KR101094339B1 - Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof - Google Patents

Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof Download PDF

Info

Publication number
KR101094339B1
KR101094339B1 KR1020100029227A KR20100029227A KR101094339B1 KR 101094339 B1 KR101094339 B1 KR 101094339B1 KR 1020100029227 A KR1020100029227 A KR 1020100029227A KR 20100029227 A KR20100029227 A KR 20100029227A KR 101094339 B1 KR101094339 B1 KR 101094339B1
Authority
KR
South Korea
Prior art keywords
value
secret
signer
personal identification
modn
Prior art date
Application number
KR1020100029227A
Other languages
Korean (ko)
Other versions
KR20110109467A (en
Inventor
홍석희
김성경
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020100029227A priority Critical patent/KR101094339B1/en
Publication of KR20110109467A publication Critical patent/KR20110109467A/en
Application granted granted Critical
Publication of KR101094339B1 publication Critical patent/KR101094339B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks

Abstract

오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치, 방법 및 그 기록 매체가 개시된다. 본 발명의 일 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치는 비밀키

Figure 112010020573383-pat00082
과 비밀값 TA를 저장하는 메모리부; 랜덤값 r을 이용하여 x = r2 mod N 을 연산하고 상기 서명 요청자에 전송하는 약정값 전송부; 상기 서명 요청자에서 정수 l 이하의 자연수로 이루어진 집합 중 랜덤하게 선택된 부분 집합 S를 수신하는 대응값 수신부; 및 상기 비밀값 TA 및 상기 부분 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하는 반응값 전송부를 포함한다.Disclosed are a Fiat Shamir personal identification device, a method, and a recording medium thereof secured against an error injection attack. Fiat Shamir personal identification device that is safe against error injection attack according to an embodiment of the present invention
Figure 112010020573383-pat00082
And a memory unit for storing the secret value T A ; X = r 2 using random value r a contract value transmitter for calculating mod N and transmitting the mod N to the signature requester; A corresponding value receiver for receiving a randomly selected subset S from a set consisting of a natural number of l or less in the signature requester; And a response value transmitter for calculating a response value using the secret value T A and the elements of the subset S and transmitting the response value to the signature requester.

Description

오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치, 방법 및 그 기록 매체 {Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof}Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium

본 발명은 표준으로 권장하고 있는 개인 식별 (Identification) 프로토콜인 피아트 샤미르 기법 (Fiat-Shamir scheme)에 관한 것으로, 특히, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치, 방법 및 그 기록 매체에 관한 것이다.The present invention relates to the Fiat-Shamir scheme, which is a personal identification protocol recommended as a standard, and more particularly, to a Fiat Shamir personal identification device, a method, and a recording medium thereof which are safe from an error injection attack.

정보화 사회의 도래와 함께 암호 알고리즘 및 암호 프로토콜을 이용한 정보의 보호는 그 중요성을 더해가고 있다. 이러한 암호 알고리즘 중에서 공개키 암호 알고리즘은 개선된 암호화 표준(Advanced Encryption Standard; AES)을 포함하는 비밀키 암호 알고리즘의 단점인 키 분배 문제, 전자 서명 문제 등을 해결하면서 인터넷이나 금융 망과 같은 여러 분야의 응용에 빠르게 적용이 되어 가고 있다.With the advent of the information society, the protection of information using cryptographic algorithms and cryptographic protocols is increasing in importance. Among these cryptographic algorithms, public key cryptography solves the disadvantages of secret key cryptographic algorithms including Advanced Encryption Standard (AES), key distribution problem, digital signature problem, etc. It is quickly becoming an application.

전송되는 내용을 암호화하여 전송하는 방식에는 대칭키 암호화 방식과 공개키 암호화 방식이 있고, 공개키 암호화 방식 중에서 현재 인터넷이나 금융계 중에서 표준으로 선택되어 널리 사용되고 있는 방식으로는 RSA(Rivest Shamir Adleman) 공개키 암호화 방식이 있다. RSA 공개키 암호화 방식은 Rivest, Shamir 및 Adleman에 의해 제안된 방식으로 암호문에 따른 데이터의 크기가 커질수록 소인수 분해가 어렵다는 점에 그 안전도의 기반을 두고 있다.There are symmetric key encryption method and public key encryption method for encrypting the transmitted contents. Among the public key encryption methods, RSA (Rivest Shamir Adleman) public key is widely used. There is an encryption method. RSA public key cryptography is proposed by Rivest, Shamir, and Adleman. Its security is based on the fact that it is more difficult to factor down as the size of the ciphertext becomes larger.

한편, 1996년 Kocher에 의하여 부채널 공격이 소개된 후, 내장형 장치(embedded device)의 암호 알고리즘에 대한 다양한 공격 방법이 소개되었다. 수동적인 공격 방법으로 분류되는 부채널 공격은 공격자가 알고리즘 수행 시간, 알고리즘의 동작 중에 사용되는 전력량, 그리고 전자파를 이용하여 공격하며 이를 각 시간 공격(Timing Attack:TA), 단순 전력 분석(Simple Power Analysis; SPA), 차분 전력 분석(Differential Power Analysis; DPA), 전자파 분석(Electro-Magnetic Analysis; EMA)이라고 한다.On the other hand, after the subchannel attack was introduced by Kocher in 1996, various attack methods for the encryption algorithm of the embedded device were introduced. Sub-channel attacks, which are classified as passive attack methods, use attack time by the attacker using the algorithm execution time, the amount of power used during the operation of the algorithm, and electromagnetic waves, and each time attack (TA) attack, Simple Power Analysis SPA), Differential Power Analysis (DPA), and Electro-Magnetic Analysis (EMA).

능동적인 공격은 변형된 외부 클럭을 주입하거나, 온도를 변화시키거나 장치에 X-ray와 같은 레이저를 이용하여 공격하며, 이와 같이 능동적인 공격 방법을 오류 주입 공격(Fault Attack; FA)이라고 한다.Active attacks inject a modified external clock, change the temperature, or attack the device using a laser such as X-ray, and this type of active attack is called a fault attack (FA).

1996년 Bellcore에 의해 중국인의 나머지 정리(Chinese Remainder Theorem; CRT)를 이용한 RSA 암호 시스템(CRT-RSA)에서의 오류 주입 공격 방법이 제시된 후, 최근 DES, RSA, ElGamal, ECC, AES 등 다양한 암호 알고리즘이 오류 주입 공격 방법에 의해 공격되었다.Bellcore introduced the error injection attack method in the RSA cryptosystem (CRT-RSA) using the Chinese Remainder Theorem (CRT) in 1996. This was injected by error injection attack method.

한편, CRT-RSA에서의 오류 주입 공격 방법에 대해서 스마트 카드의 사용이 증가하면서 효율적인 부채널 공격과 오류 주입 공격에 안전한 대응 방법이 요구되고, 스마트 카드와 같은 내장형 장치에는 연산 능력과 메모리가 제한적이기 때문에 적은 메모리와 연산량을 사용하는 효율적인 대응 방법이 요구되며 이에 대한 연구가 많이 진행되었다. 최근 Giraud가 처음으로 전력 분석 공격 방법 중 하나인 단순 전력 공격 분석과 오류 주입 공격에 안전한 방법을 제안하였다.On the other hand, as the use of smart cards increases for the error injection attack method in CRT-RSA, a safe countermeasure for efficient side channel attack and error injection attack is required, and the computing power and memory are limited in embedded devices such as smart cards. As a result, an efficient countermeasure using less memory and amount of computation is required. Recently, Giraud has proposed a safe method for simple power attack analysis and fault injection attack, one of the first power analysis attack methods.

Giraud 방법에서의 지수승 알고리즘은 단순 전력 분석과 오류 주입 공격에 안전한 몽고메리 레더(Montgomery Ladder) 방법을 이용하여 연산되고, 개인키만을 이용하여 오류 주입을 확인하게 된다. 따라서 개인키 만을 사용할 수 있는 자바 카드(Java card)의 공개키 환경에서도 안전하게 사용될 수 있다.The exponential algorithm in the Giraud method is computed using the Montgomery Ladder method, which is safe against simple power analysis and error injection attacks, and confirms error injection using only the private key. Therefore, it can be safely used even in the public key environment of Java card which can use only private key.

전술한 바와 같이, RSA 공개키 암호화 방식에서는 일반 공개키 암호화 방식에서와 같이 일반인도 알 수 있는 공개키와 암호화를 시키는 본인만이 알 수 있는 비밀키가 있다. 예를 들어, 개인키 d, 및 메시지 m에 대한 RSA 서명값 s는

Figure 112010020573383-pat00001
이다. 여기서 n은 공개 모듈라값이고, 비밀값인 큰 소수 p와 q의 곱으로 연산된다. 한편, 암호화 표준에서는 RSA 서명 생성과정의 속도를 향상하기 위하여 중국인의 나머지 정리(CRT)를 이용한 RSA 암호 시스템(CRT-RSA)을 사용하기를 권고하고 있다.As described above, in the RSA public key encryption method, there is a public key that can be known to the public as well as a public key that can be known only to the public. For example, the RSA signature value s for private key d and message m is
Figure 112010020573383-pat00001
to be. Where n is a public modular value and is computed as the product of a large prime number p, which is a secret value, and q. Meanwhile, the encryption standard recommends the use of the RSA cryptosystem (CRT-RSA), which uses the remainder of the Chinese (CRT) to speed up the RSA signature generation process.

최근 암호 알고리즘뿐 아니라 개인 식별 프로토콜인 피아트 샤미르 기법에도 오류 주입 공격 방법이 소개되었다. 하지만 현재 대응방법이 나와있지 않은 상태이다.Recently, the error injection attack method has been introduced not only in the encryption algorithm but also in the Fiat Shamir technique, which is a personal identification protocol. But there is no way to respond.

본 발명이 이루고자 하는 첫 번째 기술적 과제는 악의적인 공격자의 분석을 어렵게 하는 비밀값을 반응 과정에 반영하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치를 제공하는 데 있다.The first technical problem to be achieved by the present invention is to provide a Fiat Shamir personal identification device that is safe against an error injection attack, which reflects a secret value that makes it difficult to analyze a malicious attacker.

본 발명이 이루고자 하는 두 번째 기술적 과제는 상기의 피아트 샤미르 개인 식별 장치에 적용되는 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법을 제공하는 데 있다.The second technical problem to be achieved by the present invention is to provide a Fiat Shamir personal identification method that is safe against an error injection attack applied to the above Fiat Shamir personal identification device.

본 발명이 이루고자 하는 세 번째 기술적 과제는 상기의오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법을 컴퓨터에서 실행시키기 위한 프로그램을 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.A third technical problem to be achieved by the present invention is to provide a computer-readable recording medium for executing a program on a computer for the Fiat Shamir personal identification method that is safe against the error injection attack.

본 발명의 일 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치는 비밀키

Figure 112010020573383-pat00002
과 비밀값 TA를 저장하는 메모리부; 랜덤값 r을 이용하여 x = r2 mod N 을 연산하고 상기 서명 요청자에 전송하는 약정값 전송부; 상기 서명 요청자에서 정수 l 이하의 자연수로 이루어진 집합 중 랜덤하게 선택된 부분 집합 S를 수신하는 대응값 수신부; 및 상기 비밀값 TA 및 상기 부분 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하는 반응값 전송부를 포함한다.Fiat Shamir personal identification device that is safe against error injection attack according to an embodiment of the present invention
Figure 112010020573383-pat00002
And a memory unit for storing the secret value T A ; X = r 2 using random value r a contract value transmitter for calculating mod N and transmitting the mod N to the signature requester; A corresponding value receiver for receiving a randomly selected subset S from a set consisting of a natural number of l or less in the signature requester; And a response value transmitter for calculating a response value using the secret value T A and the elements of the subset S and transmitting the response value to the signature requester.

또한, 본 발명의 다른 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치는 비밀키

Figure 112010020573383-pat00003
과 비밀값 TA를 저장하는 메모리부; 랜덤값 r 및
Figure 112010020573383-pat00004
를 이용하여 x = sr2 mod N 을 연산하고 상기 서명 요청자에 전송하는 약정값 전송부; 상기 서명 요청자에서 선택된 집합
Figure 112010020573383-pat00005
를 수신하는 대응값 수신부; 및 상기 비밀값 TA 및 상기 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하는 반응값 전송부를 포함한다.In addition, a Fiat Shamir personal identification device secured against an error injection attack according to another embodiment of the present invention is a secret key
Figure 112010020573383-pat00003
And a memory unit for storing the secret value T A ; Random values r and
Figure 112010020573383-pat00004
Using x = sr 2 a contract value transmitter for calculating mod N and transmitting the mod N to the signature requester; A set selected from the signature requester
Figure 112010020573383-pat00005
Corresponding value receiving unit for receiving; And a response value transmitter for calculating a response value using the secret value T A and the elements of the set S and transmitting the response value to the signature requester.

또한, 본 발명의 일 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법은 비밀키

Figure 112010020573383-pat00006
과 비밀값 TA를 저장하는 서명자에서 랜덤값 r을 이용하여 x = r2 mod N 을 연산하고 서명 요청자에 전송하는 단계; 상기 서명 요청자에서 정수 l 이하의 자연수로 이루어진 집합 중 랜덤하게 선택된 부분 집합 S를 상기 서명자가 수신하는 단계; 상기 서명자에서 상기 비밀값 TA 및 상기 부분 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하여, 상기 서명 요청자가 y2
Figure 112010020573383-pat00007
을 비교하여 상기 서명자를 검증하게 하는 단계를 포함한다.In addition, Fiat Shamir personal identification method that is safe against error injection attack according to an embodiment of the present invention secret key
Figure 112010020573383-pat00006
And a secret value using the random value r from the signer to store T A x = r 2 computing mod N and sending it to the signature requester; The signer receiving a randomly selected subset S from a set of natural numbers of l or less in the signature requester; In the signer, a response value is calculated using the elements of the secret value T A and the subset S and sent to the signature requester, so that the signature requester has y 2 and
Figure 112010020573383-pat00007
Comparing the data to verify the signer.

또한, 본 발명의 다른 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법은 비밀키

Figure 112010020573383-pat00008
과 비밀값
Figure 112010020573383-pat00009
을 저장하는 서명자에서 랜덤값 r 및
Figure 112010020573383-pat00010
를 이용하여 x = sr2 mod N 을 연산하여 서명 요청자에 전송하는 단계; 상기 서명 요청자에서 선택된 집합
Figure 112010020573383-pat00011
를 상기 서명자가 수신하는 단계; 상기 서명자에서 상기 비밀값 TA 및 상기 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하여, 상기 서명 요청자에서 y2
Figure 112010020573383-pat00012
을 비교하여 상기 서명자를 검증하게 하는 단계를 포함한다.In addition, Fiat Shamir personal identification method that is safe against an error injection attack according to another embodiment of the present invention is a secret key
Figure 112010020573383-pat00008
And secret
Figure 112010020573383-pat00009
In the signer that stores the random value r and
Figure 112010020573383-pat00010
Using x = sr 2 computing mod N and sending it to the signature requester; A set selected from the signature requester
Figure 112010020573383-pat00011
Receiving by the signer; The signer computes a response using the secret value T A and the elements of the set S and sends it to the signature requester, whereby y 2 and
Figure 112010020573383-pat00012
Comparing the data to verify the signer.

본 발명의 실시 예들에 의하면, 피아트 샤미르 기법을 이용하여 개인 식별을 하는 경우, 큰 연산량의 증가없이, 비밀 정보의 값을 알아내지 못하게 공격자가 알지 못하는 값을 반응값에 반영하여 공격자의 분석을 어렵게 하여 오류 주입 공격에 안전하다.According to embodiments of the present invention, in case of personal identification using Fiat Shamir technique, it is difficult to analyze an attacker by reflecting a value unknown to the attacker so as not to find the value of the secret information without increasing the amount of computation. It is safe against error injection attacks.

도 1은 본 발명의 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치의 블록도이다.
도 2는 본 발명의 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법의 흐름도이다.
도 3a는 피아트 샤미르 개인 식별 프로토콜을 도시한 것이다.
도 3b는 본 발명의 일 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법을 도시한 것이다.
도 4a는 페이지(Feige) 피아트 샤미르 개인 식별 프로토콜을 도시한 것이다.
도 4b는 본 발명의 다른 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법을 도시한 것이다.1 is a block diagram of a Fiat Shamir personal identification device secured against an error injection attack of the present invention.
2 is a flow chart of a Fiat Shamir personal identification method secured against an error injection attack of the present invention.
3A illustrates Fiat Shamir personal identification protocol.
3B illustrates a Fiat Shamir personal identification method secured against an error injection attack according to an embodiment of the present invention.
FIG. 4A illustrates the Feige Fiat Shamir personal identification protocol.
4B illustrates a Fiat Shamir personal identification method secured against an error injection attack according to another embodiment of the present invention.

이하에서는 도면을 참조하여 본 발명의 바람직한 실시 예를 설명하기로 한다. 그러나, 다음에 예시하는 본 발명의 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시 예에 한정되는 것은 아니다.Hereinafter, with reference to the drawings will be described a preferred embodiment of the present invention. However, embodiments of the present invention illustrated below may be modified in various other forms, and the scope of the present invention is not limited to the embodiments described below.

이하에서 서명자는 스마트 카드 기타 인증 정보나 개인 정보를 저장하는 장치를 의미한다. 서명 요청자는 서명자로부터 수신되는 정보를 이용하여 서명자를 검증하는 장치나 서버 등을 의미한다.Hereinafter, the signer means a device that stores smart card or other authentication information or personal information. The signature requester refers to a device or server that verifies the signer using information received from the signer.

도 1은 본 발명의 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치(100)의 블록도이다. 이하에서, N은 비밀키 p와 q의 곱이고, p와 q는 서로 다른 소수를 나타낸다. 본 발명의 실시 예들에서는 서명 요청자가 알 수 없는 비밀값 TA를 반응값 연산에 포함시켜 악의적인 공격자의 분석을 어렵게 만든다.1 is a block diagram of a Fiat Shamir personal identification device 100 that is secure against an error injection attack of the present invention. In the following, N is the product of the secret key p and q, and p and q represent different prime numbers. In the embodiments of the present invention, the signature requester includes a secret value T A unknown to the response operation, making it difficult to analyze a malicious attacker.

본 발명의 일 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치는 서명자의 비밀값

Figure 112010020573383-pat00013
, 서명자의 약정값 x = r2 mod N, 서명자의 반응값
Figure 112010020573383-pat00014
를 이용한다.Fiat Shamir personal identification device that is safe against error injection attack according to an embodiment of the present invention is the secret value of the signer
Figure 112010020573383-pat00013
, Signer's pact x = r 2 mod N, signer response
Figure 112010020573383-pat00014
Use

메모리부(110)는 공개값 N, 알려진 정수 l, t (l≤t)에 대한 공개키

Figure 112011047638464-pat00015
, 비밀키
Figure 112011047638464-pat00016
, 비밀값 TA 등을 저장한다. 이때, 상기 비밀키란, s1modN, s2modN,…, stmodN 에 각각 해당하는 t개의 값을 포함하는 복수 개인 것을 말한다.The memory unit 110 has a public key for a public value N, a known integer l , t (l≤t).
Figure 112011047638464-pat00015
, Secret key
Figure 112011047638464-pat00016
, Secret value T A , and so on. In this case, the secret key is s 1 modN, s 2 modN,... , s t modN plural number containing t values respectively.

약정값 전송부(120)는 랜덤값 r을 약정값을 연산하고 서명 요청자에 전송한다.The agreement value transmitter 120 calculates a random value r and transmits the agreement value to the signature requester.

대응값 수신부(130)는 서명 요청자에서 정수 l 이하의 자연수로 이루어진 집합 중 랜덤하게 선택된 부분 집합 S를 수신한다. 부분 집합 S는 반응값을 계산하는데 사용되는 서명 요청자의 대응값이다.Corresponding value receiving section 130 receives a set of randomly selected subset S consisting of a natural number of the integer l or less in the signature requester. The subset S is the corresponding value of the signature requester used to compute the response.

반응값 전송부(140)는 메모리부(110)에 저장된 비밀값 TA 및 부분 집합 S의 원소를 이용하여 반응값을 연산하고 서명 요청자에 전송한다.The response value transmitting unit 140 calculates a response value using the elements of the secret value T A and the subset S stored in the memory unit 110 and transmits the response value to the signature requester.

한편, 본 발명의 다른 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치는 서명자의 비밀값

Figure 112010020573383-pat00017
, 서명자의 약정값 x = sr2 mod N,
Figure 112010020573383-pat00018
, 서명자의 반응값
Figure 112010020573383-pat00019
를 이용한다.On the other hand, Fiat Shamir personal identification device that is safe against error injection attack according to another embodiment of the present invention is the secret value of the signer
Figure 112010020573383-pat00017
, Signer's pact x = sr 2 mod N,
Figure 112010020573383-pat00018
The response of the signer
Figure 112010020573383-pat00019
Use

메모리부(110)는 공개값 N, 알려진 정수 l, t (l≤t)에 대한 공개키

Figure 112010020573383-pat00020
(1≤i≤t), 비밀키
Figure 112010020573383-pat00021
, 비밀값 TA 등을 저장한다.The memory unit 110 has a public key for a public value N, a known integer l , t (l≤t).
Figure 112010020573383-pat00020
(1≤i≤t), secret key
Figure 112010020573383-pat00021
, Secret value T A , and so on.

약정값 전송부(120)는 랜덤값 r와

Figure 112010020573383-pat00022
을 약정값을 연산하고 서명 요청자에 전송한다.The agreement value transmission unit 120 is a random value r and
Figure 112010020573383-pat00022
Computes a promise and sends it to the signing requester.

대응값 수신부(130)는 서명 요청자에서 랜덤하게 선택된 부분 집합 S를 수신한다. 부분 집합 S는 반응값을 계산하는데 사용되는 서명 요청자의 대응값이다.The corresponding value receiver 130 receives a subset S selected at random from the signature requester. The subset S is the corresponding value of the signature requester used to compute the response.

반응값 전송부(140)는 메모리부(110)에 저장된 비밀값 TA 및 부분 집합 S의 원소를 이용하여 반응값을 연산하고 서명 요청자에 전송한다.The response value transmitting unit 140 calculates a response value using the elements of the secret value T A and the subset S stored in the memory unit 110 and transmits the response value to the signature requester.

도 2는 본 발명의 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법의 흐름도이다.2 is a flow chart of a Fiat Shamir personal identification method secured against an error injection attack of the present invention.

본 발명의 개인 식별 프로토콜은 크게 4개의 단계로 구성된다. 첫 번째 단계는 서명자가(100)가 랜덤값 등을 이용하여 약정값을 연산하고 이를 서명 요청자에게 전송하는 약정 과정(11)이다. 두 번째 단계는 서명 요청자(200)가 집합 S를 랜덤하게 선택하여 서명자(100)에 전송하는 대응 과정(12)이다. 서명 요청자(200)에 의해 랜덤하게 선택된 집합 S는 서명자가 반응값을 계산하는데 사용된다. 세 번째 단계는 서명자(100)가 새로운 비밀값 TA와 서명 요청자(200)의 대응값 등을 이용하여 반응값을 연산하고 서명 요청자(200)에 전송하는 반응 과정(13)이다. 마지막으로 네 번째 단계는 서명 요청자(200)가 약정 과정에서 수신한 약정값 등을 이용하여 계산한 값을 반응값과 비교하여 서명자(100)를 검증하는 검증 과정(14)이다.The personal identification protocol of the present invention is largely composed of four steps. The first step is a contract process 11 in which the signer 100 calculates a contract value using a random value and the like and transmits the contract value to the signing requester. The second step is a corresponding process 12 in which the signature requester 200 randomly selects the set S and sends it to the signer 100. The set S randomly selected by the signing requester 200 is used by the signer to calculate the response. The third step is a reaction process 13 in which the signer 100 calculates a response value using the new secret value T A and the corresponding value of the signature requester 200 and transmits the response value to the signature requester 200. Finally, the fourth step is a verification process 14 for verifying the signer 100 by comparing the value calculated using the contract value received by the signing requester 200 with the response value.

도 3a 내지 4b에서, Alice는 서명자 측을 의미하고, Bob은 서명 요청자 측을 의미한다.In FIGS. 3A-4B, Alice means the signer side, and Bob means the signature requester side.

