SE515778C2 - Method of key distribution with built-in possibility for authentication and certification in a hierarchical tree - Google Patents
Method of key distribution with built-in possibility for authentication and certification in a hierarchical treeInfo
- Publication number
- SE515778C2 SE515778C2 SE9901358A SE9901358A SE515778C2 SE 515778 C2 SE515778 C2 SE 515778C2 SE 9901358 A SE9901358 A SE 9901358A SE 9901358 A SE9901358 A SE 9901358A SE 515778 C2 SE515778 C2 SE 515778C2
- Authority
- SE
- Sweden
- Prior art keywords
- administrator
- administrators
- secret
- subordinate
- actors
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
Description
20 25 30 35 (fl så (31 ~l§ i -4 (ß 2 Det sätt som står till buds när det gäller att säkert knyta en öppen nyckel till rätt identitet är i princip detsamma som vi använder i det dagliga livet, vi styrker varand- ras uppgifter (kreditivbrev, lD-handling, certifikat,..) och kombinerar dessa i en kedja av tilltro (chain of trust). l den digitala världen används beteckningen certifikat för ett sådant meddelande som bl a skall knyta en nyckel till en identitet. En vedertagen standard för innehåll och utseende i certifikat är X.509, se [1]. 20 25 30 35 (fl so (31 ~ l§ i -4 (ß 2) The way that is available when it comes to securely attaching an open key to the correct identity is in principle the same as we use in daily life, we prove each other's information (letter of credit, ID document, certificate, ..) and combines these in a chain of trust (chain of trust). An accepted standard for content and appearance in certificates is X.509, see [1].
Om de båda parterna X och Y har en gemensam vän, V, som båda litar på och vars öppna verifikationsnyckel g de båda på ett säkert sätt fått kännedom om, kan V fungera som gemensam ”certifikatutfärdare” (CA, Certfication Authority). V kan träffa X (helst öga mot öga för att vara säker på att det verkligen är X) och till X överlämna certifikatet certX som i princip lyder ”Jag V försäkrar att jag ååmmdd mötte X som då för mig visade upp š +plusX.509+". V överlämnar också sign(certX, g ), där sign(certX, g ) står för V:s digitala signatur och +plusX.509+ står för de ytterligare uppgifter som enligt X.509 skall finnas i certifikatet, tex uppgift om hur länge certifikatet är giltigt. Motsvarande för certY. När sedan X och Y träffas kan de utväxla certifikat med tillhörande signaturer och båda kan verifiera att de är autentiska. Därmed får de en pålitlig hopknytning av motpartens identitet med hans öppna nyckel. Den baseras på att de båda har tilltro till V, en gemensam CA (jfr också beträffande radionät nedan).If the two parties X and Y have a mutual friend, V, who both trust and whose open verification key the two of them have been securely informed about, V can act as a common "certifier" (CA, Certification Authority). V can meet X (preferably face to face to be sure that it really is X) and hand over to X the certificate certX which in principle reads "I V assure that I ååmmdd met X who then for me showed š + plusX.509 + ". V also submits sign (certX, g), where sign (certX, g) stands for V's digital signature and + plusX.509 + stands for the additional information that according to X.509 must be in the certificate, e.g. The duration of the certificate is equivalent to that of certY. When X and Y meet, they can exchange certificates with associated signatures and both can verify that they are authentic. that they both have confidence in V, a common CA (cf. also regarding radio networks below).
Mer komplicerat blir det om X och Y inte har den gemensamma vännen V. Ansat- sen blir då att olika CA utfärdar certifikat åt varandra, de certifierar varandras nyck- lar. Om CA för X heter CAX gäller det för Y att kunna presentera för X en certifikat- kedja där CAX styrker CA1, som styrker CA2, som styrker, , som styrker CAY som styrker Y. X måste för Y presentera en kedja som går åt andra hållet. Om man inte förutsätter att olika CA har någon speciell relation till varandra (PGP-modellen, se [1]) blir det, åtminstone i system med många aktörer, svårt att bilda kedjorna. Man måste hitta gemensamma ”bekantas bekanta” som kan knyta ihop delkedjor och bilda en sammanhållen kedja X-Y. Dessutom kan de resulterande kedjorna bli långa, vilketi hög grad minskar tilltron till dem.It becomes more complicated if X and Y do not have the mutual friend V. The approach then becomes that different CAs issue certificates to each other, they certify each other's keys. If CA for X is called CAX, it applies to Y to be able to present to X a certificate chain where CAX proves CA1, which proves CA2, which proves,, which proves CAY which proves Y. X must for Y present a chain that goes to others the direction. If one does not assume that different CAs have a special relationship to each other (the PGP model, see [1]), it becomes difficult, at least in systems with many actors, to form the chains. One must find common "acquaintances of acquaintances" who can connect sub-chains and form a cohesive chain X-Y. In addition, the resulting chains can become long, which greatly reduces confidence in them.
Något mer hanterligt blir det om CA finns i en fader-son-relation, i en hierarki enligt figuren. Många system, inte minst militära, är hierarkiska. l figuren finns A2 som gemensam anfader till X och Y. A2 knyter ihop kedjorna A2 - A22 -A223 -X och A2 - A22 - Y. lllr» 10 15 20 25 30 35 UI -ø en w »a co I ett hierarkiskt system räcker det i princip att alla aktörer på ett säkert sätt fått veta stamfaderns identitet A och hans verifieringsnyckel g. Sedan kan alla aktörer knytas ihop med certifikatkedjor. Dock är hela systemet beroende av Ars signe- ringsnyckel g. Röjs denna rasar hela trädet.It will be somewhat more manageable if CA exists in a father-son relationship, in a hierarchy according to the figure. Many systems, not least military, are hierarchical. In the figure, A2 is the common ancestor of X and Y. A2 connects the chains A2 - A22 -A223 -X and A2 - A22 - Y. lllr »10 15 20 25 30 35 UI -ø en w» a co In a hierarchical system In principle, it is sufficient that all actors have been informed in a secure manner of the ancestor's identity A and his verification key g. Then all actors can be linked to certificate chains. However, the entire system is dependent on Ar's signing key g. If this is cleared, the entire tree collapses.
Metoden att med hjälp av certifikat och certifikatkedjor säkert binda ihop en identitet med rätt öppen nyckel har varit känd länge. Likaså är problem kända som ger sig tillkänna när certifikatsystem skall implementeras i praktiken. 1. Öga-öga.The method of securely linking an identity with the right public key with the help of certificates and certificate chains has been known for a long time. Problems are also known which become apparent when certificate systems are to be implemented in practice. 1. Eye-eye.
När två parter skall styrka varandras identiteter, utfärda certifikat åt varann, måste de i princip träffas ”öga mot öga”. Detta är inte lätt i större nät, speciellt inte om vissa aktörer inte är mänskliga varelser utan radioapparater, datorprogram etc. 2. Svart lista.When two parties are to prove each other's identities, issue certificates to each other, they must in principle meet "face to face". This is not easy in larger networks, especially if some actors are not human beings but radios, computer programs, etc. 2. Blacklist.
Ett certifikats giltighet baseras på att utfärdarens signeringsnyckel inte röjts. Förr eller senare inträffar detta (eller kanske att någon finner grund att misstänka att en nyckel röjts varvid tilltron till certifikatet minskar). Då måste nya certifikat skapas (problem 1 ovan) samt samtliga aktöreri nätet måste meddelas att certifikatet är ogiltigt. Alla måste hålla en aktuell svart lista med certifikat som inte får ingå i certifi- katkedjor. l stora nät är det mycket svårt att säkerställa att alla har aktuell svart lista.The validity of a certificate is based on the issuer's signing key not being disclosed. Sooner or later this happens (or perhaps that someone finds reason to suspect that a key has been revealed, thereby reducing trust in the certificate). Then new certificates must be created (problem 1 above) and all actors in the network must be notified that the certificate is invalid. Everyone must keep a current blacklist of certificates that must not be included in certificate chains. In large networks, it is very difficult to ensure that everyone has a current blacklist.
Meddelandet ”addera certZ till svarta listan” äri sig självt ett mycket känsligt med- delande som måste kontrolleras extra noga. 3. Stora nät.The message “add certZ to the blacklist” is itself a very sensitive message that must be checked extra carefully. 3. Large nets.
Problem 2 accentueras när de två parterna, X och Y, ligger långt från varandra i trädet, i helt olika grenar. När X och Y träffas första gången är tilltron till varandras certifikatkedjor relativt låg. Ett tänkbart sätt att höja tilltron är att X frågar sina ”närmsta vänner' om de innehar certifikatkedjor som stämmer med den Y presen- terar. Men detta är en ad hoc ansats som är svår att kvantifiera och som kan med- föra mycket meddelandetrafik. Grundproblemet är att det i stora nät kan vara svårt att bygga certifikatkedjor med tillräckligt mått av tilltro.Problem 2 is accentuated when the two parties, X and Y, are far apart in the tree, in completely different branches. When X and Y meet for the first time, trust in each other's certificate chains is relatively low. One possible way to increase trust is for X to ask his 'closest friends' if they have certificate chains that match the one Y presents. But this is an ad hoc approach that is difficult to quantify and that can lead to a lot of messaging traffic. The basic problem is that in large networks it can be difficult to build certificate chains with a sufficient measure of trust.
En speciell öppen-nyckel tillämpning beskrivs i ref. [2] Bengtsson, Alf, ”Autenticering av mobila noderi paketradionät”, FOA-R-97-00415-503-SE, Januari 1997, till vilken 10 15 20 25 30 35 (H v-Û (Vi ~4 -: CO 4 härmed hänvisas. Där diskuteras metoder för två radionoder, X och Y, i ett paket- radionät att autenticera varandra. Noden X måste vara absolut säker på att Y verk- ligen är Y och att datapaket med uppgiven avsändare Y verkligen kommer från Y och vice versa. l [2] föreslås en öppen-nyckel metod efter Diffie-Hellman som gör att X och Y och ingen annan kan bilda en gemensam hemlighet kxy som de sedan utnyttjar för ömsesidig autenticering. Bindningen av öppen-nyckel till rätt identitet förutsätts ske genom att nyckelparen Ä, š skapas i en gemensam nyckel- laddnings-central, NLC. Man har alltså den enklaste situationen ovan med NLC som den gemensamma vännen V.A special open-key application is described in ref. [2] Bengtsson, Alf, "Authentication of mobile nodes in packet radio networks", FOA-R-97-00415-503-SE, January 1997, to which 10 15 20 25 30 35 (H v-Û (Vi ~ 4 -: CO 4 where methods for two radio nodes, X and Y, in a packet radio network to authenticate each other are discussed, the node X must be absolutely sure that Y is indeed Y and that data packets with the specified sender Y really come from Y and vice versa. l [2] proposes an open-key method after Diffie-Hellman that allows X and Y and no one else to form a common secret kxy which they then use for mutual authentication. by creating the key pair Ä, š in a common key charging center, NLC, so you have the simplest situation above with NLC as the common friend V.
I [2] nämns som en olöst fråga hur man skall göra när X och Y inte har samma NLC, dvs. de inte har gemensam CA. Den konventionella lösningen är att bygga certifi- katkedjor. Men dels nämns ovan en del kända problem, dels är det tveksamt om automatisk hantering av certifikatkedjor är lämplig att implementera i noder av typen radioapparater.In [2] is mentioned as an unresolved question how to do when X and Y do not have the same NLC, ie. they do not have a common CA. The conventional solution is to build certificate chains. However, some known problems are mentioned above, and it is doubtful whether automatic management of certificate chains is suitable for implementation in nodes of the radio type.
Dessa problem ledde fram till föreliggande uppfinning som innebär att X och Y kan bilda en gemensam hemlighet och att identiteter i en CA-hierarki kan ersätta certifi- katkedjoma och medföra en implicit certifiering av öppna nycklar. Detta sker genom att uppfinningen får den utformning som framgår av det efterföljande självständiga patentkravet. Lämpliga utföringsformer av uppfinningen framgår av övriga patent- krav.These problems led to the present invention which means that X and Y can form a common secret and that identities in a CA hierarchy can replace the certificate chains and lead to an implicit certification of open keys. This is done by the invention being given the form which appears from the following independent patent claim. Suitable embodiments of the invention appear from other patent claims.
Uppfinningen kommeri det följande att beskrivas närmare under hänvisning till bifogade ritning, där figuren visar ett hierarklskt träd med administratörer och slutliga aktörer som kan utnyttja uppfinningen.The invention will be described in more detail below with reference to the accompanying drawing, in which the figure shows a hierarchical tree with administrators and final actors who can use the invention.
Ett hierakiskt träd utgår från en rot, i figuren kallad A. Roten kan betraktas som hela systemets (trädets) huvudadministratör. Uppfinningen baseras på att roten väljer, och hemlighåller, en grundhemlighet som uppfyller specificerade villkor.A hierarchical tree starts from a root, in the figure called A. The root can be considered as the main administrator of the entire system (tree). The invention is based on the root selecting, and keeping secret, a basic secret that meets specified conditions.
Huvudadministratören A väljer en eller flera nya aktörer som A bedömer uppfylla de krav som ställs för att de skall kunna tjäna som underadministratörer. A skapar utgående från sin grundhemlighet nya underhemligheter enligt en uppfinningsenlig, noga specificerad algoritm. Varje underadministratör får sig tilldelad, och skall sedan hemlighålla, en sådan underhemlighet. Varje underadministratör väljer enligt 10 15 20 25 30 5 samma principer sina underadministratörer. Via ett rekursivt förfarande byggs det hierarkiska trädet upp.The main administrator A selects one or more new actors that A deems to meet the requirements for them to be able to serve as sub-administrators. Based on its basic secret, A creates new sub-secrets according to an inventive, carefully specified algorithm. Each sub-administrator is assigned, and shall then keep secret, such sub-secret. Each sub-administrator elects its sub-administrators in accordance with the same principles. Through a recursive procedure, the hierarchical tree is built up.
Uppfinningen bygger på att algoritmen är villkorad av olika krav som måste vara uppfyllda, så att inte en administratör kan räkna ut en hemlighet som tillhör någon annan, bortsett från dem som finns i den gren av trädet som utgår från administra- tören själv. Om en administratör röjs blir alltså enbart denna gren av trädet röjd.The invention is based on the fact that the algorithm is conditioned by various requirements that must be met, so that an administrator cannot calculate a secret that belongs to someone else, apart from those that are in the branch of the tree that emanates from the administrator himself. If an administrator is cleared, then only this branch of the tree will be cleared.
Likaså finns det villkor som skall vara uppfyllda, så att inte en grupp av administra- töreri samverkan skall kunna räkna ut någon annans hemlighet.There are also conditions that must be met, so that a group of administrators in collaboration cannot calculate someone else's secret.
De nämnda underhemlighetema skapas med hjälp av ett öppet primtal som enn/digt är knutet till administratörens plats i trädet. Detta primtal kan betraktas som en adress eller en identitet. En underhemlighet används på tre sätt: 1. För att skapa nya underhemligheteri nämnda rekursiva förfarande. 2. För att signera ett meddelande. I och med att adressen ingåri signeringen kan andra aktörer vara säkra på att meddelandet signerats av rätt instans (inbyggd certifiering). 3. För att skapa ett nyckelpar för ett öppen-nyckel-system enligt Diffie-Hellman som medför att ett par av aktörer kan skapa en gemensam hemlighet. I och med att alla hemligheter i trädet bygger på samma grundhemlighet kan aktörsparen veri- fiera att motpartens öppna nyckel är skapad av någon i samma träd, ett sätt att “skilja vän från fiende” (inbyggd autenticering av grupptillhörighet).The mentioned secrets are created with the help of an open prime number which is / is closely linked to the administrator's place in the tree. This prime number can be considered as an address or an identity. A sub-secret is used in three ways: 1. To create new sub-secrets in the recursive procedure mentioned. 2. To sign a message. As the address is included in the signing, other actors can be sure that the message has been signed by the correct body (built-in certification). To create a key pair for an open-key system according to Diffie-Hellman, which means that a pair of actors can create a common secret. Since all secrets in the tree are based on the same basic secret, the actor pair can verify that the other party's open key is created by someone in the same tree, a way to “separate friend from enemy” (built-in authentication of group affiliation).
DH-metoden (efter Diffie-Hellman) för två parter att skapa en gemensam hemlighet är inte ny. Nytt är däremot att basera beräkningama på en grundhemlighet vilket ger en ny metod att autenticera grupptillhörighet. Likaså är det nytt att låta identi- teter ingå i beräkningama på ett sätt som innebär implicit certifiering.The DH method (after Diffie-Hellman) for two parties to create a common secret is not new. What is new, however, is to base the calculations on a basic secret, which provides a new method of authenticating group affiliation. It is also new to include identities in the calculations in a way that involves implicit certification.
Inför den fortsatta beskrivningen införs följande benämningar: Versaler A, X, etc. identiteter (namn, adresser) enkelt understrukna gemener _a_, gg , etc. hemfiga nYCk|af fÖf Å. X etc- dubbelt understrukna gemenerâ, š , etc. Öppna nY0k|af för A. X G10- gemener n, p etc. heltal (p och q betecknar primtal) genomstruken gemen a inverst heltal, aa mod n = 1 10 15 20 25 30 CA Certification Authority. En aktör som är betrodd att styrka, certifiera, identiteter och nycklar indexerad id A123 barn nr. 3 till förälder A12 Roten i trädet har identiteten A. Antalet indecis anger nivån i trädet.Before the further description, the following names are introduced: Capital letters A, X, etc. identities (names, addresses) simply underlined lowercase _a_, gg, etc. home fi ga nYCk | af fÖf Å. X etc- double underlined lowercase letters â, š, etc. Open nY0k | af for A. X G10- common n, p etc. integers (p and q denote prime numbers) crossed out common a inverse integer, aa mod n = 1 10 15 20 25 30 CA Certification Authority. An actor who is entrusted with strengthening, certifying, identities and keys indexed id A123 child no. 3 to parent A12 The root of the tree has the identity A. The number indecis indicates the level in the tree.
Metoden innebär ett nytt sätt att utnyttja DH-metoden att bilda hemligheter för användning som kryptonycklar. DH-metoden beskrivs i det amerikanska patentet 4,200,770, till vilket härmed hänvisas som ref. [3].The method means a new way of using the DH method to form secrets for use as crypto keys. The DH method is described in U.S. Patent 4,200,770, which is hereby referred to as ref. [3].
DH-metoden bygger på att det finns envägsfunktioner z = f(g, x), dvs. även med kännedom om g och z är det praktiskt ogörligt att beräkna x (däremot kan den som känner g och x beräkna z). Dessutom kräver DH-metoden att funktionen f skall kunna appliceras i två steg med indata x resp y där man får samma resultat oberoende av ordningen på x och y. Man har alltså att z = f(f(g, x) ,y) = f(f(g, y), x), vilket i denna patentansökan kallas sekvensoberoende.The DH method is based on the fact that there are one-way functions z = f (g, x), ie. even with knowledge of g and z, it is practically impossible to calculate x (on the other hand, one who knows g and x can calculate z). In addition, the DH method requires that the function f must be able to be applied in two steps with input data x and y, respectively, where you get the same result regardless of the order of x and y. f (f (g, y), x), which in this patent application is called sequence independent.
Två sådana funktioner som kan användas i DH-metoden är exponentialfunktionen i ändlig heltalsaritmetik samt multiplikation på elliptisk kurva. I dessa båda fall får man z = f(g, x) = g* modulo n, där n är ett heltal, respektive Z = f(G, x)= G x, där G (och Z) är punkter på en elliptisk kurva E och x ett heltal modulo n, där n är antalet punkter på E. För närmare beskrivning, bl a krav på talen x och n, hänvisas till ref. [1] och ref. [4], Menezes A., Elliptic Curve Public Key Cryptosystems, Kluwer Academic Publishers, 1993, till vilket härmed hänvisas.Two such functions that can be used in the DH method are the exponential function in finite integer arithmetic and multiplication on an elliptical curve. In these two cases you get z = f (g, x) = g * modulo n, where n is an integer, respectively Z = f (G, x) = G x, where G (and Z) are points on an elliptical curve E and x an integer modulo n, where n is the number of points on E. For a more detailed description, including requirements for the numbers x and n, refer to ref. [1] and ref. [4], Menezes A., Elliptic Curve Public Key Cryptosystems, Kluwer Academic Publishers, 1993, which is incorporated herein by reference.
Den här föreslagna metoden bygger på att det finns funktioner som är envägsfunk- tioner med avseende på båda sina variabler. Dvs. under vissa villkor gäller både att om man känner z där z = f (g, x) så ger inte kännedom om g möjlighet att beräkna x (enligt ovan) och inte heller ger kännedom om x möjlighet att beräkna g. Då utgör g en grundhemlighet som huvudadministratören kan välja och som ger möjlighet att autenticera grupptillhörighet. De två ovan nämnda funktionerna, exponentiering samt multiplikation på elliptisk kurva, kan båda användas.This proposed method is based on the fact that there are functions that are one-way functions with respect to both of their variables. Ie. under certain conditions it applies both that if one knows z where z = f (g, x) then does not give knowledge of g the opportunity to calculate x (as above) nor does knowledge of x give the opportunity to calculate g. Then g constitutes a basic secret which the main administrator can choose and which provides the opportunity to authenticate group membership. The two above-mentioned functions, exponentiation and multiplication on an elliptical curve, can both be used.
I det följande ges, i anslutning till figuren, en noggrann beskrivning av en utförings- form av uppfinningen som utnyttjar exponentialfunktionen i ändlig heltalsaritmetik. 10 15 20 25 30 35 Huvudadministratören A väljer primtal enligt n = 2-p-q (A kan i och för sig välja en produkt av flera primtal). Produkten är till för att förhindra beräkning av invers, jfr avsnitten l och IV nedan. g är ettjämnt tal och har en faktor gemensam med n. I annat fall får två bam en möjlighet att i samarbete beräkna sin faders hemlighet, jfr IV. n görs känt för alla medan p, q och g hemlighålls.In the following, in connection with the figure, an accurate description is given of an embodiment of the invention which utilizes the exponential function in finite integer arithmetic. 10 15 20 25 30 35 The main administrator A selects prime numbers according to n = 2-p-q (A can in itself choose a product of several prime numbers). The product is intended to prevent the calculation of inverse, cf. sections l and IV below. g is an even number and has a factor in common with n. Otherwise, two children get an opportunity to work together to calculate their father's secret, cf. IV. n is made known to everyone while p, q and g are kept secret.
Administratörerna i trädet tilldelas var sitt primtal som identitet (adress). A1 är alltså ett första primtal, A2 nästföljande primtal, A3 det dämäst etc. Hur man gör denna tilldelning är godtyckligt. Man kan exempelvis använda b'“ stycken primtal för nivå m i trädet, där b är det maximal antalet barn per förälder. Detta resulterari ”hål” i form av oanvända primtal. Om man i stället vill ”spara” primtal kan man använda b stycken primtal per nivå i trädet. Primtal kommer då att ”återanvändas” på flera ställen i trädet och risken ökar att administratöreri samverkan kan beräkna annans hemlighet (se nedan).The administrators of the tree are assigned their prime number as identity (address). A1 is thus a first prime number, A2 the next prime number, A3 the worst, etc. How to make this assignment is arbitrary. You can, for example, use b '"prime numbers for level m in the tree, where b is the maximum number of children per parent. This results in "holes" in the form of unused prime numbers. If you instead want to "save" prime numbers, you can use b prime numbers per level in the tree. Prime numbers will then be "reused" in several places in the tree and the risk increases that administrators in collaboration can calculate another's secret (see below).
Huvudsaken med tilldelningen av identiteter är att den görs så att alla entydigt vet vilket primtal som tillhör en viss position i trädet. Om man i någon tillämpning inte behöver implicit certifiering bortfaller detta krav. Det största för adresser reserve- rade primtalet betecknas L.The main thing with the assignment of identities is that it is done so that everyone knows unambiguously which prime number belongs to a certain position in the tree. If you do not need implicit certification in any application, this requirement is waived. The largest prime number reserved for addresses is designated L.
A tilldelar sina närmast underordnade Aj var sin hemlighet h, genom att exponenti- era sin egen hemlighet modulo n med den underordnades identitet, d v s h, = g* mod n. De underordnade kan inte räkna ut g (jfr avsnitten I och IV nedan).A assigns his closest subordinates Aj each his secret h, by exponentiating his own secret modulo n with the subordinate's identity, i.e. h, = g * mod n. The subordinates cannot calculate g (cf. sections I and IV below).
Detta upprepas rekursivt. A1 tilldelar t.ex. sina underordnade A1; hemligheter h” = (g^' f" mod n. De underordnade kan inte räkna ut g* .This is repeated recursively. A1 assigns e.g. their subordinates A1; secrets h ”= (g ^ 'f" mod n. The subordinates cannot calculate g *.
Administratörerna i trädet kan beräkna alla hemligheteri hela sin underlydande gren av trädet. I och med att identiteterna är primtal kan en administratör inte själv beräkna en hemligheti någon annan gren. Om man dessutom kräver att inte två eller flera administratörer tillsammans skall kunna räkna ut en hemlighet måste man kräva att inga identiteter skall kunna skrivas som summan av två eller flera andra. I annat fall kan en hemlighet bildas genom multiplikation av två andra. Detta ställer 10 15 20 25 30 H1 :Å (fl w w GQ 8 krav på primtalen som inte utreds här. Det är t.ex. lämpligt att använda primtalen ”baklänges”, dvs att primtalen i nivå 1 är större än i nivå 2 osv.The administrators of the tree can calculate all the secrets of their entire subordinate branch of the tree. Since the identities are prime numbers, an administrator cannot calculate a secret in another branch himself. In addition, if you do not require two or more administrators to be able to calculate a secret together, you must require that no identities can be written as the sum of two or more others. Otherwise, a secret can be formed by multiplying two others. This places 10 15 20 25 30 H1: Å (fl ww GQ 8 requirements on the prime numbers that are not investigated here. For example, it is appropriate to use the prime numbers "backwards", ie that the prime numbers in level 1 are greater than in level 2, etc. .
De slutliga aktörema, X, Y etc., tilldelas ett nyckelpar av sin administratör, tex Y av A23 i figuren. Den hemliga nyckeln y skall vara >L för att inte Y skall kunna maske- ra sig som administratör. Den öppna nyckeln y beräknar administratören genom att exponentiera sin hemlighet med y modulo n, dvs. y = (g^=^” f' mod n.The final actors, X, Y, etc., are assigned a key pair by their administrator, eg Y of A23 in the figure. The secret key y must be> L so that Y will not be able to disguise himself as an administrator. The open key y is calculated by the administrator by exposing his secret with y modulo n, ie. y = (g ^ = ^ ”f 'mod n.
Man kan också göra omvänt, låta y vara hemlig och y öppen. Då får man samma struktur som för administratörernas hemligheter och identiteter. Detta minskar fri- heten i val av nycklar. I gengäld kan man knyta även de slutliga aktörerna till posi- tion i trädet vilket gör att behovet av certifikat bortfaller.You can also do the opposite, leave y secret and y open. Then you get the same structure as for the administrators' secrets and identities. This reduces the freedom in choosing keys. On the other hand, the final players can also be linked to a position in the tree, which means that the need for a certificate is eliminated.
De båda aktörerna X och Y bildar vid behov en gemensam hemlighet kx, Den beräknas genom att aktören tar sin motparts öppna nyckel och exponentierar den modulo n med produkten av sin egen hemliga nyckel och identiteterna för alla sina överordnade administratörer. X resp Y beräknar alltså km resp km , där ÅzÅnÅz-za- = (QMM) X mod n och kxyz = (9 ÅzÅuAmšyzÅnxmod n. Överens- k xy1 stämmelse k,.,1=k,,2=k,., gäller enbart (se dock avsnittet Vl nedan) om samma grundhemlighet g använts i beräkningarna. Detta är ett kriterium för autenticering av grupptillhörighet. Enbart X och Y och deras närmast överordnade administratörer kan beräkna kw De slutliga aktörerna (t ex X) tilldelas ett certifikat (kalla det c,.), utformat t.ex. enligt standarden X.509, av sin respektive administratör. I certifikatet anges bl.a. att den öppna nyckeln å tillhör aktören med identitet X och att den skapats av administra- tören med identitet A223 . Certlfikatet ges som indata till en allmänt känd hash- funktion (t.ex. MD5 eller enhetsfunktionen h(m)=m), utdata blir ett heltal tx.The two actors X and Y form, if necessary, a common secret kx. It is calculated by the actor taking his opponent's public key and exposing that module with the product of his own secret key and the identities of all his superior administrators. X and Y, respectively, calculate km and km, respectively, where ÅzÅnÅz-za- = (QMM) X mod n and kxyz = (9 ÅzÅuAmšyzÅnxmod n. only (see section Vl below) if the same basic secret g was used in the calculations.This is a criterion for authentication of group affiliation.Only X and Y and their immediate superior administrators can calculate kw The final actors (eg X) are awarded a certificate (cold the certificate, designed, for example, according to the standard X.509, by its respective administrator. The certificate is given as input to a commonly known hash function (eg MD5 or the unit function h (m) = m), the output becomes an integer tx.
Administratören beräknar en digital signatur s, genom att modulo n exponentiera sin egen hemlighet med tx, dvs. s, = (g AMA” )t' mod n _ Certlfikatet c, och den digitala signaturen s, tilldelas X. 10 15 20 25 30 35 9 En annan aktör (t ex Y) kan verifiera att ett certifikat är äkta och att det måste ha signerats av en administratör på en viss position i trädet. Därmed bortfaller behovet att bilda kedjor av certifikat där administratörerna mellan X och Y styrker varandras äkthet. Verifieringen sker enligt följande.The administrator calculates a digital signature s, by modulo n exposing his own secret with tx, ie. s, = (g AMA ”) t 'mod n _ The certificate c, and the digital signature s, are assigned to X. 10 15 20 25 30 35 9 Another actor (eg Y) can verify that a certificate is genuine and that it must have been signed by an administrator at a specific position in the tree. This eliminates the need to form chains of certificates where the administrators between X and Y prove each other's authenticity. The verification takes place as follows.
Y har från X fått ett certifikat c och en signatur s. I certifikatet skall bla. stå vilken administratör som beräknat s. Det är detta som Y vill verifiera. Han kan då multipli- cera ihop identiteterna fram till den position i trädet som påstår sig ha signerat certifikatet, med beteckningar enl ovan bildar han B = AzAzzAm. Han bildar mot- svarande produkt för sin egen position D = A2A23 . Vidare bildar han med hjälp av den allmänt kända hashfunktionen t = h(c).Y has received from X a certificate c and a signature s. In the certificate, among other things. stand which administrator has calculated s. This is what Y wants to verify. He can then multiply the identities together up to the position in the tree that claims to have signed the certificate, with designations according to the above he forms B = AzAzzAm. He forms the corresponding product for his own position D = A2A23. Furthermore, he forms with the help of the generally known hash function t = h (c).
Y kan nu utgående från sin egen öppna nyckel bilda ya' = (g Bly' = (g B' fr, allt räknat modulo n. Han kan också utifrån den mottagna signaturen bilda so! mod n .Y can now, based on his own public key, form ya '= (g Bly' = (g B 'fr, all calculated modulo n. He can also form so! Mod n from the received signature.
Om han nu får samma värde kan han (se avsnittet VI nedan) dra slutsatsen att certifikatet signerats av identiteten Am och att innehållet är pålitligt.If he now gets the same value, he can (see section VI below) conclude that the certificate is signed by the identity Am and that the content is reliable.
Något av den matematik som utnyttjas vid denna utföringsform av uppfinningen anges i det följande utan kommentarer eller härledningar. I övrigt hänvisas till [1] och speciallitteratur.Some of the mathematics used in this embodiment of the invention are set forth below without comment or inference. In other respects, reference is made to [1] and special literature.
I i-te roten är ”omöjlig” om n inte är primtal (t ex n =p q), den är lika svår som att bestämma faktorerna i n. Dvs även om jag känner n, b och i och vet att b = g' mod n, så kan man inte räkna ut g om man inte vet faktorema i n Detta utnyttjas i RSA-kryptering varför det är väl studerat vilka krav som gäller för att i-te roten skall vara "omöjlig". ll Diskreta logaritmen är ”omöjlig”. Med samma beteckningar som i I ovan kan man inte räkna uti även om man känner n, b och g. Även detta utnyttjas i RSA-kryptering. lll Omm (om och endast om) a och n relativt prima (de har inga gemen- samma faktorer >1), så existerar en entydig invers a så att aa mod n = 1 I metoden utnyttjas omvändningen - om a och n har någon gemensam faktor existerar ingen invers a _ 10 15 20 25 30 (H så (fl ~4 ~a co m- .- 10 Under vissa förutsättningar är roten i avsnitt I ”lätt” att räkna ut utan att faktoruppdela n utgående från två uttryck beräknade med samma modulus.In the i-th root it is "impossible" if n is not a prime number (eg n = pq), it is as difficult as determining the factors in n. Ie even if I know n, b and i and know that b = g ' mod n, you can not calculate g if you do not know the factors in This is used in RSA encryption, which is why it has been well studied what requirements apply for the i-th root to be "impossible". ll Discrete logarithm is "impossible". With the same designations as in I above, you can not calculate even if you know n, b and g. This is also used in RSA encryption. lll If (if and only if) a and n are relatively prime (they have no common factors> 1), then an unambiguous inverse a exists so that aa mod n = 1 In the method the inversion is used - if a and n have something in common factor there is no inverse a _ 10 15 20 25 30 (H so (fl ~ 4 ~ a co m- .- 10 Under certain conditions the root in section I is "easy" to calculate without factor division n based on two expressions calculated with same modulus.
Förutsättningarna är att man vet n (men alltså inte p och q) samt b, i, c, j, där b = gi mod n och c = gi mod n. Dessutom skall i och j vara relativt prima och likaså g och n relativt prima.The conditions are that you know n (but not p and q) and b, i, c, j, where b = gi mod n and c = gi mod n. In addition, i and j must be relatively prime and likewise g and n relatively first.
Detta kan härledas med hjälp av Eulers fi-funktion tp se [1], som är n - 1 om n är ett primtal. Annars är tp en produkt där faktorerna i n ingår, tex q> = (p - 1) (q - 1) om n = p q. Omm inversen till g existerar (dvs om g och n relativt prima) kan den skrivas med hjälp av (p, g” mod n = 1, dvs. a=9W Om i och j är relativt prima (och >0) kan man med Euklides algoritm [1] bestämma heltalskoefficienterna r och s iekvationen r i + sj = 1. En av koefficientema (säg r) måste vara negativ.This can be deduced using Euler's fi function tp see [1], which is n - 1 if n is a prime number. Otherwise tp is a product where the factors in are included, eg q> = (p - 1) (q - 1) if n = p q. If the inverse of g exists (ie if g and n are relatively prime) it can be written using (p, g ”mod n = 1, ie a = 9W If i and j are relatively prime (and> 0) one can use the Euclidean algorithm [1] to determine the integer coefficients r and the equation ri + sj = 1. One of the coefficients (say r) must be negative.
Om g och n relativt prima vet man att det finns invers b till b (till c också för den delen). Med Euklides algoritm kan man räkna ut b. Man kan nu bilda b"cs mod n = b(°**1)<'°cs mod n = gmrmfigsi mod n = gi°g°°°°gsi mod n = g('°('° gsj mod n = gmsj mod n = g.If g and n are relatively prime, we know that there is inverse b to b (to c also for that matter). With Euclid's algorithm one can calculate b. One can now form b "cs mod n = b (° ** 1) <'° cs mod n = gmrm fi gsi mod n = gi ° g °°°° gsi mod n = g ( '° (' ° gsj mod n = gmsj mod n = g.
Under förutsättningarna ovan får man alltså utan faktoruppdelning g = b"cs mod n .Under the conditions above, g = b "cs mod n is obtained without factor division.
DH-metoden, ref. [3].DH method, ref. [3].
Baserat på ll ovan får man en metod för två parter, X och Y att konstruera en gemensam hemlighet som ingen annan kan beräkna. Båda parter känner heltalen g och n. X bildar ett nyckelpar >_<, š ur š = g* mod n . X måste hålla Ä hemlig medan š öppet delges Y (som enligt avsnitt ll inte kan beräkna Ä ). Analogt förfarande för Y. Nu kan X och Y och bara de två, beräkna kw genom att ta motpartens öppna nyckel och exponentiera den med sin egen hemliga nyckel, kxy = g!! mod n. 10 15 20 VI l [3] förutsätts g vara öppet känt. I föreliggande uppfinning utnyttjas att g kan hållas hemlig (se avsnitten l och IV ovan), vilket ger en ny metod att autenticera grupptillhörighet. l [3] anges att n skall vara ett primtal. I föreliggande uppfinning används n = p q vilket också går bra (en grundsten för RSA-kryptering). i-te roten är inte säkert entydig. Uppfinningen bygger på att en storhet k har räknats ut på två sätt via exponentiering med samma i, man har k = gi mod n = hi mod n. Men härav kan man inte generellt dra slutsatsen att g = h. Detta gäller bara om i och = 1). Men entydighet är inget villkor för metoden, utan det som ståri I skulle kunna omformuleras: ”Det skall vara ”tillräckligt liten sannolikhet” att man skall kunna räkna ut något g som uppfyller b = gi mod n, även om man känner n, b och i men inte vet faktorerna i n”.Based on ll above, you get a method for two parties, X and Y to construct a common secret that no one else can calculate. Both parties know the integers g and n. X forms a key pair> _ <, š from š = g * mode n. X must keep Ä secret while š is openly communicated to Y (who according to section ll cannot calculate Ä). Analogous procedure for Y. Now X and Y and only the two, can calculate kw by taking the other party's open key and exposing it with its own secret key, kxy = g !! mod n. 10 15 20 VI l [3] g is assumed to be openly known. In the present invention it is utilized that g can be kept secret (see sections 1 and IV above), which provides a new method of authenticating group affiliation. l [3] states that n should be a prime number. In the present invention, n = p q is used, which also works well (a cornerstone for RSA encryption). i-te root is certainly not unambiguous. The invention is based on the fact that a quantity k has been calculated in two ways via exponentiation with the same i, one has k = gi mod n = hi mod n. But from this one can not generally conclude that g = h. This only applies if i and = 1). But unambiguity is not a condition for the method, but what is stated in I could be reformulated: "There should be a 'sufficiently small probability' that one should be able to calculate something g that satisfies b = gi mod n, even if one knows n, b and in but do not know the factors in ”.
När det gäller generella krav av kryptografiskt slag finns det publicerat i bl.a. [1] vilka modulus n som är olämpliga. Likaså måste man t ex vara observant på att man inte väljer faktorer som medför att utfallsrummet vid exponentieringar blir för litet, vilket skulle kunna göra uttömmande sökning realistiskt.With regard to general requirements of a cryptographic nature, it is published in e.g. [1] which modulus n are inappropriate. Likewise, one must, for example, be observant that one does not choose factors that mean that the outcome space for exponentiations becomes too small, which could make an exhaustive search realistic.
Claims (10)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE9901358A SE515778C2 (en) | 1999-04-16 | 1999-04-16 | Method of key distribution with built-in possibility for authentication and certification in a hierarchical tree |
PCT/SE2000/000721 WO2000064098A1 (en) | 1999-04-16 | 2000-04-14 | Method for distribution of cryptographic keys in a communication network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE9901358A SE515778C2 (en) | 1999-04-16 | 1999-04-16 | Method of key distribution with built-in possibility for authentication and certification in a hierarchical tree |
Publications (3)
Publication Number | Publication Date |
---|---|
SE9901358D0 SE9901358D0 (en) | 1999-04-16 |
SE9901358L SE9901358L (en) | 2000-10-17 |
SE515778C2 true SE515778C2 (en) | 2001-10-08 |
Family
ID=20415233
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
SE9901358A SE515778C2 (en) | 1999-04-16 | 1999-04-16 | Method of key distribution with built-in possibility for authentication and certification in a hierarchical tree |
Country Status (2)
Country | Link |
---|---|
SE (1) | SE515778C2 (en) |
WO (1) | WO2000064098A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI109253B (en) * | 2000-08-22 | 2002-06-14 | Smarttrust Systems Oy | Verified identity chain |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4200770A (en) * | 1977-09-06 | 1980-04-29 | Stanford University | Cryptographic apparatus and method |
US5651066A (en) * | 1994-04-28 | 1997-07-22 | Nippon Telegraph And Telephone Corporation | Cipher key distribution system effectively preventing illegitimate use and charging of enciphered information |
US5745574A (en) * | 1995-12-15 | 1998-04-28 | Entegrity Solutions Corporation | Security infrastructure for electronic transactions |
JPH09238132A (en) * | 1996-02-29 | 1997-09-09 | Oki Electric Ind Co Ltd | Portable terminal communication system and its communication method |
NL1005912C2 (en) * | 1997-04-25 | 1998-10-27 | Koninkl Kpn Nv | Key distribution system. |
-
1999
- 1999-04-16 SE SE9901358A patent/SE515778C2/en not_active IP Right Cessation
-
2000
- 2000-04-14 WO PCT/SE2000/000721 patent/WO2000064098A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
SE9901358L (en) | 2000-10-17 |
SE9901358D0 (en) | 1999-04-16 |
WO2000064098A1 (en) | 2000-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4547158B2 (en) | Signature scheme using bilinear mapping | |
Wang et al. | Security analysis of some proxy signatures | |
US8285996B2 (en) | Verification of identity based signatures | |
JPH08328472A (en) | Authentication exchange method, restoration-type electronic signature method, addition-type electronic signature method,key exchange method, restoration-type public electronic signature method, addition-type public electronic signature method and blind electronic signature method | |
JPH10133576A (en) | Open key ciphering method and device therefor | |
Naresh et al. | Provable secure lightweight hyper elliptic curve‐based communication system for wireless sensor networks | |
JP2004208263A (en) | Apparatus and method of blind signature based on individual identification information employing bilinear pairing | |
US11658827B2 (en) | Selective disclosure of attributes and data entries of a record | |
Tonien et al. | Multi-party concurrent signatures | |
Lin et al. | A structured multisignature scheme from the Gap Diffie-Hellman Group | |
Crutchfield et al. | Generic on-line/off-line threshold signatures | |
SE515778C2 (en) | Method of key distribution with built-in possibility for authentication and certification in a hierarchical tree | |
EP1730881B1 (en) | Verification of identity based signatures | |
WO2008127444A9 (en) | Fast rsa signature verification | |
Nakanishi et al. | A group signature scheme with efficient membership revocation for reasonable groups | |
Li et al. | Attribute-based anonymous credential: Delegation, traceability, and revocation | |
Kaliski Jr | On hash function firewalls in signature schemes | |
Lal et al. | A scheme for obtaining a warrant message from the digital proxy signatures | |
Kim et al. | Identity-based registry for secure interdomain routing | |
CN102821095A (en) | Method for deleting content in network based on content | |
Wang et al. | Security remarks on a group signature scheme with member deletion | |
Sun et al. | A new efficient ID-based strong designated verifier signature scheme | |
JPH11249560A (en) | Congruent polynomial authenticating method and recording medium for authenticating program, key deposition ciphering method and recording medium for ciphering program | |
JPH0643809A (en) | Digital signature system based on elliptic curve and signer device and verifier device for this system | |
WO2023052609A1 (en) | Digital signatures with key-derivation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
NUG | Patent has lapsed |