WO2007006798A1 - Method and system for authenticating silicon chips - Google Patents

Method and system for authenticating silicon chips Download PDF

Info

Publication number
WO2007006798A1
WO2007006798A1 PCT/EP2006/064158 EP2006064158W WO2007006798A1 WO 2007006798 A1 WO2007006798 A1 WO 2007006798A1 EP 2006064158 W EP2006064158 W EP 2006064158W WO 2007006798 A1 WO2007006798 A1 WO 2007006798A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
chip
reader
processed
identification information
Prior art date
Application number
PCT/EP2006/064158
Other languages
French (fr)
Inventor
David Pointcheval
Benoit Chevallier-Mames
Original Assignee
Gemplus
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus filed Critical Gemplus
Publication of WO2007006798A1 publication Critical patent/WO2007006798A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Definitions

  • the present invention relates to a method for activating an electronic chip of an identification medium, an identification information being stored in the chip, the chip being able to be read by a reader connected to a computing device, the reader and the device each having interface means allowing a user to provide identification information.
  • the invention also relates to an activation system using such a method.
  • STATE OF THE ART Transactions and exchanges using an electronic chip of an identification medium, identifying information being stored in the chip (this is the case, for example, of a chip of a smart card) , are more and more widespread. These include, for example, bank payment transactions or the withdrawal of money from ATMs. These transactions require the prior activation of the chip.
  • activation means that the chip goes from a state that does not allow transactions - where transactions concerning data stored in the chip are not permitted - to a state where transactions concerning data stored in the chip are allowed. This is the case, for example, of bank transactions with a ticket distributor or a payment terminal. Once activated, the chip can exchange information with external devices and vice versa.
  • Such activation is potentially subject to fraud. It is possible that the drive is corrupted by an attacker of the system. In this case, the reader can generate a copy of the characteristics of the chip and / or store the identification information for fraudulent purposes.
  • the reader of the chip is connected to a computer device, which allows in particular to perform processing operations.
  • the device may be corrupt or have a virus so that it can generate a copy of the chip features and / or store the identification information for fraudulent purposes.
  • the invention proposes to increase the security of transactions using a chip.
  • the invention allows to start the manipulation of the identification information on two different elements.
  • the probability that the two elements are corrupted at the same time is much lower than the probability of corruption of the reader of the prior art.
  • the user of the chip therefore has more confidence in the activation system.
  • the invention proposes a method of activating an electronic chip of an identification medium, an identification information being stored in the chip, the chip being able to be read by a reader connected to a device.
  • computer device, the reader and the device each comprising interface means enabling a user to provide identification information, characterized in that the method comprises the following steps:
  • said first part and said second part of the identification information correspond to said identification information when the identification information is the sum of the first and second parts of the identification information; said correspondence is verified when the identification information is the concatenation of the first and second parts of the identification information, or the second and first parts of the identification information;
  • the method comprises a step of transmission by the reader of the first information processed and of the first proof to the device;
  • the method comprises a step of verification by the device of the first and second proofs; the method comprises a verification step by the chip of the second, third and fourth proofs;
  • K 1 (AfB * " 1 )" 1 where ai is a random variable between 0 and q-1; and pwi is a second part of the identification information
  • K K 1 "where y is a random variable between 0 and q-1
  • the invention also proposes a system for implementing the method.
  • the invention has the following numerous advantages.
  • the identification information is never given as a whole to either the reader or the computing device. None of the non-chip devices have identification information as a whole.
  • the identification information is separated into at least two parts, the reader and the device each having access to only one part.
  • the identification information is separated into at least two distinctly provided parts on two separate devices (the reader and the computing device), the user's confidence in the chip activation system is increased. Indeed, the two aforementioned devices are often manufactured by two different organizations and have different hardware and software parts respectively. It is therefore difficult to corrupt the two organizations or to introduce a virus on both devices at the same time to obtain the set of characteristics or all of the identification information of the chip. If one of the two devices is attacked and an attacker gets to know a first part of the identification information of the chip, it is not possible for the attacker, by applying the same method, of learn any information about the second part of the password. Each part of the identification information is provided on a different device. Each apparatus performs calculations from this portion of the identification information to generate processed information. It also generates proof that the calculations are done according to a law stored in the device. The exchanges between the chip and the devices include the information processed and the evidence.
  • the processing is carried out in particular by generating at least one exponentiation value representing an exponentiation of the parts or all of the identification information.
  • Parts or all of the identifying information are never exchanged under a value that is not an exponentiation. They are always hidden as an exponentiation before being exchanged on a connection between the chip, the reader and the device. It is mathematically difficult to go back to a superscript value in an exponentiation value (this is a problem mathematical known and reputed difficult, called "discrete logarithm problem"). Thus, even if an attacker recovers an exponentiation value, he will have difficulty finding the value of the part or all of the identification information.
  • the generation of the proof is carried out notably by an application of a function which makes it possible to prove the calculations of the values of exponentiation.
  • This function is a proof of knowledge protocol with zero knowledge disclosure.
  • the proof of knowledge protocol with null knowledge disclosure shows, in our case, that the generation of the exponentiation values was carried out according to a calculation pre-established by a law, without showing the details of the calculation.
  • an attacker manages to generate - in one way or another - an exponentiation value consistent with the other exponentiation values he will have difficulty creating a corresponding proof that will be accepted by the chip, the reader and / or the device.
  • the attacker manages to intercept a piece of evidence he will not be able to know the part or all of the identification information.
  • each message sent or received by the computing device, or received or sent by the chip is processed by the reader. Therefore, the critical point of a chip activation system is the reader. The latter sees and can modify all the communications coming or going to the chip or the device. If an attacker manages to corrupt the reader and learn the part of the identification information entered on the interface of the reader, it has been seen that a method according to the invention makes it possible to prevent this attacker from learning the problem. identification information as a whole. In addition, the attacker can not activate the chip without the help of the computing device, unless performing N / 2 attempts on average generating parts of the credentials, where N is the number of possibilities for identification information. However, the chip can be blocked after three erroneous attempts.
  • the separation into at least two parts is managed in a very simple way for the user of the support of the chip, and it suffices for example to divide the identification information into two parts such as for example the concatenation of the two parts gives the complete identification information.
  • FIG. 1 diagrammatically represents an activation system of an electronic chip comprising a reader connected to a computing device
  • FIG. 2 is a block diagram showing the various possible steps of an activation method according to the invention.
  • FIG. 1 schematically represents an activation system of an electronic chip of an identification medium 1.
  • the identification medium can be of any type. It can be a smart card, a security module, a mobile phone, a personal assistant
  • PDA Personal Digital Assistant
  • TPM Trusted Platform Module
  • SD card Secure Digital Card
  • UICC Universal Integrated Circuit
  • MMC Multi Media Card
  • Identification information pw is stored in the chip 10.
  • Said information pw may for example be a password (pw or "password” according to the English terminology used by those skilled in the art) activation of the chip.
  • the password may also be for example the personal identification number (PIN).
  • the chip 10 comprises means 11 capable of performing all the steps described in the following developments, in particular the calculation, processing and activation steps.
  • the means 11 are able to read processed information.
  • Means 11 are also able to verify that this processed information respects a law stored in the chip to deduce from this, if said law is respected, that parts pw 0 and pwi of the identification information (described in more detail below) correspond to said identification information pw.
  • the means 11 are also able to activate the chip if said law is respected.
  • the system comprises a reader 2 capable of reading the chip 10 of the support 1.
  • the reader may for example comprise means 20 in which the support 1 can be introduced.
  • Other examples of reading means are possible, for example contactless means of the Radio Frequency Identification (RFID) identification type.
  • RFID Radio Frequency Identification
  • the reader 2 comprises interface means 21 enabling a user to provide identification information.
  • the means 21 are for example keyboard type, keypad, magnetic means, biometric or voice or sound recognition.
  • the reader 2 comprises means 23 allowing the transmission of information from the reader to the chip 10, and vice versa.
  • the reader 2 further comprises means 22 able to process a first portion pw 0 of the identification information supplied to the interface 21 of the reader 2 means to develop at least a second and a fourth processed information and develop at least one second and fourth proofs (described in more detail later in this description).
  • the system also includes a computer device 3, which can be for example a computer or a server.
  • the device 3 comprises interface means 31 enabling the user to provide identification information.
  • the means 31 are for example keyboard type, keypad, magnetic means, biometric or voice or sound recognition.
  • the device 3 comprises means 32 able to process a second part pwi of the identification information supplied to the interface means 31 of the device 3 to produce at least a third piece of processed information and at least a third piece of evidence (described in more detail). in the following description).
  • the device 3 is connected to the reader 2 by the means 4 allowing the transmission of information from the reader 2 to the device 3, and vice versa.
  • the means 4 are for example of the wired type and operate according to a TCP / IP (Transmission Contrai Protocol Internet Protocol), or non-wired type and operate according to a Wi-fi protocol (Wireless Fidelity) or IrDA (Infrared Data Association).
  • the transmission of information between the chip 10 and the device 3 - and vice versa - is carried out via the reader 2, the device or the chip transmitting the information first to the reader who then transmits them to the chip or device. device.
  • the system of FIG. 1 makes it possible to implement a method for activating a chip according to which, as shown in FIG. 2, the chip establishes, during a step 100, a correspondence between a from the identification information pw and secondly a first part pw 0 and a second part pwi of the identification information.
  • the calculations of the invention described in the following developments are carried out in a finite group generated by an integer g.
  • the group is thus the set of g ', for i an integer going from 0 to q-1.
  • q the order of the group, q being preferentially first.
  • the group is noted multiplicatively.
  • the operation of the group is noted
  • the identification information pw is the sum of the first and second parts pw 0 and pwi of the identification information pw.
  • the sum preferably corresponds to the concatenation of the first and second parts pw 0 and pwi of the identification information pw.
  • pw 0 and pwi are not fixed and can be modified by the user at each activation of the chip.
  • the chip knows the law connecting pw 0 and pwi corresponding to pw.
  • a step 110 the chip 10 selects a random variable x between 0 and q-1. This choice is written mathematically:
  • a step 111 the chip 10 processes the identification information pw, to develop a first processed information.
  • Such a processing step comprises generating at least one exponentiation value
  • the chip produces a first proof zkpn to prove to the reader 2 and / or the device 3 that the calculation of X * has been carried out correctly, that is to say according to a law stored in the chip .
  • the function that makes it possible to prove an exponentiation calculation - such as for example X * - is a proof of knowledge protocol with zero knowledge disclosure (ZKPOK "zero knowledge - proof of knowledge" according to the English terminology -saxonne generally used by those skilled in the art).
  • ZKPOK zero knowledge - proof of knowledge
  • Said first processed information X * and the first proof zkpn are then transmitted, in a step 113, by the chip 10 to the reader 2, thanks to the means 23.
  • a step 114 is the transmission, by the reader 2, of the first processed information X * and the first proof zkpn to the computing device 3. The transmission is done by the means 4.
  • step 115 the user supplies the interface means 21 of the reader 2 with the first part pw 0 of the identification information pw.
  • step 115 the user also provides the interface means 31 of the device 3 with the second part pwi of the identification information pw.
  • step 210 the reader 2 selects random variables y and ⁇ 0 between 0 and q-1. This choice is written mathematically: y, a n ⁇ r ⁇ -Z a It is understood that step 210 can be performed before or after step 115.
  • the device 3 chooses, during a step 310, a random variable ai and between 0 and q-1. This choice is written mathematically: (X 1 ⁇ - Z q
  • steps 115, 210, and 310 can be performed in any order and at any time between step 110 and step 211 described below.
  • the reader 2 processes said first portion pw 0 of the identification information to develop at least a second processed information.
  • the processing comprises generating at least one exponentiation value A representing an exponentiation of the pw o portion and a second auxiliary processed information B. This generation is written as follows:
  • the reader prepares a second proof zkpr 2 to prove to the chip 10 and / or the device 3 that the calculations of A and B have been carried out correctly, that is to say according to a stored law in the player.
  • the function that makes it possible to prove the exponentiation calculations of A and B is a ZKPOK proof protocol.
  • the reader 2 transmits said second processed information A, the second auxiliary processed information B and the second proof zkpr 2 to the device 3 thanks to the means 4.
  • the computing device 3 generates an exponentiation value Yi such that:
  • step 114 can take place before or after steps 211 and 212. Step 311 can therefore take place after step 312 described below.
  • a step 312 subsequent to the steps 213 and 114, the device 3 verifies the proofs zkpn and zkpr 2 by the means 32.
  • the verification of the proofs zkpn and zkpr 2 makes it possible to verify that the first and second information processed have were created correctly in order to mitigate attacks during which the device 3 would reveal information then useful to a corrupted reader 2.
  • the device 3 knows the processed information X *, A and B, and knows that this information has been created correctly. However, the device 3 knows nothing about the values pw, pw 0 or pw that were used to create the processed information.
  • the device 3 goes to a step 313. If the step 312 is not validated, namely if one of the two proofs is not good, then the device 3 goes to a step 315 according to which a message may be sent to the user to warn him of a faulty provision of part of the identification information, or of a possible problem of corruption of one of the devices of the system. A message can also be sent to the chip. The chip can then update a counter that counts the number of failures in the verification of evidence after a new supply of the parts of the identification information. The chip can therefore trigger a predefined policy, for example blocking the chip after three failures.
  • step 313 the device 3 processes the second part pwi of the identification information to form at least one other exponentiation value Ki such that:
  • K 1 (AfB * " 1 ) * 1
  • the device 3 produces a third proof zkpr 3 to prove in particular to the chip 10 that the calculations of Yi and Ki were performed correctly, that is to say according to a law stored in the device.
  • the function that makes it possible to prove the exponentiation calculations of Yi and Ki is a ZKPOK proof protocol.
  • step 316 said third processed information Yi and Ki and the third proof zkpr 3 are transmitted to the reader 2 via the means 4.
  • step 214 subsequent to the step 316, the reader 2 generates a fourth information processed thanks to the values Yi and Ki, received from the device 3. The development of the fourth information processed is written:
  • a step 216 the reader 2 transmits to the chip 10 the fourth processed information Y, K and the proofs zkpr 2 , zkpr 3 and zkpr 4 .
  • the chip performs a verification of the proofs zkpr 2 , zkpr 3 , zkpr 4 by the means 11.
  • the proof verification zkpr 2 , zkpr 3 , zkpr 4 makes it possible to verify that the second, third, and fourth processed information was created correctly, to avoid certain attacks. Thanks to step 116, the chip 10 knows in particular the fourth processed information Y and K, and can validate that this information has been created correctly.
  • the device 3 goes to a step 118. If the step 116 is not validated, namely if at least one of the three proofs is not good, then the chip 10 goes to a step 117, according to which a message may be sent to the user to warn him of an erroneous provision of part of the identification information, or of a possible problem of corruption of one of the apparatuses of the system.
  • the chip can then update a counter that counts the number of failures in the verification of the evidence after a new provision of the credentials parts.
  • the chip can therefore trigger a predefined policy, for example blocking the chip after three failures.
  • the chip verifies that:
  • the chip is assured that the reader and the device are reliable, and that the portions pw 0 and pwi correspond to the portions of the identification information pw.
  • the chip can therefore be activated during a step 119 and transactions, for example banking, can begin.
  • step 118 If step 118 is not validated, then the card proceeds to step 117 already described.
  • the support may be a smart card, for example the credit card type of payment or withdrawal of money, but also a security module, a mobile phone, a personal assistant (PDA), a TPM, an SD -card, a UICC card, or a secure MMC card.
  • PDA personal assistant
  • TPM time-to-live
  • SD -card Secure Digital Card
  • UICC universal integrated circuit card
  • MMC secure MMC card