도 3a는 피아트 샤미르 개인 식별 프로토콜을 도시한 것이다. 도 3a에서, 서명자는 n비트의 법(modulus) N(=p·q)을 저장하고, 가역 원소

Figure 112010020573383-pat00023
의 집합을 저장한다. 또한, 서명자는 공개키에 대한 집합
Figure 112010020573383-pat00024
를 저장한다. 서명자와 서명 요청자는 보안 파라미터인 l, t(l≤t)의 값을 공유한다.3A illustrates Fiat Shamir personal identification protocol. In FIG. 3A, the signer stores n bits of modulus N (= p · q), the reversible element
Figure 112010020573383-pat00023
Save the set of. Also, the signer is a set of public keys.
Figure 112010020573383-pat00024
Save it. The signer and the signing requester share the security parameters l and t (l≤t).

서명 요청자의 오류 주입 공격시에, 서명 요청자는 프로토콜의 네 번째 단계인 검증 과정에서 오류가 발생했음을 검출할 수 있다.

Figure 112010020573383-pat00025
에 오류가 발생한다고 가정하면,
Figure 112010020573383-pat00026
은 다음과 같이 유도될 수 있다.In the error injection attack of the signature requester, the signature requester may detect that an error has occurred during the verification process, which is the fourth step of the protocol.
Figure 112010020573383-pat00025
Suppose an error occurs in
Figure 112010020573383-pat00026
Can be derived as follows.

즉, 단일 비트 플립(Single Bit Flip)이 발생하면, sj는 프로토콜의 세 번째 단계인 반응 과정에서

Figure 112010020573383-pat00027
로 바뀌게 된다. 여기서,
Figure 112010020573383-pat00028
이다. 여러 번의 시행 착오를 통해 서명 요청자는 다음의 정보를 수집할 수 있다. 즉, 프로토콜의 첫 번째 단계인 약정 과정에서
Figure 112010020573383-pat00029
, 프로토콜의 세 번째 단계인 반응 과정에서
Figure 112010020573383-pat00030
의 값을 얻을 수 있다.That is, when a single bit flip occurs, s j is the third step of the protocol.
Figure 112010020573383-pat00027
Will change to here,
Figure 112010020573383-pat00028
to be. After several trials and errors, the requestor can collect the following information: In other words, in the contract process, the first step of the protocol,
Figure 112010020573383-pat00029
In the reaction process, the third step of the protocol,
Figure 112010020573383-pat00030
You can get the value of.

서명 요청자는 sj에 오류가 발생했다는 가정하에 다음의 수학식 1의 연산을 통해 sj의 값을 얻을 수 있다.The signature request can be obtained the value of s j through the following operation of Equation (1) on the assumption that an error occurs in the s j.

Figure 112010020573383-pat00031
Figure 112010020573383-pat00031

여기서, 서명 요청자는 정확한 에러 위치 i를 결정함으로써 정확한 sj의 값을 찾아야 서명자가 저장하고 있는 비밀 원소들을 알아낼 수 있다. 그런데, 서명 요청자가 l번의 시행착오를 거치면서

Figure 112010020573383-pat00032
의 모든 위치에서 에러가 발생하는 상황을 만들면, 서명자의 비밀 값이나 비밀키들을 모두 찾아낼 수 있게 된다.Here, the signature requestor can find the secret value stored by the signer by determining the exact value of s j by determining the exact error location i. However, the signature requester went through l trials and errors
Figure 112010020573383-pat00032
If you create a situation where an error occurs at any location, you can find all the signer's secrets or private keys.

도 3b는 본 발명의 일 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법을 도시한 것이다.3B illustrates a Fiat Shamir personal identification method secured against an error injection attack according to an embodiment of the present invention.

도 3b에서 서명자는 n비트의 법 N(=p·q)을 저장하고, 가역 원소

Figure 112010020573383-pat00033
의 집합 및 비밀값
Figure 112010020573383-pat00034
를 저장한다. 또한, 서명자는 공개키에 대한 집합
Figure 112010020573383-pat00035
를 저장한다. 서명자와 서명 요청자는 보안 파라미터인 l, t(l≤t)의 값을 공유한다. 바람직하게는, si와 N의 최대 공약수 (greatest common divisor)가 1이 되도록 si와 N의 값을 정할 수도 있다.In FIG. 3B the signer stores the n-bit law N (= p · q), and the reversible element
Figure 112010020573383-pat00033
Set and secret
Figure 112010020573383-pat00034
Save it. Also, the signer is a set of public keys.
Figure 112010020573383-pat00035
Save it. The signer and the signing requester share the security parameters l and t (l≤t). Preferably, it may determine the value of s i and N such that the N 1 s i, and the GCD (greatest common divisor) of.

도 3b의 약정 과정에서, 서명자는 랜덤값 r(

Figure 112010020573383-pat00036
)을 이용하여 x = r2 mod N 을 연산하고 서명 요청자에 전송한다. 대응 과정에서, 서명 요청자는 부분 집합
Figure 112010020573383-pat00037
를 서명자에 전송한다. 반응 과정에서, 서명자는 반응값
Figure 112010020573383-pat00038
를 서명 요청자에 전송한다. 마지막의 검증 과정에서, 서명 요청자는 y2
Figure 112010020573383-pat00039
을 비교하여 서명자를 검증한다.In the arrangement of FIG. 3B, the signer has a random value r (
Figure 112010020573383-pat00036
X = r 2 Compute mod N and send it to the signature requester. In response, the signing requester is a subset
Figure 112010020573383-pat00037
Is sent to the signer. In the course of the reaction, the signer
Figure 112010020573383-pat00038
Is sent to the signature requester. At the end of the verification process, y 2 person signing the request and
Figure 112010020573383-pat00039
Compare signers to verify signers.

이러한 프로토콜에서,

Figure 112010020573383-pat00040
에 오류가 발생한다고 가정하면,
Figure 112010020573383-pat00041
은 다음과 같이 유도될 수 있다. 즉, 단일 비트 플립이 발생하면, sj는 프로토콜의 세 번째 단계인 반응 과정에서
Figure 112010020573383-pat00042
로 바뀌게 된다. 여기서,
Figure 112010020573383-pat00043
이다. 여러 번의 시행 착오를 통해 서명 요청자는 다음의 정보를 수집할 수 있다. 즉, 프로토콜의 첫 번째 단계인 약정 과정에서
Figure 112010020573383-pat00044
, 프로토콜의 세 번째 단계인 반응 과정에서
Figure 112010020573383-pat00045
의 값을 얻을 수 있다. 서명 요청자는 수학식 2와 같은 연산을 수행할 수 있다.In these protocols,
Figure 112010020573383-pat00040
Suppose an error occurs in
Figure 112010020573383-pat00041
Can be derived as follows. In other words, when a single bit flip occurs, s j is the third step of the protocol.
Figure 112010020573383-pat00042
Will change to here,
Figure 112010020573383-pat00043
to be. After several trials and errors, the requestor can collect the following information: In other words, in the contract process, the first step of the protocol,
Figure 112010020573383-pat00044
In the reaction process, the third step of the protocol,
Figure 112010020573383-pat00045
You can get the value of. The signature requestor may perform an operation as shown in Equation 2.

Figure 112010020573383-pat00046
Figure 112010020573383-pat00046

그러나, 서명 요청자는 서명자의 비밀 값 TA를 알 수 없기 때문에,

Figure 112010020573383-pat00047
의 값을 계산할 수 없다. 결국, 도 3b의 개인 식별 방법이 오류 주입 공격에 안전함이 증명된다.However, since the signing requester cannot know the signer's secret value T A ,
Figure 112010020573383-pat00047
Cannot calculate the value of. As a result, the personal identification method of FIG. 3B proves safe to error injection attacks.

도 4a는 페이지(Feige) 피아트 샤미르 개인 식별 프로토콜을 도시한 것이다. 도 4a에서 서명자는 n비트의 법 N(=p·q)을 저장하고, 가역 원소

Figure 112010020573383-pat00048
의 집합을 저장한다. 여기서,
Figure 112010020573383-pat00049
을 만족하는데, gcd는 최대 공약수를 의미한다. 또한, 서명자는 공개키에 대한 집합
Figure 112010020573383-pat00050
를 저장한다. 서명자와 서명 요청자는 보안 파라미터인 l, t(l≤t)의 값을 공유한다.FIG. 4A illustrates the Feige Fiat Shamir personal identification protocol. In Fig. 4a, the signer stores the n-bit law N (= p · q), and the reversible element
Figure 112010020573383-pat00048
Save the set of. here,
Figure 112010020573383-pat00049
Gcd stands for the greatest common divisor. Also, the signer is a set of public keys.
Figure 112010020573383-pat00050
Save it. The signer and the signing requester share the security parameters l and t (l≤t).

위 프로토콜에서, 서명 요청자의 오류 주입 공격이 있는 경우, 프로토콜의 첫 번째 단계에서

Figure 112010020573383-pat00051
, 세 번째 단계에서
Figure 112010020573383-pat00052
의 값을 얻을 수 있다. 서명 요청자는 수학식 3의 과정을 통해 sj의 값을 도출할 수 있다.In the above protocol, if there is an error injection attack from the signing requester,
Figure 112010020573383-pat00051
, In the third stage
Figure 112010020573383-pat00052
You can get the value of. The signature requestor can derive the value of s j through the process of Equation 3.

Figure 112010020573383-pat00053
Figure 112010020573383-pat00053

도 4b는 본 발명의 다른 실시 예에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법을 도시한 것이다.4B illustrates a Fiat Shamir personal identification method secured against an error injection attack according to another embodiment of the present invention.

도 4b에서 서명자는 n비트의 법 N(=p·q)을 저장하고, 가역 원소

Figure 112010020573383-pat00054
의 집합 및 비밀값
Figure 112010020573383-pat00055
를 저장한다. 여기서,
Figure 112010020573383-pat00056
을 만족한다. 또한, 서명자는 공개키
Figure 112010020573383-pat00057
(1≤i≤t)를 저장한다. 서명자와 서명 요청자는 보안 파라미터인 l, t(l≤t)의 값을 공유한다.In Fig. 4b, the signer stores the n-bit law N (= p · q), and the reversible element
Figure 112010020573383-pat00054
Set and secret
Figure 112010020573383-pat00055
Save it. here,
Figure 112010020573383-pat00056
To satisfy. The signer also has a public key.
Figure 112010020573383-pat00057
(1 ≦ i ≦ t). The signer and the signing requester share the security parameters l and t (l≤t).

도 4b의 약정 과정에서, 서명자는 랜덤값 r(

Figure 112010020573383-pat00058
)과
Figure 112010020573383-pat00059
를 이용하여 x = sr2 mod N 을 연산하고 서명 요청자에 전송한다. 대응 과정에서, 서명 요청자는 집합
Figure 112010020573383-pat00060
를 서명자에 전송한다. 반응 과정에서, 서명자는 반응값
Figure 112010020573383-pat00061
를 서명 요청자에 전송한다. 마지막의 검증 과정에서, 서명 요청자는 y2
Figure 112010020573383-pat00062
을 비교하여 서명자를 검증한다.In the arrangement of FIG. 4B, the signer has a random value r (
Figure 112010020573383-pat00058
)and
Figure 112010020573383-pat00059
Using x = sr 2 Compute mod N and send it to the signature requester. In response, the signing requester must
Figure 112010020573383-pat00060
Is sent to the signer. In the course of the reaction, the signer
Figure 112010020573383-pat00061
Is sent to the signature requester. At the end of the verification process, y 2 person signing the request and
Figure 112010020573383-pat00062
Compare signers to verify signers.

본 발명은 소프트웨어를 통해 실행될 수 있다. 바람직하게는, 본 발명의 실시 예들에 따른 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법을 컴퓨터에서 실행시키기 위한 프로그램을 컴퓨터로 읽을 수 있는 기록매체에 기록하여 제공할 수 있다. 소프트웨어로 실행될 때, 본 발명의 구성 수단들은 필요한 작업을 실행하는 코드 세그먼트들이다. 프로그램 또는 코드 세그먼트들은 프로세서 판독 가능 매체에 저장되거나 전송 매체 또는 통신망에서 반송파와 결합된 컴퓨터 데이터 신호에 의하여 전송될 수 있다.The invention can be implemented via software. Preferably, a program for executing a Fiat Shamir personal identification method safe for an error injection attack according to embodiments of the present invention may be provided by recording a program on a computer readable recording medium. When implemented in software, the constituent means of the present invention are code segments that perform the necessary work. The program or code segments may be stored on a processor readable medium or transmitted by a computer data signal coupled with a carrier on a transmission medium or network.

컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 장치의 예로는 ROM, RAM, CD-ROM, DVD±ROM, DVD-RAM, 자기 테이프, 플로피 디스크, 하드 디스크(hard disk), 광데이터 저장장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 장치에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of the computer readable recording medium include ROM, RAM, CD-ROM, DVD 占 ROM, DVD-RAM, magnetic tape, floppy disk, hard disk, optical data storage, and the like. The computer readable recording medium can also be distributed over network coupled computer devices so that the computer readable code is stored and executed in a distributed fashion.

본 발명은 도면에 도시된 실시 예들을 참고로 하여 설명하였으나 이는 예시적인 것에 불과하며 당해 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 실시 예의 변형이 가능하다는 점을 이해할 것이다. 그리고, 이와 같은 변형은 본 발명의 기술적 보호범위 내에 있다고 보아야 한다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해서 정해져야 할 것이다.Although the present invention has been described with reference to the embodiments illustrated in the drawings, this is merely exemplary and will be understood by those skilled in the art that various modifications and variations may be made therefrom. And, such modifications should be considered to be within the technical protection scope of the present invention. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

Claims (12)

N을 공개값으로 하고, 알려진 정수 l, t (l≤t)에 대해
Figure 112011047638464-pat00063
를 공개키로 하는 경우, s1modN, s2modN,…, stmodN에 해당하는 t개의 값을 포함하는 복수 개의 비밀키와 비밀값 TA를 저장하는 서명자에서 랜덤값 r을 이용하여 x = r2 mod N 을 연산하고 서명 요청자에 전송하는 단계;
상기 서명 요청자에서 정수 l 이하의 자연수로 이루어진 집합 중 랜덤하게 선택된 부분 집합 S를 상기 서명자가 수신하는 단계;
상기 서명자에서 상기 비밀값 TA 및 상기 부분 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하여, 상기 서명 요청자가 y2
Figure 112011047638464-pat00065
을 비교하여 상기 서명자를 검증하게 하는 단계
를 포함하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.Let N be the open value, and for known integers l and t (l≤t)
Figure 112011047638464-pat00063
S 1 modN, s 2 modN,... calculating x = r 2 mod N using a random value r at a signer storing a plurality of secret keys including t values corresponding to s t modN and a secret value T A ;
The signer receiving a randomly selected subset S from a set of natural numbers of l or less in the signature requester;
In the signer, a response value is calculated using the elements of the secret value T A and the subset S and sent to the signature requester, so that the signature requester has y 2 and
Figure 112011047638464-pat00065
Comparing and signifying the signer
Including, Fiat Shamir personal identification method secure to the error injection attack. 제 1 항에 있어서,
상기 비밀값 TA
Figure 112010020573383-pat00066
인 것을 특징으로 하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.The method of claim 1,
The secret value T A is
Figure 112010020573383-pat00066
Fiat Shamir personal identification method, characterized in that the safe against the error injection attack. 제 1 항에 있어서,
상기 반응값은
Figure 112010020573383-pat00067
인 것을 특징으로 하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.The method of claim 1,
The reaction value is
Figure 112010020573383-pat00067
Fiat Shamir personal identification method, characterized in that the safe against the error injection attack. 제 1 항에 있어서,
N은 비밀키 p와 q의 곱이고, p와 q는 서로 다른 소수인 것을 특징으로 하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.The method of claim 1,
N is a product of the secret key p and q, p and q are different prime numbers, Fiat Shamir personal identification method that is secure against error injection attack. 제 1 항에 있어서,
si와 N의 최대 공약수는 1인 것을 특징으로 하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.The method of claim 1,
The greatest common divisor of s i and N is 1, wherein Fiat Shamir's method of identification is safe. N을 공개값으로 하고,
Figure 112011047638464-pat00068
(1≤i≤t)를 공개키로 하는 경우, s1modN, s2modN,…, stmodN에 해당하는 t개의 값을 포함하는 복수 개의 비밀키와 비밀값
Figure 112011047638464-pat00070
을 저장하는 서명자에서 랜덤값 r 및
Figure 112011047638464-pat00071
를 이용하여 x = sr2 mod N 을 연산하여 서명 요청자에 전송하는 단계;
상기 서명 요청자에서 선택된 집합
Figure 112011047638464-pat00072
를 상기 서명자가 수신하는 단계;
상기 서명자에서 상기 비밀값 TA 및 상기 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하여, 상기 서명 요청자에서 y2
Figure 112011047638464-pat00073
을 비교하여 상기 서명자를 검증하게 하는 단계
를 포함하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.Let N be the public,
Figure 112011047638464-pat00068
S 1 modN, s 2 modN,... secret keys and secret values containing t values corresponding to s t modN
Figure 112011047638464-pat00070
In the signer that stores the random value r and
Figure 112011047638464-pat00071
Calculating x = sr 2 mod N using and transmitting it to the signature requester;
A set selected from the signature requester
Figure 112011047638464-pat00072
Receiving by the signer;
The signer computes a response using the secret value T A and the elements of the set S and sends it to the signature requester, whereby y 2 and
Figure 112011047638464-pat00073
Comparing and signifying the signer
Including, Fiat Shamir personal identification method secure to the error injection attack. 제 6 항에 있어서,
상기 비밀값 TA
Figure 112010020573383-pat00074
인 것을 특징으로 하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.The method according to claim 6,
The secret value T A is
Figure 112010020573383-pat00074
Fiat Shamir personal identification method, characterized in that the safe against the error injection attack. 제 6 항에 있어서,
상기 반응값은
Figure 112010020573383-pat00075
인 것을 특징으로 하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.The method according to claim 6,
The reaction value is
Figure 112010020573383-pat00075
Fiat Shamir personal identification method, characterized in that the safe against the error injection attack. 제 6 항에 있어서,
si와 N의 최대 공약수는 1인 것을 특징으로 하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 방법.The method according to claim 6,
The greatest common divisor of s i and N is 1, wherein Fiat Shamir's method of identification is safe. 제1항 내지 제9항 중 어느 한 항의 방법을 컴퓨터 시스템에서 실행하기 위한 프로그램이 기록된, 컴퓨터 시스템이 판독할 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the method of claim 1 on a computer system. 서명 요청자에 반응값을 전송하여 자신을 식별하게 하는 장치에 있어서,
N을 공개값으로 하고, 알려진 정수 l, t (l≤t)에 대해
Figure 112011047638464-pat00076
를 공개키로 하는 경우, s1modN, s2modN,…, stmodN에 해당하는 t개의 값을 포함하는 복수 개의 비밀키와 비밀값 TA를 저장하는 메모리부;
랜덤값 r을 이용하여 x = r2 mod N 을 연산하고 상기 서명 요청자에 전송하는 약정값 전송부;
상기 서명 요청자에서 정수 l 이하의 자연수로 이루어진 집합 중 랜덤하게 선택된 부분 집합 S를 수신하는 대응값 수신부; 및
상기 비밀값 TA 및 상기 부분 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하는 반응값 전송부
를 포함하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치.An apparatus for identifying a self by transmitting a response value to a signature requestor,
Let N be the open value, and for known integers l and t (l≤t)
Figure 112011047638464-pat00076
S 1 modN, s 2 modN,... a memory unit for storing a plurality of secret keys and a secret value T A including t values corresponding to s t modN;
A contract value transmitter for calculating x = r 2 mod N using a random value r and transmitting the result to the signature requester;
A corresponding value receiver for receiving a randomly selected subset S from a set consisting of a natural number of l or less in the signature requester; And
A response value transmitter for calculating a response value using the secret value T A and the elements of the subset S and transmitting the response value to the signature requester
Included, Fiat Shamir personal identification device safe against injecting attacks. 서명 요청자에 반응값을 전송하여 자신을 식별하게 하는 장치에 있어서,
N을 공개값으로 하고,
Figure 112011047638464-pat00078
(1≤i≤t)를 공개키로 하는 경우, s1modN, s2modN,…, stmodN에 해당하는 t개의 값을 포함하는 복수 개의 비밀키와 비밀값 TA를 저장하는 메모리부;
랜덤값 r 및
Figure 112011047638464-pat00080
를 이용하여 x = sr2 mod N 을 연산하고 상기 서명 요청자에 전송하는 약정값 전송부;
상기 서명 요청자에서 선택된 집합
Figure 112011047638464-pat00081
를 수신하는 대응값 수신부; 및
상기 비밀값 TA 및 상기 집합 S의 원소를 이용하여 반응값을 연산하고 상기 서명 요청자에 전송하는 반응값 전송부
를 포함하는, 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치.An apparatus for identifying a self by transmitting a response value to a signature requestor,
Let N be the public,
Figure 112011047638464-pat00078
S 1 modN, s 2 modN,... a memory unit for storing a plurality of secret keys and a secret value T A including t values corresponding to s t modN;
Random values r and
Figure 112011047638464-pat00080
A contract value transmitter configured to calculate x = sr 2 mod N using and transmit the result to the signature requester;
A set selected from the signature requester
Figure 112011047638464-pat00081
Corresponding value receiving unit for receiving; And
A response value transmitter for calculating a response value using the secret value T A and the elements of the set S and transmitting the response value to the signature requester.
Included, Fiat Shamir personal identification device safe against injecting attacks.
KR1020100029227A 2010-03-31 2010-03-31 Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof KR101094339B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100029227A KR101094339B1 (en) 2010-03-31 2010-03-31 Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100029227A KR101094339B1 (en) 2010-03-31 2010-03-31 Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof

Publications (2)

Publication Number Publication Date
KR20110109467A KR20110109467A (en) 2011-10-06
KR101094339B1 true KR101094339B1 (en) 2011-12-19

Family

ID=45026683

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100029227A KR101094339B1 (en) 2010-03-31 2010-03-31 Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof

Country Status (1)

Country Link
KR (1) KR101094339B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4933970A (en) 1988-01-19 1990-06-12 Yeda Research And Development Company Limited Variants of the fiat-shamir identification and signature scheme
EP0578059A1 (en) 1992-06-30 1994-01-12 THOMSON multimedia Method for executing number-theoretic cryptographic and/or error-correcting protocols
JP2001024632A (en) 1999-07-05 2001-01-26 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd Certifying method suitable for multi-address communication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4933970A (en) 1988-01-19 1990-06-12 Yeda Research And Development Company Limited Variants of the fiat-shamir identification and signature scheme
EP0578059A1 (en) 1992-06-30 1994-01-12 THOMSON multimedia Method for executing number-theoretic cryptographic and/or error-correcting protocols
JP2001024632A (en) 1999-07-05 2001-01-26 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd Certifying method suitable for multi-address communication

Also Published As

Publication number Publication date
KR20110109467A (en) 2011-10-06

Similar Documents

Publication Publication Date Title
US7506165B2 (en) Leak-resistant cryptographic payment smartcard
Young et al. The prevalence of kleptographic attacks on discrete-log based cryptosystems
US9571274B2 (en) Key agreement protocol
KR20130024897A (en) System and method for protecting cryptographic assets from a white-box attack
CN109936456B (en) Anti-quantum computation digital signature method and system based on private key pool
JP2011530093A (en) Solutions to protect power-based encryption
US20160352689A1 (en) Key agreement protocol
Giri et al. An improved remote user authentication scheme with smart cards using bilinear pairings
EP3010173B1 (en) Key storage device, key storage method, and program therefor
Chou et al. Improvement of Manik et al.¡¦ s remote user authentication scheme
KR100431047B1 (en) Digital signature method using RSA public-key cryptographic based on CRT and apparatus therefor
KR100953715B1 (en) Digital signature method, Digital signature apparatus using CRT-RSA modula exponentiation algorithm and Recording medium using by the same
WO2016187690A1 (en) Key agreement protocol
KR101094339B1 (en) Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof
KR100954844B1 (en) Method and Apparatus of digital signature using CRT-RSA modula exponentiation algorithm against fault attacks, and Recording medium using it
KR100953716B1 (en) Method and Apparatus of digital signature using bit arithmetic based on CRT-RSA and Recording medium using by the same
US9755829B2 (en) Generation of cryptographic keys
KR101341810B1 (en) Method for protecting information against PA and FA using CRT-RSA
KR101112570B1 (en) Apparatus and Method for digital signature immune to power analysis and fault attacks, and Recording medium thereof
EP1691501A1 (en) Leak-resistant cryptography method an apparatus
US9992016B2 (en) Message generation for a cryptographic key generation test
Mohamed et al. Kleptographic attacks on elliptic curve signatures
Kaminaga et al. Crashing modulus attack on modular squaring for rabin cryptosystem
Preneel et al. A chosen text attack on the modified cryptographic checksum algorithm of Cohen and Huang
TW202245436A (en) Method of generating signature of message, message authentication method and encryption device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151030

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee