EP1208668A1 - Method for specifying a key for a group of at least three subscribers - Google Patents

Method for specifying a key for a group of at least three subscribers

Info

Publication number
EP1208668A1
EP1208668A1 EP00944022A EP00944022A EP1208668A1 EP 1208668 A1 EP1208668 A1 EP 1208668A1 EP 00944022 A EP00944022 A EP 00944022A EP 00944022 A EP00944022 A EP 00944022A EP 1208668 A1 EP1208668 A1 EP 1208668A1
Authority
EP
European Patent Office
Prior art keywords
mod
group
zli
random number
participant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP00944022A
Other languages
German (de)
French (fr)
Inventor
Tobias Martin
Ralf Schaffelhofer
Jörg Schwenk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Publication of EP1208668A1 publication Critical patent/EP1208668A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols

Definitions

  • the invention relates to a method for agreeing a common key for a group of at least three participants according to the preamble of the independent claim.
  • Encryption methods in many different forms belong to the state of the art and are of increasing commercial importance. They are used to transmit messages via generally accessible transmission media, but only the owners of a crypto key can read these messages in plain text.
  • a known method for establishing a common key over insecure communication channels is e.g. B. the method of W. Diffie and W. Hellmann (see DH method W. Diffie and M. Hellmann, see New Directions in Cryptography, IEEE Transaction on Information Theory, IT-22 (6): 644-654, November 1976 ).
  • the DH key exchange is based on the fact that it is practically impossible to calculate logarithms modulo a large prime number p.
  • Alice and Bob take advantage of this in the example below by secretly choosing a number x and y less than p (and prime to p-1). Then they send (one after the other or simultaneously) the xth (or yth) power modulo p to a publicly known number ⁇ .
  • DH key exchange The problem with DH key exchange is that Alice doesn't know whether she is actually communicating with Bob or with a fraudster.
  • IETF RFC 2412 The OAKLEY Key Determination Protocol
  • this problem is solved through the use of public key certificates, in which the identity of a subscriber is linked to a public key by a trustworthy entity becomes. This makes it possible to verify the identity of a conversation partner.
  • the DH key exchange can also be realized with other mathematical structures, e.g. B. with finite bodies GF (2 n ) or elliptic curves. These alternatives can improve performance. However, this procedure is only suitable for agreeing a key between two participants.
  • each of the participants can calculate the secret key g abc mod p.
  • a cryptographic method known as a no-key method is also known.
  • subscriber A can confidentially transmit a message to subscriber B without both having a common cryptographic key.
  • Three communication steps are necessary to transmit a message (see Beutelspacher, Schwenk, Wolfenstetter. Modern cryptographic methods (2nd edition), Vieweg Verlag, Wiesbaden 1998).
  • the method must be suitable for generating a common key within a group of at least three participants.
  • the method should be designed in such a way that it is distinguished from the known methods by a low need for communication (a few rounds even with many participants). However, it should have a security standard comparable to that of the DH method.
  • the procedure must be easy to implement, and information about the structure of the group should not be required for the implementation of the method.
  • the method according to the invention which does justice to this task, is based on the same mathematical structures as the DH method and therefore has comparable security features. Compared to the previously proposed group DH experience, it is much more efficient in terms of communication needs and does not require any information about the structure of the group of participants.
  • Tl-Tn The defined participants in the procedure are referred to as Tl-Tn.
  • Ti Each individual participant who is not specifically named is referred to as Ti.
  • Tj denotes all other participants in the process, excluding the respective participant Ti.
  • the publicly known components of the method are a publicly known mathematical group G, preferably the multiplicative group of all integers modulo a large prime number p and a publicly known element of group g, preferably a number 0 ⁇ g ⁇ p with a large multiplicative order.
  • group G e.g. B. the multiplicative group of a finite field or the group of points of an elliptic curve. The method is described below using the group of numbers modulo a prime number p.
  • the process proceeds in three steps.
  • Such a number zli * can be calculated, for example, using the extended Euclidean algorithm, which is described in Beutelspacher, Schwenk, Wolfenstetter: Modern Methods of Cryptography (2nd edition), Vieweg Verlag, Wiesbaden 1998.
  • each participant Ti involved in the method has the messages Nj sent by all other participants Tj.
  • each subscriber Ti has the number Mji from all other subscribers Tj, all numbers Mji being based on the message Nj sent by the subscriber Tj in the 1st method step.
  • the common key k is calculated by each participant Ti, whereby
  • the messages generated in steps 1 and 2 can be sent both via point-to-point connections and by broadcast or multicast.
  • the third step instead of the specified function f, any other function that is symmetrical in all arguments can be used.
  • the method according to the invention is explained in more detail below on the basis of a concrete example for three subscribers A, B and C. However, the number of participants can be expanded to any number of participants.
  • the length of the number p is 1024 bits; g has a multiplicative order of at least 2,160 .
  • participants B and C calculate the common key k.

Abstract

The inventive method is based on a publicly known mathematical number group (G) and a higher-order element of the group g ELEMENT G. In the first work step, a first random number (zli) is generated by each subscriber (Ti) and a message corresponding to Ni: = g<zli> mod p is sent to all of the other subscribers. In the second work step, each subscriber (Ti) chooses a second random number (z2i), calculates the number Mji: = (Nj)<z2i> mod p for each message received (Nj) and sends it back in a user-related manner. In the third work step, each subscriber (Ti) first determines the values (Lj) and (Li) according to Lj:=Mij<zli>* mod p = g<z2j> mod p for j≠i and Li:= g<z2i> mod p and subsequently, the common key k according to the function k: = f(L1, L2, ..., Ln), f being a function which is symmetrical in its arguments. The invention is particularly suitable for generating a cryptographic key for a group of at least three subscribers.

Description

Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei TeilnehmernKey agreement procedure for a group of at least three participants
Beschreibung:Description:
Die Erfindung betrifft ein Verfahren zur Vereinbarung eines gemeinsamen Schlüssels für eine Gruppe von mindestens drei Teilnehmern gemäß dem Oberbegriff des unabhängigen Anspruchs. Verschlüsselungsverfahren in vielfältiger Art gehören zum Stand der Technik und haben zunehmend kommerzielle Bedeutung. Sie werden dazu eingesetzt, Nachrichten über allgemein zugängliche Übertragungsmedien zu übertragen, wobei aber nur die Besitzer eines Krypto-Schlüssels diese Nachrichten im Klartext lesen können.The invention relates to a method for agreeing a common key for a group of at least three participants according to the preamble of the independent claim. Encryption methods in many different forms belong to the state of the art and are of increasing commercial importance. They are used to transmit messages via generally accessible transmission media, but only the owners of a crypto key can read these messages in plain text.
Ein bekanntes Verfahren zur Etablierung eines gemeinsamen Schlüssels über unsichere Kommunikationskanäle ist z. B. das Verfahren von W. Diffie und W. Hellmann (siehe DH-Verfahren W. Diffie und M. Hellmann, siehe New Directions in Cryptography, IEEE Transaction on Information Theory, IT-22(6): 644-654, November 1976). Grundlage des DH-Schlüsselaustauschs ist die Tatsache, daß es praktisch unmöglich ist, Logarithmen modulo einer großen Primzahl p zu berechnen. Dies machen sich Alice und Bob in dem unten abgebildeten Beispiel zunutze, indem sie jeweils eine Zahl x bzw. y kleiner als p (und teilerfremd zu p-1) geheim wählen. Dann senden sie sich (nacheinander oder gleichzeitig) die x-te (bzw. y-te) Potenz modulo p einer öffentlich bekannten Zahl α zu. Aus den empfangenen Potenzen können sie durch erneutes Potenzieren modulo p mit x bzw. y einen gemeinsamen Schlüssel K: = αxy mod p berechnen. Ein Angreifer, der nur αx mod p und αy mod p sieht, kann daraus K nicht berechnen. (Die einzige heute bekannte Methode dazu bestünde darin, zunächst den Logarithmus z. B. von αx zur Basis α modulo p zu berechnen, und dann αy damit zu potenzieren.) Alice BobA known method for establishing a common key over insecure communication channels is e.g. B. the method of W. Diffie and W. Hellmann (see DH method W. Diffie and M. Hellmann, see New Directions in Cryptography, IEEE Transaction on Information Theory, IT-22 (6): 644-654, November 1976 ). The DH key exchange is based on the fact that it is practically impossible to calculate logarithms modulo a large prime number p. Alice and Bob take advantage of this in the example below by secretly choosing a number x and y less than p (and prime to p-1). Then they send (one after the other or simultaneously) the xth (or yth) power modulo p to a publicly known number α. From the received potencies, you can calculate a common key K: = α xy mod p by modulating p with x or y. An attacker who only sees α x mod p and α y mod p cannot calculate K from this. (The only known method today would be to first calculate the logarithm, e.g. from α x to the base α modulo p, and then to potentiate α y with it.) Alice Bob
Wählt x geheim αy Wählt y geheimDial x secretly α y Selects y secret
Bildet K: = (αy)x = α^ Bildet K: = (αx) y = α^Forms K: = (α y ) x = α ^ Forms K: = (α x ) y = α ^
Beispiel für Diffie-Hellmann-SchlüsselaustauschExample for Diffie-Hellmann key exchange
Das Problem beim DH-Schlüsselaustausch besteht darin, daß Alice nicht weiß, ob sie tatsächlich mit Bob kommuniziert, oder mit einem Betrüger. In den IPSec-Standards der Internet Engineering Task Force (IETF RFC 2412: The OAKLEY Key Determination Protocol) wird dieses Problem durch den Einsatz von Public-Key-Zertifikaten gelöst, in denen durch eine vertrauenswürdige Instanz die Identität eines Teilnehmers mit einem öffentlichen Schlüssel verknüpft wird. Dadurch wird die Identität eines Gesprächspartners überprüfbar.The problem with DH key exchange is that Alice doesn't know whether she is actually communicating with Bob or with a fraudster. In the IPSec standards of the Internet Engineering Task Force (IETF RFC 2412: The OAKLEY Key Determination Protocol), this problem is solved through the use of public key certificates, in which the identity of a subscriber is linked to a public key by a trustworthy entity becomes. This makes it possible to verify the identity of a conversation partner.
Der DH-Schlüsselaustausch kann auch mit anderen mathematischen Strukturen realisiert werden, z. B. mit endlichen Körpern GF (2n) oder elliptischen Kurven. Mit diesen Alternativen kann man die Performance verbessern. Dieses Verfahren ist allerdings nur zur Vereinbarung eines Schlüssels zwischen zwei Teilnehmern geeignet.The DH key exchange can also be realized with other mathematical structures, e.g. B. with finite bodies GF (2 n ) or elliptic curves. These alternatives can improve performance. However, this procedure is only suitable for agreeing a key between two participants.
Es wurden verschiedene Versuche unternommen, das DH-Verfahren auf drei oder mehr Teilnehmer zu erweitern (Gruppen DH). Einen Überblick über den Stand der Technik bietet M. Steiner, G. Tsudik, M. Waidner in Diffie-Hellmann Key Distribution Extened to Group Communication, Proc. 3rd ACM Conference on Computer and Communications Security, März 1996, Neu Delhi, Indien.Various attempts have been made to expand the DH process to three or more participants (groups DH). M. Steiner, G. Tsudik, M. Waidner in Diffie-Hellmann Key Distribution Extened to Group Communication, Proc provides an overview of the state of the art. 3rd rd ACM Conference on Computer and Communications Security, March 1996, New Delhi, India.
Eine Erweiterung des DH-Verfahrens auf Teilnehmer A, B und C wird z. B. durch nachfolgende Tabelle beschrieben (Berechnung jeweils mod p): An extension of the DH procedure to participants A, B and C is z. B. described by the following table (calculation in each case mod p):
Nach Durchführung dieser beiden Runden kann jeder der Teilnehmer den geheimen Schlüssel gabc mod p berechnen.After completing these two rounds, each of the participants can calculate the secret key g abc mod p.
Weiterhin ist eine Lösung aus Burmester, Desmedt, A secure and efficient Conference key distribution system, Proc. EUROCRYPT'94, Springer LNCS, Berlin 1994 bekannt, bei der zwei Runden zur Generierung des Schlüssels benötigt werden, wobei in der zweiten Runde durch die Zentrale für n Teilnehmer n Nachrichten der Länge p (= ca. 1000 Bit) gesendet werden müssen.Furthermore, a solution from Burmester, Desmedt, A secure and efficient Conference key distribution system, Proc. EUROCRYPT'94, Springer LNCS, Berlin 1994 known, in which two rounds are required to generate the key, whereby in the second round n messages of length p (= approx. 1000 bits) have to be sent by the head office for n subscribers.
Bei allen diesen Erweiterungen tritt mindestens eines der folgenden Probleme auf:All of these extensions have at least one of the following problems:
• Die Teilnehmer müssen in einer bestimmten Art und Weise geordnet sein, im obigen Beispiel z. B. als Kreis, d.h. eine Struktur der Teilnehmergruppe muß vorher bekannt sein.• The participants have to be organized in a certain way. B. as a circle, i.e. a structure of the group of participants must be known beforehand.
• Die Rundenzahl ist abhängig von der Teilnehmerzahl.• The number of laps depends on the number of participants.
Diese Verfahren sind aus den o. g. Gründen in der Regel schwer zu implementieren und sehr rechenaufwendig.These methods are from the above. Reasons are generally difficult to implement and very computationally expensive.
Bekannt ist auch ein als No-Key-V erfahren bezeichnetes kryptographisches Verfahren. Mit einem No-Key- Verfahren kann Teilnehmer A einem Teilnehmer B eine Nachricht vertraulich übermitteln, ohne daß beide einen gemeinsamen kryptographischen Schlüssel besitzen. Zur Übermittlung einer Nachricht sind dabei drei Kommunikationsschritte nötig (vgl. Beutelspacher, Schwenk, Wolfenstetter. Moderne Verfahren der Kryptographie (2. Auflage), Vieweg Verlag, Wiesbaden 1998).A cryptographic method known as a no-key method is also known. With a no-key method, subscriber A can confidentially transmit a message to subscriber B without both having a common cryptographic key. Three communication steps are necessary to transmit a message (see Beutelspacher, Schwenk, Wolfenstetter. Modern cryptographic methods (2nd edition), Vieweg Verlag, Wiesbaden 1998).
Das Verfahren muß zur Erzeugung eines gemeinsamen Schlüssels innerhalb einer Gruppe von mindestens drei Teilnehmern geeignet sein. Das Verfahren soll so ausgebildet sein, daß es sich gegenüber den bekannten Verfahren durch geringen Kommunikationsbedarf (wenige Runden auch bei vielen Teilnehmern) auszeichnet. Es soll dabei jedoch einen vergleichbaren Sicherheitsstandard wie das DH-Verfahren aufweisen. Das Verfahren muß einfach zu implementieren sein, und Informationen über die Struktur der Gruppe sollen für die Durchführung des Verfahrens nicht benötigt werden.The method must be suitable for generating a common key within a group of at least three participants. The method should be designed in such a way that it is distinguished from the known methods by a low need for communication (a few rounds even with many participants). However, it should have a security standard comparable to that of the DH method. The procedure must be easy to implement, and information about the structure of the group should not be required for the implementation of the method.
Das erfindungsgemäße Verfahren, das dieser Aufgabenstellung gerecht wird, basiert auf den gleichen mathematischen Strukturen wie das DH-Verfahren und weist daher vergleichbare Sicherheitsmerkmale auf. Im Vergleich zu den bisher vorgeschlagenen Gruppen-DH-V erfahren ist es wesentlich effizienter im Hinblick auf den Kommunikationsbedarf und benötigt keinerlei Informationen über die Struktur der Gruppe der Teilnehmer.The method according to the invention, which does justice to this task, is based on the same mathematical structures as the DH method and therefore has comparable security features. Compared to the previously proposed group DH experience, it is much more efficient in terms of communication needs and does not require any information about the structure of the group of participants.
Nachfolgend wird das Wirkprinzip des erfϊndungsgemäßen Verfahrens näher erläutert. Die definierten Teilnehmer am Verfahren werden mit Tl-Tn bezeichnet. Jeder einzelne nicht konkret benannte Teilnehmer wird mit Ti bezeichnet. Mit Tj werden alle anderen am Verfahren beteiligten Teilnehmer, ausschließlich des jeweiligen Teilnehmers Ti, bezeichnet.The operating principle of the method according to the invention is explained in more detail below. The defined participants in the procedure are referred to as Tl-Tn. Each individual participant who is not specifically named is referred to as Ti. Tj denotes all other participants in the process, excluding the respective participant Ti.
Die öffentlich bekannten Komponenten des Verfahrens sind eine öffentlich bekannte mathematische Gruppe G, vorzugsweise die multiplikative Gruppe aller ganzen Zahlen modulo einer großen Primzahl p und ein öffentlich bekanntes Element der Gruppe g, vorzugsweise eine Zahl 0 < g < p mit großer multiplikativer Ordnung. Für die Gruppe G können jedoch auch andere geeignete mathematische Strukturen verwendet werden, z. B. die multiplikative Gruppe eines endlichen Körpers oder die Gruppe der Punkte einer elliptischen Kurve. Das Verfahren wird im Folgenden anhand der Gruppe der Zahlen modulo einer Primzahl p beschrieben.The publicly known components of the method are a publicly known mathematical group G, preferably the multiplicative group of all integers modulo a large prime number p and a publicly known element of group g, preferably a number 0 <g <p with a large multiplicative order. However, other suitable mathematical structures can also be used for group G, e.g. B. the multiplicative group of a finite field or the group of points of an elliptic curve. The method is described below using the group of numbers modulo a prime number p.
Das Verfahren verläuft in drei Arbeitsschritten.The process proceeds in three steps.
Im ersten Arbeitsschritt wird von jedem Teilnehmer Ti eine Nachricht Ni aus dem bekannten Element der Gruppe g und einer Zufallszahl zli nach der Funktion Ni = gzU mod p erzeugt und an alle anderen Teilnehmer Tj gesendet. Die erste Zufallszahl zli ist dabei eine vorzugsweise mittels eines Zufallsgenerators erzeugte zufällige Zahl aus der Menge (1, ... p-2) , welche teilerfremd zur Zahl p-1 ist. Dies gewährleistet, daß es eine Zahl zli* gibt, die den Effekt der Potenzierung eines Elements der Gruppe G mit der ersten Zufallszahl zli wieder aufhebt, wobei gilt: zli • zli* = 1 mod p-1. Eine solche Zahl zli* kann z.B. mit dem erweiterten Euklidischen Algorithmus berechnet werden, der in Beutelspacher, Schwenk, Wolfenstetter: Moderne Verfahren der Kryptographie (2. Auflage), Vieweg Verlag, Wiesbaden 1998, beschrieben ist. Im Ergebnis des ersten Verfahrensschrittes verfügt jeder am Verfahren beteiligte Teilnehmer Ti über die von allen anderen Teilnehmern Tj gesendeten Nachrichten Nj .In the first step, each participant Ti generates a message Ni from the known element of group g and a random number zli according to the function Ni = g zU mod p and sends it to all other participants Tj. The first random number zli is a random number, preferably generated by means of a random generator, from the set (1, ... p-2), which is not prime to the number p-1. This ensures that there is a Number zli * gives the effect of potentiating an element of group G with the first random number zli, where: zli • zli * = 1 mod p-1. Such a number zli * can be calculated, for example, using the extended Euclidean algorithm, which is described in Beutelspacher, Schwenk, Wolfenstetter: Modern Methods of Cryptography (2nd edition), Vieweg Verlag, Wiesbaden 1998. As a result of the first method step, each participant Ti involved in the method has the messages Nj sent by all other participants Tj.
Im zweiten Arbeitsschritt wählt jeder Teilnehmer Ti eine zweite Zufallszahl z2i und berechnet für jede einzelne empfangene Nachricht Nj und damit für jeden anderen Teilnehmer Tj eine Zahl Mji nach der Funktion Mji: = (Nj)221 mod p. Jeder Teilnehmer Ti sendet anschließend die für jeden anderen Teilnehmer Tj einzeln berechnete Zahl Mji bestimmungsgemäß an die jeweiligen Teilnehmer Tj zurück.In the second step, each subscriber Ti selects a second random number z2i and calculates a number Mji for each individual received message Nj and thus for every other subscriber Tj according to the function Mji: = (Nj) 221 mod p. Each subscriber Ti then sends the number Mji individually calculated for each other subscriber Tj back to the respective subscriber Tj as intended.
Im Ergebnis ist nach dem zweiten Verfahrensschritt jeder Teilnehmer Ti im Besitz der Zahl Mji von allen anderen Teilnehmern Tj, wobei alle Zahlen Mji auf der im 1. Verfahrensschritt vom Teilnehmer Tj gesendeten Nachricht Nj basieren.As a result, after the second method step, each subscriber Ti has the number Mji from all other subscribers Tj, all numbers Mji being based on the message Nj sent by the subscriber Tj in the 1st method step.
Im dritten Arbeitsschritt wird von jedem Teilnehmer Ti der gemeinsame Schlüssel k berechnet, wobeiIn the third step, the common key k is calculated by each participant Ti, whereby
- Lj = Mijzh* mod p = g22-1 mod p für j von i verschieden berechnet wird, - Li = g22' mod p berechnet wird- Lj = Mij zh * mod p = g 22 - 1 mod p is calculated for j different from i, - Li = g 22 'mod p is calculated
- daraus der gemeinsame Schlüssel k: = f(Ll,L2,...,Ln) = Ll-L2-...-Ln mod p- from this the common key k: = f (Ll, L2, ..., Ln) = Ll-L2 -...- Ln mod p
= gz21 + z22 + ... + z2n m(jd _ ermittelt ]χά = g z21 + z22 + ... + z2n m (sb _ determined] χά
Es ist zu bemerken, daß das Versenden der in Schritt 1 und 2 generierten Nachrichten sowohl über Punkt-zu-Punkt-Verbindungen als auch durch Broadcast oder Multicast geschehen kann. Weiterhin kann im dritten Arbeitsschritt anstelle der angegebenen Funktion f jede andere Funktion verwendet werden, die symmetrisch in allen Argumenten ist. Nachfolgend wird das erfindungsgemäße Verfahren anhand eines konkreten Beispiels für drei Teilnehmer A, B und C näher erläutert. Die Anzahl der Teilnehmer ist jedoch auf beliebig viele Teilnehmer erweiterbar.It should be noted that the messages generated in steps 1 and 2 can be sent both via point-to-point connections and by broadcast or multicast. Furthermore, in the third step, instead of the specified function f, any other function that is symmetrical in all arguments can be used. The method according to the invention is explained in more detail below on the basis of a concrete example for three subscribers A, B and C. However, the number of participants can be expanded to any number of participants.
Bei diesem Beispiel beträgt die Länge der Zahl p 1024 Bit; g hat eine multiplikative Ordnung von mindestens 2160.In this example, the length of the number p is 1024 bits; g has a multiplicative order of at least 2,160 .
Das erfindungsgemäße Verfahren läuft nach folgenden Verfahrensschritten ab:The process according to the invention proceeds according to the following process steps:
1. Teilnehmer A sendet Na = g zla mod p an Teilnehmer B und C. Teilnehmer B sendet Nb = gzlb mod p an Teilnehmer A und C und Teilnehmer C sendet Nc = gzlc mod p an Teilnehmer A und B .1. Participant A sends Na = g zla mod p to participants B and C. Participant B sends Nb = g zlb mod p to participants A and C and participant C sends Nc = g zlc mod p to participants A and B.
2. Teilnehmer A sendet Mba = Nb223 mod p an Teilnehmer B und Mca = Nc222 mod p an Teilnehmer C,2. Participant A sends Mba = Nb 223 mod p to participant B and Mca = Nc 222 mod p to participant C,
Teilnehmer B sendet Mab = Na2213 mod p an Teilnehmer A und Mcb = Nc220 mod p an Teilnehmer C und Teilnehmer C sendet Mac = Na220 mod p an A und Mbc = Nb220 mod p an TeilnehmerParticipant B sends Mab = Na 2213 mod p to participant A and Mcb = Nc 220 mod p to participant C and participant C sends Mac = Na 220 mod p to A and Mbc = Nb 220 mod p to participant
B.B.
3. Ausgehend von dem Sachverhalt, daß es eine Zahl zli* gibt, aus der nach Multiplikation mit zli 1 mod p-1 resultiert, berechnet der Teilnehmer A zunächst Lb = Mabzla* mod p, Lc = Mac2la mod p und La = g223 mod p, und dann den gemeinsamen Schlüssel k nach der Funktion k = f(La,Lb,Lc) = La-Lb-Lc mod p = g72a + 72b + üc mod p.3. Based on the fact that there is a number zli *, which results in multiplication by zli 1 mod p-1, the participant A first calculates Lb = Mab zla * mod p, Lc = Mac 2la mod p and La = g 223 mod p, and then the common key k according to the function k = f (La, Lb, Lc) = La-Lb-Lc mod p = g 72a + 72b + üc mod p.
Analog berechnen die Teilnehmer B und C den gemeinsamen Schlüssel k.Similarly, participants B and C calculate the common key k.
Das oben beschriebene Verfahren kommt mit der minimalen Anzahl von zwei Runden zwischen den Teilnehmern Tl-Tn aus. BezugszeichenaufstellungThe method described above manages with the minimum number of two rounds between the participants Tl-Tn. REFERENCE NUMBERS
TI - Tn Teilnehmer 1 bis n Ti unbestimmter Teilnehmer aus TI -TnTI - Tn participants 1 to n Ti indefinite participants from TI -Tn
Tj alle weiteren Teilnehmer des Verfahrens außer dem Teilnehmer TiTj all other participants in the procedure except the participant Ti
G öffentlich bekannte mathematische GruppeG publicly known mathematical group
G öffentlich bekanntes Element der Gruppe g p große Primzahl zl erste Zufallszahl aus der Menge (1 , p-2) zl * Zahl, mit der die Potenzierung eines Elements der Gruppe g mit der ersten Zufallszahl zi wieder aufgehoben wirdG publicly known element of group g p large prime number zl first random number from the set (1, p-2) zl * number with which the potentiation of an element of group g with the first random number zi is canceled again
N NachrichtN message
Ni Nachricht eines unbestimmten TeilnehmersNi message from an undetermined participant
Nj Nachricht aller weiteren Teilnehmer (außer der Nachricht des Teilnehmers Ti) z2 zweite ZufallszahlNj message from all other participants (except the message from participant Ti) z2 second random number
Mij Nachricht, die aus der ersten Nachricht Ni und der zweiten Zufallszahl z2j erzeugt wirdMij Message generated from the first message Ni and the second random number z2j
Lj Wert, der aus Mij und zlj* gebildet wird. Lj value formed from Mij and zlj *.

Claims

Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei TeilnehmernKey agreement procedure for a group of at least three participants
(3) Patentansprüche:(3) Claims:
T. Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern Tl-Tn mit einer öffentlich bekannten mathematischen Gruppe G und einem öffentlich bekannten Element der Gruppe g € G von großer Ordnung, d a d u r c h g e k e n n z e i c h n e t , daßT. Method for key agreement for a group of at least three participants Tl-Tn with a publicly known mathematical group G and a publicly known element of the group g € G of great order, that is, that
a) jeder Teilnehmer (Ti) aus dem öffentlich bekannten Element der Gruppe g e G und aus einer aus der Menge (l,...p-2) gewählten bzw. erzeugten ersten Zufallszahl (zli), welche teilerfremd zur Zahl p-1 ist, nach der Funktion Ni = gz eine erste Nachricht Ni erzeugt und an alle anderen Teilnehmer (Tj) sendet, daßa) each participant (Ti) from the publicly known element of group ge G and from a set from the set (l, ... p-2) selected or generated first random number (zli), which is prime to the number p-1 , after the function Ni = g z generates a first message Ni and sends it to all other participants (Tj) that
b) jeder Teilnehmer (Ti) eine zweite Zufallszahl (z2i) wählt bzw. erzeugt und für jeden Teilnehmer (Tj) aus der von diesem Teilnehmer (Tj) empfangenen ersten Nachricht (Nj) und der zweiten Zufallszahl (z2i) nach der Beziehung Mji:=(Nj)z2' mod p eine zweite Nachricht (Mji) erzeugt und bestimmungsgemäß an die jeweiligen Teilnehmer (Tj) zurücksendet, und daßb) each participant (Ti) selects or generates a second random number (z2i) and for each participant (Tj) from the first message (Nj) received by this participant (Tj) and the second random number (z2i) according to the relationship Mji: = (Nj) z2 'mod p generates a second message (Mji) and sends it back to the respective subscriber (Tj) as intended, and that
c) jeder Teilnehmer (Ti), ausgehend von dem Sachverhalt, daß die erste Zufallszahl zli aus der Menge (l,...,p-2) resultiert und teilerfremd zur Zahl p-1 ist, zur ersten Zufallszahl (zli) die dazugehörige Zahl (zli*) ermittelt, welche den Effekt der Potenzierung eines Elements der Gruppe G mit der ersten Zufallszahl (zli) nach derc) each participant (Ti), starting from the fact that the first random number zli results from the set (l, ..., p-2) and is not prime to the number p-1, the corresponding random number to the first random number (zli) Number (zli *) determines the effect of potentiating an element of group G with the first random number (zli) after the
Beziehung g = (gzll)z * wieder aufhebt, und daß jeder Teilnehmer (Ti) zunächst die Werte (Lj) und (Li) gemäß Lj := Mijzh* mod p = g22-" mod p für j≠i und Li := g221 mod p berechnet und danach den zu etablierenden Schlüssel nach der Beziehung k: = f(Ll,L2,...,Ln) ermittelt, wobei f eine Funktion ist, die symmetrisch in ihren Argumenten ist. Relation g = (g zll ) z * and that each participant (Ti) first has the values (Lj) and (Li) according to Lj: = Mij zh * mod p = g 22 - "mod p for j ≠ i and Li: = g 221 mod p is calculated and then the key to be established is determined using the relationship k: = f (Ll, L2, ..., Ln), where f is a function that is symmetrical in its arguments.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, daß für die Funktion f die Funktion f(L 1 ,L2,...,Ln) := LI -L2-...-Ln mod p = g221 +z22 + " +z2n mod p verwendet wird.2. The method according to claim 1, characterized in that for the function f, the function f (L 1, L2, ..., Ln): = LI -L2 -...- Ln mod p = g 221 + z22 + " + z2n mod p is used.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die erste Zufallszahl (zli*), welche den Effekt der Potenzierung eines Elements der Gruppe (g) mit der ersten Zufallsahl (zli) wieder aufhebt, mittels des erweiterten euklidischen Algorithmus ermittelt wird. 3. The method according to claim 1, characterized in that the first random number (zli *), which cancels the effect of potentiating an element of the group (g) with the first random number (zli), is determined by means of the extended Euclidean algorithm.
EP00944022A 1999-08-12 2000-07-10 Method for specifying a key for a group of at least three subscribers Withdrawn EP1208668A1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19938197 1999-08-12
DE1999138197 DE19938197A1 (en) 1999-08-12 1999-08-12 Key agreement procedure for a group of at least three participants
PCT/EP2000/006511 WO2001013568A1 (en) 1999-08-12 2000-07-10 Method for specifying a key for a group of at least three subscribers

Publications (1)

Publication Number Publication Date
EP1208668A1 true EP1208668A1 (en) 2002-05-29

Family

ID=7918150

Family Applications (1)

Application Number Title Priority Date Filing Date
EP00944022A Withdrawn EP1208668A1 (en) 1999-08-12 2000-07-10 Method for specifying a key for a group of at least three subscribers

Country Status (4)

Country Link
EP (1) EP1208668A1 (en)
AU (1) AU5826700A (en)
DE (1) DE19938197A1 (en)
WO (1) WO2001013568A1 (en)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3915262A1 (en) * 1988-05-18 1989-11-30 Asea Brown Boveri Method for generating authenticated secret codes
CH678134A5 (en) * 1989-01-13 1991-07-31 Ascom Radiocom Ag Authenticated cryptographic key exchange in digital subscriber network - using preliminary phase of multiplication in finite galois field with random number selection for public key
DE3905703C2 (en) * 1989-02-24 1998-01-22 Ascom Radiocom Ag Electronic signature process
US5651066A (en) * 1994-04-28 1997-07-22 Nippon Telegraph And Telephone Corporation Cipher key distribution system effectively preventing illegitimate use and charging of enciphered information
US5602917A (en) * 1994-12-30 1997-02-11 Lucent Technologies Inc. Method for secure session key generation
DE19514084C1 (en) * 1995-04-13 1996-07-11 Siemens Ag Processor-controlled exchange of cryptographic keys, e.g. in mobile communications
DE19518545C1 (en) * 1995-05-19 1996-07-04 Siemens Ag Cryptographic key exchange between network and personal computer
DE19518546C1 (en) * 1995-05-19 1996-08-01 Siemens Ag Exchange of cryptographic codes between terminal and network server
DE19518544C1 (en) * 1995-05-19 1996-08-01 Siemens Ag Processor-supported exchange of cryptographic codes
DE19847944A1 (en) * 1998-10-09 2000-04-13 Deutsche Telekom Ag Establishing a common key between a central station and a group of subscribers involves using public mathematical group, higher order element of group and threshold process

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO0113568A1 *

Also Published As

Publication number Publication date
AU5826700A (en) 2001-03-13
DE19938197A1 (en) 2001-03-08
WO2001013568A1 (en) 2001-02-22

Similar Documents

Publication Publication Date Title
DE69633590T2 (en) Procedure for signature and session key generation
DE60313704T2 (en) Method and apparatus for generating a secret key
DE602004004029T2 (en) Method for distributing conference keys, according to an identity-based encryption system
DE69938624T2 (en) ROBUST AND EFFICIENT DISTRIBUTED GENERATION OF A RSA KEY
DE69918818T2 (en) A method for generating a public key in a secure digital communication system and implicit certificate
EP1793525B1 (en) Method for changing the group key in a group of network elements in a network
DE60006147T2 (en) Key approval protocol with separate keys
DE60303018T2 (en) Polynomial multi-user key generation and authentication method and system
DE69534192T2 (en) A method for sharing secret information, generating a digital signature, and performing authentication in a communication system having a plurality of information processing devices and communication system for applying this method
EP0872076B1 (en) Process for the computer-controlled exchange of cryptographic keys between a first and a second computer unit
CH694603A5 (en) Identification method.
DE69838258T2 (en) Public key data transmission systems
EP1080557A2 (en) Method and arrangement for the computer-aided exchange of cryptographic keys between a first computer unit and a second computer unit
DE60207691T2 (en) METHOD FOR THE TESTABLE DIVISION OF A SECRET IN POTENTIAL ASYNCHRONOUS NETWORKS
EP1119942B1 (en) Method for establishing a common cryptographic key for n subscribers
DE602004006373T2 (en) Methods and apparatus for creating fair blind signatures
EP1208669B1 (en) Method for establishing a common key for a group of at least three subscribers
EP1119941B1 (en) Method for establishing a common key between an exchange and a group of subscribers
EP1208668A1 (en) Method for specifying a key for a group of at least three subscribers
DE102006036165B3 (en) Method for establishing a secret key between two nodes in a communication network
EP1286494B1 (en) Method for generating an asymmetric cryptographic group-key pair
WO2013189909A1 (en) Method for secure communication authenticated at least at one end, between two communication partners
EP0481121A1 (en) Authentication for enciphered communication
EP1062763B1 (en) Code exchange method
EP3363144B1 (en) Method and apparatus for establishing a common secret

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20020312

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN WITHDRAWN

18W Application withdrawn

Withdrawal date: 20020513