SOPORTE DE DATOS DE ACCESO PROTEGIDO.

La invención se refiere a un soporte de datos, que tiene un chip semiconductor, en el que están almacenados datos secretos. En particular, la invención se refiere a una tarjeta chip. Los soportes de datos que contienen un chip se emplean en un gran número de aplicaciones diferentes, por ejemplo para realizar transacciones financieras, para pagar artículos o prestaciones de servicios o como medio de identificación para el mando de controles de acceso o de entrada. En todas estas aplicaciones se procesan dentro del chip del soporte de datos por regla general datos secretos que deben protegerse contra el acceso por parte de terceras personas no autorizadas. Esta protección está garantizada, entre otras cosas, gracias a que las estructuras internas del chip presentan dimensiones muy pequeñas y, por lo tanto, el acceso a estas estructuras con el fin de espiar datos procesados en las mismas resulta muy difícil. Para hacer aun más difícil el acceso, el chip puede embutirse en una masa con una adherencia muy grande, que si se retira de manera forzada hace que se destruya la plaquita semiconductora o al menos los datos secretos almacenados en la misma. También es posible dotar a la plaquita semiconductora ya en su fabricación de una capa protectora que no pueda eliminarse sin destruir la plaquita semiconductora. Con un equipo técnico correspondiente, que, si bien es sumamente caro, en principio se encuentra disponible, un atacante podría lograr liberar y examinar la estructura interna del chip. La liberación podría realizarse, por ejemplo, mediante procedimientos especiales de corrosión o mediante un proceso de abrasión adecuado. Las estructuras del chip así liberadas, como por ejemplo circuitos impresos, podrían contactarse con microsondas o examinarse con otros procedimientos para determinar el curso de la señal en estas estructuras. A continuación podrían intentarse averiguar, a partir de las señales detectadas, datos secretos del soporte de datos, como por ejemplo claves secretas, para emplearlos con fines de manipulación. También podría intentarse influir selectivamente mediante las microsondas en el curso de la señal de las estructuras liberadas. La invención tiene el objetivo de proteger contra un acceso no autorizado los datos secretos existentes en el chip de un soporte de datos. Este objetivo se logra mediante las combinaciones de características de las reivindicaciones 1 y 9. Al contrario que el estado actual de la técnica, la solución según la invención no se centra en impedir una liberación de las estructuras internas del chip y una aplicación de microsondas. En lugar de esto, se toman medidas que dificultan a un atacante potencial llegar a conclusiones sobre información secreta a partir del curso de la señal en caso dado interceptados. Estas medidas consisten según la invención en manipular operaciones relevantes para la seguridad de tal manera que los datos secretos utilizados en la realización de estas operaciones relevantes para la seguridad no puedan averiguarse sin añadir otras informaciones confidenciales. Para ello se enmascaran o se adulteran las operaciones relevantes para la seguridad antes de su ejecución con ayuda de funciones adecuadas. Con el fin de dificultar o hacer incluso imposible en particular una evaluación estadística en caso de ejecutarse repetidas veces las operaciones relevantes para la seguridad, se incluye en la función de enmascaramiento un componente aleatorio. Por la solicitud de patente GB 2285562 A se conoce un procedimiento de codificación en el que, por medio de permutaciones y tablas de sustitución, se convierte un texto abierto en un texto codificado. Para la defensa frente a ataques de criptoanálisis se propone incluir en los cálculos durante la codificación números aleatorios generados por un generador de números pseudo-aleatorios, con el fin de impedir que pueda deducirse la clave en caso de efectuarse repetidas veces una codificación de textos claros que se diferencien sólo ligeramente unos de otros. La consecuencia de ello es que un atacante no puede averiguar los datos secretos a partir de los trenes de datos en caso dado interceptadas. En lo que sigue, la operación relevante para la seguridad está representada por la función h, que representa datos de entrada x en función de datos de salida y, es decir y = h(x). Para impedir que los datos de entrada secretos x puedan ser espiados, según la invención se determina una función enmascarada hR1R2, de modo que se aplica y R2 = hR1R2 (x R1). Ahora, la operación relevante para la seguridad se ejecuta por medio de la función enmascarada hR1R2, cuyos datos de entrada no son los datos secretos reales x, sino datos secretos enmascarados x R1, que han sido generados combinando los datos secretos reales x con un número aleatorio R1. Sin conocer el número aleatorio R1 no es posible averiguar los datos secretos reales x a partir de los datos secretos enmascarados x R1. Como resultado de aplicar la función enmascarada hR1R2 a los datos secretos enmascarados x R1 se obtienen datos de salida enmascarados y R2. A partir de los datos de salida enmascarados y R2 pueden averiguarse mediante una combinación adecuada los datos de salida y. Cada vez que se ejecute de nuevo la función relevante para la seguridad pueden preestablecerse antes nuevos números aleatorios R1 y R2, a partir de los cuales se determine 2 respectivamente una nueva función enmascarada hR1R2. Como alternativa pueden estar almacenadas de manera permanente varias funciones enmascaradas hR1R2, de las cuales se seleccione una aleatoriamente de manera respectiva antes de ejecutar la operación relevante para la seguridad. Al mismo tiempo resulta particularmente ventajoso utilizar dos funciones hR1R2 y hR1R2, en las que los números aleatorios R1 y R2 sean los valores inversos de los números aleatorios R1 y R2 en relación con el tipo de combinación elegido para el enmascaramiento. En otra variante, los números aleatorios R1 y R2 pueden también ser iguales. Los números aleatorios R1 y R2 pueden seleccionarse en particular de forma estadísticamente independiente, de modo que no exista ninguna correlación entre los datos de entrada y salida que pueda utilizarse para un ataque. Si se procesan adicionalmente otras operaciones antes o después de la operación relevante para la seguridad h aquí contemplada, los números aleatorios R1 y R2 pueden utilizarse también para el enmascaramiento de los datos procesados con las restantes operaciones. La solución según la invención puede emplearse de forma particularmente ventajosa en operaciones relevantes para la seguridad que contengan funciones no lineales. En el caso de funciones no lineales no es posible aplicar medidas de protección ya conocidas basadas en un enmascaramiento de los datos secretos antes de ejecutar las funciones. Las medidas de protección ya conocidas presuponen que las funciones son lineales en lo relativo a las operaciones de enmascaramiento, para que el enmascaramiento pueda anularse de nuevo tras la ejecución de las funciones. Sin embargo, en la solución según la invención no se adulteran o se enmascaran sólo los datos secretos, sino también las operaciones relevantes para la seguridad que procesan los datos secretos. El enmascaramiento de los datos secretos y el enmascaramiento de las operaciones relevantes para la seguridad están mutuamente adaptados de modo que a partir de los datos secretos enmascarados puedan deducirse los datos secretos reales después de ejecutar las operaciones relevantes para la seguridad. La adaptación entre el enmascaramiento de los datos secretos y el enmascaramiento de las operaciones relevantes para la seguridad puede realizarse de un modo particularmente sencillo si las operaciones relevantes para la seguridad están realizadas en forma de tablas, así llamadas Tablas de consulta (Look-up tables). En las mencionadas tablas, cada valor de entrada x tiene asignado un valor de salida y. La ejecución de las funciones realizadas a través de las tablas se efectúa buscando los valores de salida y correspondientes a los valores de entrada x en cuestión. A continuación se explica la invención por medio de las formas de realización representadas en las figuras, que muestran: - figura 1, una vista en planta de una tarjeta chip, ES 2 365 595 T3 - figura 2, una vista en planta de un detalle muy ampliado del chip de la tarjeta chip representada en la figura 1, - figuras 3a, 3b, 3c y 3d representaciones de Tablas de consulta. En la figura 1 está representada una tarjeta chip 1 a modo de un ejemplo del soporte de datos. La tarjeta chip 1 se compone de un cuerpo de tarjeta 2 y un módulo de chip 3, que está encajado en una escotadura del cuerpo de tarjeta 2 prevista para este fin. Los componentes esenciales del módulo de chip 3 son unas superficies de contacto 4, que permiten establecer una conexión eléctrica... [Seguir leyendo]

1. Soporte de datos con un chip semiconductor (5) que tiene al menos una memoria en la que está almacenado un programa operativo que es capaz de ejecutar al menos una operación (h), requiriéndose para ejecutar dicha operación (h) datos de entrada (x) y generándose al ejecutar la operación (h) datos de salida (y), caracterizado porque - la operación (h) se enmascara antes de su ejecución, ES 2 365 595 T3 - la operación enmascarada (hR1) se ejecuta con datos de entrada enmascarados (x R1) y - el enmascaramiento de la operación (h) y el enmascaramiento de los datos de entrada (x) están mutuamente adaptados de modo que la ejecución de la operación enmascarada (hR1) con datos de entrada enmascarados (x R1) da como resultado datos de salida (y) idénticos a los datos de salida (y) determinados en la ejecución de la operación sin enmascarar (h) con datos de entrada sin enmascarar (x). 2. Soporte de datos según la reivindicación 1, caracterizado porque en la determinación de la operación enmascarada (hR1) y de los datos de entrada enmascarados (x R1) entra en juego al menos un número aleatorio (R1). 3. Soporte de datos según una de las reivindicaciones anteriores, caracterizado porque la determinación de la operación enmascarada (hR1) y de los datos de entrada enmascarados (x R1) se realiza por medio de combinaciones O exclusiva. 4. Soporte de datos según una de las reivindicaciones anteriores, caracterizado porque la operación enmascarada (hR1) se almacena previamente de manera permanente en el soporte de datos. 5. Soporte de datos según la reivindicación 4, caracterizado porque en el soporte de datos se almacenan previamente de manera permanente al menos dos operaciones enmascaradas (hR1, hR1) y entonces, cuando debe ejecutarse una operación enmascarada, se selecciona aleatoriamente una de las operaciones enmascaradas (hR1, hR1) almacenadas. 6. Soporte de datos según una de las reivindicaciones 1 a 3, caracterizado porque la operación enmascarada (hR1) es respectivamente calculada de nuevo antes de su ejecución y para este cálculo se determina de nuevo el, al menos, un número aleatorio (R1). 7. Soporte de datos según una de las reivindicaciones anteriores, caracterizado porque la operación (h) se realiza mediante una tabla que está almacenada en el soporte de datos y que establece una correspondencia entre los datos de entrada (x) y los datos de salida (y). 8. Soporte de datos según la reivindicación 7, caracterizado porque el enmascaramiento de los datos de entrada (x) contenidos en la tabla se realiza mediante una combinación con el al menos un número aleatorio (R1). 9. Soporte de datos con un chip semiconductor (5) que tiene al menos una memoria en la que está almacenado un programa operativo que es capaz de ejecutar al menos una operación (h), requiriéndose para ejecutar dicha operación (h) datos de entrada (x) y generándose al ejecutar la operación (h) datos de salida (y), caracterizado porque - la operación (h) se enmascara antes de su ejecución, - la operación enmascarada (hR1) se ejecuta con datos de entrada enmascarados (x R1), - el enmascaramiento de la operación (h) y el enmascaramiento de los datos de entrada (x) están mutuamente adaptados de modo que la ejecución de la operación enmascarada (hR1R2) con datos de entrada enmascarados (x R1) da como resultado datos de salida (y R2) que están enmascarados respecto de los datos de salida (y) determinados en la ejecución de la operación sin enmascarar (h) con datos de entrada sin enmascarar (x) y - a partir de los datos de salida enmascarados (y R2), por medio de datos (R2) utilizados para el enmascaramiento de la operación (h), pueden determinarse los datos de salida sin enmascarar (y). 10. Soporte de datos según la reivindicación 9, caracterizado porque en la determinación de los datos de entrada enmascarados (x R1) entran en juego al menos un número aleatorio (R1) y porque en la determinación de las operaciones enmascaradas (hR1R2) entran al menos dos números aleatorios (R1, R2). 11. Soporte de datos según una de las reivindicaciones 9 ó 10, caracterizado porque la determinación de la operación enmascarada (hR1R2) y de los datos de entrada enmascarados (x R1) se realiza por medio de combinaciones O exclusiva. ES 2 365 595 T3 12. Soporte de datos según una de las reivindicaciones 9 a 11, caracterizado porque la operación enmascarada (hR1R2) se almacena previamente de manera permanente en el soporte de datos. 13. Soporte de datos según la reivindicación 12, caracterizado porque en el soporte de datos se almacenan previamente de manera permanente al menos dos operaciones enmascaradas (hR1R2, hR1R2) y entonces, cuando 5 debe ejecutarse una operación enmascarada, se selecciona aleatoriamente una de las operaciones enmascaradas (hR1R2, hR1R2) almacenadas. 14. Soporte de datos según la reivindicación 13, caracterizado porque los números aleatorios (R1, R2) con los que se determina la primera operación enmascarada (hR1R2) son, respecto de la combinación que se utiliza para determinar las operaciones enmascaradas (hR1R2, hR1R2), inversos respecto de los números aleatorios (R1, R2) con 10 los que se determina la segunda operación enmascarada (hR1R2). 15. Soporte de datos según una de las reivindicaciones 9 a 11, caracterizado porque la operación enmascarada (hR1R2) es respectivamente calculada de nuevo antes de su ejecución y para este cálculo se determinan de nuevo los números aleatorios (R1, R2). 16. Soporte de datos según una de las reivindicaciones 9 a 15, caracterizado porque la operación (h) se realiza 15 mediante una tabla que está almacenada en el soporte de datos y que establece una correspondencia entre los datos de entrada (x) y los datos de salida (y). 17. Soporte de datos según la reivindicación 16, caracterizado porque el enmascaramiento de los datos de entrada (x) contenidos en la tabla se realiza mediante una combinación con el al menos un número aleatorio (R1) y el enmascaramiento de los datos de salida (y) contenidos en la tabla se realiza mediante una combinación con el al 20 menos un número aleatorio adicional (R2). 18. Soporte de datos según una de las reivindicaciones anteriores, caracterizado porque en el caso de la operación (h) se trata de una operación no lineal respecto de la combinación empleada para el enmascaramiento de la operación (h). 6 ES 2 365 595 T3 7 ES 2 365 595 T3 8 REFERENCIAS CITADAS EN LA DESCRIPCIÓN La lista de referencias citada por el solicitante lo es solamente para utilidad del lector, no formando parte de los documentos de patente europeos. Aún cuando las referencias han sido cuidadosamente recopiladas, no pueden 5 excluirse errores u omisiones y la OEP rechaza toda responsabilidad a este respecto. Documentos de patente citados en la descripción GB 2285562 A [0006] ES 2 365 595 T3 9