FI97170C - Menetelmä ja järjestelmä käyttövaltuuksien ja tietosuojattujen viestien todentamiseksi ja viestien merkitsemiseksi ja kyseisessä järjestelmässä käytettävä asema, joka toimii erityisesti älykortin asemana - Google Patents

Menetelmä ja järjestelmä käyttövaltuuksien ja tietosuojattujen viestien todentamiseksi ja viestien merkitsemiseksi ja kyseisessä järjestelmässä käytettävä asema, joka toimii erityisesti älykortin asemana Download PDF

Info

Publication number
FI97170C
FI97170C FI884082A FI884082A FI97170C FI 97170 C FI97170 C FI 97170C FI 884082 A FI884082 A FI 884082A FI 884082 A FI884082 A FI 884082A FI 97170 C FI97170 C FI 97170C
Authority
FI
Finland
Prior art keywords
verifier
modulo
integer
message
identity
Prior art date
Application number
FI884082A
Other languages
English (en)
Swedish (sv)
Other versions
FI884082A (fi
FI884082A0 (fi
FI97170B (fi
Inventor
Louis C Guillou
Jean-Jacques Quisquater
Original Assignee
Philips Nv
France Etat
Telediffusion Fse
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Philips Nv, France Etat, Telediffusion Fse filed Critical Philips Nv
Publication of FI884082A0 publication Critical patent/FI884082A0/fi
Publication of FI884082A publication Critical patent/FI884082A/fi
Application granted granted Critical
Publication of FI97170B publication Critical patent/FI97170B/fi
Publication of FI97170C publication Critical patent/FI97170C/fi

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/0826Embedded security module
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/30Compression, e.g. Merkle-Damgard construction

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computing Systems (AREA)
  • Computational Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Credit Cards Or The Like (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Semiconductor Integrated Circuits (AREA)

Description

97170
Menetelmä ja järjestelmä käyttövaltuuksien ja tietosuojat-tujen viestien todentamiseksi ja viestien merkitsemiseksi ja kyseisessä järjestelmässä käytettävä asema, joka toimii erityisesti älykortin asemana 5
Keksintö kohdistuu menetelmään käyttövaltuuksien tai tietosuojattujen viestien todentamiseksi ja menetelmään viestien allekirjoittamiseksi. Keksintö koskee myös järjestelmää tietosuojatun käyttövaltuusinformaation todentami-10 seksi, järjestelmää viestin todentamiseksi ja järjestelmää viestin allekirjoittamiseksi.
Keksintöä voidaan soveltaa pankkikorttien, ns. älykkäiden korttien aitouden todentamisessa tai yleisemmin minkä tahansa välineen, joka sallii haltijansa kontrolloida 15 pääsyä, (tiloihin, kassakaappiin, tietokantaan, tietokonejärjestelmään, puhelinlinjaan jne) aitouden todentamisessa. Sitä voidaan soveltaa myös kaikenlaisten viestien aitouden todentamiseen, jotka voivat säädellä avautumista tai sulkeutumista, järjestelmän aktivoimista tai passivointia, 20 säädellä koneen käynnistymistä, säätää satelliittia, laukaista hälytys jne. Lisäksi keksintö mahdollistaa viestin merkitsemisen siten, että sen saaja varmistuu sen alkuperästä ja voi vuorostaan vakuuttaa kolmannen osapuolen alku-: perästä.
25 Keksintö perustuu kryptografian kahteen haaraan, joita ovat julkisen avaimen kryptografia ja tietosuojattujen viestien todennusmenetelmät. Viittauksen vuoksi nämä kaksi tekniikkaa palutetaan lyhyesti muistiin. Koodaus- ja koodin tulkintatekniikat ovat kehittyneet huomattavasti, 30 mm. tietojenkäsittelylaitteiden ja tietoliikennelaitteiden saatavuuden myötä.
Kryptografisessa järjestelmässä viesti muunnetaan selväkielisestä muodostaan M avaimen E avulla koodatuksi viestiksi E (M) . Avainta E vastaa käänteisavain D, joka 35 mahdollistaa selväkielisen viestin takaisinsaannin kään- 2 97170 teismuunnoksella: D(E(M))=M.
Perinteisesti avaimet E ja D pidetään salaisina ja vain keskustelukumppanit tuntevat ne.
On kehitetty kryptograafinen järjestelmä, jossa 5 koodiavainta ei pidetä salassa vaan se julkistetaan. Paradoksaalisesti sellainen paljastus ei heikennä järjestelmän suojaa. Syynä tähän on se, että avaimen E tunteminen ei käytännössä mahdollista koodin tulkinta-avaimen D selville saantia. Sellaista koodausfunktiota kutsutaan "trap"-funk-10 tioksi, jota on erityisen vaikea kääntää, paitsi henkilön, joka tietää trap-arvon.
Näiden järjestelmien yleisiä periaatteita on selitetty W. DIFFIEn ja M. HELLMANNin artikkelissa "New Directions in Cryptography", IEEE Trans, on Information Theory, 15 voi. IT-22, s. 644-654, marraskuu 1976. Katso myös M. HELLMANin artikkelia "The Mathematics of Public-Key Cryptography ", Scientific American, elokuu 1979, voi 241, nro 2, s. 130-139.
Julkisen avaimen kryptografiaa voidaan soveltaa 20 erityisen tehokkaalla tavalla ns. RSA-järjestelmässä. Tätä järjestelmää selostetaan Martin GARDNERin artikkelissa "A new kind of cipher that would take millions of years to break", Scientific American, elokuu 1977, s. 120-121. RSA-: järjestelmässä trap-funktiolla tarkoitetaan luvun jakamista 25 alkutekijöihinsä. Alkutekijöihin jakaminen on vaikea operaatio. Esim. manuaalisesti suoritettuna vaaditaan useita minuutteja vaatimattoman 5 numeroisen luvun kuten 29083 alkutekijöiden löytämiseksi. Nämä luvut ovat 127 ja 229. Sen sijaan 127 ja 229 tulon saaminen kestää vain muutamia 30 sekunteja. Sellaisen operaation epäsymmetrisyys on sen tähden ilmeistä. Tietokoneen voimavarat nopeuttavat alkulu-kutekijöiden selvittämistä, mutta tosiasiaksi jää, että luvun, jossa on kaksisataa numeroa, alkutekijöihin jakamiseksi tarvittaisiin tehokkaampia tietokoneita. Siten käy-35 tännössä ei ole mahdollista jakaa alkulukutekijöihinsä 3 97170 hyvin suurta lukua.
Näitä ominaisuuksia hyödynnetään RSA-järjestelmässä seuraavalla tavalla. Valitaan kaksi erillistä alkulukua, nimittäin a ja b ja muodostetaan tulo: N=a.b, jossa N:llä 5 voi olla esim. 500 bittiä. Lisäksi valitaan kokonaisluku p, joka on (a-1) :n ja (b-1) :n pienimmän yhteisen kertojan alkuluku. Viestin koodaamiseksi, joka aikaisemmin on saatettu digitaaliseen muotoon M, M:n ollessa 0:n ja N-l:n välissä, lasketaan M:n p. :s potenssi kokonaislukujen modulo lon N renkaassa, nimittäin C=MP mod N. Funktio "korota pmteen potenssiin modulo N" määrittelee sitten kokonaislukujen 0:sta (N-l):een permutaation.
Viestin C koodin tulkitsemiseksi on välttämätöntä selvittää p. :s juuri koodatusta viestistä C kokonaislukujen is modulo N renkaassa. Tässä operaatiossa luku C korotetaan potenssiin d, joka on eksponentti p modulo lukujen (a-1) ja (b-1) pienimmän yhteisen kertojan käänteisluku. Jos alkulu-kutekijöitä a ja b ei tiedetä, d:n määrittäminen on mahdotonta ja sen vuoksi koodin tulkinta ei ole mahdollista.
20 Esimerkiksi kun valitaan a=47 ja b=59 saadaan N=47*59=2773. On mahdollista ottaa p=17. Koodiavaimen määrittelevät sen vuoksi luvut 2773 ja 17. Käytännössä käytetään paljon suurempia lukuja.
: Sanan M kooditus esitetään luvun 920 muodossa seu- 25 raavasti: C=92017 mod 2773 = 948 mod 2773.
Käänteisesti, kun luvun 948 koodia tulkitaan, hyödynnetään eksponentti d, joka 17 modulo 1334:n käänteisluku, joka on 46:n ja 58:n pienin yhteinen kertoja. Eksponentti d=157, koska 157.17=2669, ts. 1 modulo 1334. Täten 30 948 koodin tunnistamiseksi lasketaan 948157 modulo 1334 ts. 920, joka on nimenomaan alkuperäinen viesti.
Täten RSA-järjestelmässä itse luvut N ja p voivat olla julkisia (sitten viitataan "julkiseen potenssiin p"), mutta lukujen a ja b täytyy säilyä salaisina. Tietysti on 35 mahdollista käyttää useampaa kuin kahta alkulukutekijää 4 97170 luvun N muodostamiseksi.
RSA-järjestelmää on selitetty US-patentissa nro 405 829 julkaistu 20.9.1983. Sellaista järjestelmää voidaan käyttää koodituksen lisäksi viestin merkinnässä.
5 Viestien merkitsemisen yhteydessä, kun tarkastelta vaan viestejä M lähettävään kokonaisuuteen viitataan allekirjoituksella kokonaisuuden oletetaan toimivan julkisella avaimella (N,p). Merkitäkseen viestinsä ennen lähettämistä tämä kokonaisuus lisää siihen redundanssia saadakseen koko-10 naislukujen modulo N:n renkaan komponentin ja sitten korottaa tämän komponentin potenssiin d (p:n käänteisluku) modulo N. Kyseessä oleva kokonaisuus tietää d:n pitäessään hallussaan julkisen avaimen salaisia parametreja ts. alku-lukutekijöitä a ja b. Allekirjoitettu viesti on siksi is S=[Red(M)]d mod N.
Viestin todentamiseksi viestin saaja käyttää julkista avainta (N,p) lähettävän kokonaisuuden yhteydessä ja laskee Sp mod N, joka oletettavasti antaa jälleen viestiä M koodittavan komponentin sen redundanssin kanssa. Saamalla 20 esille redundanssin viestin saaja päättelee siten siitä, että viestin on voinut lähettää vain väitetty kokonaisuus, koska vain se kokonaisuus kykeni käsittelemään viestiä tällä tavalla.
Koodittamisoperaatio ja allekirjoitusoperaatio voi-25 daan yhdistää. Tässä tapauksessa lähetin aloittaa merkitsemällä viestinsä käyttämällä hyväkseen sen salaista avainta; sitten se koodittaa sen käyttämällä sen viestinvaihtajan julkista avainta. Vastaanotossa viestinvaihtaja tulkitsee viestin koodin salaisen avaimen avulla ja sitten todentaa 30 viestin käyttämällä lähettäjän julkista avainta.
Nämä kryptografian tekniikat johtavat täten erilaiseen viestin todentamiseen. Tämän näkökohdan selittämiseksi yksityiskohtaisemmin tarkastellaan esimerkin vuoksi älykkäiden pankkikorttien todentamista tämän kuitenkaan miten-35 kään rajoittamatta keksinnön laajuutta.
Il 5 97170 Älykkääseen pankkikorttiin sisältyy identiteettitun-nus, jonka muodostaa informaatioyksikköjen jono kuten mikropiirin sarjanumero, pankkitilin numero, voimassaoloaika ja käyttökoodi. Kortin identiteetin informaatioyksiköt 5 voidaan esittää pyydettäessä bittijonona, joka muodostaa sanan I.
Redundanssi sääntöjen avulla on mahdollista muodostaa luku J, joka on kaksi kertaa niin pitkä kuin I, jota merkitään tämän jälkeen Red(I)=J. Esimerkiksi jos luku I kirjoi-10 tetaan neljän ryhminä, jokaista neljän ryhmää voidaan täydentää redundanssi-neljän ryhmällä niin, että muodostetaan yhtä monta HAMMING-koodin tyyppistä oktettia. Lukua J usein kutsutaan varjoidenttiteetiksi varjon muodostuessa identiteettiin liittyvästä redundanssista.
15 Kansainvälinen standardisointijärjestö (ISO) on esittänyt erityisesti nämä ratkaisut julkaisussaan ISO/TC97/SC20/N207 "Digital Signature with Shadow", josta tuli alustava standardiluonnos DP 9796.
Sellaisten korttien antamiseen valtuutettu, tässä 20 tapauksessa pankki, valitsee julkisen avaimen järjestelmän (N,p) . Se julkaisee luvun N ja p, mutta pitää N:n alkuluku-tekijöihin jakamisen salaisena. Jokaisen kortin varjoiden-titeetti J on sitten kokonaislukujen modulo N renkaan kom-• ponentti. Siitä pankki voi ottaa p:nnen juuren tässä ren- 25 kaassa, mikä kuten edellä mainittiin vaatii N:n alkulukute-kijoiden tietämistä. Tämä luku, jota tämän jälkeen merkitään A: 11a on tiettyyn määrään asti pankin allekirjoittaman kortin identiteetti. Tätä kutsutaan käyttövaltuudeksi. Tämän tulos on määrittelemällä A=J1/p mod N.
30 Käyttövaltuuden todentaminen merkitsee nyt kortin
identiteetin lukemista joko yksinkertaisessa muodossa I tai varjomuodossa J ja sitten luetaan käyttövaltuus A kortilta, korotetaan jälkimmäinen potenssiin p kokonaislukujen modulo N renkaassa, joka on mahdollista, koska parametrit N ja p 35 tunnetaan ja lopuksi verrataan tulosta nimittäin Ap mod N
6 97170 J:hin. Jos Ap mod N on yhtä suuri kuin J, käyttövaltuus A on aito.
Vaikka tämä menetelmä mahdollistaa väärien korttien havaitsemisen, siinä on kaikesta huolimatta se haitta, että 5 se paljastaa aitojen korttien käyttövaltuuden. Häikäilemätön todentaja voisi siksi tuottaa juuri oikeaksi todettujen kaltaisia kortteja (kortteja voitaisiin kutsua "klooneiksi") jäljentämällä käyttövaltuuden, jonka hän on lukenut aidosta kortista.
ίο Nyt käyttövaltuuden todentaminen ei tarkasti sanot tuna vaadi jälkimmäisen kommunikointia todentajan kanssa, vaan vain sen vakuuttumisen muodostumista, että kortilla on aito käyttövaltuus. Sen tähden ongelmana on lopulta kortin aidon käyttövaltuuden olemassaolon osoittaminen ilman että 15 sitä paljastetaan.
Tämä ongelma voidaan ratkaista ns. "tietosuojatun viestin"-menetelmällä. Sellaisessa menetelmässä, kokonaisuus, joka yrittää esittää todistetta, "todennettu" kokonaisuus ja kokonaisuus, joka odottaa tätä todistetta, 20 "todentaja" kokonaisuus toimivat interaktiivisesti ja todennäköisyyksiin perustuen.
Sinänsä tätä tekniikkaa ovat selostaneet Shafi GOLD-WASSER, Silvio MICALI ja Charlos RACKOFF julkaisussaan 17.
i ACM laskentateorian symposiumissa, toukokuussa 1985 otsi-25 koltaan "The Knowledge Complexity of Interactive Proof Systems" ja se on julkaistu raportin sivuilla 291-304. Alkuperäisesimerkit löydettiin verkkoteoriasta.
Adi SHAMIR keksi ensimmäisenä käyttää tätä menetelmää lukuteoriassa ja sitä voitaisiin soveltaa älykortteihin 30 seuraavalla tavalla. Tämä ns. S-menetelmä on seuraavanlainen :
Todentamisoperaation alussa kortti ilmaisee identiteettinsä I. Kaikkien tuntemat redundanssi säännöt mahdollistavat J:n päättelemisen, joka on kaksi kertaa I:n pitui-35 nen ja joka antaa varjoidentiteetin. Sekä kortti että to- 7 97170 dentaja tietävät luvut N ja p, jotka kortin antaja on julkaissut, mutta vain viimeksi mainitulla on säätävillään luvun N alkulukutekijoihin jako, joka on käyttövaltuuksien laskemiseksi käytettyä trap-informaatiota.
5 Todentamisoperaatiota jatketaan toistamalla seuraava prosessi: - kortti tuottaa satunnaisesti komponentin r kokonaislukujen modulo N renkaasta, laskee siitä p:nnen potenssin (rp mod N renkaasta ja lähettää tämän potenssin toden- 10 tajalle otsikon T muodossa iterointia varten; - todentaja tuottaa satunnaisesti bitin d (0 tai 1) kysellääkseen kortilta merkin t muodossa: komponenttia r, kun a=0 ja komponentin r ja käyttövaltuuden arvon renkaassa tuloa (r.A mod N) kun d=l; ts. jos satunnaisveto on epävar- 15 ma, todennetulla täytyy olla säätävillään r ja r.A mod N, josta saadaan tietää A; - todentaja korottaa merkin t potenssiin p modulo N saadakseen selville, arvolla d=0 otsikon T ja arvolla D=1 otsikon T ja varjoidentiteetin J tulon renkaassa.
20 Täten on toisaalta välttämätöntä olla saatavilla käyttövaltuus A, jotta voi samanaikaisesti omistaa merkin t kaksi mahdollista arvoa, nimittäin r ja rA. Toisaalta todennettu ei voi päätellä tästä operaatiosta käyttövaltuu-, den arvoa A, koska vaikka hän pyytää todennettua syöttämään 25 rA:n hänelle, hän ei tiedä r:n arvoa, jonka todennettu tuotti satunnaisesti. Todentaja todellakin tietää rp:n, jonka todennettu syötti otsikossa, mutta hän ei kykene saamaan selville siitä p.:nnettä juurta modulo N:ää, koska hän ei tiedä N:n alkulukutekijoihin jakoa.
30 Todennettu, joka ei pidä hallussaan aitoa käyttöval- tuutta voisi hämätä yrittämällä arvata todentajan tuottamaa satunnaisarvoa. Jos hän arvaa "0" (klaava), hän arvioi, että todentaja korottaa otsikon potenssiin p modulo N ja että todentaja vertaa saatua tulosta otsikkoon T. Vakuut-
35 taakseen todentajan todennetun on syötettävä otsikon T
3 97170 mukana merkki korotettuna potenssiin p. Toisaalta, jos hämääjä arvaa "1" (kruuna), hän arvioi, että todentaja korottaa otsikon potenssiin p ja kertoo sitten saadun tuloksen J:llä. Ollakseen vakuuttava hänen täyty sen vuoksi 5 lähettää otsikossa merkki korotettuna potenssiin p kerrottuna J:llä.
Toisin sanoen todennetulla on yksi mahdollisuus kahdesta antaa oikea vaste, jos hän muuttaa tapahtumien aikajärjestystä, mikä tarkoittaa, että jos hän ei aluksi ίο määritäkään otsikkoa T ja sen jälkeen merkkä t, vaan jos hän arvaa todentajan tuottamaa satunnaisarvoa ja jos hän sitten muodosta otsikon jälkikäteen satunnaisesti tuotetun merkin avulla.
Tässä tilastollisessa menetelmässä todennettavan is mahdollisuudet arvata oikea vaste ovat yksi kahdesta jokaisessa prosessissa, niin että kun prosessi toistetaan k kertaa, hämääjän mahdollisuudet pienevät arvoon l/2k. Tämän todennusmenetelmän luotettavuuskerroin on siksi 2k. Käytännössä k:n suuruusluokka on 16-24.
20 Sellaisessa menetelmässä p on pieni, esimerkiksi 3.
On mahdollista käyttää myös arvoa 2, mutta siinä tapauksessa täytyy ryhtyä tiettyihin varotoimenpiteisiin luvun N alkulukutekijöitä valittaessa, jotta funktio "korota neliöön modulo N" olisi kokonaislukujen modulo N renkaan ne-25 liöllisten jäännösten permutaatio. Lukujen a ja b täytyy olla kokonaislukuja muotoa 4x+3, muistutettakoon, että neliölliset jäännökset ovat komponentteja, jotka ovat neliöitä renkaassa ja varjoidentiteetin J täytyy olla modioita-vissa sitä edustavassa neliöllisessä jäännöksessä ennenkuin 30 käyttövaltuus lasketaan. Tämä ratkaisu esitetään jo mainitussa dokumentissa ISO/TC97/SC20/N207.
Kokonaisluku N nykyisissä pankkikorteissa voi olla muotoa N=K+2320, jossa K on 240 bitin kokonaisluku, joka on julkinen ja tiedetään kaikilla päätteillä. Vain korttien 35 antajan saatavissa on N:n alkulukutekijoihin jako. Siitä li 9 97170 huolimatta on suositeltavaa käyttää suuria numeroita.
Esimerkiksi nykyisten pankkikorttien identiteetti I voi olla 160 bitin symboli, joka saadaan 44 bitin mikropiirin sarjanumeron, 76 bitin pankkitilin pankkitilinumeron, 5 8 bitin käyttösovellutuskoodin ja 32 bitin kelpoisuusajan-jakson peräkkäisyhdistelmästä. Tällöin varjoidentiteetissä on 320 bittiä. Käyttövaltuutus on sitten tämän sanan kuutio juuri, modulo N. Tämä on 320 bitin sana.
Tämän tekniikan parannukseen kuuluu itsensä käyttö-ίο valtuuden A (Ap mod N=J) sijasta käyttää sen käänteislukua, jota merkitään B:llä. Tästä tuloksena on BPJ mod N=l, mikä mahdollistaa otsikon ja merkin vertailun yksinkertaistamisen. Sitten onkin riittävää siirtää merkki, joka on yhtä suuri kuin r (dB-d+1), joka on yhtä suuri kuin r, jos d=0 15 tai yhtä suuri kuin rB, jos d=l, ja laskea tp (dJ-d+1) mod N otsikon T löytämiseksi. Sitten on mahdollista siirtää vain osa siitä esimerkiksi noin sadasosa sen bitistä tai mikä parempi sen jälkeen kun on suoritettu tiivistys yksisuuntaisella funktiolla.
20 Palautetaan muistiin, että tiivistysfunktio aiheut taa vastaavuuden n komponentin joukon ja m muun komponentin joukon välille, jossa m on pienempi kuin n ja niin että on käytännössä mahdotonta osoittaa kahta komponenttia, joilla . on sama kuva.
25 Keksintöä ja sen tekniikan alaa selitetään edelleen seuraaviin kuvioihin viittaamalla.
Kuvio 1 esittää em. tilastollista prosessia;
Kuvio 2 esittää samalla tavalla FS-prosessia;
Kuviot 3 ja 4 esittävät samalla tavalla tekniikoiden 30 S- ja FS- prosesseja;
Kuviot 5 ja 6 esittävät samalla tavalla tekniikoiden S- ja FS- allekirjoitusprosessia;
Kuvio 7 esittää keksinnön mukaista menetelmää käyt-tövaltuuden todentamiseksi; 35 Kuvio 8 esittää keksinnön mukaista menetelmää vies- 10 97170 tin aitouden osoittamiseksi;
Kuvio 9 esittää keksinnön mukaista menetelmää viestin merkitsemiseksi;
Kuvio 10 esittää kaaviona laitekokoonpanoa, joka 5 mahdollistaa keksinnön menetelmien toteuttamisen.
Kuvio 1 esittää yllä mainittua tilastollista prosessia. Vasemmalta oikealle suuntautuvat nuolet esittävät siirtoa todennetusta todentajalle (identiteetti I, otsikko T, merkki t) ja oikealta vasemmalle suuntautuvat nuolet ίο esittävät siirtoa vastakkaisessa suunnassa (bitti d tuotetaan satunnaisesti). Satunnaisveto esitetään ympyrällä, johon liittyy kysymysmerkki. Symboli E merkitsee "kuuluu joukkoon" ja sulkujen väliset luvut tarkoittavat kokonaislukujen joukkoa esitettyjen kahden rajan välissä, kun rajat is kuuluvat joukkoon. Lopullinen vertailu, jossa käyttövaltuu-den aitous päätetään, on esitetty kuviossa yhtäsuuruusmerkillä, jonka yläpuolella on kysymysmerkki. Katkoviivoilla esitetty lohko osoittaa operaatioiden joukon, jotka suoritetaan k kertaa (iteraatio).
20 Äskettäin on ehdotettu vielä paranneltua menetelmää, joka hyödyntää moninkertaisia käyttövaltuuksia. Tätä menetelmää on selostettu Amos FIATin ja Adi SHAMIRin julkaisussa, joka on julkaistu Compte Rendu du CRYPTO 86:ssa, Santa , Barbara, CA, USA, elokuu 1986, "How to Prove Yourself: 25 Practical Solutions to Identification and Signature Problems", Springer Verlag, Lecture Notes in Computer Science, nro 263, s. 186-194.
Huomion kiinnittäminen useisiin käyttövaltuuksiin kortissa johtaa kasvaneeseen käsittelyn tehokkuuteen ja 30 vaadittavien iteraatioiden lukumäärän vähenemiseen annetun turvallisuustason saavuttamiseksi verrattuna hämääjälle jäävään onneen. Tässä menetelmässä tuotetaan n moninaista identiteettiä II...In, jotka täydennettyinä varjoillaan antavat n kpl moninaista varjoidentiteettiä Jl...Jn. Kortti 35 sisältää n käänteistä käyttövaltuutta Bl. . .Bn, jotka toden- 11 11 97170 tavat yhtälöt Ji.Bip mod N=l.
Tässä menetelmässä, jota merkitään FS:llä, kustakin käsittelystä tai iteraatiosta tulee sitten seuraavanlainen (kun otetaan 2 julkiseksi eksponentiksi) : 5 - kortti tuottaa satunnaisesti komponentin r koko naislukujen modulo N renkaassa ja siirtää sitten todenta-jalle tämän komponentin neliön 128 bittiä otsikon T muodossa; - todentaja tuottaa satunnaisesti l:n bitin sanan, 10 ts. bl...bn, jonka hän siirtää kortille; - kortti laskee sitten komponentin r ja käänteisten käyttövaltuuksien merkittynä "1"- biteillä n bitin sanoissa bl...bn tulon. Kortti siirtää lisäksi merkin hahmossa täten saadun t:n arvon:
15 t=r. (bl.Bl-bl+1).....(bn.Bn-bn+1) mod N
- todentaja testaa tätä merkkiä t korottamalla sen toiseen potenssiin renkaassa ja sitten kertomalla tämän neliön moninaisilla varjoidentiteeteillä merkittynä n bitin sanan "1" -biteillä, 20 ts.: tp. (bl. Jl-bl+1).....(bn.Jn-bn+1) mod N.
Aitous tulee todistetuksi, jos otsikon T julkistetut bitit saadaan esille.
Kuka tahansa voisi satunnaisesti tuottaa merkin t ja . sitten renkaassa korottaa tämän toiseen potenssiin ja ker- 25 toa moninaisten identiteettien valikoimalla muodostaakseen otsikon T. Itse asiassa jos otsikko annetaan käsittelyn alussa, jos kysytty kysymys on todellakin odotettu valinta, niin sitten merkki t on hyväksyttävä vaste, joka todentaa kortin aitouden.
30 Täten henkilöllä, joka arvaa tai tietää etukäteen todentajan satunnaisvedon, on voittostrategia.
Läpäistäkseen menestyksellisesti iteraation hämää jän täytyy tällä kertaa arvata n bitin sana eikä enää vain yhtä ainoata bittiä kuten GMR-menetelmässä. Jos 2" arvot ovat 35 yhtä todennäköisiä käyttövaltuuksien (n) kertominen iteraa- 12 97170 tioiden (k) lukumäärällä vähentää eksponentiaalisesti hämää jälle jääviä mahdollisuuksia. Todentamisoperaation luo-tettavuuskerroin on sitten 2kn.
Jokaisella iteraatiolla todennettu siirtää esim. 128 5 bittiä (neljäsosa 512 bitistä) ja renkaan komponentin ja todentaja siirtää n bittiä. Jokaisella iteraatiolla toden-taja ja kortti laskevat toisen potenssin ja suorittavat joukon kertolaskuja, joka on yhtä suuri kuin n bittisen sanan "1" bittien lukumäärä (HAMMING paikoitus), ίο Iteraation tehokkuuden ja iteraation kuluessa suori tettavien kertolaskujen maksimimäärän välisenä toisena kompromissina on mahdollista rajoittaa n bitin sanassa olevien "1" bittien lukumäärää tiettyyn murto-osaan.
Tämän tekniikan yhteydessä viitataan Amos FIATin ja is Adi SHAMIRin julkaisuun "Tietokoneiden ja tietoliikenteen suojaamista ja turvallisuutta käsittelevässä 5. maailmankongressissa", Pariisi, 4-6, 3. 1987, otsikolla "Unforgable Proofs of Identity".
Oheinen kuvio 2 kuvaa kaaviollisesti tätä FS-mene-20 telmää ja kuvioon pätevät samat sopimukset kuin kuvioon 1.
Näitä menetelmiä käyttövaltuuden todentamiseksi voidaan hvyin soveltaa käyttövaltuutettuna pidetyn kokonaisuuden lähettämän viestin aitouden osoittamiseksi. Tässä « .
tapauksessa todennetun siirtämää otsikkoa T ei muodosta 25 enää yksinomaan rp mod N kuten edellisessä tapauksessa vaan myös todennettava viesti m. Tarkemmin ilmastuna se on tii-vistysfunktion aikaansaama tulos, jota merkitään f:llä, jonka argumentit ovat m ja rp mod N.
Kuviot 3 ja 4 esittävät kaaviollisesti näitä mene-30 telmiä, kun on kyse tekniikoista S ja FS.
Nämä tekniikat voivat samalla tavoin toimia viestin merkitsemisessä. Tiivistysfunktion merkitys liittyy silloin todentajan satunnaisvetoon. Tarkemmin sanoen S tyypin menetelmässä allekirjoittanut vetää k komponenttia r kokonais-35 lukujen modulo N renkaassa, nimittäin rl, r2, ..., rk, 1 13 97170 jotka merkitsevät r:n eri arvoja k iteraation kuluessa tuotettuina. Allekirjoittanut korottaa nämä kokonaisluvut neliöön mod N ja laskee tiivistysfunktion f (m, r2 mod N, . . . rk2 mod N) , joka järjestää luvun D, jonka bitteinä ovat 5 dl, d2, ... dk. Jokainen tämän luvun bitti di on samassa asemassa kuin satunnaisesti tuotettu bitti tässä aiemmin kuvatussa käyttövalmiuden todentamisprosessissa. Allekirjoittanut muodostaa sitten k otsikkoa ti=riBdi mod N, jossa i=l, 2, ... k. Allekirjoitettu viesti on sitten m, I, dl, ίο ... dk, tl, ..., tk muodostama multippeli.
Sellaisen viestin todentamiseksi otsikot tl modulo N korotetaan toiseen ja tämä toiseen potenssiin korotettu arvo kerrotaan Jdl modulo N:llä. Sitten lasketaan tiivistys-funktio f (m, tl2 Jdi modN, ..., tk2 J1 mod N) ja saatua tu-15 losta verrataan lukuun D ts. bitteihin dl, d2, ..., dk.
Kun sovellutuskohteena on viestien merkitseminen, luku k on suurempi kuin aitouden todentamisessa. Siinä on usein suuruusluokaltaan 60-80 bittiä ja tarkemmin ainakin 30 bittiä. Itse asiassa todentaminen ei tapahdu enää reaa-20 liajassa ja vilpillisellä henkilöllä on siksi runsaasti aikaa muodostaa väärä allekirjoitus.
Kuviot 5 ja 6 esittävät kaaviollisesti tätä menetelmää tekniikoiden S ja FS ollessa kyseessä. Näillä tekniikan • « . alaan kuuluvilla tekniikoilla on tiettyjä haittoja. Erityi- 25 sesti menetelmä FS moninaisine käyttövaltuuksineen vie suuren tilan muistista. Lisäksi käsittelyjen toiston tarve pidentää vaihtojen kestoa. Lopuksi merkkien moninaisuus lisää informaatioyksiköitä, joita lisätään viestiin sen allekirj oittamiseksi.
30 Keksinnön tarkoituksena on mm. poistaa tätä haittaa.
Siksi se käyttää yhtä käyttövaltuutta (eikä enää moninkertaisia käyttövaltuuksia) ja yhtä käsittelyä (eikä enää käsittelyjen toistoa).
Kyseisen keksinnön tarkoituksena on tarkemmin sanot-35 tuna aikaansaada menetelmä käyttövaltuuden todentamiseksi ja 14 97170 menetelmä viestin todentamiseksi, jotka molemmat menetelmät käyttävät yhtäältä julkisen avaimen järjestelmään perustuvaa käyttövaltuuden muodostamista ja toisaalta tie-tosuoj austa; 5 a) jolloin käyttövaltuus on muotoiltu julkiseen avaimeen perustuvalla menetelmällä, johon kuuluu seuraavat operaatiot: - auktoriteetti, jolla on oikeus jakaa käyttöval-tuuksia, valitsee kaksi alkulukua, muodostaa näiden kahden ίο luvun tulon N, pitää salaisina nämä luvut, valitsee kokonaisluvun p ja julkaisee N:n ja p:n; - jokaiselle käyttövaltuuden haltijalle muodostetaan numeerinen identtiteetti I, jota täydennetään sitten redundanssilla varjoidentiteetiksi kutsutun sanan J muodostami- 15 seksi, - auktoriteetti muotoilee käyttövaltuuden A ottamalla varjoidentiteetin p:nnen juuren kokonaislukujen modulo N renkaassa, (A = J1/p mod N) , - auktoriteetti tallentaa käyttövaltuuden A kääntei-20 sen modulo N:n, ts. luvun B, jota sanotaan käänteiseksi käyttövaltuudeksi (BPJ mod N=l), muistin käsittävään sopivaan välineeseen, jolloin tämä luku B on todennettava käyttövaltuus, , b) jolloin näin muotoillun käyttövaltuuden todenta- 25 minen käsittää vuorovaikutteisen, tilastollisen, tietosuo-jaustyyppisen numeerisen prosessin ja tapahtuu käyttövaltuuden sisältävän välineen, jota kutsutaan "todennetuksi", ja todentamisvälineen, jota kutsutaan "todentajaksi", kesken, jolloin tähän prosessiin kuuluu ainakin yksi numeeri-30 nen käsittely, johon kuuluvat seuraavat tunnetut operaatiot : - todennettu tuottaa ensin satunnaisesti kokonaisluvun r, joka kuuluu kokonaislukujen modulo N renkaaseen, - todennettu korottaa tämän kokonaisluvun r potens-35 siin p modulo N, jolloin tulosta kutsutaan otsikoksi T, il 15 97170 - todennettu lähettää sitten ainakin osan otsikon T biteistä, - todentaja tuottaa sitten satunnaisesti luvun D ja pyytää todennettua ryhtymään määrättyihin r: ää ja kään- 5 teistä käyttövaltuutta B koskeviin toimenpiteisiin, jotka liittyvät todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, - todennettu lähettää todentajalle luvun t, jota kutsutaan todistajaksi ja joka on näiden operaatioiden ίο tulos, - todentaja ryhtyy vuorostaan todennetun lähettämää todistajaa t ja todennetun varjoidentiteettiä J koskeviin toimenpiteisiin, jotka myös liittyvät todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislu- 15 kujen modulo N renkaassa, - todentaja vertaa täten saatua tulosta otsikon T hitteihin, jotka todennettu on lähettänyt todennusprosessin alussa, ja tunnustaa käyttövaltuuden aidoksi, jos se saa esille nämä bitit.
20 Keksinnön mukaiselle käyttövaltuuden todentamis menetelmälle on tunnusomaista, että: a) käyttövaltuuden (B) muotoilun yhteydessä luku p, jonka avulla varj©identiteetistä (J) otetaan p:s juuri, valitaan suureksi ja se käsittää ainakin kymmenisen bittiä, 25 b) käyttövaltuuden todentamiseksi prosessiin kuuluu vain yksi vuorovaikutteinen ja tilastollinen käsittely, johon kuuluvat seuraavat operaatiot: - luku D, jonka todentaja tuottaa satunnaisesti, on 0:n ja p-l:n välillä (mukaanlukien rajat) oleva kokonais- 30 luku, - operaatio, jonka todennettu suorittaa todistajan t lähettämiseksi, on elementin r, jonka se on itse tuottanut satunnaisesti, ja käänteisen käyttövaltuuden B D-.nnen potenssin tulo kokonaislukujen modulo N renkaassa, jolloin 35 todistaja on t=r.B° mod N, 9 16 97170 - todentajan suorittamat operaatiot ovat todistajan t p:nnen potenssin ja varjoidentiteetin J D:nnen potenssin tulo kokonaislukujen modulo N renkaassa, ts. tpJD mod N, - todentajan suorittama vertailuoperaatio kohdistuu 5 ensin todennetun lähettämiin otsikon T hitteihin ja edellisestä operaatiosta saatuihin hitteihin, jolloin käyttö-valtuuden todentaminen hankitaan yhdessä käsittelyssä, heti kun todentaja saa esiin kaikki todennetun antamat otsikon bitit lausekkeen tpJD mod N avulla.
ίο Lisäksi keksinnön tavoitteena on toteuttaa patentti vaatimuksen 2 mukainen menetelmä viestin todentamiseksi, patenttivaatimuksen 3 mukainen menetelmä viestin allekirjoittamiseksi, patenttivaatimuksen 4 mukainen järjestelmä tietosuojatun käyttövaltuusinformaation todentamiseksi, 15 patenttivaatimuksen 5 mukainen järjestelmä viestin todentamiseksi ja patenttivaatimuksen 6 mukainen järjestelmä viestin m allekirjoittamiseksi. Nämä keksinnön tavoitteet saavutetaan vastaavasti patenttivaatimuksissa 2-6 esitettyjen tunnusmerkkien avulla.
20
Ensimmäisessä kahdessa menetelmässä lukuun p kuuluu ainakin 10 bittiä ja niitä on edullisesti 16-24.
Merkitsemismenetelmässä luku p on suurempi ja siihen « , kuuluu useita kymmeniä bittejä, esimerkiksi 60-80 bittiä 25 tai joka tapauksessa ainakin kolmekymmentä bittiä.
Itse asiassa p:n arvo on alkeiskäsittelyn luotetta-vuuskerroin. Jos p on sopiva etsittyä tarkoitusta varten, on mahdollista tyytyä yhteen käsittelyyn, vaikka vain yksi laaja käyttövaltuus on käytettävissä.
30 Kuvioissa 7-9 käytetään samoja merkintöjä kuin kuvi oissa 1-6. Kaikissa tapauksissa käyttövaltuus saadaan käyttämällä suurta lukua p. Tätä käyttövaltuutta kutsutaan "laajaksi" vastakohtana tavanomaisille käyttövaltuuksille, jossa p oli suuruusluokaltaan 2 tai 3 ja jotka ovat melko 35 "pinnallisia".
* « li 17 97170 Täten kun on kyse älykkäistä korteista, suoritetaan seuraava käsittely: - kortti tuottaa satunnaisesti komponentin r (l£r£N-l) kokonaislukujen modulo N renkaassa ja antaen 5 otsikon T hahmossa, tämän komponentin julkisen potenssin 128 bittiä (r mod N); - todentaja tuottaa satunnaisesti eksponentin D 0:sta (p-1):een ja siirtää sen kortille - kortti laskee merkin t, joka on komponentin r ja ίο käyttövaltuuden B D:nnen potenssin tulon, ts. t (renkaassa) (t=r.BD mod N) ; - todentaja laskee renkaassa merkin t p:nnen potenssin ja varjoidentiteetin J D:nnen potenssin tulon, ts. tpJD mod N.
15 Todistus hyväksytään, jos otsikon T kaikki julkais tut bitit saadaan täten esille.
Jokainen joka on arvannut todentajan kysymyksen (eksponentti D) voi tuottaa satunnaisesti merkin t ja sitten suorittaa etukäteen todentajan laskelmia ts. muodostaa 20 merkin t potenssiin p korotetun arvon ja varjoidentiteetin J potenssiin D korotetun arvon tulon renkaassa. Jos otsikko T on annettu iteraation alussa ja jos asetettu kysymys todellakin on D, niin silloin merkki t on hyväksyttävä vastaus. Tämä järkeily osoittaen arvaavan henkilön voitto-25 strategiaa esittää, että ei ole mahdollista erottaa toisistaan dataa, joka on peräisin onnistuneen operaation tallentamisesta ja datan, joka on valheellista alkuperää, joka on saatu kääntämällä iteraation aikajärjestys ts. valitsemalla eksponentit ennen kuin otsikot. Todentaja kerää informaa-30 tioyksiköt, joita on mahdotonta erottaa niistä, jotka hän olisi voinut tuottaa yksinään ilman vuorovaikutusta todennettavan kanssa, mikä näyttää, että käyttövaltuus ei todellakaan säily salaisena kortilla.
Päättääkseen menestyksellisesti aitouden todistamis-35 prosessinsa, hämääjän täytyy arvata eksponentti D. Jos D:n 18 97170 p-arvot ovat yhtä todennäköisiä, hämäävälle jää mahdollisuus 1/p. Luotettavuuskerroin on siksi p.
Sellaisessa käsittelyssä todennettu siirtää noin sata bittiä ja renkaan komponentin; todentaja siirtää eks-5 ponentin (D) . Päättääkseen käsittelyn todennettu laskee kaikkein ensimmäiseksi satunnaisesti tuotetun komponentin r julkisen potenssin ja sitten tämän komponentin r ja käyt-tövaltuuden B D:nnen potenssin tulon. Todentaja tarvitsee hieman vähemmän laskentaa saadakseen esiin otsikon T: koska ίο hän voi älykkäästi yhdistää potenssin laskemiset: var- joidentiteetin J D:nnen potenssin ja merkin t p:nnen potenssin .
Jos eksponentilla p on arvo 216, niin sitten eksponentti D on numero, jossa on 16 bittiä. Täten yhdessä 15 käsittelyssä, kun turvallisuuskerroin on 216, ts. 65536, todennettu laskee renkaassa 16 neliötä ja sitten 16 neliötä ja 8 kertomisen keskiarvon. Todentaja laskee vain 16 neliötä ja jatkaa keskimäärin 8 kertomisella.
Menetelmä viestin aitouden todistamiseksi esitetään 20 kuviossa 8 samoilla sopimuksilla, eroa kuvioon 7 nähden on vain tiivistysfunktion f muodostamisessa. Viestin merkitsemiseksi p:n laajuisen käyttövaltuuden B haltija alkaa tuottaa satunnaisesti komponentin r renkaassa ja laskee sitten komponentin r julkisen potenssin (rp mod N). Hän tuottaa 25 sitten eksponentin D tiivistysfunktion nojalla sovellettuna yhteenliitettyihin viestiin m ja komponentin r julkiseen potenssiin. Merkki t on komponentin r ja käyttövaltuuden B D:nnen potenssin tulo. Merkitty viesti on identiteetin I, viestin m, eksponentin d, ja merkin t yhteenliittymä.
30 Viestin todentamiseksi todentaja laskee renkaassa merkin t p:nnen potenssin ja varjoidentiteetin J (konstruoituna julkisesta identiteetistä I) D:nnen potenssin tulon todetakseen uudelleen, mikä komponentin r julkisen potenssin täytyy olla. Lopulta todentajan täytyy saada esiin 35 eksponentti D ottamalla funktion f arvo viestistä ja uudel- 19 97170 leen järjestetystä julkisesta potenssista. Tätä esitetään kuviossa 9.
Jos p on kirjoitettu 64 mielivaltaisena bittinä, allekirjoittaja suorittaa noin 192 kertomista renkaassa 5 (hänen täytyy laskea peräkkäin kaksi potenssia, joiden eksponentit ovat 64 bittisiä ilman että niitä pystyy yhdistämään) saadakseen operaation päätökseen. Tämä kompleksisuus on jo huomattavasti vähäisempää kuin RSA-menetelmän monimutkaisuus: 768 kertomista keskimäärin yhden vaiheen t ίο J mod N laskemiseksi. Onneksi aitouden todistaminen on yksinkertaisempaa kuin allekirjoituksen muodostaminen, koska allekirjoitus kutsutaan todennettavaksi useita kertoja.
On kuitenkin mahdollista valita 264 (ilmaistuna 2:n 15 potenssina) p:n eksponenttina laskelmien yksinkertaistamiseksi ilman että muutetaan järjestelmän turvallisuutta. Potenssiin p korottaminen suoritetaan sitten 64 neliöimisellä. Eksponentti D on 64 bittinen luku. Allekirjoitus suoritetaan sitten 160 kertomisella. Allekirjoituksen to-20 dentamiseen käytetään keskimäärin 96 kertomista renkaassa, ts. 12,5 % RSArsta, jossa on 512 bittiä ja 6,2 % RSA:sta, jossa on 1024 bittiä.
Tässä aiemmin selitetyssä menetelmässä FS, jossa on 64 moninkertaista käyttövaltuutta samassa kortissa, tarvi-25 taan yksi neliöinti ja noin 32 kertomista. Täten keksinnön menetelmässä hyödynnetään laajaa käyttövaltuutta 3:a suuruusluokkaa olevan kertoimen laskelmien ylijäämän kustannuksella. Kun aiemmin tunnetulla tekniikan alalla rajoituksena on 8 käyttövaltuutta kortissa ja 8 merkkiä allekirjoi-30 tuksessa (8 iteraatiota 5:ssä kertomisessa ts. 40 kertomista) , suhde pienenee entisestään hieman keksinnön eduksi.
Varmasti on myös mahdollista valita 264+l julkiseksi eksponentiksi (ts. pariton luku). Vain yhden lisäkertomisen kustannuksella julkisen potenssin laskemiseksi aiheutetaan 35 tällä tavalla tiettyjä rajoituksia koskien neliöllisiä 20 9 7 1 70 jäännöksiä renkaassa (kun eksponentti p on parillinen useat renkaan elementit voivat vastata pinnettä juurta, mutta vain yksi on sopiva).
Kuviossa 10 esitetään kaaviona tietokone, joka mah-5 dollistaa keksinnön toteuttamisen mm. todentamismenetelmän suorittamiseksi. Yksinkertaisuuden vuoksi ei ole esitetty tähän tietokoneeseen yhteydessä olevaa toista asemaa. Jompikumpi tai molemmat asemat voidaan fyysisesti toteuttaa ns. älykkäillä korteilla, jotka ovat laajasti julkisia, ίο Esitettyyn tietokoneeseen kuuluu sisäänmeno-ulostulo liitäntä 10, keskusyksikkö CU, ohjelmoitu lukumuisti (PROM), lukumuisti (ROM) ja suorasaantimuisti (RAM). Lisäksi tietokoneeseen kuuluu äänigeneraattorin tai satunnaisgeneraattorin tyyppinen laite G.
15 PROM muistiin tallennettuihin käyttövaltuuteen ja identiteetti-informaatioyksikköihin ei pääse käsiksi ulkopuolelta. Ohjelmat on tallennettu ROM muistiin. Muisti RAM toimii laskentatulosten tallennuspaikkana. Generaattoria G käytetään erilaisten lukujen tuottamiseen satunnaismenetel-20 mällä prosessissa (r,D).
Keskusyksikkö ja muistit voidaan toteuttaa monoliittisen, itseohjelmoitavan mikrotietokoneen avulla, jota on selitetty US-patentissa 4 382 279.
Tiivistysfunktio voidaan aikaansaada DES-algoritmil-25 la (Data Encryption Standard) . Tämän DES-algoritmin suorittava älykortti on olemassa.
li

Claims (6)

  1. 21 97170
  2. 1. Menetelmä, jolla ei ole vaikutusta tunnistamiseen, käyttövaltuuden todentamiseksi, 5 a) jolloin käyttövaltuus on muotoiltu julkiseen avai meen perustuvalla menetelmällä, johon kuuluu seuraavat operaatiot : - auktoriteetti, jolla on oikeus jakaa käyttövaltuuk-sia, valitsee kaksi alkulukua, muodostaa näiden kahden ίο luvun tulon N, pitää salaisina nämä luvut, valitsee kokonaisluvun p ja julkaisee N:n ja p:n; - jokaiselle käyttövaltuuden haltijalle muodostetaan numeerinen identtiteetti I, jota täydennetään sitten redundanssilla varjoidentiteetiksi kutsutun sanan J muodostami- 15 seksi, - auktoriteetti muotoilee käyttövaltuuden A ottamalla varjoidentiteetin p:nnen juuren kokonaislukujen modulo N renkaassa, (A = J1/p mod N) , - auktoriteetti tallentaa käyttövaltuuden A käänteisen 20 modulo N:n, ts. luvun B, jota sanotaan käänteiseksi käyttö- valtuudeksi (BPJ mod N=l), muistin käsittävään sopivaan välineeseen, jolloin tämä luku B on todennettava käyttövaltuus, b) jolloin näin muotoillun käyttövaltuuden todenta-25 minen käsittää vuorovaikutteisen, tilastollisen numeerisen prosessin, jolla ei ole vaikutusta tunnistamiseen, ja tapahtuu käyttövaltuuden sisältävän välineen, jota kutsutaan "todennetuksi", ja todentamisvälineen, jota kutsutaan "to-dentajaksi", kesken, jolloin tähän prosessiin kuuluu aina-30 kin yksi numeerinen käsittely, johon kuuluvat seuraavat tunnetut operaatiot: - todennettu tuottaa ensin satunnaisesti kokonaisluvun r, joka kuuluu kokonaislukujen modulo N renkaaseen, - todennettu korottaa tämän kokonaisluvun r potenssiin 35 p modulo N, jolloin tulosta kutsutaan otsikoksi T, 22 97170 - todennettu lähettää sitten ainakin osan otsikon T biteistä, - todentaja tuottaa sitten satunnaisesti luvun D ja pyytää todennettua ryhtymään määrättyihin r:ää ja kään- 5 teistä käyttövaltuutta B koskeviin toimenpiteisiin, jotka liittyvät todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, - todennettu lähettää todentajalle luvun t, jota kutsutaan todistajaksi ja joka on näiden operaatioiden tulos, io - todentaja ryhtyy vuorostaan todennetun lähettämää todistajaa t ja todennetun varjoidentiteettiä J koskeviin toimenpiteisiin, jotka myös liittyvät todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, 15. todentaja vertaa täten saatua tulosta otsikon T bitteihin, jotka todennettu on lähettänyt todennusprosessin alussa, ja tunnustaa käyttövaltuuden aidoksi, jos se saa esille nämä bitit, tunnettu siitä, että: a) käyttövaltuuden (B) muotoilun yhteydessä luku p, 20 jonka avulla varjoidentiteetistä (J) otetaan p:s juuri, valitaan suureksi ja se käsittää ainakin kymmenisen bittiä, b) käyttövaltuuden todentamiseksi prosessiin kuuluu vain yksi vuorovaikutteinen ja tilastollinen käsittely, johon kuuluvat seuraavat operaatiot: 25. luku D, jonka todentaja tuottaa satunnaisesti, on 0:n ja p-l:n välillä (mukaanlukien rajat) oleva kokonaisluku, - operaatio, jonka todennettu suorittaa todistajan t lähettämiseksi, on elementin r, jonka se on itse tuottanut 30 satunnaisesti, ja käänteisen käyttövaltuuden B D:nnen potenssin tulo kokonaislukujen modulo N renkaassa, jolloin todistaja on t=r.B° mod N, - todentajan suorittamat operaatiot ovat todistajan t p:nnen potenssin ja varjoidentiteetin J D:nnen potenssin 35 tulo kokonaislukujen modulo N renkaassa, ts. tpJD mod N, II 23 97170 - todentajan suorittama vertailuoperaatio kohdistuu ensin todennetun lähettämiin otsikon T hitteihin ja edellisestä operaatiosta saatuihin hitteihin, jolloin käyttö-valtuuden todentaminen hankitaan yhdessä käsittelyssä, heti 5 kun todentaja saa esiin kaikki todennetun antamat otsikon bitit lausekkeen tpJD mod N avulla.
  3. 2. Menetelmä viestin todentamiseksi, jolloin viesti on peräisin oletettavasti käyttövaltuutetulta käskynantajalta, a) jolloin* käskynantajan käyttövaltuuteen kuuluu nu-10 meerinen sana B, joka saadaan julkisen avaimen menetelmällä, johon kuuluu seuraavat operaatiot: - auktoriteetti, jolla on oikeus jakaa käyttövaltuuk-sia, valitsee kaksi alkulukua, muodostaa näiden kahden luvun tulon N, pitää salaisina nämä kaksi lukua, valitsee 15 kokonaisluvun p ja julkaisee N:n ja p:n: - jokaiselle käskynantajalle muodostetaan numeerinen identiteetti I, jota täydennetään sitten redundanssilla varjoidentiteetiksi kutsutun sanan J muodostamiseksi, - auktoriteetti muotoilee käyttövaltuuden A ottamalla 20 varjoidentiteetistä J p:nnen juuren kokonaislukujen modulo N renkaassa (A=J1/P mod N) , - auktoriteetti tallentaa käskynantajan hallussaan pitämään sopivaan välineeseen käyttövaltuuden A käänteisen modulo N:n, ts. luvun B, jota kutsutaan käänteiseksi käyt-25 tövaltuudeksi (BPJ mod N=l) , b) jolloin näin käyttövaltuutetun käskynantajan lähettämän viestin m todentaminen käsittää vuorovaikutteisen, tilastollisen numeerisen prosessin, jolla ei ole vaikutusta tunnistamiseen, ja tapahtuu oletettavasti käyttövaltuutetun 30 käskynantajan välineen, jota kutsutaan "todennetuksi", ja todentamisvälineen, jota kutsutaan "todentajaksi", kesken, jolloin prosessiin kuuluu ainakin yksi numeerinen käsittely, johon kuuluvat seuraavat operaatiot: - todennettu tuottaa ensin satunnaisesti kokonaisluvun 35 r, joka kuuluu kokonaislukujen modulo N renkaaseen, 24 97170 - todennettu korottaa tämän kokonaisluvun r potenssiin p modulo N ja laskee tiivistysfunktion avulla tuloksen ottamalla argumentiksi viestin m ja rp mod N, ts. f (m, rp mod N), jolloin tulosta kutsutaan otsikoksi T, 5. todennettu lähettää sitten ainakin osan otsikon T biteistä, - todentaja tuottaa sitten satunnaisesti luvun D ja pyytää todennettua ryhtymään tiettyihin r:ää ja käänteistä käyttövaltuutta B koskeviin operaatioihin, jotka liittyvät ίο todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, - todennettu lähettää todentajalle luvun t, jota kutsutaan todistajaksi ja joka on näiden operaatioiden tulos, - todentaja suorittaa vuorostaan todennetun lähettä-15 mään todistajaan t ja todennetun varjoidentiteettiin J kohdistuvia operaatioita, jotka myös liittyvät todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, - todentaja muodostaa tiivistysfunktion, jonka argu-20 mentteina ovat todennettava viesti m ja edeltävien operaatioiden tulos ts. f (m, t, J), - todentaja vertaa saadun tiivistysfunktion tulosta otsikkoon T, jonka todennettu lähetti todennusprosessin alussa, tunnettu siitä, että 25 a) käskynantajan käyttövaltuutta muotoiltaessa luku p, jota käytetään p:nnen juuren ottamiseksi varj©identiteetistä, valitaan suureksi ja käsittää ainakin kymmenisen bittiä, b) viestin todentamiseksi prosessiin kuuluu vain yksi 30 vuorovaikutteinen ja tilastollinen käsittely (eikä siis tällaisen käsittelyn toistoa), johon kuuluu seuraavat operaatiot : - todentajan satunnaisesti tuottama luku D on kokonaisluku välillä 0 ja p-1 (mukaanluettuna rajat), 35. operaatio, jonka todennettu suorittaa todistajan t „ 97'70 antamiseksi, on sen itsensä tuottaman elementin r ja käänteisen käyttövaltuuden B D:nnen potenssin tulo kokonaislukujen modulo N renkaassa, jolloin todistaja t = r.BD mod N, - todentajan suorittamat operaatiot ovat todistajan t 5 p:nnen potenssin ja varjoidentiteetin J D:nnen potenssin tulo kokonaislukujen modulo N renkaassa, - todentaja muodostaa viestin ja edeltävien operaatioiden tuloksen tiivistysfunktion, ts. f(m,tpJD mod N), - todentajan suorittama vertailu kohdistuu todentajan 10 saamaan tiivistysfunktion tulokseen ja otsikkoon T, jonka todennettu on lähettänyt todentajalle todennusprosessin alussa, jolloin viestin aitous on todettu yhdessä käsittelyssä, heti kun tämän käsittelyn lopussa todentajan saaman tiivistysfunktion tuloksen bittien ja todennetun lähettämi-15 en otsikon bittien välillä on vastaavuus.
  4. 3. Menetelmä viestin allekirjoittamiseksi oletettavasti käyttövaltuutetun olion toimesta, a) jolloin viestejä allekirjoittavan olion käyttöval-tuus on saatu julkisen avaimen menetelmällä, johon kuuluu 20 seuraavat vaiheet: - auktoriteetti, jolla on oikeus jakaa käyttöval-tuuksia, valitsee kaksi alkulukua, muodostaa näiden kahden luvun tulon N, pitää nämä kaksi alkulukua salaisina, valitsee kokonaisluvun p ja julkaisee N:n ja p:n, 25. jokaiselle oliolle, joka on allekirjoittaja, muo dostetaan numeerinen identiteetti I, jota sitten täydennetään redundanssilla muodostamaan varjoidentiteetiksi kutsuttu sana J, - auktoriteetti muotoilee käyttövaltuuden A ottamalla 30 varjoidentiteetistä J prnnen juuren kokonaislukujen modulo N renkaassa, (A=J1/p mod N) , - auktoriteetti tallentaa käyttövaltuuden A käänteisen modulo N:n, ts. luvun B, jota kutsutaan käänteiseksi käyt-tövaltuudeksi (BPJ mod N=l), allekirjoittajan pitämään so- 35 pivaan välineeseen, 97170 26 b) jolloin identiteetin I omaavan allekirjoittajan suorittama viestin m allekirjoitus käsittää tilastollisen numeerisen käsittelyn, johon kuuluu seuraavat operaatiot: - allekirjoittaja tuottaa satunnaisesti ainakin yhden 5 kokonaisluvun r, joka kuuluu kokonaislukujen modulo N renkaaseen, - allekirjoittaja korottaa tämän kokonaisluvun r potenssiin p modulo N, - allekirjoittaja laskee tiivistysfunktion f tuloksen ίο käyttämällä argumentteina allekirjoitettavaa viestiä m ja saatua potenssia rp, - allekirjoittaja muodostaa ainakin yhden todistajan t suorittamalla tiettyjä r:ään ja käänteiseen käyttövaltuu-teen B kohdistuvia toimenpiteitä, jotka liittyvät lukuun D 15 ja jotka suoritetaan kokonaislukujen modulo N renkaassa, - allekirjoittaja siirtää viestin m, identiteettinsä I, sanan D ja todistajan t, jolloin kokonaisuus muodostaa allekirjoitetun viestin, tunnettu siitä, että: 20 a) allekirjoittajan käyttövaltuuden muodostamisen yhteydessä luku p, jota käytetään p:nnen juuren ottamiseksi varjoidentiteetistä, valitaan suureksi ja se käsittää useita kymmeniä bittejä, b) viestin allekirjoitusoperaatiota varten: 25. allekirjoittaja tuottaa satunnaisesti vain yhden kokonaisluvun r, joka kuuluu kokonaislukujen modulo N renkaaseen, - tiivistysfunktion argumentteina ovat viesti m ja r:n p:s potenssi, mistä saadaan luku D, 30. allekirjoittajan tuottama ainoa todistaja on koko naislukujen modulo N renkaassa kokonaisluvun r ja käänteisen käyttövaltuuden B D:nnen potenssin tulo, - allekirjoittaja antaa viestillä m identiteettinsä I, sanan D ja todistajan t. 35 4. Järjestelmä, jolla ei ole vaikutusta tunnistami- li 27 97170 seen, käyttövaltuuden todentamiseksi, johon järjestelmään kuuluu: a) välineet käyttövaltuuden muotoilemiseksi julkisen avaimen tyyppisellä menetelmällä, jotka välineet käsittä- 5 vät: - auktoriteetilla, jolla on oikeus jakaa käyttöval-tuuksia, välineet kahden alkuluvun valitsemiseksi, näiden kahden luvun tulon N muodostamiseksi, näiden lukujen pitämiseksi salaisina, kokonaisluvun p valitsemiseksi ja N:n ja ίο p:n julkaisemiseksi, - välineet numeerisen identiteetin I muodostamiseksi kullekin käyttövaltuuden haltijalle ja sen täydentämiseksi redundanssilla varjoidentiteetiksi kutsutun sanan J muodostamiseksi , 15. välineet käyttövaltuuden A muotoilemiseksi, jolloin välineet ottavat pmnen juuren varjoidentiteetistä kokonaislukujen modulo N renkaassa (A=J1/p mod N) , - muistin käsittävän sopivan välineen, johon käyttö-valtuuden A käänteinen modulo N, ts. luku B, jota kutsutaan 20 käänteiseksi käyttövaltuudeksi (BPJ mod N=l), tallennetaan, jolloin luku B on todennettava käyttövaltuus, b) välineet käyttövaltuuden todentamiseksi, jotka välineet koostuvat välineistä vuorovaikutteisen, tilastoi- . lisen numeerisen prosessin suorittamiseksi, jolla ei ole 25 vaikutusta tunnistamiseen ja joka tapahtuu käyttövaltuuden sisältävän välineen, jota kutsutaan "todennetuksi", ja todentamisvälineen, jota kutsutaan "todentajaksi", välillä, jolloin välineisiin kuuluu: - todennetussa oleva väline sellaisen kokonaisluvun r 30 tuottamiseksi satunnaisesti, joka kuuluu kokonaislukujen modulo N renkaaseen, - todennetussa oleva väline tämän kokonaisluvun r korottamiseksi potenssiin p modulo N, jolloin tulosta kutsutaan otsikoksi T, 35. todennetussa olevat välineet ainakin joidenkin otsi kon T bittien lähettämiseksi, 97170 28 - todentajassa olevat välineet luvun D tuottamiseksi satunnaisesti ja todennetun pyytämiseksi ryhtymään tiettyihin r:ää ja käänteistä käyttövaltuutta B koskeviin toimenpiteisiin, jotka liittyvät todentajan välineiden satun- 5 naisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, - todennetussa olevat välineet, joilla annetaan toden-tajalle luku t eli todistaja, joka on näiden toimenpiteiden tulos, ίο - todentajassa olevat välineet, joilla se puolestaan suorittaa todennetun lähettämää todistajaa t ja todennetun varjoidentiteettiä J koskevia toimenpiteitä, jotka myös liittyvät todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, 15. todentajassa olevat välineet näin saadun tuloksen vertaamiseksi todennetun välineiden todennusprosessin alussa lähettämiin otsikon T hitteihin ja käyttövaltuuden todentamiseksi, jos todentaja saa nämä bitit esille, tunnettu siitä, että 20 a) välineissä käyttövaltuuden B muotoilemiseksi väli neet, joilla valitaan luku p jota käytetään p:nnen juuren ottamiseksi varjoidentiteetistä J, valitsevat suuren luvun, joka käsittää ainakin kymmenisen bittiä, b) välineissä käyttövaltuuden todentamiseksi välineet 25 voivat suorittaa vain yhden vuorovaikutteisen ja tilastollisen käsittelyn (eikä siis tällaisen käsittelyn toistoa), jolloin nämä välineet käsittävät: - välineet, jotta luku D, jonka todentaja satunnaisesti tuottaa, on kokonaisluku välillä 0 ja p-1, rajat mu- 30 kaanlukien, - todennetussa olevat välineet todistajan t tuottamiseksi, jotka välineet muodostavat satunnaisesti muodostetun elementin r ja käänteisen käyttövaltuuden B Drnnen potenssin tulon kokonaislukujen modulo N renkaassa, jolloin todi- 35 staja on siis t=r.BD mod N, li 29 97170 - todentajassa olevat välineet todistajan t p:nnen potenssin ja varjoidentiteetin J D:nnen potenssin tulon, ts. tpJD mod N, laskemiseksi kokonaislukujen modulo N renkaassa, todentajassa olevat vertailuvälineet todennetun 5 välineiden lähettämien otsikon T bittien ja edeltävästä operaatiosta saatujen bittien vertaamiseksi, jolloin käyttövaltuuden todentaminen saadaan aikaan yhdessä käsittelyssä heti kun todentaja saa esiin kaikki todennetun antamat otsikon bitit lausekkeen tpJD mod N avulla. ίο 5. Järjestelmä viestin todentamiseksi, jolloin viesti on peräisin oletettavasti käyttövaltuutetulta käskynanta-jalta, johon järjestelmään kuuluu: a) käskynantajalla olevat välineet numeerisen sanan B muodostamiseksi julkisen avaimen menetelmällä, jolloin nämä 15 välineet käsittävät: - auktoriteetilla, jolla on oikeus jakaa käyttöval-tuuksia, olevat välineet kahden alkuluvun valitsemiseksi, näiden kahden luvun tulon N muodostamiseksi, näiden kahden luvun pitämiseksi salassa, kokonaisluvun p valitsemiseksi 20 ja N:n ja p:n julkaisemiseksi, - välineet numeerisen identiteetin I muodostamiseksi kullekin käskynantajalle ja sen täydentämiseksi redundanssilla varj©identiteetiksi kutsutun sanan J muodostamiseksi, ‘ - välineet käyttövaltuuden A muotoilemiseksi auktorit- 25 eetin toimesta ja p:nnen juuren ottamiseksi varj©identiteetistä J kokonaislukujen modulo N renkaassa (A=J1/p mod N) , - käskynantajalla olevan sopivan välineen, johon auktoriteetti tallentaa käyttövaltuuden A käänteisen modulo N:n, ts. luvun B, jota kutsutaan käänteiseksi käyttöval- 30 tuudeksi (BPJ mod N=l), b) välineet näin käyttövaltuutetun käskynantajan lähettämän viestin m todentamiseksi, jotka välineet koostuvat välineistä vuorovaikutteisen, tilastollisen numeerisen prosessin suorittamiseksi, jolla ei ole vaikutusta tunnistami- 35 seen ja joka tapahtuu oletettavasti käyttövaltuutetun käs- 30 9 7 1 70 kynantajan välineen, jota kutsutaan "todennetuksi", ja to-dennusvälineen, jota kutsutaan "todentajaksi", välillä, jolloin näihin välineisiin kuuluu: - todennetussa olevat välineet sellaisen kokonaisluvun 5 r tuottamiseksi satunnaisesti, joka kuuluu kokonaislukujen modulo N renkaaseen, - todennetussa olevat välineet tämän kokonaisluvun r korottamiseksi potenssiin p modulo N ja tuloksen laskemiseksi tiivistysfunktion avulla, jolloin argumentteina ovat 10 viesti m ja rp mod N, ts. f (m, rp mod N), jolloin tulosta kutsutaan otsikoksi T, - todennetussa olevat välineet ainakin joidenkin otsikon T bittien lähettämiseksi, - todentajassa olevat välineet luvun D tuottamiseksi 15 satunnaisesti ja todennetun välineiden pyytämiseksi ryhtymään tiettyihin r:ää ja käänteistä käyttövaltuutta B koskeviin toimenpiteisiin, jotka liittyvät todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, 20. todennetussa olevat välineet, joilla annetaan toden- tajalle luku t eli todistaja, joka on näiden toimenpiteiden tulos, - todentajassa olevat välineet, joilla se puolestaan suorittaa todennetun välineiden lähettämään todistajaan t 25 ja todennetun varjoidentiteettiin J liittyviä toimenpiteitä, jotka myös liittyvät todentajan satunnaisesti tuottamaan lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, - todentajassa olevat välineet tiivistysfunktion muo-30 dostamiseksi käyttämällä argumentteina todennettavaa viestiä m ja edeltävien operaatioiden tulosta eli f (m, t, J) . todentajassa olevat välineet saadun tiivistys-funktion vertaamiseksi todennetun todennusprosessin alussa lähettämään otsikkoon T, 35 tunnettu siitä, että li 3i 97170 a) välineissä käskynantajan käyttövaltuuden muotoilemiseksi luku p, jota käytetään p:nnen juuren ottamiseksi varjoidentiteetistä, valitaan suureksi ja se käsittää ainakin kymmenisen bittiä, 5 b) välineissä viestin todentamiseksi välineet voivat suorittaa prosessin, joka käsittää vain yhden vuorovaikutteisen ja tilastollisen käsittelyn (eikä siis tällaisen käsittelyn toistoa), jolloin nämä välineet käsittävät: - todentajassa olevat välineet, joilla tuotetaan salo tunnaisesti luvuksi D kokonaisluku, joka on välillä 0 ja p- 1, rajat mukaan lukien, - todennetussa olevat välineet todistajan t tuottamiseksi, joka on todennetun itse muodostaman elementin r ja käänteisen käyttövaltuuden B D:nnen potenssin tulo koko- 15 naislukujen modulo N renkaassa, jolloin todistaja on siis r. Bd mod N, - todentajassa olevat välineet todistajan t p:nnen potenssin ja varjoidentiteetin J D:nnen potenssin tulon muodostamiseksi kokonaislukujen modulo N renkaassa, 20. todentajassa olevat välineet viestin ja edeltävien toimenpiteiden tuloksen tiivistysfunktion f (m, tp JD mod N) muodostamiseksi, - todentajassa olevat vertailuvälineet, jotka liittyvät todentajan välineillä saatuun tiivistysfunktion tu- 25 lokseen ja todennetun välineiden todentajalle todentamis-prosessin alussa lähettämään otsikkoon T, jolloin viestin todentaminen saadaan aikaan yhdessä ainoassa käsittelyssä heti kun tämän käsittelyn lopussa todentajan saaman tiivistysfunktion tuloksen kaikkien bittien ja todennetun 30 lähettämien otsikon bittien välillä on vastaavuus.
  5. 6. Järjestelmä viestin allekirjoittamiseksi oletettavasti käyttövaltuutetun olion toimesta, johon järjestelmään kuuluu a) välineet viestejä allekirjoittavan olion käyttö-35 valtuuden muotoilemiseksi, jolloin nämä välineet suoritta- * 32 97170 vat julkisen avaimen menetelmän ja käsittävät: - auktoriteetilla, jolla on oikeus jakaa käyttöval-tuuksia, välineet kahden alkuluvun valitsemiseksi, näiden kahden luvun tulon N muodostamiseksi, näiden alkulukujen 5 pitämiseksi salaisina, kokonaisluvun p valitsemiseksi ja N:n ja p:n julkaisemiseksi, - välineet numeerisen identiteetin I muodostamiseksi kullekin allekirjoittavalle oliolle ja sen täydentämiseksi redundanssilla varjoidentiteetiksi kutsutun sanan J muo- 10 dostamiseksi, - välineet käyttövaltuuden A muotoilemiseksi auktoriteetin toimesta ja p:nnen juuren ottamiseksi varjoidentitee-tistä J kokonaislukujen modulo N renkaassa (A=J1/p mod N) , - allekirjoittajalla olevan sopivan välineen, johon 15 auktoriteetti voi tallentaa käyttövaltuuden A käänteisen modulo N:n, ts. luvun B, jota kutsutaan käänteiseksi käyt-tövaltuudeksi (BPJ mod N=l) , b) välineet viestin m allekirjoituksen muodostamiseksi identiteetin I omaavan allekirjoittajan toimesta, jolloin 20 välineisiin kuuluu: - allekirjoittajalla olevat välineet ainakin yhden sellaisen kokonaisluvun r tuottamiseksi satunnaisesti, joka kuuluu kokonaislukujen modulo N renkaaseen, allekirjoittajalla olevat välineet tämän koko-25 naisluvun r korottamiseksi potenssiin p modulo N, - allekirjoittajalla olevat välineet tiivistysfunktion f tuloksen laskemiseksi, jolloin argumenteiksi otetaan allekirjoitettava viesti m ja saatu potenssi rp, - allekirjoittajalla olevat välineet ainakin yhden 30 todistajan t muodostamiseksi siten, että ryhdytään tiettyihin r:ää ja käänteistä käyttövaltuutta B koskeviin toimenpiteisiin, jotka liittyvät satunnaisesti tuotettuun lukuun D ja jotka suoritetaan kokonaislukujen modulo N renkaassa, - allekirjoittajalla olevat välineet viestin m, alle-35 kirjoittajan identiteetin I, sanan D ja todistajan t siir- 33 97170 tämiseksi, jolloin kokonaisuus muodostaa allekirjoitetun viestin, tunnettu siitä, että a) välineissä allekirjoittajan käyttövaltuuden muotoi-5 lemiseksi välineet luvun p valitsemiseksi, jota lukua käytetään p:nnen juuren ottamiseksi varjoidentiteetistä, valitsevat suuren luvun, joka käsittää useita kymmeniä bittejä, b) välineissä viestin allekirjoituksen suorittamiseksi ίο - allekirjoittajan välineet muodostavat satunnaisesti vain yhden kokonaisluvun r, joka kuuluu kokonaislukujen modulo N renkaaseen, - tiivistysvälineet toimivat argumenteilla, jotka ovat viesti m ja r:n p:s potenssi, mistä saadaan tulokseksi luku
  6. 15 D, - välineet, joilla allekirjoittaja muodostaa yhden ainoan todistajan, muodostavat kokonaislukujen modulo N renkaassa kokonaisluvun r ja käänteisen käyttövaltuuden B D:nnen potenssin tulon, 20. allekirjoittajan välineet antavat viestillä m alle kirjoittajan identiteetin I, sanan D ja todistajan t. • « i • 1 34 97170
FI884082A 1987-09-07 1988-09-05 Menetelmä ja järjestelmä käyttövaltuuksien ja tietosuojattujen viestien todentamiseksi ja viestien merkitsemiseksi ja kyseisessä järjestelmässä käytettävä asema, joka toimii erityisesti älykortin asemana FI97170C (fi)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR8712366 1987-09-07
FR8712366A FR2620248B1 (fr) 1987-09-07 1987-09-07 Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de messages

Publications (4)

Publication Number Publication Date
FI884082A0 FI884082A0 (fi) 1988-09-05
FI884082A FI884082A (fi) 1989-03-08
FI97170B FI97170B (fi) 1996-07-15
FI97170C true FI97170C (fi) 1996-10-25

Family

ID=9354667

Family Applications (1)

Application Number Title Priority Date Filing Date
FI884082A FI97170C (fi) 1987-09-07 1988-09-05 Menetelmä ja järjestelmä käyttövaltuuksien ja tietosuojattujen viestien todentamiseksi ja viestien merkitsemiseksi ja kyseisessä järjestelmässä käytettävä asema, joka toimii erityisesti älykortin asemana

Country Status (10)

Country Link
EP (1) EP0311470B1 (fi)
JP (2) JP3158118B2 (fi)
KR (1) KR960008209B1 (fi)
AT (1) ATE83573T1 (fi)
AU (1) AU613084B2 (fi)
CA (1) CA1295706C (fi)
DE (1) DE3876741T2 (fi)
ES (1) ES2037260T3 (fi)
FI (1) FI97170C (fi)
FR (1) FR2620248B1 (fi)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2663141B1 (fr) * 1990-06-11 1992-08-21 France Etat Procede de transfert de secret, par echange de deux certificats entre deux microcalculateurs s'authentifiant reciproquement.
US5005200A (en) * 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US4868877A (en) * 1988-02-12 1989-09-19 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
FR2654288B1 (fr) * 1989-11-08 1996-11-29 Europ Rech Electr Lab Procede d'authentification d'une carte a microprocesseur et systeme le mettant en óoeuvre.
JP3456993B2 (ja) * 1991-02-07 2003-10-14 トムソン マルチメデイア ソシエテ アノニム 識別および/またはディジタル署名を行うための方法および識別装置並びに検証装置
FR2718311A1 (fr) * 1994-03-30 1995-10-06 Trt Telecom Radio Electr Dispositif de mise en Óoeuvre d'un système de signature de message et carte à puce comportant un tel dispositif.
US5539828A (en) * 1994-05-31 1996-07-23 Intel Corporation Apparatus and method for providing secured communications
FR2747257B1 (fr) * 1996-04-09 1998-09-11 Gilbert Henri Procede d'identification et/ou de signature
FR2763452B1 (fr) * 1997-05-13 1999-06-18 France Telecom Procede d'identification a cle publique
FR2763451B1 (fr) * 1997-05-13 1999-06-18 France Telecom Procede d'identification a cle publique utilisant deux fonctions de hachage
FR2773406B1 (fr) * 1998-01-06 2003-12-19 Schlumberger Ind Sa Procede d'authentification de cartes a circuit integre
FR2788911A1 (fr) * 1999-01-27 2000-07-28 France Telecom Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
AU769464B2 (en) * 1999-01-27 2004-01-29 France Telecom Method, system, device for proving the authenticity of an entity and/or the integrity and/or the authenticity of message
FR2788910A1 (fr) * 1999-01-27 2000-07-28 France Telecom Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
WO2001026278A1 (fr) 1999-10-01 2001-04-12 France Telecom Jeux de cles particuliers destines a prouver l'authenticite d'une entite ou l'integrite d'un message
KR100844546B1 (ko) * 1999-10-01 2008-07-08 프랑스 텔레콤 엔티티의 진정성 또는 메시지의 무결성 검증방법, 시스템 및 장치
FR2822002B1 (fr) 2001-03-12 2003-06-06 France Telecom Authentification cryptographique par modules ephemeres
US7631196B2 (en) 2002-02-25 2009-12-08 Intel Corporation Method and apparatus for loading a trustable operating system
US7444512B2 (en) * 2003-04-11 2008-10-28 Intel Corporation Establishing trust without revealing identity
US8037314B2 (en) 2003-12-22 2011-10-11 Intel Corporation Replacing blinded authentication authority
US7802085B2 (en) 2004-02-18 2010-09-21 Intel Corporation Apparatus and method for distributing private keys to an entity with minimal secret, unique information
US8924728B2 (en) 2004-11-30 2014-12-30 Intel Corporation Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information
US7809957B2 (en) 2005-09-29 2010-10-05 Intel Corporation Trusted platform module for generating sealed data
US8014530B2 (en) 2006-03-22 2011-09-06 Intel Corporation Method and apparatus for authenticated, recoverable key distribution with no database secrets

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2102606B (en) * 1981-06-19 1985-01-30 Nat Res Dev Apparatus and methods for making payments electronically
FR2536928B1 (fr) * 1982-11-30 1989-10-06 France Etat Systeme pour chiffrer et dechiffrer des informations, du type utilisant un systeme de dechiffrement a cle publique
US4748668A (en) * 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature

Also Published As

Publication number Publication date
DE3876741D1 (de) 1993-01-28
KR960008209B1 (ko) 1996-06-20
JPH01133092A (ja) 1989-05-25
ATE83573T1 (de) 1993-01-15
FR2620248B1 (fr) 1989-11-24
KR890005634A (ko) 1989-05-16
DE3876741T2 (de) 1993-06-24
JP2000358027A (ja) 2000-12-26
FR2620248A1 (fr) 1989-03-10
CA1295706C (en) 1992-02-11
AU2197188A (en) 1989-03-23
AU613084B2 (en) 1991-07-25
EP0311470A1 (fr) 1989-04-12
FI884082A (fi) 1989-03-08
JP3158118B2 (ja) 2001-04-23
FI884082A0 (fi) 1988-09-05
EP0311470B1 (fr) 1992-12-16
FI97170B (fi) 1996-07-15
ES2037260T3 (es) 1993-06-16

Similar Documents

Publication Publication Date Title
FI97170C (fi) Menetelmä ja järjestelmä käyttövaltuuksien ja tietosuojattujen viestien todentamiseksi ja viestien merkitsemiseksi ja kyseisessä järjestelmässä käytettävä asema, joka toimii erityisesti älykortin asemana
Guillou et al. A practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory
US5140634A (en) Method and apparatus for authenticating accreditations and for authenticating and signing messages
EP3146670B1 (en) Network authentication system with dynamic key generation
Goldwasser et al. On the (in) security of the Fiat-Shamir paradigm
Deng et al. Deniable authentication protocols
EP1687931B1 (en) Method and apparatus for verifiable generation of public keys
US20160105414A1 (en) Method for Authenticating a Client Device to a Server Using a Secret Element
Brakerski et al. A framework for efficient signatures, ring signatures and identity based encryption in the standard model
US7680271B2 (en) Zero-knowledge proof cryptography methods and devices
WO1995009500A1 (en) Large provably fast and secure digital signature schemes based on secure hash functions
US20020136401A1 (en) Digital signature and authentication method and apparatus
JP4809310B2 (ja) エンティティの真正性又はメッセージの完全性を証明するための方法、システム、デバイス
US6959085B1 (en) Secure user identification based on ring homomorphisms
CN1574756A (zh) 验证内容用户的系统和方法
JP4875686B2 (ja) 楕円曲線上の有限体演算の加速方法
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
Michels et al. GOST 34.10—a brief overview of Russia's DSA
Smart et al. Public key encryption and signature algorithms
JP4598269B2 (ja) 楕円曲線上の高速有限体演算
Canard et al. Fair E-cash: be compact, spend faster
Ng et al. ECDSA-compatible privacy preserving signature with designated verifier
Al-Saidi et al. A new idea in zero knowledge protocols based on iterated function systems
Strelkovskaya et al. TWO-FACTOR AUTHENTICATION PROTOCOL IN ACCESS CONTROL SYSTEMS
Ding 6.1 The MQ Based Identification Scheme

Legal Events

Date Code Title Description
BB Publication of examined application
FG Patent granted

Owner name: N.V. PHILIPS GLOEILAMPENFABRIEKEN

Owner name: TELEDIFFUSION DE FRANCE S.A.

Owner name: L ETAT FRANCAIS

MA Patent expired