CN101641905B - 隐式证书验证 - Google Patents

Abstract

本发明提供了一种对要在通过密码系统互相通信的一对通信对端之间共享的密码密钥进行计算的方法，一个通信对端接收另一通信对端的公共密钥信息的证书，所述公共密钥信息要与所述一个通信对端的私有密钥信息相结合以生成所述密钥。所述方法包括下列步骤来计算所述密码密钥：通过将所述公共密钥信息和所述私有密钥信息相结合，并将与所述证书的验证相对应的分量包括在所述计算中，使得所述证书的验证失败导致在所述一个通信对端处的密码密钥不同于在所述另一通信对端处计算的密码密钥。

Description

隐式证书验证

技术领域

本发明涉及公共密钥密码。

背景技术

公共密钥密码用于允许在一对通信对端之间进行安全通信，并允许对源自通信对端之一的消息进行认证。在公共密钥密码系统中，每个通信对端使用私有密钥和通过数学函数与私有密钥相关联的公共密钥。该数学函数提出了“困难”的数学问题以确保不能通过相应的公共密钥来获得一方的私有密钥。这种问题包括RSA密码系统中所使用的对两个大素数的乘积进行因子分解的难度，以及在数字签名算法(DSA)中使用的在有限域上的离散对数问题的难解决性。离散对数系统得到广泛使用，并且这种系统的特定适配利用了在有限域上定义的椭圆曲线中的点。这种系统被称为椭圆曲线密码系统(ECC)，以比其它系统更小的密钥大小提供了高级别的安全性。

在需要安全地交换消息时，在一般称为密钥协商协议的特定协议中使用公共密钥和私有密钥，以建立通信对端之间的共享密钥且不公开相应的私有密钥。然后，共享密钥可以用于对通信对端之间的消息进行加密和解密。

椭圆曲线公共密钥密钥协商协议典型地包括下列步骤：

·密钥贡献(Key Contribution)。每一方随机生成短期(短暂)公共密钥，根据作为随机整数的私有密钥以及种子点，提供表示短暂公共密钥的点并且将相应的短暂公共密钥传送至另一方(而不传送私有密钥)。另外，每一方可以传送其长期静态公共密钥。

·密钥建立。每一方基于其接收自另一方的静态和短暂密钥并基于其自身生成的短暂私有密钥来计算共享密钥。由于椭圆曲线的特性，两方将得到相同的共享密钥。

·密钥认证。每一方验证另一方的长期静态密钥的真实性，以证明能够计算出共同密钥的唯一方确实是其所感知的通信对端。

·密钥确认。每一方向另一方证明其拥有共同密钥，通常通过传送基于与任一方所传送的密钥贡献相对应的字符串的消息认证校验值。这向每一方确认了另一方的真实身份，并且证明该方成功计算出了共同密钥。该步骤可以作为密钥协商协议的一部分或随后通过共享密钥的使用来完成。

密钥认证步骤典型地独立于上述其它协议步骤来执行，并且通常涉及检查证书的有效性，所述证书通过相应公共密钥保证一方与其私有密钥之间绑定的真实性。独立的密钥认证步骤允许更多的灵活性(例如在证书的使用中)，但是付出很大代价，这是由于密钥协商协议的在线计算代价是由密钥认证步骤的代价和密钥建立步骤期间的密钥计算代价之和所支配的。

证书本质上是通信对端的公共密钥的信任方的签名以及如发布方的名称以及证书持有者的名称之类的其它信息。在ECC系统中，尽管可以使用其它签名协议，但是通常使用ECDSA协议来执行并验证签名。例如，ECDSA签名生成过程对ECC的域参数、私有密钥d以及消息m进行运算，在证书环境中，消息m包括通信对端的公共密钥。输出是签名(r，s)，其中签名分量r以及s是整数，并且如下进行处理。

1、选择随机整数k∈_R[1，n-1]，n是域参数之一。

2、计算kG＝(x₁，y₁)并且将x₁转换为整数

，其中G是在椭圆曲线E上的点并且是域参数之一。

3、计算

其中如果r＝0，则返回步骤1。

4、计算e＝H(m)，其中H代表密码散列(hash)函数，其输出具有不超过n的比特长度(如果不满足该条件，则可以截断H的输出)。

5、计算s＝k^-1(e+αr)mod n，其中α是签名者的长期私有密钥。如果

s＝0，则返回步骤1。

6、将(r，s)对作为消息m的ECDSA签名输出。

ECDSA签名验证过程对若干域参数、长期公共密钥Q(其中Q＝αG)、消息m以及以上导出的签名(r，s)进行运算。ECDSA签名验证输出对签名的拒绝或接受，并且如下进行处理。

1、验证r和s是区间[1，n-1]中的整数。如果验证失败，则返回拒绝。

2、计算e＝H(m)

3、计算w＝s^-1mod n

4、计算u₁＝ew mod n以及u₂＝rw mod n

5、计算R＝u₁G+u₂Q＝s^-1(eG+rQ)(根据以上3和4)

6、如果R＝∞，则拒绝该签名

7、将R的x坐标x₁转换为整数

计算

8、如果v＝r，则接受该签名，否则拒绝该签名

应当理解，可以使用如ECGDSA之类的其它签名生成和验证步骤，并且有时可以省略用于确认签名完整性的特定步骤。

因此，为了对通信对端的公共密钥(即包含通信对端的公共密钥以及其它消息的消息m)进行认证，需要验证证书上的签名。

认证之后，通常确认每一方的密钥确实相同。在两方A和B之间执行密钥协商协议期间，A方建立了密钥K_A，而B方建立了密钥K_B。密钥确认包括：A通过向B传送某个量f(K_A)，其中f是某个公知函数，来向B证明A知道K_A，B将该量与其自己计算的值f(K_B)进行比较并且仅当这些值相匹配的时候才接受(反之亦然)。该函数f使得如果f(K_A)＝f(K_B)，则有极大概率K_A＝±K_B并且已经建立了共同密钥。

如上所述，密钥认证步骤向密钥协商协议添加了很多计算负荷。因此本发明的目的是消除或者减轻上述缺点。

发明内容

一般而言，申请人已经认识到，通过对共享密钥和证书验证的组合进行联合计算，可以在随后的密钥确认步骤中获得证书的隐式验证。

优选地，签名验证使用了齐次验证等式，即等于O的等式，使得对证书验证的失败将导致在共享密钥的计算值之间的不等性。

在一个方面，提供了一种对要在通过密码系统互相通信的一对通信对端之间共享的密码密钥进行计算的方法，一个通信对端接收另一通信对端的公共密钥信息的证书，所述公共密钥信息要与所述一个通信对端的私有密钥信息相结合以生成所述密码密钥，所述方法包括下列步骤来计算所述密码密钥：通过将所述公共密钥信息和所述私有密钥信息相结合，并将与所述证书的验证相对应的分量包括在所述计算中，使得所述证书的验证失败导致在所述一个通信对端处的密码密钥不同于在所述另一通信对端处计算的密码密钥。

在另一方面，提供了一种计算机可读介质、密码单元和系统，配置用于执行上述方法的步骤。

附图说明

现在参考附图来描述本发明的实施例，其中：

图1是数据通信系统的示意表示。

图2是第一密钥协商协议的示意表示。

图3是另一个密钥协商协议的示意表示。

具体实施方式

因此，参见图1，密码通信系统总体上由数字10来表示。系统10具有可以在通信信道16上互相通信的第一通信对端12和第二通信对端14。通信信道16可以安全或不安全的。每个通信对端分别具有密码模块18和20，用于进行密码运算，该密码运算对在所选域上定义的椭圆曲线E进行运算。密码模块18可以是硬件，计算机可读软件指令或二者的结合，并被配置为执行如下所述的密码运算。

通信对端12具有长期私有密钥“a”以及相应的长期公共密钥A＝aG，其中G是在域参数中指定的曲线上的基点。

为了向通信对端12认证公共密钥A，从信任权威获得证书T_A。该证书包括在公共密钥A上的信任权威的签名，可以使用信任权威的公共密钥Q来验证该签名。

类似地，通信对端14具有长期私有密钥b和相应的长期公共密钥B＝bG以及其公共密钥的证书T_B。可以由另一个信任方对证书T_B签名或者使用与用于获得证书T_A的公共密钥不同的另一个公共密钥来对证书T_B签名。

典型地，每个通信对端12，14可以分别生成随机整数x、y，用作会话或者短暂私有密钥，该密钥将生成相应的短暂公共密钥xG、yG。然而，为了清晰起见，在将描述的第一实施例中，使用每个通信对端的长期密钥来建立共同密钥。

在图2所示的第一密钥协商协议中，利用使用ECDSA来签名的证书T_A，T_B来采用静态椭圆曲线Diffie Hellman(ECDH)密钥生成过程。

首先，通信对端12、14交换公共密钥A、B以及相应的证书T_A、T_B。共同密钥是K＝abG，可以根据接收到的公共信息以及其自己具有的私有信息来计算该共同密钥。因此K_A＝aB并且K_B＝bA。

为了验证该密钥的真实性，通常验证证书T_A和T_B。然而，在本实施例中，联合执行密钥生成和认证以提高效率。如上所述，ECDSA在其验证中提供了：

R＝s^-1(eG+rQ)。

相应地，如果证书验证成功，则s^-1(eG+rQ)-R＝∑＝O。通过取r为点R的x坐标值，可以根据签名分量r来恢复R的值。x坐标提供了两个可能的y值，并且为了解决不明确性，将正确值的指示包括在签名中，或者有预先商定的规则来选择这些值之一作为允许计算出R的正确值。

每个通信对端还具有来自证书T_A、T_B的签名(r，s)。为了计算密钥K，通信对端12通过将公共密钥和私有密钥信息相结合并包括与签名验证相对应的分量来计算密钥K_A。因此：

K_A＝abG+λ₁(s_B ^-1(e_BG+r_BQ_B)-R_B)

其中

λ₁是随机值

r_B、s_B是证书T_B的签名分量

e_B是证书中消息m的散列，包括通信对端14的公共密钥B，并且

R_B是根据r_B恢复的值

可以认识到，如果证书认证了B的公共密钥，则签名验证分量s_B ^-1(e_BG+r_B Q _B )-R _B )应当为零，因此该计算应当得到密钥K_A＝aB。

类似地，通信对端14计算K_B＝abG+λ₂(s_A ^-1(e_AG+r_AQ_A)-R_A)，其中r_A、s_A、R_A的值与证书T_A相关。再一次，如果证书认证成功，则应当得到密钥K_B＝bA。

在每个通信对端12、14已经计算出相应密钥K_A、K_B之后，通信对端12、14实现密钥确认步骤以交换作为共同密钥的函数的信息。如果接收到的信息与计算出的不匹配，则拒绝该密钥。

共同密钥不同的一个原因是从证书验证部分获得的值不为零，说明该证书未通过认证。通过在每个计算中插入随机值λ(λ对每个通信对端12、14通常是不同的)增强了认证过程的效力。

因此，通过联合计算共同密钥的值以及与O相对应的关系，如果证书认证成功，则计算量得以减少。

图3示出了另一实施例，其中将MQV密钥协商协议与使用ECDSA签名的证书的认证相结合。

在图3的实施例中，通信对端12和14分别具有长期私有密钥a、b，长期公共密钥A、B，短期私有密钥x、y以及短期公共密钥X、Y。在ECMQV中，共同密钥具有如下形式：

K＝cX+dB

其中

c＝x+ag(x)(mod n)以及

d＝cg(Y)(mod n)

其中g是公知的表示函数，将椭圆曲线点映射至合适的整数。

假定每个通信对端具有另一通信对端的证书T_A、T_B，则每个通信对端将短期公共密钥X、Y分别发送至另一通信对端。

通信对端12计算s₁₂＝(x+ag(x))mod n。通信对端14计算s₁₄＝(y+bg(y))mod n。然后，共同密钥K可以计算为：

K＝s₁₂(Y+g(y)B)＝s₁₄(X+g(x)A)

为了认证该密钥，必须对通信对端的长期公共密钥的证书进行认证。相应地，如上所述，通信对端12将共同密钥K计算为：

K_A＝s₁₂(Y+g(y)B)+λ∑

＝(x+ag(x))(Y+g(y)B)+(λ₁e_Bs_B ^-1)G+(λ₁r_Bs_B ^-1)Q+λ₁R_B

并且，通信对端14将共同密钥K计算为：

K_B＝s₁₄(X+g(x)A)+λ∑

＝(y+bg(y))(X+g(x)A)+(λ₂e_As_A ^-1)G+(λ₂r_As_A ^-1)Q_A+λ₂R_A

对于每个通信对端，λ是随机整数，并且∑是针对相应证书的签名验证关系s^-1(eG+rQ)-R。

假定∑＝O，则密钥相匹配，并且对证书了进行隐式认证。

所获得的效率可以归功于在点加倍运算上的节约以及使用多次点相乘策略的可能性。

从安全角度看，随机值λ应当从大小为

的集合中选择，这是由于该集合与求解ECDLP问题的工作量相对应。从中选择λ的集合可以变化，安全性也随之发生变化。如果λ从大小为2^t的集合中选取，其中t＜(log₂ n)_/2，则密钥认证强度将降至t比特。由于这种λ的选择，计算aB+λR涉及wt_H(a)次点加法(涉及B或B-R)，其中wt_H是值a的二进制表示的Hamming权重。在计算aB中涉及到的点加法次数与此相同。

可以使用非邻接形式(NAF)来计算量(λes^-1)G+(λrs^-1)Q，在Guideto Elliptic Curve Cryptography，Vanstone et al.，Springer，第98至101页中更完整描述了NAF，其内容以引用的方式并入本文。

以这种方式估计K_A的工作量大约是m次点加法以及m次加倍，其中m是曲线的比特大小。

通过比较，估计K_A＝aB并验证ECDSA签名分别具有5m/6次加法和2m次加倍的工作量。

因此，可实现30％的改进。如上所述，如果使用在美国专利申请No.11/333,296中所示的“快速验证”技术，则可实现10％数量级的节约。

通过考虑具有以NAF表示而不是以二进制表示的整数的λ，可以获得进一步的改进。由于wt_H(a)≈m/3，有|L|≈3^m/3＞√n(注意，L中的全部整数是NAF形式，因此是唯一的)。执行类似如上的分析，此处给出的方法产生大约5m/6次加法以及m次加倍。在这种情况中，此处给出的方法产生1.52m次加法，而不是使用上述二进制方法的1.70m次加法，从而与分离计算(快速验证和普通ECDSA验证)相比分别产生22％和47％的效率提高。注意，在这种情况中可以写为：aB-λR＝(a-λ⁺+λ^-)B-λ⁺(R-B)-λ^-(R+B)；其中λ＝λ⁺+λ^-，并且λ⁺和λ^-定义了λ的分量，所述分量分别具有与a的对应分量相同或不同的符号。

可以将此推广至Guide to Elliptic Curve Cryptography，Vanstone etal.，Springer，第99页(w≥2)中描述的w-NAF表示。则|L|＝q^t，其中q：＝2^w-1+1并且t：＝wt_H(a)(全部整数是w-NAF形式，所以是唯一的)。如果假定wt(a)≈m/(w+1)，则获得L＝(2^w-1+1)^m/(w+1)≥2^m/2≈√n。更详细的分析表明：aB+λR中的加法可以以与在aB中的相同代价来计算(使用相同方法)，但是后者具有更大得多的预计算代价，约为2^(w+1)(w-2)/2而不是2^w-2。存储代价如下：1对3(w＝2)，2对8(w＝3)，4对24(w＝4)，8对64(w＝5)。因此，如果存储代价是选择的度量，则比较是有些误导的：如果存储8个点并且仅使用w-NAF技术，则可以使用5-NAF计算aB或者使用3-NAF计算来计算aB+λR，这样的代价是0.166m次加法，相对而言使用本技术为0.25m次加法。因此，本技术可以被认为以aB+λR的估计中0.083m次额外加法为代价，节约ECDSA签名的估计中的m次加倍。

该方法基本上从ECDSA验证过程中移除了加倍运算，即ECDSA验证的增量代价变为仅m/2次加法，而不是(在扩缩之后)0.85m次加法(快速验证)与1.02m次加法(普通ECDSA验证)，即提供了对ECDSA验证过程的70-104％的效率提高。可以通过对多次点相乘的全部能力的更充分利用并且通过使用加窗和w-NAF方法来获得进一步的提高。

根据图3的实施例涉及MQV和ECDSA：

K_A′＝cY+dB+λ∑＝cY+dB-λR+((λes^-1)G+(λrs^-1)Q)

令 $L:=\left\{x\right|\mathrm{supp}\left(x\right)\⋐\mathrm{supp}\left(c\right)\∪\mathrm{supp}\left(d\right)\},$ 其中整数x以二进制形式表示。如果c和d是JSF表示，则supp(c)∪supp(d)具有权重≈m/2(其中m：＝log₂n)，所以|L|＝√n。由于这种对λ的选择，计算K_A+λR精确涉及wt_H(c，d)次点加法。选择λ，使得相对于预计算的点Y、B、Y-B、Y+B，这里的非零分量具有与cY+dB中的相应系数相同的符号(这确保了所有λ确实是唯一的)。因此，可以完成所有计算，涉及8个点Y、B、Y+B、Y-B、R+Y、R+B、R+Y+B、R+Y-B(而不是需要12个点)。一旦如上所述的确定了λ，则可以使用联合NAF形式来计算量(λes^-1)G+(λrs^-1)Q。按照这种方式来估计K_A′所涉及的工作量大约是m次点加法以及m次点加倍。显而易见地，通过利用多次点相乘的全部能力并且通过使用加窗和w-NAF方法可以获得改进。然而，主要的改进是这种结合计算提供了对加倍运算的大量节约的前景。

上述方法可以用于产生简单旁道攻击(side channel attack)抵御实现。细节如下。另

其中认为所有整数都以二进制表示。由于wt(c)≈m/2，有|L|≈√n。现在，另λ＝λ⁺+λ^-，其中λ⁺是L的随机元素，并且针对所有在supp(c)外的位置将λ^-设置为1，否则设置为0。可以使用5个预计算的点Y、B、Y+B、B+R以及Y+B+R来执行cY+dB+λ⁺R的计算。一旦如上所述使用涉及R、Q和G的7个非零部分和确定了λ，则可以计算量λ^-R+((λes^-1)G+(λrs^-1)Q)。通过预计算22＝5×3+3+4个点，可以使用多次点相乘，使用正好m+22次点加法以及m次点加倍来计算K_A′。λ^-的选择保证了在针对点相乘的二进制方法中每个步骤都涉及加法。通过使λ^-：＝0，可以仅预计算19个点，但是不可能强制每个迭代轮一次加法，因此旁道攻击是可能的。可以通过选择另一个λ⁺直到获得这种条件来确保这一点，然而，其自身可能泄露旁道信息。上述方法具有与基于在K_A计算期间添加伪点加法运算来防止简单旁道攻击的方法相同的代价，但是同样实现了ECDSA签名验证。因此，在该方法中实质上无代价地提供了ECDSA签名验证。

假定∑位于G生成的素数阶子群中。它应当具有足够大的阶数。如果∑对应于ECDSA验证等式，则可以通过检查hR≠O来容易地对该条件进行检查，其中h是曲线的余因子(co-factor)。

由于对加倍运算的节约以及对多次点相乘策略的利用，上述方法导致了性能改进。此外，该方法不限于在密钥协商协议的执行期间将密钥认证和密钥建立步骤相结合；该方法可以应用至必须计算一些密钥并且验证一些椭圆曲线等式的任意设置(事实上，密钥甚至不需要是秘密的)。这就是说，该方法在可以验证所计算的密钥是否正确的设置中最有用(由于这将产生关于齐次椭圆曲线等式∑＝O是否成立的判断)。因此，该方法在确实证明知道所计算密钥的所有设置中可以有效地工作。

用于将验证与密钥计算相结合的方法可以在比上述设置中更一般的设置中工作。可以通过使用对每个验证具有不同λ的计算和验证等式的结合来获得多个ECDSA签名(证书链)的验证。类似地，任意椭圆曲线的验证以及多个椭圆曲线等式的批处理验证是可能的。

使用ANSI X9.63，NIST SP800-56a中的ECDH方案(包括ECIES，统一模型，STS，ECMQV，ElGamal加密)来进行密钥计算也是可能的。可以在例如具有ECDSA证书的PV签名中检查提供正确性的非秘密ECC点的计算。类似地，可以对提供正确性的多个ECC点的计算进行检查。

还可能对在其它代数结构(包括超椭圆曲线，基于身份的密码系统，等等)中的运算应用这种技术。

用于提供简单旁道抵御的λ的使用实质上是无代价的。

尽管以上按照特定示例实施例进行了描述，但是应当理解，在所附权利要求的范围内，实施例的变型是可能的。

Claims (13)

1.一种对要在通过密码系统互相通信的一对通信对端之间共享的密码密钥进行计算的方法，一个通信对端接收另一通信对端的公共密钥信息的证书，所述公共密钥信息要与所述一个通信对端的私有密钥信息相结合以生成所述密码密钥，所述方法包括下列步骤来计算所述密码密钥：通过将所述公共密钥信息和所述私有密钥信息相结合，并将与所述证书的验证相对应的分量包括在所述计算中，使得所述证书的验证失败导致在所述一个通信对端处的密码密钥不同于在所述另一通信对端处计算的密码密钥。

2.根据权利要求1所述的方法，其中，所述验证利用在所述证书中包含的签名。

3.根据权利要求2所述的方法，其中，当所述证书验证成功时，所述分量等于零。

4.根据权利要求3所述的方法，其中，所述分量中包括随机元素，以掩蔽所述证书的验证。

5.根据权利要求4所述的方法，其中，选择所述随机元素以在所述签名的验证中提供反复迭代，从而禁止旁道攻击。

6.根据权利要求1所述的方法，其中，所述密码系统是椭圆曲线密码系统。

7.根据权利要求6所述的方法，其中，所述计算是使用多次点相乘来执行的。

8.根据权利要求6所述的方法，其中，所述证书包括由椭圆曲线签名协议进行的签名。

9.根据权利要求8所述的方法，其中，所述签名协议是ECDSA。

10.根据权利要求6所述的方法，其中，所述公共密钥信息是椭圆曲线点的表示，所述公共密钥信息和所述私有密钥信息的组合过程包括点相乘。

11.根据权利要求8所述的方法，其中，所述签名的验证要求多次点相乘。

12.根据权利要求11所述的方法，其中，所述计算是使用多次点相乘来执行的。

13.根据权利要求1所述的方法，包括以下步骤：确认由所述一个通信对端生成的密码密钥与所述另一通信对端的密码密钥相符。

Images