, 92 5.3.5 Perturbation sur la base, Combinaison des 2 contre-mesures . . . . . . . . . . . . . . . . . . . 94
, )) 2: computes ? a partition of B in B 1
, Bg) 8: c q = RedM(C q * |p ?1 | q , q, B 1,? , B 2,? ) 9: C = c p * q + c q * p 10: retourne RNS2Radix(C, M ) suffisants pour s'assurer qu'une perturbation sur un unique Rower sera automatiquement détectée. J'ai synthétisé le Cox-Rower sur le FPGA EP3SL50F484C2, le plus petit FPGA de la série Stratix III (l'outil de synthèse est disponible dans l'édition gratuite du logiciel Quartus II d'Altera) Afin de protéger le Cox et le séquenceur contre les perturbations, j' ai réalisé une simple redondance de ces blocs
, total de la contre-mesure LRA et RFD en terme de consommation de ressources est de 1323 ALM sur 8385 ( soit 15%, 13 multiplieurs 18 × 18 sur 148 (9%), et finalement 6 blocs de mémoire M9k sur, p.34
, Montgomery avec la randomisation de l'exposant (d est transformé en d + a?(N ) où a est un aléa) et la contre-mesure de Giraud [57] (algorithme 10) La contre-mesure de Giraud est ajoutée car elle ne coûte qu'une réduction dans la mesure où l'échelle de Montgomery est utilisée. Grâce à ces contre-mesures, des attaques puissantes telles que l'"address bit DPA" ne peuvent être réalisées. Ce mode d'exponentiation est nettement moins efficace que la contre-mesure proposée par Rivain [106], mais ne nécessite pas de calcul de la double-chaîne à la volée (ce calcul est nécessairement à la volée du fait de la randomisation de l'exposant). L'adaptation de la contre-mesure proposée par Rivain est néanmoins possible, mais complique le travail de remplissage de pipeline comparé à l'échelle de Montgomery (où pour chacun des 512 bits de d p et d q , pas moins de 4 réductions sont nécessaires et parallèlisables) L'utilisation de la contre-mesure LRA
, Une fois la transformation RNS ? binaire réalisée, il est nécessaire de calculer M (m) = |mM(B 1,? )| p . Dans [16], les auteurs proposent l'utilisation de RedM(m × |M(B)| p , p, B 2,? , B 1,? ) qui donne un résultat correct. Dans la secion 5.2, j'ai démontré que l'utilisation de l'astuce de Bajard était possible avec un Cox-Rower. Néanmoins, le RSA-CRT a une spécificité. En effet, m est 2 fois plus long que p soit 1024 bits dans notre cas. Par conséquent, m × |M(B)| p peut atteindre jusqu'à 1536 bits et il est impossible de représenter un tel nombre dans le Cox-Rower proposé
, le chapitre 5 a proposé une implémentation de la contre-mesure proposée par
, Altera web site. http://www.altera.com. [2] Cadence design systems web site
, Hybrid Binary-Ternary Number System for Elliptic Curve Cryptosystems, IEEE Transactions on Computers, vol.60, issue.2, pp.254-265, 2011.
DOI : 10.1109/TC.2010.138
URL : https://hal.archives-ouvertes.fr/lirmm-00595207
, Optimal Eta Pairing on Supersingular Genus-2 Binary Hyperelliptic Curves, Cryptology ePrint Archive, vol.17, issue.4, 2010.
DOI : 10.1007/s00145-004-0313-x
URL : https://hal.archives-ouvertes.fr/inria-00540002
, High-Speed Parallel Software Implementation of the ?? T Pairing, Topics in Cryptology -CT-RSA 2010, pp.89-105, 2010.
DOI : 10.1007/978-3-642-11925-5_7
, Faster Explicit Formulas for Computing Pairings over Ordinary Curves, EUROCRYPT, pp.48-68, 2011.
DOI : 10.1007/978-3-642-20465-4_5
, Combining leak?resistant arithmetic for elliptic curves defined over F p and RNS representation, Cryptology ePrint Archive, 2010.
, An RNS Montgomery modular multiplication algorithm, IEEE Transactions on Computers, vol.47, issue.7, pp.766-776, 1998.
DOI : 10.1109/12.709376
, Modular multiplication and base extensions in residue number systems, Proceedings 15th IEEE Symposium on Computer Arithmetic. ARITH-15 2001, pp.59-65, 2001.
DOI : 10.1109/ARITH.2001.930104
URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.29.155
, Pierre-Yvan Liardet, and Yannick Teglia. Leak resistant arithmetic, Cryptographic Hardware and Embedded Systems -CHES 2004, pp.116-145, 2004.
, Selected RNS Bases for Modular Multiplication, 2009 19th IEEE Symposium on Computer Arithmetic, pp.25-32, 2009.
DOI : 10.1109/ARITH.2009.20
URL : https://hal.archives-ouvertes.fr/lirmm-00394985
, Efficient algorithms for pairing-based cryptosystems, Proceedings of the 22nd Annual International Cryptology Conference on Advances in Cryptology, CRYPTO '02, pp.354-368, 2002.
, Pairing-friendly elliptic curves of prime order, Proceedings of SAC 2005, pp.319-331, 2005.
, Implementing the Rivest Shamir and Adleman Public Key Encryption Algorithm on a Standard Digital Signal Processor, Proceedings on Advances in cryptology?CRYPTO '86, pp.311-323, 1987.
DOI : 10.1007/3-540-47721-7_24
, Cache-timing attacks on AES, 2005.
, Perturbating RSA Public Keys: An Improved Attack, CHES, pp.380-395, 2008.
DOI : 10.1007/978-3-540-85053-3_24
, Multi-core Implementation of the Tate Pairing over Supersingular Elliptic Curves, Cryptology and Network Security, pp.413-432, 2009.
DOI : 10.1007/978-3-642-10433-6_28
, Fast Architectures for the \eta_T Pairing over Small-Characteristic Supersingular Elliptic Curves, IEEE Transactions on Computers, vol.60, issue.2, pp.266-281, 2011.
DOI : 10.1109/TC.2010.163
URL : https://hal.archives-ouvertes.fr/inria-00424016
, High-Speed Software Implementation of the Optimal Ate Pairing over Barreto???Naehrig Curves, Pairing, pp.21-39, 2010.
DOI : 10.1007/978-3-642-17455-1_2
, A new CRT-RSA algorithm secure against Bellcore attacks, CCS 2003, pp.311-320, 2003.
, On the importance of checking cryptographic protocols for faults (extended abstract), EUROCRYPT, pp.37-51, 1997.
, Identity-based encryption from the Weil pairing, CRYPTO, pp.213-229, 2001.
, Short signatures from the Weil pairing, pp.514-532, 2001.
, CRT RSA Algorithm Protected Against Fault Attacks, Proceedings of the 1st IFIP TC6 /WG8.8 /WG11.2 international conference on Information security theory and practices : smart cards, mobile and ubiquitous computing systems, WISTP'07, pp.229-243, 2007.
DOI : 10.1007/11554868_13
, Correlation Power Analysis with a Leakage Model, Cryptographic Hardware and Embedded Systems -CHES 2004, pp.135-152
DOI : 10.1007/978-3-540-28632-5_2
, Weierstra?? Elliptic Curves and Side-Channel Attacks, Public Key Cryptography, pp.335-345, 2002.
DOI : 10.1007/3-540-45664-3_24
, Montgomery arithmetic, Encyclopedia of Cryptography and Security, 2005.
, Template Attacks, Cryptographic Hardware and Embedded Systems -CHES 2002, pp.51-62
DOI : 10.1007/3-540-36400-5_3
, FPGA Implementation of Pairings Using Residue Number System and Lazy Reduction, CHES, 2011.
DOI : 10.1007/978-3-642-23951-9_28
URL : https://hal.archives-ouvertes.fr/hal-00745016
, Practical fault countermeasures for chinese remaindering based RSA (extended abstract), PROC. FDTC'05, pp.124-131
, Parallel FPGA implementation of RSA with residue number systems ? can side-channel threats be avoided, 46 th International Midwest Symposium on Circuits and Systems : MWSCAS '03, 2003.
, Resistance Against Differential Power Analysis For Elliptic Curve Cryptosystems, CHES, pp.292-302, 1999.
DOI : 10.1007/3-540-48059-5_25
, Fault attacks and countermeasures on vigilant's RSA-CRT algorithm, FDTC, pp.89-96, 2010.
, Faster Pairing Computations on Curves with High-Degree Twists, Public Key Cryptography, pp.224-242, 2010.
DOI : 10.1007/978-3-642-13013-7_14
, High-speed hardware implementations of Elliptic Curve Cryptography: A survey, Journal of Systems Architecture, vol.53, issue.2-3, pp.72-84, 2007.
DOI : 10.1016/j.sysarc.2006.09.002
, An ID-Based Broadcast Encryption Scheme for Key Distribution, IEEE Transactions on Broadcasting, vol.51, issue.2, pp.264-266, 2005.
DOI : 10.1109/TBC.2005.847600