CN110495134B - 用于为有限域迪菲-赫尔曼选择安全质数的方法和系统 - Google Patents
用于为有限域迪菲-赫尔曼选择安全质数的方法和系统 Download PDFInfo
- Publication number
- CN110495134B CN110495134B CN201880021774.9A CN201880021774A CN110495134B CN 110495134 B CN110495134 B CN 110495134B CN 201880021774 A CN201880021774 A CN 201880021774A CN 110495134 B CN110495134 B CN 110495134B
- Authority
- CN
- China
- Prior art keywords
- key
- public key
- prime number
- selecting
- prime
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000004891 communication Methods 0.000 claims abstract description 34
- 238000012216 screening Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 14
- 238000013459 approach Methods 0.000 description 12
- 230000008901 benefit Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000009467 reduction Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 3
- 101150048270 DHPS gene Proteins 0.000 description 2
- 101100006960 Caenorhabditis elegans let-2 gene Proteins 0.000 description 1
- 235000007631 Cassia fistula Nutrition 0.000 description 1
- 240000004752 Laburnum anagyroides Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3013—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C5/00—Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3033—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to pseudo-prime or prime number generation, e.g. primality test
Abstract
一种用于迪菲‑赫尔曼密钥交换的方法,该方法包括:选择域大小p,其格式为p=hq+1,其中q是1加上阶乘数b的质数以使得q=(b!+1),并且h是使得p=hq+1是质数的余因子;选择生成元整数g,其阶模p是质数q或者能够被q整除;选择私钥x;通过求生成元g的私钥x次幂,对质数域大小p使用算数模运算,来计算公钥gx mod p;向通信方发送公钥gx mod p;从通信方接收第二公钥B,第二公钥B包括g的第二私钥y次幂,其形式为gy,第二私钥y是由通信方选择的;以及通过求第二公钥B的私钥x次幂,对质数域大小p使用算数模运算,来从接收到的第二公钥B创建密钥Bx。
Description
技术领域
本公开涉及密码学领域中的有限域大小的选择。
背景技术
迪菲-赫尔曼(Diffie-Hellman)密钥交换是在公共信道上安全地交换加密密钥的方法。在各种系统中,协议使用整数模p的乘法群,其中p为质数。公共值g是模p的原根,并且被自乘到指数,该指数对于加密交易的每一方都是秘密。由于乘法群的特征,两个原根的交换(各自被自乘到对于两方中的一方的秘密)可以被组合在一起,以形成两方之间的共享秘密。由于离散对数问题,窃听者无法轻易得出共享的秘密。
Daniel M.Gordon(丹尼尔M.戈登)在1992年发表了一篇论文,题目为“Designingand detecting trapdoors for discrete log cryptosystems”,CRYPTO’92,LectureNotes in Computer Science vo.740,pp.66-75。在该论文中,戈登意识到特殊质数对于特殊数域筛法是脆弱的,这意味着质数不如所认为的那样安全。另外,戈登意识到这样的特殊质数可以很好地隐藏其特殊结构。因此,攻击者可以在观察到在任何迪菲-赫尔曼密钥协商会话期间所交换的公共消息之后,使用此后门来找到其他方的秘密协商密钥。
另外,除了戈登的攻击之外,与所选择的域大小p相关联的安全风险可以包括其他脆弱性。例如,这些漏洞可以包括:对于特殊数域筛法的潜在脆弱性,如在戈登的攻击中一样隐藏或者公开;针对离散对数问题的其他秘密算法的潜在脆弱性,该脆弱性可能仅以很小的概率影响随机迪菲-赫尔曼域大小;弱迪菲-赫尔曼问题的潜在脆弱性,即使离散对数问题仍然很困难;小子群攻击的威胁;以及相当安全性的迪菲-赫尔曼模之中的算术的非最优效率。尽管一些方法尝试减少以上某些潜在脆弱性,但是当前没有方法解决所有以上潜在脆弱性。
附图说明
参考附图将更好地理解本公开,其中:
图1是示出参与方利用加密模块来交换信息的框图;
图2是选择和使用域大小的一个示例的框图;
图3是示例迪菲-赫尔曼密钥交换的框图;以及
图4是能够执行本公开的实施例的简化计算设备的框图。
具体实施方式
本公开提供了用于迪菲-赫尔曼密钥交换的方法,该方法包括:选择域大小p,其格式为p=hq+1,其中q是1加上阶乘数b的质数以使得q=(b!+1),并且h是使得p=hq+1是质数的余因子;选择生成元整数g,其阶模p是质数q或者能够被q整除;选择私钥x;通过求生成元g的私钥x次幂,对质数域大小p使用算数模运算,来计算公钥gx mod p;向通信方发送公钥gxmod p;从通信方接收第二公钥B,第二公钥B包括g的第二私钥y次幂,其形式为gy,第二私钥y是由通信方选择的;以及通过求第二公钥B的私钥x次幂,对质数域大小p使用算数模运算,来从接收到的第二公钥B创建密钥Bx。
本公开还提供了被配置用于迪菲-赫尔曼密钥交换的计算设备,该计算设备包括处理器,该处理器被配置为:选择域大小p,其格式为p=hq+1,其中q是1加上阶乘数b的质数以使得q=(b!+1),并且h是使得p=hq+1是质数的余因子;选择生成元整数g,其阶模p是质数q或者能够被q整除;选择私钥x;通过求生成元g的私钥x次幂,对质数域大小p使用算数模运算,来计算公钥gx mod p;向通信方发送公钥gx mod p;从通信方接收第二公钥B,第二公钥B包括g的第二私钥y次幂,其形式为gy,第二私钥y是由通信方选择的;以及通过求第二公钥B的私钥x次幂,对质数域大小p使用算数模运算,来从接收到的第二公钥B创建密钥Bx。
