CN1902853A

CN1902853A - 一种公开密钥的可验证生成的方法和设备

Info

Publication number: CN1902853A
Application number: CNA2004800392835A
Authority: CN
Inventors: 丹尼尔·R·布朗
Original assignee: Certicom Corp
Current assignee: Ot Patent Trusteeship Co ltd
Priority date: 2003-10-28
Filing date: 2004-10-28
Publication date: 2007-01-24
Anticipated expiration: 2024-10-28
Also published as: CN102868528A; CN102868528B; EP1687931A4; WO2005043807A1; JP2013140402A; US20160248735A1; US9160530B2; JP5468157B2; JP5497677B2; US8713321B2; US20130013916A1; US9240884B2; US20140325227A1; CA2543796C; CA2543796A1; JP2011091868A; US9967239B2; US20050135606A1; EP1687931B1; JP4741503B2

Abstract

本发明提供了一种公开密钥可验证生成的方法。根据本方法，首先生成自签签名并且然后把自签签名作为生成一对私有密钥和公开密钥的输入。签名的验证证明了密钥是利用签名从密钥生成过程生成的。认证中心确认和验证从可验证密钥生成过程产生的公开密钥。

Description

一种公开密钥的可验证生成的方法和设备

技术领域

本发明涉及一种公开密钥的可验证生成的方法和设备。

背景技术

当在运行在公共网络的通信系统中进行通信时，为了确保通信的安全经常使用密码技术。密码术分别通过加密和数字签名的方式提供保密和/或认证。在公开密钥密码系统中，用户的密钥包括私有密钥和算数相关的公开密钥。仅仅给定公开密钥来确定私有密钥是不可行的。可以公布用于所有实体的公开密钥或在通信系统中把公开密钥传送给其它的通信单元。

公开密钥的公认的好的实例包括公开密钥确认(PKV)和对相关私有密钥进行的所有权验证(POP)。这些实例都被认为是非常有用的测试，可以阻止公开密钥的潜在的滥用。

公开密钥确认包括为了与公共密钥的类型一致而对假设的公开密钥进行测试。这些测试可能需要或不需要相关的私有密钥的所有者的参与。如果各种其它的安全措施到位的话，公开密钥确认有助于保证假设的公开密钥的使用是安全的。

所有权验证包括一方向另一方证明它知道与给定公开密钥相关联的私有密钥。这经常通过提供依赖于私有密钥的数字签名来完成。签名的成功确认证明知道私有密钥。

公开密钥确认和所有权验证均未排除(a)私有密钥被盗或(b)私有密钥可通过不充足的随机性生成的可能性。当密钥被盗时，可能会促成身份盗窃、公开密钥盗窃和类似的不期望的欺诈行为。在计算机中不充分的随机性是一个普遍的问题，尤其智能卡和其它受限设备。不充分的随机性会导致私有密钥可猜测或复制，这将非常严重地破坏安全性。

本发明的目的是排除或减轻上述的缺点。

发明内容

发明者已经开发出一种执行“可验证密钥生成”的方法，使用该方法，第一方可以通过一种方式生成密钥对，该方式允许其它方确认第一方实际生成了密钥而不是盗用该密钥。受信任的认证也可以参与可验证密钥生成过程以密钥对的形式提供附加的随机性。

发明者意识到可验证的密钥生成有助于排除上述密钥被盗的和随机度不充足的可能性。

在本发明的一个方面中，提供了一种公开密钥可验证密钥生成的方法。根据该方法，首先生成自签签名并且然后作为一对私有密钥和公开密钥生成的输入。签名确认证明密钥是利用签名从密钥生成过程生成的。

公共密钥确认(PKV)、所有权验证(POP)和可验证密钥生成典型地使用在公开密钥认证的过程中。在认证中，对象，即用户或请求者，向发行者或认证中心(CA)请求证书。该对象产生密钥对，可能在CA的帮助下以获得充分的随机性。对象还可以产生对于确认公开密钥和对于验证密钥的生成有用的附加信息。然后对象签署公开密钥或签名消息以形成所谓的认证请求，并且将其与其它信息一起发送给CA。CA确认对象的身份，验证在认证请求中的签名，确认公开密钥和验证密钥对的生成。一旦CA被满足，则发行认证。

可验证密钥生成的一个实施例是建立在现有的数字签名技术之上的。自签签名定义为被签名的消息，并且消息本身包含签名的拷贝。本发明包括一种同时产生自签签名和密钥对的方法，通过自签签名的验证保证密钥对是生成的(即不是盗得的)。

如果受信任的机构在消息中加入一些随机性，则保证了充分的随机性。为了提高密钥对所有者的安全性，签名验证可以用salt和长时间的计算来修改以帮助防止随机性的密钥对所有者对密钥对的过度的搜寻。

附图说明

在下面结合附图进行的详细的描述中，本发明的优先实施例的上述特点和其它特点会变得显而易见，其中

图1是通信系统的原理示意图；

图2是在图1所示的通信系统中执行的密钥生成过程的流程图；

图3是在图2所示的步骤变换的流程图；

图4是在图2所示的通信系统中执行的密钥生成方法的另一个实施例的流程图；

图5是在图2所示的通信系统中执行的密钥生成方法的又另一个实施例的流程图；

图6是与由图5所示的方法生成的密钥一起使用的确认方法的流程图；

图7是由图1所示的认证中心执行的方法的原理示意图。

具体实施方式

参考图1，通常数字10表示通信系统。该通信系统包括一对通信单元12、14以及一个认证中心16。每个通信单元12和14都有各自的用于执行密码操作的密码单元18和20。通信单元12具有一个私有密钥22和一个对应的公开密钥24。认证中心16发行证书26，证书26如下面进一步描述的那样证明公开密钥24。如下面将要描述的，为了向通信单元14提供公开密钥24和密码保证，可以与通信单元14共享证书26。

图1中的通信单元执行大量的密码协议以获得不同的加密目的，尤其是生成私有密钥22、公开密钥24和证书26。

“自签签名”和“可验证的密钥生成”

通信单元执行下面的方法，该方法生成基于不同数字签名算法，比如DSA和ECDSA算法，的“自签签名”。为了方便，根据ECDSA描述该方法。

参考图2，通常数字50表示由通信单元12执行的生成自签签名的方法。按照ECDSA程序，首先选择位于定义在Z_p之上的椭圆曲线上的序列n的点G。在此，n为一个大质数。在步骤52，通信单元12在区间[0，n-1]内随机选择一个整数k。然后通信单元在步骤54计算椭圆曲线点R＝kG。在此，R称为签名短暂公开密钥，k称为短暂私有密钥。

签名数据(r，s)包含两个整数，r和s。在步骤56把对应于椭圆曲线点R的整数值赋给整数r。应该理解，可以采用许多方法把椭圆曲线点R转换成一个整数，包括由ECDSA指定的方法。在步骤58通信单元在区间[0，n-1]内优选地随机选择一个整数s。

然后，在步骤60获得预消息数据m₀。预消息数据m₀可为任意消息数据。预消息数据可为要被签署的消息。预消息数据可以包括与可验证密钥的所有者有关的信息。还可包括从外部资源接收到的信息，比如由认证中心提供的以促成结果密钥对的随机性。然后在步骤62通信单元把预消息数据m₀和签名数据(r，s)合并到自签签名消息m中，例如通过连接的方式。

在步骤64通信单元计算信息摘要e＝Hash(m)，此处该函数Hash是一个加密散列函数，其给出一个整数结果。在步骤66通信单元利用公式d＝(sk-e)/r mod n由信息摘要e计算私有密钥。在步骤68利用公式Q＝dG由私有密钥的值计算公开密钥。应该注意，对于私有密钥d还可以利用上面的公式把公开密钥表示成Q＝(1/r mod n)(s R-e G)。

总之，上面所描述的方法包括以下步骤：

1.选择某个整数k(例如从区间[0，n-1]随机选取)。

2.计算椭圆曲线点R＝kG，签名短暂公开密钥。

3.把R转换为整数r。

4.选择某整数s(例如从区间[0，n-1]随机选取)。

5.获取某预消息数据m₀(其可以包含来自外部资源的信息，例如随机性)。

6.把预消息m₀和签名数据(r，s)合并到消息m(例如，通过连接的形式)。

7.以整数的形式计算信息摘要e＝Hash(m)。

8.计算私有密钥d＝(s k-e)/r mod n.

9.计算公开密钥Q＝dG。(可选择地，Q＝(1/r mod n)(s R-e G).)

如果把ECDSA验证算法应用到三元数组或三元组(m，(r，s)，Q)，验证算法的结果是三元组为一个有效的签名。由于已被签署的消息m包含签名(r，s)，签名是“自签签名”。

给定另一方的一个已经存在的公开密钥Q，得到一个新的自签签名等同于伪造签名，这被认为是不可行的。而且，甚至使用先前存在的私有密钥d，设想对手欲窃取私有密钥，得到一个新的自签签名是不可行的，因为自签签名的产生导致一个新私有密钥，其几乎肯定不会是旧私有密钥。

因此，自签签名组成了“可验证的密钥生成”。按照ECDSA验证算法，签名验证证明使用上面的密钥产生过程并且排除了私有密钥为盗得的或从另外资源再生的可能性。

具有可验证的随机性的密钥产生

在利用自签签名的可验证密钥的产生中，消息m₀影响密钥对的值，并且通过提供部分消息，一个可被信任的机构，比如认证中心，可以将密钥对的随机性补充到一个足够满足期望的安全水平所需要的程度。如果密钥对的所有者在生成随机性的能力上受限，这将会尤其有用。

可被信任的机构生成数据t，密钥对生成器将其包含进m₀内。数值t根据所期望的安全水平包含充分的随机性。

数值t应该被安全地传送给密钥对生成器，因为密钥对的安全性在某种程度上取决于数值t。安全地传送数值t也就是保密地和准确地传送数值t。

一种准确地传送数值t的方法是使数值t包含一个数字签名。密钥对生成器可以验证签名以保证它来源于可被信任的机构。(如果t来源于对手，安全性会被相当大地削弱。)一般数字签名也提供必要的随机性，因为它取决于被信任的机构的私有密钥。如果使用概率签名算法，如ECDSA算法，则可以给出更多的随机性。因此，对t值来说，整个地由数字签名构成是足够的。为t值签署的消息可以为来自权威和密钥生成器的消息的组合。

可以通过不同的方式实现t数值的保密传送。假如能建立一个安全信道，可以采用加密术。密钥对生成器可以产生临时会话密钥并且利用权威的公开密钥把会话密钥安全地传送给可信任的机构。从该密钥可验证地生成的临时公开密钥的独立性是重要的。

代表性地，可信任的机构还可以是CA，并且利用一些非加密的方法鉴别密钥对生成器。

因此参考图3，附图标记70通常表示提供预消息m₀的方法。首先，在步骤72通信单元请求与来自认证中心的密钥生成有关的信息。响应该请求，在步骤74认证中心产生消息。如上面所提到的，消息可以由认证中心单独生成或可能是来自通信单元和认证中心的消息组合。当采用组合时，在步骤72所做的请求包括来自通信单元包含在认证中心消息中的消息。

然后在步骤76认证中心用本身的密钥签署消息以获得CA签名。在步骤78把CA签名通过安全信道发送给通信单元。可以通过如上面所描述的加密术获得安全信道。然后，通信单元使用签名作为预消息数据m₀。然后通信单元利用在步骤60使用的签名采用图2所示的方法生成一个密钥对和自签签名。

保护密钥对生成器的弱保密性

如果密钥对生成器对于可验证的密钥生成使用自签签名并且在图2所示的方法中生成的密钥值k是不充分随机的，则产生了下面的安全问题。如在下面将结合图4详细说明的，通过对在自签签名中使用的ECDSA算法的稍微修改，可以减轻安全问题。

安全问题是，如果对方能猜到k并且如果对方是可信任的机构或另一个希望验证密钥的产生的用户，具有r、s和m的拷贝，则对手可以使用与密钥对生成器所使用的相同的公式恢复私有密钥。

为了使对k做穷举的猜想尽可能地困难，如图4所示，对图2所示的方法做了修改。图4方法中的步骤与图2中的步骤类似。

在步骤92中，通信单元12在区间[0，n-1]随机地选择一个整数k。然后通信单元计算椭圆曲线点R＝kG，在步骤94中称为签名短暂公开密钥。

在步骤96中，通信单元计算r＝Hash(A‖R‖A‖R‖...‖A‖R)，其中，可以把重复的数量做到如期望和便利的那样多，并且“‖”表示比特串的串连。重复的数量越多，所做的计算就越长。K的每个猜想值需要r的一个计算值。因此，长时间的计算逼迫企图猜测k值的对手做更多的工作。因此，优选的重复数量是通信单元和CA能够承受的最大值。数值A为salt值，并且对密钥对生成器是唯一的。Salt保证从k到r函数对密钥对生成器是唯一的，这样可以防止对手建立一个计算值词典，该计算值词典对不同的密钥对生成器是可重复使用的。

在步骤98中通信单元在区间[0，n-1]随机地选择一个整数s。然后，在步骤100获得预消息数据m₀。预消息数据m₀可以包含随机性以促成结果密钥对。然后，在步骤102中通信单元连接预消息数据m₀和签名数据(r，s)到消息m中。在步骤104中通信单元计算信息摘要e＝Hash(m)，此处Hash函数是加密散列函数，其给出整数结果。在步骤106通信单元计算私有密钥d＝(sk-e)/r mod n，并且在步骤108计算公开密钥Q＝d G。需要注意地是公开密钥还可以利用上面的求公开密钥d的公式表达为Q＝(1/r mod n)(s R-e G)。

其它通信单元或认证中心可以验证修改过的自签签名。首先，验证者计算椭圆曲线点R′＝(1/s mod n)(e G+rQ)，这是ECDSA验证流程的一部分。在此需要消息m的拷贝和公开密钥Q。验证者需要salt A和密钥对生成器用于计算r的重复数量。然后验证者计算r′＝Hash(A‖R′‖A‖R′‖...‖A‖R′)。如果r′＝r，则验证者接收签名，否则验证者拒绝签名。

其他非常长的计算也是必要的以阻止对手穷举地猜测k。对手可以使用公式d＝(s k-e)/r mod n来获取私有密钥，并且知道公共密钥Q从而可以核查k的猜测值，因此可以获得私有密钥d。为了减缓这个猜测k值的方法，消息m可以选取为m＝r‖s‖t‖r‖s‖t‖...‖r‖s‖t的形式。于是根据e＝Hash(m)对e的计算需要花费很长的时间，而且必须对每个k值的猜测分别进行计算。m消息的形式不需要对所使用的数字签名算法做更进一步的修改。

这两种结合的方法有助于对产生t的受信任的机构和任何其它获得了m、r、s和Q的一方，比如想要验证独立于被信任中心的Q的产生的其它方，保护密钥对所有者的隐私。

一种可选的使用自签签名的方法

在如图5所示的另一个实施例中，通信单元执行产生散列求幂三元组(m，R，Q)的方法，该散列求幂三元组由某些消息m、种子或短暂公开密钥R和公开密钥Q组成。此为使用ECDSA签名的一种替换方法。为了便利，该方法被描述为椭圆曲线(EC)公开密钥法。通常以附图标记110表示该方法。

首先在步骤112中通信单元在区间[0，n-1]内选择整数k。然后，在步骤114中通信单元计算椭圆曲线点R＝kG以被用作种子公开密钥。在步骤116，计算整数形式的信息摘要f＝SHA-1(m，R)。然后，在步骤118计算私有密钥d＝kf并且在步骤120计算公开密钥Q＝fR。

在接收到散列求幂三元组(m，R，Q)的基础上，接收者可以使用图6中附图标记130所示的方法验证三元组。首先，在步骤132验证者计算整数形式的信息摘要f＝SHA-1(m，R)。然后，在步骤134验证者计算T＝fR并且在步骤136核查Q＝T。当Q＝T时，验证者接收散列求幂三元组。否则，作为无效被拒绝。

可以意识到，散列求幂三元组具有与自签签名类似的特性并且可以以类似的方式起作用。

使用可验证密钥生成进行的通信

在图1所示的系统中的有代表性的通信会话中，系统的用户或通信单元12首先发起与认证中心14的通信以获得证书26。这种情况下，通信单元12被称为证书的“对象”。参考图7，在步骤152认证中心为对象提供一个输入以提供随机性。例如，由认证中心提供的输入可以是认证中心的签名。在步骤154对象生成一个密钥对并且在步骤156形成一个证书请求。证书请求由对象使用对象的自签签名签署。例如，证书请求可以是对象的已被签名的公开密钥或简单地对象的自签签名。对象发送证书请求和公开密钥给认证中心。对象还可以与证书请求和公开密钥一起发送一些其它的信息，比如对象名称。在收到证书请求和公开密钥(并且可能会有其它信息)的基础上，在步骤158认证中心首先确认对象的身份。然后在步骤160CA可能会确认在证书请求中的签名。在步骤162CA验证公开密钥，其包含一个测试集合以保证公开密钥是“有效的”。然后在步骤164中CA验证密钥对的产生。上面详细地描述了验证。如果公开密钥通过了执行的每个测试，则在步骤166中CA发行一个证书。证书包括与信息有关的CA的数字签名，其包含对象的身份和公开密钥。

如果发行证书的CA执行了公开密钥确认和密钥生成验证，则证书有助于向证书的另一个用户及其公开密钥保证，该公开密钥是有效的、不是盗得的，并且具有充分的随机性。如果证书的其它用户不充分地信任发行的CA，则用户可以要求察看附加的信息，所述信息允许用户直接执行公开密钥确认和密钥生成验证。

现在已详细地描述本发明的各种具体实施例。本领域技术人员应该理解，不背离本发明的范围可以对实施例做大量的修改、改写和变更。由于对上面所描述的最好的实施例的修改或添加不会背离本发明的原理、本质和范围，本发明不会局限于所述细节而是仅仅取决于所附的权利要求。

Claims

1.一种生成私有密钥和公开密钥对的方法，所述方法包括以下步骤：

生成签名；

利用数据消息和所述签名形成自签签名消息；

利用所述自签签名消息计算所述私有密钥和公开密钥对；

其特征在于，所述公开密钥可利用所述签名和所述自签签名消息进行验证。

2.根据权利要求1所述的方法，其还包括步骤：

从认证中心接收所述数据消息；

其特征在于，所述数据消息包括随机性。

3.根据权利要求2所述的方法，其还包括步骤：

向所述认证中心发送请求消息；以及

经过安全通道从所述认证中心接收所述数据消息；

其特征在于，所述认证中心利用所述请求消息生成所述数据消息并且所述数据消息被签有所述认证中心的私有密钥。

4.根据权利要求1所述的方法，其特征在于，在DSA签名算法的基础上产生所述签名和所述密钥对。

5.根据权利要求1所述的方法，其特征在于，在ECDSA签名算法的基础上产生所述签名和所述密钥对。

6.根据权利要求1所述的方法，其特征在于，所述签名包括一个整数，并且产生所述签名的步骤包括以下步骤：

生成短暂公开密钥；

提供salt值；

为预定次数的所述salt值和所述短暂公开密钥的联结的重复计算hash值；以及

为所述整数分配所述hash值的整数值。

7.根据权利要求1所述的方法，其特征在于，所述签名包括一个整数，并且生成签名的步骤包括以下步骤：

选择短暂私有密钥，所述短暂私有密钥是一个随机选取的整数；

通过所述短暂私有密钥计算签名短暂公开密钥，所述签名短暂公开密钥为所述短暂私有密钥和椭圆曲线点的乘积；以及

为所述整数分配一个与所述签名短暂公开密钥对应的整数值。

8.根据权利要求1所述的方法，其特征在于，所述签名包括一个整数，并且形成所述自签签名消息的步骤包括把所述数据消息和所述签名连接成所述自签签名消息的步骤，并且所述的计算所述公开密钥和私有密钥对的步骤包括：

通过所述自签签名消息的整数hash值计算信息摘要；

通过所述签名和所述信息摘要计算所述私有密钥；以及

通过所述私有密钥计算所述公开密钥。

9.一种同时生成自签签名和私有密钥d和公开密钥Q的密钥对的方法，所述方法包括以下步骤：

选择一个短暂私有密钥k，所述短暂私有密钥为比一个质数n小的非负数；

通过所述短暂私有密钥k计算签名短暂公开密钥，所述签名短暂公开密钥为所述短暂私有密钥和椭圆曲线点G的乘积；

为第一签名整数r分配一个与所述签名短暂公开密钥对应的整数值；

选择一个第二签名整数s，所述第二签名整数为比所述质数n小的非负整数，所述第一签名整数和所述第二签名整数形成一个签名；

通过数据消息和所述签名形成自签签名消息；

通过所述自签签名消息的整数hash值计算信息摘要；

使用公式d＝(sk-e)/r mod n计算所述私有密钥；以及

使用公式Q＝dG计算所述公开密钥Q。

10.根据权利要求9所述的方法，其特征在于，设置整数值的步骤包括以下步骤：

提供salt值；

为预设次数的所述salt值和所述签名暂时公开密钥的组合的重复计算hash值；以及

为所述第一签名整数r分配所述hash值的整数值。

11.一种用于存储可在计算机上执行的程序的计算机可读介质，所述程序执行如权利要求9所述的方法。

12.一种通过私有密钥消息和三元数组消息产生短暂公开密钥和公开密钥的方法，所述方法包括以下步骤：

选择一个短暂私有密钥，所述短暂私有密钥为整数；

通过所述短暂私有密钥计算所述短暂公开密钥，所述短暂公开密钥为所述短暂私有密钥和椭圆曲线点的乘积；

通过所述消息的整数hash值和所述短暂公开密钥计算信息摘要；

通过所述短暂私有密钥和所述信息摘要计算所述私有密钥；以及

通过所述私有密钥和所述短暂公开密钥计算所述公开密钥。

13.一种用于存储可在计算机上执行的程序的计算机可读媒质，所述程序执行一种同时生成自签签名和一对私有密钥和公开密钥的方法，所述程序促使计算机：

生成签名；

通过数据消息和所述签名形成自签签名消息；以及

通过所述自签签名消息计算所述私有密钥和公开密钥对；其特征在于，所述公开密钥可通过所述签名和所述自签签名消息进行验证。

14.一种用于存储可在计算机上执行的程序的计算机可读媒质，所述程序执行一种通过私有密钥消息和三元数组消息产生短暂公开密钥和公开密钥的方法，所述程序促使计算机：

选择一个短暂私有密钥，所述短暂私有密钥是随机选择的整数；

通过所述私有密钥和所述短暂公开密钥计算所述公开密钥。

15.一种通过认证中心验证公开密钥的方法，所述方法包括以下步骤：

接收一个确认请求和来自请求者的所述公开密钥，所述确认请求为请求者使用自签签名签署的消息；

基于所述自签签名验证所述公开密钥；以及

在成功验证所述自签签名的基础上发行所述公开密钥的证书。

16.根据权利要求15所述的方法，其还包括步骤：

验证包含在所述认证请求中的所述自签签名，其特征在于，所述的证书的发行以所述自签签名的成功验证为条件。

17.根据权利要求15所述的方法，其还包括步骤：

通过使所述公开密钥经受预设的测试集合来确定公开密钥，其特征在于，所述的证书的发行以所述公开密钥的成功验证为条件。

18.根据权利要求15所述的方法，其还包括步骤：

在接收所述认证请求的步骤之前为所述请求者提供消息数据从而生成所述认证请求，所述消息数据包括随机性。

19.根据权利要求18所述的方法，其特征在于，通过安全通道把所述消息数据提供给所述请求者。

20.根据权利要求18所述的方法，其特征在于，提供消息数据的步骤还包括步骤如下步骤：

接收来自所述请求者的请求消息；

使用所述认证中心的私有密钥签署所述请求消息；以及

通过已签署的请求消息形成所述消息数据。

21.根据权利要求15所述的方法，其特征在于，所述的使用自签签名签署的消息是所述公开密钥。

22.根据权利要求15所述的方法，其特征在于，所述的使用自签签名签署的消息是所述自签签名。