Abstract

The invention concerns a system for activating a silicon chip (10) of an identification medium (1) comprising a reader (2) adapted to read the chip and a computer device (3) connected to each other and comprising interface means (21, 31), wherein the chip, the reader (2) and the device comprise means (11, 22, 32) for processing all or part of the identification data, supplied for example on the interface means, and for providing evidence of processing in accordance with a specific law, the chip and the device comprise means for transmitting (23, 4) processed data and evidence to the reader (2), and reciprocally, the chip comprises means (11) for reading the processed data and the evidence and for verifying that said data observe a law stored in the chip, the chip further comprising means (11) for activating the chip if said law is observed. The invention also concerns a method implemented by the system.

Description

PROCEDE ET SYSTEME D'AUTHENTIFICATION DE PUCES METHOD AND SYSTEM FOR AUTHENTICATING CHIPS
ELECTRONIQUESELECTRONIC
DOMAINE TECHNIQUE GENERALGENERAL TECHNICAL FIELD
La présente invention concerne un procédé d'activation d'une puce électronique d'un support d'identification, une information d'identification étant mémorisée dans la puce, la puce étant apte à être lue par un lecteur relié à un dispositif informatique, le lecteur et le dispositif comportant chacun des moyens d'interface permettant à un utilisateur de fournir une information d'identification.The present invention relates to a method for activating an electronic chip of an identification medium, an identification information being stored in the chip, the chip being able to be read by a reader connected to a computing device, the reader and the device each having interface means allowing a user to provide identification information.
L'invention concerne également un système d'activation utilisant un tel procédé. ETAT DE L'ART Les transactions et échanges utilisant une puce électronique d'un support d'identification, une information d'identification étant mémorisée dans la puce (c'est le cas par exemple d'une puce d'une carte à puce), sont de plus en plus répandus. Il s'agit par exemple des transactions bancaires de paiement ou de retrait d'argent à des distributeurs automatiques de billets. Ces transactions nécessitent l'activation préalable de la puce. Dans la suite de la présente description, on entend par « activation » le fait que la puce passe d'un état n'autorisant pas les transactions - où des transactions concernant des données mémorisées dans la puce ne sont pas permises - à un état où des transactions concernant des données mémorisées dans la puce sont permises. C'est le cas par exemple des transactions bancaires avec un distributeur de billet ou un terminal de paiement. Une fois activée, la puce peut échanger des informations avec des dispositifs extérieurs et réciproquement.The invention also relates to an activation system using such a method. STATE OF THE ART Transactions and exchanges using an electronic chip of an identification medium, identifying information being stored in the chip (this is the case, for example, of a chip of a smart card) , are more and more widespread. These include, for example, bank payment transactions or the withdrawal of money from ATMs. These transactions require the prior activation of the chip. In the remainder of the present description, the term "activation" means that the chip goes from a state that does not allow transactions - where transactions concerning data stored in the chip are not permitted - to a state where transactions concerning data stored in the chip are allowed. This is the case, for example, of bank transactions with a ticket distributor or a payment terminal. Once activated, the chip can exchange information with external devices and vice versa.
Les transactions par puces électroniques présentent de nombreux avantages, mais on constate de nos jours une exigence toujours croissante de sécurité. Actuellement, pour l'activation de la puce, un utilisateur fournit l'information d'identification à des moyens d'interface d'un lecteur de la puce.Electronic chip transactions have many advantages, but today there is an ever increasing demand for security. Currently, for the activation of the chip, a user provides the identification information to interface means of a reader of the chip.
Une telle activation est potentiellement sujette aux fraudes. Il est en effet possible que le lecteur soit corrompu par un attaquant du système. Dans ce cas, le lecteur peut générer une copie des caractéristiques de la puce et/ou stocker l'information d'identification à des fins frauduleuses.Such activation is potentially subject to fraud. It is possible that the drive is corrupted by an attacker of the system. In this case, the reader can generate a copy of the characteristics of the chip and / or store the identification information for fraudulent purposes.
De plus, le lecteur de la puce est relié à un dispositif informatique, qui permet notamment d'effectuer des opérations de traitement. De la même façon que pour le lecteur, le dispositif peut être corrompu ou présenter un virus, de sorte qu'il peut générer une copie des caractéristiques de la puce et/ou stocker l'information d'identification à des fins frauduleuses. PRESENTATION DE L'INVENTIONIn addition, the reader of the chip is connected to a computer device, which allows in particular to perform processing operations. In the same way as for the reader, the device may be corrupt or have a virus so that it can generate a copy of the chip features and / or store the identification information for fraudulent purposes. PRESENTATION OF THE INVENTION
L'invention propose d'augmenter la sécurité des transactions utilisant une puce.The invention proposes to increase the security of transactions using a chip.
L'invention permet de repartir la manipulation de l'information d'identification sur deux éléments différents. Ainsi la probabilité que les deux éléments soient corrompus en même temps est très inférieure à la probabilité de corruption du lecteur de l'art antérieur. L'utilisateur de la puce a donc davantage confiance dans le système d'activation.The invention allows to start the manipulation of the identification information on two different elements. Thus the probability that the two elements are corrupted at the same time is much lower than the probability of corruption of the reader of the prior art. The user of the chip therefore has more confidence in the activation system.
A cet effet, l'invention propose un procédé d'activation d'une puce électronique d'un support d'identification, une information d'identification étant mémorisée dans la puce, la puce étant apte à être lue par un lecteur relié à un dispositif informatique, le lecteur et le dispositif comportant chacun des moyens d'interface permettant à un utilisateur de fournir une information d'identification, caractérisé en ce que le procédé comporte les étapes suivantes :For this purpose, the invention proposes a method of activating an electronic chip of an identification medium, an identification information being stored in the chip, the chip being able to be read by a reader connected to a device. computer device, the reader and the device each comprising interface means enabling a user to provide identification information, characterized in that the method comprises the following steps:
• Fourniture d'une première partie de l'information d'identification aux moyens d'interface du lecteur, • Fourniture d'une deuxième partie de l'information d'identification aux moyens d'interface du dispositif,Providing a first portion of the identification information to the interface means of the reader, providing a second portion of the identification information to the interface means of the device,
• Traitement par la puce de l'information d'identification, pour élaborer au moins une première information traitée et au moins une première preuve que l'élaboration de la première information traitée respecte une loi mémorisée dans la puce, et transmission par la puce de ladite première information traitée et de ladite première preuve audit lecteur,• Processing by the chip of the identification information, to develop at least a first processed information and at least a first evidence that the development of the first processed information respects a law stored in the chip, and transmission by the chip of said first processed information and said first evidence to said reader,
• Traitement par le lecteur de ladite première partie de l'information d'identification et de ladite première information traitée, pour élaborer au moins une deuxième information traitée et au moins une deuxième preuve que l'élaboration de la deuxième information traitée respecte une loi mémorisée dans le lecteur, et transmission par le lecteur de ladite deuxième information traitée et de ladite deuxième preuve audit dispositif,• Processing by the reader of said first part of the identification information and said first information processed, to develop at least a second processed information and at least a second proof that the development of the second processed information respects a stored law in the reader, and transmission by the reader of said second processed information and said second evidence to said device,
• Traitement par le dispositif de ladite deuxième partie de l'information d'identification et de ladite deuxième information traitée, pour élaborer au moins une troisième information traitée et au moins une troisième preuve que l'élaboration de la troisième information traitée respecte une loi mémorisée dans le dispositif, et transmission par le dispositif de ladite troisième information traitée et de ladite troisième preuve audit lecteur,• Processing by the device of said second part of the identification information and said second processed information, to develop at least a third processed information and at least a third proof that the development of the third processed information respects a stored law in the device, and transmission by the device of said third processed information and said third evidence to said reader,
• Traitement par le lecteur de ladite troisième information traitée, pour élaborer au moins une quatrième information traitée et au moins une quatrième preuve que l'élaboration de la quatrième information traitée respecte une loi mémorisée dans le lecteur, et transmission par le lecteur de ladite quatrième information traitée et desdites deuxième, troisième et quatrième preuves à ladite puce,• Processing by the reader of said third information processed, to develop at least a fourth processed information and at least a fourth proof that the development of the fourth piece of information treated respects a law stored in the reader, and transmission by the reader of said fourth processed information and said second, third and fourth evidence to said chip,
• Lecture par la puce de ladite quatrième information traitée et desdites deuxième, troisième et quatrième preuves, et vérification que la quatrième information traitée respecte une loi mémorisée dans la puce pour en déduire, si ladite loi est respectée, que ladite première partie et ladite deuxième partie de l'information d'identification correspondent bien à ladite information d'identification,• Reading by the chip of said fourth processed information and said second, third and fourth proofs, and verifying that the fourth processed information respects a law stored in the chip to deduce, if said law is respected, that said first part and said second part of the identification information corresponds to the said identification information,
• Activation de la puce si ladite loi est respectée. L'invention est avantageusement complétée par les caractéristiques suivantes, prises seules ou en une quelconque de leur combinaison techniquement possible : - ladite première partie et ladite deuxième partie de l'information d'identification correspondent bien à ladite information d'identification lorsque l'information d'identification est la somme des première et deuxième parties de l'information d'identification ; - ladite correspondance est vérifiée lorsque l'information d'identification est la concaténation des première et deuxième parties de l'information d'identification, ou des deuxième et première parties de l'information d'identification ;• Activation of the chip if the said law is respected. The invention is advantageously completed by the following features, taken alone or in any of their technically possible combination: said first part and said second part of the identification information correspond to said identification information when the identification information is the sum of the first and second parts of the identification information; said correspondence is verified when the identification information is the concatenation of the first and second parts of the identification information, or the second and first parts of the identification information;
- chaque preuve est élaborée grâce à un protocole de preuve de connaissance à divulgation de connaissance nulle ;- each proof is elaborated thanks to a protocol of proof of knowledge to disclosure of knowledge null;
- le procédé comporte une étape de transmission par le lecteur de la première information traitée et de la première preuve au dispositif ;the method comprises a step of transmission by the reader of the first information processed and of the first proof to the device;
- le procédé comporte une étape de vérification par le dispositif des première et deuxième preuves ; - le procédé comporte une étape de vérification par la puce des deuxième, troisième et quatrième preuve ;the method comprises a step of verification by the device of the first and second proofs; the method comprises a verification step by the chip of the second, third and fourth proofs;
- l'élaboration de la première information traitée X* par la puce s'effectue en prenantthe elaboration of the first processed information X * by the chip takes place by taking
X* ^ Xx Upw où pw est l'information d'identification et U est un élément d'un groupe fini engendré par un entier g, g définissant de plus X tel que X=gx avec x un entier allant de 0 à q-1 avec q étant un entier définissant l'ordre du groupe.X * Xx ^ U pw where pw is the identification information and U is an element of a finite group generated by an integer g, g further defining X as X = g x where x is an integer ranging from 0 to q-1 with q being an integer defining the order of the group.
- l'élaboration de la première preuve zkpn par la puce s'effectue en prenant zkprx = ZKPOK(X*) où ZKPOK est un protocole de preuve de connaissance à divulgation de connaissance nulle,the elaboration of the first proof zkpn by the chip is carried out taking zkpr x = ZKPOK (X *) where ZKPOK is a proof of knowledge protocol with null knowledge disclosure,
- l'élaboration de la deuxième information traitée A et B par le lecteur s'effectue en prenantthe preparation of the second information processed A and B by the reader is carried out by taking
A = (x*/upw°y°A = (x * / u pw ° y °
B = Ua° où oco est une variable aléatoire comprise entre 0 et q-1 ; et pw0 est une première partie de l'information d'identificationB = U a ° where oco is a random variable between 0 and q-1; and pw 0 is a first part of the identification information
- l'élaboration de la deuxième preuve zkpr2 par le lecteur s'effectue en prenant zkpr2 = ZKPOK(A, B) - l'élaboration de la troisième information traitée Yi et Ki par le dispositif s'effectue en prenantthe preparation of the second proof zkpr 2 by the reader takes place taking zkpr 2 = ZKPOK (A, B) - the development of the third processed information Yi and Ki by the device is carried out taking
Y1 = g"1 etY 1 = g " 1 and
K1 = (AfB*"1 )"1 où ai est une variable aléatoire comprise entre 0 et q-1 ; et pwi est une deuxième partie de l'information d'identificationK 1 = (AfB * " 1 )" 1 where ai is a random variable between 0 and q-1; and pwi is a second part of the identification information
- l'élaboration de la troisième preuve zkpr3 par le dispositif s'effectue en prenant zkpr3 = ZKPOK(Y19K1)the development of the third proof zkpr 3 by the device takes place taking zkpr 3 = ZKPOK (Y 19 K 1 )
- l'élaboration de la quatrième information traitée Y et K s'effectue par le lecteur en prenantthe preparation of the fourth information processed Y and K is carried out by the reader taking
Figure imgf000007_0001
Figure imgf000007_0001
K = K1" où y est une variable aléatoire comprise entre 0 et q-1K = K 1 "where y is a random variable between 0 and q-1
- l'élaboration de la quatrième preuve zkpr4 par le lecteur s'effectue en prenant zkpr4 = ZKPOK(Y, K)the preparation of the fourth proof zkpr 4 by the reader takes place taking zkpr 4 = ZKPOK (Y, K)
- la vérification de la correspondance des parties pw0 et pwi avec pw s'effectue notamment en vérifiant quethe verification of the correspondence of the parts pw 0 and pwi with pw is carried out in particular by checking that
K = YX K = Y X
L'invention propose également un système de mise en œuvre du procédé.The invention also proposes a system for implementing the method.
L'invention présente les nombreux avantages suivants. L'information d'identification n'est jamais donnée dans son ensemble ni au lecteur ni au dispositif informatique. Aucun des dispositifs étrangers à la puce n'a l'information d'identification dans son ensemble. L'information d'identification est séparée en au moins deux parties, le lecteur et le dispositif n'ayant accès chacun qu'à une seule partie.The invention has the following numerous advantages. The identification information is never given as a whole to either the reader or the computing device. None of the non-chip devices have identification information as a whole. The identification information is separated into at least two parts, the reader and the device each having access to only one part.
Du fait que l'information d'identification est séparée en au moins deux parties fournies distinctement sur deux appareils séparés (le lecteur et le dispositif informatique), on augmente la confiance de l'utilisateur dans le système d'activation de la puce. En effet, les deux appareils précités sont souvent fabriqués par deux organisations différentes et comportent des parties logicielles et matérielles respectivement différentes. Il est par conséquent difficile de corrompre les deux organisations ou d'introduire un virus sur les deux appareils en même temps pour obtenir l'ensemble des caractéristiques ou l'ensemble de l'information d'identification de la puce. Si l'un des deux appareils est attaqué et qu'un attaquant arrive à connaître une première partie de l'information d'identification de la puce, il n'est pas possible pour l'attaquant, en appliquant la même méthode, d'apprendre une quelconque information sur la deuxième partie du mot de passe. Chaque partie de l'information d'identification est fournie sur un appareil différent. Chaque appareil effectue des calculs à partir de cette partie de l'information d'identification pour générer une information traitée. Il génère également une preuve que les calculs sont bien effectués selon une loi mémorisée dans l'appareil. Les échanges entre la puce et les appareils comportent les informations traitées et les preuves.Since the identification information is separated into at least two distinctly provided parts on two separate devices (the reader and the computing device), the user's confidence in the chip activation system is increased. Indeed, the two aforementioned devices are often manufactured by two different organizations and have different hardware and software parts respectively. It is therefore difficult to corrupt the two organizations or to introduce a virus on both devices at the same time to obtain the set of characteristics or all of the identification information of the chip. If one of the two devices is attacked and an attacker gets to know a first part of the identification information of the chip, it is not possible for the attacker, by applying the same method, of learn any information about the second part of the password. Each part of the identification information is provided on a different device. Each apparatus performs calculations from this portion of the identification information to generate processed information. It also generates proof that the calculations are done according to a law stored in the device. The exchanges between the chip and the devices include the information processed and the evidence.
Le traitement s'effectue notamment par la génération d'au moins une valeur d'exponentiation représentant une exponentiation des parties ou de l'ensemble de l'information d'identification. Les parties ou l'ensemble de l'information d'identification ne sont jamais échangés sous une valeur qui ne soit pas une exponentiation. Ils sont toujours cachés sous forme d'une exponentiation avant d'être échangés sur une connexion entre la puce, le lecteur et le dispositif. Il est mathématiquement difficile de remonter à une valeur en exposant dans une valeur d'exponentiation (c'est un problème mathématique connu et réputé difficile, appelé « problème du logarithme discret »). Ainsi, même si un attaquant récupère une valeur d'exponentiation, il aura des difficultés à retrouver la valeur de la partie ou de l'ensemble de l'information d'identification. La génération de la preuve s'effectue notamment par une application d'une fonction qui permet de faire la preuve des calculs des valeurs d'exponentiation. Cette fonction est un protocole de preuve de connaissance à divulgation de connaissance nulle. Le protocole de preuve de connaissance à divulgation de connaissance nulle montre notamment, dans notre cas, que la génération des valeurs d'exponentiation a été effectuée selon un calcul pré-établi par une loi, sans pour autant montrer les détails du calcul. Ainsi, même si un attaquant arrive à générer - d'une manière ou d'une autre - une valeur d'exponentiation cohérente avec les autres valeurs d'exponentiation, il aura des difficultés à créer une preuve correspondante qui sera acceptée par la puce, le lecteur et/ou le dispositif. De plus, même si l'attaquant arrive à intercepter une preuve, il n'arrivera pas à connaître la partie ou l'ensemble de l'information d'identification.The processing is carried out in particular by generating at least one exponentiation value representing an exponentiation of the parts or all of the identification information. Parts or all of the identifying information are never exchanged under a value that is not an exponentiation. They are always hidden as an exponentiation before being exchanged on a connection between the chip, the reader and the device. It is mathematically difficult to go back to a superscript value in an exponentiation value (this is a problem mathematical known and reputed difficult, called "discrete logarithm problem"). Thus, even if an attacker recovers an exponentiation value, he will have difficulty finding the value of the part or all of the identification information. The generation of the proof is carried out notably by an application of a function which makes it possible to prove the calculations of the values of exponentiation. This function is a proof of knowledge protocol with zero knowledge disclosure. The proof of knowledge protocol with null knowledge disclosure shows, in our case, that the generation of the exponentiation values was carried out according to a calculation pre-established by a law, without showing the details of the calculation. Thus, even if an attacker manages to generate - in one way or another - an exponentiation value consistent with the other exponentiation values, he will have difficulty creating a corresponding proof that will be accepted by the chip, the reader and / or the device. In addition, even if the attacker manages to intercept a piece of evidence, he will not be able to know the part or all of the identification information.
Préférentiellement, chaque message envoyé ou reçu par le dispositif informatique, ou reçu ou envoyé par la puce, est traité par le lecteur. Par conséquent, le point critique d'un système d'activation de la puce est le lecteur. Ce dernier voit passer et peut modifier toutes les communications venant ou à destination de la puce ou du dispositif. Si un attaquant arrive à corrompre le lecteur et à apprendre la partie de l'information d'identification renseignée sur l'interface du lecteur, on a vu qu'un procédé selon l'invention permet d'éviter que cet attaquant n'apprenne l'information d'identification dans son ensemble. En outre, l'attaquant ne peut activer la puce sans l'aide du dispositif informatique, à moins d'effectuer N/2 tentatives en moyenne de génération de parties de l'information d'identification, où N est le nombre de possibilités pour l'information d'identification. Or la puce peut être bloquée après trois tentatives erronées.Preferably, each message sent or received by the computing device, or received or sent by the chip, is processed by the reader. Therefore, the critical point of a chip activation system is the reader. The latter sees and can modify all the communications coming or going to the chip or the device. If an attacker manages to corrupt the reader and learn the part of the identification information entered on the interface of the reader, it has been seen that a method according to the invention makes it possible to prevent this attacker from learning the problem. identification information as a whole. In addition, the attacker can not activate the chip without the help of the computing device, unless performing N / 2 attempts on average generating parts of the credentials, where N is the number of possibilities for identification information. However, the chip can be blocked after three erroneous attempts.
De plus, la séparation en au moins deux parties est gérée de façon très simple pour l'utilisateur du support de la puce, et il suffit par exemple de diviser l'information d'identification en deux parties telles que par exemple la concaténation des deux parties donne l'information d'identification complète.In addition, the separation into at least two parts is managed in a very simple way for the user of the support of the chip, and it suffices for example to divide the identification information into two parts such as for example the concatenation of the two parts gives the complete identification information.
PRESENTATION DES FIGURESPRESENTATION OF FIGURES
D'autres caractéristiques, buts et avantages de l'invention ressorti ront de la description qui suit, qui est purement illustrative et non limitative et qui doit être lue en regard des dessins annexés sur lesquels :Other features, objects and advantages of the invention will emerge from the description which follows, which is purely illustrative and nonlimiting and which should be read with reference to the appended drawings in which:
- la figure 1 représente schématiquement un système d'activation d'une puce électronique comportant un lecteur relié à un dispositif informatique ; et - la figure 2 est un schéma bloc représentant les différentes étapes possibles d'un procédé d'activation selon l'invention.FIG. 1 diagrammatically represents an activation system of an electronic chip comprising a reader connected to a computing device; and FIG. 2 is a block diagram showing the various possible steps of an activation method according to the invention.
Sur l'ensemble des figures, des éléments similaires portent des références numériques identiques.In all the figures, similar elements bear identical reference numerals.
DESCRIPTION DETAILLEE La figure 1 représente schématiquement un système d'activation d'une puce 10 électronique d'un support d'identification 1.DETAILED DESCRIPTION FIG. 1 schematically represents an activation system of an electronic chip of an identification medium 1.
Le support d'identification peut être de tout type. Il peut être une carte à puce, un module de sécurité, un téléphone mobile, un assistant personnelThe identification medium can be of any type. It can be a smart card, a security module, a mobile phone, a personal assistant
(PDA - Personal Digital Assistant), un TPM (Trusted Platform Module), une SD card (Secure Digital Card), une carte UICC (Universal Integrated Circuit(PDA - Personal Digital Assistant), Trusted Platform Module (TPM), Secure Digital Card (SD card), Universal Integrated Circuit (UICC) card
Card) ou MMC (Multi Media Card) sécurisée selon les terminologies employées par l'homme du métier.Card) or MMC (Multi Media Card) secured according to the terminologies employed by those skilled in the art.
Une information d'identification pw est mémorisée dans la puce 10.Identification information pw is stored in the chip 10.
Ladite information pw peut par exemple être un mot de passe (pw ou « password » selon la terminologie anglaise utilisée par l'homme du métier) d'activation de la puce. Le mot de passe peut également être par exemple le numéro d'identification personnel (PIN « Personal Identification Number » selon la terminologie anglaise).Said information pw may for example be a password (pw or "password" according to the English terminology used by those skilled in the art) activation of the chip. The password may also be for example the personal identification number (PIN).
La puce 10 comporte des moyens 11 aptes à effectuer toutes les étapes décrites dans les développements suivants, notamment les étapes de calculs, de traitement et d'activation. Les moyens 11 sont aptes à lire des informations traitées. Les moyens 11 sont également aptes à vérifier que ces informations traitées respectent une loi mémorisée dans la puce pour en déduire, si ladite loi est respectée, que des parties pw0 et pwi de l'information d'identification (décrites plus en détail par la suite) correspondent bien à ladite information d'identification pw. Les moyens 11 sont également aptes à activer la puce si ladite loi est respectée. Le système comporte un lecteur 2 apte à lire la puce 10 du support 1.The chip 10 comprises means 11 capable of performing all the steps described in the following developments, in particular the calculation, processing and activation steps. The means 11 are able to read processed information. Means 11 are also able to verify that this processed information respects a law stored in the chip to deduce from this, if said law is respected, that parts pw 0 and pwi of the identification information (described in more detail below) correspond to said identification information pw. The means 11 are also able to activate the chip if said law is respected. The system comprises a reader 2 capable of reading the chip 10 of the support 1.
Le lecteur peut par exemple comporter des moyens 20 dans lesquels le support 1 peut être introduit. D'autres exemples de moyens de lecture sont possibles, par exemple des moyens sans contact du type identification par radiofréquence RFID (Radio Frequency Identification). Le lecteur 2 comporte des moyens 21 d'interface permettant à un utilisateur de fournir une information d'identification. Les moyens 21 sont par exemple du type clavier, pavé numérique, moyens magnétiques, biométriques ou à reconnaissance vocale ou sonore.The reader may for example comprise means 20 in which the support 1 can be introduced. Other examples of reading means are possible, for example contactless means of the Radio Frequency Identification (RFID) identification type. The reader 2 comprises interface means 21 enabling a user to provide identification information. The means 21 are for example keyboard type, keypad, magnetic means, biometric or voice or sound recognition.
Le lecteur 2 comporte des moyens 23 permettant la transmission d'informations du lecteur vers la puce 10, et réciproquement.The reader 2 comprises means 23 allowing the transmission of information from the reader to the chip 10, and vice versa.
Le lecteur 2 comporte en outre des moyens 22 aptes à traiter une première partie pw0 de l'information d'identification fournie aux moyens 21 d'interface du lecteur 2 pour élaborer au moins une deuxième et une quatrième informations traitées et élaborer au moins une deuxième et une quatrième preuves (décrites plus en détail dans la suite de la présente description).The reader 2 further comprises means 22 able to process a first portion pw 0 of the identification information supplied to the interface 21 of the reader 2 means to develop at least a second and a fourth processed information and develop at least one second and fourth proofs (described in more detail later in this description).
Le système comporte également un dispositif 3 informatique, qui peut être par exemple un ordinateur ou un serveur.The system also includes a computer device 3, which can be for example a computer or a server.
Le dispositif 3 comporte des moyens 31 d'interface permettant à l'utilisateur de fournir une information d'identification. Les moyens 31 sont par exemple du type clavier, pavé numérique, moyens magnétiques, biométriques ou à reconnaissance vocale ou sonore.The device 3 comprises interface means 31 enabling the user to provide identification information. The means 31 are for example keyboard type, keypad, magnetic means, biometric or voice or sound recognition.
Le dispositif 3 comporte des moyens 32 aptes à traiter une deuxième partie pwi de l'information d'identification fournie aux moyens 31 d'interface du dispositif 3 pour élaborer au moins une troisième information traitée et au moins une troisième preuve (décrites plus en détail dans la suite de la présente description). Le dispositif 3 est relié au lecteur 2 par les moyens 4 permettant la transmission d'informations du lecteur 2 vers le dispositif 3, et réciproquement. Les moyens 4 sont par exemple du type filaire et fonctionnent selon un protocole TCP/IP (Transmission Contrai Protocol Internet Protocol), ou du type non filaire et fonctionnent selon un protocole Wi-fi (Wireless Fidelity) ou IrDA (Infrared Data Association).The device 3 comprises means 32 able to process a second part pwi of the identification information supplied to the interface means 31 of the device 3 to produce at least a third piece of processed information and at least a third piece of evidence (described in more detail). in the following description). The device 3 is connected to the reader 2 by the means 4 allowing the transmission of information from the reader 2 to the device 3, and vice versa. The means 4 are for example of the wired type and operate according to a TCP / IP (Transmission Contrai Protocol Internet Protocol), or non-wired type and operate according to a Wi-fi protocol (Wireless Fidelity) or IrDA (Infrared Data Association).
La transmission d'informations entre la puce 10 et le dispositif 3 - et réciproquement - s'effectue par l'intermédiaire du lecteur 2, le dispositif ou la puce transmettant d'abord les informations au lecteur qui les transmet ensuite à la puce ou au dispositif.The transmission of information between the chip 10 and the device 3 - and vice versa - is carried out via the reader 2, the device or the chip transmitting the information first to the reader who then transmits them to the chip or device. device.
Le système de la figure 1 permet la mise en œuvre d'un procédé d'activation d'une puce selon lequel, et comme le montre la figure 2, la puce établit, lors d'une étape 100, une correspondance entre d'une part l'information d'identification pw et d'autre part une première partie pw0 et une deuxième partie pwi de l'information d'identification.The system of FIG. 1 makes it possible to implement a method for activating a chip according to which, as shown in FIG. 2, the chip establishes, during a step 100, a correspondence between a from the identification information pw and secondly a first part pw 0 and a second part pwi of the identification information.
Les calculs de l'invention décrits dans les développements qui suivent sont effectués dans un groupe fini engendré par un entier g. Le groupe est ainsi l'ensemble des g', pour i un entier allant de 0 à q-1. On appelle q l'ordre du groupe, q étant préférentiel lement premier. Le groupe est noté multiplicativement. L'opération du groupe est notéeThe calculations of the invention described in the following developments are carried out in a finite group generated by an integer g. The group is thus the set of g ', for i an integer going from 0 to q-1. We call q the order of the group, q being preferentially first. The group is noted multiplicatively. The operation of the group is noted
« x » (fois). Un exemple d'un tel groupe est l'ensemble formé pour g' modulo p, où p est un grand premier et q est un diviseur de p-1. L'opération de groupe est alors la multiplication modulaire modulo p."X" (times). An example of such a group is the set formed for g 'modulo p, where p is a large prime and q is a divisor of p-1. The group operation is then the modular multiplication modulo p.
On appelle U un élément du groupe. On appelle Zq l'ensemble des entiers compris entre 0 et q-1.We call U an element of the group. We call Z q the set of integers between 0 and q-1.
La correspondance est établie ainsi : l'information d'identification pw est la somme des première et deuxième parties pw0 et pwi de l'information d'identification pw. La somme correspond préférentiellement à la concaténation des première et deuxième parties pw0 et pwi de l'information d'identification pw.The correspondence is established as follows: the identification information pw is the sum of the first and second parts pw 0 and pwi of the identification information pw. The sum preferably corresponds to the concatenation of the first and second parts pw 0 and pwi of the identification information pw.
L'établissement du couple pw0 et pwi séparant l'information d'identification en deux parties peut s'écrire : pw = (pw0 -l- pwjmod q où mod indique le moduloThe establishment of the pair pw 0 and pwi separating the identification information into two parts can be written as: pw = (pw 0 -l- pwjmod q where mod indicates the modulo
II faut noter que pw0 et pwi ne sont pas fixes et peuvent être modifiées par l'utilisateur à chaque activation de la puce. La puce connaît la loi reliant pw0 et pwi correspondant à pw.It should be noted that pw 0 and pwi are not fixed and can be modified by the user at each activation of the chip. The chip knows the law connecting pw 0 and pwi corresponding to pw.
Lors d'une étape 110, la puce 10 choisit une variable x aléatoire comprise entre 0 et q-1. Ce choix s'écrit mathématiquement :In a step 110, the chip 10 selects a random variable x between 0 and q-1. This choice is written mathematically:
La puce 10 construit ensuite une variable X telle que : X = gx Chip 10 then builds a variable X such that: X = g x
Lors d'une étape 111 , la puce 10 traite l'information d'identification pw, pour élaborer une première information traitée. Une telle étape de traitement comporte la génération d'au moins une valeur d'exponentiationIn a step 111, the chip 10 processes the identification information pw, to develop a first processed information. Such a processing step comprises generating at least one exponentiation value
X* représentant une exponentiation de l'information d'identification. Une telle génération peut s'exprimer par :X * representing an exponentiation of the identification information. Such a generation can be expressed by:
X* ^ Xx Upw X * ^ Xx U pw
(l'opérateur x entre X et Upw correspond à l'opérateur « fois » mentionné ci-dessus).(the operator x between X and U pw corresponds to the "times" operator mentioned above).
Lors d'une étape 112, la puce élabore une première preuve zkpn pour prouver au lecteur 2 et/ou au dispositif 3 que le calcul de X* a été effectué correctement, c'est-à-dire selon une loi mémorisée dans la puce.During a step 112, the chip produces a first proof zkpn to prove to the reader 2 and / or the device 3 that the calculation of X * has been carried out correctly, that is to say according to a law stored in the chip .
Avantageusement, la fonction qui permet de faire la preuve d'un calcul d'exponentiation - comme par exemple X* - est un protocole de preuve de connaissance à divulgation de connaissance nulle (ZKPOK « zéro knowledge - proof of knowledge » selon la terminologie anglo-saxonne généralement utilisée par l'homme du métier). La preuve ainsi élaborée permet de prouver que la valeur calculée a bien été calculée selon une loi particulière, sans donner d'informations sur les calculs.Advantageously, the function that makes it possible to prove an exponentiation calculation - such as for example X * - is a proof of knowledge protocol with zero knowledge disclosure (ZKPOK "zero knowledge - proof of knowledge" according to the English terminology -saxonne generally used by those skilled in the art). The proof thus elaborated makes it possible to prove that the calculated value was indeed calculated according to a particular law, without giving information on the calculations.
Une entité - comme par exemple le lecteur 2 ou le dispositif 3 comme on le verra dans la suite de la présente description - qui obtient l'information traitée X* et une preuve y relative, sait, grâce à la preuve, que l'information X* a été générée correctement par la puce, sans pour autant obtenir d'informations sur les calculs permettant la génération de la valeur d'exponentiation X*. L'entité ne peut donc pas remonter à l'information d'identification pw. II existe plusieurs protocoles connus de preuve de connaissance à divulgation de connaissance nulle. Il est alors possible d'en sélectionner un quelconque, pour autant que le protocole sélectionné soit le même sur la puce, le lecteur et le dispositif.An entity - as for example the reader 2 or the device 3 as will be seen in the remainder of the present description - which obtains the processed information X * and a related proof, knows, thanks to the proof, that the information X * was generated correctly by the chip, without obtaining information on the calculations allowing the generation of the exponentiation value X *. The entity can not therefore go back to the identification information pw. There are several known knowledge proof protocols with zero knowledge disclosure. It is then possible to select any one, provided that the selected protocol is the same on the chip, the reader and the device.
L'application du protocole ZKPOK pour la génération de la première preuve s'écrit : zkprx = ZKPOK(X*)The application of the ZKPOK protocol for the generation of the first proof is written: zkpr x = ZKPOK (X *)
La première preuve zkpn permet de montrer que la puce connaît des variables δ et Y telles que X*=gδUγ, ce qui peut s'écrire mathématiquement par : zkprx = ZKPOK(δ ,y : X* = gδ£/γ) ce qui correspond bien à l'élaboration de X*.The first proof zkpn makes it possible to show that the chip knows variables δ and Y such that X * = g δ U γ , which can be written mathematically by: zkpr x = ZKPOK (δ, y: X * = g δ £ / γ) which corresponds to the development of X *.
Ladite première information traitée X* et la première preuve zkpn sont ensuite transmises, lors d'une étapes 113, par la puce 10 au lecteur 2, grâce aux moyens 23. Une étape 114 est la transmission, par le lecteur 2, de la première information traitée X* et de la première preuve zkpn au dispositif informatique 3. La transmission se fait par les moyens 4.Said first processed information X * and the first proof zkpn are then transmitted, in a step 113, by the chip 10 to the reader 2, thanks to the means 23. A step 114 is the transmission, by the reader 2, of the first processed information X * and the first proof zkpn to the computing device 3. The transmission is done by the means 4.
Lors d'une étape référencée par 115 sur la figure 2, l'utilisateur fournit aux moyens 21 d'interface du lecteur 2 la première partie pw0 de l'information d'identification pw. Lors de l'étape 115, l'utilisateur fournit également aux moyens 31 d'interface du dispositif 3 la deuxième partie pwi de l'information d'identification pw.During a step referenced 115 in FIG. 2, the user supplies the interface means 21 of the reader 2 with the first part pw 0 of the identification information pw. In step 115, the user also provides the interface means 31 of the device 3 with the second part pwi of the identification information pw.
Lors d'une étape 210, le lecteur 2 choisit des variables y et α0 aléatoires comprises entre 0 et q-1. Ce choix s'écrit mathématiquement : y,an <r^—Za On comprend que l'étape 210 peut être effectuée avant ou après l'étape 115.During a step 210, the reader 2 selects random variables y and α 0 between 0 and q-1. This choice is written mathematically: y, a n <r ^ -Z a It is understood that step 210 can be performed before or after step 115.
Le dispositif 3 choisit, lors d'une étape 310, une variable ai aléatoire et comprise entre 0 et q-1. Ce choix s'écrit mathématiquement : (X1 <^—Zq The device 3 chooses, during a step 310, a random variable ai and between 0 and q-1. This choice is written mathematically: (X 1 <^ - Z q
On comprend que les étapes 115, 210, et 310 peuvent être effectuées dans un ordre quelconque et à un moment quelconque entre l'étape 110 et une étape 211 décrite ci-dessous.It is understood that steps 115, 210, and 310 can be performed in any order and at any time between step 110 and step 211 described below.
Lors d'une étape 211 , subséquente à l'étape 113 déjà décrite, le lecteur 2 traite ladite première partie pw0 de l'information d'identification pour élaborer au moins une deuxième information traitée.During a step 211, subsequent to the step 113 already described, the reader 2 processes said first portion pw 0 of the identification information to develop at least a second processed information.
Le traitement comporte la génération d'au moins une valeur d'exponentiation A représentant une exponentiation de la partie pwoet d'une deuxième information traitée auxiliaire B. Cette génération s'écrit :The processing comprises generating at least one exponentiation value A representing an exponentiation of the pw o portion and a second auxiliary processed information B. This generation is written as follows:
A = (x*/upw°y° B = Ua°A = (x * / u pw ° y ° B = U a °
Lors d'une étape 212, le lecteur élabore une deuxième preuve zkpr2 pour prouver à la puce 10 et/ou au dispositif 3 que les calculs de A et B ont été effectués correctement, c'est-à-dire selon une loi mémorisée dans le lecteur. Avantageusement, la fonction qui permet de faire la preuve des calculs d'exponentiation de A et B est un protocole de preuve de connaissance à divulgation de connaissance nulle (ZKPOK).During a step 212, the reader prepares a second proof zkpr 2 to prove to the chip 10 and / or the device 3 that the calculations of A and B have been carried out correctly, that is to say according to a stored law in the player. Advantageously, the function that makes it possible to prove the exponentiation calculations of A and B is a ZKPOK proof protocol.
L'application du protocole ZKPOK pour l'élaboration de la deuxième preuve s'écrit : zkpr2 = ZKPOK(A, B)The application of the ZKPOK protocol for the development of the second proof is written: zkpr 2 = ZKPOK (A, B)
La deuxième preuve zkpr2 permet de montrer que le lecteur connaît des variables α et β telles que A=X*αUβ et B=Uα ce qui peut s'écrire mathématiquement par : zkpr2 =
Figure imgf000016_0001
The second proof zkpr 2 shows that the reader knows variables α and β such that A = X * α U β and B = U α which can be written mathematically by: zkpr 2 =
Figure imgf000016_0001
Lors d'une étape 213, le lecteur 2 transmet ladite deuxième information traitée A, la deuxième information traitée auxiliaire B et la deuxième preuve zkpr2 au dispositif 3 grâce aux moyens 4. Lors d'une étape 311 , comprise après l'étape 114 de transmission de la première information traitée X* et de la première preuve zkpn par le lecteur 2, et après l'étape 310, le dispositif informatique 3 génère une valeur d'exponentiation Yi telle que :During a step 213, the reader 2 transmits said second processed information A, the second auxiliary processed information B and the second proof zkpr 2 to the device 3 thanks to the means 4. During a step 311, understood after the step 114 transmitting the first processed information X * and the first proof zkpn by the reader 2, and after the step 310, the computing device 3 generates an exponentiation value Yi such that:
Y, = g- On comprend que l'étape 114 peut se dérouler avant ou après les étapes 211 et 212. L'étape 311 peut donc se dérouler après l'étape 312 décrite ci-dessous.Y = g It is understood that step 114 can take place before or after steps 211 and 212. Step 311 can therefore take place after step 312 described below.
Lors d'une étape 312, subséquente à l'étape 213 et 114, le dispositif 3 vérifie les preuves zkpn et zkpr2 grâce aux moyens 32. La vérification des preuves zkpn et zkpr2 permet de vérifier que les première et deuxième informations traitées ont été créées correctement afin de pallier à des attaques au cours desquelles le dispositif 3 dévoilerait des informations alors utiles à un lecteur 2 corrompu.In a step 312, subsequent to the steps 213 and 114, the device 3 verifies the proofs zkpn and zkpr 2 by the means 32. The verification of the proofs zkpn and zkpr 2 makes it possible to verify that the first and second information processed have were created correctly in order to mitigate attacks during which the device 3 would reveal information then useful to a corrupted reader 2.
Le dispositif 3 connaît les informations traitées X*, A et B, et sait que ces informations ont été créées correctement. Le dispositif 3 ne connaît cependant rien quant aux valeurs pw, pw0 ou pw qui ont servi à la création des informations traitées.The device 3 knows the processed information X *, A and B, and knows that this information has been created correctly. However, the device 3 knows nothing about the values pw, pw 0 or pw that were used to create the processed information.
Lorsque l'étape 312 est validée, le dispositif 3 passe à une étape 313. Si l'étape 312 n'est pas validée, à savoir si une des deux preuves n'est pas bonne, alors le dispositif 3 passe à une étape 315 selon laquelle un message peut être envoyé à l'utilisateur pour l'avertir d'une fourniture erronée d'une partie de l'information d'identification, ou d'un problème éventuel de corruption d'un des appareils du système. Un message peut également être envoyé à destination de la puce. La puce peut alors mettre à jour un compteur qui compte le nombre d'échecs dans la vérification des preuves après une nouvelle fourniture des parties de l'information d'identification. La puce peut donc déclencher une politique prédéfinie, par exemple le blocage de la puce après trois échecs.When the step 312 is enabled, the device 3 goes to a step 313. If the step 312 is not validated, namely if one of the two proofs is not good, then the device 3 goes to a step 315 according to which a message may be sent to the user to warn him of a faulty provision of part of the identification information, or of a possible problem of corruption of one of the devices of the system. A message can also be sent to the chip. The chip can then update a counter that counts the number of failures in the verification of evidence after a new supply of the parts of the identification information. The chip can therefore trigger a predefined policy, for example blocking the chip after three failures.
Lors de l'étape 313, le dispositif 3 traite la deuxième partie pwi de l'information d'identification pour élaborer au moins une autre valeur d'exponentiation Ki telle que :In step 313, the device 3 processes the second part pwi of the identification information to form at least one other exponentiation value Ki such that:
K1 = (AfB*"1 )*1 K 1 = (AfB * " 1 ) * 1
Yi et Ki représentent une troisième information traitée.Yi and Ki represent third processed information.
Lors d'une étape 314, le dispositif 3 élabore une troisième preuve zkpr3 pour prouver notamment à la puce 10 que les calculs de Yi et Ki ont été effectués correctement, c'est-à-dire selon une loi mémorisée dans le dispositif.During a step 314, the device 3 produces a third proof zkpr 3 to prove in particular to the chip 10 that the calculations of Yi and Ki were performed correctly, that is to say according to a law stored in the device.
Avantageusement, la fonction qui permet de faire la preuve des calculs d'exponentiation de Yi et Ki est un protocole de preuve de connaissance à divulgation de connaissance nulle (ZKPOK).Advantageously, the function that makes it possible to prove the exponentiation calculations of Yi and Ki is a ZKPOK proof protocol.
L'application du protocole ZKPOK pour l'élaboration de la troisième preuve s'écrit : zkpr3 = ZKPOK(Y15K1)The application of the ZKPOK protocol for the elaboration of the third proof is written: zkpr 3 = ZKPOK (Y 15 K 1 )
La troisième preuve zkpr3 permet de montrer que le dispositif connaît des variables α' et β' telles que Ki=AαBβ et Yi=gd , ce qui peut s'écrire mathématiquement par :The third proof zkpr 3 helps to show that the device knows the variables α 'and β' such as Ki = A B α β and Yi = g, which can be expressed mathematically as:
Figure imgf000017_0001
Figure imgf000017_0001
Lors d'une étape 316, ladite troisième information traitée Yi et Ki et la troisième preuve zkpr3 sont transmises au lecteur 2 via les moyens 4. Lors d'une étape 214, subséquente à l'étape 316, le lecteur 2 génère une quatrième information traitée grâce aux valeurs Yi et Ki, reçues du dispositif 3. L'élaboration de la quatrième information traitée s'écrit :In a step 316, said third processed information Yi and Ki and the third proof zkpr 3 are transmitted to the reader 2 via the means 4. In a step 214, subsequent to the step 316, the reader 2 generates a fourth information processed thanks to the values Yi and Ki, received from the device 3. The development of the fourth information processed is written:
Figure imgf000017_0002
Figure imgf000017_0002
K = K1" Lors d'une étape 215, le lecteur 2 élabore une quatrième preuve zkpr4 avantageusement grâce à un protocole ZKPOK qui s'écrit : zkpr4 = ZKPOK(Y, K)K = K 1 " During a step 215, the reader 2 elaborates a fourth proof zkpr 4 advantageously thanks to a protocol ZKPOK which is written: zkpr 4 = ZKPOK (Y, K)
La quatrième preuve zkpr4 permet de montrer que le lecteur connaît des variables μ et v telles que K=K/ et Y=Y/ ce qui peut s'écrire mathématiquement par :The fourth proof zkpr 4 shows that the reader knows variables μ and v such that K = K / and Y = Y / which can be written mathematically by:
zkprA
Figure imgf000018_0001
zkpr A
Figure imgf000018_0001
Lors d'une étape 216, le lecteur 2 transmet à la puce 10 la quatrième information traitée Y, K et les preuves zkpr2, zkpr3 et zkpr4. Lors d'une étape 116, subséquente à l'étape 216, la puce effectue une vérification des preuves zkpr2, zkpr3, zkpr4 grâce aux moyens 11. La vérification des preuves zkpr2, zkpr3, zkpr4 permet de vérifier que les deuxième, troisième et quatrième informations traitées ont été créées correctement, afin d'éviter certaines attaques. Grâce à l'étape 116, la puce 10 connaît notamment la quatrième information traitée Y et K, et peut valider que cette information a été créée correctement.In a step 216, the reader 2 transmits to the chip 10 the fourth processed information Y, K and the proofs zkpr 2 , zkpr 3 and zkpr 4 . In a step 116, subsequent to step 216, the chip performs a verification of the proofs zkpr 2 , zkpr 3 , zkpr 4 by the means 11. The proof verification zkpr 2 , zkpr 3 , zkpr 4 makes it possible to verify that the second, third, and fourth processed information was created correctly, to avoid certain attacks. Thanks to step 116, the chip 10 knows in particular the fourth processed information Y and K, and can validate that this information has been created correctly.
Lorsque l'étape 116 est validée, le dispositif 3 passe à une étape 118. Si l'étape 116 n'est pas validée, à savoir si une au moins des trois preuves n'est pas bonne, alors la puce 10 passe à une étape 117 selon laquelle un message peut être envoyé à l'utilisateur pour l'avertir d'une fourniture erronée d'une partie de l'information d'identification, ou d'un problème éventuel de corruption d'un des appareils du système. La puce peut alors mettre à jour un compteur qui compte le nombre d'échecs dans la vérification des preuves après une nouvelle fourniture des parties de l'information d'identification. La puce peut donc déclencher une politique prédéfinie, par exemple le blocage de la puce après trois échecs. Lors d'une étape 118, la puce vérifie que :When the step 116 is enabled, the device 3 goes to a step 118. If the step 116 is not validated, namely if at least one of the three proofs is not good, then the chip 10 goes to a step 117, according to which a message may be sent to the user to warn him of an erroneous provision of part of the identification information, or of a possible problem of corruption of one of the apparatuses of the system. The chip can then update a counter that counts the number of failures in the verification of the evidence after a new provision of the credentials parts. The chip can therefore trigger a predefined policy, for example blocking the chip after three failures. During a step 118, the chip verifies that:
K = YX Lorsque les étapes de vérification 116 et 118 ont été effectuées et sont validées, la puce est assurée que le lecteur et le dispositif sont fiables, et que les parties pw0 et pwi correspondent bien aux parties de l'information d'identification pw. La puce peut donc être activée lors d'une étape 119 et les transactions, par exemple bancaires, peuvent commencer.K = Y X When the verification steps 116 and 118 have been performed and are validated, the chip is assured that the reader and the device are reliable, and that the portions pw 0 and pwi correspond to the portions of the identification information pw. The chip can therefore be activated during a step 119 and transactions, for example banking, can begin.
Si l'étape 118 n'est pas validée, alors la carte passe à l'étape 117 déjà décrite.If step 118 is not validated, then the card proceeds to step 117 already described.
Les développements qui précèdent s'appliquent avantageusement à un support d'identification sécurisé. On comprend que le support peut être une carte à puce, par exemple du type carte bancaire de paiement ou de retrait d'argent, mais également un module de sécurité, un téléphone mobile, un assistant personnel (PDA), un TPM, une SD-card, une carte UICC ou une carte MMC sécurisée.The foregoing developments advantageously apply to a secure identification medium. It is understood that the support may be a smart card, for example the credit card type of payment or withdrawal of money, but also a security module, a mobile phone, a personal assistant (PDA), a TPM, an SD -card, a UICC card, or a secure MMC card.
Les développements qui précèdent s'appliquent avantageusement à une séparation de l'information d'identification en deux parties. On peut également séparer cette information en plus de deux parties sur des dispositifs supplémentaires. The preceding developments advantageously apply to a separation of the identification information into two parts. This information can also be separated into more than two parts on additional devices.

Claims

REVENDICATIONS
1. Procédé d'activation d'une puce (10) électronique d'un support d'identification (1 ), une information d'identification (pw) étant mémorisée dans la puce, la puce étant apte à être lue par un lecteur (2) relié à un dispositif (3) informatique, le lecteur (2) et le dispositif (3) comportant chacun des moyens (21 , 31 ) d'interface permettant à un utilisateur de fournir une information d'identification, caractérisé en ce que le procédé comporte les étapes suivantes :1. A method for activating an electronic chip (10) of an identification medium (1), an identification information (pw) being stored in the chip, the chip being readable by a reader ( 2) connected to a computer device (3), the reader (2) and the device (3) each comprising interface means (21, 31) enabling a user to provide identification information, characterized in that the method comprises the following steps:
• Fourniture d'une première partie (pw0) de l'information d'identification (pw) aux moyens (21 ) d'interface du lecteur (2),• Providing a first part (pw 0 ) of the identification information (pw) to the interface means (21) of the reader (2),
• Fourniture d'une deuxième partie (pw-i) de l'information d'identification (pw) aux moyens (31 ) d'interface du dispositif (3), • Traitement par la puce (10) de l'information d'identification (pw), pour élaborer au moins une première information traitée et au moins une première preuve que l'élaboration de la première information traitée respecte une loi mémorisée dans la puce, et transmission par la puce de ladite première information traitée et de ladite première preuve audit lecteur (2),• Providing a second part (pw-i) of the identification information (pw) to the interface means (31) of the device (3), • Processing by the chip (10) of the information of identification (pw), to develop at least a first processed information and at least a first evidence that the development of the first processed information respects a law stored in the chip, and transmission by the chip of said first processed information and said first proof to said reader (2),
• Traitement par le lecteur (2) de ladite première partie (pw0) de l'information d'identification et de ladite première information traitée, pour élaborer au moins une deuxième information traitée et au moins une deuxième preuve que l'élaboration de la deuxième information traitée respecte une loi mémorisée dans le lecteur, et transmission par le lecteur (2) de ladite deuxième information traitée et de ladite deuxième preuve audit dispositif (3),• Processing by the reader (2) of said first part (pw 0 ) of the identification information and said first processed information, to develop at least a second processed information and at least a second proof that the development of the second processed information respects a law stored in the reader, and transmission by the reader (2) of said second processed information and said second evidence to said device (3),
• Traitement par le dispositif (3) de ladite deuxième partie (pw-i) de l'information d'identification et de ladite deuxième information traitée, pour élaborer au moins une troisième information traitée et au moins une troisième preuve que l'élaboration de la troisième information traitée respecte une loi mémorisée dans le dispositif, et transmission par le dispositif de ladite troisième information traitée et de ladite troisième preuve audit lecteur,• Processing by the device (3) of said second part (pw-i) of the identification information and said second processed information, to develop at least a third processed information and at least a third proof that the development of the third information processed respects a law stored in the device, and transmission by the device of said third processed information and said third evidence to said reader,
• Traitement par le lecteur (2) de ladite troisième information traitée, pour élaborer au moins une quatrième information traitée et au moins une quatrième preuve que l'élaboration de la quatrième information traitée respecte une loi mémorisée dans le lecteur, et transmission par le lecteur (2) de ladite quatrième information traitée et desdites deuxième, troisième et quatrième preuves à ladite puce (10),• Processing by the reader (2) of said third information processed to develop at least a fourth processed information and at least a fourth proof that the development of the fourth processed information respects a law stored in the reader, and transmission by the reader (2) said fourth processed information and said second, third and fourth evidence to said chip (10),
• Lecture par la puce de ladite quatrième information traitée et desdites deuxième, troisième et quatrième preuves, et vérification que la quatrième information traitée respecte une loi mémorisée dans la puce pour en déduire, si ladite loi est respectée, que ladite première partie (pw0) et ladite deuxième partie (pw-i) de l'information d'identification correspondent bien à ladite information d'identification (pw), • Activation de la puce si ladite loi est respectée.• Reading by the chip of said fourth processed information and said second, third and fourth proofs, and verifying that the fourth processed information respects a law stored in the chip to deduce, if said law is respected, that said first part (pw 0 ) and said second part (pw-i) of the identification information corresponds to said identification information (pw), • Activation of the chip if said law is respected.
2. Procédé selon la revendication précédente, dans lequel ladite première partie (pw0) et ladite deuxième partie (pw-i) de l'information d'identification correspondent bien à ladite information d'identification (pw) lorsque l'information d'identification est la somme des première (pw0) et deuxième (pwi) parties de l'information d'identification (pw).2. Method according to the preceding claim, wherein said first part (pw 0 ) and said second part (pw-i) of the identification information correspond to said identification information (pw) when the information of identification is the sum of the first (pw 0 ) and second (pwi) parts of the identification information (pw).
3. Procédé selon la revendication 1 , dans lequel ladite correspondance est vérifiée lorsque l'information d'identification est la concaténation des première (pw0) et deuxième (pw-i) parties de l'information d'identification (pw), ou des deuxième (pw-i) et première (pw0) parties de l'information d'identification (pw).The method of claim 1, wherein said correspondence is verified when the identifying information is the concatenation of the first (pw 0 ) and second (pw-i) portions of the identification information (pw), or second (pw-i) and first (pw 0 ) portions of the identification information (pw).
4. Procédé selon l'une des revendications précédentes, dans lequel chaque preuve est élaborée grâce à un protocole de preuve de connaissance à divulgation de connaissance nulle. 4. Method according to one of the preceding claims, wherein each proof is developed through a proof of knowledge protocol with zero knowledge disclosure.
5. Procédé selon l'une des revendications précédentes, comportant une étape de transmission par le lecteur (2) de la première information traitée et de la première preuve au dispositif.5. Method according to one of the preceding claims, comprising a step of transmission by the reader (2) of the first processed information and the first evidence to the device.
6. Procédé selon la revendication précédente, comportant une étape de vérification par le dispositif (3) des première et deuxième preuves.6. Method according to the preceding claim, comprising a step of verification by the device (3) of the first and second proofs.
7. Procédé selon l'une des revendications précédentes, comportant une étape de vérification par la puce (10) des deuxième, troisième et quatrième preuve).7. Method according to one of the preceding claims, comprising a verification step by the chip (10) of the second, third and fourth proof).
8. Procédé selon l'une des revendications précédentes, dans lequel8. Method according to one of the preceding claims, wherein
• L'élaboration de la première information traitée X* par la puce s'effectue en prenant X* ^ X x Upw où pw est l'information d'identification et U est un élément d'un groupe fini engendré par un entier g, g définissant de plus X tel que X=gx avec x un entier allant de 0 à q-1 avec q étant un entier définissant l'ordre du groupe.• The development of the first processed information X * by the chip is carried out by taking X * X ^ x U where pw pw is the identification information and U is an element of a finite group generated by an integer g , g further defining X such that X = g x with x an integer from 0 to q-1 with q being an integer defining the order of the group.
• L'élaboration de la première preuve zkpn par la puce s'effectue en prenant zkprx = ZKPOK(X*) où ZKPOK est un protocole de preuve de connaissance à divulgation de connaissance nulle,• The development of the first proof zkpn by the chip is done by taking zkpr x = ZKPOK (X *) where ZKPOK is a knowledge proof protocol with null knowledge disclosure,
• L'élaboration de la deuxième information traitée A et B par le lecteur s'effectue en prenant• The preparation of the second information processed A and B by the reader is done by taking
A = (x*/upw°y°A = (x * / u pw ° y °
B = Ua° où OC0 est une variable aléatoire comprise entre 0 et q-1 ; et pw0 est une première partie de l'information d'identification • L'élaboration de la deuxième preuve zkpr2 par le lecteur s'effectue en prenant zkpr2 = ZKPOK(A, B)B = U a ° where OC 0 is a random variable between 0 and q-1; and pw 0 is a first part of the identification information • The development of the second proof zkpr 2 by the reader takes place taking zkpr 2 = ZKPOK (A, B)
• L'élaboration de la troisième information traitée Yi et Ki par le dispositif s'effectue en prenant• The development of the third processed information Yi and Ki by the device is done by taking
Y1 = g"1 etY 1 = g " 1 and
K1 = (AfB*"1 )*1 où ai est une variable aléatoire comprise entre 0 et q-1 ; et pwi est une deuxième partie de l'information d'identification • L'élaboration de la troisième preuve zkpr3 par le dispositif s'effectue en prenant zkpr3 = ZKPOK(Y19K1)K 1 = (AfB * " 1 ) * 1 where ai is a random variable between 0 and q-1, and pwi is a second part of the identification information • The development of the third proof zkpr 3 by the device is performed taking zkpr 3 = ZKPOK (Y 19 K 1 )
• L'élaboration de la quatrième information traitée Y et K s'effectue par le lecteur en prenant• The development of the fourth information processed Y and K is done by the reader taking
Figure imgf000023_0001
κ = κλ y où y est une variable aléatoire comprise entre 0 et q-1
Figure imgf000023_0001
κ = κ λ y where y is a random variable between 0 and q-1
• L'élaboration de la quatrième preuve zkpr4 par le lecteur s'effectue en prenant zkpr4 = ZKPOK(Y, K) • La vérification de la correspondance des parties pw0 et pwi avec pw s'effectue notamment en vérifiant que• The elaboration of the fourth proof zkpr 4 by the reader is carried out taking zkpr 4 = ZKPOK (Y, K) • The verification of the correspondence of the parts pw 0 and pwi with pw is carried out in particular by checking that
K = YX K = Y X
9. Système d'activation d'une puce (10) électronique d'un support d'identification (1 ), une information d'identification (pw) étant mémorisée dans la puce, le système comportant un lecteur (2) apte à lire la puce et un dispositif (3) informatique, le lecteur étant relié au dispositif, le lecteur (2) et le dispositif (3) comportant chacun des moyens (21 , 31 ) d'interface permettant à un utilisateur de fournir une information d'identification, caractérisé en ce que :9. System for activating an electronic chip (10) of an identification medium (1), identification information (pw) being stored in the chip, the system comprising a reader (2) able to read the chip and a computer device (3), the reader being connected to the device, the reader (2) and the device (3) each comprising interface means (21, 31) enabling a user to provide identification information, characterized in that:
• la puce (10) comporte des moyens (11 ) aptes à traiter l'information d'identification (pw), pour élaborer au moins une première information traitée et au moins une première preuve que l'élaboration de la première information traitée respecte une loi mémorisée dans la puce, la puce (10) comportant en outre des moyens (23) aptes à transmettre ladite première information traitée et ladite première preuve audit lecteur (2) ; • le lecteur (2) comporte des moyens (22) aptes à traiter une première partie (pw0) de l'information d'identification fournie aux moyens (21) d'interface du lecteur (2) pour élaborer au moins une deuxième et une quatrième informations traitées et une deuxième et quatrième preuves que l'élaboration des deuxième et quatrième informations traitées respecte une loi mémorisée dans le lecteur, le lecteur comportant en outre des moyens (23, 4) aptes à transmettre lesdites informations traitées et lesdites preuves à ladite puce (10) et/ou audit dispositif (3) ;The chip (10) comprises means (11) able to process the identification information (pw), to elaborate at least a first piece of information processed and at least a first proof that the preparation of the first piece of information treated complies with a law stored in the chip, the chip (10) further comprising means (23) able to transmit said first processed information and said first evidence to said reader (2); The reader (2) comprises means (22) able to process a first part (pw 0 ) of the identification information supplied to the reader interface means (21) of the reader (2) to produce at least a second and a fourth information processed and a second and fourth evidence that the preparation of the second and fourth processed information respects a law stored in the reader, the reader further comprising means (23, 4) able to transmit said processed information and said evidence to said chip (10) and / or said device (3);
• le dispositif (3) comporte des moyens (32) aptes à traiter une deuxième partie (pw-i) de l'information d'identification fournie aux moyens (31) d'interface du dispositif pour élaborer au moins une troisième information traitée et une troisième preuve que l'élaboration de la troisième information traitée respecte une loi mémorisée dans le dispositif, le dispositif comportant en outre des moyens (4) aptes à transmettre ladite troisième information traitée et la troisième preuve au lecteur, • la puce comporte en outre des moyens (11 ) aptes à lire la quatrième information traitée et les deuxième, troisième et quatrième preuves, et des moyens aptes à vérifier que la quatrième information traitée respecte une loi mémorisée dans la puce pour en déduire, si ladite loi est respectée, que ladite première partie (pw0) et ladite deuxième partie (pwi) de l'information d'identification correspondent bien à ladite information d'identification (pw), la puce comportant en outre des moyens (11 ) d'activation de la puce si ladite loi est respectée. The device (3) comprises means (32) able to process a second part (pw-i) of the identification information supplied to the interface means (31) of the device for producing at least a third information processed and a third proof that the development of the third processed information respects a law stored in the device, the device further comprising means (4) able to transmit said third processed information and the third proof to the reader, • the chip further comprises means (11) adapted to read the fourth information processed and the second, third and fourth proofs, and means for verifying that the fourth information processed respects a law stored in the chip to deduce, if said law is respected, that said first part (pw 0 ) and said second part (pwi) of the identification information correspond to said identification information (pw), the chip com further carrying means (11) for activating the chip if said law is respected.
10. Système selon la revendication précédente, comportant des moyens de vérification par le dispositif (3) des première et deuxième preuves.10. System according to the preceding claim, comprising means for verification by the device (3) of the first and second proofs.
11. Système selon l'une des deux revendications précédentes, comportant des moyens de vérification par la puce (10) des deuxième, troisième et quatrième preuves.11. System according to one of the two preceding claims, comprising verification means by the chip (10) of the second, third and fourth evidence.
12. Système selon l'une des trois revendications précédentes, dans lequel le support (1 ) est une carte à puce.12. System according to one of the three preceding claims, wherein the carrier (1) is a smart card.
13. Système selon la revendication précédente, dans lequel la carte à puce est du type carte bancaire de paiement ou de retrait d'argent et/ou une SD card et/ou une carte UICC ou et/ou une carte MMC sécurisée. 13. System according to the preceding claim, wherein the smart card is of the bank card type payment or withdrawal of money and / or SD card and / or a UICC card or and / or a secure card MMC.
PCT/EP2006/064158 2005-07-13 2006-07-12 Method and system for authenticating silicon chips WO2007006798A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0507524 2005-07-13
FR0507524 2005-07-13

Publications (1)

Publication Number Publication Date
WO2007006798A1 true WO2007006798A1 (en) 2007-01-18

Family

ID=36124005

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/064158 WO2007006798A1 (en) 2005-07-13 2006-07-12 Method and system for authenticating silicon chips

Country Status (1)

Country Link
WO (1) WO2007006798A1 (en)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5495098A (en) * 1993-04-16 1996-02-27 France Telecom Etablissement Autonome De Droit Public Smart card updating process
EP0798673A1 (en) * 1996-03-29 1997-10-01 Koninklijke KPN N.V. Method of securely loading commands in a smart card
EP1050789A2 (en) * 1999-05-04 2000-11-08 RSA Security Inc. System and method for authentication seed distribution
US20020014527A1 (en) * 2000-05-12 2002-02-07 Nec Corporation Sales system using credit cards, credit card verification device, and credit card
FR2827723A1 (en) * 2001-07-18 2003-01-24 France Telecom Cryptographic process for data validation uses two stages of processing in different entities, to speed up verification process
WO2004054168A1 (en) * 2002-12-10 2004-06-24 Koninklijke Philips Electronics N.V. Efficient implementation of zero knowledge protocols
WO2004088602A1 (en) * 2003-03-31 2004-10-14 Koninklijke Kpn N.V. Method for using an electromagnetic scratchcard to provide services
US6834795B1 (en) * 2001-06-29 2004-12-28 Sun Microsystems, Inc. Secure user authentication to computing resource via smart card

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5495098A (en) * 1993-04-16 1996-02-27 France Telecom Etablissement Autonome De Droit Public Smart card updating process
EP0798673A1 (en) * 1996-03-29 1997-10-01 Koninklijke KPN N.V. Method of securely loading commands in a smart card
EP1050789A2 (en) * 1999-05-04 2000-11-08 RSA Security Inc. System and method for authentication seed distribution
US20020014527A1 (en) * 2000-05-12 2002-02-07 Nec Corporation Sales system using credit cards, credit card verification device, and credit card
US6834795B1 (en) * 2001-06-29 2004-12-28 Sun Microsystems, Inc. Secure user authentication to computing resource via smart card
FR2827723A1 (en) * 2001-07-18 2003-01-24 France Telecom Cryptographic process for data validation uses two stages of processing in different entities, to speed up verification process
WO2004054168A1 (en) * 2002-12-10 2004-06-24 Koninklijke Philips Electronics N.V. Efficient implementation of zero knowledge protocols
WO2004088602A1 (en) * 2003-03-31 2004-10-14 Koninklijke Kpn N.V. Method for using an electromagnetic scratchcard to provide services

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DATABASE INSPEC [online] THE INSTITUTION OF ELECTRICAL ENGINEERS, STEVENAGE, GB; 1998, DWORK C ET AL: "Concurrent zero-knowledge", XP002376886, Database accession no. 6069099 *
HANNA A. ARONSSON: "Zero Knowledge protocols and small systems", INTERNET ARTICLE, 1995, Helsinki, XP002376880, Retrieved from the Internet <URL:http://www.tml.tkk.fi/Opinnot/Tik-110.501/1995/zeroknowledge.html> [retrieved on 20060412] *
PROCEEDINGS OF STOC98: 13TH ANNUAL ACM SYMPOSIUM ON THEORY OF COMPUTING 23-26 MAY 1998 DALLAS, TX, USA, 26 May 1998 (1998-05-26), Proceedings of the Thirtieth Annual ACM Symposium on Theory of Computing ACM New York, NY, USA, pages 409 - 418, XP002377172, ISBN: 0-89791-962-9, Retrieved from the Internet <URL:http://theory.lcs.mit.edu/classes/6.885/spring05/papers/dworknaorsahai.pdf> [retrieved on 20060412] *

Similar Documents

Publication Publication Date Title
EP1368930B1 (en) Cryptographic authentication with ephemeral modules
EP0998731B1 (en) Method and system for payment by electronic cheque
EP2345202B1 (en) Digital signature method in two steps
EP2619941B1 (en) Method, server and system for authentication of a person
EP0311470B1 (en) Methods and systems to authenticate authorizations and messages with a zero knowledge-proof system and to provide messages with a signature
FR2760583A1 (en) DATA CARD VERIFICATION SYSTEM
FR2759226A1 (en) PROTOCOL FOR VERIFYING A DIGITAL SIGNATURE
EP1807967B1 (en) Method for secure delegation of calculation of a bilinear application
EP3707857A1 (en) Device for storing digital keys for signing transactions on a blockchain
EP2509025A1 (en) Method for access to a protected resource of a trusted personal device
WO2012156648A1 (en) Biometrically protected access to electronic devices
CA2360953C (en) Authenticating or signature method with reduced computations
EP3262553B1 (en) Method of transaction without physical support of a security identifier and without token, secured by the structural decoupling of the personal and service identifiers
CA2947920A1 (en) Data encryption process for methods of payment, corresponding methods of payment, server and programs
WO2003055134A9 (en) Cryptographic method for distributing load among several entities and devices therefor
WO2007006798A1 (en) Method and system for authenticating silicon chips
FR3032292B1 (en) SECURE ELEMENT AND METHOD IMPLEMENTED IN SAFE SUCH ELEMENT
EP4074005A1 (en) Transaction authentication method, server and system using two communication channels
FR2842052A1 (en) CRYPTOGRAPHIC METHOD AND DEVICES FOR REDUCING CALCULATION DURING TRANSACTIONS
FR2730076A1 (en) Authentication by server of holder of object incorporating microprocessor
WO2003009522A1 (en) Method of carrying out a cryptographic task using a public key
EP2407920A1 (en) Server, terminal and secured transaction method
WO2003069841A1 (en) Method for detection of attacks on cryptographic algorithms by trial and error
WO2008001009A1 (en) Public-key cryptographic system and method for the authentication of a first entity by a second entity
WO2008017765A1 (en) Public key cryptographic system and method

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06764151

Country of ref document: EP

Kind code of ref document: A1