本公开还提供包括程序代码的计算机可读介质,该程序代码在由计算设备的处理器执行时,被配置用于迪菲-赫尔曼密钥交换,该程序代码使得计算设备:选择域大小p,其格式为p=hq+1,其中q是1加上阶乘数b的质数以使得q=(b!+1),并且h是使得p=hq+1是质数的余因子;选择生成元整数g,其阶模p是质数q或者能够被q整除;选择私钥x;通过求生成元g的私钥x次幂,对质数域大小p使用算数模运算,来计算公钥gx mod p;向通信方发送公钥gx mod p;从通信方接收第二公钥B,第二公钥B包括g的第二私钥y次幂,其形式为gy,第二私钥y是由通信方选择的;以及通过求第二公钥B的私钥x次幂,对质数域大小p使用算数模运算,来从接收到的第二公钥B创建密钥Bx。
现在参考图1,其示出了用于一对通信方之间的消息通信的系统10。具体地,在图1中,一对通信方A和B由数据通信链路12连接。通信方A和B中的每一方具有加密模块或者单元14,该加密模块或者单元14根据所确立的协议来执行公钥加密操作,以允许通过链接12的安全通信。加密单元14在加密域内操作,该加密域的参数由其他实体共享。
在一个示例中,通信方A和B利用迪菲-赫尔曼(DH)密钥交换。具体地,迪菲-赫尔曼密钥交换使用交换群,该交换群是一种具有二进制运算并且遵循某些公理的代数系统。
最初由迪菲和赫尔曼所提出的群被称为大小为p的有限域的乘法群,其中p是质数。使用这样的乘法群,数{1、2,…,p-1}的集合可以具有被定义为乘法模p的二进制运算,这意味着在计算除以p的余数之后的乘法。该群在数学上是众所周知的,并且被迪菲和赫尔曼应用于密码学。
为了说明的目的,考虑小的质数p=5。针对群的二进制运算,乘法模p可以被表示在下表中:
表1:二进制运算,乘法模5
在该群中,例如,我们令2×4=3。具体地,正常乘法2×4=8,但是在该群中,由于8=1×5+3,所以以5为模来计算余数,得到3。
针对群中的任何元素g和某些正整数x,我们可以通过在g的x个副本之间应用二进制运算来定义gx。该运算被称为群求幂运算,g被称为基数并且x被称为指数。在群是有限域的乘法群的情况下,群求幂运算也被称为模求幂运算。
因此,为了说明,如上表1所示,令p=5。如果g=2并且x=6,则在模求幂运算中,gx=26=4。这是因为在常规的幂运算下,26=64,并且64模5的余数是4。
例如,通过使用诸如平方和乘法算法,即使在大小接近2256的大型群中,也可以相当高效地完成群求幂运算。该算法最多需要2个log2(x)次群运算来计算gx。在群大小是2256的情况下,群求幂运算需要512次或者更少的群运算,这通常是实用的。
离散对数是群求幂运算的倒数。y=gx对基数g的离散对数是x。在某些群中,计算离散对数是“难解”问题。该问题的难度对于迪菲-赫尔曼密钥交换和相关的公共密钥加密算法(被称为离散对数问题(DLP))的安全性至关重要。难解是加密领域的术语,如本文所使用的通常意为敌对方无法企及的东西,只要系统的安全性被认为是重要的,就必须防止敌对方破坏系统。从数学上讲,该术语可以意为问题的解在渐近多项式时间内无法求解。
因此,公钥加密依赖于DLP难解。
再次参考图1,在迪菲-赫尔曼密钥交换中,贡献方A产生秘密指数x,并且贡献方B产生秘密指数y。秘密指数x和y可以分别被称为贡献方A和B的私钥。
A向B发送A=gx,B向A发送B=gy。贡献方A计算z=Bx,贡献方B计算w=Ay。由于z=gxy=w,因此计算出的值相等,因此两个贡献方两者已经计算出相同的共享值w=z。
对于离散对数问题难解的群,通常认为,敌对方或者窃听者E难以根据g、A和B计算z和w。该问题现在被称为迪菲-赫尔曼问题(DHP)。可以通过求解DLP来求解DHP:给定A=gx,通过求解DLP找到x,然后通过群求幂运算来计算Bx,因为w=z=Bx,从而求解DHP。因此,DHP并不比DLP难解。DHP可能比DLP容易,但在某些情况下,尽管可能会采取更多步骤进行转换,但可以通过求解DHP来求解DLP。
以上是迪菲-赫尔曼密钥交换的基本通用形式。
在描述了迪菲-赫尔曼密钥交换之后,盖莫尔引入了使用相同的迪菲-赫尔曼群以用于数字签名的方法,该方法允许贡献方A和B确信彼此的消息。盖莫尔还阐明了迪菲-赫尔曼密钥交换可以被用于构建公钥加密方案。在一个示例中,贡献方B可以使用固定的迪菲-赫尔曼私钥,而贡献方A可以使用临时私钥,对于其希望向贡献方B发送的每个消息仅有一个密钥。
迪菲-赫尔曼域大小
根据以上所述,已知的整数g分别被自乘x和y次幂以用于密钥交换。整数g具有q模p的阶数,表示为gq≡1mod p,其中q是最小的这类正整数。
上述DHP的难解性(hardness)受所选的域大小p的影响。具体地,已发现与p值有关的若干脆弱性。
den Boer(邓波尔)的约减(reduction)
一个定理指出,q除以p-1,因此通常好的做法是选择g,以使得q为质数并且大。具体地,研究者伯特邓波尔在1988年发表了一篇论文,题目为“Diffie-Hellman is asstrong as discrete log for certain primes”,CRYPTO’88,Lecture Notes inComputer Science vol.403,pp.530-539,1988。在该论文中,邓波尔标识了关于生成元g的阶q的准则,这有助于证明离散对数问题和迪菲-赫尔曼问题之间不存在差距。如果要确保迪菲-赫尔曼密钥协议的安全性,这两个问题必须都难解。
邓波尔准则是q-1是小数字的乘积。
q-1不是小数字乘积的常规迪菲-赫尔曼域大小不依赖邓波尔准则。相反,常规的迪菲-赫尔曼域大小依赖于迪菲-赫尔曼问题难解的推测。换言之,常规实践是依赖于推测而不是邓波尔的证明。因此,该常规削弱了可证明的安全性。
基于以上所述,根据本公开,由于邓波尔质数的安全性是可证明的,因此认为邓波尔准则提高了迪菲-赫尔曼域大小的安全性。
如下所述,邓波尔准则的一个问题是其与其他安全方法的不兼容性,特别是如下所述的朴素的袖里无乾坤(nothing up my sleeve(NUMS))方法以及散列输出方法。NUMS和散列方法二者都有效地生成了伪随机数q。随机数几乎从来不是小数字的乘积是众所周知的数论事实。
因此,针对伪随机方法,通常不满足邓波尔准则,并且可以解释为什么常规的迪菲-赫尔曼质数通常不满足邓波尔准则。换言之,由于担心戈登的攻击,而不是担心迪菲-赫尔曼与离散对数问题之间的差距,因而通常选择常规迪菲-赫尔曼质数。
戈登的攻击
如上所述,另外的安全问题是戈登的攻击。特别地,戈登的攻击使用特殊的数域筛法,对于大质数p,该数域筛法是求解离散对数问题的最快已知对数。对于特殊质数p(可以被表示为具有小系数的多项式的输出),数域筛法可以被大大加速。大致来说,必须使质数的大小接近平方或者使质数的位长加倍,以保持针对特殊质数和一般质数与数域筛法相当的可抗性。因此,在迪菲-赫尔曼密钥交换中使用特殊质数p的系统可能容易受到使用数域筛法的攻击者的攻击。
一些部署的迪菲-赫尔曼系统无论如何都使用这种特殊质数,因为其可证明地提供较好的计算效率。然而,对数域筛法的较弱的抵抗力抵消了计算效率的益处。
戈登认识到,易受特殊数域筛法影响的特殊质数可以很好地隐藏其结构。
对戈登攻击风险的常规对策是选择从nothing-up-my-sleeve数得出的伪随机质数p。该方法通常具有两种形式。
在第一种方法中,然后,将无理数(诸如π)的使用乘以大数,并且将结果四舍五入为附近的整数。可以根据需要增加该量,直到获得质数为止。
在第二种方法中,可以将公认的伪随机函数(诸如,散列函数)应用于小的输入值以产生质数。
第一种方法依赖于如下的希望,即无理数(诸如π)的特殊数结构不会使数变得特殊。换言之,特殊无理数π以某种方式独立于针对特殊数域筛法所需的性质。
在散列算法的伪随机性已经被测试并且依赖于加密算法中的其他地方的意义上,第二种方法较保守。令人惊讶的是,数域筛法将能够把散列函数的输出与随机字符串区分开。
两种方法都产生特殊种类的质数,但是即使这类质数也可以被操纵。一个担心是选择质数p的敌对方在选择无理数或者散列函数方面有一定的余地,以便能够解决域大小p中的某种弱点。
以上的方法被称为nothing-up-my-sleeve(NUMS)数,其是密码学中的一个相当笼统的概念。推测NUMS方法会导致稍微随机的域大小,这被认为会防止针对某些原因而发现对特殊数域筛法的隐藏的脆弱性的戈登的攻击。这些包括戈登的攻击涉及非常大的搜索的事实。如此大的搜索期望导致域大小包含超出攻击者控制的信息。特别是,不太可能相信攻击者还使π出现在其定义中。
另外,虽然π的十进制(或者二进制)展开是可预测的,但其被认为好像其是随机的,因此其与其他任何事物(除了π)都不相关。换言之,可以认为,从π得出的迪菲-赫尔曼中的特殊结构与特殊数域筛法是有效的所需的特殊结构完全不相关。
NUMS方法还可以防止其他攻击。具体地,由于NUMS方法可以防止戈登的攻击的相同原因,可以防止仅以很小的概率影响随机迪菲-赫尔曼域大小的关于离散对数的秘密攻击算法。另外,出于类似原因,NUMS方法可以防止弱迪菲-赫尔曼问题。
如下面将更详细描述的,本公开的实施例提供了NUMS方法的变型。该变型不是简单地使用π,而是使用了另一规范但简单的数学结构。因此,在下面描述的实施例中,NUMS的一般优点仍然适用于实施例,但是避免了朴素NUMS方法的以下缺点。
朴素NUMS方法(诸如,基于π的朴素NUMS方法)的主要缺点包括以下内容。
从π得出的域大小实际上是伪随机域大小,可以预期其在计算上不比平均随机质数域大小有效率。换言之,使用这种伪随机域大小在计算上不像其他域大小一样有效率。
在另外的缺点中,取而代之的是,从π得出的域大小已经从另一常数(诸如,e或者2的平方根)得出,因此并非客观地且显著地摆脱了所有操纵。换言之,域大小不是最优可信的。
另外,NUMS的缺点在于从π得出的域大小实际上是伪随机域大小,因此,不能期望其比平均质数域大小更安全。
NUMS方法的另一缺点是,从π得出的域大小不能被完全保护免受数论攻击。具体地,π与数论中的问题非常相关。例如,两个随机正整数没有公共质因子的概率为6/π^2。
小余因子迪菲-赫尔曼质数
如上所述,如果p是质数迪菲-赫尔曼域大小,并且g是迪菲-赫尔曼生成元模p,则g具有某个乘法阶q,这意味着q是使gq=1mod p的最小正整数。数论的基本定理是,针对正整数h,p=hq+1,h通常称为余因子。在q是质数时尤其如此。
小的子群攻击是在较大的有限群中操作的加密方法,其中,攻击者试图通过强制将密钥限制在所期望的群的意外小的子群中来尝试破解该方法。避免此类小的子群攻击的标准方法是确保p和q均为质数,并且h很小。通常,h被选择为2。
小余因子迪菲-赫尔曼域大小是防止小子群攻击的有效方法。
不幸的是,选择小余因子迪菲-赫尔曼域大小不足以防止其他攻击。因此,针对迪菲-赫尔曼域大小选择小余因子的方法通常与其他方法结合使用。
根据以下描述的实施例,在本公开中选择小余因子。
接近于二的幂的域大小
在避免弱域大小p的另外的方法中,可以选择接近2的幂的迪菲-赫尔曼域大小,诸如梅森质数。这样的选择可以具有一些优点。首先,接近于2的幂的域大小在其位长在计算上是有效率的。另外,域大小接近于2的幂的性质是相对罕有的,因此,相似于上面的NUMS方法,其不太可能是来自搜索隐藏攻击的结果。
然而,选择接近于2的幂的域大小的一个缺点是数字特别容易受到特殊数域筛法的攻击。更定量地讲,为了对于一般随机质数同样安全地抵御一般数域筛法,位长必须近似地加倍。位长的这种加倍通常压倒了计算效率的优势。换言之,针对所提供的安全级别,域大小在计算上效率较低。
如果选择具有对所有已知离散对数攻击(包括一般和特殊数域筛法)的近似相等的抵抗力的随机域大小和特别接近于2的幂的域大小,则接近于2的幂的域大小将在计算上较慢,因为其几乎使位长为两倍。
散列输出质数
在从伪随机函数的输出得出而不是直接从诸如π的常数得出迪菲-赫尔曼域大小时,可以实现较强的安全性。
在使用伪随机函数时,域大小可以较强的原因是基于如下概念,即π实际上不是随机的,甚至是伪随机的。相反,其是一个非常特殊的数,因此可能与一些非常特殊的秘密攻击有关
一个安全性论证指出,从π推导迪菲-赫尔曼域大小导致数论攻击与π相关的可能性很小。然而,这种论证并不严格。
相反,在给定秘密输入时,散列函数的输出(被用作伪随机函数)被认为与随机变量没有区别。多年来,该理念已经在许多密码系统中通过使用散列函数被测试,以用于诸如伪随机数生成、密钥推导和安全消息身份认证的任务。
另外,大多数散列函数是使用稍微任意和原始的计算机字运算而被设计的,这与用于迪菲-赫尔曼密钥协商所要求的专用数学运算不同。
相反,数字π是自然的数学常数,可以说其更接近数论攻击中产生的数学。例如,π出现在球体及其更高维度的体积中,这转而与给定短长度的向量的预期数目有关,依此类推。
然而,使用散列函数也具有缺点。例如,通过利用散列函数,输出仍然是伪随机的,因此其具有与正在使用的π相似的缺点。这类缺点可包括非最优的计算效率和难以证明的安全性。
另外,对散列函数的使用可能具有如下缺点,其输入可能被操纵以实现秘密攻击。为了解决此问题,通常选择NUMS本身的输入,诸如π,但是因此关于操纵的自由度而言,该结果并未改进直接使用π的可信度。
针对散列函数的另外的缺点是散列算法本身可能已经被操纵以实现秘密攻击,由此降低了可信度。
搜索参数
以上用于找出迪菲-赫尔曼域大小的伪随机方法,包括朴素NUMS和散列派生的伪随机方法,通常要求从伪随机数值开始并且搜索满足另外的准则的小的计数器值。通常,准则按以下方式工作。将伪随机值和小的值相加以获取用于迪菲-赫尔曼域大小的候选值p。如果p不是质数,则p被拒绝。如果p是质数,则针对p具有较小的因数以使得对于q是质数的情况下p=hq+1,并且h很小进行测试。如果测试失败,则p被拒绝。如果p被拒绝,则在任何一种情况下,小计数器值都被增加1,并且该过程被迭代,直到p的值最终被接受为止。
