DE102008046291A1 - Effiziente Speicherung kryptographischer Parameter - Google Patents

Effiziente Speicherung kryptographischer Parameter Download PDF

Info

Publication number
DE102008046291A1
DE102008046291A1 DE102008046291A DE102008046291A DE102008046291A1 DE 102008046291 A1 DE102008046291 A1 DE 102008046291A1 DE 102008046291 A DE102008046291 A DE 102008046291A DE 102008046291 A DE102008046291 A DE 102008046291A DE 102008046291 A1 DE102008046291 A1 DE 102008046291A1
Authority
DE
Germany
Prior art keywords
elliptic curve
system parameters
determined
cryptographic
curve
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102008046291A
Other languages
English (en)
Other versions
DE102008046291B4 (de
Inventor
Anton Kargl
Bernd Dr. Meyer
Achim Schmidt
Hermann Seuschek
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102008046291A priority Critical patent/DE102008046291B4/de
Priority to JP2011525483A priority patent/JP5383806B2/ja
Priority to US13/058,293 priority patent/US8533490B2/en
Priority to PCT/EP2009/059328 priority patent/WO2010025992A1/de
Priority to CN200980134998.1A priority patent/CN102150130B/zh
Priority to EP09780852A priority patent/EP2324418A1/de
Publication of DE102008046291A1 publication Critical patent/DE102008046291A1/de
Application granted granted Critical
Publication of DE102008046291B4 publication Critical patent/DE102008046291B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Computational Mathematics (AREA)
  • Algebra (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Bei kryptographischen Produkten für Massenanwendungen, wie beispielsweise RFIDs oder speziellen ICs zum Schutz vor Plagiaten, besteht stets die Anforderung, die Stückpreiskosten soweit wie möglich zu senken. Dies wird beispielsweise dadurch erreicht, dass der erforderliche Speicherplatz für dauerhaft zu speichernde Systemparameter in solchen Verfahren weiter gesenkt wird. Die Erfindung schafft nun ein Verfahren zur Kodierung und Dekodierung der kryptographischen Systemparameter einer elliptischen Kurve, so dass bei einer Speicherung der Systemparameter Speicherzellen jeweils vollständig belegt werden und somit ein Speicherplatz verschwendet wird.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum rechnergestützten Ermitteln einer elliptischen Kurve für kryptographische Anwendungen, so dass eine effiziente Speicherung kryptographischer Parameter ermöglicht wird. Weiterhin ein Verfahren zur Rekonstruktion einer durch ein derartiges Verfahren ermittelten elliptischen Kurve und ein Verfahren zum rechnergestützten Multiplizieren eines Punktes mit einem Skalar auf Basis einer derartig ermittelten bzw. rekonstruierten elliptischen Kurve.
  • Kryptographische Anwendungen auf Basis elliptischer Kurven über endlichen Körpern stellen die derzeit effizientesten asymmetrischen Kryptographieverfahren dar. Dies liegt daran, dass bei elliptischen Kurven im Gegensatz zu den asymmetrischen Kryptographieverfahren der ersten Generation keine Angriffsmethoden mit subexponentieller Laufzeit bekannt sind. Demzufolge ist der Sicherheitsgewinn pro Bit der verwendeten Sicherheitsparameter höher, so dass für praktische Anwendungen deutlich kürzere Schlüssellängen verwendet werden können. Die resultierenden Verfahren sind performanter und benötigen eine geringere Bandbreite zur Übertragung der Systemparameter als andere asymmetrische Kryptographieverfahren bei vergleichbarer Sicherheit.
  • Zum Betrieb derartiger Verfahren müssen verschiedene Daten gespeichert werden. Diese umfassen einerseits das Schlüsselmaterial, welches jedem Teilnehmer des Systems individuell zugeordnet ist, als auch die allgemeinen Systemparameter. Diese Systemparameter sind öffentlich bekannt, und alle Benutzer der kryptographischen Verfahren verwenden die gleichen Systemparameter. Teile der Systemparameter sind allen Teilnehmern implizit durch die verwendeten kryptographischen Verfahren oder durch ihre Implementierung bekannt, andere Werte müssen von jedem Teilnehmer dauerhaft gespeichert werden, zum Beispiel in einem nichtflüchtigen Speicher (PROM, EEPROM, Flash, andere Datenträger usw.).
  • Bei kryptographischen Verfahren auf Basis der Punktegruppe einer elliptischen Kurve über einem endlichen Körper bestehen diese allgemeinen Systemparameter zumindest aus Daten zur Definition des verwendeten endlichen Körpers (Primzahl, Primzahlpotenz und/oder irreduzibles Polynom) und den Kurvenparametern zur Festlegung der verwendeten elliptischen Kurve. Gegebenenfalls kommen weitere Daten zur Festlegung der Koordinaten eines Basispunktes oder die Ordnung der Punktegruppe und/oder einer Untergruppe hinzu.
  • Bei geringpreisigen kryptographischen Produkten für Massenanwendungen, wie beispielsweise RFIDs oder speziellen ICs zum Schutz vor Plagiaten, besteht stets die Anforderung, die Stückpreiskosten soweit wie möglich zu senken. Die Herstellungskosten solcher Halbleiterprodukte werden in erster Linie von der benötigten Chipfläche bestimmt, welche wiederum auch von der benötigten Kapazität für nichtflüchtige Speicher abhängt. Insofern existiert ein Bedarf, den erforderlichen Speicherplatz für dauerhaft zu speichernde Systemparameter in solchen Verfahren weiter zu senken.
  • Die Aufgabe der vorliegenden Erfindung ist es daher, ein asymmetrisches Kryptographieverfahren anzugeben, mit dem der erforderliche Speicherplatz für dauerhaft zu speichernde Systemparameter des asymmetrischen Kryptographieverfahrens verringert wird.
  • Diese Aufgabe wird gelöst durch Verfahren mit den Merkmalen der Ansprüche 1, 8 und 9, sowie durch eine Vorrichtung mit den Merkmalen des Anspruchs 12. Vorteilhafte Ausgestaltungen der vorliegenden Erfindung sind in den abhängigen Ansprüchen angegeben.
  • In dem erfindungsgemäßen Verfahren zum rechnergestützten Ermitteln einer elliptischen Kurve für kryptographische Anwendungen werden Systemparameter der elliptischen Kurve (E) er mittelt. Eine Speicherzelle zur Speicherung von Informationen der Systemparameter weist hierbei eine vorgebbare Bitlänge w auf. Die Systemparameter sind jeweils als Bitfolge mit einer Bitlänge n darstellbar, so dass ein Systemparameter bei Speicherung in d = n/w Speicherzellen jeweils eine Restbitfolge e = n modulo w = n – d·w aufweist.
  • Die Systemparameter der elliptischen Kurve (E) werden nun derart ermittelt, dass die Restbitfolge e ein vorgebbares konstantes Muster aufweist.
  • In dem erfindungsgemäßen Verfahren zur Rekonstruktion einer wie oben ermittelten elliptischen Kurve (E) wird jeweils die in den d Speicherzellen gespeicherte Bitfolge der Bitlänge n-e = d·w ausgelesen. Der jeweilige Systemparameter wird durch Ergänzung der vorgegebenen Restbitlänge e mit dem vorgebbaren konstanten Muster rekonstruiert.
  • In dem erfindungsgemäßen Verfahren zum rechnergestützten Multiplizieren eines Punktes mit einem Skalar wird eine elliptische Kurve (E) wie oben ermittelt bzw. rekonstruiert.
  • Der Punkt liegt dabei auf der ermittelten elliptischen Kurve. Die Multiplikation erfolgt dann unter Verwendung nur einer örtlichen Koordinate des Punktes auf der ermittelten elliptischen Kurve (E).
  • Die erfindungsgemäße Vorrichtung zum Ermitteln einer elliptischen Kurve weist eine Recheneinheit auf, die zum Durchführen der oben gezeigten Verfahrensschritte eingerichtet ist.
  • Die Erfindung wird nachfolgend mit Ausführungsbeispielen anhand der Figuren näher erläutert. Es zeigen:
  • 1a, b, c eine schematische Darstellung einer Bitfolge eines Systemparameters mit einer Aufteilung in d Speicherzellen und einer Restbitfolge e gemäß der Erfindung,
