DE3876741T2 - Vorrichtungen und verfahren zum beglaubigen von vollmachten oder nachrichten mittels eines null-kenntnis-probe-systems und zum unterschreiben von nachrichten. - Google Patents
Vorrichtungen und verfahren zum beglaubigen von vollmachten oder nachrichten mittels eines null-kenntnis-probe-systems und zum unterschreiben von nachrichten.Info
- Publication number
- DE3876741T2 DE3876741T2 DE8888402231T DE3876741T DE3876741T2 DE 3876741 T2 DE3876741 T2 DE 3876741T2 DE 8888402231 T DE8888402231 T DE 8888402231T DE 3876741 T DE3876741 T DE 3876741T DE 3876741 T2 DE3876741 T2 DE 3876741T2
- Authority
- DE
- Germany
- Prior art keywords
- power
- verifier
- attorney
- verified
- devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 125
- 238000005070 sampling Methods 0.000 title 1
- 230000008569 process Effects 0.000 claims abstract description 16
- 238000012795 verification Methods 0.000 claims abstract description 13
- 230000006870 function Effects 0.000 claims description 36
- 230000006835 compression Effects 0.000 claims description 30
- 238000007906 compression Methods 0.000 claims description 30
- 238000013475 authorization Methods 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 17
- 230000002452 interceptive effect Effects 0.000 claims description 14
- 230000015654 memory Effects 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 abstract description 7
- 238000004891 communication Methods 0.000 description 7
- 238000012546 transfer Methods 0.000 description 4
- 238000013478 data encryption standard Methods 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3674—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0813—Specific details related to card security
- G07F7/0826—Embedded security module
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/30—Compression, e.g. Merkle-Damgard construction
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Finance (AREA)
- Computing Systems (AREA)
- Computational Mathematics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Credit Cards Or The Like (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
- Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Communication Control (AREA)
- Semiconductor Integrated Circuits (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
Description
- Die vorliegende Erfindung hat Verfahren und Systeme zum Beglaubigen von Vollmachten oder Nachrichten mittels eines Null- Kenntnis-Systems und ein Signierverfahren für Nachrichten zum Gegenstand.
- Die Erfindung findet viele Anwendungen bei der Überprüfung der Echtheit von "Chip"-Bankkarten, oder allgemeiner, der Echtheit jedes Trägermediums, das seinem Inhaber gestattet, sich einen Zugang zu verschaffen (zu einem Raum, einem Safe, einer Datenbank, einem Informationssystem, einer Telefonleitung, usw...). Sie findet ebenfalls Anwendung bei der Überprüfung der Echtheit von Nachrichten jeder Art, wobei diese Nachrichten eine Öffnung oder eine Schließung betätigen können, das Ein- oder Ausschalten eines Systems, das Zünden einer Lenkrakete, das Steuern eines Satelliten, das Auslösen eines Alarms usw... Schließlich gestattet die Erfindung, Nachrichten so zu signieren, daß sich deren Empfänger ihrer Herkunft sicher sind und ihrerseits einen Dritten von dieser Herkunft überzeugen können.
- Die Erfindung stützt sich auf zwei Zweige der Kryptographie, nämlich die Kryptographie mit enthülltem Schlüssel (oder öffentlichem Schlüssel) bzw. die Nullkenntnisbeitrag- Prüfverfahren. Obgleich die Erfindung kein Chiffrierungsverfahren betrifft, ist es nicht überflüssig, daran zu errinnern, worin diese beiden Techniken bestehen.
- Schon immer ist die Wahrung des Geheimnisses von Mitteilungen oder Nachrichten ein Anliegen gewesen. Heute, wo die Telekommunikationssysteme überhand nehmen, ist dies zu einem bedeutenden Problem geworden. Aus diesem Grund haben sich die Techniken des Chiffrierens und Dechiffrierens in den letzten Jahren beträchtlich weiterentwickelt. Dieser Fortschritt wurde übrigens noch beschleunigt durch die Ausbreitung der Computer, welche die Schaffung von Kryptosystemen mit hoher Leistungsfähigkeit möglich gemacht haben.
- In einem Kryptosystem wird eine Nachricht M, genannt Klartext-Nachricht, umgewandelt mittels eines Schlüssels E, um eine Nachricht E(M) zu erhalten, chiffrierte Nachricht genannt. Dem Schlüssel E entspricht ein umgekehrter Schlüssel D, der erlaubt, wieder die Klartext-Nachricht zu erhalten, durch eine umgekehrte Umwandlung : D(E(M)) = M.
- In den herkömmlichen Techniken werden die beiden Schlüssel E und D geheimgehalten und sind nur den Kommunikationspartnern bekannt.
- Jedoch wurde in den letzten Jahren ein neuartiges Kryptosystem entwickelt, bei dem der Chiffrierschlüssel nicht mehr geheimgehalten wird, sondern, im Gegenteil, bekannt gegeben wird.
- Paradoxerweise schwächt diese Bekanntgabe die Sicherheit des Systems überhaupt nicht. Tatsächlich ist es so, daß die Chiffrierung eine Funktion verwendet, die nicht zuläßt, daß in der Praxis die Kenntnis des Schlüssels E das Herausfinden des Dechiffrierschlüssels D möglich macht. Man spricht daher bei der Chiffrierfunktion bildhaft von einer "Fallen"-Funktion, einer Funktion, die umzukehren besonders schwierig ist, außengenommen für den, der den Wert der Falle kennt.
- Die allgemeinen Prinzipien dieses Systems wurden beschrieben in dem Artikel von W. DIFFIE und M. HELLMANN, betitelt "New Directions in Cryptography", veröffentlicht in IEEE, Transactions or Information Theory, vol. IT-22, pp 644-654, Nov. 1976.
- Zu diesem Thema kann man auch den "The Mathematics of Public-Key Cryptography" betitelten Artikel von M. HELLMANN lesen, veröffentlicht in Scientific American vom August 1979, Band 241, No2, Seiten 130-139 oder seine französische Übersetzung in der Ausgabe von "Pour la Science" unter dem Titel "Les Mathématiques de la Cryptographie clef rélévée", Oktober 1979, Band No24, Seiten 114-123.
- Die theoretischen Prinzipien der Kryptographie mit enthülltem Schlüssel konnten auf besonders wirksame Weise angewandt werden bei einem RSA (den Initialien seiner Erfinder RIVEST, SHAMIR und ADLEMAN) genannten System. Dieses System wird beschrieben in dem Artikel von Martin GARDENER, betitelt "A new kind of cipher that would take millions of years to break", veröffentlicht in Scientific American, August 1977, Seiten 120,121. Bei dem System RSA ist die Fallenfunktion die Faktorisierung einer Zahl aus Primelementen. Man weiß, daß die Faktorisierungsoperation eine der schwierigsten der Arithmetik ist. Um z.B. von Hand die Primfaktoren einer kleineren, 5- stelligen Zahl wie 29 083 zu finden, benötigt man mehrere Minuten. Diese Zahlen sind 127 und 229. Um das Produkt aus 127 und 229 zu erhalten, genügen einige Sekunden. Die Asymetrie einer solchen Operation ist offenkundig. Natürlich beschleunigt die Verwendung eines Computers die Faktorisierung, aber die Faktorisierung einer Zahl mit zweihundert Ziffern bleibt problematisch, selbst wenn man die mächtigsten Computer koppelt.
- Daher kann man in der Praxis eine sehr große Zahl nicht faktorisieren.
- Diese Eigenschaften werden in dem RSA-System auf folgende Weise genutzt. Man wählt zwei unterschiedliche Primzahlen, angenommen a und b und bildet das Produkt, d.h. N=a.b. Man wählt ebenso eine ganze Zahl p, die teilerfremd ist mit dem kleinsten gemeinsamen Vielfachen von (a-1) und (b-1). Um eine Nachricht zu chiffrieren, vorher in numerische Form M gebracht, wobei M enthalten ist zwischen 0 und N-1, berrechnet man die p-te Potenz von M in dem Ring der ganzen Zahlen modulo N, angenommen C=Mp mod N. (Es sei erinnert, daß der Wert einer ganzen Zahl x modulo eine ganze Zahl y gleich dem Rest der Division von x durch y ist; so ist 27 modulo 11 gleich 5, denn 27 dividiert durch 11 gibt 5 als Rest). Die Funktion "in die Potenz p modulo N erheben" definiert folglich eine Permutation der ganzen Zahlen von 0 bis N-1.
- Um eine Nachricht wie C zu dechiffrieren muß man die p- te Wurzel der chiffrierten Nachricht C in dem Ring der ganzen Zahlen modulo N ziehen. Man zeigt, daß diese Operation darauf hinausläuft, die Zahl C in die Potenz d zu erheben, wobei d der Kehrwert ist des Exponenten p modulo das kleinste gemeinsame Vielfache der Zahlen (a-1) und (b-1). Wenn man die Primfaktoren a und b nicht kennt, ist die Bestimmung von d unmöglich und damit die Dechiffrieroperation.
- Zum Beispiel, wenn man a=47 und b=59 wählt, erhält man N=47.59=2773. Man kann p=17 nehmen. Der Codierschlüssel wird folglich definiert durch die beiden Zahlen 2773 und 17 (natürlich sind in der Praxis die verwendeten Zahlen sehr viel größer als in diesem Beispiel).
- Die Codierung eines Wortes M, das sich in Form der Zahl 920 präsentiert, wird durch folgende Operation ausgeführt:
- C = 920¹&sup7; mod 2773
- oder C = 948 mod 2773.
- Umgekehrt, um die Zahl 948 zu dechiffrieren verwendet man einen umgekehrten Exponenten d von 17 modulo 1334, der das k.g.V. von 46 und 58 ist. Dieser Exponent d ist 157, denn 157.17=2669 oder 1 modulo 1334. 948 zu dechiffrieren heißt soviel wie 948¹&sup5;&sup7; mod 2773 oder 920 zu rechnen, was die anfängliche Nachricht ist.
- Somit können in dem RSA-System die Zahlen N und p öffentlich sein (man spricht dann von der "öffentlichen Potenz p"), aber die Zahlen a und b müssen geheim bleiben.
- Selbstvertsändlich ist es immer möglich, mehr als zwei Primfaktoren zu verwenden, um die Zahl N zu bilden.
- Das RSA-System wird in dem USA-Patent No 4 405 829, erteilt am 20 September 1983, beschrieben.
- Ein solches System kann nicht nur zum Chiffrieren verwendet werden, sondern auch zum Signieren einer Nachricht.
- Im Zusammenhang mit der Signierung von Nachrichten wird von einem Gebilde, genannt Signierender, von dem man weiß, daß es Nachrichten M aussendet angenommen, daß es mit einem öffentlichen Schlüssel (N, p) arbeitet. Dieses Gebilde, um die Nachrichten vor der Ausgabe zu signieren, fügt eine Redundanz hinzu, um ein Element des Rings der ganzen Zahlen modulo N zu erhalten, erhebt dann dieses Element in die Potenz d (Kehrwert von p) modulo N. Des fragliche Gebilde, im Besitz der geheimen Parameter des öffentlichen Schlüssels, d.h. der beiden Primfaktoren a und b, kennt d. Die signierte Nachricht ist folglich S= [Red(M)]dmod N.
- Um die Signatur zu überprüfen, verwendet der Empfänger den an den Absender gebundenen öffentlichen Schlüssel (N, p), und berrechnet Sp mod N, was hypothetisch das die Botschaft M mit ihrer Redundanz codierende Element wiedergibt. Durch das Wiederfinden der Redundanz kann der Empfänger darauf schließen, daß die Nachricht nur von dem Absender gesendet worden sein kann, der vorgibt, sie erstellt zu haben, denn ausschließlich dieser war in der Lage, die Nachricht auf diese Weise zu bearbeiten.
- Natürlich können die beiden Operationen des Chiffrierens und Signierens verbunden sein. In diesem Fall beginnt der Absender damit, seine Nachricht zu signieren, indem er seinen geheimen Schlüssel verwendet; dann chiffriert er sie, indem er den öffentlichen Schlüssel seines Partners verwendet. Beim Empfang dechiffriert der Partner die Nachricht mittels seines Geheimschlüssels, beglaubigt sodann die Nachricht unter Verwendung des öffentlichen Schlüssels des Absenders.
- Diese Techniken der Kryptographie führen so zu Beglaubigungsmethoden (eines Trägers, einer Nachricht, usw...). Um diesen Aspekt, der den Kern der Erfindung betrifft detaillierter auszuführen, nimmt man als Beglaubigungsbeispiel Bankkarten, genannt "Chip"-Bankkarten, selbstverständlich ohne daß dies irgendeine Einschränkung der Tragweite der Erfindung darstellt. Das anschließend beschriebene Verfahren wird heute bei Chip- Bankkarten angewandt, wie sie in Frankreich und Norwegen verwendet werden, wobei die allgemeine Verwendung von Chips in Bankkarten sich in diesen beiden Ländern ausbreitet.
- Eine Chip-Bankkarte besitzt eine Identität, die aus einer Verknüpfung von Informationen besteht, wie etwa der Seriennummer des Chips, der Bankkontonummer, einer Gültigkeitsdauer und eines Benutzungscodes. Die Karte kann auf Verlangen diese Identitätsinformationen geben, die sich in Form einer Folge von Bits präsentieren, die ein Wort I bilden.
- Mittels Redundanzregeln kann man eine Zahl J bilden, die zweimal länger ist als I, die in der Folge mit Red(I)=J bezeichnen wird. Wenn die Zahl I sich z.B. in Form von Halbbytes schreibt, kann jedes Halbbyte durch ein Redundanz-Halbbyte komlettiert werden, um ebensoviele Halbbytes des HAMMING- Codiertyps zu bilden. Die Zahl J wird oft "schattige" oder verhüllte Identität genannt, (wobei der Schatten gewissermaßen von der Redundanz gebildet wird, welcher die Identität begleitet).
- Die Internationale Normungsorganisation (ISO) hat diese Fragen präzisiert in der Mitteilung ISO/TC97/SC20/N207 betitelt "Digital Signature with Shadow", Vorausentwurf der Norm DP9796.
- Die Autorität, befugt solche Karten auszugeben, in diesem Fall die Bank, wählt ein System mit öffentlichem Schlüssel (N, p). Sie veröffentlicht die Zahlen N und p, hält aber die Faktorisierung von N geheim. Die verhüllte Identität jeder Karte wird nun als ein Element des Rings der ganzen Zahlen modulo N betrachtet. Die Bank kann daraus die p-te Wurzel ziehen in diesem Ring (was, wie oben dargestellt, die Kenntnis der Primfaktoren von N erforderlich macht, was der Fall ist). Diese Zahl, in der Folge mit A bezeichnet, ist in gewisser Weise die Identität der von der Bank signierten Karte. Man nennt sie "Vollmacht". Man erhält folglich definitionsgemäß A=J1/p mod N.
- Eine Vollmacht zu beglaubigen heißt dann soviel wie die Identität der Karte zu lesen, entweder in der einfachen Form I oder in der verhüllten Form J, dann die Beglaubigung A in der Karte zu lesen, diese in die Potenz p zu erheben in dem Ring der ganzen Zahlen modulo N (was möglich ist, da die Parameter N und p bekannt sind) und schließlich das Resultat, d.h. Ap mod N, mit J zu vergleichen. Wenn Ap mod N gleich J ist, dann ist die Vollmacht echt.
- Wenn es diese Methode auch erlaubt, falsche Karten festzustellen, deren Identität mit mehr oder weniger Phantansie erstellt wurde, so weist sie doch einen Nachteil auf, der darin besteht, daß die Vollmacht der echten Karten enthüllt wird. Ein skrupelloser Verifizierer könnte folglich Karten reproduzieren, die identisch sind mit denen, die er verifiziert hat (wobei man diese Karten "Klone" nennen könnte), indem er die Vollmacht reproduziert, die er in der echten Karte gelesen hat.
- Nun erfordert die Beglaubigung einer Vollmacht aber nicht unbedingt, diese dem Verifizierenden mitzuteilen, sondern es genügt die Erstellung eines Beweises, daß die Karte über eine echte Vollmacht verfügt. Das Problem ist folglich, zu beweisen, daß die Karte eine echte Vollmacht enthält, ohne diese zu enthüllen.
- Dieses Problem, das zunächst unlösbar scheint, kann jedoch gelöst werden durch ein Verfahren, genannt Nullkenntnisbeitrag-Prüfverfahren ("zero-knowledge proof"). Bei einem solchen Verfahren nehmen das Gebilde, das versucht, den Beweis zu erbringen (und die in Zukunft der "Verifizierte" genannt wird) und jenes Gebilde, das auf diesen Beweis wartet (und die in Zukunft der "Verifizierende" genannt wird) ein interaktives und probabilistisches Verhalten an.
- Diese Technik ist beschrieben worden durch Shafi GOLDWASSER, Silvio MICALI und Charles RACKOFF auf dem "17th ACM Symposium on Theory of Computing", das abgehalten wurde im Mai 1985, in ihrer Mitteilung "The Knowledge Complexity of Interactive Proof Systems" und veröffentlicht in den Comptes Rendus, Seiten 291-304. Die ersten Beispiele wurden in der Graphentheorie gefunden.
- Adi Shamir hat als erster daran gedacht, dieses Verfahren in der Zahlentheorie anzuwenden und bei den Chipkarten könnte man dieses Verfahren, das dann in der Folge Verfahren S genannt wird, auf folgende Weise anwenden.
- Zu Beginn der Beglaubigungstransaktion teilt die Karte ihre Identität I mit. Die allgemein bekannten Redundanzregeln erlauben, J abzuleiten, zweimal länger als I, das der verhüllten Identität entspricht. Die Karte und der Verifizierende kennen beide die vom Kartenausgeber veröffentlichen Zahlen N und p, aber nur letzterer verfügt über die Faktorisierung der Zahl N, welche die verwendete Falleninformation zur Berechnung der Vollmachten ist.
- Die Beglaubigungstransaktion geht weiter durch Wiederholung der folgenden Prozedur :
- - die Karte zieht aufs Geratewohl ein Element r von dem Ring der ganzen Zahlen modulo N, berechnet davon die p-te Potenz (rp mod N) in dem Ring und überträgt diese Potenz zum Verifizierenden als Titel T für die Iteration;
- - der Verifizierende zieht aufs Geratewohl ein Bit d (0 oder 1) (oder, wenn man so will, spielt auf Kopf oder Zahl) um von der Karte als Zeuge t zu erfragen : für Kopf das Element r und für Zahl das Produkt aus r multipliziert mit der Vollmacht in dem Ring (r.A mod N); anders ausgedrückt, in der Unsicherheit der Ziehung muß der Verifizierte r und r.A mod N bereithalten, was die Kenntnis von A voraussetzt;
- - der Verifizierende erhebt den Zeugen p in die Potenz p modulo N, um wiederzufinden: für Kopf den Titel T, und für Zahl das Produkt in dem Ring des Titels T mal der verhüllten Identität J.
- So muß man einerseits über die Vollmacht A verfügen, um simultan die beiden möglichen Werte des Zeugen t zu besitzen, d.h. r und rA. Andererseits kann der Verifizierende aus dieser Transaktion nicht den Wert A der Vollmacht ableiten, denn selbst wenn er vom Verifizierten verlangt, ihm rA zu liefern, kennt er nicht r, das vom Verifizierten auf Geratewohl gezogen wurde ( der Verifizierende kennt wohl rp, geliefert als Titel durch den Verifizierten, aber er ist unfähig, daraus die p-te Wurzel modulo N zu ziehen, da er die Faktorisierung von N nicht kennt).
- Ein Verifizierter, der nicht im Besitz einer echten Vollmacht ist, könnte bluffen, indem er versucht, die Ziehung des Verifizierenden zu erraten. Wenn er auf "0" ("Kopf") setzt, vermutet er, daß der Verifizierende den Titel in die Potenz p modulo N erhebt und daß der Verifizierende das erhaltene Resultat mit dem Titel T vergleichen wird. Um den Verifizierenden zu überzeugen, wird der Verifizierte als Titel T den in die p-te Potenz erhobenen Zeugen liefern müssen. Wenn der Bluffer hingegen auf "1" ("Zahl") setzt, vermutet er, daß der Verifizierende den Titel in die p-te Potenz erheben wird und anschließend das erhaltene Resultat mit J multiplizieren wird. Er muß folglich, um zu überzeugen, den in die p-te Potenz erhobenen, mit J multiplizierten Zeugen als Titel T übermitteln.
- Die Chancen eine richtige Antwort zu geben stehen gleich, wenn er den Ablauf der Ereignisse umkehrt, d.h. wenn er nicht zunächst den Titel T bestimmt, dann den Zeugen t, sondern wenn er auf die Ziehung des Verifizierenden setzt und den Titel hinterher bildet mittels eines aufs Geratewohl gezogenen Zeugen.
- In diesem probabilistischen Verfahren stehen die Chancen des Verifizierten, eine richtige Antwort zu geben, zwei zu eins bei jeder Prozedur, so daß bei k-facher Wiederholung die Chancen des Bluffers bei 1/2k liegen. Der Sicherheitsfaktor dieses Beglaubigungsverfahrens ist folglich 2k. In der Praxis ist k in der Größenordnung von 16 bis 24.
- Bei einem solchen Verfahren ist die Zahl p klein, z.B. 3. Man kann auch 2 verwenden, aber in diesem Fall müssen gewisse Vorsichtsmaßnahmen getroffen werden bei der Wahl der Primfaktoren der Zahl N, damit die Funktion "ins Quadrat modulo N erheben" eine Permutation der quadratischen Reste des Rings der ganzen Zahlen modulo N ist. Die Zahlen a und b müssen ganze Zahlen der Form 4x+3 sein; es sei erinnert, daß die quadratischen Reste Elemente sind, die Quadratzahlen sind in dem Ring und die verhüllte Identität J muß modifiziert werden können in einen repräsentativen quadratischen Rest vor dem Berechnen der Vollmacht. Diese Lösung ist beschrieben in dem schon erwähnten Dokument ISO/TC97/SC20/N207. Jedoch existieren auch andere Lösungen.
- Die ganze Zahl N, wie verwendet in den heutigen Bankkarten, kann die Form N=K+2³²&sup0; haben, wo K eine ganze Zahl mit 240 Bits ist, veröffenlticht und bekannt bei allen Terminals. Nur der Kartenausgeber verfügt über die Faktorisierung von N. Es ist trotzdem empfehlenswert, größere zusammengesetzte Zahlen zu nehmen.
- Die Identität I, wie in den heutigen Bankkarten verwendet, kann ein Motiv oder Muster von 160 Bits sein, entstanden aus der Verknüpfung einer Seriennummer des Chips von 44 Bits, einer Bankkontonummer von 76 Bits, einem Benutzungscode von 8 Bits und einer Gültigkeitsdauer von 32 Bits. Die verhüllte Identität weist somit 320 Bits auf. Die Vollmacht ist dann die Kubikwurzel dieses Wortes, modulo N. Das ist eine Zahl mit 320 Bits.
- Eine Perfektionierung dieser Technik besteht darin, nicht die Vollmacht A (Apmod N=J) selbst zu verwenden, sondern ihren Kehrwert, mit B bezeichnet. Man hat nun BpJ mod N=1, was erlaubt, das Vergleichen des Titels und des Zeugen zu vereinfachen. Tatsächlich genügt es dann, einen Zeugen gleich r(dB-d+1) zu übermitteln (der entweder gleich r ist wenn d=0 oder gleich rB ist wenn d=1) und tp(dJ-d+1) mod N zu berechnen, um den Titel T zu finden. Dieser letztere kann dann nur teilweise übermittelt werden, z.B. in Form von etwa hundert seiner Bits oder, noch besser, nach einer Komprimierung.
- Es sei erinnert, daß eine Komprimierungsfunktion eine Entsprechung herstellt zwischen einer Menge von n Elementen und einer Menge von m anderen Elementen, wobei m kleiner ist als n, so daß es praktisch unmöglich ist, zwei Elemente mit gleichem Bild zu lokalisieren.
- Die der Beschreibung beigefügte Figur 1 stellt dieses Verfahren schematisch dar. Die von links nach rechts gehenden Pfeile stellen eine Übertragung vom Verifizierten zum Verifizierenden dar (Identität I, Titel T, Zeuge t) und die von rechts nach links gehenden Pfeile eine Übertragung in umgekehrter Richtung (Bit d aufs Geratewohl gezogen). Eine Ziehung aufs Geratewohl wird durch einen mit einem Fragezeichen versehenen Kreis dargestellt. Das Zeichen ε bedeutet "gehört zu" und die Zahlen zwischen geschweiften Klammern bezeichnen die Gesamtheit der ganzen Zahlen, enthalten zwischen zwei angegebenen Grenzewerten, Grenzwerte eingeschlossen. Der über die Echtheit der Vollmacht entscheidende abschließende Vergleich ist schematisiert durch ein Gleichheitszeichen mit einem Fragezeichen darüber. Die gepunktete Linie bezeichnet eine Gesamtheit von k-mal ausgeführten Operationen (Iteration).
- Es wurde kürzlich ein noch perfektionierteres Verfahren vorgeschlagen, das multiple Vollmachten verwendet. Dieses Verfahren ist beschrieben in der Mitteilung von Amos FIAT und Adi SHAMIR, veröffentlicht in den Compte Rendu von CRYPTO'86, Santa Barbara, CA, USA, August 1986, Mitteilung betitelt : "How to Proof Yourself : Practical Solutions to Identification and Signature Problems", Springer Verlag, lecture Notes in Computer Science, No263, Seiten 186-194.
- Durch das Vermerken von mehreren Vollmachten in der Karte erhöht man die Effizienz der Prozedur und reduziert die Anzahl der Iterationen die nötig sind, um ein bestimmtes Maß an Sicherheit gegenüber den Bluffern zu erreichen. Bei dieser Diversifizierungsmethode erzeugt man n diversifizierte Identitäten I1, ..., In, die, vervollständigt durch ihre Verhüllung, n verhüllte diversifizierte Identitäten J1, ..., Jn ergeben. Die Karte enthält die n invertierten Vollmachten B1, ..., Bn, welche die Relationen Ji.Bip mod N=1 verifizieren.
- In diesem Verfahren, mit FS bezeichnet, wird dann jede Prozedur oder Iteration die folgende (indem man 2 nimmt als öffenlichen Exponenten) :
- - die Karte zieht aufs Geratewohl ein Element r in dem Ring der ganzen Zahlen modulo N, überträgt dann an den Verifizierenden 128 Bits der Quadratzahl dieses Elements als Titel T;
- - der Verifizierende zieht aufs Geratewohl ein Wort mit n Bits, d.h. b1, ..., bn, das er an die Karte übermittelt;
- - die Karte berechnet dann das Produkt des Elements r mal die invertierten Vollmachten bezeichnet durch die "1"-Bits in den Wörtern mit n Bits b1, ..., bn. Und die Karte übermittelt als Zeuge den so erhaltenen Wert t:
- t=r.(b1.B1-b1+1). ... .(bn.Bn-bn+1) mod N
- - Der Verifizierende testet diesen Zeugen t indem er ihn ins Quadrat erhebt in dem Ring, dann indem er dieses Quadrat mit den verhüllten diversifizierten Identitäten multipliziert, bezeichnet durch die "1"-Bits des n-Bit Wortes,
- d.h. : tp.(b1.J1-b1+1). ... .(bn.Jn-bn+1) mod N
- Die Echtheit ist bewiesen, wenn man die öffentlichen Bits des Titels T wiederfindet.
- Irgendjemand könnte auf Geratewohl einen Zeugen t ziehen, dann, in dem Ring, diesen Titel ins Quadrat erheben und mit einer Selektion diversifizierter Identititäten multiplizieren, um hinterher einen Titel T zu bilden. Tatsächlich, durch Angeben dieses Titels am Beginn der Prozedur, wenn die gestellte Frage wirklich die erhoffte Selektion ist, dann ist der Zeuge T eine akzeptable Antwort, welche die Karte bevollmächtigt.
- Es gibt folglich doch eine Gewinnstrategie für den Hellseher, der im voraus die Ziehung des Verifizierenden kennt.
- Um erfolgreich durch eine Iteration zu kommen, muß der Bluffer diesmal ein Wort mit n Bits raten und nicht nur ein einziges Bit wie in dem GMR-Verfahren. Wenn die 2n Werte gleich wahrscheinlich sind, reduziert das Produkt aus Multiplizität der Vollmachten (n) mal Anzahl der Iterationen (k) die dem Bluffer verbleibenden Chancen exponentiell. Der Sicherheitsfaktor der Beglaubigungstransaktion ist nun 2k.n.
- Bei jeder Iteration übermittelt der Verifizierte z.B. 128 Bits (z.B. ein Viertel von 512 Bits) und ein Element des Rings, und der Verifizierende übermittelt n Bits. Bei jeder Iteration berechnen der Verifizierende und die Karte eine Quadratzahl und machen eine Anzahl Multiplikationen gleich der Anzahl der "1"-Bits in dem n-Bit-Wort (HAMMING-Wertigkeit).
- Als weiteren Kompromiß zwischen Effizienz der Iteration und maximaler Anzahl der während der Iteration auszuführenden Multiplikationen kann man die Anzahl der Bits mit 1 in dem n-Bit- Wort begrenzen.
- Man kann was diese Technik anbelangt den Bericht lesen von der Mitteilung "Unforgeable Proofs of Identity" von Amos FIAT und Adi SHAMIR auf dem "5e Congrès Mondial de la Protection Informatique et des Communications", der am 6. März 1987 in Paris abgehalten wurde.
- Die beigefügte Figur 2 stellt schematisch dieses Verfahren FS dar mit den gleichen Konventionen wie in Figur 1.
- Diese Verfahren zum Beglaubigen von Vollmachten können leicht übertragen werden auf die Beglaubigung einer Nachricht, ausgesandt von einem Gebilde, das als bevollmächtigt gilt. In diesem Fall wird der durch den Verifizierten übermittelte Titel T nicht mehr nur durch rp mod N gebildet, wie im vorhergehenden Fall, sondern auch durch die zu beglaubigende Nachricht m. Genauer, das Resultat durch eine Komprimierungsfunktion, bezeichnet f, deren Argumente m und rp mod N sind.
- Die Figuren 3 und 4 schematisieren diese Verfahren im Falle der Techniken S und FS.
- Schließlich können diese Techniken auch dazu dienen, eine Nachricht zu signieren. Die Komprimierungsfunktion spielt dann die der Ziehung des Verifizierenden zugewiesene Rolle. Genauer, in dem Verfahren des Typs S zieht der Signierende k Elemente r in dem Ring der ganzen Zahlen modulo N, d.h. r1, r2, ..., rk, welche die Rolle der verschiedenen, im Laufe der k Iterationen gezogenen r spielen werden. Der Signierende erhebt diese ganzen Zahlen ins Quadrat modulo N und berechnet die Komprimierungsfunktion f(m, r² mod N, ...rk² mod N), was eine Zahl D liefert mit den Bits d1, d2, ..., dk. Jedes Bit di dieser Zahl spielt die Rolle, die das aufs Geratewohl gezogene Bit in dem weiter oben beschriebenen Vollmachtsbeglaubigungsverfahren gespielt hat. Der Signierende bildet nun k Titel ti=riBdi mod N, mit i=1,2...k. Die signierte Nachricht wird nun gebildet durch ein Multiplett, gebildet aus m, I, d1, ..., dk, t1, ..., tk.
- Um eine solche signierte Nachricht zu verifizieren, erhebt man die Titel ti modulo N ins Quadrat und multipliziert jedes Quadrat mit Jdi modulo N. Dann rechnet man die Komprimierungsfunktion f(m, t1²Jd1 mod N, ..., tk² Jdk mod N) und man vergleicht das erhaltene Resultat mit der Zahl N, d.h. mit den Bits d1, d2, ..., dk.
- Bei der Anwendung für das Signieren von Nachrichten ist die Zahl k größer als bei der Beglaubigung. Sie ist in der Größenordung von 60 bis 80. Tatsächlich erfolgt die Verifizierung nicht mehr in Echtzeit, und der Betrüger kann sich Zeit nehmen, eine falsche Signatur auszuarbeiten.
- Die Figuren 5 und 6 schematisieren dieses Verfahren im Falle der Techniken S und FS. Wenn auch alle diese Techniken der herkömmlichen Art in der Theorie passen, so weisen sie doch in der Praxis Nachteile auf. Besonders die Methode FS, mit der Multiplizität ihrer Vollmachten, beansprucht viel Speicherplatz. Außerdem verlängert die Notwendigkeit einer Wiederholung der Prozeduren Datentransfers. Schließlich verlängert die Multiplizität der Zeugen die Informationen, die einer Nachricht hinzuzufügen sind, um sie zu signieren.
- Die vorliegende Erfindung hat genau den Zweck, diese Nachteile zu beseitigen. Zu diesem Zweck empfiehlt sie eine Technik, die eine einzige Vollmacht verwendet (und nicht mehr die multiplen Vollmachten) und eine einzige Prozedur (und nicht mehr eine Wiederholung der Prozeduren).
- Genauer ausgedrückt hat die vorliegende Erfindung zunächst ein Verfahren zur Beglaubigung einer Vollmacht zum Gegenstand und ein Verfahren zur Beglaubigung einer Nachricht, beides Verfahren, welche die Ausarbeitung einer auf dem System des öffentlichen Schlüssels beruhenden Vollmacht einerseits, und eines Nullkenntnisbeitrag-Beweises andererseits durchführen ;
- a) was die Operation der Ausarbeitung der Vollmacht betrifft, enthält sie folgende bekannte Operationen. :
- - eine Autorität, die berechtigt ist Vollmachten auszustellen, wählt zwei Primzahlen, bildet das Produkt (N) dieser beiden Zahlen, hält diese Zahlen, welche die Primfaktoren von N bilden geheim, wählt eine ganze Zahl p und veröffentlicht N und p;
- - für jeden Inhaber einer Vollmacht wird eine numerische Identität I gebildet, dann redundant vervollständigt, um ein Wort J zu bilden, genannt verhüllte Identität,
- - eine Vollmacht A wird durch die Autorität ausgearbeitet durch Ziehen der p-ten Wurzel der verhüllten Identität in dem Ring der ganzen Zahlen modulo N, (Ap mod N=J),
- - in einen geeigneten Träger, der einen Speicher enthält, lädt die Autorität den Kehrwert modulo N der Vollmacht A, d.h. eine Zahl B, genannt inverse Vollmacht (BpJ mod N=1), wobei diese Zahl B die Vollmacht bildet, die es zu beglaubigen gilt;
- b) was die Beglaubigung der so ausgearbeiteten Vollmacht betrifft, so besteht diese Operation auf ebenfalls bekannte Weise in einem interaktiven und probabilistischen numerischen Verfahren des Typs mit Nullkenntnisbeitrag und findet statt zwischen einem eine Vollmacht enthaltenden Träger, genannt "der Verifizierte" und einem Beglaubigungsorgan, genannt "der Verifizierende", wobei dieser Prozeß wenigstens eine numerische Prozedur enthält, bestehend aus den folgenden bekannten Operationen:
- - der Verifizierte zieht zunächst aufs Geratewohl eine ganze Zahl r, die zu dem Ring der ganzen Zahlen modulo N gehört,
- - der Verifizierte erhebt diese Zahl in die Potenz p modulo N, wobei das Ergebnis Titel T genannt wird,
- - der Verifizierte übergibt wenigstens einen Teil der Bits des Titels T,
- - der Verifizierende zieht anschließend aufs Geratewohl eine Zahl D und fordert den Verifizierten auf, bestimmte Operationen an r und der inversen Vollmacht B auszuführen, wobei diese Operationen verbunden sind mit der aufs Geratewohl gezogenen Zahl D und ausgeführt werden in dem Ring der ganzen Zahlen modulo N,
- - der Verifizierte übergibt dem Verifizierenden eine Zahl t, genannt Zeuge, Ergebnis dieser Operationen,
- - der Verifizierende führt seinerseits Operationen an dem vom Verifizierten übergebenen Zeugen t aus und an der verhüllten Identität J des Verifizierten, wobei auch diese Operationen verbunden sind mit der vom Verifizierenden aufs Geratewohl gezogenen Zahl D und ausgeführt werden im Ring der ganzen Zahlen modulo N,
- - der Verifizierende vergleicht das so erhaltene Ergebnis mit den Bits des Titels T, die der Verifizierte zu Beginn des Verifikationsprozesses übergeben hat, und bestätigt die Echtheit der Vollmacht, wenn er diese Bits wiederfindet.
- Das erfindungsgemäße Beglaubigungsverfahren für Vollmachten ist dadurch gekennzeichnet, daß:
- a) bei der Ausarbeitung der Vollmacht (B) die Zahl p, die zum Ziehen der p-ten Wurzel der verhüllten Identität (J) dient, groß gewählt wird und wenigstens etwa zehn Bits umfaßt,
- b) für die Beglaubigung der Vollmacht das Prozeß nur eine einzige interaktive und probabilistische Prozedur aufweist (und nicht eine Wiederholung einer solchen Prozedur), wobei diese einmalige Prozedur aus folgenden Operationen besteht:
- - die Zahl, die der Verifizierende aufs Geratewohl zieht, ist eine ganze Zahl D, enthalten zwischen 0 und p-1 (Grenzwerte eingeschlossen),
- - die Operation, die der Verifizierte durchführt um einen Zeugen t zu übergeben, ist das Produkt, in dem Ring der ganzen Zahlen modulo N, des Elements r, das er selbst aufs Geratewohl gezogen hat, mal der D-ten Potenz der inversen Vollmacht B, wobei der Zeuge dann t=r.BD mod N ist,
- - die Operationen, die der Verifizierende ausführt, sind das Produkt, in dem Ring der ganzen Zahlen N, der p-ten Potenz des Zeugen t mal die D-te Potenz der verhüllten Identität J, d.h. tpJD mod N,
- - die vom Verifizierenden durchgeführte Vergleichsoperation beziehen sich nun auf die von dem Verifizierten gelieferten, durch die vorhergehende Operation erhaltenen Bits, wobei die Echtheit der Vollmacht in einer einzigen Prozedur sichergestellt ist, sobald alle Bits des vom Verifizierten gelieferten Titels durch den Verifizierenden in tpJD mod N wiedergefunden sind.
- Was das Beglaubigungsverfahren für Nachrichten betrifft, so ist das erfindungsgemäße Verfahren dadurch gekennzeichnet, daß :
- a) bei der Ausarbeitung der Vollmacht des Befehlsgebers die Zahl p, die zum Ziehen der p-ten Wurzel der verhüllten Identität dient, groß gewählt wird und wenigstens etwa zehn Bits umfaßt,
- b) für die Beglaubigung der Nachricht der Prozeß nur eine einzige interaktive und probabilistische Prozedur aufweist (und keine Wiederholung einer solchen Prozedur), wobei diese einzige Prozedur aus den folgenden Operationen besteht :
- - die Zahl, die der Verifizierende aufs Geratewohl zieht, ist eine ganze Zahl D, enthalten zwischen 0 und p-1 (Grenzwerte eingeschlossen),
- - die Operation, die der Verifizierte ausführt, um den Zeugen t zu liefern, ist das Produkt, in dem Ring der ganzen Zahlen modulo N, des Elements r, von ihm selbst gezogen, mal der D-ten Potenz der inversen Vollmacht B, womit der Zeuge dann r.BD mod N ist,
- - die Operationen, die der Verifizierende ausführt, sind das Produkt, in dem Ring der ganzen Zahlen modulo N, der p- ten Potenz des Zeugen t, mal der D-ten Potenz der verhüllten Identität J,
- - der Verifizierende bildet die Komprimierungsfunktion der Nachricht und des Resultats der vorhergehenden Operationen, d.h. f(m, tpJD mod N),
- - der von dem Verifizierenden durchgeführte Vergleich bezieht sich dann auf das Resultat der Komprimierungsfunktion, das er erhalten hat, und auf den Titel T, den der Verifizierte ihm geliefert hat zu Beginn des Verifizierungsprozesses, wobei die Echtheit der Nachricht in einer einzigen Prozedur sichergestellt ist, wenn am Ende der Prozedur Übereinstimmung besteht zwischen den Bits des Resultats der Komprimierungsfunktion, das der Verifizierende erhalten hat und den vom Verifizierten gelieferten Bits des Titels.
- Die Erfindung hat schließlich ein Verfahren zum Signieren von Nachrichten zum Gegenstand. In diesem Fall wird die Vollmacht des Signierers nach dem bekannten, weiter oben beschriebenen Verfahren des öffentlichen Schlüssels ausgearbeitet und die Signatur aus einer bekannten probabilistischen numerischen Prozedur besteht, die folgende Operationen enthält:
- - der Signierer zieht aufs Geratewohl wenigstens eine ganze Zahl r, die zum Ring der ganzen Zahlen modulo N gehört,
- - der Signierer erhebt diese ganze Zahl in die p-te Potenz modulo N,
- - der Signierer errechnet das Resultat einer Komprimierungsfunktion f, indem er als Argumente die zu signierende Nachricht m und die erhaltene Potenz rD mod N nimmt,
- - der Signierer bildet wenigstens einen Zeugen t, indem er bestimmte Operationen an n und der inversen Vollmacht B ausführt, wobei diese Operationen verbunden sind mit der Zahl D und ausgeführt werden in dem Ring der ganzen Zahlen modulo N,
- - der Signierer übermittelt die Nachricht m, seine Identität I, das Wort D, den Zeugen t, wobei das Ganze eine signierte Nachricht bildet.
- Das erfindungsgemäße Nachrichten-Signierverfahren ist dadurch gekennzeichnet, daß :
- a) bei der Ausarbeitung der Vollmacht des Signierers die Zahl p, die zur Ziehung der p-ten Wurzel der verhüllten Identität dient, groß gewählt wird und ein Mehrfaches von zehn Bits umfaßt,
- b) für die Signieroperation der Nachricht :
- - der Signierer aufs Geratewohl nur eine einzige ganze Zahl r zieht, die zu dem Ring der ganzen Zahlen modulo N gehört,
- - die Komprimierungsfunktion als Argumente die Nachricht m und die p-te Potenz von r hat, was eine Zahl D liefert,
- - der einzige vom Signierenden erzeugte Titel das Produkt ist, in dem Ring der ganzen Zahlen modulo N, der ganzen Zahl r mal der D-ten Potenz der inversen Vollmacht B,
- - daß der Signierer mit der Nachricht m seine Identität I, das Wort D und den Titel t liefert.
- Bei den beiden ersten Verfahren umfaßt die Zahl p wenigstens 10 Bits und vorzugsweise zwischen 16 und 24 Bits.
- Bei dem Signierverfahren ist die Zahl p größer und umfaßt ein Mehrfaches von 10 Bits, z.B. 60 bis 80 Bits.
- Der Wert von p ist tatsächlich der Sicherheitsfaktor einer Elementarprozedur. Wenn p passend ist für den gesuchten Zweck während man nur über eine einzige tiefe Vollmacht verfügt, kann man sich mit einer einzigen Prozedur begnügen.
- Die vorliegende Erfindung hat auch Systeme gemäß den Ansprüchen 4, 5, 6 zum Gegenstand, welche diese Verfahren anwenden.
- Auf jeden Fall wird die Erfindung besser verstanden durch die folgende Beschreibung, die sich auf die beigefügten Zeichnungen bezieht.
- - Die Figuren 1 bis 6, schon beschrieben, stellen die Verfahren S und FS der herkömmlichen Technik dar;
- - die Figur 7 stellt erfindungsgemäß das Beglaubigungsverfahren einer Vollmacht dar;
- -die Figur 8 stellt das erfindungsgemäße Nachrichten- Beglaubigungsverfahren dar;
- - die Figur 9 stellt das erfindungsgemäße Nachrichten- Signierverfahren dar;
- - die Figur 10 zeigt schematisch einen Aufbau, der die Anwendung der erfindungsgemäßen Verfahren ermöglicht.
- Die in den Figuren 7 bis 9 verwendeten Konventionen sind dieselben wie jene der Figuren 1 bis 6. In allen Fällen wird die Vollmacht erhalten durch die Verwendung einer Zahl p, die groß ist. Die Erfinder bezeichnen diese Vollmacht mit "tief" im Gegensatz zu den auf diesem Gebiet verwendeten gewöhnlichen Vollmachten, bei denen p in der Größenordnung von 2 oder 3 ist, und die in gewisser Weise "oberflächlich" sind.
- Im Falle der Chip-Karten hat man folglich, im Falle der Erfindung, folgende Prozedur:
- - die Karte zieht aufs Geratewohl ein Element r (1≤r≤N-1) in dem Ring der ganzen Zahlen modulo N, und gibt als Titel T 128 Bits der öffentlichen Potenz dieses Elements (rp mod N) an;
- - der Verifizierende zieht aufs Geratewohl einen Exponenten D von 0 bis p-1 und übermittelt in an die Karte;
- - die Karte errechnet den Zeugen t, der das Produkt ist (in dem Ring) des Elements r mal der D-ten Potenz der Vollmacht B (t=r.BD mod N);
- - Der Verifizierende berechnet in dem Ring das Produkt der p-ten Potenz des Zeugen t mal der D-ten Potenz der verhüllten Identität J, d.h. tp.JD mod N.
- Der Beweis wird akzeptiert, wenn alle veröffentlichten Bits des Titels T so wiedergefunden werden.
- Jeder der die Frage des Verifizierenden (Exponent D) erraten hat, kann aufs Geratewohl einen Zeugen t ziehen, dann im voraus die Berechnungen des Verifizierenden durchführen, d.h. das Produkt bilden, in dem Ring, des Zeugen t mit dem Exponenten p mal der verhüllten Identität J mit dem Exponenten D. Durch das Angeben des Titels T zu Beginn der Iteration, wenn die gestellte Frage wirklich D ist, ist der Zeuge t eine akzeptable Antwort.
