19 1989-07-05 Ncr Co Public key diversification method
US4932057A (en) * 1988-10-17 1990-06-05 Grumman Aerospace Corporation Parallel transmission to mask data radiation
US4905176A (en) * 1988-10-28 1990-02-27 International Business Machines Corporation Random number generator circuit
FR2638869B1 (fr) * 1988-11-10 1990-12-21 Sgs Thomson Microelectronics Dispositif de securite contre la detection non autorisee de donnees protegees
US5293029A (en) * 1989-01-17 1994-03-08 Kabushiki Kaisha Toshiba System for mutually certifying an IC card and an IC card terminal
JPH02187888A (ja) 1989-01-17 1990-07-24 Toshiba Corp 認証方式
SE462935B (sv) 1989-01-30 1990-09-17 Cominvest Res Ab Saett och anordning foer hindrande av extern detektering av signalinformation
US5181243A (en) * 1989-05-19 1993-01-19 Syntellect, Inc. System and method for communications security protection
US5086467A (en) * 1989-05-30 1992-02-04 Motorola, Inc. Dummy traffic generation
DK279089D0 (da) * 1989-06-07 1989-06-07 Kommunedata I S Fremgangsmaade til overfoersel af data, et elektronisk dokument eller lignende, system til udoevelse af fremgangsmaaden samt et kort til brug ved udoevelse af fremgangsmaaden
FR2651347A1 (fr) 1989-08-22 1991-03-01 Trt Telecom Radio Electr Procede de generation de nombre unique pour carte a microcircuit et application a la cooperation de la carte avec un systeme hote.
US5412730A (en) 1989-10-06 1995-05-02 Telequip Corporation Encrypted data transmission system employing means for randomly altering the encryption keys
US5136643A (en) 1989-10-13 1992-08-04 Fischer Addison M Public/key date-time notary facility
IT1238529B (it) 1989-11-10 1993-08-18 Data Protection Srl Dispositivo di protezione per computer e simili, atto ad impedire la cattura, la registrazione e l'uso indebito di dati dai medesimi duran-te il loro funzionamento e a proteggerli da disturbi transitori, ad e-levato contenuto energetico, verificantisi sulla rete a corrente alternata di alimentazione.
GB9001517D0 (en) * 1990-01-23 1990-03-21 Crosfield Electronics Ltd Electronic image modification
US5249294A (en) 1990-03-20 1993-09-28 General Instrument Corporation Determination of time of execution of predetermined data processing routing in relation to occurrence of prior externally observable event
GB2242797B (en) 1990-04-07 1993-12-08 Ferranti Int Plc Signal generation using digital-to-analogue conversion
US5177430A (en) * 1990-04-19 1993-01-05 Moshe Mohel Circuit for securing a power supply
GB2247138B (en) * 1990-06-29 1994-10-12 Digital Equipment Corp System and method for error detection and reducing simultaneous switching noise
US5136646A (en) 1991-03-08 1992-08-04 Bell Communications Research, Inc. Digital document time-stamping with catenate certificate
US5081677A (en) 1990-08-31 1992-01-14 International Business Machines Corp. Crypotographic key version control facility
JPH0778975B2 (ja) * 1990-09-27 1995-08-23 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン 光学ディスク駆動装置
FR2667715A1 (fr) 1990-10-09 1992-04-10 Gemplus Card Int Procede et dispositif pour accroitre la protection d'une carte a memoire.
US5144667A (en) 1990-12-20 1992-09-01 Delco Electronics Corporation Method of secure remote access
US5149992A (en) 1991-04-30 1992-09-22 The State Of Oregon Acting By And Through The State Board Of Higher Education On Behalf Of Oregon State University MOS folded source-coupled logic
US5241598A (en) * 1991-05-22 1993-08-31 Ericsson Ge Mobile Communications, Inc. Rolling key resynchronization in cellular verification and validation system
SE500276C2 (sv) * 1991-06-24 1994-05-24 Shield Research In Sweden Ab Förfarande och anordning för att förhindra extern detektering av signalinformation
US5142578A (en) * 1991-08-22 1992-08-25 International Business Machines Corporation Hybrid public key algorithm/data encryption algorithm key distribution method based on control vectors
US5159632A (en) 1991-09-17 1992-10-27 Next Computer, Inc. Method and apparatus for public key exchange in a cryptographic system
WO1993006695A1 (en) * 1991-09-23 1993-04-01 Z-Microsystems Enhanced security system for computing devices
JP3083187B2 (ja) * 1991-09-30 2000-09-04 富士通株式会社 電子財布システムの鍵管理方式
DE69311596T2 (de) 1992-02-27 1998-01-02 Philips Electronics Nv Integrierte CMOS-Schaltung
JP2821306B2 (ja) * 1992-03-06 1998-11-05 三菱電機株式会社 Icカードと端末機との間の認証方法およびそのシステム
IT1259383B (it) 1992-04-02 1996-03-12 Dispositivo di protezione per computer e simili
US5600324A (en) * 1992-05-11 1997-02-04 Rockwell International Corporation Keyless entry system using a rolling code
US5268962A (en) * 1992-07-21 1993-12-07 Digital Equipment Corporation Computer network with modified host-to-host encryption keys
US5297201A (en) * 1992-10-13 1994-03-22 J.D. Technologies, Inc. System for preventing remote detection of computer data from tempest signal emissions
US5450563A (en) 1992-10-30 1995-09-12 International Business Machines Corporation Storage protection keys in two level cache system
FR2704081B1 (fr) * 1993-04-16 1995-05-19 France Telecom Procédé de mise à jour d'une carte à mémoire et carte à mémoire pour la mise en Óoeuvre de ce procédé.
WO1994026045A1 (en) * 1993-05-05 1994-11-10 Zunquan Liu A repertoire of mappings for a cryptosystem
US5297207A (en) * 1993-05-24 1994-03-22 Degele Steven T Machine generation of cryptographic keys by non-linear processes similar to processes normally associated with encryption of data
EP0701718A4 (de) * 1993-06-02 2000-03-29 Verifone Inc System und verfahren zum aufwerten gespeicherter tokens auf einer chipkarte
US5483598A (en) 1993-07-01 1996-01-09 Digital Equipment Corp., Patent Law Group Message encryption using a hash function
US5914471A (en) * 1993-07-20 1999-06-22 Koninklijke Ptt Nederland N.V. Method and apparatus for recording usage data of card operated devices
JP2750072B2 (ja) * 1993-07-27 1998-05-13 松下電工株式会社 電力変換装置
US5399996A (en) * 1993-08-16 1995-03-21 At&T Global Information Solutions Company Circuit and method for minimizing electromagnetic emissions
DE69312328T2 (de) * 1993-09-20 1998-01-08 Ibm System und verfahren zur änderung des schlüssels oder des kennwortes in einem kommunikationsnetzwerk mit schlüssel- verteilung
US5369706A (en) * 1993-11-05 1994-11-29 United Technologies Automotive, Inc. Resynchronizing transmitters to receivers for secure vehicle entry using cryptography or rolling code
US5710834A (en) * 1995-05-08 1998-01-20 Digimarc Corporation Method and apparatus responsive to a code signal conveyed through a graphic image
US5515438A (en) 1993-11-24 1996-05-07 International Business Machines Corporation Quantum key distribution using non-orthogonal macroscopic signals
US5455862A (en) 1993-12-02 1995-10-03 Crest Industries, Inc. Apparatus and method for encrypting communications without exchanging an encryption key
FR2713419B1 (fr) 1993-12-02 1996-07-05 Gemplus Card Int Procédé de génération de signatures DSA avec des appareils portables à bas coûts.
EP0656708A1 (de) 1993-12-03 1995-06-07 International Business Machines Corporation System und Verfahren zur Übertragung und Gültigkeitsprüfung eines aktualisierten kryptographischen Schlüssels zwischen zwei Benutzern
US5404402A (en) 1993-12-21 1995-04-04 Gi Corporation Clock frequency modulation for secure microprocessors
JP3029381B2 (ja) 1994-01-10 2000-04-04 富士通株式会社 データ変換装置
US5434919A (en) 1994-01-11 1995-07-18 Chaum; David Compact endorsement signature systems
NZ329891A (en) 1994-01-13 2000-01-28 Certco Llc Method of upgrading firmware of trusted device using embedded key
US5631492A (en) * 1994-01-21 1997-05-20 Motorola Standard cell having a capacitor and a power supply capacitor for reducing noise and method of formation
US5712913A (en) 1994-02-08 1998-01-27 Digicash Incorporated Limited-traceability systems
US5668878A (en) * 1994-02-28 1997-09-16 Brands; Stefanus Alfonsus Secure cryptographic methods for electronic transfer of information
US5412723A (en) * 1994-03-01 1995-05-02 International Business Machines Corporation Mechanism for keeping a key secret from mobile eavesdroppers
US5420925A (en) 1994-03-03 1995-05-30 Lectron Products, Inc. Rolling code encryption process for remote keyless entry system
US5757907A (en) * 1994-04-25 1998-05-26 International Business Machines Corporation Method and apparatus for enabling trial period use of software products: method and apparatus for generating a machine-dependent identification
JPH07322602A (ja) 1994-05-23 1995-12-08 Fujitsu Ltd 電源装置
US5551013A (en) 1994-06-03 1996-08-27 International Business Machines Corporation Multiprocessor for hardware emulation
US5414614A (en) * 1994-06-06 1995-05-09 Motorola, Inc. Dynamically configurable switched capacitor power supply and method
EP0693836A1 (de) 1994-06-10 1996-01-24 Sun Microsystems, Inc. Verfahren und Einrichtung für ein Schlüsselmanagementschema für Internet-Protokolle
US5506905A (en) * 1994-06-10 1996-04-09 Delco Electronics Corp. Authentication method for keyless entry system
US5546463A (en) 1994-07-12 1996-08-13 Information Resource Engineering, Inc. Pocket encrypting and authenticating communications device
US5511123A (en) * 1994-08-04 1996-04-23 Northern Telecom Limited Symmetric cryptographic system for data encryption
US5557346A (en) 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for key escrow encryption
US5514982A (en) 1994-08-18 1996-05-07 Harris Corporation Low noise logic family
US5600273A (en) 1994-08-18 1997-02-04 Harris Corporation Constant delay logic circuits and methods
BE1008699A3 (fr) 1994-09-09 1996-07-02 Banksys Procede et agencement pour donner selectivement un acces dans un systeme de securite.
US5663896A (en) 1994-09-22 1997-09-02 Intel Corporation Broadcast key distribution apparatus and method using Chinese Remainder
US5559887A (en) 1994-09-30 1996-09-24 Electronic Payment Service Collection of value from stored value systems
US5544086A (en) 1994-09-30 1996-08-06 Electronic Payment Services, Inc. Information consolidation within a transaction network
US5633930A (en) 1994-09-30 1997-05-27 Electronic Payment Services, Inc. Common cryptographic key verification in a transaction network
US5636157A (en) * 1994-10-03 1997-06-03 International Business Machines Corporation Modular 64-bit integer adder
US5737419A (en) * 1994-11-09 1998-04-07 Bell Atlantic Network Services, Inc. Computer system for securing communications using split private key asymmetric cryptography
JP2825064B2 (ja) 1994-12-19 1998-11-18 株式会社日本自動車部品総合研究所 暗号化装置
US5721777A (en) 1994-12-29 1998-02-24 Lucent Technologies Inc. Escrow key management system for accessing encrypted data with portable cryptographic modules
US5602917A (en) 1994-12-30 1997-02-11 Lucent Technologies Inc. Method for secure session key generation
BR9510128A (pt) * 1994-12-30 1997-12-30 Thomson Consumer Electronics Modem com provisões de chamada de retorno automática
US5625692A (en) 1995-01-23 1997-04-29 International Business Machines Corporation Method and system for a public key cryptosystem having proactive, robust, and recoverable distributed threshold secret sharing
DE19505097C1 (de) * 1995-02-15 1996-06-05 Siemens Ag Verschlüsselungsvorrichtung
US5483182A (en) * 1995-03-06 1996-01-09 Motorola, Inc. Method and apparatus for a DC-DC converter an current limiting thereof
DE19511298B4 (de) 1995-03-28 2005-08-18 Deutsche Telekom Ag Verfahren zur Erteilung und zum Entzug der Berechtigung zum Empfang von Rundfunksendungen und Decoder
IL113375A (en) 1995-04-13 1997-09-30 Fortress U & T Ltd Internationally regulated system for one to one cryptographic communications with national sovereignty without key escrow
US5796836A (en) 1995-04-17 1998-08-18 Secure Computing Corporation Scalable key agile cryptography
JPH08305662A (ja) 1995-05-02 1996-11-22 Fujitsu Ltd クライアント認証システムおよび方法
US5638444A (en) * 1995-06-02 1997-06-10 Software Security, Inc. Secure computer communication method and system
US5778074A (en) 1995-06-29 1998-07-07 Teledyne Industries, Inc. Methods for generating variable S-boxes from arbitrary keys of arbitrary length including methods which allow rapid key changes
AU728942B2 (en) * 1995-06-30 2001-01-18 Canon Kabushiki Kaisha A communication apparatus and a communication system
US5727062A (en) 1995-07-06 1998-03-10 Ritter; Terry F. Variable size block ciphers
US5812669A (en) 1995-07-19 1998-09-22 Jenkins; Lew Method and system for providing secure EDI over an open network
FR2738971B1 (fr) * 1995-09-19 1997-10-10 Schlumberger Ind Sa Procede de determination d'une cle de cryptage associee a un circuit integre
FR2738970B1 (fr) 1995-09-19 1997-10-10 Schlumberger Ind Sa Procede de determination d'une cle diversifiee associee a un circuit integre
US5708711A (en) 1995-09-27 1998-01-13 Motorola, Inc. Method for selecting a preferred time interval in which to update a communication unit parameter
JP3336826B2 (ja) 1995-09-29 2002-10-21 株式会社デンソー 盗難防止装置
US6097811A (en) * 1995-11-02 2000-08-01 Micali; Silvio Tree-based certificate revocation system
FR2739469B1 (fr) 1995-10-03 1997-12-26 Gemplus Card Int Procede de cryptographie a cle publique base sur le logarithme discret
US6141652A (en) 1995-10-10 2000-10-31 British Telecommunications Public Limited Company Operating apparatus
KR970024712A (ko) * 1995-10-16 1997-05-30 이데이 노부유키 암호화 방법 및 암호화 장치 및 기록 방법 및 복호 방법 및 복호 장치 및 기록 매체
US6577734B1 (en) 1995-10-31 2003-06-10 Lucent Technologies Inc. Data encryption key management system
NL1001659C2 (nl) * 1995-11-15 1997-05-21 Nederland Ptt Werkwijze voor het afwaarderen van een elektronisch betaalmiddel.
US5727063A (en) * 1995-11-27 1998-03-10 Bell Communications Research, Inc. Pseudo-random generator
US5675649A (en) 1995-11-30 1997-10-07 Electronic Data Systems Corporation Process for cryptographic key generation and safekeeping
JPH09163469A (ja) 1995-12-11 1997-06-20 Alpha Corp 遠隔操作装置及び遠隔操作方法
US5838794A (en) 1996-01-11 1998-11-17 Teledyne Electronic Technologies Method and apparatus for inter-round mixing in iterated block substitution systems
US5637929A (en) 1996-01-16 1997-06-10 Ford Motor Company Method and apparatus for enhanced vehicle protection
JP3627384B2 (ja) 1996-01-17 2005-03-09 富士ゼロックス株式会社 ソフトウェアの保護機能付き情報処理装置及びソフトウェアの保護機能付き情報処理方法
JP3504050B2 (ja) 1996-01-26 2004-03-08 株式会社東芝 べき乗剰余演算方法及び装置
US6453296B1 (en) 1996-01-31 2002-09-17 Canon Kabushiki Kaisha Electronic credit system and communication apparatus
FR2745135B1 (fr) * 1996-02-15 1998-09-18 Cedric Colnot Procede pour faire autoriser par un serveur l'acces a un service a partir de dispositifs portatifs a microcircuits electroniques du type carte a memoire par exemple
FR2745099B1 (fr) 1996-02-19 1998-03-27 Sgs Thomson Microelectronics Procede de sequencement d'un circuit integre
US5761306A (en) 1996-02-22 1998-06-02 Visa International Service Association Key replacement in a public key cryptosystem
FR2745924B1 (fr) 1996-03-07 1998-12-11 Bull Cp8 Circuit integre perfectionne et procede d'utilisation d'un tel circuit integre
JP3525209B2 (ja) 1996-04-05 2004-05-10 株式会社 沖マイクロデザイン べき乗剰余演算回路及びべき乗剰余演算システム及びべき乗剰余演算のための演算方法
US5778069A (en) 1996-04-10 1998-07-07 Microsoft Corporation Non-biased pseudo random number generator
US5835599A (en) 1996-04-15 1998-11-10 Vlsi Technology, Inc. Muti-cycle non-parallel data encryption engine
US5632058A (en) 1996-04-29 1997-05-27 Stanak; Paul Heated wiper blade with a scraper and fluid release nozzle assembly
WO1997044935A1 (en) 1996-05-20 1997-11-27 Philips Electronics N.V. Cryptographic method and apparatus for non-linearly merging a data block and a key
CA2177622A1 (en) * 1996-05-29 1997-11-30 Thierry Moreau Cryptographic data integrity apparatus and method based on pseudo-random bit generators
US5764766A (en) 1996-06-11 1998-06-09 Digital Equipment Corporation System and method for generation of one-time encryption keys for data communications and a computer program product for implementing the same
US5825881A (en) 1996-06-28 1998-10-20 Allsoft Distributing Inc. Public network merchandising system
US6041123A (en) 1996-07-01 2000-03-21 Allsoft Distributing Incorporated Centralized secure communications system
US5859548A (en) * 1996-07-24 1999-01-12 Lg Semicon Co., Ltd. Charge recycling differential logic (CRDL) circuit and devices using the same
US5745577A (en) 1996-07-25 1998-04-28 Northern Telecom Limited Symmetric cryptographic system for data encryption
US5796830A (en) * 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
US6978370B1 (en) 1996-09-03 2005-12-20 Cryptography Research, Inc. Method and system for copy-prevention of digital copyright works
JPH1084223A (ja) 1996-09-10 1998-03-31 Mitsubishi Electric Corp ノイズfm信号発生回路
EP0831433A1 (de) * 1996-09-24 1998-03-25 Koninklijke KPN N.V. Verfahren zum Durchführen von wiedergewinnbaren Transaktionen mit Chipkarten, Verfahren zum Wiedergewinnen einer solchen Transaktion, als auch eine Chipkarte, die wiedergewinnbare Transaktionen erlaubt
US6483920B2 (en) 1996-12-04 2002-11-19 Bull, S.A. Key recovery process used for strong encryption of messages
KR19990076696A (ko) * 1996-10-23 1999-10-15 요트.게.아. 롤페즈 이동 통신 서비스 요금 지불 체계
EP0840477B1 (de) 1996-10-31 2012-07-18 Panasonic Corporation Hochsicheres Verfahren zur geheimen Schlüsselübertragung mit Beschränkung des Schadens bei Bekanntwerden oder Dekodierung des geheimen Schlüssels
GB9624127D0 (en) * 1996-11-20 1997-01-08 British Telecomm Transaction system
DE19649292A1 (de) * 1996-11-28 1998-06-04 Deutsche Telekom Ag Verfahren zum Sichern eines durch eine Schlüsselhierarchie geschützten Systems
JPH10171717A (ja) 1996-12-05 1998-06-26 Matsushita Electric Ind Co Ltd Icカードおよびそれを用いた暗号通信システム
US5848159A (en) 1996-12-09 1998-12-08 Tandem Computers, Incorporated Public key cryptographic apparatus and method
US5821775A (en) 1996-12-27 1998-10-13 Intel Corporation Method and apparatus to interface monotonic and non-monotonic domino logic
US5887131A (en) 1996-12-31 1999-03-23 Compaq Computer Corporation Method for controlling access to a computer system by utilizing an external device containing a hash value representation of a user password
JPH10197610A (ja) 1996-12-31 1998-07-31 Sony Corp ノイズ発生装置およびそれを用いた波形生成装置
US5892829A (en) * 1997-01-08 1999-04-06 Bell Communications Research, Inc. Method and apparatus for generating secure hash functions
US5917911A (en) 1997-01-23 1999-06-29 Motorola, Inc. Method and system for hierarchical key access and recovery
US6690795B1 (en) * 1997-03-04 2004-02-10 Lucent Technologies Inc. Multiple keys for decrypting data in restricted-access television system
US6049613A (en) * 1997-03-07 2000-04-11 Jakobsson; Markus Method and apparatus for encrypting, decrypting, and providing privacy for data values
US6069957A (en) 1997-03-07 2000-05-30 Lucent Technologies Inc. Method and apparatus for providing hierarchical key system in restricted-access television system
US5995624A (en) * 1997-03-10 1999-11-30 The Pacid Group Bilateral authentication and information encryption token system and method
AU6758898A (en) * 1997-03-12 1998-09-29 Visa International Secure electronic commerce employing integrated circuit cards
AUPO799197A0 (en) 1997-07-15 1997-08-07 Silverbrook Research Pty Ltd Image processing method and apparatus (ART01)
GB9707349D0 (en) 1997-04-11 1997-05-28 Univ Waterloo A dynamic current mode logic family
US6748410B1 (en) 1997-05-04 2004-06-08 M-Systems Flash Disk Pioneers, Ltd. Apparatus and method for modular multiplication and exponentiation based on montgomery multiplication
JP2001527673A (ja) * 1997-05-04 2001-12-25 フォートレス ユー アンド ティー リミティド モントゴメリー乗算に基づくモジュラ乗算及び累乗の改善された装置と方法
US5991415A (en) 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks
US5917754A (en) * 1997-05-21 1999-06-29 Atmel Corporation Semiconductor memory having a current balancing circuit
US5905399A (en) * 1997-06-30 1999-05-18 Sun Microsystems, Inc. CMOS integrated circuit regulator for reducing power supply noise
US6078888A (en) 1997-07-16 2000-06-20 Gilbarco Inc. Cryptography security for remote dispenser transactions
EP1062755A2 (de) 1997-08-08 2000-12-27 Jonathan Stiebel Neuartiges verfahren zur schlüsseleinführung mit faltung
US6373948B1 (en) * 1997-08-15 2002-04-16 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using program identifiers
US6003014A (en) * 1997-08-22 1999-12-14 Visa International Service Association Method and apparatus for acquiring access using a smart card
US6128391A (en) 1997-09-22 2000-10-03 Visa International Service Association Method and apparatus for asymetric key management in a cryptographic system
US6064740A (en) * 1997-11-12 2000-05-16 Curiger; Andreas Method and apparatus for masking modulo exponentiation calculations in an integrated circuit
US6041412A (en) * 1997-11-14 2000-03-21 Tl Technology Rerearch (M) Sdn. Bhd. Apparatus and method for providing access to secured data or area
US6345359B1 (en) 1997-11-14 2002-02-05 Raytheon Company In-line decryption for protecting embedded software
US6090153A (en) 1997-12-05 2000-07-18 International Business Machines Corporation Multi-threshold-voltage differential cascode voltage switch (DCVS) circuits
US6046608A (en) * 1997-12-08 2000-04-04 Intel Corporation Differential precharge circuit
US6448981B1 (en) 1997-12-09 2002-09-10 International Business Machines Corporation Intermediate user-interface definition method and system
US6066965A (en) * 1997-12-11 2000-05-23 Evsx, Inc. Method and apparatus for a N-nary logic circuit using 1 of 4 signals
US6046931A (en) * 1997-12-11 2000-04-04 Evsx, Inc. Method and apparatus for a RAM circuit having N-nary output interface
US6185685B1 (en) * 1997-12-11 2001-02-06 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
US6107835A (en) 1997-12-11 2000-08-22 Intrinsity, Inc. Method and apparatus for a logic circuit with constant power consumption
US6211456B1 (en) * 1997-12-11 2001-04-03 Intrinsity, Inc. Method and apparatus for routing 1 of 4 signals
US6069497A (en) * 1997-12-11 2000-05-30 Evsx, Inc. Method and apparatus for a N-nary logic circuit using 1 of N signals
US7587044B2 (en) 1998-01-02 2009-09-08 Cryptography Research, Inc. Differential power analysis method and apparatus
US6327661B1 (en) 1998-06-03 2001-12-04 Cryptography Research, Inc. Using unpredictable information to minimize leakage from smartcards and other cryptosystems
DE69834431T3 (de) 1998-01-02 2009-09-10 Cryptography Research Inc., San Francisco Leckresistentes kryptographisches verfahren und vorrichtung
US6226750B1 (en) * 1998-01-20 2001-05-01 Proact Technologies Corp. Secure session tracking method and system for client-server environment
US6101477A (en) 1998-01-23 2000-08-08 American Express Travel Related Services Company, Inc. Methods and apparatus for a travel-related multi-function smartcard
US6041122A (en) * 1998-02-27 2000-03-21 Intel Corporation Method and apparatus for hiding crytographic keys utilizing autocorrelation timing encoding and computation
FR2776445A1 (fr) 1998-03-17 1999-09-24 Schlumberger Ind Sa Procede de securisation de donnees mettant en oeuvre un algorithme cryptographique
FR2776410B1 (fr) 1998-03-20 2002-11-15 Gemplus Card Int Dispositifs pour masquer les operations effectuees dans une carte a microprocesseur
US6336188B2 (en) * 1998-05-01 2002-01-01 Certicom Corp. Authenticated key agreement protocol
WO1999063419A1 (de) 1998-05-29 1999-12-09 Infineon Technologies Ag Verfahren und vorrichtung zum verarbeiten von daten
ATE418099T1 (de) 1998-06-03 2009-01-15 Cryptography Res Inc Gesicherte moduläre potenzierung mit leckminimierung für chipkarten und andere kryptosysteme
ATE370490T1 (de) 1998-06-03 2007-09-15 Cryptography Res Inc Ausgewogene kryptographische rechenmethode und apparat zur schlupfminimierung in smartcards und anderen kryptosystemen
CA2333095C (en) 1998-06-03 2005-05-10 Cryptography Research, Inc. Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems
US5998978A (en) 1998-06-29 1999-12-07 Motorola, Inc. Apparatus and method for reducing energy fluctuations in a portable data device
US6075865A (en) * 1998-07-01 2000-06-13 Tecsec Incorporated Cryptographic communication process and apparatus
ATE360866T1 (de) 1998-07-02 2007-05-15 Cryptography Res Inc Leckresistente aktualisierung eines indexierten kryptographischen schlüssels
US6735313B1 (en) * 1999-05-07 2004-05-11 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers
FR2796738B1 (fr) 1999-07-22 2001-09-14 Schlumberger Systems & Service Micro-controleur securise contre les attaques en courant
US6289455B1 (en) * 1999-09-02 2001-09-11 Crypotography Research, Inc. Method and apparatus for preventing piracy of digital content
GB2371460B (en) 2001-01-19 2004-12-22 Pixelfusion Ltd Computer graphics

Also Published As

Publication number Publication date
JP2002520905A (ja) 2002-07-09
US9852572B2 (en) 2017-12-26
EP1092297A4 (de) 2002-10-16
CA2334597A1 (en) 2000-01-13
JP4216475B2 (ja) 2009-01-28
US20120017089A1 (en) 2012-01-19
CA2334597C (en) 2007-09-04
AU5458199A (en) 2000-01-24
ATE360866T1 (de) 2007-05-15
DE69935913D1 (de) 2007-06-06
US7941666B2 (en) 2011-05-10
US6539092B1 (en) 2003-03-25
US20030188158A1 (en) 2003-10-02
WO2000002342A2 (en) 2000-01-13
EP1092297A2 (de) 2001-04-18
US9940772B2 (en) 2018-04-10
EP1092297B1 (de) 2007-04-25
US20110113248A1 (en) 2011-05-12
WO2000002342A3 (en) 2000-04-13
US20080049940A1 (en) 2008-02-28

Similar Documents

Publication Publication Date Title
DE69935913T2 (de) Leckresistente aktualisierung eines indexierten kryptographischen schlüssels
DE60031304T2 (de) Verfahren zur authentifizierung von softwarebenutzern
DE102009024604B4 (de) Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
DE69834431T3 (de) Leckresistentes kryptographisches verfahren und vorrichtung
DE60200496T2 (de) Verfahren und Vorrichtung zur Ausführung eines effizienten mittels Kennwort authentifizierten Schlüsselaustauschs
EP0472714B1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
DE60217260T2 (de) Datenverarbeitungs- und Verschlüsselungseinheit
DE60036112T2 (de) Serverunterstützte wiedergewinnung eines starken geheimnisses aus einem schwachen geheimnis
CH694601A5 (de) Verfahren zur Verifizierung der Echtheit von ausgetauschten Nachrichten.
DE102005024725A1 (de) System und Verfahren für Chaotische Digitale Signatur, Verschlüsselung und Authentifizierung
DE69935455T2 (de) Kryptographisches verfahren unter verwendung eines öffentlichen und eines privaten schlüssels
DE2843583A1 (de) Verfahren und vorrichtung zum entschluesseln verschluesselter nachrichten
US20230254122A1 (en) Secret material exchange and authentication cryptography operations
CH711133B1 (de) Protokoll zur Signaturerzeugung
DE60103515T2 (de) Kryptografisches verfahren zum schutz gegen betrug
CH708240A2 (de) Signaturprotokoll und Gerät zu dessen Umsetzung.
DE102017125930A1 (de) Computerimplementiertes Verfahren zum Ersetzen eines Datenstrings durch einen Platzhalter
DE102020112102B3 (de) Verfahren und Vorrichtungen zur Erzeugung eines symmetrischen Sitzungsschlüssels für die verschlüsselte Kommunikation
DE60211008T2 (de) Authentifizierung eines entfernten benutzers zu einem host in einem datenkommunikationssystem
DE60103523T2 (de) Verfahren zum schutz eines elektronischen bausteines gegen betrug
DE10355865B4 (de) Verfahren und Chip zur kryptographischen Verschlüsselung von Daten
EP1760929B1 (de) Geschütztes kryptographisches Verfahren
DE102017011588A1 (de) Sichere Datenübertragung von Nutzdaten

Legal Events

Date Code Title Description
8363 Opposition against the patent