  • 2a, b, c eine schematische Darstellung eines konstanten Musters einer Restbitfolge gemäß der Erfindung.
  • Auf der Menge der Punkte einer elliptischen Kurve kann eine abelsche Gruppenstruktur G definiert werden. Diese Gruppenstruktur induziert eine Skalarmultiplikation Z × G → G von ganzen Zahlen mit Kurvenpunkten, die die Grundlage aller kryptographischen Verfahren auf Basis elliptischer Kurven bildet. Sei s eine ganze Zahl, P ein Punkt der elliptischen Kurve E und Q = sP das s-fache des Punktes P. Sind die Punkte P und Q gegeben, so bezeichnet man die Berechnung eines geeigneten Skalars s mit Q = sP als das diskrete Logarithmus-Problem für elliptische Kurven. Bei geeigneter Wahl des Körpers K und der Parameter der elliptischen Kurve E ist es mit den heute zur Verfügung stehenden algorithmischen Mitteln unmöglich, das diskrete Logarithmus-Problem in vertretbarer Zeit zu lösen. Auf dieser Schwierigkeit beruht die Sicherheit bei kryptographischen Anwendungen elliptischer Kurven. Eine elliptische Kurve E wird also allgemein durch eine kubische Gleichung der Form y2 + a1xy + a3y = x3 + a2x2 + a4x + a6 beschrieben, wobei a1, a2, a3, a4, a6 Elemente eines endlichen Körpers K sind, die die Kurve E parametrisieren und folglich als Systemparameter bezeichnet werden. Die Menge aller Paare (x, y) aus K2, die die gegebene Kurvengleichung E erfüllen, heißen die Punkte der elliptischen Kurve E.
  • Mit Hilfe des diskreten Logarithmus-Problems lassen sich nun asymmetrische Kryptographieverfahren zur Verschlüsselung, zur Erzeugung elektronischer Signaturen und für andere Anwendungen bilden. Dazu wählt ein Anwender des asymmetrischen Kryptographieverfahrens einen Punkt P einer elliptischen Kurve E, den so genannten Basispunkt, und einen Skalar s. Der Skalar s bildet den geheimen Schlüssel und der Punkt Q = sP den öffentlichen Schlüssel des asymmetrischen Kryptographieverfahrens.
  • Für kryptographische Anwendungen wird ein endlicher Körper K verwendet. Dadurch bildet auch die abelsche Gruppe G eine endliche Gruppe. Folglich ist die Anzahl der Punkte endlich, die die Kurvengleichung E erfüllen. Damit eine elliptische Kurve E (a1, a2, a3, a4, a6) für kryptographische Anwendungen geeignet ist, müssen die Parameter a1, a2, a3, a4, a6 aus K geeignet gewählt werden. Die aus den Parametern resultierende Kurve E und die Punktegruppe G müssen bestimmte Eigenschaften erfüllen, die in der Fachliteratur beschrieben sind.
  • Diese können beispielsweise aus dem Anforderungskatalog des Bundesamtes für Sicherheit in der Informationstechnik entnommen werden, in dem geeignete kryptographische Verfahren für Signaturanwendungen gemäß deutschem Signaturgesetz spezifiziert sind.
  • Die Sicherheit eines kryptographischen Verfahrens auf Basis elliptischer Kurven hängt also im Wesentlichen von den kryptographischen Eigenschaften der ausgewählten elliptischen Kurve ab.
  • Im Folgenden betrachten wir nun elliptische Kurven über einem endlichen Körper GF(2n) der Charakteristik 2. Bei einem solchen endlichen Körper werden die Elemente typischerweise als Bitstrings der Länge n repräsentiert. Die einzelnen Bits stellen dabei die Koeffizienten des Elements bezüglich einer polynomiellen Basis oder einer Normalbasis dar. Diese Darstellung ist sehr kompakt und speichereffizient.
  • Aus Gründen der kryptographischen Sicherheit der verwendeten elliptischen Kurven kann der Erweiterungsgrad n des endlichen Körpers GF(2n), welcher die Länge der Bitstrings zur Repräsentation der Körperelemente festlegt, keine zusammengesetzte Zahl sein. Insbesondere sind Zweierpotenzen als Erweiterungsgrade für praktisch relevante Implementierungen verboten. Andererseits verwenden alle gebräuchlichen Speichersysteme – flüchtige und nichtflüchtige Speicher – als kleinste speicherbare Dateneinheit eine Folge von Bits, wobei die Anzahl der Bits an die Busbreiten der zugehörigen Computersysteme angepasst ist. Typischerweise treten als Busbreiten Zweierpotenzen auf (zum Beispiel 8 Bit, 16 Bit, 32 Bit, 64 Bit usw.) Deshalb können bei der Speicherung von Systemparametern einer kryptographisch starken elliptischen Kurve über einem endlichen Körper GF(2n) der Charakteristik 2 nicht alle verwendeten Speicherzellen optimal ausgenutzt werden. Es treten immer Speicherzellen auf, welche nur teilweise mit Informationen über die Systemparameter belegt sind. Dieses Problem tritt auch dann auf, wenn die verwendeten Größen der Speichereinheiten keine Zweierpotenzen sind. Der Erweiterungsgrad n des endlichen Körpers muss prim sein und besitzt daher keine nichttrivialen Teiler.
  • Werden nun Standardkomponenten zur Realisierung der flüchtigen und nichtflüchtigen Speicher verwendet, so basieren diese Bausteine traditionell auf Datengrößen, welche an die Busbreiten von Computersystemen angepasst sind. Bei der Ablage von beispielsweise Systemparametern haben Teile des auf diese Weise realisierten Speichers keine Funktion und die für diesen zusätzlichen Speicher benötigte Chipfläche ist verschwendet. Wird umgekehrt der Speicher an die exakte Länge der zu speichernden Parameter angepasst, so sind dazu häufig Spezialentwicklungen von Speichern notwendig und es können keine verfügbaren Standardkomponenten eingesetzt werden. Außerdem wächst bei vielen Implementierungen die zur Realisierung der breiten Busse benötigte Chipfläche stark an.
  • Dieses Problem tritt insbesondere bei nichtflüchtigen Speichern basierend auf EEPROM- oder Flash-Technologie auf. Aus technischen Gründen können die einzelnen Bits eines solchen Speichers nicht direkt gelesen oder geschrieben werden. Stattdessen wird der gesamte Speicher in kleinere Bänke eingeteilt und es ist immer nur möglich, auf alle Bits einer Bank gleichzeitig zuzugreifen. Die Breite dieser Bänke ist üblicherweise ebenfalls eine Zweierpotenz.
  • Die vorliegende Erfindung schafft nun ein Verfahren zum Kodieren und Dekodieren kryptographischer Parameter einer elliptischen Kurve über einem endlichen Körper der Charakteristik 2, so dass der zum Speichern der Parameter benötigte Speicherplatz keine teilweise belegten Speicherzellen aufweist.
  • Seien im Folgenden ein endlicher Körper GF(2n) mit primem Erweiterungsgrad n sowie die Breite w der Speicherzellen (des flüchtigen oder nichtflüchtigen) Speichers gegeben. Sei d der ganzzahlige Anteil der Division von n durch w und sei e der Rest der Division.
  • Dieser Zusammenhang ist noch einmal anschaulich in 1a, b, c dargestellt. 1a zeigt eine Bitfolge eines Systemparameters mit n Bitelementen. Mit einer Breite w einer Speicherzelle sind die einzelnen Speicherzellen jeweils nur dann vollständig mit der Bitfolge belegbar, wenn die Division d = n/w restlos durchführbar ist.
  • Die 1b und 1c zeigen die Belegung der Speicherzellen mit der Bitfolge des Systemparameters. Hierbei sind d = n/w Speicherzellen vollständig belegt, während eine Speicherzelle nur mit e = n modulo w Bitelementen belegt ist.
  • Demzufolge werden um ein Element a des Körpers GF(2n) im Speicher abzulegen mindestens d + 1 Speicherzellen benötigt. Von diesen Speicherzellen sind d Speicherzellen vollständig mit Informationen belegt. Die verbleibende Speicherzelle enthält lediglich e Bit an Information und ist daher nur zum Teil belegt.
  • Die vorliegende Erfindung schafft nun ein Verfahren zur Kodierung und Dekodierung der kryptographischen Systemparameter einer elliptischen Kurve, so dass die zu speichernden Parameter, welche Elemente des endlichen Körpers GF(2n) sind, in d Speicherzellen gespeichert werden können. Das heißt, zur Speicherung eines solchen Elements werden statt n Bits nur d·w = n-e Bits benötigt.
  • Um eine Darstellung der Parameter in n-e Bits zu erhalten, werden e Bits der Repräsentation eines Elements des endlichen Körpers GF(2n) auf einen konstanten Wert gesetzt. Diese Konstante ist implizit bekannt und muss daher nicht abgespeichert werden. Der Algorithmus zur Implementierung des kryptographischen Verfahrens liest zur Rekonstruktion des Systemparameters die in den d Speicherzellen gespeicherten d·w Bits aus und setzt nun implizit die verbleibenden e Bits auf ihre konstanten Werte.
  • Die 2a, 2b und 2c zeigen jeweils Beispiele für ein konstantes Muster der Restbitfolge mit e Bitelementen. Die jeweils ersten n-e Bitelemente in den Bitfolgen aus 2a, b, c geben die Werte des entsprechenden Systemparameters an diesen Stellen an. Die jeweils folgenden e Bitelemente zeigen die konstanten Bitmuster. So weist 2a das Bitmuster (1, 1, 1, 1, ...) auf, 2b das Bitmuster (1, 0, 1, 0, 1, ...) und 2c das Bitmuster (1, 1, 0, 1, 1, 0, ...). Diese Bitmuster sind selbstverständlich nur beispielhafte Ausführungsformen. Die Verwendung weiterer geeigneter konstanter Bitmuster, wie beispielsweise (0, 0, 0, 0, 0, 0, ...), liegt im Ermessen des Fachmannes.
  • Auf diese Weise wird zwar die Auswahl und Anzahl der zur Verfügung stehenden Systemparameter eingeschränkt, weil nicht bei allen möglichen Systemparametern die e Bits den vorgegebenen konstanten Wert haben. Wenn die Anzahl e der konstanten Bits nicht zu groß ist, ist es aber in der Praxis relativ einfach, geeignete Systemparameter einer kryptographisch starken elliptischen Kurve über dem endlichen Körper GF(2n) zu finden, so dass das Kriterium für diese e Bits erfüllt ist. Das heißt, dass die Werte der e Bits den vorgegebenen Konstanten entsprechen.
  • Somit werden erfindungsgemäß Systemparameter elliptischer Kurven über einem endlichen Körper GF(2n) der Charakteristik 2 mit einem primen Erweiterungsgrad n unter optimaler Ausnutzung eines Speichers mit einer Busbreite w gespeichert, indem e Bits der Systemparameter auf einen konstanten Wert gesetzt werden und daher implizit bekannt sind und nicht gespeichert werden müssen. Dabei ist e der Rest bei der Division von n durch w.
  • Kryptographische Systeme auf Basis elliptischer Kurven, welche solche kompakt repräsentierten Systemparameter besitzen, erreichen bei geeigneter Ermittlung der Systemparameter das gleiche Sicherheitsniveau, das normal repräsentierte elliptische Kurven haben.
  • Insbesondere ist bei der beschriebenen Kodierung der Systemparameter die Rekonstruktion des vollständigen Elements des endlichen Körpers effizient möglich.
  • Eine Methode, um geeignete Systemparameter einer starken elliptischen Kurve mit der oben beschriebenen kompakten Repräsentation in d Speicherzellen zu finden, besteht darin, bei der Suche nach Systemparametern als zusätzliches Gütekriterium zu berücksichtigen, dass die ausgewählten e Bits der Repräsentation der Systemparameter ein vorgegebenes konstantes Muster besitzen.
  • In einer anderen Variante kann eine bereits vorhandene elliptische Kurve durch eine birationale Transformation der Kurvengleichung oder durch Transformation des irreduziblen Polynoms, welches den zu Grunde liegenden endlichen Körper definiert, in die Form gebracht werden, so dass die ausgewählten e Bits der Repräsentation der Systemparameter ein vorgegebenes konstantes Muster besitzen.
  • Beispiele für prime Erweiterungsgrade n, welche für das beschriebene Verfahren geeignet sind, sind 131, 163 und 257. Wenn die verwendete Busbreite des Speichers einer der gebräuchlichen Werte 8 Bit, 16 Bit oder 32 Bit beträgt, müssen bei diesen Erweiterungsgraden lediglich 3, 3 oder 1 Bit auf einen konstanten Wert, beispielsweise 0, gesetzt werden.

Claims (12)

  1. Verfahren zum rechnergestützten Ermitteln einer elliptischen Kurve für kryptographische Anwendungen, bei dem Systemparameter der elliptischen Kurve (E) ermittelt werden, wobei eine Speicherzelle zur Speicherung von Informationen der Systemparameter eine vorgebbare Bitlänge w aufweist, die Systemparameter jeweils als Bitfolge mit einer Bitlänge n darstellbar sind, so dass ein Systemparameter bei Speicherung in d = n/w Speicherzellen jeweils eine Restbitfolge e = n modulo w = n – d·w aufweist, dadurch gekennzeichnet, dass die Systemparameter der elliptischen Kurve (E) derart ermittelt werden, dass die Restbitfolge e ein vorgebbares konstantes Muster aufweist.
  2. Verfahren nach Anspruch 1, wobei Für die Systemparameter jeweils die ermittelte Bitfolge mit der Bitlänge n-e in den d Speicherzellen abgespeichert wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei geprüft wird, ob für die ermittelte elliptische Kurve (E) ein vorgegebenes kryptographisches Gütekriterium erfüllt ist, und als Teil des vorgegebenen kryptographischen Gütekriteriums umfasst ist, dass die Restbitfolge e ein vorgebbares konstantes Muster aufweist, bei dem die ermittelte elliptische Kurve (E) dann als elliptische Kurve (E) ausgewählt wird, wenn das kryptographische Gütekriterium erfüllt ist.
  4. Verfahren nach Anspruch 1 oder 2, wobei die Ermittlung der Kurvenparameter durch eine birationale Transformation einer elliptischen Kurvengleichung erfolgt.
  5. Verfahren nach Anspruch 1 oder 2, wobei die Ermittlung der Systemparameter durch Transformation eines irreduziblen Polynoms eines zu Grunde liegenden Körpers, über welchem die elliptische Kurve definiert ist, erfolgt.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Bitlänge w der Speicherzellen einer Zweierpotenz entspricht.
  7. Verfahren gemäß einem der Ansprüche 1 bis 6, bei dem unter Verwendung der ermittelten elliptischen Kurve ein kryptographisches Verfahren durchgeführt wird.
  8. Verfahren zur Rekonstruktion einer durch ein Verfahren nach einem der Ansprüche 1 bis 6 ermittelten elliptischen Kurve (E), bei dem jeweils die in den d Speicherzellen gespeicherte Bitfolge der Bitlänge n-e = d·w ausgelesen wird, der jeweilige Systemparameter durch Ergänzung der vorgegebenen Restbitlänge e mit dem vorgebbaren konstanten Muster rekonstruiert wird.
  9. Verfahren zum rechnergestützten Multiplizieren eines Punktes mit einem Skalar, bei dem eine elliptische Kurve (E) durch ein Verfahren nach Anspruch 8 ermittelt wird, der Punkt auf der ermittelten elliptischen Kurve liegt, die Multiplikation unter Verwendung nur einer örtlichen Koordinate des Punktes auf der ermittelten elliptischen Kurve (E) erfolgt.
  10. Verfahren gemäß Anspruch 9, bei dem die Multiplikation unter Verwendung nur einer x-Koordinate des Punktes auf der elliptischen Kurve erfolgt.
  11. Verfahren gemäß Anspruch 9, bei dem die Multiplikation durch eine der dem Skalar entsprechenden Anzahl von Additionen und Verdoppelungen des auf der elliptischen Kurve liegenden Punktes mit sich selbst erfolgt.
  12. Vorrichtung zum Ermitteln einer elliptischen Kurve mit einer Recheneinheit, die eingerichtet ist zum Durchführen der Schritte des Verfahrens gemäß einem der Ansprüche 1 bis 11.
DE102008046291A 2008-09-08 2008-09-08 Effiziente Speicherung kryptographischer Parameter Expired - Fee Related DE102008046291B4 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102008046291A DE102008046291B4 (de) 2008-09-08 2008-09-08 Effiziente Speicherung kryptographischer Parameter
JP2011525483A JP5383806B2 (ja) 2008-09-08 2009-07-21 暗号化システム
US13/058,293 US8533490B2 (en) 2008-09-08 2009-07-21 Efficient storage of cryptographic parameters
PCT/EP2009/059328 WO2010025992A1 (de) 2008-09-08 2009-07-21 Effiziente speicherung kryptographischer parameter
CN200980134998.1A CN102150130B (zh) 2008-09-08 2009-07-21 密码参数的有效存储
EP09780852A EP2324418A1 (de) 2008-09-08 2009-07-21 Effiziente speicherung kryptographischer parameter

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102008046291A DE102008046291B4 (de) 2008-09-08 2008-09-08 Effiziente Speicherung kryptographischer Parameter

Publications (2)

Publication Number Publication Date
DE102008046291A1 true DE102008046291A1 (de) 2010-03-18
DE102008046291B4 DE102008046291B4 (de) 2012-02-23

Family

ID=41061112

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008046291A Expired - Fee Related DE102008046291B4 (de) 2008-09-08 2008-09-08 Effiziente Speicherung kryptographischer Parameter

Country Status (6)

Country Link
US (1) US8533490B2 (de)
EP (1) EP2324418A1 (de)
JP (1) JP5383806B2 (de)
CN (1) CN102150130B (de)
DE (1) DE102008046291B4 (de)
WO (1) WO2010025992A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008046291B4 (de) 2008-09-08 2012-02-23 Siemens Aktiengesellschaft Effiziente Speicherung kryptographischer Parameter
US10148285B1 (en) 2012-07-25 2018-12-04 Erich Schmitt Abstraction and de-abstraction of a digital data stream
GB2533059B (en) * 2012-10-04 2017-03-15 Siemens Ag Downhole cable termination system
US10795858B1 (en) 2014-02-18 2020-10-06 Erich Schmitt Universal abstraction and de-abstraction of a digital data stream

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6956946B1 (en) * 1998-02-18 2005-10-18 Infineon Technologies Ag Method and device for cryptographic processing with the aid of an elliptic curve on a computer
US7236589B2 (en) * 2002-10-31 2007-06-26 Microsoft Corporation Device for point compression for Jacobians of hyperelliptic curves

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996004602A1 (en) * 1994-07-29 1996-02-15 Certicom Corp. Elliptic curve encryption systems
US6404890B1 (en) 1998-04-08 2002-06-11 Citibank, Na Generating RSA moduli including a predetermined portion
FR2852470B1 (fr) * 2003-03-13 2005-06-24 Oberthur Card Syst Sa Procede cryptographique mettant en oeuvre des courbes hyperelliptiques de genre 2
DE102005041102A1 (de) * 2005-08-30 2007-03-15 Siemens Ag Verfahren zur Skalarmultiplikation von Punkten auf einer elliptischen Kurve
US7664259B2 (en) * 2006-03-09 2010-02-16 Motorola, Inc. Encryption and verification using partial public key
WO2008104482A2 (en) 2007-02-27 2008-09-04 Thomson Licensing A method and a device for generating compressed rsa moduli
DE102008046291B4 (de) 2008-09-08 2012-02-23 Siemens Aktiengesellschaft Effiziente Speicherung kryptographischer Parameter

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6956946B1 (en) * 1998-02-18 2005-10-18 Infineon Technologies Ag Method and device for cryptographic processing with the aid of an elliptic curve on a computer
US7236589B2 (en) * 2002-10-31 2007-06-26 Microsoft Corporation Device for point compression for Jacobians of hyperelliptic curves

Also Published As

Publication number Publication date
JP2012502526A (ja) 2012-01-26
CN102150130A (zh) 2011-08-10
JP5383806B2 (ja) 2014-01-08
EP2324418A1 (de) 2011-05-25
DE102008046291B4 (de) 2012-02-23
CN102150130B (zh) 2014-11-19
US8533490B2 (en) 2013-09-10
US20110173456A1 (en) 2011-07-14
WO2010025992A1 (de) 2010-03-11

Similar Documents

Publication Publication Date Title
DE102009006389B4 (de) Hybridzufallszahlengenerator
DE60314584T2 (de) Maskierung von in einem Restklassensystem zerlegten bzw. faktorisierten Daten
DE69736148T2 (de) Verfahren und Einrichtung zur Datenverschlüsselung
DE102008046291B4 (de) Effiziente Speicherung kryptographischer Parameter
EP1664979B1 (de) Übergang zwischen maskierten repräsentationen eines wertes bei kryptographischen berechnungen
EP1342153B1 (de) Verfahren und vorrichtung zum erzeugen einer pseudozufallsfolge mittels diskretem logarithmus
EP3127272B1 (de) Verschlüsselungsverfahren und pseudo-zufallszahlengenerator
DE102006037016B4 (de) Pseudo-Zufallszahlengenerator für eine Chipkarte
DE602004012096T2 (de) Verfahren und vorrichtung für eine hadwareimplementierung der schlüsselexpansionsfunktion mit wenig speicher
DE10216240A1 (de) Verfahren und Vorrichtung zur Berechnung eines iterierten Zustands einer rückgekoppelten Schieberegisteranordnung
DE102012205620B4 (de) Pseudozufallszahlengenerator und verfahren zur bereitstellung einer pseudozufallsfolge
DE102013100572B4 (de) Busanordnung und verfahren zum senden von daten über einen bus
EP1008178B1 (de) Verfahren zur herstellung eines nur lese-speichers
EP1506473A2 (de) Aussp hungsgesch tzte modulare inversion
DE102010033873A1 (de) Selektorsystem für Textverarbeitungsstil mit Verwendung einer 2D-Matrix
DE102014117967A1 (de) Zufallspermutationsgenerator und Verfahren zum Generieren einer Zufallspermutationssequenz
DE10220262A1 (de) Berechnung des modularen Inversen eines Wertes
DE10144077A1 (de) Binärzähler
DE10253285B4 (de) Verschleierung eines geheimen Wertes
DE102020200748A1 (de) Einrichtung und verfahren zur speicheradressenverschlüsselung
EP4084399A1 (de) Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation
WO2009118224A1 (de) Verfahren zum rechnergestützten ermitteln einer elliptischen kurve für kryptographische anwendungen
WO2004040434A2 (de) Vorrichtung und verfahren zum erzeugen einer pseudozufälligen folge von zahlen
DE102012021394A1 (de) Verfahren zur speichereffizienten Umwandlung nichtbinärer Daten in Binärdaten und binärer Daten in nichtbinäre Daten in Computerprogrammen für Datenverarbeitungsanlagen
DE19736954A1 (de) Verfahren und Anordnung zum rechnergestützten Selbstmischen einer ersten Zahlenfolge zu einer Ausgangszahlenfolge mit Ausgangswerten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20120524

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee