Procedimiento de codificación de un secreto formado por un valor numérico d,

en un esquema de criptografía de clave secreta o de clave pública, en el que el secreto se subdivide en una pluralidad de un número N determinado de elementos di, N i d 1 [ ] del cual una ley de composición representa el valor numérico d de dicho secreto, caracterizado porque dicho procedimiento consiste además en:

-- calcular una primera imagen TN de dicho secreto mediante aplicación iterativa de la ley de composición término a término entre dicha primera imagen Ti-1 de orden i-1 y el producto de composición según dicha ley de composición del elemento di de orden i siguiente y un valor aleatorio Ri de orden i escogido de entre un primer conjunto de una pluralidad de N valores aleatorios **Fórmula**

-- calcular un primer valor numérico S1 producto de composición de dicha ley de composición aplicada sucesivamente a dichos valores aleatorios Ri de dicho primer conjunto de N valores aleatorios**Fórmula**

-- calcular un segundo valor numérico S2 producto de composición según dicha ley de composición aplicada sucesivamente a los valores aleatorios Aj de un segundo conjunto de N-1 valores aleatorios**Fórmula**

-- calcular una segunda imagen T' de dicho secreto mediante aplicación de la ley de composición inversa a dicha primera imagen TN de dicho secreto y a dicho segundo valor numérico S2, para originar una imagen intermedia Tx de dicho secreto, y mediante aplicación posterior de dicha ley de composición inversa a dicha imagen intermedia Tx y a dicho primer valor numérico S1, para originar dicha segunda imagen T' de dicho secreto **Fórmula**

-- asignar a cada uno de los N-1 primeros elementos sucesivos di de dicha pluralidad de elementos [di] el valor aleatorio Aj de orden correspondiente de dicho segundo conjunto de al menos un valor aleatorio y al elemento dN deorden N el valor numérico de dicha segunda imagen T'.

Procedimiento de codificación de un secreto formado por un valor numérico.

La invención concierne a un procedimiento de codificación de un secreto, formado por un valor numérico.

El considerable desarrollo de las comunicaciones por transmisión de mensajes electrónicos no ha tardado en plantear el problema de la confidencialidad de los datos transmitidos.

Se han propuesto soluciones muy sofisticadas de cifrado/descifrado de estos datos por medio de algoritmos de cifrado de clave secreta única, sirviendo para el cifrado/descifrado, y luego de clave pública, que lleva asociada una clave privada, utilizada para el descifrado de los datos, cifrados por medio de la clave pública.

Por ejemplo, el documento D1=WO2006/046187 describe un procedimiento de ocultación aplicado con ayuda de un operador de grupo abeliano sobre una estructura de Feistel.

Las antedichas soluciones son satisfactorias, por cuanto que los algoritmos de clave secreta difícilmente se pueden romper, por lo menos en ausencia de compromiso de la clave secreta, y por cuanto que los algoritmos de clave pública/clave privada no conllevan limitaciones en lo que respecta a la difusión de la clave pública y precisan de la puesta en práctica de medios de soporte físico y lógico de complejidad y de coste computacional prohibitivos, ya sea a efectos de romper el algoritmo de cifrado/descifrado, o bien de dar con el valor de la clave privada, asociada a la clave pública.

En cualquier caso, en la utilización de un esquema criptográfico de clave secreta única o de clave pública, que lleva asociada una clave privada, es imprescindible impedir cualquier compromiso de la clave secreta o de la clave privada, con el fin de garantizar la confidencialidad de los datos transmitidos.

Aun cuando se han propuesto satisfactorios componentes criptográficos con acceso protegido, en particular integrados en forma de procesadores de seguridad de los componentes criptográficos de tarjetas electrónicas, llamadas tarjetas inteligentes, pudiendo hacerse extremadamente difícil, si no prácticamente imposible, el acceso exterior por mediación del puerto de entrada/salida a los componentes de seguridad de estas tarjetas electrónicas, la manipulación de las claves secretas o privadas en lectura/escritura mediante esos componentes es susceptible de permitir el compromiso de las antedichas claves, en particular de los valores secretos o los secretos que entran en la definición de estas últimas.

Este compromiso es susceptible de concurrir mediante ataque por «canales colaterales» (Side Chanel attack en inglés) , pudiendo consistir por ejemplo este tipo de ataque en detectar las variaciones de intensidad de la corriente eléctrica consumida por el componente de seguridad o la tarjeta en el transcurso de esas manipulaciones, necesarias.

La presente invención tiene por objeto subsanar los inconvenientes de los riesgos de ataque por canales colaterales, mediante la puesta en práctica de un procedimiento de codificación de un secreto, subdividido en varios elementos de secreto no correlacionados entre sí, sin que la manipulación de los elementos de secreto pueda permitir, aunque cada elemento de secreto pueda, llegado el caso, verse comprometido, dar con el secreto original.

El procedimiento de codificación de un secreto formado por un valor numérico, en un esquema de criptografía de clave secreta o de clave pública en el que ese secreto se divide entre una pluralidad de un número determinado de elementos, del cual una ley de composición representa el valor de ese secreto, objeto de la presente invención, es notable por el hecho de que consiste, además, en recalcular una nueva pluralidad de elementos del secreto sin manipular nunca ese secreto. Para ello, hay que calcular una primera imagen de ese secreto mediante aplicación iterativa de la ley de composición término a término entre la primera imagen de orden anterior y el producto de composición según esta ley de composición del elemento de orden siguiente y un valor aleatorio de igual orden escogido de entre un primer conjunto de una misma pluralidad de valores aleatorios, calcular un primer valor numérico producto de composición de esta ley de composición aplicada sucesivamente a los valores aleatorios de ese primer conjunto de valores aleatorios, calcular un segundo valor numérico producto de composición según esta ley de composición aplicada sucesivamente a los valores aleatorios de un segundo conjunto de una misma pluralidad menos uno de valores aleatorios, calcular una segunda imagen de ese secreto mediante aplicación de la ley de composición inversa a la primera imagen de ese secreto y a ese segundo valor numérico, para originar una imagen intermedia de ese secreto, y mediante aplicación posterior de esa ley de composición inversa a esa imagen intermedia y a ese primer valor numérico, para originar esa segunda imagen de dicho secreto, asignar a cada uno de esos sucesivos elementos menos el último de esa pluralidad de elementos el valor aleatorio de orden correspondiente de ese segundo conjunto de al menos un valor aleatorio y al último elemento el valor numérico de esa segunda imagen.

Se comprenderá mejor el procedimiento de codificación de un secreto, objeto de la presente invención, con la lectura de la descripción y con la observación de los dibujos que siguen, en los que:

la figura 1 representa, a título ilustrativo, un organigrama general de puesta en práctica de las etapas constitutivas del procedimiento objeto de la invención;

la figura 2a representa, a título ilustrativo, una primera y una segunda ley de composición que, aplicable a valores numéricos, permite la puesta en práctica del procedimiento objeto de la presente invención;

la figura 2b representa, a título ilustrativo, un organigrama específico de puesta en práctica del procedimiento objeto de la invención, cuando la ley de composición representada en la figura 2a es una operación O-exclusiva;

la figura 2c representa a título ilustrativo un organigrama específico de puesta en práctica del procedimiento objeto de la invención, cuando la ley de composición representada en la figura 2a es una operación de suma;

la figura 3 es un esquema funcional de un componente de seguridad de un dispositivo criptográfico especialmente adaptado para la puesta en práctica del procedimiento objeto de la invención.

Se dará a continuación, en relación con la figura 1, una descripción más detallada del procedimiento de codificación de un secreto, conforme al objeto de la presente invención.

De una manera general, recordemos que el procedimiento, objeto de la invención, tiene por objeto la codificación de un secreto s formado por un valor numérico d, en un esquema de criptografía de clave secreta o de clave pública.

Éste es de aplicación más concretamente a cualquier proceso de cálculo criptográfico en el que el secreto s se subdivide en una pluralidad de un número determinado de elementos de secreto, denotado cada uno de ellos como N

di, de cuya pluralidad de elementos que a continuación se designa [di ]1 una ley de composición denotada como ( representa el valor numérico del secreto s. Haciendo referencia a la figura 1, el secreto s y el valor numérico d que representa a este último verifican la relación (1) :

s = d ;[di ]1 N

@N

d = di

J

i=1

@N

J di

En esta relación representa el producto de composición de la ley de composición ( aplicada al conjunto i=1

de los N elementos di.

Tal y como se representa en la figura 1, el procedimiento objeto de la invención consiste en una etapa A de calcular una primera imagen del secreto s mediante aplicación iterativa de la ley de composición término a término entre la primera imagen de orden anterior, denotada como Ti-1, y el producto de composición, según esa ley de composición, del elemento de orden i siguiente, denotado como di y un valor aleatorio, denotado como Ri, escogido de entre un primer conjunto de una misma pluralidad de valores aleatorios.

En la etapa A de la figura 1, el primer conjunto de una misma pluralidad de valores aleatorios se denota como [Ri ]1 N .

Con referencia a la etapa A de la figura 1, la operación de cálculo de la primera imagen TN verifica la relación (2) :

[T... [Seguir leyendo]

1. Procedimiento de codificación de un secreto formado por un valor numérico d, en un esquema de criptografía de clave secreta o de clave pública, en el que el secreto se subdivide en una pluralidad de un número N

N

determinado de elementos di, [di ]1 del cual una ley de composición representa el valor numérico d de dicho secreto, caracterizado porque dicho procedimiento consiste además en:

- - calcular una primera imagen TN de dicho secreto mediante aplicación iterativa de la ley de composición término a término entre dicha primera imagen Ti-1 de orden i-1 y el producto de composición según dicha ley de composición del elemento di de orden i siguiente y un valor aleatorio Ri de orden i escogido de entre un primer conjunto de una pluralidad de N valores aleatorios

i= N

[T = T @ (d @ R ) ] T ;

ii 1 i ii=1 N

- - calcular un primer valor numérico S1 producto de composición de dicha ley de composición aplicada sucesivamente a dichos valores aleatorios Ri de dicho primer conjunto de N valores aleatorios

@N

S =J R ;

1i i=1

- - calcular un segundo valor numérico S2 producto de composición según dicha ley de composición aplicada sucesivamente a los valores aleatorios Aj de un segundo conjunto de N-1 valores aleatorios

@N 1

S =J Aj ;

2 j =1

- - calcular una segunda imagen T' de dicho secreto mediante aplicación de la ley de composición inversa a dicha primera imagen TN de dicho secreto y a dicho segundo valor numérico S2, para originar una imagen intermedia Tx de dicho secreto, y mediante aplicación posterior de dicha ley de composición inversa a dicha imagen intermedia Tx y a dicho primer valor numérico S1, para originar dicha segunda imagen T' de dicho secreto

Tx = T @ S2

T '= Tx @ S1

- - asignar a cada uno de los N-1 primeros elementos sucesivos di de dicha pluralidad de elementos [di] el valor aleatorio Aj de orden correspondiente de dicho segundo conjunto de al menos un valor aleatorio y al elemento dN de orden N el valor numérico de dicha segunda imagen T'.

2. Procedimiento según la reivindicación 1, en el que dicha ley de composición está formada por una operación aritmética o lógica distributiva, dotada de un elemento neutro.

3. Procedimiento según la reivindicación 2, caracterizado porque dicha operación lógica es la operación Oexclusiva bit a bit.

4. Procedimiento según la reivindicación 2, caracterizado porque dicha operación aritmética es la suma, estando formada la ley de composición inversa por la resta.

5. Procedimiento según una de las anteriores reivindicaciones, caracterizado porque, para un secreto formado por un valor numérico d de longitud L determinada, cada valor aleatorio Ri del primer y respectivamente Aj del segundo conjunto de valores aleatorios se elige de longitud inferior .

2. N+1 .

6. Procedimiento según las reivindicaciones 4 y 5, caracterizado porque, para una operación aritmética formada por la suma, dicho procedimiento comprende además, previamente a dicha etapa consistente en asignar, una etapa de comparación de superioridad del valor numérico de dicha segunda imagen T' frente al valor cero, viniendo una respuesta positiva a dicha etapa de comparación seguida de dicha etapa consistente en asignar, viniendo dicha etapa de comparación seguida de una etapa de retorno a dicha etapa consistente en calcular dicha primera imagen TN de dicho secreto para iteración del procedimiento, en caso contrario.

7. Procedimiento según una de las reivindicaciones 1 a 6, caracterizado porque dicho secreto formado por un valor numérico d es bien una clave secreta en un esquema de criptografía de clave secreta, bien una clave privada en un esquema de criptografía de clave pública, o bien incluso cualquier valor de código de acceso, de identificación con vocación secreta de un proceso de autenticación, de no repudio o de firma.

8. Componente de seguridad de un dispositivo criptográfico que comprende un procesador seguro, una memoria no volátil, una memoria de trabajo, una memoria de programa y un bus con acceso protegido en lecturaescritura, caracterizado porque dicha memoria de programa comprende un programa de ordenador que incluye una serie de instrucciones memorizadas en dicha memoria de programa y porque, en la ejecución de dichas instrucciones, dicho procesador seguro ejecuta las etapas del procedimiento según una de las reivindicaciones 1 a 7, entregando dicho procesador de seguridad en el bus con acceso protegido en lectura-escritura tan sólo los elementos di sucesivamente, bajo el control de dicho dispositivo criptográfico.