由于质数罕有,因此该搜索可能花费不合需要的时间量。可以期望搜索可以进行百万量级的迭代。在这点上,小的计数器值可以是百万的量级。另外,由于关于质数的条件很复杂,因此作为结果的小的计数器值也很复杂,并且不能显着地被压缩。任何定义p的简单算术运算都必须包括简单的计数器值。
因此,从搜索产生的质数p不具有最紧凑的可能表示形式。相比之下,接近p的伪梅森质数倾向于具有更为紧凑的表示形式。
选择p
基于以上所有,大多数常规方法没有优化计算效率或者安全性。具体地,朴素的方法是进行附加的改进以进一步扩大对于域大小的搜索。例如,可以搜索邓波尔准则以及也许一些效率准则。但是,该附加搜索的主要缺点在于其可能产生搜索是恶意的怀疑。该附加搜索的另一缺点在于这种搜索要求更多的信息来指定域大小,因为计数器种子值将大得多,并且附加条件罕有地被满足。另外,可能需要大量的搜索工作以满足额外的准则。
因此,根据本公开,提供了以(b!+1)形式所写的具有1加上阶乘的质数阶的经典迪菲-赫尔曼子群大小。如下所述,这种质数阶允许迪菲-赫尔曼密钥交换以抵抗特殊数域筛法。
根据下述实施例,子群阶的特殊结构还有助于优化离散对数与迪菲-赫尔曼问题之间的邓波尔的还原。因此,迪菲-赫尔曼问题接近离散对数问题。
此外,通过针对质数域大小选择最小的余因子,小子群攻击的风险可以进一步被最小化。在一些情况下,特殊结构甚至可以提供优于随机质数的计算效率优势。
另外,在以下描述的实施例中,质数的表示足够小以适合简单方程式,与其他质数相比,这有助于消除对质数被恶意选择的担忧。
现在参考图2,其示出了用于选择和使用质数域大小p的过程。图2的过程产生域大小p=h(b!+1)+1。
特别地,该过程在框210处开始并且进行到框212,在框212中使用针对生成元的质数阶q。通过使用1加上阶乘数b而生成质数阶q。对这种质数阶的使用创建了罕有的质数阶,因为以b!+1形式的阶乘质数非常罕有。
在一些实施例中,在框212处,可以做出选择以确保q足够大以为应用提供足够的加密安全性,而不会产生太大而无法有效地被计算的数。
如本领域技术人员将理解的,n!是前n个正整数的乘积。具体地,n!=1*2*3*…*(n-1)*n。
在框212处,针对b的选择,各种选项是可能的。例如,针对质数阶q,b=399、b=427和b=872是可能的,因为在以b!+1的形式时,每种b的选择生成了质数。
通常,需要128位安全性的应用需要针对域大小p的位长在3000到4000位之间,以保护128个对称密钥
质数(399!+1)具有2887的位长,其针对一些应用可能是足够的,但针对要求128位安全性的应用可能是不足的。
质数(427!+1)具有3121的位长,因此,在将其乘以余因子后,位长p超过了当前被用于迪菲-赫尔曼域大小的常规3072位。
因为阶乘质数如此罕有,所以b的下一个值可以被认为是b=872。质数(872!+1)在7000到8000之间的位长,这对于一些应用而言可能很大。
从框212,过程接下来进行到框220,在框220中找到余因子h。特别地,在选择余因子h时,可以使用公式p=hq+1并且应当产生质数。如上所解释的,为了避免小子群攻击,余因子h应该相对较小。
在每种情况下,通过简单地尝试每个偶数h并且计算p=hq+1,然后测试p是否为质数来找到余因子h。根据质数定理,将要尝试的值h的预期数目,以及因此找到的第一个合适的h的大小是以千为量级。
如果将上面的b选择为427!,那么产生质数p的h的最小值是630。如果b被指定为872!,那么最小值余因子是1398,产生p=1398(872!+1)+1。
因此,在一个实施例中,在框212和220处的选择可以产生质数域大小p=630(427!=1)+1。
其他质数p可以通过用较大的余因子h替换630而被考虑,但是在一些实施例中可能是不必要的。例如,考虑其他余因子的一个原因是如果h=630的原始值p在某种程度上易受特殊数域筛法的影响。假设较大的余因子值不容易受到影响,则可以进行选择。然而,如果p的原始值和较大的值将通过简单的关系线性相关,则这表明特殊数域筛法将对两个余因子几乎均等地起作用,因此,仅存在很小的机会发生h的这种些微增加的值将防止特殊数域筛法脆弱性。换言之,针对给定的q,在一个实施例中,可以选择构成质数的h的最小值。
选择质数域大小p=h(b!+1)+1解决了上面所确定的问题,即使用这种域大小的密钥协议对戈登的攻击和特殊数域筛法具有抵抗性,离散对数问题和迪菲-赫尔曼问题的相关性很接近,密钥协议对针对离散对数问题的秘密算法具有抵抗性,并且使用这种域大小的密钥协议还对小子群攻击的威胁具有抵抗性。
具体地,出于两个原因,对特殊数域筛法的戈登攻击的隐藏脆弱性的风险被最小化。如以上针对戈登对其攻击的原始对策所述的,该原始对策是常规的NUMS论证,由于可以以非常压缩的形式来呈现域大小,因此可以防止攻击。本公开的实施例通过以p=h(b!+1)+1的小规格的形式来使用较大的压缩来改进NUM论证。
另外,将阶乘表示为方幂和的一般方法将导致因子分解算法。例如,为使n=rs为质数s的因数,令m为接近n的平方的整数,这很容易找到。那么m在r和s之间。如果m!被写为方幂和,则试图减小m!模n是可以完成的,因为可以通过平方和乘法算法来有效地减少幂。一旦减少的m!和n的最大公约数(gcd)被找到,则公因子将是n的较小因子。
因为因子分解被认为很难,所以应当没有将阶乘重写为简单的方幂和的一般方法。因此,诸如630(427!+1)+1的数不太可能被写成小的幂的和,这使得其不太可能被特殊数域筛法影响。
p=h(b!+1)+1的使用还解决了对以低概率影响随机质数的一些其他秘密攻击进行操纵的风险。这是由于方程的非常紧凑的形式,并且意味着引起搜索的搜索信息不太可能被嵌入到紧凑的方程中。另外,b!+1是质数的特殊性质使得其比其紧凑表示可能暗示的更罕有,这同样使得其不太可能受到特殊数域筛法的影响。
如果迪菲-赫尔曼方案被认为是安全的,则迪菲-赫尔曼问题和离散对数之间的难度应当仅存在很小的差距。域大小p=h(b!+1)+1降低了迪菲-赫尔曼问题和离散对数问题之间的差距的风险,因为其满足邓波尔条件。具体地,数q-1=b!是小数字的乘积,因此适用邓波尔的证明。大多数随机质数永远不会具有这样强的证明表明存在很小的差距。
在小余因子h的情况下,与q相比,上述实施例中的余因子非常小。3000位秘密中最多可能泄漏10位,并且抵御小子群攻击的余因子方法相对低廉,花费不到运行时间的约1%。
另外,上述实施例提供了如下优点,与随机质数相比,h(b!+1)+1的二进制展开在其二进制展开中具有重复位的强模式。特别地,如果使用630(427!+1)+1,则二进制展开具有411个连续的零位的序列。这些模式可以引起稍快的运算。具体地,由于归因于p中的重复位,使得执行约减mod p所需的工作的部分变得不必要,因此可以大大加快模约减的速度。例如,在蒙哥马利模约减中,步骤中的一步是乘以p。如果p中的许多连续位是零或者一,则与随机p相比,可以加速与p的相乘。加速可能很轻微,但是仍然可测量。另外,与作为方幂和的其他特殊质数不同,较快的算法可以不降低安全性。
附录A以根据本公开的实施例所描述的形式示出了用于搜索质数的代码。
再次参考图2,过程从框220进行到框230,在框230中域大小p被用于迪菲-赫尔曼密钥交换。然后,该过程进行到框250并且结束。
现在参考图3,其示出了执行迪菲-赫尔曼密钥交换的通信方A和通信方B。窃听者330监听两个通信方之间的通信。
根据以上公开,通信方A和通信方B的计算设备上的软件将使用域大小p。各自可以已经知晓质数模数,或者可以在两个通信方之间的链路12上交换质数域大小。
另外,整数g可以在通信方A或者B的计算设备处是已经知晓的,或者可以被交换,例如,如消息340中所示。
一旦双方都知晓g,则通信方A可以创建gx,并且通信方B可以生成gy,其中x和y分别是通信方A和B的私钥。
通信方A在消息350中向通信方B发送A=gx,并且通信方B在消息352中向通信方A发送B=gy。其后,通信方A可以计算z=bx=gxy,并且通信方B可以计算w=Ay=gxy。因此,两个通信方A和B将具有共享的密钥,该共享的密钥可以被用于加密和解密两方之间的通信。
以上可以使用任何计算设备来实现。例如,关于图4,提供了简化的计算设备。
在图4中,设备410包括处理器420和通信子系统430,其中处理器420和通信子系统430协作以执行上述实施例的方法。
处理器420被配置为执行可编程逻辑,该可编程逻辑可以与数据一起被存储在设备410上,并且在图4的示例中被示为存储器440。存储器440可以是任何有形的、非瞬态计算机可读存储介质。计算机可读存储介质可以是有形的或者瞬态/非瞬态介质,诸如光学(例如CD,DVD等)、磁性(例如,磁带)、闪存驱动器、硬盘驱动器或者其他本领域已知的存储器。
备选地,或者除了存储器440之外,设备410可以例如通过通信子系统430来访问来自外部存储介质的数据或者可编程逻辑。
通信子系统430允许设备410与其他设备或者网络元件进行通信。
在一个实施例中,设备410的各种元件之间的通信可以通过内部总线460。但是,其他形式的通信是可能的。
本文所描述的并且在附图中所示出的特定实施例的结构、特征、附件和备选方案旨在一般地应用于本公开的所有教导,包括本文所描述和示出的所有实施例,只要它们是兼容的。换言之,除非特别指出,否则特定实施例的结构、特征、附件和备选方案不旨在仅限于该特定实施例。
此外,本领域技术人员将认识到本公开的附加的特征和优点。
本文所描述的实施例是具有与本申请的技术的要素相对应的要素的结构、系统或者方法的示例。本书面描述可以使得本领域技术人员能够制造和使用具有与本申请的技术的要素同样对应的备选要素的实施例。因此,本申请的技术的预期范围包括与本文所描述的本申请的技术没有不同的其他结构、系统或者方法,并且还包括与本文所描述的本申请的技术没有实质性差异的其他结构、系统或者方法。
附录A
用于搜索质数的代码
/>
/>
Claims (15)
1.一种用于迪菲-赫尔曼密钥交换的方法,所述方法包括:
选择域大小p,所述域大小p的格式为p=hq+1,其中q是1加上阶乘数b的质数,以使得q=(b!+1),并且h是使得p=hq+1是质数的余因子;
选择生成元整数g,所述生成元整数g的阶模p是所述质数q或者能够被q整除;
选择私钥x;
通过求所述生成元g的所述私钥x次幂,对所述域大小p使用算数模运算,来计算公钥gxmod p;
向通信方发送所述公钥gx mod p;
从所述通信方接收第二公钥B,所述第二公钥B包括形式为gy的g的第二私钥y次幂,所述第二私钥y是由所述通信方选择的;以及
通过求所述第二公钥B的所述私钥x次幂,对所述域大小p使用算数模运算,来从接收到的所述第二公钥B创建密钥Bx,
其中所述密钥Bx被用于加密和解密与所述通信方的电子通信。
2.根据权利要求1所述的方法,其中b被选择为使得质数阶超过最小阈值大小。
3.根据权利要求2所述的方法,其中所述最小阈值大小是3000位。
4.根据权利要求3所述的方法,其中b被选择为427。
5.根据权利要求4所述的方法,其中h被选择为630,以产生p=630(427!+1)+1。
6.根据权利要求3所述的方法,其中b被选择为872。
7.根据权利要求6所述的方法,其中h被选择为1398,以产生p=1398(872!+1)+1。
8.一种被配置用于迪菲-赫尔曼密钥交换的计算设备,所述计算设备包括处理器,所述处理器被配置为:
选择域大小p,所述域大小p的格式为p=hq+1,其中q是1加上阶乘数b的质数以使得q=(b!+1),并且h是使得p=hq+1是质数的余因子;
选择生成元整数g,所述生成元整数g的阶模p是所述质数q或者能够被q整除;
选择私钥x;
通过求所述生成元g的所述私钥x次幂,对所述域大小p使用算数模运算,来计算公钥gxmod p;
向通信方发送所述公钥gx mod p;
从所述通信方接收第二公钥B,所述第二公钥B包括形式为gy的g的第二私钥y次幂,所述第二私钥y是由所述通信方所选择的;以及
通过求所述第二公钥B的所述私钥x次幂,对所述域大小p使用算数模运算,来从接收到的所述第二公钥B创建密钥Bx,
其中所述密钥Bx被用于加密和解密与所述通信方的电子通信。
9.根据权利要求8所述的计算设备,其中b被选择为使得质数阶超过最小阈值大小。
10.根据权利要求9所述的计算设备,其中所述最小阈值大小是3000位。
11.根据权利要求10所述的计算设备,其中b被选择为427。
12.根据权利要求11所述的计算设备,其中h被选择为630,以产生p=630(427!+1)+1。
13.根据权利要求10所述的计算设备,其中b被选择为872。
14.根据权利要求13所述的计算设备,其中h被选择为1398,以产生p=1398(872!+1)+1。
15.一种计算机可读介质,包括程序代码,所述程序代码在由计算设备的处理器执行时被配置用于迪菲-赫尔曼交换,所述程序代码使得所述计算设备:
选择域大小p,所述域大小p的格式为p=hq+1,其中q是1加上阶乘数b的质数以使得q=(b!+1),并且h是使得p=hq+1是质数的余因子;
选择生成元整数g,所述生成元整数g的阶模p是所述质数q或者能够被q整除;
选择私钥x;
通过求所述生成元g的所述私钥x次幂,对所述域大小p使用算数模运算,来计算公钥gxmod p;
向通信方发送所述公钥gx mod p;
从所述通信方接收第二公钥B,所述第二公钥B包括形式为gy的g的第二私钥y次幂,所述第二私钥y是由所述通信方选择的;以及
通过求所述第二公钥B的所述私钥x次幂,对所述域大小p使用算数模运算,来从接收到的所述第二公钥B创建密钥Bx,
其中所述密钥Bx被用于加密和解密与所述通信方的电子通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310997296.8A CN116865968A (zh) | 2017-03-27 | 2018-03-15 | 用于为有限域迪菲-赫尔曼选择安全质数的方法和系统 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/470,259 | 2017-03-27 | ||
US15/470,259 US10355859B2 (en) | 2017-03-27 | 2017-03-27 | Method and system for selecting a secure prime for finite field diffie-hellman |
PCT/CA2018/050313 WO2018176122A1 (en) | 2017-03-27 | 2018-03-15 | Method and system for selecting a secure prime for finite field diffie-hellman |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310997296.8A Division CN116865968A (zh) | 2017-03-27 | 2018-03-15 | 用于为有限域迪菲-赫尔曼选择安全质数的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110495134A CN110495134A (zh) | 2019-11-22 |
CN110495134B true CN110495134B (zh) | 2023-08-25 |
Family
ID=63583657
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880021774.9A Active CN110495134B (zh) | 2017-03-27 | 2018-03-15 | 用于为有限域迪菲-赫尔曼选择安全质数的方法和系统 |
CN202310997296.8A Pending CN116865968A (zh) | 2017-03-27 | 2018-03-15 | 用于为有限域迪菲-赫尔曼选择安全质数的方法和系统 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310997296.8A Pending CN116865968A (zh) | 2017-03-27 | 2018-03-15 | 用于为有限域迪菲-赫尔曼选择安全质数的方法和系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US10355859B2 (zh) |
EP (2) | EP3580890B1 (zh) |
KR (1) | KR102490702B1 (zh) |
CN (2) | CN110495134B (zh) |
CA (1) | CA3056150C (zh) |
WO (1) | WO2018176122A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11374740B2 (en) * | 2020-03-13 | 2022-06-28 | Infineon Technologies Ag | Controller area network key exchange |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5159632A (en) * | 1991-09-17 | 1992-10-27 | Next Computer, Inc. | Method and apparatus for public key exchange in a cryptographic system |
US5933504A (en) * | 1995-05-18 | 1999-08-03 | Certicom Corp. | Strengthened public key protocol |
EP0876028A3 (en) * | 1997-04-28 | 1999-12-22 | Eric Robert Verheul | A method for publicly verifiable recovery of Diffie-Hellman, RSA and Rabin related asymmetrical encryption |
US6892940B2 (en) * | 2003-04-07 | 2005-05-17 | Stmicroelectronics S.R.L. | Encryption process employing chaotic maps and digital signature process |
EP1467514B1 (en) * | 2003-04-07 | 2006-06-14 | STMicroelectronics S.r.l. | Encryption process employing modified chaotic maps and relative digital signature process |
US7076061B1 (en) * | 2000-02-07 | 2006-07-11 | Citibank, N.A. | Efficient and compact subgroup trace representation (“XTR”) |
JP2007052386A (ja) * | 2005-08-17 | 2007-03-01 | Kiki Mimori | 複素数及び行列による強化rsa系暗号 |
CN101099328A (zh) * | 2004-11-11 | 2008-01-02 | 塞尔蒂卡姆公司 | 定制的静态Diffie-Helman群 |
CN101336437A (zh) * | 2005-12-29 | 2008-12-31 | 雷吉菲公司 | 用于提供电子邮件消息的递送的通信系统 |
JP2010011478A (ja) * | 2009-08-24 | 2010-01-14 | Certicom Corp | 内在的署名を用いた鍵一致及び搬送方法 |
CN1666458B (zh) * | 2002-07-05 | 2011-08-24 | 法国电信局 | 在交易中促进计算的加密方法和设备 |
CN103283177A (zh) * | 2010-12-23 | 2013-09-04 | 莫雷加系统股份有限公司 | 与分段密钥一起使用的密码学模块及其使用方法 |
CN105580309A (zh) * | 2013-07-12 | 2016-05-11 | 皇家飞利浦有限公司 | 密钥协商设备和方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6151395A (en) * | 1997-12-04 | 2000-11-21 | Cisco Technology, Inc. | System and method for regenerating secret keys in diffie-hellman communication sessions |
KR100872817B1 (ko) * | 2006-12-07 | 2008-12-09 | 인하대학교 산학협력단 | 변형 디피 헬만 기반 키교환 방법 |
US7925011B2 (en) * | 2006-12-14 | 2011-04-12 | Intel Corporation | Method for simultaneous modular exponentiations |
CN102017510B (zh) | 2007-10-23 | 2013-06-12 | 赵运磊 | 自封闭联合知识证明和Diffie-Hellman密钥交换方法与结构 |
GB2547441B (en) * | 2016-02-17 | 2020-04-29 | Arm Ip Ltd | A method for mitigating a DOS attack on a device |
US20180091301A1 (en) * | 2016-05-06 | 2018-03-29 | ZeroDB, Inc. | Method and system for switching public keys in ciphertexts |
-
2017
- 2017-03-27 US US15/470,259 patent/US10355859B2/en active Active
-
2018
- 2018-03-15 CA CA3056150A patent/CA3056150C/en active Active
- 2018-03-15 KR KR1020197031203A patent/KR102490702B1/ko active IP Right Grant
- 2018-03-15 CN CN201880021774.9A patent/CN110495134B/zh active Active
- 2018-03-15 EP EP18774352.1A patent/EP3580890B1/en active Active
- 2018-03-15 EP EP20213366.6A patent/EP3809628B1/en active Active
- 2018-03-15 WO PCT/CA2018/050313 patent/WO2018176122A1/en unknown
- 2018-03-15 CN CN202310997296.8A patent/CN116865968A/zh active Pending
Patent Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5159632A (en) * | 1991-09-17 | 1992-10-27 | Next Computer, Inc. | Method and apparatus for public key exchange in a cryptographic system |
US5933504A (en) * | 1995-05-18 | 1999-08-03 | Certicom Corp. | Strengthened public key protocol |
EP0876028A3 (en) * | 1997-04-28 | 1999-12-22 | Eric Robert Verheul | A method for publicly verifiable recovery of Diffie-Hellman, RSA and Rabin related asymmetrical encryption |
US7076061B1 (en) * | 2000-02-07 | 2006-07-11 | Citibank, N.A. | Efficient and compact subgroup trace representation (“XTR”) |
CN1666458B (zh) * | 2002-07-05 | 2011-08-24 | 法国电信局 | 在交易中促进计算的加密方法和设备 |
US6892940B2 (en) * | 2003-04-07 | 2005-05-17 | Stmicroelectronics S.R.L. | Encryption process employing chaotic maps and digital signature process |
EP1467514B1 (en) * | 2003-04-07 | 2006-06-14 | STMicroelectronics S.r.l. | Encryption process employing modified chaotic maps and relative digital signature process |
EP1815635B1 (en) * | 2004-11-11 | 2013-09-25 | Certicom Corp. | Custom static diffie-hellman groups |
CN101099328A (zh) * | 2004-11-11 | 2008-01-02 | 塞尔蒂卡姆公司 | 定制的静态Diffie-Helman群 |
US8588409B2 (en) * | 2004-11-11 | 2013-11-19 | Certicom Corp. | Custom static Diffie-Hellman groups |
JP2007052386A (ja) * | 2005-08-17 | 2007-03-01 | Kiki Mimori | 複素数及び行列による強化rsa系暗号 |
CN101336437A (zh) * | 2005-12-29 | 2008-12-31 | 雷吉菲公司 | 用于提供电子邮件消息的递送的通信系统 |
US8949601B2 (en) * | 2005-12-29 | 2015-02-03 | Regify Ag | Communication system for providing the delivery of e-mail message |
JP2010011478A (ja) * | 2009-08-24 | 2010-01-14 | Certicom Corp | 内在的署名を用いた鍵一致及び搬送方法 |
CN103283177A (zh) * | 2010-12-23 | 2013-09-04 | 莫雷加系统股份有限公司 | 与分段密钥一起使用的密码学模块及其使用方法 |
CN105580309A (zh) * | 2013-07-12 | 2016-05-11 | 皇家飞利浦有限公司 | 密钥协商设备和方法 |
Non-Patent Citations (1)
Title |
---|
Implementation of Diffie-Hellman key exchange on wireless sensor using elliptic curve cryptography;Samant Khajuria ect.;《2009 1st International Conference on Wireless Communication, Vehicular Technology, Information Theory and Aerospace & Electronic Systems Technology》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
EP3580890B1 (en) | 2020-12-16 |
CA3056150A1 (en) | 2018-10-04 |
CN110495134A (zh) | 2019-11-22 |
EP3809628A1 (en) | 2021-04-21 |
KR20190127915A (ko) | 2019-11-13 |
US20180278416A1 (en) | 2018-09-27 |
CN116865968A (zh) | 2023-10-10 |
KR102490702B1 (ko) | 2023-01-19 |
EP3580890A1 (en) | 2019-12-18 |
EP3580890A4 (en) | 2020-01-08 |
WO2018176122A1 (en) | 2018-10-04 |
US10355859B2 (en) | 2019-07-16 |
EP3809628B1 (en) | 2022-08-24 |
CA3056150C (en) | 2024-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Boneh | Twenty years of attacks on the RSA cryptosystem | |
Abroshan | A hybrid encryption solution to improve cloud computing security using symmetric and asymmetric cryptography algorithms | |
Segar et al. | Pell's RSA key generation and its security analysis | |
US8189775B2 (en) | Method of performing cipher block chaining using elliptic polynomial cryptography | |
JP5690465B2 (ja) | カスタム静的ディフィ−ヘルマン(Diffie−Hellman)群 | |
EP3566385A1 (en) | Homomorphic white box system and method for using same | |
JP2008252299A (ja) | 暗号処理システム及び暗号処理方法 | |
Sengupta et al. | Message mapping and reverse mapping in elliptic curve cryptosystem | |
JP2020510879A (ja) | 楕円曲線点乗算デバイス及び方法 | |
US20110200186A1 (en) | Method of cipher block chaining using elliptic curve cryptography | |
JP7155173B2 (ja) | 外部監視攻撃からモジュラーインバージョン演算を保護すること | |
US9590805B1 (en) | Ladder-based cryptographic techniques using pre-computed points | |
Fanfara et al. | Usage of asymmetric encryption algorithms to enhance the security of sensitive data in secure communication | |
CN110495134B (zh) | 用于为有限域迪菲-赫尔曼选择安全质数的方法和系统 | |
EP3166013B1 (en) | Modular exponentiation using randomized addition chains | |
Lone et al. | Common attacks on RSA and its variants with possible countermeasures | |
Subashri et al. | Confidentiality of VoIP data using efficient ECDH key exchanging mechanism | |
Somsuk | The alternative Method to Finish Modular Exponentiation and Point Multiplication Processes | |
Gómez Pardo et al. | Introduction to Public-Key Cryptography: The Diffie–Hellman Protocol | |
Haraty et al. | Attacking ElGamal based cryptographic algorithms using Pollard's rho algorithm | |
Su et al. | A new non-MDS hash function resisting birthday attack and meet-in-the-middle attack | |
Bansal et al. | Some Insightful Attacks on the RSA Cryptosystem | |
Shukla et al. | A Comparative analysis of the attacks on public key RSA cryptosystem | |
Ahmed et al. | Public Key Cryptography Algorithm Using Binary Manipulation and Chinese Remainder Theorem | |
Banerjee et al. | Deterministic and Probabilistic Approach in Primality Checking for RSA Algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |