DE602004006373T2 - Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften - Google Patents

Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften Download PDF

Info

Publication number
DE602004006373T2
DE602004006373T2 DE602004006373T DE602004006373T DE602004006373T2 DE 602004006373 T2 DE602004006373 T2 DE 602004006373T2 DE 602004006373 T DE602004006373 T DE 602004006373T DE 602004006373 T DE602004006373 T DE 602004006373T DE 602004006373 T2 DE602004006373 T2 DE 602004006373T2
Authority
DE
Germany
Prior art keywords
user
signature
signer
parameter
trusted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004006373T
Other languages
English (en)
Other versions
DE602004006373D1 (de
Inventor
Sebastien Canard
Matthieu Gaud
Jacques Traore
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of DE602004006373D1 publication Critical patent/DE602004006373D1/de
Application granted granted Critical
Publication of DE602004006373T2 publication Critical patent/DE602004006373T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B11/00Hand knives combined with other implements, e.g. with corkscrew, with scissors, with writing implement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B5/00Hand knives with one or more detachable blades
    • B26B5/001Hand knives with one or more detachable blades with blades being slid out of handle immediately prior to use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B1/00Hand knives with adjustable blade; Pocket knives
    • B26B1/08Hand knives with adjustable blade; Pocket knives with sliding blade
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Forests & Forestry (AREA)
  • Mechanical Engineering (AREA)
  • Storage Device Security (AREA)
  • Basic Packing Technique (AREA)
  • Toys (AREA)
  • Paper (AREA)

Description

  • Die vorliegende Erfindung betrifft die Sicherheit von elektronischen Transaktionen, und insbesondere betrifft die vorliegende Erfindung das technische Gebiet der digitalen Unterschriften.
  • Ein digitales Unterschriftenschema ist ein kryptografisches Protokoll mit einem öffentlichen Schlüssel, an dem ein Benutzer und ein Unterzeichner beteiligt sind. Der Unterzeichner besitzt einen geheimen Schlüssel und einen dazugehörigen öffentlichen Schlüssel. Der Benutzer erzeugt eine Nachricht, im Allgemeinen für die Übermittlung über ein Netzwerk, wie zum Beispiel dem Internet. Der Unterzeichner verwendet seinen geheimen (oder privaten) Schlüssel, um die digitale Unterschrift der Nachricht als Angabe der Gültigkeit oder Echtheit der Nachricht zu erzeugen. Jeder, der die Echtheit der Unterschrift überprüfen möchte, kann dies unter alleiniger Verwendung des öffentlichen Schlüssels des Unterzeichners tun.
  • Bei herkömmlichen digitalen Unterschriftenschemata kennt der Unterzeichner den Inhalt der Nachricht, für welche die digitale Unterschrift gelten soll, und ein Unterschriftenalgorithmus (z.B. der bekannte RSA-Algorithmus) wird verwendet, um eine digitale Unterschrift zu erzeugen, die schwierig oder unmöglich zu fälschen ist.
  • Bei einem Blindunterschriftenschema kann der Benutzer eine digitale Unterschrift auf seiner Nachricht erhalten, ohne dass der Unterzeichner Informationen über den Inhalt der Nachricht erhält. Ein bekanntes Blindunterschriftenschema, das von Prof. Dr. David Chaum entwickelt wurde, ist in EP-A-0 139 313 beschrieben. Blindunterschriftenschemata werden häufig für die Verwendung bei Anwendungen mit elektronischem Geld vorgeschlagen, damit eine Person elektronisches Geld von einem Geldinstitut auf eine Weise erwerben kann, durch welche vermieden wird, dass das Geldinstitut die nachfolgende Verwendung des Geldes nachverfolgen kann.
  • Bei einem üblichen Blindunterschriftenschema, wenn der Unterzeichner mehrere Dokumente für verschiedene Benutzer unterzeichnet, ist er nicht in der Lage festzustellen, wann oder für wen er das jeweilige Dokument unterzeichnet hat, wenn ihm ein bestimmtes Dokument, das er unterzeichnet hat, vorgelegt wird. Bei einem fairen Blindunterschriftenschema (fair blind signature scheme FBSS) hingegen gibt es einen zusätzlichen Teilnehmer, eine oder mehrere vertrauenswürdige Stellen (oder "Judges"), und der Unterzeichner kann ermitteln, welche Unterschrift aus einer bestimmten Unterzeichnungssitzung mit Hilfe der vertrauenswürdigen Stelle (oder einer Mindestanzahl von vertrauenswürdigen Stellen, falls es mehr als eine gibt) stammt.
  • Besitzt der Unterzeichner eine Abschrift einer bestimmten Unterzeichnungssitzung, dann kann er mit Hilfe der vertrauenswürdigen Stelle das Paar Unterschrift/Nachricht, das aus der Sitzung stammt, feststellen: Dies wird als „Nachverfolgung der Unterschrift" bezeichnet. Umgekehrt kann der Unterzeichner, falls ihm ein bestimmtes Paar Nachricht/Unterschrift zur Verfügung steht, mit Hilfe der vertrauenswürdigen Stelle die Unterzeichnungssitzung, in der dies erzeugt wurde, feststellen: Dies wird als „Sitzungsnachverfolgung" bezeichnet.
  • Ein Element, das bei fairen Blindunterschriftenschemata verwendet wird, sind „Nullwissen-Wissensbeweise". Eine Stelle (der „Beweiser") muss eventuell einer anderen Stelle (dem „Verifizierer") beweisen, dass eine bestimmte Aussage (oder Prädikat) wahr ist. Können der Beweiser und der Verifizierer ein geeignetes interaktives Protokoll (einen interaktiven Wissensbeweis) durchführen, kann der Verifizierer von der Richtigkeit der Aussage überzeugt werden. Das Wissensbeweis-Protokoll wird „Nullwissen" genannt, falls der Verifizierer auch nach Teilnahme an dem Wissensbeweis keine Kenntnis über die Aussage hat (der Verifizierer weiß nur, dass sie richtig oder „gültig" ist). Im letzteren Fall kann der Verifizierer die Gültigkeit der Aussage nicht selbst gegenüber anderen beweisen.
  • Obwohl es mit fairen Blindunterschriftenschemata möglich ist, eine bestimmte digitale Unterschrift mit einem bestimmten Benutzer zu verknüpfen, bleibt die Nachricht des Benutzers dennoch privat. Faire Blindunterschriftenschemata wurden hauptsächlich im Rahmen von Anwendungen vorgeschlagen, bei denen eine aufhebbare Anonymität wünschenswert ist, wie zum Beispiel bei elektronischen Auktionen und dem Kampf gegen das organisierte Verbrechen (zum Beispiel die Vermeidung von Geldwäsche).
  • Damit ein faires Blindunterschriftenschema sicher ist, sollte es die Eigenschaften der sogenannten One-More-Unfälschbarkeit, Blindheit und Nachvollziehbarkeit (sichere Aufhebung) besitzen.
  • „One-more-Unfälschbarkeit" bezeichnet die Tatsache, dass es theoretisch schwierig ist, eine k + 1th gültige Unterschrift nach dem fairen Blindunterschriftenschema zu erzeugen, auch wenn der interessierte Fälscher k Mal mit dem Unterzeichner kommuniziert hat (dies kann als „(k, k + 1)-Unfälschbarkeit" bezeichnet werden). Diese Eigenschaft sollte auch bestehen bleiben, wenn die Kommunikation zwischen dem interessierten Betrüger und dem Unterzeichner auf adaptive und verschachtelnde Art und Weise erfolgt.
  • „Blindheit" bezeichnet die Eigenschaft, aufgrund derer es für jeden (außer der vertrauenswürdigen Stelle), der über eine spezielle gültige digitale Unterschrift verfügt, theoretisch schwierig ist, Informationen zu erzeugen, die die Identifikation des Benutzers, der die Unterzeichnungssitzung, in der die betreffende Unterschrift erzeugt wurde, geleitet hat, ermöglichen. Auf ähnliche Weise ist es für jeden (außer der vertrauenswürdigen Stelle), der über eine Abschrift einer speziellen Unterzeichnungssitzung verfügt, theoretisch schwierig, die Unterschrift, die in der betreffenden Sitzung erzeugt wurde, zu identifizieren.
  • „Nachvollziehbarkeit (sichere Aufhebung)" bezeichnet die Eigenschaft, aufgrund derer es für jeden (außer dem Unterzeichner) schwierig ist, die Nachverfolgungsverfahren, die in das faire Blindunterschriftenschema eingebaut sind, zu umgehen. Es ist insbesondere für jeden (außer dem Unterzeichner) theoretisch schwierig, eine gültige Unterschrift zu erzeugen, die von der vertrauenswürdigen Stelle nicht nachverfolgt werden kann oder die von der vertrauenswürdigen Stelle nicht mit dem entsprechenden Benutzer abgeglichen werden kann.
  • Es wurden verschiedene faire Blindunterschriftenschemata vorgeschlagen. Siehe zum Beispiel „Fair Blind Signatures" von M. Stadler et al., in Advances in Cryptology, – Eurocrypt '95, Band 921 der Lecture Notes in Computer Science, S. 209–219, Berlin, Springer-Verlag. Die meisten der vorgeschlagenen Schemata sind jedoch entweder unpraktisch, unsicher oder gelten nur als sicher, falls nicht normgerechte Annahmen erfolgen.
  • Ein wirksames faires Blindunterschriftenschema wurde von Abe und Ohkubo vorgeschlagen (siehe "Provably Secure Fair Blind Signatures with Tight Revocation" in Proceedings of Asiacrypt '01, Band 2248 der Lecture Notes in Computer Science, S. 583–601, Berlin, Springer-Verlag). Die Sicherheit dieses Schemas (das heißt die Unfälschbarkeit der Unterschriften) beruht auf dem Problem des diskreten Logarithmus. Obwohl dieses Schema beansprucht, polynomische Sicherheit zu bieten, bietet es tatsächlich nur polylogarithmische Sicherheit (das heißt, es lässt sich nur eine polylogarithmische Anzahl von Unterschriften sicher erzeugen: Dabei wird diese polylogarithmische Anzahl in Bezug auf einen Sicherheitsparameter festgelegt).
  • Die bevorzugten Ausführungsformen der vorliegenden Erfindung bieten ein faires Blindunterschriftenschema, das wirksam ist und das die sichere Erzeugung einer polynomischen Anzahl von Unterschriften ermöglicht.
  • Die vorliegende Erfindung bietet ein faires Blindunterschriftenschema, wie in den beigefügten Ansprüchen festgelegt.
  • Weitere Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden Beschreibung einer bevorzugten Ausführungsform der Erfindung ersichtlich, die als Beispiel angeführt ist und die durch die beigefügte Zeichnung, in der die Hauptelemente des fairen Blindunterschriftenschemas der bevorzugten Ausführungsform angegeben sind, veranschaulicht wird.
  • Bevor eine ausführliche Beschreibung des fairen Blindunterschriftenvorgangs gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung gegeben wird, ist es sinnvoll, bestimmte Grundprinzipien von fairen Blindunterschriftenschemata und einige mathematische Darstellungen ins Gedächtnis zu rufen.
  • Es wird als unnötig erachtet, an dieser Stelle eine formale Definition eines fairen Blindunterschriftenschemas (fair blind signature scheme – FBSS) zu geben, da es in diesem Bereich wohlbekannt ist. Falls gewünscht, kann der interessierte Leser jedoch das oben genannte Skript von Abe und Ohkubo für eine derartige Definition zu Rate ziehen.
  • Es wird als ausreichend erachtet, an dieser Stelle daran zu erinnern, dass bei einem FBSS drei Arten von Teilnehmern eingebunden sind: Benutzer (users U), die Nachrichten unterzeichnen lassen möchten, ein Unterzeichner (signer S), der die blinden digitalen Unterschriften erzeugt, und eine vertrauenswürdige Stelle (trusted authority TA), die auch „Judge" genannt werden kann. Bei dem fairen Blindunterschriftenschema der vorliegenden Erfindung werden drei verschiedene Arten von Protokollen verwendet: ein Protokoll zur Unterschriftenerzeugung, das zwischen dem Benutzer und dem Unterzeichner geführt wird und mit dem der Benutzer eine Unterschrift einer Nachricht seiner Wahl erhalten kann, ein Protokoll zur Unterschriftenvorlage, das zwischen dem Benutzer und einer beliebigen Person geführt wird, mit dem der Benutzer eine Unterschrift mit einer Nachricht vorlegen kann, und die Nachverfolgungsprotokolle, in denen es ein Protokoll zur Nachverfolgung der Unterschrift und/oder ein Protokoll zur Nachverfolgung der Sitzung, die beide zwischen dem Unterzeichner S und der vertrauenswürdigen Stelle TA geführt werden, gibt.
  • Es ist anzumerken, dass die vertrauenswürdige Stelle durch das Protokoll zur Nachverfolgung der Sitzung, das in der bevorzugten Ausführungsform der vorliegenden Erfindung verwendet wird, in der Lage ist, aus einer bestimmten Nachrichtenunterschrift die Identität des Benutzers, der die Unterzeichnungssitzung, die zu der Erzeugung des betreffenden Paars führte, leitete, zu bestimmen. Dieses bevorzugte Protokoll kann somit als ein Protokoll zur Nachverfolgung des Benutzers bezeichnet werden. In der Praxis ist die Nachverfolgung des Benutzers sinnvoller als nur die Unterschriftensitzung zu identifizieren, die zu der Erzeugung eines bestimmten Paars Nachricht/Unterschrift geführt hat. (Bei einigen Schemata ist es erforderlich, eine große Datenbank zu durchsuchen, um festzulegen, welcher Benutzer die Unterzeichnungssitzung, die von einem echten Protokoll zur Nachverfolgung einer Sitzung identifiziert wurde, geleitet hat.) In der nachstehenden Beschreibung wird folgende mathematische Darstellung benutzt:
    x ∊RE bedeutet, dass x einheitlich nach dem Zufallsprinzip aus der Menge E – gewählt wird, anders gesagt, x wird nach dem Zufallsprinzip aus der Menge E gemäß der Gleichverteilung ausgewählt.
  • Ist x eine Ganzzahl, bezeichnet |x| die binäre Größe (oder Länge) von x.
  • Die Menge Id bedeutet die Menge von Ganzzahlen von 0 bis d–1, mit anderen Worten, sie entspricht der Menge {0, 1, 2, ..., d–1}.
  • Bei einer Ganzzahl n bezeichnet Zn den Restklassenring modulo n, und Zn* bezeichnet die multiplikative Gruppe von invertierbaren Elementen in Zn.
  • Bei einem Element α, das einheitlich nach dem Zufallsprinzip aus der Menge Zn ausgewählt wird (mit anderen Worten, für α ∊RZn) wird die Reihenfolge von α in Zn* als ord(α) bezeichnet.
  • Die Untergruppe von Zn*, die durch ein Element α erzeugt wird, welches einheitlich nach dem Zufallsprinzip in Zn* ausgewählt wird (mit anderen Worten, durch α ∊RZn* erzeugt wird), wird als <α> bezeichnet.
  • Die Menge QR(n) bezeichnet die Menge aller quadratischen Reste modulo n.
  • Das Symbol || bezeichnet die Konkatenation von zwei (binären) Folgen (oder von binären Darstellungen von Ganzzahlen und Gruppenelementen).
  • Das Symbol H bezeichnet eine beliebige passende Hash-Funktion.
  • SK(α : f(α, ...))(m) bezeichnet eine „Signature of Knowledge" auf Nachricht m. Durch Anbringen seiner Signature of Knowledge SK zeigt ein Beweiser einem Dritten (dem „Verifizierer") an, dass er einen Wert α kennt, der der Gleichung, die das Prädikat f festlegt, entspricht.
  • SK(α, β : f(α, ...) Λ g(β, ...))(M) bezeichnet eine „Signature of Knowledge" auf Nachricht M, die darauf hinweist, dass der Beweiser die Werte α und β kennt, die der Gleichung, in der f festgelegt wird, und der Gleichung, in der g festgelegt wird, entsprechen.
  • Eine „Signature of Knowledge" ist eine Unterschrift, die von einem Nullwissen-Wissensbeweis abgeleitet ist und bei der die bekannte Fiat-Shamir-Heuristik verwendet wird (siehe „How to Prove Yourself: Practical Solutions to Identification and Signature Problems" von A. Fiat und A. Shamir in Proceedings of Crypto '86, Band 263 der Lecture Notes in Computer Science, S,186–194, Berlin, Springer-Verlag, 1987). Wenn der zu Grunde liegende Wissensbeweis sicher ist, kann eine davon abgeleitete Signature of Knowledge in dem Random Oracle-Modell als sicher angezeigt werden.
  • Je nach der Art des Prädikats/der Prädikate f, g, usw., auf die in der Signature of Knowledge Bezug genommen wird, muss der Beweiser verschiedene Informationen an den Verifizierer übermitteln, um den Nullwissen-Wissensbeweis zu erbringen. Ab Seite 13 werden einige Beispiele gegeben für typische Prädikate und die Informationen, die von einem Beweiser übermittelt werden können, um den Besitz eines Wertes zu beweisen, der dem verknüpften Prädikat entspricht.
  • Ein faires Blindunterschriftenschema gemäß einer bevorzugten Ausführungsform der Erfindung soll jetzt mit Bezug auf 1 beschrieben werden. Es wird daran erinnert, dass bei diesem System ein Unterzeichner S beteiligt ist, der digitale Unterschriften leistet, mehrere Benutzer U, die (faire blinde) digitale Unterschriften auf ihren jeweiligen Nachrichten erhalten möchten, und eine oder mehrere vertrauenswürdige Stellen TA, die es möglich machen können, dass die Anonymität der digitalen Unterschriften aufgehoben wird.
  • 1 ist ein Diagramm, in dem die Hauptabläufe und Protokolle, die verwendet werden, um ein faires Blindunterschriftenschema gemäß der bevorzugten Ausführungsform der vorliegenden Erfindung umzusetzen, angegeben sind.
  • Wie aus 1 ersichtlich ist, gibt es eine erste Einrichtungsphase, in der Werte für bestimmte Parameter des Schemas festgelegt werden. In dieser Einrichtungsphase werden Werte für den ersten und den zweiten Sicherheitsparameter l und lp (vom Systementwickler) ausgewählt. Dann wählt der Unterzeichner S zufällige geheime Primzahlen p' und q' aus, die jeweils eine Bitanzahl aufweisen, die mit dem Sicherheitsparameter lp übereinstimmt. p' und q' werden so ausgewählt, dass die Werte p = 2p' + 1 und q = 2q' + 1 beide Primzahlen sind. Der Unterzeichner benutzt PRKS = (p', q') als seinen privaten Schlüssel (oder „geheimen Schlüssel"). Der Modulus n wird auf den Wert n = pq gesetzt, und weitere Parameter N und ln werden gemäß den folgenden Gleichungen festgelegt:
    Figure 00090001
  • Der Unterzeichner S wählt ebenfalls Zufallsgeneratoren (a0, a1, a2, a3, a4, a5, g, h) von QR(n) aus, so dass der diskrete Logarithmus jedes dieser Zufallsgeneratoren mit Bezug auf die anderen unbekannt ist.
  • In der Einrichtungsphase wählt die vertrauenswürdige Stelle y ∊RIN (mit anderen Worten, TA wählt einen Wert für den Parameter y, indem sie einheitlich nach dem Zufallsprinzip aus der Menge {0, 1, ..., N – 1} auswählt).
  • Dieser Parameter y wird der private Schlüssel der vertrauenswürdigen Stelle. Dann berechnet TA ihren öffentlichen Schlüssel f wie folgt neu: f = gy(mod n).
  • Der öffentliche Schlüssel des gesamten fairen Blindunterschriftensystems ist PUBK = (n, a0, a1, a2, a3, a4, a5, f, g, h). Der öffentliche Schlüssel des Unterzeichners ist derselbe wie der des gesamten Systems, jedoch ohne die Werte f: das heißt, er ist gleich (n, a0, a1, a2, a3, a4, a5, g, h)
  • Die folgende Tabelle 1 fasst einige der Parameter zusammen, die Werte aufwiesen, die während der Einrichtungsphase festgelegt wurden. Tabelle 1
