差分論理によって保護される暗号化回路において異常を検出するための方法、及び当該方法を実現するための回路
本発明の主題は、差分論理で保護され、構成要素ペア(at、af)によって表現される論理変数を処理する回路内で異常を検出するための方法であって、セル(T)の第1のネットワークは、ペアの第1の構成要素で論理関数を実行し、デュアルセル(F)の第2のネットワークは、第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある変数をセルに配置するプリチャージ段階(21)であり、計算がセルによって実行される評価段階(22)が後続にくるプリチャージ段階(21)内のセルの各ペア(T、F)によって論理関数が実行される方法であり、前記方法が、少なくとも1つの一貫性のない状態で異常が検出されることを特徴とする方法。
本発明の目的はまた、回路の監視対象のノードでプリチャージ段階時又は評価段階時に論理変数の2つの構成要素間で一貫性をテストする手段を含む差分論理によって保護される回路でもある。
本発明の目的はまた、回路の監視対象のノードでプリチャージ段階時又は評価段階時に論理変数の2つの構成要素間で一貫性をテストする手段を含む差分論理によって保護される回路でもある。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、差分論理によって保護される暗号化回路において異常を検出するための方法及び回路に関する。これは特に、故障注入による攻撃からの暗号化回路の保護の分野に適用される。
【背景技術】
【0002】
暗号化は特に以下のいずれかの保護を目的とする。
− 暗号化及びその双対処理である復号化による情報の機密性
− 又は、署名及び署名照合の処理による情報の一貫性のみ
【0003】
暗号化では、公表された知識の現状において、可能性のあるあらゆる鍵を試すことによるしらみつぶしの攻撃よりも迅速な攻撃方法はないという意味で、安全である数学的方法を使用する。
【0004】
一般的に、暗号化方法は、システムのセキュリティに必要とされる複雑な計算を伴う。この複雑性は、コンピュータに対しては特段な問題をもたらすものではないものの、通常低価格のマイクロコンピュータによって制御される高い計算能力を伴わない量販市場向け機器の場合には障害となる。こうしてもたらされる結果はいくつかの種類があり、例えばクレジットカードの場合に取引の署名に数分間もかかったり、ペイパービュー方式のテレビのデジタルデコーダの場合に必要な情報のスループットをたどらないといったことが考えられる。
【0005】
システムの価格を上げずに、この種の問題を軽減するために、機器を制御する中央装置に対して、通常暗号化専用のコプロセッサの形式で、支援を付加するのが慣習である。
【0006】
しかしながら、中央装置によって実現するにせよ、専用のコプロセッサによって実現するにせよ、いずれにしても、暗号化アルゴリズムは物理的な電子機器によって実現される。電子機器は、電気の法則に固有の性質に関連する不可避な欠陥を示す。
【0007】
このように、数学的な見地から安全である暗号化システムは、アルゴリズムを実現する物理的なシステムの欠陥につけこむことにより攻撃され得る。計算の時間はデータの値、特に時間最適化されたソフトウェアシステムに依存する可能性があり、これによって「タイミング攻撃」タイプの攻撃が発生し、場合によっては実行時間の簡易測定に基づいて全ての秘密鍵を取り出すことが可能となることがある。又、瞬間的な電力消費もデータに依存する可能性があり、これによって以下のような一連の攻撃が発生することがある。
− 暗号化動作時に測定された消費電力の測定値に基づいて中央装置によって実行される処理の特定を試みるSPA(Simple Power Analysis)。
− 消費電力の差分解析DPA(Differential Power Analysis)。消費電力の多くの測定で統計的演算(ランダムメッセージに対し、一定の鍵を使用して暗号化動作時に実行し、鍵のごく一部分に対して行われる仮定を有効または無効にする)を使用する。
− 「テンプレート」タイプの攻撃。第1の段階で、機密情報が一切含まれないということを除き、攻撃対象の装置と同じ装置を使用して、鍵のごく一部分の値によって指数化された消費モデルを構築し、第2の段階で、攻撃対象の装置の消費電力の数回の測定を使用して、測定された消費電力と最も近いモデルを特定し、これによってこのサブ鍵の値を特定する。
【0008】
更に、導体を流れる電流が電磁場を発生させ、その測定により、電力消費に関連する特にDPAによる攻撃と原則的には同じ攻撃を起こすことができる。
【0009】
最後に、いわゆる積極的攻撃、つまり故障注入攻撃は、システムの動作を妨害し、間違った結果を利用してシステムの機密を取り出す。
【0010】
暗号化アルゴリズムを実現し、機器のメモリに保持されている機密に関連する情報を漏洩しがちな物理的な機器の不備はいずれも「隠れチャネル」と呼ばれる。
【0011】
故障攻撃は、本質的に非常に異なり得るアクティブ攻撃であり、特に以下の記事を参照されたい。David Naccache著:「Finding faults」(IEEE Security and Privacy, 3(5), pages 61−65, 2005: temperature or voltage variation, strong spurious signal on the power supply or by electromagnetic field, laser firings, etc.)。故障が発生した結果、攻撃される回路のノードの値が変更される。故障は、シリコン上での衝撃に応じて、単一又は複数、永続的又は一過性のもとなり得る。一過性の故障注入は柔軟性が高いので、複数の試行を行うことにより一層強力な攻撃が引き起こされ、成功の可能性が増す。単一の故障による攻撃は、攻撃手順を簡略化する。故障攻撃は、誤りのない暗号化された出力と故障を伴う出力との間の差分解析に基づく。例えば、Gilles Piret及びJean−Jacques Quisquaterによる記事「A Differential Fault Attack Technique against SPN Structures, with Application to the AES and KHAZAD」(CHES, volume 2779 from LNCS, pages 77−88, Springer, 2003 on AES encryption)に記載されている攻撃は、故障が最後から2番目のラウンド又は後ろから3番目のラウンドに到達した場合に極めて効果的になる。
【0012】
故障注入攻撃はこれまで非常に皮肉なことに、高くつくために、実際には経済的に強い不審な組織のみが利用するものと考えられていた。今では、インターネット上で皮膜剥離ステーション及びターンキー回転可能レーザーベンチをオーダすることが可能である。ここから、故障注入による攻撃の可能性がかなり高まるということになる。したがって、FPGA等の集積回路等の回路に植え込まれた暗号化プロセッサは今後、観察攻撃(特に、PDA又はEMAタイプ)及び故障注入タイプの攻撃に対する対応策を同時に実施した場合に限り、安全であるとみなされ得る。更に、Bruno Robisson及びPascal Manetによる記事「Differential Behavioral Analysis」(in CHES, volume 4727 from LNCS, pages 413−426, Springer, 2007)にあるように、観察と故障を組み合わせた攻撃が提案されている。
【0013】
この種の攻撃に取り組むための有効な対策は冗長性の採用に依存する。例えば、計算ブロックを3回コピーし、それによって多数決関数により故障が注入されたブロックを除去することが可能である。この対策の障害の1つは、1つ又は複数の計算ブロックのコピー、或いは不変条件の検証に基づく一貫性チェックモジュールの挿入により、コストがかさむことである。
【0014】
もう1つの対策は故障注入の検出にある。この場合、利用者に警告が与えられ、例えばシステムを再初期設定することにより、身を守るよう行動できる。
【発明の概要】
【発明が解決しようとする課題】
【0015】
本発明の目的は、特に前述した障害を軽減することである。
【課題を解決するための手段】
【0016】
本発明の主題は、差分論理で保護され、構成要素ペアによって表現される論理変数を処理する回路内で異常を検出するための方法であって、セルの第1のネットワークは、上記ペアの第1の構成要素で論理関数を実行し、デュアルセルの第2のネットワークは、第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある変数をセルに配置するプリチャージ段階でセルの各ペアによって論理関数が実行され、その後に、計算がセルによって実行される評価段階が続く方法である。プリチャージ段階または評価段階で生じる少なくとも1つの一貫性のない状態によって、異常が検出される。
【0017】
差分論理によって保護される回路は例えば暗号化回路である。
【0018】
本発明の1つの様態によれば、プリチャージ段階で生じる一貫性のない状態の検出に論理ゲートが使用され、この論理ゲートは一貫性のある状態が(0、0)の場合は「OR」ゲート、又は一貫性のある状態が(1、1)の場合は「AND」ゲートである。
【0019】
評価段階で生じる一貫性のない状態の検出に使用される論理ゲートは「XNOR」ゲートであってよい。
【0020】
マルチプレクサは、例えば、一貫性のない状態の検出から生じる信号を選択することが可能であり、プリチャージ段階で一貫性のない状態を検出するゲートの出力はプリチャージ段階中に選択され、評価段階中に評価段階における一貫性のない状態を検出するためのゲートの出力が選択され、選択は構成信号によって制御される。
【0021】
本発明の目的はまた、構成要素ペアによって表現される論理変数を処理する差分論理によって保護される回路であって、セルの第1のネットワークは、前記ペアの第1の構成要素で論理関数を実行し、デュアルセルの第2のネットワークは、第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある変数をセルに配置するプリチャージ段階であり計算がセルによって実行される評価段階が後続にくるプリチャージ段階内のセルの各ペアによって論理関数が実行される回路であり、請求項のいずれか一項に記載の方法を実現する少なくとも1つの検出モジュールを備えると共に、回路の監視されるノードでプリチャージ段階又は評価段階中に論理変数の2つの構成要素の間の一貫性をテストする手段を含むことを特徴とする回路である。
【0022】
この回路は例えばFPGAタイプのプログラマブル回路、あるいはASICタイプの回路である。
【0023】
例えば、検出モジュールの少なくとも1つが、監視しているセルからの出力においてプリチャージ段階で一貫性のない状態を検出するための手段となる。
【0024】
例えば、検出モジュールの少なくとも1つが、監視しているセルからの出力において評価段階で一貫性のない状態を検出するための手段となる。
【0025】
検出モジュールの出力はチェーン化によって収集し、「OR」ゲートにより少なくとも1つの等電位に結果を集中させてもよい。
【0026】
各検出チェーンの出力は、クロック信号によってトリガされ、チェーンの検出モジュールの1つによって少なくとも1つの一貫性のない状態が検出された場合に値1を取るグローバル出力を生成するフリップフロップに接続してもよい。
【0027】
例として、回路の検出モジュールの少なくとも一部分をツリーとして構成し、最後の検出モジュールは前記モジュールによって監視される回路ノードの1つで少なくとも1つの一貫性のない状態が検出されたかどうかを示すグローバル信号を生成してもよい。
【0028】
監視される構成要素のペアは例えばベクトルによってまとめてグループ化でき、検出モジュールは前記ベクトルのそれぞれに値1の低位ビットが付加された後ベクトル間で乗算累積演算を実行する2つの乗算累積器から構成され、この2つの演算の結果間の差異が計算され、その後ゼロコンパレータによって処理され、プリチャージ段階または評価段階で一貫性のない状態が検出されたときに値ゼロの出力を取る。
【0029】
例えば、検出モジュールのゼロコンパレータの出力は、一貫性のない状態の検出により、安定した出力を生成するように、フリップフロップに接続される。
【0030】
本発明は特に、隠れチャネルの観察による攻撃に取り組むことを本来目的としながら、それ以外の種類の攻撃又は障害を検出する、差分論理に基づく対策によって保護される回路の特性に依存するという利点を有する。
【0031】
本発明の他の特性及び利点は、限定されない図で与えられ、添付の図面に関して提供される後続の説明の助けを借りて明白になる。
【図面の簡単な説明】
【0032】
【図1】差分論理の「AND」ゲートを示す。
【図2】差分論理における計算ステップの段階を示す。
【図3】差分論理によって保護されるアーキテクチャに依存する異常検出の動作原理を示す。
【図4】異常を検出する方法を使用した例示的な回路を示す。
【図5】異常を検出するための第1の例示的なチェーンを示す。
【図6】異常を検出するための第2の例示的なチェーンを示す。
【図7】異常を検出するための例示的なツリー構造を示す。
【図8】乗算累積ブロックを使用した回路の方法の例示的な使用を示す。
【発明を実施するための形態】
【0033】
図1は、差分論理の原理の例示的な説明として、WDDL論理(Wave Dynamic Differential Logic)の「AND」ゲート1、2を示す。後者は2つのデュアル論理ネットワーク1、2から構成され、相補論理下で動作する。以降の説明ではWDDL論理の例を使用するが、本発明の原理は例えばMDPL論理(Masked Dual−rail Pre−charge Logic)など、それ以外の種類の差分論理にも適用される。計算ネットワークの双対性に加えて、異なるロジック計算は、2つの別個の段階(プリチャージ段階及び評価段階)に主張されるように実行される。
【0034】
データはデュアルレールで表現され、各論理変数aは以下の方法でコード化された信号のペア(at、af)から形成される。
− (0、0)はプリチャージ段階時の静止状態:aの値は定義されておらず、Ωで示される。
− (1、0)は、評価段階中のアクティブ状態。ここでa=1
− (0、1)は、評価段階中の他のアクティブ状態。ここでa=0
【0035】
論理ゲートHは2つの入力(a及びb)を備え、出力sは物理的に2つのゲート1、2によって表わされる。この2つのゲートはそれぞれ、次に示すような論理関数T(at、bt)及びF(af、bf)を備える。
st=T(at、bt) (1)
sf=F(af、bf) (2)
【0036】
「true」論理ネットワークは、信号stを伝達する関数Tに相当する。「false」デュアル論理ネットワークは、デュアル信号sfを伝達する関数Fに相当する。図1は、関数Tを実行する「true」ネットワークが2つの非相補的入力atとbtを受け取る「AND」ゲートを示す。デュアル「OR」関数は関数Fを実行する。変数xのベクトルでは、以下の関係が満たされる。
【数1】
【0037】
図2は、例えばWDDLタイプの差分論理を使用する計算ステップの段階を示す。このステップは、プリチャージ21と評価22の連続した段階から構成される。入力変数at、bt、af、bfの状態の例、及び対応する出力変数st、sfの例は、プリチャージ段階及び評価段階の反対側に提供される。図2のタイムチャートでは、プリチャージ段階から評価段階及び評価段階からプリチャージ段階への切り替え時において、遷移数が同じである(この例では3)ことを示している。消費電力は、CMOSタイプの電子技術における遷移数に特に直接関係するので消費電力のバランスが取れる。
【0038】
図3は、差分論理によって保護されるアーキテクチャに依存する異常検出の動作原理を示す。
【0039】
差分論理によってダビングされるデュアルレールは本質的に冗長である。実際、論理状態の変数は信号「True」を必要とし、その値は、評価中及び同様にプリチャージ中における信号「False」に対する補完的なものである。したがって、一貫性のない状態、つまり存在するはずでない状態が生じた場合に異常を検出しうる。例えばWDDL論理では、一貫性のない状態、つまり以下が検出された場合に異常が検出される。
− プリチャージ段階で、デュアル信号のペアが状態(Qt、Qf)=(0、0)と異なる。
− 評価段階で、信号のペアが状態(Qt、Qf)=(0、1)又は(Qt、Qf)=(1、0)と異なる。
【0040】
更に、デュアルレール論理からシングルレール論理への切り替えは変数の2つの構成要素から1つの信号だけを考慮することで行われるため、差分論理の単一故障が影響を及ぼす確率は1/2である。
【0041】
多重故障の場合、提案する検出メカニズムでは、例えば評価段階に(1、0)に変換されうる(0、1)など、状態の共役変化を検出できない可能性がある。但し、以下の理由から、この典型的なケースが生じる可能性は極めて低い。
− プリチャージ状態では、影響を受ける可能性がかなりある。
− 多重故障の場合、その他の変数が修正及び検出され得る。
− ほとんどの攻撃では、両方の信号で同時にビット反転を行うことができない。例えば、温度、電圧、又は周波数を使用することによる前の位置決め時間の違反に基づく攻撃。
【0042】
図3の例は、異常を検出するためのメカニズムを持つWDDL差分ゲートの原理を示す。
【0043】
この検出機能を実行するために、論理和演算を実行する「OR」ゲート34により、プリチャージ段階でネットワークT31及びF32の出力における一貫性のない状態を検出できる。つまり、状態(0、1)、(1、0)、又は(1、1)が出現すると、「OR」ゲート34の出力は1になる。
【0044】
同様に、逆排他的OR演算を実行する「XNOR」ゲート33により、評価段階でネットワークT31及びF32の出力における一貫性のない状態を検出できる。つまり、状態(0、0)又は(1、1)が出現すると、「XNOR」ゲート33の出力は1になる。
【0045】
その後、マルチプレクサ35は、「OR」ゲート34の出力又は「XNOR」ゲート33の出力を選択することが可能である。前記マルチプレクサは入力信号PRE/EVALが組み込まれている。例えば、以下の規則を使用してもよい。
− プリチャージ段階では、PRE/EVALは値0を取り、マルチプレクサ35からの出力として「OR」ゲート34の出力が伝送される。
− 評価段階では、PRE/EVALは値1を取り、「XNOR」フリップフロップ33の出力がマルチプレクサ35からの出力として伝送される。
【0046】
したがって、マルチプレクサ35の出力で提供されるFAULT信号は、一貫性のない状態が検出された場合は値1を取り、それ以外の場合は0のままである。
【0047】
この方法の実現を簡略化するために、評価段階でのみ検出を行い、必要とする「XNOR」ゲートを1つだけにすることで複雑さを解消することが可能でありうる。又、プリチャージ段階でのみ検出を行い、必要とする「OR」ゲートを1つだけにすることで複雑さを解消することも可能でありうる。どちらの場合でも、マルチプレクサ35の使用は必須ではない。このような複雑さの解消の欠点は、侵入を検出する機会が低減されることである。
【0048】
図4は、故障を検出するための方法の例示的な使用を示す。故障検出は、例えば暗号化回路のネットワークT41とネットワークF42から構成される各デュアルゲートの出力に配置された検出モジュール内で実現しうる。前記モジュールを含む暗号化回路は、例えばASIC回路またはFPGAタイプのプログラマブル回路で実現される。
【0049】
各デュアルゲートの出力に検出モジュールを配置する代わりに、回路の複雑さを解消するために、回路の重要ノードにのみ前記モジュールを実現することも可能である。所謂回路の「重要」ノードとは、検出モジュールによって監視される信号の安定性を保証するために、例えばDフリップフロップ43、45等のレジスタの出力に置かれたノードである。つまり、図4の例では、セルT41のネットワーク及びセルF42のネットワークの出力で検出が行われる。検出モジュール47は、Dフリップフロップから構成されるレジスタ43、45と44、46の2つのペアの間に配置される。その結果、各計算段階はクロック周期に相当する。差分論理を使用する暗号化回路は、多くのノードを含む。信号PRE/EVALにより、プリチャージ段階又は評価段階の故障検出のための回路の各モジュールを構成できる。各モジュール47の出力でのFAULT信号により、異常(即ち、一貫性のない状態)が各監視ノードのレベルで検出されたかどうか識別できる。
【0050】
図5は異常を検出するための例示的なチェーンを示す。前述したように、差分論理アーキテクチャを使用する暗号化回路に検出モジュールを配置し、監視対象の各ノードのレベルで異常を検出しうる。異常を収集する1つの方法は、検出回路をまとめてチェーン化することである。この手法は、検出が行われるゲート間にただ1つだけの等電位56を有するという利点を示し、これによってASIC又はFPGAにおける配線が容易である。つまり、検出モジュール51、52のFAULT信号は、「OR」ゲート53、54を使用してまとめてチェーン化される。
【0051】
検出モジュールの出力信号は、グローバル出力信号GLOBAL_FAULTの信頼性を向上させるために、システムのグローバル状態を収集するフリップフロップ55までチェーン化される。前記信号は、チェーンに存在する検出モジュールの1つで少なくとも1つの故障が検出された場合、値1を取る。
【0052】
保護されるプロセッサのグローバルな動作速度を制限するクリティカルパスをチェーンが示すことが判明すれば、パイプラインレジスタを挿入してもよい。それでもなお、検出の待ち時間によって異常が検出される前に攻撃者に計算結果を回収させないようにする必要がある。
【0053】
図6は、故障を検出するための第2の例示的なチェーンを示す。複雑さを解消するために、単一のチェーンを使用してもよい。例えば、図5に関して検出モジュールを簡略化して、「XNOR」ゲート61、62にしてもよい。この場合、一貫性のない状態の検出は、評価段階でのみ有効である。プリチャージ段階で検出モジュールの結果を無視するために、「AND」ゲート66により、信号
【数2】
が1の場合に限り、チェーンの各検出モジュールの故障検出結果を考慮することができる。検出モジュール61、62のFAULT信号は、「OR」ゲート63、64を使用してまとめてチェーン化される。チェーン化された検出モジュールによって検出された異常は、グローバル出力信号GLOBAL_FAULTの信頼性を向上させるために、システムのグローバル状態を収集するフリップフロップ65まで等電位67で伝送される。前記信号は、チェーンのノードの1つで少なくとも1つの故障が検出された場合、値1を取る。
【0054】
同じ原理で請求されるように、評価段階時にのみ一貫性のない状態を検出するように検出モジュールを簡略化することが可能である。この場合、評価段階、即ち信号PRE/EVALが値1を取ったときのみグローバル検出の結果を考慮するように、図6の「XNOR」ゲート61、62の代わりに「OR」ゲートが使用され、「AND」ゲート66への入力として使用される信号PRE/EVALは信号
【数3】
に置換される。
【0055】
又、プリチャージ段階で一貫性のない状態を検出するためのチェーンと評価段階で一貫性のない状態を検出するためのチェーンの2つの独立したチェーンを使用して、マルチプレクサの使用を回避することもできる。
【0056】
図7は、故障の検出のための例示的なツリー構造を示す。実際、検出パスを迅速化するために、検出モジュールをツリーとして構築してもよい。図7の例は、一貫性のない状態の検出が差分論理によって保護される回路の8つのノードで行われる例を示す。ペア(Q1t、Q1f)、(Q2t、Q2f)、...、(Q8t、Q8f)の状態は、図3及び4を使用して説明したような検出モジュール71によって監視され、前記ノードのそれぞれのレベルに配置される。各モジュールによる検出の結果は、その後検出モジュールの第2のバンク72に伝送され、その出力自体は検出モジュールの第3のバンク73に伝送される。最終的に、最後の検出器74は、監視している8つのノードについて一貫性のない状態のグローバル検出のための結果信号を生成する。フリップフロップ75が、GLOBAL_FAULT出力信号の信頼性を向上させるために、システムのグローバル状態を収集する。
【0057】
図8は、乗算累積ブロックを使用した回路の方法の例示的な使用を示す。実際、「multiplication and accumulation」の頭字語である通常MACブロックと呼ばれる乗算累積ブロックを使用することで、検出を簡易化してもよい。これらのブロックは例えば特定のFPGA回路で使用可能である。この場合、入力信号はNビットのワードの2つのペアA=(At、Af)とB=(Bt、Bf)とから構成される。Af及びBfは、At及びBtのデュアル信号であり、従って、符号付整数の2つの補完的な表現で請求されるように以下の方法で表現される。
Af=−At−1 (5)
Bf=−Bt−1 (6)
【0058】
積At×Btは、相対整数のセットで算出されるので、積(Af+1)×(Bf+1)に対応する必要がある。つまり、この2つの積が一致していない場合、単一故障を検出できる。
【0059】
多重故障の場合、A及びBの故障が互いに打ち消しあい、同じ積をもたらすケースが存在する可能性があるが、こうしたケースが発生する確率は極めて低い。それでもなお、代数不変量に基づくこの整数乗法計算は、有効範囲を保証するので、故障注入に対して効果的な対抗策を構成する。
【0060】
この原理を使用するには、AfとBfではなく、Af+1とBf+1を考慮する必要があるだけでなく、更にプリチャージと評価両方の段階で検出を行うために、これらの変数は決してゼロでない必要がある。これらの条件を満足するための簡単な方法は、4つのワードAt、Bt、Af、及びBfに値1の低位のビットを付加することである。
【0061】
2つのMACブロック81、82が使用される。第1の81は、1に等しい低位ビットが付加されるNビットのバイナリワードAtと同じく1に等しい低位ビットが付加されるNビットのバイナリワードBtを入力として取る。第2のMACブロック82は、1に等しい低位ビットが付加されるnビットのバイナリワードAfと同じく1に等しい低位ビットが付加されるNビットのバイナリワードBfを入力として取る。ブロック81、82それぞれによって出力された結果は、前記結果83の差異を取ることにより、比較される。異常が検出されなければ、この差はゼロである。したがって、故障があるかないかを検出するために、ゼロコンパレータ84が追加される。その後、出力信号の信頼性を向上させるために、コンパレータ84の結果が入力としてフリップフロップ85に伝送される。フリップフロップで出力される信号FAULTは、異常が検出されなければ1のままで、逆の場合には値0を取る。
【技術分野】
【0001】
本発明は、差分論理によって保護される暗号化回路において異常を検出するための方法及び回路に関する。これは特に、故障注入による攻撃からの暗号化回路の保護の分野に適用される。
【背景技術】
【0002】
暗号化は特に以下のいずれかの保護を目的とする。
− 暗号化及びその双対処理である復号化による情報の機密性
− 又は、署名及び署名照合の処理による情報の一貫性のみ
【0003】
暗号化では、公表された知識の現状において、可能性のあるあらゆる鍵を試すことによるしらみつぶしの攻撃よりも迅速な攻撃方法はないという意味で、安全である数学的方法を使用する。
【0004】
一般的に、暗号化方法は、システムのセキュリティに必要とされる複雑な計算を伴う。この複雑性は、コンピュータに対しては特段な問題をもたらすものではないものの、通常低価格のマイクロコンピュータによって制御される高い計算能力を伴わない量販市場向け機器の場合には障害となる。こうしてもたらされる結果はいくつかの種類があり、例えばクレジットカードの場合に取引の署名に数分間もかかったり、ペイパービュー方式のテレビのデジタルデコーダの場合に必要な情報のスループットをたどらないといったことが考えられる。
【0005】
システムの価格を上げずに、この種の問題を軽減するために、機器を制御する中央装置に対して、通常暗号化専用のコプロセッサの形式で、支援を付加するのが慣習である。
【0006】
しかしながら、中央装置によって実現するにせよ、専用のコプロセッサによって実現するにせよ、いずれにしても、暗号化アルゴリズムは物理的な電子機器によって実現される。電子機器は、電気の法則に固有の性質に関連する不可避な欠陥を示す。
【0007】
このように、数学的な見地から安全である暗号化システムは、アルゴリズムを実現する物理的なシステムの欠陥につけこむことにより攻撃され得る。計算の時間はデータの値、特に時間最適化されたソフトウェアシステムに依存する可能性があり、これによって「タイミング攻撃」タイプの攻撃が発生し、場合によっては実行時間の簡易測定に基づいて全ての秘密鍵を取り出すことが可能となることがある。又、瞬間的な電力消費もデータに依存する可能性があり、これによって以下のような一連の攻撃が発生することがある。
− 暗号化動作時に測定された消費電力の測定値に基づいて中央装置によって実行される処理の特定を試みるSPA(Simple Power Analysis)。
− 消費電力の差分解析DPA(Differential Power Analysis)。消費電力の多くの測定で統計的演算(ランダムメッセージに対し、一定の鍵を使用して暗号化動作時に実行し、鍵のごく一部分に対して行われる仮定を有効または無効にする)を使用する。
− 「テンプレート」タイプの攻撃。第1の段階で、機密情報が一切含まれないということを除き、攻撃対象の装置と同じ装置を使用して、鍵のごく一部分の値によって指数化された消費モデルを構築し、第2の段階で、攻撃対象の装置の消費電力の数回の測定を使用して、測定された消費電力と最も近いモデルを特定し、これによってこのサブ鍵の値を特定する。
【0008】
更に、導体を流れる電流が電磁場を発生させ、その測定により、電力消費に関連する特にDPAによる攻撃と原則的には同じ攻撃を起こすことができる。
【0009】
最後に、いわゆる積極的攻撃、つまり故障注入攻撃は、システムの動作を妨害し、間違った結果を利用してシステムの機密を取り出す。
【0010】
暗号化アルゴリズムを実現し、機器のメモリに保持されている機密に関連する情報を漏洩しがちな物理的な機器の不備はいずれも「隠れチャネル」と呼ばれる。
【0011】
故障攻撃は、本質的に非常に異なり得るアクティブ攻撃であり、特に以下の記事を参照されたい。David Naccache著:「Finding faults」(IEEE Security and Privacy, 3(5), pages 61−65, 2005: temperature or voltage variation, strong spurious signal on the power supply or by electromagnetic field, laser firings, etc.)。故障が発生した結果、攻撃される回路のノードの値が変更される。故障は、シリコン上での衝撃に応じて、単一又は複数、永続的又は一過性のもとなり得る。一過性の故障注入は柔軟性が高いので、複数の試行を行うことにより一層強力な攻撃が引き起こされ、成功の可能性が増す。単一の故障による攻撃は、攻撃手順を簡略化する。故障攻撃は、誤りのない暗号化された出力と故障を伴う出力との間の差分解析に基づく。例えば、Gilles Piret及びJean−Jacques Quisquaterによる記事「A Differential Fault Attack Technique against SPN Structures, with Application to the AES and KHAZAD」(CHES, volume 2779 from LNCS, pages 77−88, Springer, 2003 on AES encryption)に記載されている攻撃は、故障が最後から2番目のラウンド又は後ろから3番目のラウンドに到達した場合に極めて効果的になる。
【0012】
故障注入攻撃はこれまで非常に皮肉なことに、高くつくために、実際には経済的に強い不審な組織のみが利用するものと考えられていた。今では、インターネット上で皮膜剥離ステーション及びターンキー回転可能レーザーベンチをオーダすることが可能である。ここから、故障注入による攻撃の可能性がかなり高まるということになる。したがって、FPGA等の集積回路等の回路に植え込まれた暗号化プロセッサは今後、観察攻撃(特に、PDA又はEMAタイプ)及び故障注入タイプの攻撃に対する対応策を同時に実施した場合に限り、安全であるとみなされ得る。更に、Bruno Robisson及びPascal Manetによる記事「Differential Behavioral Analysis」(in CHES, volume 4727 from LNCS, pages 413−426, Springer, 2007)にあるように、観察と故障を組み合わせた攻撃が提案されている。
【0013】
この種の攻撃に取り組むための有効な対策は冗長性の採用に依存する。例えば、計算ブロックを3回コピーし、それによって多数決関数により故障が注入されたブロックを除去することが可能である。この対策の障害の1つは、1つ又は複数の計算ブロックのコピー、或いは不変条件の検証に基づく一貫性チェックモジュールの挿入により、コストがかさむことである。
【0014】
もう1つの対策は故障注入の検出にある。この場合、利用者に警告が与えられ、例えばシステムを再初期設定することにより、身を守るよう行動できる。
【発明の概要】
【発明が解決しようとする課題】
【0015】
本発明の目的は、特に前述した障害を軽減することである。
【課題を解決するための手段】
【0016】
本発明の主題は、差分論理で保護され、構成要素ペアによって表現される論理変数を処理する回路内で異常を検出するための方法であって、セルの第1のネットワークは、上記ペアの第1の構成要素で論理関数を実行し、デュアルセルの第2のネットワークは、第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある変数をセルに配置するプリチャージ段階でセルの各ペアによって論理関数が実行され、その後に、計算がセルによって実行される評価段階が続く方法である。プリチャージ段階または評価段階で生じる少なくとも1つの一貫性のない状態によって、異常が検出される。
【0017】
差分論理によって保護される回路は例えば暗号化回路である。
【0018】
本発明の1つの様態によれば、プリチャージ段階で生じる一貫性のない状態の検出に論理ゲートが使用され、この論理ゲートは一貫性のある状態が(0、0)の場合は「OR」ゲート、又は一貫性のある状態が(1、1)の場合は「AND」ゲートである。
【0019】
評価段階で生じる一貫性のない状態の検出に使用される論理ゲートは「XNOR」ゲートであってよい。
【0020】
マルチプレクサは、例えば、一貫性のない状態の検出から生じる信号を選択することが可能であり、プリチャージ段階で一貫性のない状態を検出するゲートの出力はプリチャージ段階中に選択され、評価段階中に評価段階における一貫性のない状態を検出するためのゲートの出力が選択され、選択は構成信号によって制御される。
【0021】
本発明の目的はまた、構成要素ペアによって表現される論理変数を処理する差分論理によって保護される回路であって、セルの第1のネットワークは、前記ペアの第1の構成要素で論理関数を実行し、デュアルセルの第2のネットワークは、第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある変数をセルに配置するプリチャージ段階であり計算がセルによって実行される評価段階が後続にくるプリチャージ段階内のセルの各ペアによって論理関数が実行される回路であり、請求項のいずれか一項に記載の方法を実現する少なくとも1つの検出モジュールを備えると共に、回路の監視されるノードでプリチャージ段階又は評価段階中に論理変数の2つの構成要素の間の一貫性をテストする手段を含むことを特徴とする回路である。
【0022】
この回路は例えばFPGAタイプのプログラマブル回路、あるいはASICタイプの回路である。
【0023】
例えば、検出モジュールの少なくとも1つが、監視しているセルからの出力においてプリチャージ段階で一貫性のない状態を検出するための手段となる。
【0024】
例えば、検出モジュールの少なくとも1つが、監視しているセルからの出力において評価段階で一貫性のない状態を検出するための手段となる。
【0025】
検出モジュールの出力はチェーン化によって収集し、「OR」ゲートにより少なくとも1つの等電位に結果を集中させてもよい。
【0026】
各検出チェーンの出力は、クロック信号によってトリガされ、チェーンの検出モジュールの1つによって少なくとも1つの一貫性のない状態が検出された場合に値1を取るグローバル出力を生成するフリップフロップに接続してもよい。
【0027】
例として、回路の検出モジュールの少なくとも一部分をツリーとして構成し、最後の検出モジュールは前記モジュールによって監視される回路ノードの1つで少なくとも1つの一貫性のない状態が検出されたかどうかを示すグローバル信号を生成してもよい。
【0028】
監視される構成要素のペアは例えばベクトルによってまとめてグループ化でき、検出モジュールは前記ベクトルのそれぞれに値1の低位ビットが付加された後ベクトル間で乗算累積演算を実行する2つの乗算累積器から構成され、この2つの演算の結果間の差異が計算され、その後ゼロコンパレータによって処理され、プリチャージ段階または評価段階で一貫性のない状態が検出されたときに値ゼロの出力を取る。
【0029】
例えば、検出モジュールのゼロコンパレータの出力は、一貫性のない状態の検出により、安定した出力を生成するように、フリップフロップに接続される。
【0030】
本発明は特に、隠れチャネルの観察による攻撃に取り組むことを本来目的としながら、それ以外の種類の攻撃又は障害を検出する、差分論理に基づく対策によって保護される回路の特性に依存するという利点を有する。
【0031】
本発明の他の特性及び利点は、限定されない図で与えられ、添付の図面に関して提供される後続の説明の助けを借りて明白になる。
【図面の簡単な説明】
【0032】
【図1】差分論理の「AND」ゲートを示す。
【図2】差分論理における計算ステップの段階を示す。
【図3】差分論理によって保護されるアーキテクチャに依存する異常検出の動作原理を示す。
【図4】異常を検出する方法を使用した例示的な回路を示す。
【図5】異常を検出するための第1の例示的なチェーンを示す。
【図6】異常を検出するための第2の例示的なチェーンを示す。
【図7】異常を検出するための例示的なツリー構造を示す。
【図8】乗算累積ブロックを使用した回路の方法の例示的な使用を示す。
【発明を実施するための形態】
【0033】
図1は、差分論理の原理の例示的な説明として、WDDL論理(Wave Dynamic Differential Logic)の「AND」ゲート1、2を示す。後者は2つのデュアル論理ネットワーク1、2から構成され、相補論理下で動作する。以降の説明ではWDDL論理の例を使用するが、本発明の原理は例えばMDPL論理(Masked Dual−rail Pre−charge Logic)など、それ以外の種類の差分論理にも適用される。計算ネットワークの双対性に加えて、異なるロジック計算は、2つの別個の段階(プリチャージ段階及び評価段階)に主張されるように実行される。
【0034】
データはデュアルレールで表現され、各論理変数aは以下の方法でコード化された信号のペア(at、af)から形成される。
− (0、0)はプリチャージ段階時の静止状態:aの値は定義されておらず、Ωで示される。
− (1、0)は、評価段階中のアクティブ状態。ここでa=1
− (0、1)は、評価段階中の他のアクティブ状態。ここでa=0
【0035】
論理ゲートHは2つの入力(a及びb)を備え、出力sは物理的に2つのゲート1、2によって表わされる。この2つのゲートはそれぞれ、次に示すような論理関数T(at、bt)及びF(af、bf)を備える。
st=T(at、bt) (1)
sf=F(af、bf) (2)
【0036】
「true」論理ネットワークは、信号stを伝達する関数Tに相当する。「false」デュアル論理ネットワークは、デュアル信号sfを伝達する関数Fに相当する。図1は、関数Tを実行する「true」ネットワークが2つの非相補的入力atとbtを受け取る「AND」ゲートを示す。デュアル「OR」関数は関数Fを実行する。変数xのベクトルでは、以下の関係が満たされる。
【数1】
【0037】
図2は、例えばWDDLタイプの差分論理を使用する計算ステップの段階を示す。このステップは、プリチャージ21と評価22の連続した段階から構成される。入力変数at、bt、af、bfの状態の例、及び対応する出力変数st、sfの例は、プリチャージ段階及び評価段階の反対側に提供される。図2のタイムチャートでは、プリチャージ段階から評価段階及び評価段階からプリチャージ段階への切り替え時において、遷移数が同じである(この例では3)ことを示している。消費電力は、CMOSタイプの電子技術における遷移数に特に直接関係するので消費電力のバランスが取れる。
【0038】
図3は、差分論理によって保護されるアーキテクチャに依存する異常検出の動作原理を示す。
【0039】
差分論理によってダビングされるデュアルレールは本質的に冗長である。実際、論理状態の変数は信号「True」を必要とし、その値は、評価中及び同様にプリチャージ中における信号「False」に対する補完的なものである。したがって、一貫性のない状態、つまり存在するはずでない状態が生じた場合に異常を検出しうる。例えばWDDL論理では、一貫性のない状態、つまり以下が検出された場合に異常が検出される。
− プリチャージ段階で、デュアル信号のペアが状態(Qt、Qf)=(0、0)と異なる。
− 評価段階で、信号のペアが状態(Qt、Qf)=(0、1)又は(Qt、Qf)=(1、0)と異なる。
【0040】
更に、デュアルレール論理からシングルレール論理への切り替えは変数の2つの構成要素から1つの信号だけを考慮することで行われるため、差分論理の単一故障が影響を及ぼす確率は1/2である。
【0041】
多重故障の場合、提案する検出メカニズムでは、例えば評価段階に(1、0)に変換されうる(0、1)など、状態の共役変化を検出できない可能性がある。但し、以下の理由から、この典型的なケースが生じる可能性は極めて低い。
− プリチャージ状態では、影響を受ける可能性がかなりある。
− 多重故障の場合、その他の変数が修正及び検出され得る。
− ほとんどの攻撃では、両方の信号で同時にビット反転を行うことができない。例えば、温度、電圧、又は周波数を使用することによる前の位置決め時間の違反に基づく攻撃。
【0042】
図3の例は、異常を検出するためのメカニズムを持つWDDL差分ゲートの原理を示す。
【0043】
この検出機能を実行するために、論理和演算を実行する「OR」ゲート34により、プリチャージ段階でネットワークT31及びF32の出力における一貫性のない状態を検出できる。つまり、状態(0、1)、(1、0)、又は(1、1)が出現すると、「OR」ゲート34の出力は1になる。
【0044】
同様に、逆排他的OR演算を実行する「XNOR」ゲート33により、評価段階でネットワークT31及びF32の出力における一貫性のない状態を検出できる。つまり、状態(0、0)又は(1、1)が出現すると、「XNOR」ゲート33の出力は1になる。
【0045】
その後、マルチプレクサ35は、「OR」ゲート34の出力又は「XNOR」ゲート33の出力を選択することが可能である。前記マルチプレクサは入力信号PRE/EVALが組み込まれている。例えば、以下の規則を使用してもよい。
− プリチャージ段階では、PRE/EVALは値0を取り、マルチプレクサ35からの出力として「OR」ゲート34の出力が伝送される。
− 評価段階では、PRE/EVALは値1を取り、「XNOR」フリップフロップ33の出力がマルチプレクサ35からの出力として伝送される。
【0046】
したがって、マルチプレクサ35の出力で提供されるFAULT信号は、一貫性のない状態が検出された場合は値1を取り、それ以外の場合は0のままである。
【0047】
この方法の実現を簡略化するために、評価段階でのみ検出を行い、必要とする「XNOR」ゲートを1つだけにすることで複雑さを解消することが可能でありうる。又、プリチャージ段階でのみ検出を行い、必要とする「OR」ゲートを1つだけにすることで複雑さを解消することも可能でありうる。どちらの場合でも、マルチプレクサ35の使用は必須ではない。このような複雑さの解消の欠点は、侵入を検出する機会が低減されることである。
【0048】
図4は、故障を検出するための方法の例示的な使用を示す。故障検出は、例えば暗号化回路のネットワークT41とネットワークF42から構成される各デュアルゲートの出力に配置された検出モジュール内で実現しうる。前記モジュールを含む暗号化回路は、例えばASIC回路またはFPGAタイプのプログラマブル回路で実現される。
【0049】
各デュアルゲートの出力に検出モジュールを配置する代わりに、回路の複雑さを解消するために、回路の重要ノードにのみ前記モジュールを実現することも可能である。所謂回路の「重要」ノードとは、検出モジュールによって監視される信号の安定性を保証するために、例えばDフリップフロップ43、45等のレジスタの出力に置かれたノードである。つまり、図4の例では、セルT41のネットワーク及びセルF42のネットワークの出力で検出が行われる。検出モジュール47は、Dフリップフロップから構成されるレジスタ43、45と44、46の2つのペアの間に配置される。その結果、各計算段階はクロック周期に相当する。差分論理を使用する暗号化回路は、多くのノードを含む。信号PRE/EVALにより、プリチャージ段階又は評価段階の故障検出のための回路の各モジュールを構成できる。各モジュール47の出力でのFAULT信号により、異常(即ち、一貫性のない状態)が各監視ノードのレベルで検出されたかどうか識別できる。
【0050】
図5は異常を検出するための例示的なチェーンを示す。前述したように、差分論理アーキテクチャを使用する暗号化回路に検出モジュールを配置し、監視対象の各ノードのレベルで異常を検出しうる。異常を収集する1つの方法は、検出回路をまとめてチェーン化することである。この手法は、検出が行われるゲート間にただ1つだけの等電位56を有するという利点を示し、これによってASIC又はFPGAにおける配線が容易である。つまり、検出モジュール51、52のFAULT信号は、「OR」ゲート53、54を使用してまとめてチェーン化される。
【0051】
検出モジュールの出力信号は、グローバル出力信号GLOBAL_FAULTの信頼性を向上させるために、システムのグローバル状態を収集するフリップフロップ55までチェーン化される。前記信号は、チェーンに存在する検出モジュールの1つで少なくとも1つの故障が検出された場合、値1を取る。
【0052】
保護されるプロセッサのグローバルな動作速度を制限するクリティカルパスをチェーンが示すことが判明すれば、パイプラインレジスタを挿入してもよい。それでもなお、検出の待ち時間によって異常が検出される前に攻撃者に計算結果を回収させないようにする必要がある。
【0053】
図6は、故障を検出するための第2の例示的なチェーンを示す。複雑さを解消するために、単一のチェーンを使用してもよい。例えば、図5に関して検出モジュールを簡略化して、「XNOR」ゲート61、62にしてもよい。この場合、一貫性のない状態の検出は、評価段階でのみ有効である。プリチャージ段階で検出モジュールの結果を無視するために、「AND」ゲート66により、信号
【数2】
が1の場合に限り、チェーンの各検出モジュールの故障検出結果を考慮することができる。検出モジュール61、62のFAULT信号は、「OR」ゲート63、64を使用してまとめてチェーン化される。チェーン化された検出モジュールによって検出された異常は、グローバル出力信号GLOBAL_FAULTの信頼性を向上させるために、システムのグローバル状態を収集するフリップフロップ65まで等電位67で伝送される。前記信号は、チェーンのノードの1つで少なくとも1つの故障が検出された場合、値1を取る。
【0054】
同じ原理で請求されるように、評価段階時にのみ一貫性のない状態を検出するように検出モジュールを簡略化することが可能である。この場合、評価段階、即ち信号PRE/EVALが値1を取ったときのみグローバル検出の結果を考慮するように、図6の「XNOR」ゲート61、62の代わりに「OR」ゲートが使用され、「AND」ゲート66への入力として使用される信号PRE/EVALは信号
【数3】
に置換される。
【0055】
又、プリチャージ段階で一貫性のない状態を検出するためのチェーンと評価段階で一貫性のない状態を検出するためのチェーンの2つの独立したチェーンを使用して、マルチプレクサの使用を回避することもできる。
【0056】
図7は、故障の検出のための例示的なツリー構造を示す。実際、検出パスを迅速化するために、検出モジュールをツリーとして構築してもよい。図7の例は、一貫性のない状態の検出が差分論理によって保護される回路の8つのノードで行われる例を示す。ペア(Q1t、Q1f)、(Q2t、Q2f)、...、(Q8t、Q8f)の状態は、図3及び4を使用して説明したような検出モジュール71によって監視され、前記ノードのそれぞれのレベルに配置される。各モジュールによる検出の結果は、その後検出モジュールの第2のバンク72に伝送され、その出力自体は検出モジュールの第3のバンク73に伝送される。最終的に、最後の検出器74は、監視している8つのノードについて一貫性のない状態のグローバル検出のための結果信号を生成する。フリップフロップ75が、GLOBAL_FAULT出力信号の信頼性を向上させるために、システムのグローバル状態を収集する。
【0057】
図8は、乗算累積ブロックを使用した回路の方法の例示的な使用を示す。実際、「multiplication and accumulation」の頭字語である通常MACブロックと呼ばれる乗算累積ブロックを使用することで、検出を簡易化してもよい。これらのブロックは例えば特定のFPGA回路で使用可能である。この場合、入力信号はNビットのワードの2つのペアA=(At、Af)とB=(Bt、Bf)とから構成される。Af及びBfは、At及びBtのデュアル信号であり、従って、符号付整数の2つの補完的な表現で請求されるように以下の方法で表現される。
Af=−At−1 (5)
Bf=−Bt−1 (6)
【0058】
積At×Btは、相対整数のセットで算出されるので、積(Af+1)×(Bf+1)に対応する必要がある。つまり、この2つの積が一致していない場合、単一故障を検出できる。
【0059】
多重故障の場合、A及びBの故障が互いに打ち消しあい、同じ積をもたらすケースが存在する可能性があるが、こうしたケースが発生する確率は極めて低い。それでもなお、代数不変量に基づくこの整数乗法計算は、有効範囲を保証するので、故障注入に対して効果的な対抗策を構成する。
【0060】
この原理を使用するには、AfとBfではなく、Af+1とBf+1を考慮する必要があるだけでなく、更にプリチャージと評価両方の段階で検出を行うために、これらの変数は決してゼロでない必要がある。これらの条件を満足するための簡単な方法は、4つのワードAt、Bt、Af、及びBfに値1の低位のビットを付加することである。
【0061】
2つのMACブロック81、82が使用される。第1の81は、1に等しい低位ビットが付加されるNビットのバイナリワードAtと同じく1に等しい低位ビットが付加されるNビットのバイナリワードBtを入力として取る。第2のMACブロック82は、1に等しい低位ビットが付加されるnビットのバイナリワードAfと同じく1に等しい低位ビットが付加されるNビットのバイナリワードBfを入力として取る。ブロック81、82それぞれによって出力された結果は、前記結果83の差異を取ることにより、比較される。異常が検出されなければ、この差はゼロである。したがって、故障があるかないかを検出するために、ゼロコンパレータ84が追加される。その後、出力信号の信頼性を向上させるために、コンパレータ84の結果が入力としてフリップフロップ85に伝送される。フリップフロップで出力される信号FAULTは、異常が検出されなければ1のままで、逆の場合には値0を取る。
【特許請求の範囲】
【請求項1】
差分論理で保護され、構成要素ペア(at、af)によって表現される論理変数を処理する回路内で異常を検出するための方法であって、セル(T)の第1のネットワークは、前記ペアの第1の構成要素で論理関数を実行し、デュアルセル(F)の第2のネットワークは、前記第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある前記変数を前記セルに配置するプリチャージ段階(21)であり、計算が前記セルによって実行される評価段階(22)が後続にくるプリチャージ段階(21)内のセルの各ペア(T、F)によって前記論理関数が実行される方法であり、前記方法が、前記プリチャージ段階又は前記評価段階中に発生した少なくとも1つの一貫性のない状態で異常が検出されることを特徴とする方法。
【請求項2】
差分論理によって保護される前記回路が暗号化回路であることを特徴とする請求項1に記載の方法。
【請求項3】
論理ゲートは前記プリチャージ段階で発生する一貫性のない状態の検出に使用され、この論理ゲートは、前記一貫性のある状態が(0、0)の場合は「OR」ゲートであり、一貫性のある状態が(1、1)の場合は「AND」ゲートであることを特徴とする請求項1〜2のいずれか一項に記載の方法。
【請求項4】
評価段階で生じる一貫性のない状態の検出に使用される前記論理ゲートは「XNOR」ゲートであることを特徴とする請求項1〜3のいずれか一項に記載の方法。
【請求項5】
マルチプレクサ(35)は一貫性のない状態の検出から生じる前記信号(FAULT)を選択することが可能であり、前記プリチャージ段階(34)で一貫性のない状態を検出する前記ゲートの出力は前記プリチャージ段階中に選択され、前記評価段階(33)中に前記評価段階における一貫性のない状態を検出するための前記ゲートの出力が選択され、前記選択は構成信号(PRE/EVAL)によって制御されることを特徴とする請求項1〜4のいずれか一項に記載の方法。
【請求項6】
構成要素ペアによって表現される論理変数を処理する差分論理によって保護される回路であって、セル(T)の第1のネットワークは、前記ペアの前記第1の構成要素で論理関数を実行し、デュアルセル(F)の第2のネットワークは、前記第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある前記変数を前記セルに配置するプリチャージ段階であり計算が前記セルによって実行される評価段階が後続にくるプリチャージ段階内のセルの各ペアによって前記論理関数が実行される回路であり、請求項1〜5のいずれか一項に記載の方法を実現する少なくとも1つの検出モジュール(47)を備えると共に、前記回路の前記監視されるノードで前記プリチャージ段階又は評価段階中に前記論理変数の前記2つの構成要素の間の一貫性をテストする手段を含むことを特徴とする回路。
【請求項7】
前記回路がFPGAタイプのプログラマブル回路であることを特徴とする請求項6に記載の回路。
【請求項8】
前記回路がASICタイプの回路であることを特徴とする請求項6に記載の回路。
【請求項9】
前記検出モジュールの少なくとも1つが、前記プリチャージ段階中に監視対象の前記セルからの出力において前記一貫性のない状態を検出するための手段(34)を有することを特徴とする請求項6〜8のいずれか一項に記載の回路。
【請求項10】
前記検出モジュールの少なくとも1つが、前記評価段階中に監視対象の前記セルからの出力において前記一貫性のない状態を検出するための手段(33)を有することを特徴とする請求項6〜9のいずれか一項に記載の回路。
【請求項11】
前記検出モジュールの前記出力はチェーン化によって収集され、「OR」ゲート(53、54、63、64)により少なくとも1つの等電位(56、67)に結果が集中されることを特徴とする請求項6〜10のいずれか一項に記載の回路。
【請求項12】
各検出チェーンの出力は、前記クロック信号(CLK)によってトリガされるフリップフロップに接続され、前記チェーンの前記検出モジュール(51、52、61、62)の1つによって少なくとも1つの一貫性のない状態が検出された場合に値1を取るグローバル出力(GLOBAL_FAULT)を生成するフリップフロップに接続されることを特徴とする請求項11に記載の回路。
【請求項13】
前記回路検出モジュールの少なくとも一部分をツリー(71、72、73、74)として構成し、最後の検出モジュール(74)は前記モジュールによって監視される回路ノードの1つで少なくとも1つの一貫性のない状態が検出されたかどうかを示すグローバル信号を生成することを特徴とする請求項6〜10のいずれか一項に記載の回路。
【請求項14】
監視される構成要素のペアはベクトル(At、Af、Bt、Bf)によってまとめてグループ化され、前記検出モジュールは、一方のベクトル(At、Bt)と他方のベクトル(Af、Bf)との間で、乗算累積演算を実行する2つの乗算累積器(81、82)から構成され、前記ベクトルのそれぞれに値1の低位ビットが付加された後ベクトル間でその演算が行われ、前記2つの演算の結果間の差異が計算され(83)、その後ゼロコンパレータ(84)によって処理され、前記プリチャージ段階または評価段階で一貫性のない状態が検出されたときに値ゼロの出力を取る、ことを特徴とする請求項6〜8のいずれか一項に記載の回路。
【請求項15】
前記検出モジュールの前記ゼロコンパレータ(84)の出力は、一貫性のない状態の検出により、安定した出力(FAULT)を生成するように、フリップフロップ(85)に接続されることを特徴とする請求項14に記載の回路。
【請求項1】
差分論理で保護され、構成要素ペア(at、af)によって表現される論理変数を処理する回路内で異常を検出するための方法であって、セル(T)の第1のネットワークは、前記ペアの第1の構成要素で論理関数を実行し、デュアルセル(F)の第2のネットワークは、前記第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある前記変数を前記セルに配置するプリチャージ段階(21)であり、計算が前記セルによって実行される評価段階(22)が後続にくるプリチャージ段階(21)内のセルの各ペア(T、F)によって前記論理関数が実行される方法であり、前記方法が、前記プリチャージ段階又は前記評価段階中に発生した少なくとも1つの一貫性のない状態で異常が検出されることを特徴とする方法。
【請求項2】
差分論理によって保護される前記回路が暗号化回路であることを特徴とする請求項1に記載の方法。
【請求項3】
論理ゲートは前記プリチャージ段階で発生する一貫性のない状態の検出に使用され、この論理ゲートは、前記一貫性のある状態が(0、0)の場合は「OR」ゲートであり、一貫性のある状態が(1、1)の場合は「AND」ゲートであることを特徴とする請求項1〜2のいずれか一項に記載の方法。
【請求項4】
評価段階で生じる一貫性のない状態の検出に使用される前記論理ゲートは「XNOR」ゲートであることを特徴とする請求項1〜3のいずれか一項に記載の方法。
【請求項5】
マルチプレクサ(35)は一貫性のない状態の検出から生じる前記信号(FAULT)を選択することが可能であり、前記プリチャージ段階(34)で一貫性のない状態を検出する前記ゲートの出力は前記プリチャージ段階中に選択され、前記評価段階(33)中に前記評価段階における一貫性のない状態を検出するための前記ゲートの出力が選択され、前記選択は構成信号(PRE/EVAL)によって制御されることを特徴とする請求項1〜4のいずれか一項に記載の方法。
【請求項6】
構成要素ペアによって表現される論理変数を処理する差分論理によって保護される回路であって、セル(T)の第1のネットワークは、前記ペアの前記第1の構成要素で論理関数を実行し、デュアルセル(F)の第2のネットワークは、前記第2の構成要素の補足ロジック内で動作し、入力において知られている状態にある前記変数を前記セルに配置するプリチャージ段階であり計算が前記セルによって実行される評価段階が後続にくるプリチャージ段階内のセルの各ペアによって前記論理関数が実行される回路であり、請求項1〜5のいずれか一項に記載の方法を実現する少なくとも1つの検出モジュール(47)を備えると共に、前記回路の前記監視されるノードで前記プリチャージ段階又は評価段階中に前記論理変数の前記2つの構成要素の間の一貫性をテストする手段を含むことを特徴とする回路。
【請求項7】
前記回路がFPGAタイプのプログラマブル回路であることを特徴とする請求項6に記載の回路。
【請求項8】
前記回路がASICタイプの回路であることを特徴とする請求項6に記載の回路。
【請求項9】
前記検出モジュールの少なくとも1つが、前記プリチャージ段階中に監視対象の前記セルからの出力において前記一貫性のない状態を検出するための手段(34)を有することを特徴とする請求項6〜8のいずれか一項に記載の回路。
【請求項10】
前記検出モジュールの少なくとも1つが、前記評価段階中に監視対象の前記セルからの出力において前記一貫性のない状態を検出するための手段(33)を有することを特徴とする請求項6〜9のいずれか一項に記載の回路。
【請求項11】
前記検出モジュールの前記出力はチェーン化によって収集され、「OR」ゲート(53、54、63、64)により少なくとも1つの等電位(56、67)に結果が集中されることを特徴とする請求項6〜10のいずれか一項に記載の回路。
【請求項12】
各検出チェーンの出力は、前記クロック信号(CLK)によってトリガされるフリップフロップに接続され、前記チェーンの前記検出モジュール(51、52、61、62)の1つによって少なくとも1つの一貫性のない状態が検出された場合に値1を取るグローバル出力(GLOBAL_FAULT)を生成するフリップフロップに接続されることを特徴とする請求項11に記載の回路。
【請求項13】
前記回路検出モジュールの少なくとも一部分をツリー(71、72、73、74)として構成し、最後の検出モジュール(74)は前記モジュールによって監視される回路ノードの1つで少なくとも1つの一貫性のない状態が検出されたかどうかを示すグローバル信号を生成することを特徴とする請求項6〜10のいずれか一項に記載の回路。
【請求項14】
監視される構成要素のペアはベクトル(At、Af、Bt、Bf)によってまとめてグループ化され、前記検出モジュールは、一方のベクトル(At、Bt)と他方のベクトル(Af、Bf)との間で、乗算累積演算を実行する2つの乗算累積器(81、82)から構成され、前記ベクトルのそれぞれに値1の低位ビットが付加された後ベクトル間でその演算が行われ、前記2つの演算の結果間の差異が計算され(83)、その後ゼロコンパレータ(84)によって処理され、前記プリチャージ段階または評価段階で一貫性のない状態が検出されたときに値ゼロの出力を取る、ことを特徴とする請求項6〜8のいずれか一項に記載の回路。
【請求項15】
前記検出モジュールの前記ゼロコンパレータ(84)の出力は、一貫性のない状態の検出により、安定した出力(FAULT)を生成するように、フリップフロップ(85)に接続されることを特徴とする請求項14に記載の回路。
【図1】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図8】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図8】
【公表番号】特表2012−505563(P2012−505563A)
【公表日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願番号】特願2011−522468(P2011−522468)
【出願日】平成21年7月30日(2009.7.30)
【国際出願番号】PCT/EP2009/059886
【国際公開番号】WO2010/018071
【国際公開日】平成22年2月18日(2010.2.18)
【出願人】(510229496)インスティテュート テレコム−テレコム パリ テック (8)
【Fターム(参考)】
【公表日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願日】平成21年7月30日(2009.7.30)
【国際出願番号】PCT/EP2009/059886
【国際公開番号】WO2010/018071
【国際公開日】平成22年2月18日(2010.2.18)
【出願人】(510229496)インスティテュート テレコム−テレコム パリ テック (8)
【Fターム(参考)】
[ Back to top ]