PROCEDE ET DISPOSITIFS DE PROTECTION D'UN MICROCIRCUIT CONTRE DES ATTAQUES VISANT A DéCOUVRIR UNE DONNéE SECRèTE

La présente invention concerne un procédé et des dispositifs de protection d'un microcircuit contre des attaques visant à découvrir une donnée secrète utilisée lors de l'exécution par le microcircuit d'un algorithme de cryptographie.

Comme cela est illustré sur la figure 1, une application algorithmique de cryptographie 10 est généralement mise en œuvre par un microcircuit 12 pour sécuriser l'émission ou la réception d'un message M. Parmi les données secrètes qu'elle est susceptible d'utiliser lors de son exécution, il y a une clé K, dite secrète en cryptographie symétrique et privée en cryptographie asymétrique. Il y a éventuellement aussi le message M lui-même. La clé secrète ou privée K est par exemple stockée dans le microcircuit 12 qui comporte une mémoire 14 incluant elle-même un espace de mémoire sécurisé 16 prévu à cet effet et un microprocesseur 18 pour exécuter l'algorithme de cryptographie 10. Le message M est lui aussi éventuellement destiné à être, au moins temporairement, stocké dans l'espace de mémoire sécurisé 16.

Les dispositifs à microcircuits mettant en œuvre des algorithmes de cryptographie font parfois l'objet d' attaques visant à déterminer les données secrètes qu'ils manipulent telles que la ou les clés utilisées et éventuellement dans certains cas de l'information sur les messages eux-mêmes.

Parmi les attaques connues, les attaques de type SPA (de l'anglais « Simple Power Analysis ») ou DPA (de l'anglais « Differential Power Analysis ») consistent à mesurer les courants et tensions entrants et sortants dans le microcircuit au cours de l'exécution de l'algorithme de cryptographie dans le but d'en déduire la clé secrète ou privée. La faisabilité- de cette famille

d'attaques a été démontrée dans l'article de P. Kocher, J. Jaffe et B. Jun intitulé « Differential Power Analysis » notamment publié dans Advances in Cryptology - Crypto 99 Proceedings, Lecture Notes In Computer Science Vol. 1666, M. Wiener, éd., Springer-Verlag, 1999. En particulier, lors de l'exécution de l'algorithme de cryptographie symétrique connu sous le nom de DES (de l'anglais « Data Encryption Standard ») , les seize itérations réalisées par cet algorithme sont clairement identifiables à partir des mesures de consommation d'énergie et il est possible d'en extraire statistiquement les bits de la clé secrète utilisée.

On connaît également les attaques par injection de faute (s), dites attaques DFA (de l'anglais « Differential Fault Analysis ») , qui consistent à engendrer volontairement des fautes lors de l'exécution de l'algorithme de cryptographie, par exemple en perturbant le microcircuit sur lequel il s'exécute. Une telle perturbation peut inclure un éclairage bref du microcircuit ou la génération d'un ou plusieurs pic (s) de tension sur l'un de ses contacts. Elle permet ainsi sous certaines conditions d' exploiter les erreurs de calcul et de comportement générées afin d' obtenir une partie voire la totalité de la donnée secrète recherchée.

Afin de lutter contre ces attaques qui sont variées par nature, de nombreuses solutions très différentes les unes des autres ont été apportées. L'invention concerne plus particulièrement celles qui mettent en œuvre un procédé comprenant une étape de génération d' au moins un paramètre de protection P de la donnée secrète et une étape de modification de l'exécution de l'algorithme de cryptographie à l'aide de ce paramètre de protection P.

Ce dernier est en général généré aléatoirement, à l'aide d'un générateur de données pseudo aléatoires classique 20, de sorte que l'exécution de l'algorithme de cryptographie 10 est elle-même rendue aléatoire et décorrélée de la donnée secrète utilisée, par exemple par

une technique communément qualifiée de masquage, que nous pouvons également renommer méthode de transformation ou de déformation des données puisque leur manipulation est déformée par opposition à leur utilisation brute, réalisée, par une section de contre-mesure 22 du microprocesseur 18, à l'aide du paramètre de protection P. Ainsi, les données intermédiaires de l'algorithme de cryptographie et, par suite, les courants mesurables sont modifiés par le paramètre de protection aléatoire et leur observation ne permet pas de retrouver la donnée secrète. En revanche, le masquage ne modifie pas l'algorithme lui- même qui fournit donc le même résultat avec ou sans masquage .