    Parameter Symbol Wert
    erster Sicherheitsparameter l (üblicherweise) 160
    zweiter Sicherheitsparameter lp (üblicherweise) 1024
    Modulus n pq
    privater Schlüssel des Unterzeichners PRKS (p', q')
    öffentlicher Schlüssel des Unterzeichners PUBKS (n, a0, a1 a2, a3, a4, a5, g, h)
    Vom Unterzeichner ausgewählte Zufallsgeneratoren von QR(n) (a0, a1 , a2, a3, a4, a5, g, h)
    Privater Schlüssel der vertrauenswürdigen Stelle PRKTA y (einheitlich und nach Zufallsprinzip aus der Menge der Ganzzahlen 0 bis N – 1 ausgewählt)
    Öffentlicher Schlüssel der vertrauenswürdigen Stelle PUBKTA f = gy(mod n)
    Öffentlicher Schlüssel des gesamten FBSS PUBK (n, a0, a1 , a2, a3, a4, a5, g, h)
  • Nach der Einrichtungsphase ist das faire Blindunterschriftenschema nach der vorliegenden Erfindung einsatzbereit, das heißt, dass der Unterzeichner bereit ist, Nachrichten für Benutzer digital zu unterzeichnen.
  • Auch wenn es für die vorliegende Erfindung nicht wesentlich ist, so kann es für Benutzer doch sinnvoll sein, sich bei dem System zu registrieren. Dadurch ist das System in der Lage, eine Benutzernachverfolgung statt nur eine Sitzungsnachverfolgung durchzuführen. Daher weist das FBSS der bevorzugten Ausführungsform der vorliegenden Erfindung eine Registrierungsphase auf, wie in 1 durch das Kästchen in gestrichelten Linien angegeben.
  • In der Registrierungsphase wählt der Benutzer U einen geheimen Wert xuR IN aus (mit anderen Worten, U wählt einen Wert für den Parameter xu aus, indem er einheitlich nach dem Zufallsprinzip aus der Menge {0, 1, ..., N – 1} auswählt). Dann berechnet U einen Code IdU, um sich selbst zu identifizieren:
    Figure 00120001
  • Dann weist der Benutzer bei der vertrauenswürdigen Stelle nach, dass er den diskreten Logarithmus von IdU zur Basis a3 kennt. Dies kann durch Verwendung eines beliebigen geeigneten Verfahrens erfolgen (siehe zum Beispiel „Security Analysis of a Practical „on the fly" Authentication and Signature Generation" von G. Poupard und J. Stern in Proceedings of Eurocrypt '98, Bd. 1403, Lecture Notes in Computer Science, S. 422–436, Berlin, Springer-Verlag, 1998; oder „An Identity-based identification Scheme Based an Discrete Logarithms Modulo a Composite Number" von M. Girault, in Proceedings of Eurocrypt 1990, Bd. 473 of Lecture notes in Computer Science, S. 481–486, Berlin, Springer-Verlag). Die vertrauenswürdige Stelle veröffentlicht dann sowohl IdU und den von dem Benutzer gelieferten Nachweis, wodurch der Benutzer während der Durchführung des Protokolls zur Unterschriftenerzeugung authentifiziert werden kann (siehe unten). Die Registrierungsphase ist jetzt beendet.
  • Wie in 1 angegeben, weist das faire Blindunterschriftenschema gemäß der bevorzugten Ausführungsform ein Protokoll zur Unterschriftenerzeugung, ein Protokoll zur Unterschriftenvorlage und Nachverfolgungsprotokolle, die eine Protokoll zur Unterschriftennachverfolgung und/oder ein Protokoll zur Sitzungsnachverfolgung aufweisen (hier ein Benutzernachverfolgungsprotokoll), auf. Zweifellos wird das Protokoll zur Unterschriftenerzeugung immer verwendet, wenn ein Benutzer mit einem Unterzeichner zwecks Unterzeichnung einer Nachricht in Verbindung tritt, und das Protokoll zur Unterschriftenvorlage wird immer verwendet, wenn ein Benutzer einem Dritten eine unterzeichnete Nachricht zukommen lässt, während das Protokoll zur Unterschriftennachverfolgung und das zur Sitzungsnach verfolgung nur angeführt werden, wenn es gewünscht ist, die Anonymität einer digitalen Unterschrift aufzuheben (zum Beispiel, weil es gewünscht ist, die Einzelheiten eines erfolgreichen Bieters bei einer Online-Auktion aufzuzeigen). Diese Protokolle werden jetzt der Reihe nach betrachtet.
  • Protokoll zur Unterschriftenerzeugung
  • Es werden vier Längenparameter, lr, lm, le und ls, festgelegt, um den folgenden drei Beziehungen zu entsprechen: lr = max(lm, lN) le ≥ lr + 2 ls ≥ ln + lr + l + 3wobei 1 der erste Sicherheitsparameter, ln die Bitlänge des Modulus n und lN die Bitlänge des Parameters N, der in der oben genannten Erläuterung der Einrichtungsphase erwähnt wurde, ist. Die zu unterzeichnende Nachricht m ist eine Nachricht mit der Bitlänge lm, mit anderen Worten, m kann eine Ganzzahl aus der Menge {0, 1, ..., (2lm – 1)} sein.
  • Das Protokoll zur Unterschriftenerzeugung, das interaktiv von dem Benutzer und dem Unterzeichner durchgeführt wird, kann als zweiteiliges Protokoll angesehen werden. Im ersten Teil des Protokolls zur Unterschriftenerzeugung kommunizieren der Benutzer und der Unterzeichner, und der Benutzer erhält vom Unterzeichner bestimmte Parameterdaten (insbesondere x^x^, A, e und s). Im zweiten Teil des Protokolls zur Unterschriftenerzeugung erzeugt der Benutzer die gewünschte digitale Unterschrift, wobei er die von dem Unterzeichner erhaltenen Parameterdaten verwendet.
  • Im ersten Teil des Protokolls zur Unterschriftenerzeugung erfolgen folgende Schritte:
    Der Benutzer wählt einheitlich und nach dem Zufallsprinzip einen Parameter x ~ und einen Parameter r ~ aus der Menge {0, 1, ..., N – 1) – mit anderen Worten, x ~ ∊RIN und r ~ ∊RIN.
  • Der Benutzer erzeugt einen Parameter C1 und zwei Signatures of Knowledge, U0 und U1, wie folgt:
    Figure 00140001
  • Der Benutzer übermittelt dann C1, den Identifikationscode des Benutzers, IdU, und die zwei Signatures of Knowledge, U0 und U1, an den Benutzer.
  • Der Unterzeichner überprüft die zwei Signatures of Knowledge, U0 und U1. Falls die Signatures of Knowledge erfolgreich überprüft wurden, legt der Unterzeichner einen Wert für den Parameter x ^ fest, indem er ihn einheitlich nach dem Zufallsprinzip aus der Menge {0, 1, ..., N – 1} auswählt, mit anderen Worten, x ^ ∊RIN. Dieser Parameter wird an den Benutzer rückübermittelt.
  • Der Benutzer verwendet dann den von dem Unterzeichner erhaltenen Parameter x ^, um einen weiteren Parameter x = x ~ + x ^(mod n) zu erzeugen.
  • Als nächstes wählt der Benutzer einheitlich nach dem Zufallsprinzip einen Parameter t und einen Parameter r aus der Menge {0, 1, ..., N – 1} aus – mit anderen Worten, t ∊RIN und r ∊RIN.
  • Dann berechnet der Benutzer drei weitere Parameter C2, E1 und E2 und zwei weitere Signatures of Knowledge, V und W, wie folgt: C2 = ax1 am2 al4 (mod n), E1 = ax1 fr(mod n), E2 = gr(mod n),
    Figure 00150001
  • Es ist festzustellen, dass der Parameter E1 den Daten ax1 entspricht, die gemäß dem öffentlichen Schlüssel f der vertrauenswürdigen Stelle verschlüsselt sind. Der Benutzer übermittelt diese drei Parameter und zwei Signatures of Knowledge (C2, E1, E2 V, W) an den Unterzeichner.
  • Der Unterzeichner überprüft die zwei Signatures of Knowledge, V und W. Sind beide Signatures of Knowledge gültig, wählt der Unterzeichner einen ersten Parameter s einheitlich nach dem Zufallsprinzip aus der Menge
    Figure 00150002
    und einen zweiten Parameter e einheitlich nach dem Zufallsprinzip aus der Menge, die aus den Primzahlen zwischen 2le–1 und 2le besteht – mit anderen Worten:
    Figure 00150003
  • Der Unterzeichner berechnet dann einen Parameter A wie folgt: A = (a0C2as5 IdU)l/e(mod n)
  • Der Unterzeichner übermittelt A, e und s an den Benutzer, der überprüft, ob die folgende Beziehung gilt:
    Figure 00160001
  • Mit diesen letzten beiden Überprüfungen wird der erste Teil des Protokolls zur Unterschriftenerzeugung beendet.
  • Im zweiten Teil des Protokolls zur Unterschriftenerzeugung erzeugt der Benutzer die tatsächliche digitale Unterschrift seiner Nachricht m. Dies bedeutet, dass die folgenden Elemente (die eine gültige digitale Unterschrift für eine Nachricht m, die eine
  • Ganzzahl aus der Menge {0, 1, ..., (2lm – 1)} gemäß diesem bevorzugten FBSS bilden) erzeugt werden:
    • – einen Wert Isig
    • – einen ElGamal-Chiffretext E = (E3, E4)
    • – eine Signature of Knowledge P, die beweist, dass U das Tupel (A, e, s, t, xu, x) kennt, so dass: • (P1): Isig = (ax1 mod n) und x ∊ IN • (P2)
      Figure 00160002
      und dass xu und t zu IN gehören und s zu
      Figure 00160003
      gehört. • (P3): E ist eine Verschlüsselung von axu3 (mod n)
  • Die Art eines ElGamal-Chiffretextes ist dem Fachmann auf diesem Gebiet wohl bekannt und wird daher hier nicht ausführlich beschrieben. Falls gewünscht, können jedoch weitere Informationen entnommen werden aus „A Public Key Cryptosystem and a Signature Scheme Based an Discrete Logarithms" von T. El Gamal, Hrsg. G.R. Blakley und D. Chaum, in Proceedings of Crypto '84, Bd. 196, Lecture Notes in Computer Science, Seiten 10–18, Springer-Verlag, 1985.
  • Eine Unterschrift SK auf m ist gültig, falls ihr Wissensbeweis PK gültig ist. Obwohl ein Benutzer mehrere verschiedene Signatures of Knowledge SK erzeugen kann, wird eine digitale Unterschrift auf Nachricht m nur durch den Wert Isig, der gemeinsam vom Benutzer und vom Unterzeichner berechnet wurde, bestimmt. Weisen zwei Unterschriften auf m jeweils verschiedene Isig-Werte auf, dann gelten diese Unterschriften als unterschiedlich. Weisen zwei Unterschriften auf m dieselben Werte für Isig auf, dann gelten sie als gleich, auch wenn ihre jeweiligen Signatures of Knowledge SK unterschiedlich sind.
  • Gemäß der bevorzugten Ausführungsform der vorliegenden Erfindung kann eine geeignete Signature of Knowledge SK wie folgt erstellt werden:
    Der Benutzer berechnet Isig = ax1 (mod n).
  • Der Benutzer wählt einheitlich nach dem Zufallsprinzip drei Parameter, w, w1 und w2 innerhalb der Menge {0, 1, ..., IN – 1}, mit anderen Worten, w, w1, w2R IN.
  • Der Benutzer berechnet dann den ElGamal Chiffretext E3, E4 und zwei andere Parameter D1 und D2 wie folgt:
    Figure 00170001
  • Die Signature of Knowledge SK wird dann wie folgt bestimmt:
    Figure 00180001
  • Obwohl die oben genannte Signature of Knowledge den oberflächlichen Anschein von Komplexität aufweist, wird der Fachmann leicht erkennen, dass sie auf eine Signature of Knowledge hinausläuft, die zeigt, dass der Benutzer Werte α, β, γ, δ, η, ζ, θ, ι, ε und μ kennt, die den 11 Prädikaten auf der rechten Seite der Spalte in der oben genannten Definition entsprechen.
  • Der Fachmann wird aufgrund seiner allgemeinen Kenntnisse auf diesem Gebiet leicht verstehen, welche Daten an den Verifizierer übermittelt werden müssen, um ein Prädikat eines bestimmten Typs von der Signature of Knowledge SK nachzuweisen. Es gibt allerdings eine äußerst große Anzahl von Fachartikeln auf diesem Gebiet, die Einzelheiten darüber vermitteln, wie Signatures of Knowledge, die den Besitz von geheimen Stücken Wissen verschiedener Art nachweisen, erzeugt werden müssen, siehe zum Beispiel „Efficient Group Signature Schemes for Large Groups" von J. Camenisch und M. Stadler in Advances in Cryptology – CRYPTO '97, Bd. 1294 der Lecture Notes in Computer Sciences, S. 410–424, Springer Verlag, 1997.
  • Es kann jedoch hilfreich sein, an dieser Stelle an einige der Signatures of Knowledge zu erinnern, die geeignet sind nachzuweisen, dass ein Beweiser sich im Besitz eines zugehörigen geheimen Stücks Wissen befindet, wenn dieses geheime Stück Wissen bestimmte Formen annimmt (siehe unten). Diese können als Bausteine angesehen werden, die bei der bevorzugten Ausführungsform der vorliegenden Erfindung verwendet werden.
  • Baustein 1 – Der Benutzer kennt x, den diskreten Logarithmus von y zur Basis g
  • Es soll der Fall betrachtet werden, in dem der Benutzer den diskreten Logarithmus x einer Zahl y zu einer Basis g kennt (das heißt y = gx), wobei sowohl g als auch y Glieder einer Gruppe G sind.
  • Möchte der Benutzer nachweisen, dass er x kennt (welches der diskrete Logarithmus von y zur Basis g ist), ohne diesen Wert x preiszugeben, kann er dies wie folgt tun. Er wählt zunächst einheitlich nach dem Zufallsprinzip einen Parameter r aus der Menge {0, 1, ..., 1∊(lc+k) – 1} aus, dann bestimmt er den Wert von zwei Beweisparametern, c und s, gemäß c = H(g||y||gr||m) und s = r – cx (in Z). Falls der Beweiser wirklich den Wert des diskreten Logarithmus x kennt und den entsprechenden Wert verwendet hat, als er die Beweisparameter c und s erzeugt hat, dann wird das Datenpaar (c, s) der Gleichung c = H(g||y||ycgs||m), entsprechen, in der c und s jeweils Glieder der Menge
    Figure 00190001
    sind.
  • Falls der Benutzer also eine Signature of Knowledge erzeugt, die einen Wert dieses Datenpaars (c, s), das c = H(g||y||ycgs||m), entspricht, enthält, dann beweist dies, dass der Benutzer den diskreten Logarithmus von y zur Basis g auf einer Nachricht m ∊ {0, 1}* kennt. Die entsprechende Signature of Knowledge kann als SK(α : y = gα)(m) bezeichnet werden.
  • Baustein 2 – Der Benutzer kennt x, den diskreten Logarithmus von y1 zur Basis g UND den diskreten Logarithmus von y2 zur Basis h
  • In diesem Fall weiß der Benutzer, dass y1 = gx und dass y2 = hx. Der Benutzer kann den Besitz dieses Wissens wie folgt beweisen, ohne x preiszugeben.
  • Er wählt zunächst einheitlich nach dem Zufallsprinzip einen Parameter r aus der Menge {0, 1, ..., I∊(lc+k) – 1} aus, dann bestimmt er den Wert von zwei Beweisparametern, c und s, gemäß c = H(g||h||y1||y2||gr||hr||m) und s = r – cx (in Z). Falls der Beweiser wirklich den Wert des diskreten Logarithmus x kennt und falls dieser diskrete Logarithmus von y1 zur Basis g derselbe ist wie der diskrete Logarithmus von y2 zu h und der Beweiser den entsprechenden Wert von x verwendet hat, als er die Beweisparameter c und s erzeugt hat, dann wird das Datenpaar (c, s) der Gleichung c = H(g||h||y1||y2||yc1 gs||yc2 hs||m) entsprechen, bei der c und s jeweils Glieder der Menge
    Figure 00200001
    sind.
  • Falls der Benutzer also eine Signature of Knowledge erzeugt, die einen Wert dieses Datenpaars (c, s), das c = H(g||h||y1||y2||yc1 gs||yc2 hs||m) entspricht, enthält, dann beweist dies, dass der Benutzer sowohl den diskreten Logarithmus von y1 zur Basis g und den diskreten Logarithmus von y2 zur Basis h auf einer Nachricht m ∊ {0, 1}* kennt. Die entsprechende Signature of Knowledge kann als SK(α, β : y1 = gα1 ∧ y2 = gβ2 )(m) bezeichnet werden.
  • Baustein 3 – Der Benutzer kennt x1, x2, die Darstellung von y zur Basis g und zur Basis h
  • In diesem Fall weiß der Benutzer, dass y = gx1hx2. Der Benutzer kann den Besitz dieses Wissens wie folgt beweisen, ohne x1 und x2 preiszugeben.
  • Er wählt zunächst einheitlich nach dem Zufallsprinzip zwei Parameter r1, r2 aus der Menge {0, 1, ..., I∊(lG+k) – 1), dann bestimmt er den Wert von drei Beweisparametern, c, s1 und s2 gemäß
    Figure 00200002
    und s2 = r2 – cx2 (in Z). Falls der Beweiser wirklich die Darstellung von y zur Basis g und zur Basis h kennt und hat er den entsprechenden Wert verwendet, als er die Beweisparameter c, s1 und s2 erzeugt hat, dann wird der Datensatz (c, s1, s2) der Gleichung
    Figure 00210001
    entsprechen, bei der c, s1 und s2 jeweils Glieder der Menge
    Figure 00210002
    sind.
  • Falls der Benutzer also eine Signature of Knowledge erzeugt, die einen Wert dieses Datensatzes (c, s1, s2), das
    Figure 00210003
    entspricht, enthält, dann beweist dies, dass der Benutzer die Darstellung von y zur Basis g und zur Basis h auf einer Nachricht m ∊ {0, 1}* kennt. Die entsprechende Signature of Knowledge kann als SK(α, β : y = gαhβ)(m) bezeichnet werden.
  • Baustein 4 – Der Benutzer kennt den diskreten Logarithmus von y zur Basis g und weiß, dass dieser diskrete Logarithmus in einem bestimmten Intervall liegt
  • In diesem Fall weiß der Benutzer, dass y = gx und dass x in dem Intervall ]X – 2∊(l+k), X + 2∊(l+k)[ liegt. Der Benutzer kann den Besitz dieses Wissens wie folgt beweisen, ohne x preiszugeben.
  • Er wählt zunächst einheitlich nach dem Zufallsprinzip einen Parameter r aus der Menge {0, 1, ..., I∊(lc+k) – 1) aus, dann bestimmt er den Wert von zwei Beweisparametern, c und s, gemäß c = H(g||y||gr||m), s = r – c(x – X)(in Z). Falls der Beweiser wirklich den diskreten Logarithmus von y zur Basis g und den Intervall, in dem dieser liegt, kennt und hat er den entsprechenden Wert verwendet, als er die Beweisparameter c und s erzeugt hat, dann wird das Datenpaar (c, s) der Gleichung c = H(g||y||ycgs–cX||m) entsprechen, wobei c und s jeweils Glieder der Menge
    Figure 00210004
    sind.
  • Falls der Benutzer also eine Signature of Knowledge erzeugt, die einen Wert dieses Datenpaars (c, s), das c = H(g||y||ycgs–cX||m) entspricht, enthält, dann beweist dies, dass der Benutzer den diskreten Logarithmus von y zur Basis g und den Intervall, in dem dieser liegt, auf einer Nachricht m ∊ {0, 1}* kennt. Die entsprechende Signature of Knowledge kann wie folgt bezeichnet werden: SK(α : y = gα ∧ α ∊]X – 2∊(l+k), X + 2∊(l+k)[)(m).
  • Protokoll zur Unterschriftenvorlage
  • Wenn wir jetzt auf das faire Blindunterschriftensystem, FBSS, gemäß der bevorzugten Ausführungsform der Erfindung zurückkommen, so kann der Benutzer, wenn er die Erzeugung einer unterzeichneten Nachricht beendet hat, diese wie gewünscht anderen vorlegen. Eine Stelle (wie zum Beispiel der Unterzeichner), der die unterzeichnete Nachricht vorgelegt wird, möchte vielleicht von der Gültigkeit einer bestimmten Unterschrift, die unter Verwendung dieses FBSS erzeugt wurde, überzeugt sein. Entsprechend möchte er eventuell die Gültigkeit der Signature of Knowledge P, die mit der unterzeichneten Nachricht verknüpft ist, überprüfen. Die Signature of Knowledge P ist eine Kombination aus allen oben erwähnten Bausteinen und kann durch Verwendung eines interaktiven Verfahrens, an dem der Benutzer (Beweiser) und ein Verifizierer (zum Beispiel der Unterzeichner) beteiligt sind, überprüft werden.
  • Nachverfolgungsprotokolle
  • Protokoll zur Unterschriftennachverfolgung
  • Möchte man ein bestimmte Unterschrift, die sich aus einer bestimmten Sitzung zur Unterschriftenerzeugung ergeben hat, nachverfolgen, kann der Unterzeichner der vertrauenswürdigen Stelle das Paar (E1, E2), das während jener Sitzung zur Unterschriftenerzeugung betrachtet wurde, zur Verfügung stellen, und die vertrauenswürdige Stelle kann diesen Chiffretext entschlüsseln, um Isig zu bestimmen. Auf diese Weise kann die vertrauenswürdige Stelle feststellen, welche Unterschrift auf die betreffende Sitzung zur Unterschriftenerzeugung zurückzuführen ist.
  • Protokoll zur Sitzungsnachverfolgung
  • Möchte man die Sitzung zur Unterschriftenerzeugung, die zu der Erzeugung einer bestimmten Unterschrift geführt hat, nachverfolgen, kann der Unterzeichner der vertrauenswürdigen Stelle das Paar (E3, E4) von der gültigen Unterschrift zur Verfügung stellen, und die vertrauenswürdige Stelle kann diesen Chiffretext entschlüsseln, um den Wert Idu, durch den der Benutzer, der diese Unterschrift erhalten hat, identifiziert wird, zu bestimmen.
  • Anwendungsbeispiele
  • Das faire Blindunterschriftenschema nach der vorliegenden Erfindung kann bei einer großen Vielfalt von Anwendungen eingesetzt werden. Einige Beispiele für mögliche Anwendungen sind zum Beispiel Folgende (obwohl es sich versteht, dass die vorliegende Erfindung nicht auf diese Beispiele beschränkt ist): elektronische Auktionen, Nachverfolgung von unerlaubten finanziellen Geschäften und Online-Wahlverfahren, wie zum Beispiel das in der ebenfalls anhängigen europäischen Patentanmeldung des Anmelders mit dem Titel „Electronic Voting Process Using Fair Blind Signatures" („Elektronisches Wählverfahren mit Einsatz fairer Blindunterschriften"), die gleichzeitig mit der vorliegenden Anmeldung eingereicht wurde, beschrieben ist.
  • Die vorliegende Erfindung ist nicht speziell auf die besondere Software und Hardware beschränkt, die für den Einsatz des fairen Blindunterschriftenschemas verwendet werden kann. Der Fachmann wird aufgrund seiner allgemeinen Kenntnisse auf diesem Gebiet leicht verstehen, wie geeignete Softwareroutinen und Hardware ausgewählt werden müssen, um diese Erfindung einzusetzen.
  • Es ist jedoch anzumerken, dass die vorliegende Erfindung unter Verwendung eines Satzes von zusammenwirkenden, entsprechend programmierten, Mehrzweck-EDV-Vorrichtungen, wie zum Beispiel Personal Computer, Webserver, Personal Digital Assistants, Netzwerk-PCs, entsprechend ausgerüstete Mobiltelefone, usw. verwendet werden kann. Alternativ kann ein Teil oder das gesamte Unterschriftenschema unter Verwendung spezieller Datenverarbeitungsvorrichtungen eingesetzt werden. Im Allgemeinen wird es nur eine Datenverarbeitungs-/EDV-Vorrichtung für den (oder jeden) Unterzeichner, für die (oder jede) vertrauenswürdige Stelle und für jeden Benutzer geben. Es versteht sich jedoch, dass die verschiedenen Stellen, die an dem Unterschriftenschema beteiligt sind, dezentrale EDV-Systeme verwenden können, in denen bestimmte Unterprogramme oder Programmmodule in dezentralen Einheiten statt in einer zentralisierten Vorrichtung ausgeführt werden.
  • Obwohl die vorliegende Erfindung im Hinblick auf eine bestimmte bevorzugte Ausführungsform der Erfindung beschrieben wurden, ist es für den Fachmann leicht ersichtlich, dass verschiedene Merkmale der bevorzugten Ausführungsform abgewandelt, angepasst und/oder durch andere ersetzt werden können, ohne dass von der vorliegenden Erfindung, wie in den beigefügten Ansprüchen definiert, abgewichen wird.
  • Obwohl die oben beschriebene bevorzugte Ausführungsform des FBSS gemäß der Erfindung eine Phase der Benutzerregistrierung beinhaltet, kann diese zum Beispiel ausgelassen werden, falls es als ausreichend bewertet wird, wenn sich die Zeit der Erzeugung einer Zielunterschrift aufgrund der Sitzungsprotokolle bestimmen lässt. Mit anderen Worten, die Phase der Benutzerregistrierung kann ausgelassen werden, wenn es ausreicht, dass eine „Sitzungsnachverfolgung" statt einer „Benutzernachverfolgung" erfolgen kann.
  • Des Weiteren ist es für den Fachmann leicht ersichtlich, dass, auch wenn die bevorzugte Ausführungsform oben in Bezug auf ein FBSS, das eine einzige vertrauenswürdige Stelle verwendet, beschrieben wurde, statt dessen eine Gruppe von vertrauenswürdigen Stellen verwendet werden kann und dass die Anonymität nur aufgehoben werden kann, wenn eine Mindestanzahl dieser vertrauenswürdigen Stellen zusammenarbeiten (mit anderen Worten, die Protokolle zur Unterschriftennachverfolgung und zur Sitzungsnachverfolgung werden durch eine Gruppe von vertrauenswürdigen Stellen statt von einer einzelnen vertrauenswürdigen Stelle ausgeführt). Die Erweiterung des oben beschriebenen FBSS zu dem hier vorliegenden Fall, in dem es mehrere vertrauenswürdige Stellen gibt, ist für den Fachmann einfach, so dass hier keine ausführliche Beschreibung erfolgen wird. Falls gewünscht, kann eine Anleitung für ein Verfahren zum Erweitern dieses Vorgehens in dem Fall, dass es mehrere vertrauenswürdige Stellen gibt, entnommen werden aus der Betrachtung von „How to Share a Secret" von A. Shamir, Proc. of Communications of the ACM, S. 612–613, 1979.
  • Auch wenn die bevorzugte Ausführungsform oben in Bezug auf ein FBSS, das eine einzelne Stelle als Unterzeichner verwendet, beschrieben wurde, ist es des Weiteren für den Fachmann leicht ersichtlich, dass eine Gruppe von Stellen verwendet werden kann, um statt dessen den Unterzeichner zu bilden, und die vom Benutzer geforderten Daten, um eine gültige Unterschrift zu erzeugen, werden durch die Zusammenarbeit einer Mindestanzahl der Stellen, die den Unterzeichner bilden, erhalten, mit anderen Worten, die vorliegende Erfindung kann als eine Grundlage für ein faires Blindunterschriftenschema eingesetzt werden. Die Erweiterung des oben beschriebenen FBSS zu dem hier vorliegenden Fall, in dem der Unterzeichner aus einer Gruppe von vertrauenswürdigen Stellen gebildet ist, ist für den Fachmann einfach, so dass hier keine ausführliche Beschreibung erfolgen wird. Falls gewünscht, kann eine Anleitung dafür, wie diese Erweiterung erfolgen muss, entnommen werden aus „Fully distributed threshold RSA under standard assumptions" von P-A Fouque und J. Stern, Proc. of Asiacrypt '01, Bd. 2248 der Lecture Notes in Computer Science, S. 310–330, Springer-Verlag.
  • Des Weiteren versteht es sich, dass die vorliegende Erfindung nicht speziell beschränkt ist hinsichtlich der Art und Weise, in der Daten zwischen den verschiedenen Stellen, die an dem Unterschriftenschema beteiligt sind, übermittelt werden. Obwohl es bei vielen Anwendungen wahrscheinlich ist, dass diese Datenübertragung über das Internet erfolgt, ist dies keine Bedingung der vorliegenden Erfindung. Es können insbesondere andere Kommunikationsnetzwerke (einschließlich LAN, WAN, usw.) verwendet werden.

Claims (15)

  1. Faires Blindunterschriftenschema, bei dem ein Benutzer mit einem Unterzeichner in einer Unterschrift erzeugenden Phase kommuniziert, wobei, um eine faire digitale Blindunterschrift auf einer Nachricht zu erhalten, der Unterzeichner einen öffentlichen Schlüssel hat und eine vertrauenswürdige Stelle die Anonymität der digitalen Unterschrift widerrufen kann; dadurch gekennzeichnet, dass der Benutzer Daten von dem Unterzeichner erhält, um ein Siebentupel zu vervollständigen, das aus dem ersten bis siebten Element A, e, S, t, xu, x und m besteht, so dass die folgende Gleichung gilt:
    Figure 00270001
    wobei a0, a1, a2, a3, a4 und a5 sowie n Elemente des öffentlichen Schlüssels des Unterzeichners sind und vom Unterzeichner erzeugt sind, m die zu unterzeichnende Nachricht ist, e und s Parameter sind, die vom Unterzeichner zufällig einheitlich gewählt sind, t und xu Parameter sind, die vom Benutzer zufällig einheitlich gewählt sind, x ein Zwischenwert ist, der vom Benutzer berechnet ist, basierend auf einem Parameter, der von dem Benutzer zufällig einheitlich ausgewählt ist, sowie auf einem Parameter, der von dem Unterzeichner zufällig einheitlich ausgewählt ist, und A ein Parameter ist, der berechnet wird gemäß: A = (a0 C2 as5 IdU)l/e(mod n)wobei C2 ein Parameter ist, der von dem Benutzer berechnet wird gemäß: C2 = ax1 am2 al4 (mod n), und Idu ein Code ist, der von dem Benutzer berechnet wird, um den Benutzer zu identifizieren.
  2. Faires Blindunterschriftenschema nach Anspruch 1, umfassend eine Phase der Unterschriftenvorlage, in der der Benutzer einem Dritten eine Nachricht m vorlegt, die gemäß dem fairen Blindunterschriftenschema unterzeichnet ist und wobei der Benutzer in der Phase der Unterschriftenvorlage dem Dritten Folgendes vorlegt: – verschlüsselte Daten E3, E4, umfassend mindestens ein erstes Datenelement
    Figure 00280001
    in verschlüsselter Form; – eine Festschreibung auf A, und – eine „Signature of Knowledge" P, die wie folgt definiert ist:
    Figure 00280002
    wobei Isig ein Parameter ist, der vom Benutzer gemäß Isig = ax1 (mod n) berechnet wird, f ein öffentlicher Schlüssel der vertrauenswürdigen Stelle ist, g und h weitere Elemente des öffentlichen Schlüssels des Unterzeichners sind, D1 ein Parameter ist, der gemäß D1 = A hw1(mod n) definiert ist, wobei w1 ein Parameter ist, der von dem Benutzer zufällig einheitlich gewählt ist, D2 ein Parameter ist, der gemäß D2 = A gw1 hw2(mod n) definiert ist, wobei w2 ein Parameter ist, der von dem Benutzer zufällig einheitlich gewählt ist, le ein Längenparameter ist, der gemäß le ≥ lr + 2 definiert ist, wobei lr = max (lm, lN) ist, lm die Bitlänge der Nachricht m und lN die Bitlänge eines Parameters N ist, wobei N = [n/4], und ls ein Längenparameter ist, der gemäß ls≥ ln + lr + l + 3 definiert ist, wobei ln die Bitlänge von n und 1 ein Sicherheitsparameter ist, der durch das faire Blindunterschriftenschema definiert ist.
  3. Faires Blindunterschriftenschema nach Anspruch 1 oder 2, wobei der Benutzer während der Unterschrift erzeugenden Phase dem Unterzeichner zweite verschlüsselte Daten bereitstellt, die mindestens ein zweites Datenelement umfassen, das gemäß einem Schlüssel verschlüsselt ist, der der vertrauenswürdigen Stelle bekannt ist, und wobei das zweite Datenelement während der Übertragung der unterzeichneten Nachricht offenbart wird, wobei die vertrauenswürdige Stelle von der Übertragung einer eine Unterschrift erzeugenden Sitzung bestimmen kann, welche digitale Unterschrift sich daraus ergeben hat.
  4. Faires Blindunterschriftenschema nach Anspruch 2, wobei die verschlüsselten Daten E3, E4 das mindestens eine erste Datenelement
    Figure 00300001
    umfassen, das gemäß einem Schlüssel verschlüsselt ist, der der vertrauenswürdigen Stelle bekannt ist, und das mindestens eine erste Datenelement
    Figure 00300002
    dem Unterzeichner während der die Unterschrift erzeugenden Phase offenbart wird, wobei die vertrauenswürdige Stelle von einer übertragenen Unterschrift die die Unterschrift erzeugende Sitzung bestimmen kann, in welcher die Unterschrift erzeugt wurde.
  5. Faires Blindunterschriftenschema nach Anspruch 4, umfassend eine Phase der Benutzerregistrierung, während der der Benutzer der vertrauenswürdigen Stelle das mindestens eine erste Datenelement
    Figure 00300003
    als ein Parameter bereitstellt, der dazu dient, den Benutzer zu identifizieren.
  6. Faires Blindunterschriftenschema nach einem der vorhergehenden Ansprüche, wobei der Unterzeichner von mehreren Stellen gebildet ist, wobei die Zusammenarbeit einer Mindestanzahl der Stellen erforderlich ist, um dem Benutzer die Daten bereitzustellen, um das Siebentupel zu vervollständigen.
  7. Faires Blindunterschriftensystem nach einem der vorhergehenden Ansprüche, wobei die vertrauenswürdige Stelle von mehreren vertrauenswürdigen Stellen gebildet ist und der Widerruf der Anonymität der digitalen Unterschrift durch Zusammenarbeit einer Mindestzahl der mehreren vertrauenswürdigen Stellen erreicht werden kann.
  8. Computerprogramm, das einen Befehlssatz aufweist, der, wenn er auf einem Rechensystem verwendet wird, einschließlich mindestens einer Rechenvorrichtung für Benutzer, einer Rechenvorrichtung für Unterzeichner und einer Rechenvorrichtung für vertrauenswürdige Stellen, dazu führt, dass das Rechensystem das faire Blindunterschriftenschema nach einem der Ansprüche 1 bis 7 einsetzt.
  9. Unterschriftensystem, das bei der Verwendung geeignet ist, ein faires Blindunterschriftenschema umzusetzen, bei dem ein Benutzer mit einem Unterzeichner in einer Unterschrift erzeugenden Phase kommuniziert, wobei, um eine faire digitale Blindunterschrift auf einer Nachricht zu erhalten, der Unterzeichner einen öffentlichen Schlüssel hat und eine vertrauenswürdige Stelle in der Lage ist, die Anonymität der digitalen Unterschrift zu widerrufen, wobei das Unterschriftensystem Folgendes umfasst: mindestens eine Benutzervorrichtung; eine Unterzeichnervorrichtung; und eine Vorrichtung für die vertrauenswürdige Stelle; wobei die oder jede Benutzervorrichtung geeignet ist, mit der Unterzeichnervorrichtung zusammenzuwirken, um ein Unterschrift erzeugendes Protokoll auszuführen; wobei die Vorrichtung der vertrauenswürdigen Stelle und die Unterzeichnervorrichtung geeignet sind zusammenzuwirken, um mindestens ein Ablaufprotokoll auszuführen; dadurch gekennzeichnet, dass die Ausführung des Unterschrift erzeugenden Protokolls der Benutzervorrichtung Daten von der Unterzeichnervorrichtung bereitstellt, die die Benutzervorrichtung in die Lage versetzen, ein Siebentupel zu vervollständigen, das aus dem ersten bis siebten Element A, e, S, t, xu, x und m besteht, so dass folgende Gleichung gilt:
    Figure 00320001
    wobei a0, a1, a2, a3, a4 und a5 sowie n Elemente des öffentlichen Schlüssels des Unterzeichners sind und vom Unterzeichner erzeugt sind, m die zu unterzeichnende Nachricht ist, e und s Parameter sind, die vom Unterzeichner zufällig einheitlich gewählt sind, t und xu Parameter sind, die vom Benutzer zufällig einheitlich gewählt sind, x ein Zwischenwert ist, der vom Benutzer berechnet wird, basierend auf einem Parameter, der von dem Benutzer zufällig einheitlich ausgewählt ist, sowie auf einem Parameter, der von dem Unterzeichner zufällig einheitlich ausgewählt ist, und A ein Parameter ist, der berechnet wird gemäß: A = (a0 C2 as5 IdU)l/e(mod n)wobei C2 ein Parameter ist, der von dem Benutzer berechnet wird gemäß: C2 = ax1 am2 al4 (mod n), undIdu ein Code ist, der von dem Benutzer berechnet wird, um den Benutzer zu identifizieren.
  10. Benutzervorrichtung, die bei der Verwendung geeignet ist, an einem fairen Blindunterschriftenschema teilzunehmen, bei dem ein Benutzer mit einem Unterzeichner in einer Unterschrift erzeugenden Phase kommuniziert, wobei, um eine faire digitale Blindunterschrift auf einer Nachricht zu erhalten, der Unterzeichner einen öffentlichen Schlüssel hat und eine vertrauenswürdige Stelle in der Lage ist, die Anonymität der digitalen Unterschrift zu widerrufen, wobei die Benutzervorrichtung Folgendes umfasst: Nachricht bereitstellende Mittel zur Bereitstellung einer Nachricht m; und Mittel zur Unterschriftenanforderung zur Ausgabe einer Anforderung der Unterschrift der Nachricht m an eine Unterzeichnervorrichtung gemäß einem vorgegebenen Protokoll der Unterschriftenerzeugung; wobei die Benutzervorrichtung geeignet ist, mit der Unterzeichnervorrichtung zusammenzuwirken, um das Unterschrift erzeugende Protokoll auszuführen; dadurch gekennzeichnet, dass die Ausführung des Unterschrift erzeugenden Protokolls der Benutzervorrichtung Daten von der Unterzeichnervorrichtung bereitstellt, die die Benutzervorrichtung in die Lage versetzen, ein Siebentupel zu vervollständigen, das aus dem ersten bis siebten Element A, e, S, t, xu, x und m besteht, so dass folgende Gleichung gilt:
    Figure 00330001
    wobei a0, a1, a2, a3, a4 und a5 sowie n Elemente des öffentlichen Schlüssels des Unterzeichners sind und vom Unterzeichner erzeugt sind, m die zu unterzeichnende Nachricht ist, e und s Parameter sind, die vom Unterzeichner zufällig einheitlich gewählt sind, t und xu Parameter sind, die vom Benutzer zufällig einheitlich gewählt sind, x ein Zwischenwert ist, der vom Benutzer berechnet wird, basierend auf einem Parameter, der von dem Benutzer zufällig einheitlich ausgewählt ist, sowie auf einem Parameter, der von dem Unterzeichner zufällig einheitlich ausgewählt ist, und A ein Parameter ist, der berechnet wird gemäß: A = (a0 C2 as5 IdU)l/e(mod n)wobei C2 ein Parameter ist, der von dem Benutzer berechnet wird gemäß: A = (a0 C2 as5 IdU)l/e(mod n) undIdu ein Code ist, der von dem Benutzer berechnet wird, um den Benutzer zu identifizieren.
  11. Computerprogramm, das einen Befehlssatz aufweist, der, wenn er auf Computervorrichtungen verwendet wird, die Computervorrichtung anpasst, so dass die Benutzervorrichtung nach Anspruch 10 gebildet wird.
  12. Unterzeichnervorrichtung, die bei der Verwendung geeignet ist, an einem fairen Blindunterschriftenschema teilzunehmen, bei dem ein Benutzer mit einem Unterzeichner in einer Unterschrift erzeugenden Phase kommuniziert, wobei, um eine faire digitale Blindunterschrift auf einer Nachricht zu erhalten, der Unterzeichner einen öffentlichen Schlüssel hat und eine vertrauenswürdige Stelle in der Lage ist, die Anonymität der digitalen Unterschrift zu widerrufen, wobei die Unterzeichnervorrichtung Folgendes umfasst: Anforderungen empfangende Mittel zum Empfang einer Anforderung der Unterschrift einer Nachricht m von einer Benutzervorrichtung; Mittel zur Durchführung eines Unterschriftenprotokolls zum Zusammenwirken mit der Benutzervorrichtung, um ein vorgegebenes Protokoll der Unterschriftenerzeugung auszuführen; dadurch gekennzeichnet, dass die Ausführung des Unterschrift erzeugenden Protokolls der Benutzervorrichtung Daten von der Unterzeichnervorrichtung bereitstellt, die die Benutzervorrichtung in die Lage versetzen, ein Siebentupel zu vervollständigen, das aus dem ersten bis siebten Element A, e, S, t, xu, x und m besteht, so dass folgende Gleichung gilt:
    Figure 00350001
    wobei a0, a1, a2, a3, a4 und a5 sowie n Elemente des öffentlichen Schlüssels des Unterzeichners sind und vom Unterzeichner erzeugt sind, m die zu unterzeichnende Nachricht ist, e und s Parameter sind, die vom Unterzeichner zufällig einheitlich gewählt sind, t und xu Parameter sind, die vom Benutzer zufällig einheitlich gewählt sind, x ein Zwischenwert ist, der vom Benutzer berechnet wird, basierend auf einem Parameter, der von dem Benutzer zufällig einheitlich ausgewählt ist, sowie auf einem Parameter, der von dem Unterzeichner zufällig einheitlich ausgewählt ist, und A ein Parameter ist, der berechnet wird gemäß: A = (a0 C2 as5 IdU)l/e(mod n)wobei C2 ein Parameter ist, der von dem Benutzer berechnet wird gemäß: C2 = ax1 am2 al4 (mod n), undIdu ein Code ist, der von dem Benutzer berechnet wird, um den Benutzer zu identifizieren.
  13. Computerprogramm, das einen Befehlssatz aufweist, der, wenn er auf Computervorrichtungen verwendet wird, die Computervorrichtung anpasst, so dass die Unterzeichnervorrichtung nach Anspruch 12 gebildet wird.
  14. Vorrichtung der vertrauenswürdigen Stelle, die bei der Verwendung geeignet ist, an einem fairen Blindunterschriftenschema teilzunehmen, bei dem ein Benutzer mit einem Unterzeichner in einer Unterschrift erzeugenden Phase kommuniziert, wobei, um eine faire digitale Blindunterschrift auf einer Nachricht zu erhalten, der Unterzeichner einen öffentlichen Schlüssel hat; dadurch gekennzeichnet, dass die Vorrichtung der vertrauenswürdigen Stelle Mittel umfasst, die geeignet sind, die Anonymität einer digitalen Unter schrift zu widerrufen, die gemäß einem Unterschrift erzeugenden Protokoll erzeugt ist, durch dessen Ausführung dem Benutzer Daten von dem Unterzeichner bereitgestellt werden, durch die der Benutzer in die Lage versetzt wird, ein Siebentupel zu vervollständigen, das aus dem ersten bis siebten Element A, e, S, t, xu, x und m besteht, so dass folgende Gleichung gilt:
    Figure 00370001
    wobei a0, a1, a2, a3, a4 und a5 sowie n Elemente des öffentlichen Schlüssels des Unterzeichners sind und vom Unterzeichner erzeugt sind, m die zu unterzeichnende Nachricht ist, e und s Parameter sind, die vom Unterzeichner zufällig einheitlich gewählt sind, t und xu Parameter sind, die vom Benutzer zufällig einheitlich gewählt sind, x ein Zwischenwert ist, der vom Benutzer berechnet wird, basierend auf einem Parameter, der von dem Benutzer zufällig einheitlich ausgewählt ist, sowie auf einem Parameter, der von dem Unterzeichner zufällig einheitlich ausgewählt ist, und A ein Parameter ist, der berechnet wird gemäß: A = (a0 C2 as5 IdU)l/e(mod n)wobei C2 ein Parameter ist, der von dem Benutzer berechnet wird gemäß: C2 = ax1 am2 al4 (mod n),und Idu ein Code ist, der von dem Benutzer berechnet wird, um den Benutzer zu identifizieren.
  15. Computerprogramm, das einen Befehlssatz aufweist, der, wenn er auf Computervorrichtungen verwendet wird, die Computervorrichtung anpasst, so dass die Vorrichtung der vertrauenswürdigen Stelle nach Anspruch 14 gebildet wird.
DE602004006373T 2004-03-02 2004-03-02 Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften Expired - Lifetime DE602004006373T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP04290558A EP1571778B1 (de) 2004-03-02 2004-03-02 Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften

Publications (2)

Publication Number Publication Date
DE602004006373D1 DE602004006373D1 (de) 2007-06-21
DE602004006373T2 true DE602004006373T2 (de) 2008-01-17

Family

ID=34746157

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004006373T Expired - Lifetime DE602004006373T2 (de) 2004-03-02 2004-03-02 Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften

Country Status (6)

Country Link
US (1) US7584363B2 (de)
EP (1) EP1571778B1 (de)
JP (1) JP4932168B2 (de)
KR (1) KR100718489B1 (de)
AT (1) ATE362249T1 (de)
DE (1) DE602004006373T2 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1672358B (zh) * 2002-07-29 2010-07-14 国际商业机器公司 群签名方案
WO2006024042A2 (en) * 2004-08-27 2006-03-02 Ntt Docomo, Inc. Provisional signature schemes
JP2007004461A (ja) * 2005-06-23 2007-01-11 Nec Corp サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム
JP4218760B2 (ja) * 2005-07-01 2009-02-04 インターナショナル・ビジネス・マシーンズ・コーポレーション トレーサビリティ検証システム、方法、プログラム
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US7860244B2 (en) * 2006-12-18 2010-12-28 Sap Ag Secure computation of private values
EP2116000B1 (de) * 2007-02-28 2017-05-17 Orange Verfahren zur authentifizierung eines benutzers bei dienstanbietern
RU2452111C1 (ru) * 2010-11-17 2012-05-27 ЗАО Институт инфокоммуникационных технологий Способ пороговой генерации ключей для системы защиты информации на основе идентификационных данных
US10841080B2 (en) * 2018-03-20 2020-11-17 International Business Machines Corporation Oblivious pseudorandom function in a key management system
US10887293B2 (en) 2018-03-20 2021-01-05 International Business Machines Corporation Key identifiers in an obliviousness pseudorandom function (OPRF)-based key management service (KMS)
US10887088B2 (en) * 2018-03-20 2021-01-05 International Business Machines Corporation Virtualizing a key hierarchy using a partially-oblivious pseudorandom function (P-OPRF)
US11115206B2 (en) 2018-08-23 2021-09-07 International Business Machines Corporation Assymetric structured key recovering using oblivious pseudorandom function
US10924267B2 (en) 2018-08-24 2021-02-16 International Business Machines Corporation Validating keys derived from an oblivious pseudorandom function
FR3091107A1 (fr) * 2018-12-24 2020-06-26 Orange Procédé et système de génération de clés pour un schéma de signatures anonymes

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4926480A (en) * 1983-08-22 1990-05-15 David Chaum Card-computer moderated systems
US4759063A (en) * 1983-08-22 1988-07-19 Chaum David L Blind signature systems
US4914698A (en) * 1988-03-16 1990-04-03 David Chaum One-show blind signature systems
US4949380A (en) * 1988-10-20 1990-08-14 David Chaum Returned-value blind signature systems
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
US5832089A (en) * 1995-06-07 1998-11-03 Sandia Corporation Off-line compatible electronic cash method and system
KR19990053065A (ko) * 1997-12-23 1999-07-15 정선종 이산대수 문제에 근거한 디지탈 다중서명 방법
KR100309560B1 (ko) * 1998-11-23 2001-12-17 오길록 네트워크시스템에서의내용은닉서명방법
JP2000235341A (ja) 1999-02-16 2000-08-29 Nippon Telegr & Teleph Corp <Ntt> 公開検証可能依頼復元ブラインド署名方法、その装置およびプログラム記録媒体
JP3331329B2 (ja) 1999-02-23 2002-10-07 日本電信電話株式会社 公開検証可依頼復元ブラインド署名方法、その装置及びプログラム記録媒体
KR100349418B1 (ko) * 1999-08-10 2002-08-19 학교법인 한국정보통신학원 은닉서명의 남용 방지방법
KR100377352B1 (ko) * 2000-06-01 2003-03-26 이임영 은닉성의 제어가 가능한 전자 서명 방법
KR20020003059A (ko) * 2000-07-01 2002-01-10 배민관 정수 또는 다항식 행열을 이용한 공개키 암호시스템
KR100466827B1 (ko) * 2002-06-14 2005-01-17 이임영 키 복구를 지원하는 신원 위탁 방법

Also Published As

Publication number Publication date
US7584363B2 (en) 2009-09-01
EP1571778A1 (de) 2005-09-07
DE602004006373D1 (de) 2007-06-21
KR100718489B1 (ko) 2007-05-16
US20050278536A1 (en) 2005-12-15
ATE362249T1 (de) 2007-06-15
JP2005253083A (ja) 2005-09-15
JP4932168B2 (ja) 2012-05-16
KR20060043347A (ko) 2006-05-15
EP1571778B1 (de) 2007-05-09

Similar Documents

Publication Publication Date Title
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
DE60127516T2 (de) Verfahren zur Erzeugung einer digitalen Unterschrift und Verfahren zur Prüfung einer digitalen Unterschrift
DE60102490T2 (de) Infrastruktur für öffentliche Schlüssel
DE102011011652B4 (de) Verfahren zum Verwenden eines ECDSA mit Winternitzeinmalsignatur
DE69938624T2 (de) Robuste und effiziente verteilte erzeugung eines rsa-schlüssels
DE60114833T2 (de) Überprüfbare, geheime mischung von verschlüsselten daten wie z. b. elgamal-verschlüsselte daten für gesicherte mehrinstanzwahlen
EP2438707B1 (de) Pseudonymisierte authentifizierung
DE602005002652T2 (de) System und Verfahren für das Erneuern von Schlüsseln, welche in Public-Key Kryptographie genutzt werden
DE60006147T2 (de) Schlüsselzustimmungsprotokoll mit getrennten Schlüsseln
US7584363B2 (en) Fair blind signature process
DE60028645T2 (de) Vorrichtung und Verfahren zur Verteilung von Dokumenten
WO2018167252A1 (de) Ausstellen virtueller dokumente in einer blockchain
DE102013109513B4 (de) Verfahren und Vorrichtung zur Zertifikatverifizierung mit Privatsphärenschutz
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
Ghadafi Stronger security notions for decentralized traceable attribute-based signatures and more efficient constructions
DE69838258T2 (de) Public-Key-Datenübertragungssysteme
EP3182318A1 (de) Signaturgenerierung durch ein sicherheitstoken
DE112012000971B4 (de) Datenverschlüsselung
DE60318073T2 (de) Gruppensignaturschema
DE60202149T2 (de) Verfahren zur kryptographischen authentifizierung
EP2730050B1 (de) Verfahren zur erstellung und überprüfung einer elektronischen pseudonymen signatur
EP1401144B1 (de) Verfahren zur Schlüsselzertifizierung und Validierung elektronischer Signaturen
DE3905703C2 (de) Verfahren zur elektronischen Signatur
WO2013189909A1 (de) Verfahren zur zumindest einseitig authentisierten, sicheren kommunikation zwischen zwei kommunikationspartnern
DE19518544C1 (de) Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit

Legal Events

Date Code Title Description
8364 No opposition during term of opposition