Защита выполнения криптографического вычисления

Изобретение относится к криптографии, а именно к способам и устройствам управления криптографическими ключами в электронных компонентах. Техническим результатом является уменьшение потребляемой мощности. Технический результат достигается тем, что заявлен способ выполнения криптографического вычисления в электронном компоненте (ЭК) согласно определенному криптографическому алгоритму, включающему, по меньшей мере, одно применение однонаправленной функции (ОФ), которая отключается при несанкционированном вмешательстве в ЭК; при этом указанная ОФ основана на первой аффинной операции (σK), которая соответствует первому секретному ключу (К); при этом указанный способ содержит следующие этапы, связанные с применением указанной ОФ: а) получают первое и второе случайные значения (r, r'); б) получают первый результат (R1) путем применения второй аффинной операции (σK1), которая соответствует второму секретному ключу, на первой комбинации из r и r'; в) получают второй результат (R2) путем применения третьей аффинной операции (σK2), которая соответствует третьему секретному ключу, на указанном R1; в котором сочетание σK2 и σK1 соответствует σK; и в котором криптографическую операцию применяют, по меньшей мере, для одного из указанного R2 и второй комбинации r и r'. 5 н. и 9 з.п. ф-лы, 4 ил.

 

Настоящее изобретение касается управления криптографическими ключами в электронных компонентах и, в частности, в компонентах, которые строятся на основе технологии типа РОК ("Physically Obfuscated Keys").

Криптографические алгоритмы позволяют защитить конфиденциальность данных на основе использования одного или нескольких секретных ключей. Уровень защиты конфиденциальности этих данных зависит в этом случае от уровня защиты секретного ключа или секретных ключей, используемых во время криптографических операций, применяемых в соответствии с этим алгоритмом.

Однако когда криптографический ключ записан на электронном компоненте, его значение можно легко раскрыть в незаконных целях методом взлома самого электронного компонента. Располагая записанным криптографическим ключом или криптографическими ключами, можно получить доступ к данным, которые первоначально предполагалось сохранить конфиденциальными.

В этом контексте, чтобы повысить уровень защиты, связанный с зашифрованными данными, следует улучшить защиту записанных в памяти криптографических ключей.

В этой связи известен документ "Physical Random Functions", Blaise Gassend, Masters Thesis, февраль 2003 г., в котором определены ключи на английском языке типа "Physically Obfuscated Keys", или ключи типа РОК, получаемые путем применения функций, которые невозможно клонировать с входными значениями. Эти функции, которые нельзя клонировать, с одной стороны, носят детерминистский характер, и, с другой стороны, трудно поддаются характеристике. Кроме того, во время взлома электронного компонента они могут быть уничтожены.

Такие функции обозначены в вышеуказанном документе термином PUF ("Physically Unclonable Functions").

Такая функция PUF выдает всегда одинаковое итоговое значение для одного и того же входного значения. Вместе с тем, на основании этого итогового значения невозможно найти входное значение и невозможно заранее определить итоговое значение для отдельного входного значения до первого получения этого итогового значения путем применения функции PUF.

Таким образом, ключ тира РОК является ключом, полученным путем применения функции, которую невозможно клонировать. В этом контексте ключ типа РОК можно получить согласно следующему уравнению:

,

где f является функцией типа PUF;

с является определенным значением, записанным в электронном компоненте, или на английском языке "challenge";

K' является ключом, записанным в электронном компоненте, в котором применяют получение ключа К.

Кроме того, ключ типа РОК отличается тем, что любое вторжение является деструктивным. Таким образом, как только обнаруживается попытка несанкционированного вторжения в рассматриваемый электронный компонент, в указанном компоненте отключаются средства имплементации функции f типа PUF.

Чтобы повысить уровень защиты конфиденциальности, связанный с ключом типа РОК, предпочтительно применяют криптографическую операцию, основанную на ключе К в виде двух криптографических операций, соответственно основанных на двух частичных ключах K1 и К2, причем эти две криптографические операции осуществляют последовательно.

Каждая из этих операций, рассматриваемая индивидуально, никаким образом не раскрывает значения секретного ключа К.

В этих условиях атака взломщика на криптографический компонент в лучшем случае может лишь позволить получить один из двух частичных ключей K1 и К2. Таким образом, такая атака не позволяет получить ключ К типа РОК в его целостности.

Как написал Blaise Gassend в вышеуказанном документе, не так легко применить криптографическую операцию, основанную на ключе К, в виде этих двух криптографических операций, в частности, если необходимо, чтобы два частичных ключа K1 и К2 были разными для разных криптографических компонентов, использующих один и тот же ключ К.

Для этого в указанном документе предложено определять два частичных ключа K1 и К2, манипулируя в контексте алгоритма типа Rivest-Shamir-Adlerman или RSA ключом К типа РОК в виде сочетания двух частичных ключей. Вместе с тем, конечно, не легко реализовать алгоритм типа RSA на всех электронных компонентах, в частности, когда последние обладают относительно низкой вычислительной мощностью, так как применение алгоритма типа RSA является очень сложным и трудоемким.

Настоящее изобретение призвано обеспечить такое применение криптографической операции в разных типах электронных компонентов.

Первым объектом настоящего изобретения является способ выполнения криптографического вычисления в электронном компоненте согласно определенному криптографическому алгоритму, включающему, по меньшей мере, одно применение однонаправленной функции, которая отключается при несанкционированном вмешательстве в электронный компонент;

при этом указанная односторонняя функция основана на первой аффинной операции, которая соответствует первому секретному ключу;

при этом указанный способ содержит следующие этапы, связанные с применением указанной однонаправленной функции:

а) получают первое и второе случайные значения (r, r');

б) получают первый результат путем применения второй аффинной операции (σK1), которая соответствует второму секретному ключу, на первой комбинации из первого и второго случайных значений;

в) получают второй результат путем применения третьей аффинной операции (σK2) на указанном первом результате;

в котором сочетание третьей и второй аффинных операций (σK2 и σK1) соответствует первому аффинному применению (σK); и

в котором криптографическую операцию применяют, по меньшей мере, для одного из указанного второго результата и второй комбинации первого и второго случайных значений.

В варианте выполнения настоящего изобретения однонаправленная функция отключается, так как ее исполняют при помощи РОК.

Вторая комбинация может быть идентичной или отличаться от первой комбинации.

Таким образом, с первым секретным ключом приводят в соответствие первую аффинную операцию, которая может быть линейной операцией. Затем эту первую аффинную операцию применяют в виде двух последовательных аффинных операций, после чего применяют криптографическую операцию либо на ранее полученном результате, либо на другой комбинации из двух случайных значений.

Применение криптографической операции в одном или другом из вышеуказанных случаев позволяет получить общий зашифрованный результат. Действительно, в одном случае общий зашифрованный результат соответствует второму зашифрованному результату. В другом случае общий зашифрованный результат состоит из двух частей, при этом первая часть является вторым полученным результатом, а вторая часть соответствует зашифрованной комбинации из двух случайных значений.

В данном случае под термином «комбинация» следует понимать любое применение, которое позволяет комбинировать два значения, например, такие как стыкование двух рассматриваемых значений, или операция «исключающее ИЛИ», или одно из двух значений.

В дальнейшем комбинации используемых значений обозначаются combi, где i является целым индексом. Можно предусмотреть использование идентичных, аналогичных или разных комбинаций.

Благодаря этим отличительным признакам можно защищать конфиденциальность секретного ключа, используемого для шифрования данных, разбивая применение однонаправленной функции, которое основано на этом секретном ключе, на применение двух секретных последовательных подопераций.

Для раскрытия секретного ключа в этом случае необходимо воспроизвести две секретные подоперации.

Действительно, в среде типа РОК, в которой средства для применения однонаправленной функции уничтожаются или отключаются при несанкционированном вмешательстве в рассматриваемый электронный компонент, электронный компонент можно открыть таким образом, чтобы можно было раскрыть вторую аффинную операцию. Но в этом случае уже нельзя будет раскрыть третью аффинную операцию.

В другом сценарии можно предусмотреть открывание электронного компонента таким образом, чтобы можно было обнаружить третью аффинную операцию. Но в этом случае уже нельзя будет раскрыть вторую аффинную операцию.

Таким образом, в этих условиях на материальной базе электронного компонента невозможно раскрыть первую секретную операцию.

Следует отметить, что рассматривая секретный ключ по первой аффинной операции, можно легко определить множество пар второй и третьей аффинных операций, которые, будучи применяемыми последовательно, позволяют использовать первое аффинное применение в два последовательных этапа. Таким образом, можно легко шифровать данные на основе секретного ключа типа РОК, предусматривая применение шифрования данных в два последовательных этапа таким образом, чтобы это применение было возможно на любом типе электронных компонентов, в том числе компонентов, которые не обладают большой вычислительной мощностью.

Можно предусмотреть, чтобы криптографическая операция соответствовала хеш-функции или же псевдослучайной функции. Например, эту функцию предпочтительно можно применять при помощи симметричной функции шифрования на английском языке, такой как AES ("Advanced Encryption Standard").

В варианте выполнения настоящего изобретения, когда эту криптографическую операцию применяют на втором результате, первая, вторая и третья аффинные операции могут соответствовать линейным перестановкам на битовом уровне.

В этом случае комбинация первого и второго случайных значений может соответствовать применению криптографической операции, использующей на входе эти первое и второе случайные значения.

Эта последняя криптографическая операция может тоже соответствовать хеш-функции.

В варианте выполнения комбинация первого и второго случайных значений соответствует применению операции «исключающее ИЛИ» между первым и вторым случайными значениями.

В варианте, когда криптографическую операцию применяют для второй комбинации первого и второго случайных значений, первая, вторая и третья аффинные операции могут соответствовать операциям «исключающее ИЛИ» с первым, вторым и третьим секретными ключами соответственно, при этом первый секретный ключ в этом случае равен результату операции «исключающее ИЛИ» между вторым и третьим секретными ключами.

Такой способ выполнения криптографического вычисления предпочтительно можно применять в контексте способа идентификации радиоэтикетки. Таким образом, он позволяет эффективно защищать конфиденциальность секретного ключа, который был присвоен рассматриваемой радиоэтикетке.

Таким образом, вторым объектом настоящего изобретения является способ идентификации радиоэтикетки при помощи сервера идентификации,

при этом сервер идентификации управляет множеством секретных ключей в соответствии с древовидной схемой Q-й степени, где Q является целым числом, превышающим или равным 2, при этом каждый лист древовидной схемы соответствует секретному ключу;

при этом один секретный ключ из указанного множества секретных ключей связывают с указанной радиоэтикеткой;

при этом указанный способ идентификации содержит следующие этапы на уровне указанной радиоэтикетки:

1) от сервера идентификации получают первое случайное значение;

2) генерируют второе случайное значение;

3) получают результат путем применения криптографического вычисления на первом и втором случайных значениях на основе, по меньшей мере, части указанного секретного ключа, связанного с указанной радиоэтикеткой;

4) указанный результат передают на сервер идентификации;

в котором указанное криптографическое вычисление применяют при помощи способа выполнения криптографического вычисления, являющегося первым объектом настоящего изобретения.

Если секретный ключ содержит несколько частей, соответственно представляющих собой участки пути от корня древовидной схемы до соответствующего листа, вышеуказанные этапы (1-4) можно повторить для каждой из указанных частей секретного ключа.

Можно также предусмотреть повторение только этапов 3 и 4, что позволяет избежать нового генерирования случайных значений для каждого участка секретного ключа и их передачу, если это необходимо.

Предпочтительно каждый участок второго секретного ключа можно определить при помощи РОК, используя следующее уравнение:

K=f(c),

где f является функцией типа PUF;

с является определенным значением, записанным в электронном компоненте, или "challenge" на английском языке.

Таким образом, можно экономить объем памяти, используемый для записи К', как было указано выше.

Как было указано выше в связи с описанием способа выполнения криптографического вычисления, в варианте можно предусмотреть получение третьего результата путем применения криптографической операции на втором результате. В этом контексте на этапе 4 способа идентификации на сервер идентификации передают третий результат, а также второе случайное значение, генерированное радиоэтикеткой.

После этого, учитывая, что сервер идентификации располагает первым и вторым случайными значениями и вторым зашифрованным результатом, он может определить, какой секретный ключ связан с соответствующей радиоэтикеткой и за счет этого идентифицировать эту радиоэтикетку. Это определение основано на вычислении, которое аналогично вычислению, осуществляемому на уровне радиоэтикетки, но которое применяют для всех секретных ключей, управляемых с его стороны. Можно отметить, что не обязательно применять эти аналогичные вычисления между радиоэтикеткой и сервером идентификации таким же образом. Действительно, сервер идентификации может выполнить операцию, основанную на секретном ключе, не разбивая ее на две части.

Затем можно принять решение об идентификации радиоэтикетки на основании сравнения между результатами, полученными после этих вычислений, с результатом, полученным из радиоэтикетки.

В другом варианте криптографическую операцию применяют для второй комбинации первого и второго случайных значений. В этом случае на этапе 4 на сервер идентификации передают второй результат и результат криптографической операции на второй комбинации случайных значений.

В этом варианте сервер идентификации может также идентифицировать радиоэтикетку на основании сравнения результатов, полученных вычислениями, аналогичными вычислению, осуществляемому радиоэтикеткой, на всех управляемых им секретных ключах, с данными, полученными из этикетки, которые являются вторым результатом и результатом криптографической операции на комбинации r и r'.

Третьим объектом настоящего изобретения является электронный компонент, выполненный с возможностью выполнения криптографического вычисления согласно определенному криптографическому алгоритму, включающему, по меньшей мере, одно применение однонаправленной функции, которая отключается при несанкционированном вмешательстве в электронный компонент;

при этом указанная однонаправленная функция основана на секретном ключе (К), который соответствует первой аффинной операции (σK);

при этом указанный электронный компонент содержит средства, выполненные с возможностью применения способа, являющегося первым объектом настоящего изобретения.

Четвертым объектом настоящего изобретения является радиоэтикетка, содержащая электронный компонент, являющийся третьим объектом настоящего изобретения, при этом указанная этикетка выполнена с возможностью применения способа идентификации, являющегося вторым объектом настоящего изобретения.

Пятым объектом настоящего изобретения является система идентификации радиоэтикетки, содержащая сервер идентификации и этикетку, являющуюся четвертым объектом настоящего изобретения.

Другие аспекты, задачи и преимущества настоящего изобретения будут более очевидны из нижеследующего описания одного из вариантов его выполнения со ссылками на прилагаемые чертежи:

фиг.1 - основные этапы способа выполнения криптографического вычисления согласно варианту выполнения настоящего изобретения;

фиг.2 - управление секретными ключами в зависимости от бинарной древовидной схемы согласно варианту выполнения настоящего изобретения;

фиг.3 - основные этапы способа идентификации радиоэтикетки согласно варианту выполнения настоящего изобретения;

фиг.4 - основные этапы способа идентификации радиоэтикетки согласно другому варианту выполнения настоящего изобретения.

На фиг.1 показаны основные этапы, выполняемые согласно варианту выполнения настоящего изобретения в электронном компоненте.

На этапе 11 получают первое и второе случайные значения r и r'. Что касается этого этапа, то настоящее изобретение не связано никакими ограничениями. В частности, в данном случае можно предусмотреть, чтобы электронный компонент был выполнен с возможностью генерирования одного из двух случайных значений и чтобы другое случайное значение можно было получать из среды, которая является внешней относительно этого электронного компонента.

На этапе 12 эти первое и второе случайные значения объединяют в комбинацию combi.

В варианте можно предусмотреть также применение криптографической операции для такой комбинации этих двух случайных значений r и r'. Вместе с тем, этот этап остается факультативным, поскольку способ согласно варианту выполнения настоящего изобретения можно применять для любой комбинации этих значений r и r', например, при помощи операции «исключающее ИЛИ», не прибегая к криптографической операции. Однако чтобы еще больше повысить уровень защиты конфиденциальности ключа, предпочтительно на этом этапе применяют криптографическую операцию, например, такую как хеш-функцию.

Однонаправленная функция, применяемая в ходе способа выполнения криптографического вычисления согласно варианту выполнения настоящего изобретения, основана на секретном ключе К. Считается, что этот секретный ключ К соответствует аффинной функции, которая может быть, например, первой перестановкой σK входного значения на битовом уровне. Разложив это первое аффинное применение σK на сочетание, по меньшей мере, второго и третьего аффинных применений, соответственно σK1 и σK2, можно повысить уровень защиты конфиденциальности этого первого аффинного применения и за счет этого соответствующего ему секретного ключа К. Действительно, в этом контексте применение однонаправленной функции прекращается уже в момент первого несанкционированного вмешательства в рассматриваемый электронный компонент.

Таким образом, на этапе 13 вторую аффинную операцию σK1 применяют для результата, полученного после предыдущего этапа 12. Затем на этапе 14 для результата, полученного на этапе 13, применяют третью аффинную операцию σK2.

Наконец, на этапе 15 для результата, полученного на этапе 14, применяют криптографическую операцию, которая может, например, соответствовать хеш-функции.

По завершении этапа 15 получают результат, зашифрованный путем применения способа, включающего применение однонаправленной функции, учитывающей секретный ключ К, не подвергая опасности конфиденциальность значения секретного ключа в момент выполнения этого способа.

В варианте криптографическую операцию, осуществляемую на этапе 15, применяют для комбинации двух случайных значений r и r', причем эта комбинация может отличаться от комбинации, применяемой на этапе 12. В этом случае результат, зашифрованный путем применения рассматриваемого в данном случае криптографического вычисления, соответствует, с одной стороны, второму результату, то есть полученному после этапа 14 в результате сочетания второй и третьей аффинных операций, и, с другой стороны, зашифрованной комбинации двух случайных значений.

В данном случае первая, вторая и третья аффинные операции, соответственно σK, σK1, σK2 могут проверять следующие уравнения:

где х является входным значением;

К, К1 и К2 являются первым, вторым и третьим секретными ключами соответственно, которые проверяют следующее уравнение:

.

Чтобы зашифровать комбинацию r и r', можно предусмотреть применение хеш-функции или псевдослучайной функции.

Предпочтительно такой способ выполнения криптографического вычисления согласно варианту выполнения настоящего изобретения можно применять в контексте идентификации радиоэтикетки, такой как этикетка, используемая, например, в протоколе идентификации, описанном в документе "A scalable, delegatable pseudonym protocol enabling ownership transfer of RFID tags", David Molnar, Andrea Soppera, David Wagner, 2005.

Под "RFID tag" следует понимать радиоэтикетку, использующую технологию, обозначаемую выражением "Radio Frequency Identification" на английском языке. Она содержит антенну, связанную с электронной микросхемой таким образом, чтобы принимать и передавать сообщения. В таком контексте идентификационные данные записаны на радиоэтикетках.

В контексте вышеуказанного документа центр идентификации или "Trusted Center", или «сервер идентификации» идентифицирует радиоэтикетку на основании связанного с ней секретного ключа. Для этого он управляет множеством секретных ключей в виде древовидной схемы Q-й степени, где Q является целым числом, превышающим или равным 2, при этом каждый лист соответствует секретному ключу. Секретные ключи представляют собой участки пути от корня древовидной схемы до листа, соответствующего предъявляемому секретному ключу. В частности, например, в случае бинарной древовидной схемы, каждый участок пути, характеризующий ключ, уточняет маршрут в древовидной схеме, указывая в каждом узле, какую из двух ветвей следует выбрать, чтобы достичь искомого листа.

На фиг.2 показано управление секретными ключами при помощи такой древовидной схемы, которая в данном случае является бинарной. Так, в такой системе идентификации секретный ключ, используемый для идентификации радиоэтикетки, представляет собой путь в бинарной древовидной схеме.

Например, отображение и, следовательно, запись и манипулирование ключом К, соответствующим листу древовидной схемы, указанному стрелкой на фиг.2, соответствует

На фиг.3 показаны основные этапы способа идентификации радиоэтикетки в системе идентификации согласно варианту выполнения настоящего изобретения.

Такая система идентификации содержит радиоэтикетку 31 и сервер 32 идентификации, управляющий секретными ключами в соответствии с бинарной древовидной схемой, показанной на фиг.2.

Сначала радиоэтикетка 31 получает от сервера 32 идентификации первое случайное значение r, затем генерирует второе случайное значение r'.

После этого она применяет криптографическое вычисление на первом и втором случайных значениях на основании представления своего секретного ключа в виде пути прохождения по древовидной схеме и передает результат этого вычисления на сервер идентификации. Последний применяет криптографическое вычисление для соответствующих отображений различных секретных ключей, которые соответствуют листам управляемой им древовидной схемы. Таким образом, на основании сравнения между принятым результатом и результатами, полученными на листах древовидной схемы, он может определить, какой секретный ключ связан с этой радиоэтикеткой, и за счет этого может идентифицировать эту этикетку.

Однако в этом контексте часто секретные ключи распределяют между различными этикетками в зависимости от классификации по типу использования этих радиоэтикеток. Так, например, если эти радиоэтикетки используют в банкнотах, секретные ключи, присвоенные банкнотам одинакового номинала, могут соответствовать секретным ключам, для которых большая часть бит является общим значением.

В этом случае, когда взломщик получает значения, которые либо проходили через интерфейс между центром идентификации и радиоэтикеткой, например, для банкноты в 500 евро, либо через соответствующее устройство считывания радиоэтикетки, и он получает также описанное выше представление для секретного ключа этой банкноты в 500 евро, он может получить достаточно информации, чтобы локализовать банкноты этого номинала, просто на основании данных, которые проходят между центром идентификации и радиоэтикеткой этих банкнот. Действительно, в соответствии с классификацией, применяемой в древовидной схеме секретных ключей, получение данных о локализации секретного ключа может привести к обладанию очень полезной секретной информацией на других листах, которые подчинены этой же вершине.

В контексте управления секретными ключами через древовидную схему Q-й степени вышеупомянутая возможная атака является всего лишь одним примером среди множества других, в которых на основании значения секретного ключа радиоэтикетки можно получить доступ к конфиденциальной информации о других радиоэтикетках.

Чтобы повысить уровень защиты конфиденциальности секретного ключа, физически записанного на радиоэтикетке, желательно предупреждать любую попытку взлома, используя характеристические свойства записи и управления секретного ключа, упомянутые выше в связи с ключами типа РОК.

Так, предусматривают применение способа выполнения криптографического вычисления согласно варианту выполнения настоящего изобретения на уровне радиоэтикетки.

Такая радиоэтикетка располагает случайным значением r, полученным от сервера идентификации, и генерирует другое случайное значение r'. В этом случае на этапе 35 она может выполнить этапы 11-15 способа согласно варианту выполнения настоящего изобретения.

В описанном варианте криптографическую операцию этапа 15 применяют для результата, полученного на этапе 14.

Участки пути секретного ключа К, который соответствует, например обрабатывают один за другим при помощи рассматриваемого способа.

В описанном примере способ содержит комбинацию из двух случайных значений r и r'. Затем предусмотрено применение криптографической операции h1 на этой комбинации и после этого - линейную операцию перестановки бит σK, наконец, к результату перестановки бит применяют криптографическую операцию h2.

Результат такого вычисления можно записать следующим образом:

,

где combl (r, r') является комбинацией случайных значений r и r'.

Способ применяют к участку , и полученный результат, соответствующий передают при помощи сообщения 36 на сервер 32 идентификации. Затем его применяют к участку и полученный результат, соответствующий передают на сервер 32 идентификации через сообщение 37. Наконец, способ применяют для участка , и полученный результат, соответствующий передают на сервер идентификации при помощи сообщения 38.

Случайные значения r и r' можно либо сохранить для всех этапов, относящихся ко всем частям секретного ключа либо опять генерировать для каждой части секретного ключа.

После этого сервер располагает двумя случайными значениями r и r', как и радиоэтикетка. Он применяет вычисления, аналогичные выполняемым радиоэтикеткой, по отношению к различным секретным ключами древовидной схемы, пока не сможет идентифицировать эту радиоэтикетку путем сравнения с зашифрованным значением, полученным от этой этикетки.

Следует отметить, что в данном случае сервер идентификации может производить такие вычисления, не прибегая к разделению выполнения аффинной операции на два этапа. Поэтому способ идентификации радиоэтикетки согласно варианту выполнения настоящего изобретения остается совместимым с существующими серверами идентификации.

На фиг.4 показаны основные этапы способа идентификации радиоэтикетки согласно другому варианту выполнения настоящего изобретения. В этом примере применения криптографическую операцию, осуществляемую на этапе 15, применяют к другой комбинации из двух случайных значений r и r'. В этом случае комбинация двух случайных значений предпочтительно может соответствовать случайному значению r'.

Таким образом, в данном контексте радиоэтикетка 31 не передает, как в предыдущем варианте выполнения, второе случайное значение на сервер 32 идентификации, а передается только зашифрованное изображение этого второго случайного значения.

По завершении криптографического вычисления согласно описанному выше способу выполнения, то есть после этапа 14, этикетка может передать на сервер 32 идентификации сообщение 42, указывающее зашифрованную комбинацию r и r', h'(comb2(r, r')), где h' является функцией шифрования, которая может быть, например, хеш-функцией или же псевдослучайной функцией, и где comb2 является комбинацией значений r и r'.

Следующие разделы описывают этапы такого способа идентификации, применяемые только для первого участка секретного ключа, поскольку другие этапы, относящиеся к другим участкам, можно легко вывести на основании описанных.

Через сообщение 43 передается результат применения аффинной функции на комбинации r и r'.

В данном случае результат применения этой аффинной функции может соответствовать операции «исключающее ИЛИ» между участком ключа и комбинацией r и r', при этом проверяется следующее уравнение:

,

где comb3 является комбинацией r и r'.

Случайные значения r и r' можно либо сохранить для всех этапов, касающихся всех частей секретного ключа либо опять генерировать для каждой части секретного ключа.

В этом примере для идентификации радиоэтикетки сервер 32 идентификации располагает первым случайным значением, зашифрованным результатом комбинации двух случайных значений и аффинными операциями, применяемыми в зависимости от управляемых ключей.

На основании секретных ключей, управляемых на уровне сервера 32 идентификации, зашифрованной комбинации случайных значений r и r', полученной в сообщении 42, и содержания сообщения 43, а также значения r, он может проверить, получает ли он одну и ту же зашифрованную комбинацию r и r' для идентификации используемого секретного ключа. В данном случае необходимо отметить, что на уровне сервера идентификации получают только зашифрованное изображение r'.

Чтобы определить значение первой части секретного ключа, он может применить для первой части секретного ключа следующие уравнения:

и

,

где соответствует содержимому принятого сообщения 42;

comb3(r, r'1) и comb3(r, r'2) являются потенциальными кандидатами комбинации двух случайных значений r и r'.

Затем он применяет такую же криптографическую операцию, что и операция, применяемая для радиоэтикетки, на комбинации r и r'1 и на комбинации r и r'2. После этого он сравнивает два значения, полученные после этих вычислений, связанных с криптографической операцией, и определяет значение первой части секретного ключа.

Он определяет весь секретный ключ, работая таким же образом для всех участков секретного ключа.

1. Способ выполнения криптографического вычисления в электронном компоненте согласно определенному криптографическому алгоритму, включающему, по меньшей мере, одно применение однонаправленной функции, которая отключается при несанкционированном вмешательстве в электронный компонент;
при этом указанная односторонняя функция основана на первой аффинной операции (σK), которая соответствует первому секретному ключу (К);
при этом указанный способ содержит следующие этапы, связанные с применением указанной однонаправленной функции:
а) получают первое и второе случайные значения (r, r');
б) получают первый результат путем применения второй аффинной операции (σK1), которая соответствует второму секретному ключу, на первой комбинации из первого и второго случайных значений;
в) получают второй результат путем применения третьей аффинной операции ((σK2), которая соответствует третьему секретному ключу, на указанном первом результате;
в котором сочетание третьей и второй аффинных операций (σK2 и σK1) соответствует первой аффинной операции (σK); и
в котором криптографическую операцию применяют, по меньшей мере, для одного из указанного второго результата и второй комбинации первого и второго случайных значений.

2. Способ выполнения криптографического вычисления по п.1, в котором криптографическая операция соответствует хеш-функции или псевдослучайной функции.

3. Способ выполнения криптографического вычисления по п.1 или 2, в котором криптографическую операцию применяют на втором результате и в котором первая, вторая и третья аффинные операции могут соответствовать перестановкам на битовом уровне.

4. Способ выполнения криптографического вычисления по п.3, в котором комбинация первого и второго случайных значений соответствует применению криптографической операции, использующей на входе первое и второе случайные значения.

5. Способ выполнения криптографического вычисления по п.4, в котором криптографическая операция соответствует хеш-функции.

6. Способ выполнения криптографического вычисления по п.1, в котором первая комбинация первого и второго случайных значений соответствует применению операции «исключающее ИЛИ» между первым и вторым случайными значениями.

7. Способ выполнения криптографического вычисления по п.1, в котором криптографическую операцию применяют для второй комбинации первого и второго случайных значений;
в котором первая, вторая и третья аффинные операции (σK, σK1, σK2) соответствуют операциям «исключающее ИЛИ» с первым, вторым и третьим секретными ключами соответственно;
в котором первый секретный ключ (К) равен результату операции «исключающее ИЛИ» между вторым и третьим секретными ключами (K1, К2).

8. Способ идентификации радиоэтикетки при помощи сервера идентификации, при этом сервер идентификации управляет множеством секретных ключей согласно древовидной схеме Q-й степени, где Q является целым числом, превышающим или равным 2, при этом каждый лист древовидной схемы соответствует секретному ключу;
при этом один секретный ключ из указанного множества секретных ключей связывают с указанной радиоэтикеткой;
при этом указанный способ идентификации содержит следующие этапы на уровне указанной радиоэтикетки:
1) от сервера идентификации получают первое случайное значение (r);
2) генерируют второе случайное значение (r');
3) получают результат путем применения криптографического вычисления на первом и втором случайных значениях на основе, по меньшей мере, части указанного секретного ключа, связанного с указанной радиоэтикеткой; и
4) указанный результат передают на сервер идентификации;
в котором указанное криптографическое вычисление применяют при помощи способа выполнения криптографического вычисления по любому из предыдущих пунктов.

9. Способ идентификации радиоэтикетки по п.8, в котором получают третий результат путем применения криптографической операции на втором результате; и
в котором на этапе 4 на сервер идентификации передают третий результат и второе случайное значение.

10. Способ идентификации радиоэтикетки по п.8, в котором получают четвертый результат путем применения криптографической операции для второй комбинации первого и второго случайных значений; и в котором на этапе 4 на сервер идентификации передают второй результат и четвертый результат.

11. Способ идентификации радиоэтикетки по любому из пп.8-10, в котором секретный ключ отображают в виде нескольких частей,
характеризующих соответственно участки пути от корня древовидной схемы до соответствующего листа, и
в котором этапы 1-4 повторяют для каждой из указанных частей секретного ключа.

12. Электронный компонент для выполнения криптографического вычисления согласно определенному криптографическому алгоритму включающему, по меньшей мере, одно применение однонаправленной функции, которая отключается при несанкционированном вмешательстве в электронный компонент;
при этом указанная однонаправленная функция основана на секретном ключе (К), который соответствует первой аффинной операции (σK);
при этом указанный электронный компонент содержит средства, выполненные с возможностью применения способа по любому из пп.1-7.

13. Радиоэтикетка, содержащая электронный компонент по п.12, при этом указанная этикетка выполнена с возможностью применения способа идентификации по любому из пп.8-11.

14. Система идентификации радиоэтикетки, содержащая сервер идентификации и этикетку по п.13.



 

Похожие патенты:

Изобретение относится к передаче данных, а именно к способу и устройству для передачи между абонентами в замкнутой сети транспортного средства. .

Изобретение относится к радиосвязи, а именно к способу и системе двусторонней аутентификации объектов на основе доверенной третьей стороны. .

Изобретение относится к вычислительной технике. .

Изобретение относится к вычислительной технике. .

Изобретение относится к передаче данных, а именно к проверке аутентичности сообщения (М), передаваемого от передающего объекта (95) на принимающий объект (96) вместе с криптографическим резервом, соответствующим коду (MAC) идентификации сообщения, вычисленному при помощи поблочного шифрования.

Изобретение относится к беспроводной связи, а именно к способу аутентификации доступа в IBSS-сети. .

Изобретение относится к беспроводной связи, а именно к способу аутентификации при одностороннем доступе. .

Изобретение относится к области электросвязи и может быть использовано для создания помехозащищенных систем радиолокации, радионавигации и передачи информации. .

Изобретение относится к блоку, который становится более безопасным при наличии CPU с операционной системой (OS), и к устройству формирования изображения, использующему этот блок.

Изобретение относится к системам ограничения доступа к защищаемой информации, а именно к системам криптографической аутентификации пользователя по его неоднозначным биометрическим данным.

Изобретение относится к блоку, включающему в себя встроенный центральный процессор (CPU), и устройству формирования изображений, использующему встроенный центральный процессор

Изобретение относится к электросвязи

Изобретение относится к передаче данных, а именно, к способам предоставления данных в устройство шлюза в сети

Изобретение относится к мобильной связи, а именно к системам восстановления пароля и ключа шифрования (К) на мобильном устройстве

Изобретение относится к передаче данных, а именно к способу для создания защищенных данных при проведении сеанса связи между первым и вторым объектами

Изобретение относится к системам мультимедийной конференц-связи, позволяющим множественным участникам связываться и совместно использовать различные типы медиа (аудиовизуального) контента при совместной работе и встрече в реальном времени по сети

Изобретение относится к системам связи, а именно к способам аутентификации пользовательских терминалов

Изобретение относится к способам аутентификации, а именно к способу аутентификации (СА) пользовательского терминала (ПТ)

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности пользователя в сети за счет уменьшения количества регистрации пользователя. Метод электронной сертификации, идентификации при передаче данных посредством использования зашифрованных графических изображений, включающий: регистрацию пользователя на сервере системы для электронной сертификации, идентификации и передачи данных посредством использования зашифрованных графических изображений, где технологические исполнения имеют клиент-серверную архитектуру; выдачу одного или нескольких графических изображений зарегистрированному пользователю; шифрование определенной информации пользователя в одном или в нескольких изображениях; шифрование сообщения пользователя; и засекречивание корреспонденции при ее передаче между пользователями путем присоединения к сообщению одного или нескольких указанных графических изображений, используемых клиентом, связанным со вторым пользователем, чтобы подтвердить подлинность одной или нескольких сертификации, идентификаций и корреспонденции. 6 н. и 17 з.п. ф-лы, 10 ил.
Наверх