Un procédé de ce type est par exemple décrit dans le brevet Américain délivré sous le numéro US 6,278,783. Dans ce document, un mode de réalisation dans le domaine de la cryptographie symétrique et décrit en référence aux figures 1 et 2 de ce même document prévoit la génération d' aléas pour masquer les données secrètes constituées d'une clé K et d'un message M. On procède ainsi de la façon suivante lors d'une étape portant la référence 100 : on génère initialement deux aléas Kl et Ml, desquels on dérive deux autres aléas K2 et M2 tels que K2 = K XOR Kl et M2 = M XOR Ml,

- on associe des permutations aléatoires KlP, K2P, MlP, M2P à ces aléas de sorte que KlP {Kl} XOR K2P {K2} soit égal à K et que MlP {Ml} XOR M2P {M2} soit égal à M,

- les inverses de ces permutations sont appliquées aux aléas Kl, K2, Ml et M2 et l'algorithme de cryptographie (en l'occurrence un algorithme adapté de DES) est appliqué aux quatre aléas permutés plutôt qu'aux deux données secrètes elles-mêmes.

En fin d'algorithme, lors d'une étape qui porte la référence 170, les deux parties du message chiffré obtenues sont combinées pour former le même unique message crypté qui aurait pu être obtenu par application

directe de l'algorithme de cryptographie DES aux données K et M.

Un autre procédé du même type, plus spécifiquement dédié aux attaques DFA, préconise dans la demande de brevet Français publiée sous le numéro FR 2 867 635 d' exécuter un algorithme de cryptographie une première fois en modifiant son exécution à l'aide d'un premier paramètre généré aléatoirement, puis d'exécuter ce même algorithme de cryptographie une deuxième fois, ou bien d'exécuter son inverse ou une portion de celui-ci, en le modifiant à l'aide d'un deuxième paramètre généré aléatoirement et différent du premier, pour vérifier par comparaison de résultats la bonne exécution de l'algorithme lors de sa première exécution.

A chaque nouvelle exécution d' un algorithme de cryptographie protégé par un procédé du type précité, des aléas différents et par définition imprédictibles sont générés de sorte que deux exécutions successives de cet algorithme ne sont pas comparables (seuls les résultats finaux le sont) . Cela peut poser des problèmes en cours de conception lors de la détection d' erreurs d' implémentation (débogage) , parce que l'algorithme ne peut pas être exécuté deux fois dans les mêmes conditions. Cela peut aussi poser des problèmes lors de son exécution, notamment pour détecter des attaques par injection de fautes, parce que la solution qui est préconisée dans le document FR 2 867 635 mentionné ci- dessus est assez lourde en termes de capacité de calcul requise.

Une autre solution pourrait consister en une mise en mémoire des variables aléatoires générées pour pouvoir les réutiliser au besoin, mais cela pose d'évidents problèmes de sécurité.

Il pourrait être souhaité de remédier à ces inconvénients en fournissant un procédé de protection d'un microcircuit simple à mettre en œuvre et proposant une alternative sécurisante aux procédés classiques.

Des modes de réalisation de l'invention concernent un procédé de protection d'un microcircuit contre des attaques visant à découvrir une donnée secrète utilisée lors de l'exécution par le microcircuit d'un algorithme de cryptographie, comprenant une étape de génération d'au moins un paramètre de protection de la donnée secrète et une étape de modification de l'exécution de l'algorithme de cryptographie à l'aide de ce paramètre de protection, et comprenant en outre les étapes consistant à : prévoir au moins un paramètre secret prédéterminé stocké dans une mémoire sécurisée du microcircuit ; définir au moins une fonction génératrice permettant de générer une séquence de valeurs par applications successives de la fonction génératrice au paramètre secret, la séquence de valeurs étant déterminable uniquement à partir de la fonction génératrice et du paramètre secret ; générer au moins une séquence de valeurs au moyen de la fonction génératrice et du paramètre secret; et générer le paramètre de protection de façon reproductible à partir d' au moins une valeur de la séquence de valeurs.

Ainsi le paramètre de protection conserve sa capacité à modifier l'exécution de l'algorithme de cryptographie pour contrecarrer toute attaque, tout en étant reproductible, c'est-à-dire tout pouvant être retrouvé par le concepteur ou fabricant du microcircuit sans qu'il soit nécessaire de le stocker. Seuls la fonction et le ou les paramètre (s) secret (s) associé (s) doivent être définis et conservés par le concepteur ou fabricant .

Selon un mode de réalisation, la donnée secrète est un message, une clé secrète de cryptographie symétrique, une clé privée de cryptographie asymétrique ou une combinaison de ces éléments.

Selon un mode de réalisation, le procédé comprend une étape d'initialisation comprenant l'étape consistant à définir le paramètre secret, et chaque exécution de l'algorithme de cryptographie est modifiée par une

pluralité de paramètres de protection qui sont respectivement générés à partir des éléments P _N U-D _+I à p _N i de la séquence de valeurs lors d'une i-ème exécution de l'algorithme de cryptographie suivant l'étape d' initialisation.

Selon un mode de réalisation, la séquence de valeurs est générée au moyen de la relation de récurrence p _n+ i = q.p _n + r, appliquée à des paramètres secrets q, r et po.

Selon un mode de réalisation, la séquence de valeurs est générée au moyen de la relation de récurrence p _n+ i = mod m, appliquée à des paramètres secrets q, r, m et po.

Selon un mode de réalisation, m est une puissance entière de 2.

Selon un mode de réalisation, la séquence de valeurs est à valeurs dans un groupe cyclique GC à m éléments avec une valeur p comme élément générateur du groupe et la multiplication comme loi de composition interne, et l'étape de génération de la séquence de valeurs comprend les étapes consistant à : choisir un élément initial po de la séquence comme étant l'élément générateur p auquel est appliquée k fois la loi de composition interne du groupe GC, et passer d'un élément pi de rang i à un élément pi ₊ i de rang i+1 en appliquant k' fois la loi de composition interne du groupe GC, m, p, k et k' étant des paramètres secrets.

Selon un mode de réalisation, la séquence de valeurs est à valeurs dans un groupe de Frobenius, notamment le groupe des transformations affines inversibles sur un corps fini GF (q), où l'ordre q est un nombre premier de k bits, q et k étant des paramètres secrets.

Selon un mode de réalisation, la séquence de valeurs est à valeurs issues d'un registre à décalage avec rétroaction linéaire de taille m tel que les éléments de la séquence vérifient une relation du type p _t+m = α _m .p _t + ≈m-i-Pt+i ⁺ - + ≈i • Pt+m-i/• ^ou les a± prennent la valeur 0 ou 1, les paramètres a±, la taille m et les m premiers

éléments de la séquence de valeurs étant des paramètres secrets .

Selon un mode de réalisation, la séquence de valeurs est obtenue par la relation de récurrence p _n+ i = F(p _n ), où F réalise un calcul de Contrôle de Redondance Cyclique sur la base d'un polynôme de Contrôle de Redondance Cyclique, le premier élément de la séquence de valeurs et le polynôme choisi étant des paramètres secrets.

Selon un mode de réalisation, le procédé comporte les étapes consistant à : générer une pluralité de séquences de valeurs à partir d'une pluralité de fonctions génératrices et d'une pluralité de paramètres secrets correspondants ; combiner la pluralité de séquences de valeurs,) à l'aide d'une relation prédéfinie pour générer une nouvelle séquence de valeurs ; et générer le paramètre de protection de façon reproductible à partir d' au moins une valeur de la nouvelle séquence de valeur.

Selon un mode de réalisation, le procédé comporte les étapes consistant à : combiner la séquence de valeurs avec des paramètres publics de l'algorithme de cryptographie pour générer une nouvelle séquence de valeurs, et générer le paramètre de protection de façon reproductible à partir d' au moins une valeur de la nouvelle séquence de valeurs.

Des modes de réalisation de l'invention concernent également un dispositif à microcircuit protégé contre des attaques visant à découvrir une donnée secrète utilisée lors de l'exécution par le microcircuit d'un algorithme de cryptographie, comprenant au moins une mémoire sécurisée pour le stockage de la donnée secrète, un générateur de données pour la génération d' au moins un paramètre de protection de la donnée secrète et un microprocesseur pour l'exécution, modifiée à l'aide du paramètre de protection, de l'algorithme de cryptographie, dans lequel le générateur de données comporte : une section génératrice configurée pour

générer la séquence de valeurs par application successives d'au moins une fonction génératrice prédéfinie à au moins un paramètre secret prédéterminé, la séquence de valeurs étant déterminable uniquement à partir du paramètre secret et de la fonction génératrice, ainsi qu'une section de fourniture du paramètre de protection de façon reproductible à partir d' au moins une valeur d'une séquence de valeurs fournie par la section génératrice, et dans lequel le paramètre secret est un paramètre prédéterminé stocké dans la mémoire sécurisée du microcircuit.

Selon un mode de réalisation, la donnée secrète est un message, une clé secrète de cryptographie symétrique, une clé privée de cryptographie asymétrique ou une combinaison de ces éléments .

Selon un mode de réalisation, le dispositif est configuré pour : réaliser une étape d'initialisation comprenant une étape consistant à définir le paramètre secret, et modifier chaque exécution de l'algorithme de cryptographie au moyen d'une pluralité de paramètres de protection qui sont respectivement générés à partir des éléments P _N U-D _+I à p _N i de la séquence de valeurs lors d'une i-ème exécution de l'algorithme de cryptographie suivant l'étape d'initialisation.

Selon un mode de réalisation, la section génératrice est configurée pour fournir une séquence de valeurs obtenue par la relation de récurrence p _n+ i = q.p _n + r, appliquée à des paramètres secrets q, r et po •

Selon un mode de réalisation, la section génératrice est configurée pour fournir une séquence de valeurs obtenue par la relation de récurrence p _n+ i = mod m, appliquée à des paramètres secrets q, r, m et po.

Selon un mode de réalisation, m est une puissance entière de 2.

Selon un mode de réalisation, la section génératrice est configurée pour fournir une séquence de valeurs à valeurs dans un groupe cyclique GC à m éléments avec une

valeur p comme élément générateur du groupe et la multiplication comme loi de composition interne, et pour réaliser les étapes consistant à : choisir un élément initial po de la séquence comme étant l'élément générateur p auquel est appliquée k fois la loi de composition interne du groupe GC ; passer d'un élément pi de rang i à un élément pi ₊₁ de rang i+1 en appliquant k' fois la loi de composition interne du groupe GC, m, p, k et k' étant des paramètres secrets.

Selon un mode de réalisation, la section génératrice est configurée pour fournir une séquence de valeurs à valeurs dans un groupe de Frobenius, notamment le groupe des transformations affines inversibles sur un corps fini GF (q), où l'ordre q est un nombre premier de k bits, q et k étant des paramètres secrets.

Selon un mode de réalisation, la section génératrice est configurée pour fournir une séquence de valeurs à valeurs issues d'un registre à décalage avec rétroaction linéaire de taille m tel que les éléments de la séquence vérifient une relation du type pt+ _m = o£ _m .pt + θ£ _m -i.pt+i + - + αi.pt ₊ m-i/ où les «i prennent la valeur 0 ou 1, les paramètres a. _± , la taille m et les m premiers éléments de la séquence de valeurs étant des paramètres secrets.

Selon un mode de réalisation, la section génératrice est configurée pour fournir une séquence de valeurs obtenue par la relation de récurrence p _n+ i = F (p _n ) , où F réalise un calcul de Contrôle de Redondance Cyclique sur la base d'un polynôme de Contrôle de Redondance Cyclique, le premier élément de la séquence de valeurs et le polynôme choisi étant des paramètres secrets. Selon un mode de réalisation, le générateur de données est configuré pour : générer une pluralité de séquences de valeurs à partir d'une pluralité de fonctions génératrices et d'une pluralité de paramètres secrets correspondants ; combiner la pluralité de séquences de valeurs,) à l'aide d'une relation prédéfinie pour générer une nouvelle séquence de valeurs ; générer le paramètre

de protection de façon reproductible à partir d' au moins une valeur de la nouvelle séquence de valeurs . Selon un mode de réalisation, le générateur de données est configuré pour : combiner la séquence de valeurs avec des paramètres publics de l'algorithme de cryptographie pour générer une nouvelle séquence de valeurs, et générer le paramètre de protection de façon reproductible à partir d' au moins une valeur de la nouvelle séquence de valeurs .

Des modes de réalisation de l'invention concernent également un dispositif portable, notamment carte à puce, comprenant un dispositif à microcircuit du type décrit ci-dessus .

Ces objets, caractéristiques et avantages ainsi que d'autres de la présente invention seront exposés plus en détail dans la description suivante, faite à titre non limitatif en relation avec les figures jointes parmi lesquelles :

- la figure 1 précédemment décrite représente de façon schématique la structure d'un dispositif à microcircuit protégé contre des attaques, de type classique,

- la figure 2 représente de façon schématique la structure d'un dispositif à microcircuit protégé contre des attaques, selon un mode de réalisation de 1' invention,

- la figure 3 représente de façon schématique une carte à puce comprenant le dispositif à microcircuit de la figure 2, et

- la figure 4 illustre les étapes successives d'un mode de réalisation d'un procédé de protection d'un microcircuit selon l'invention.

Le dispositif à microcircuit 12' représenté sur la figure 2 comporte, comme celui représenté sur la figure 1, une application algorithmique de cryptographie 10, une mémoire 14 incluant un espace de mémoire sécurisé 16, un microprocesseur 18 et une section de contre-mesure 22.

L'espace mémoire sécurisé 16 n'est pas accessible de l'extérieur du microcircuit sans autorisation et/ou authentification .

Le microcircuit 12 ' est par exemple intégré sous forme de puce d'une carte à puce sécurisée 30 comme représenté sur la figure 3. On notera cependant que, bien que l'application algorithmique de cryptographie 10 et la section de contre-mesure 22 aient été représentées comme distinctes, celles-ci peuvent être en fait intimement imbriquées en une même implémentation d'un algorithme de cryptographie incluant une contre-mesure.

Contrairement au dispositif 12, dans ce dispositif 12' le générateur de données pseudo aléatoires 20 de type classique est remplacé par un générateur de données 20' qui comporte :

- une section 20' a d'application d'une fonction F prédéfinie à au moins un paramètre secret prédéterminé S pour la génération d'une séquence de valeurs déterminable uniquement à partir de ce paramètre secret et de cette fonction F, et une section 20' b de fourniture d'au moins un paramètre de protection P de façon reproductible à partir d'une valeur de cette séquence.

La section 20' a est en fait une implémentation logicielle ou matérielle de la fonction F.

Le paramètre secret S est stocké dans la mémoire sécurisée 16 et fourni en entrée de la section 20' a du générateur 20' , tandis que le paramètre de protection P est fourni, en sortie de la section 20' b, à la section de contre-mesure 22.

Le paramètre P n' est donc pas un aléa au sens classique mentionné dans les documents de l'état de la technique. Il s'agit d'un résultat déterministe issu du calcul de la fonction F exécuté par le générateur 20' sur au moins un paramètre secret S qui peut être propre à la carte à puce 30 sur laquelle est disposé le microcircuit

12' . Ce paramètre secret est par exemple dérivé du numéro de série de la carte 30.

L'application répétée de la fonction F à S génère une séquence (p _n ) dont les éléments sont à l'origine du (des) paramètre (s) de protection fourni (s) par le générateur. D'une façon générale, le générateur peut fournir autant de paramètres P issus de valeurs de la séquence (p _n ) que nécessaire en fonction de l'application de contre-mesure implémentée dans la carte 30. Cette séquence (p _n ) ne peut être reproduite qu'avec la connaissance de la fonction génératrice F et des éléments déterministes initiaux qu'elle utilise (le paramètre S).

Chaque paramètre de protection P peut être directement issu d'un élément p _n de la séquence (p _n ) : en d'autres termes, P = p _n . De façon alternative, l'élément p _n peut subir un traitement avant de fournir le paramètre P. Par exemple P peut être le résultat d'un calcul P = p _n XOR k _n , où k _n est une constante secrète de masquage.

Bien entendu, si la séquence (p _n ) est cyclique et/ou opère dans un ensemble fini d'éléments, l'espace des valeurs p _n générées pourra être suffisamment grand pour résister aux attaques. En effet plus l'espace considéré est grand, meilleure est la robustesse de la contre- mesure .

Nous allons dans un premier temps présenter plusieurs exemples non limitatifs de séquences de valeurs (p _n ) pouvant être fournies par un générateur selon l'invention. Dans un deuxième temps, nous exposerons plusieurs utilisations possibles de telles séquences de valeurs pour la fourniture de paramètres de protection à des applications diverses de contre-mesure.

Exemples de fonctions génératrices de séquences de valeurs pour la fourniture de paramètres de protection

1) Fonctions à base de suites arithmético- géométriques

Si l'on définit la séquence de valeurs (p _n ) à l'aide de la fonction F entière à valeurs entières par la relation suivante :

Pn+l = F(P _n ) = q.pn + r, où q et r sont des paramètres secrets constituant, avec l'élément initial po de la séquence, les paramètres secrets S précédemment cités, on est capable de fournir des paramètres de protection issus d'une suite arithmético-géométrique . Les paramètres de protection sont par exemple les éléments de la séquence (p _n ) .

Si r = 0, il s'agit d'une séquence géométrique dont on peut retrouver un terme pi, utilisé à une étape précise de la cryptographie, à l'aide des paramètres secrets q et po de la façon suivante : pi = q ¹ .po.

Si q = 1, il s'agit d'un séquence arithmétique dont on peut retrouver un terme pi à l'aide des paramètres secrets r et po de la façon suivante : pi = r.i + po-

Si r est non nul et q différent de 1, il s'agit d' une séquence arithmético-géométrique dont on peut retrouver un terme pi à l'aide des paramètres secrets q, r et po de la façon suivante :

Pi = q\p ₀ + r. (q ⁱ -l)/(q-l) .

On peut aussi réduire l'espace des éléments de la séquence (p _n ) par un nombre entier m à l'aide de la relation suivante :

P _n+I = F(p _n ) modulo m = (q.p _n + r) modulo m.

On remarque que si m est un nombre premier, cette séquence prend la forme du groupe des transformations affines inversibles sur le corps fini GF (m) = {0, 1, ..., m-1} .

On peut aussi choisir m comme une puissance de 2, pour générer des ^• séquences d'éléments à nombre de bits constant. Par exemple, si l'on veut générer des séquences de paramètres pi à k bits, on choisit m = 2 ^k .

De façon optionnelle, m fait partie des paramètres secrets à conserver en mémoire sécurisée.

2) Fonctions définissant un groupe multiplicatif cyclique

Soit un groupe cyclique GC à m éléments avec une valeur p comme élément générateur et la multiplication comme loi de composition interne : GC = {p, p ² , ..., p ^m } . On peut définir la séquence de valeurs (p _n ) de la façon suivante :

- l'élément initial p ₀ est choisi comme étant l'élément générateur p auquel on applique k fois la loi de composition interne du groupe GC, on passe de l'élément pi à l'élément pi ₊ i en appliquant k' fois la loi de composition interne du groupe GC.

Les paramètres secrets S utilisés par la fonction génératrice de la séquence (p _n ) sont alors par exemple l'élément générateur p et les valeurs k, k' et m. De plus, comme précédemment, Les paramètres de protection P générés sont par exemple les éléments de la séquence

(Pn) •

3) Fonctions définissant un groupe de Frobenius Soit un corps fini GF (q), où l'ordre q est un nombre premier de k bits. Le groupe des transformations affines inversibles sur ce corps fini est un groupe de Frobenius. Une propriété intéressante des groupes de Frobenius est qu'aucun élément non trivial ne fixe plus d'un point.

Dans ce contexte, les transformations affines utilisables prennent la forme de fonctions y = f (x) = a.x + b, où a ≠ 0 et où les opérations se font dans le corps GF (q) . Il est donc possible de définir une fonction génératrice de la séquence (p _n ) s' appliquant à des paramètres secrets q, a, b et p ₀ prédéterminés. En choisissant par exemple q = 2 ¹⁶ + 1 et, en notation hexadécimale, a = 0x4cd3, b = 0x7βbb, p ₀ = 0xef34, on obtient une séquence commençant par les termes p _x = Oxcβcf, p ₂ = 0x8baf, p ₃ = 0xβ20d, p ₄ = 0x0605, p ₅ = 0xe70c, p ₆ = 0x3049, p ₇ = 0xe0β9, p ₈ = 0x55ee, etc.

4) Fonctions issues d'un registre à décalage avec rétroaction linéaire (registre de type LFSR)

II s'agit pour ce type de fonctions de choisir un paramètre secret po, par exemple de 16 bits, et un registre à décalage LFSR, par exemple avec une sortie correspondante de 16 bits. Si la taille du registre LFSR est m, alors un terme p _t+m de la séquence (p _n ) est déterminé par les m termes qui le précèdent à l'aide d'une équation linéaire du type :

Pt+m = ≈m-Pt + α _m _i.p _t +i + ... + Oiχ.pt+m-1, Où leS «i prennent la valeur 0 ou 1.

5) Fonctions définissant un calcul de Contrôle de Redondance Cyclique (CRC)

II s'agit pour ce type de fonctions de choisir un paramètre secret po, par exemple de 16 bits, et un polynôme CRC correspondant parmi ceux utilisés de façon classique dans les calculs de CRC, par exemple le polynôme CRC-16 (X ¹⁶ + X ¹⁵ + X ² + 1) ou le polynôme CRC CCITT V41 (X ¹⁶ + X ¹² + X ⁵ + 1) . Un terme p _n+1 de la séquence (p _n ) est déterminé en fonction du terme précédent p _n par la relation p _n+ i = F(p _n ), où F réalise un calcul de CRC sur la base du polynôme choisi.

6) Combinaisons de séquences de valeurs

II est en effet aussi possible de calculer plusieurs séquences de valeurs, chacune par exemple selon l'une des méthodes exposées ci-dessus, et de les combiner à l'aide d'une fonction prédéfinie pour générer une nouvelle séquence de valeurs à utiliser comme paramètres de protection. On génère ainsi la séquence (p _n ) , d'après deux autres séquences (p' _n ) ^e t (p''n)/ en calculant pour chaque indice n, p _n = T(p ^λ _n , p'' _n ) •

La fonction T en question peut être une matrice secrète de valeurs, les valeurs p' _n et p'' _n désignant alors respectivement une ligne et une colonne de cette matrice.

7) Combinaisons impliquant une séquence de valeurs et des données publiques

La séquence (p _n ) peut être générée à partir d'une première séquence (P' _π ) _λ en fonction également de données publiques, telles que par exemple des données utilisées pendant l'exécution de l'application de cryptographie avec contre-mesure et non secrètes. Parmi ces données, selon les applications, on peut citer le message M (en clair ou crypté) , une clé publique Kpub (pour une application de cryptographie asymétrique), etc. Les valeurs de la séquence utilisées comme paramètres de protection sont alors calculées à l'aide d'une fonction COMB quelconque combinant toutes ces données : p _n = COMB (p' _n , M, Kpub, ...) .

Un intérêt de cette combinaison est que la séquence de valeurs (p _n ) peut servir, non seulement à alimenter en paramètres de protection l'application de contre-mesure de l'algorithme de cryptographie, mais aussi à détecter des attaques par injection de fautes (notamment sur les données publiques) . En effet par régénération de la séquence (p' _n ) à l'aide du ou des paramètre (s) secret (s), en fin d'exécution de l'algorithme de cryptographie par exemple, puis par utilisation de cette séquence (p' _n ) régénérée et des données publiques telles qu'elles apparaissent en fin d' exécution, on peut vérifier si l'application de la fonction COMB produit la même séquence de valeurs (p _n ) ou non et donc si des données publiques ont été affectées ou pas en cours d'exécution.

Exemples d' utilisation d' une séquence de valeurs générée selon l'une des méthodes précédentes par un algorithme de cryptographie avec contre-mesure

1) Premier exemple

Comme indiqué en préambule, des aléas sont générés par l'algorithme décrit dans le document US 6,278,783, au cours de l'étape 100 décrite en référence à la figure 1 de ce document, pour masquer les données secrètes K (la clé secrète) et M (le message à crypter) . La génération aléatoire et non prédictible des paramètres Kl, Ml, KlP et MlP en tant que paramètres de protection, desquels

sont ensuite dérivés les paramètres K2, M2, K2P et M2P, est une étape essentielle du procédé décrit qui permet de contrer des attaques par analyse de consommation d' énergie .

Il serait pourtant avantageux de remplacer cette étape 100, par une étape de génération de paramètres de protection non aléatoires à l'aide d'un générateur 20' selon un mode de réalisation de l'invention et non pas à l'aide d'un générateur 20 de données pseudo aléatoires classique tel que préconisé dans le document US 6,278,783.

Puisque Kl, Ml, KlP et MlP ne sont pas nécessairement représentés sur un même nombre de bits (par exemple, dans l'application DES envisagée dans le document US 6,278,783, Kl est représenté sur 56 bits alors que Ml est représenté sur 64 bits), chacun de ces paramètres peut être issu d'une séquence qui lui est propre. On définit et on mémorise ainsi respectivement quatre familles de paramètres secrets et quatre fonctions correspondantes, génératrices de quatre séquences de valeurs (Kl _n ) , (Ml _n ) , (KlP _n ) et (MlP _n ) à partir desquelles sont générés les quatre paramètres de protection KIi, Ml±, KlPi et MlPi d'une i-ème exécution de l'application DES. Dans ce cas, un compteur peut mémoriser l'indice i, indicateur du nombre de fois qu'un dispositif implémentant ce perfectionnement de l'algorithme DES l'a effectivement exécuté depuis sa fabrication, ou depuis sa dernière initialisation. Comme déjà indiqué, les paramètres de protection KIi, MIi, KlPi et MlPi peuvent être générés non seulement à partir des séquences (Kl _n ) , (Ml _n ) , (KlP _n ) et (MlP _n ) mais aussi en fonction de données publiques supplémentaires utilisées en cours d'exécution.

En fin de cryptographie, c'est-à-dire à l'étape 170 représentée à la figure 1 du document US 6,278,783, on peut alors générer une seconde fois chacun des paramètres de protection utilisé, pour démasquer l'exécution de

l'application DES entre les étapes 110 et 160, de manière à détecter des attaques par injection de fautes. En effet cette étape de régénération conduira à des permutations inverses erronées si une faute a eu lieu et les résultats obtenus ne seront plus exploitables par des techniques d'analyse de fautes classiques.

Au cours de la vérification d'une implémentation de l'application DES précitée, on peut aussi reproduire une i-ème exécution de cette application, de manière à réaliser un débogage efficace, grâce à la possibilité de retrouver simplement les paramètres KIi, MIi, KlPi et MlPi dans la séquence de nombres déterministes.

2) Deuxième exemple

Comme indiqué en préambule également, des aléas Al et A2 sont générés par l'algorithme de traitement sécurisé décrit dans le document FR 2 867 635, par exemple au cours d'étapes E204 et E208 décrites en référence à la figure 2 de ce document. Ces aléas sont générés aléatoirement indépendamment l'un de l'autre de sorte qu'ils ont toutes les chances d'être différents dans le cas le plus général. Ils sont par exemple utilisés indépendamment lors de deux exécutions consécutives d'un même algorithme de cryptographie, ou de deux algorithmes de cryptographie liés par leurs résultats .

Ici encore, Al et A2 pourraient avantageusement être générés de façon non aléatoire par un générateur 20' selon l'invention. Dans un mode de réalisation de l'invention, Al et A2 sont issus d'une même séquence (p _n ) obtenue par exemple, mais non nécessairement, selon l'une des méthodes précitées. Ainsi, lors de la i-ème exécution du procédé de traitement sécurisé envisagé dans le document FR 2 867 635, au lieu de générer Al et A2 de façon aléatoire et indépendante, Al et A2 peuvent être obtenus de la façon suivante :

Al = P2i_i,

A2 = P _2I .

II est alors aisé de retrouver les valeurs de Al et A2 utilisées lors de la i-ème exécution du procédé de traitement sans avoir besoin de les conserver en mémoire, soit en cours de traitement pour vérifier l'intégrité des données manipulées, soit ultérieurement pour déboguer, si besoin, le procédé de traitement.

De même il est ainsi permis de créer une relation de dépendance entre les nombres Al et A2 qui peut être utile dans les contre-mesures visant à se prémunir de et détecter les attaques par injection de faute (s).

3) Autres exemples

II existe de nombreux dispositifs et procédés connus de contre-mesure et bien d' autres encore à imaginer et réaliser. D'une façon générale, chaque fois qu'une contre-mesure algorithmique est utilisée pour modifier l'exécution d'un algorithme de cryptographie symétrique ou asymétrique, la génération d'aléas introduits par la contre-mesure est préconisée. Selon l'invention, elle est avantageusement remplacée par la génération non aléatoire de paramètres de protection issus d'une ou plusieurs séquence (s) de valeurs obtenue (s) à l'aide d'au moins un paramètre secret, comme cela a été illustré par les deux exemples précédents.

La figure 4 illustre un exemple d' étapes réalisées par un procédé selon un mode de réalisation de l'invention, appliqué à l'exécution d'un algorithme quelconque de cryptographie avec contre-mesure, utilisant N paramètres de protection Pi, ... P _N par exécution, tous les paramètres de protection pouvant être extraits d'une même séquence de valeurs (p _n ) générée par la section 20'a.

Lors d'une première étape INIT réalisée par le générateur 20', un compteur i est initialisé à 0. Ce compteur i est destiné à conserver en mémoire le nombre de fois que l'algorithme de cryptographie a été exécuté depuis cette étape d'initialisation INIT, tant qu'une autre initialisation n'est pas réalisée.

Au cours de cette étape, le paramètre secret S (ou les paramètres S lorsqu'il y en a plusieurs), à partir duquel la séquence de valeurs doit être générée, est défini. Il peut être conservé d'une précédente initialisation, mais peut aussi être généré sur la base d'une nouvelle valeur à l'occasion de cette initialisation. Il est par exemple généré à partir de données uniques d'identification, telles que le numéro de série de la carte à puce porteuse du microcircuit 12' . Il peut aussi être généré à partir de paramètres ou phénomènes physiques liés au microcircuit à un instant donné, qui peuvent être aléatoires. Dans tous les cas, il est conservé en mémoire de façon sécurisée, pour permettre au microcircuit de régénérer à tout moment une même séquence de valeurs (p _n ) à l'aide de la fonction implémentée par la section 20' a.

L'étape d'initialisation INIT peut être unique dans le cycle de vie du microcircuit, réalisée lors de la conception par le constructeur, ou reproduites plusieurs fois, par exemple régulièrement ou chaque fois que le compteur i atteint une valeur imax.

Lors d'une première exécution EXEl de l'algorithme de cryptographie avec contre-mesure, le générateur 20' , plus particulièrement la section 20' a, est sollicité une ou plusieurs fois pour appliquer le paramètre secret S à la fonction F prédéfinie, de manière à générer, en une ou plusieurs fois, un nombre N d'éléments de la séquence de valeurs (p _n ) : pi, ... p _N . A partir de ces N premiers éléments, les N paramètres de protection P ₁ , ... P _N sont générés.

Par exemple, pour tout k tel que l≤k≤N, P _k = p _k .

En variante, si l'on dispose de N valeurs secrètes supplémentaires SeC ₁ , ... Sec _N parmi les paramètres secrets S conservés en mémoire sécurisée, on peut effectuer le calcul supplémentaire suivant : pour tout k tel que l≤k≤N, P _k = Sec _k XOR p _k , ou P _k = Sec _k ADD p _k , ou bien également P _k = Sec _k SUB p _k , de

manière à transformer (ou déformer ou masquer) les paramètres utilisés.

Par la suite, lors d'une i-ème exécution EXEi de l'algorithme de cryptographie avec contre-mesure, le générateur 20', plus particulièrement la section 20' a, est de nouveau sollicité une ou plusieurs fois pour appliquer le paramètre secret S à la fonction F prédéfinie, de manière à générer, en une ou plusieurs fois, un nombre N d'éléments supplémentaires de la séquence de valeurs (p _n ) : - P _M - A partir de ces N éléments supplémentaires, les N paramètres de protection Pi, ... P _N sont générés, comme précédemment.

Par exemple, pour tout k tel que l≤k≤N, Pk = Pmi- _D+ k-

En variante, si l'on dispose des N valeurs secrètes supplémentaires Seci, ... Sec _N , on peut effectuer le calcul supplémentaire suivant : pour tout k tel que l≤k≤N, P _k = SeCk XOR PN(i-i) ₊ k/ ou P _k = SeCk ADD PN(i-u ₊ kλ ou bien également Pk = SeCk SUB p _N (i- i) _+k , de manière à transformer (ou déformer ou masquer) les paramètres utilisés.

Quelle que soit la méthode utilisée pour générer la ou les séquence (s) de valeurs à l'origine des paramètres de protection, la connaissance de la méthode et des valeurs secrètes utilisées par la méthode, y compris le paramètre initial po chargé préalablement en mémoire ROM ou lors d'une étape du cycle de vie du dispositif à microcircuit en mémoire EEPROM, permet de retrouver à tout moment les paramètres de protection générés et utilisés dans la vie du dispositif. Il apparaît clairement que cette particularité permet alors des débogages simples et efficaces ainsi qu'une résistance améliorée aux attaques par injection de fautes.

Le choix de la méthode utilisée pour générer la séquence de valeurs et le ou les paramètre (s) de protection est dicté par l'application envisagée.

Par ailleurs, le nombre de paramètres secrets peut permettre de définir le niveau d' indépendance entre

l'entité qui est responsable du développement du dispositif à microcircuit et son émetteur.