- Diese, eine Gewinnstrategie für den Hellseher andeutende Überlegung zeigt, daß man Daten, die von der Aufzeichnug einer gelungenen Transaktion stammen und Daten aus einer Vortäuschung, konstruiert mittels Umkehrung des Ablaufs der Iteration, d.h. durch Wählen der Exponenten vor der Titeln, nicht unterscheiden kann. Der Verifizierende empfängt Informationen, die sich nicht unterscheiden lassen von jenen, die er ganz alleine hätte erzeugen können, ohne Interaktion mit dem Verifizierten, was zeigt, daß die Vollmacht in der Karte wirklich geheim bleibt.
- Um erfolgreich durch eine Beglaubigungsprozedur zu kommen, muß der Bluffer einen Exponenten D raten. Wenn die p Werte von D gleich wahrscheinlich sind, bleibt dem Bluffer die Chance 1/p. Der Sicherheitsfaktor ist folglich p.
- Bei einer solchen Prozedur übermittelt der Verifizierte etwa hundert Bits und ein Element des Rings; der Verifizierende übermittelt einen Exponenten (D). Um eine richtige Prozedur auszuführen, errechnet der Verifizierte zunächst die öffentliche Potenz des aufs Geratewohl gezogenen Elements r, dann das Produkt aus diesem Element r und der D-ten Potenz der Vollmacht B. Der Verifizierende findet mit etwas weniger Rechnen den Titel T wieder, denn er kann die Potenzrechnungen intelligent kombinieren : die D-te Potenz der verhüllten Identität J und die p-te Potenz des Zeugen t.
- Wenn der Exponent p 2¹&sup6; beträgt, dann ist der Exponent D eine Zahl mit 16 Bits. Also rechnet der Verifizierte in dem Ring 16 Quadratzahlen, dann 16 Quadratzahlen und ein Mittel von 8 Multiplikationen in einer einzigen Prozedur, mit einem Sicherheitsfaktor von 2¹&sup6;, d.h. 65536. Der Verifizierende rechnet nur 16 Quadratzahlen und führt durchschnittlich 8 Multiplikationen durch.
- Das Nachrichten-Beglaubigungsverfahren ist in der Figur 8 mit den gleichen Konventionen dargestellt, wobei der Unterschied zu Figur 7 nur in der Formation der Komprimierungsfunktion f besteht.
- Um eine Nachricht zu signieren, beginnt der Inhaber der Vollmacht B mit der Tiefe p, indem er aufs Geratewohl ein Element r zieht in dem Ring, dann die öffentliche Potenz des Elements r berechnet r(rp mod N). Dann erzeugt er einen Exponenten D mit Hilfe der Komprimierungsfunktion f, angewandt auf die Verkettung der Nachricht m und der öffentlichen Potenz des Elements r. Der Zeuge t ist das Produkt aus Element r mal der D-ten Potenz der Vollmacht B. Die signierte Nachricht ist die Verkettung der Identität I, der Nachricht m, des Exponenten d und des Zeugen t.
- Um eine Signatur zu verifizieren, berechnet der Verifizierende in dem Ring das Produkt des Zeugen t mit der Potenz p mal der verhüllten Identität J (rekonstruiert ausgehend von der proklamierten Identität I) mit der Potenz D um das wiederherzustellen, was die öffentliche Potenz des Elements r sein muß. Schließlich muß der Verifizierende den Exponenten D wiederfinden durch Anwendung der Funktion f auf die Verkettung der Nachricht m und der wiederhergestellten öffentlichen Potenz.
- Das ist in Figur 9 dargestellt.
- Wenn p sich auf beliebige 64 Bits schreibt, macht der Signierende ungefähr 192 Multiplikationen in dem Ring (er muß nacheinander zwei Potenzen mit Exponenten von 64 Bits berechnen ohne sie kombinieren zu können) um die Operation durchführen. Diese Komplexität ist schon deutlich geringer als jene des RSA- Verfahrens : durchschnittlich 768 Multiplikationen für eine aus 512 Bits gebildete Zahl und 1536 für eine aus 1024 Bits gebildete Zahl.
- Wenn p sich auf 64 beliebige Bits schreibt, macht der Verifizierende nur ungefähr 112 Multiplikationen, denn er kombiniert seine Operationen in 64 Quadratzahlen und drei mal 16 Multiplikationen durchschnittlich, um auf einen Schlag tp.JD mod N zu berechnen. Er freut sich, daß die Bevollmächtigung einfacher ist als die Ausarbeitung der Signatur, denn jede Signatur wird mehrmals zur Verifizierung aufgerufen.
- Aber, man kann 2&sup6;&sup4; wählen (d.h. eine Potenz von 2) als Exponent p, um die Berechnungen zu vereinfachen ohne die Sicherheit des Systems zu vereinfachen. Die Erhebung in die Potenz p erfolgt somit durch 64 Quadratzahlen. Der Exponent D ist eine Zahl mit 64 Bits. Die Signatur erfolgt somit in 160 Multiplikationen. Die Verifikation einer Signatur kommt durchschnittlich durch 96 Multiplikationen in dem Ring zum Ausdruck, d.h. 12,5% des RSA mit 512 Bits und 6,2% des RSA mit 1024 Bits.
- In dem oben beschriebenen alten Verfahren FS, mit 64 multiplen Vollmachten in derselben Karte, braucht es eine Quadratzahl und ein Mittel von 32 Multiplikationen. Man bezahlt die erfindungsgemäße Methode der tiefen Vollmacht mit einem Mehr an Berechnungen in der Größenordung eines Multiplikationsfaktors 3. Wenn man sich bei der alten Technik auf 8 Vollmachten in der Karte mit 8 Zeugen bei der Signatur beschränkt (8 Iterationen mit 5 Multiplikationen, d.h. 40 Multiplikationen), reduziert sich das Verhältnis noch ein wenig zugunsten der Erfindung.
- Selbstverständlich kann man auch 2&sup6;&sup4;+1 als öffentlichen Exponent wählen (d.h. eine ungerade Zahl). Um den Preis einer einzigen zusätzlichen Multiplikation, um eine öffentliche Potenz zu berechnen, hebt man so bestimmte Restriktionen bezüglich des quadratischen Rests in dem Ring auf (wenn der Exponent p gerade ist, können mehrere Elemente in dem Ring der p-ten Wurzel entsprechen, aber nur eines passend).
- Die Figur 10 stellt schematisch einen Rechner für die Anwendung der Erfindung dar.
- Der dargestellte Rechner enthält ein Eingangs-Ausgangs- Interface ES, eine Zentraleinheit UC, einen programmierbaren Speicher ausschließlich zum Lesen (PROM), einen Speicher ausschließlich zum Lesen (ROM) und einen Speicher mit direktem Zugriff (RAM). Der Rechner enthält zudem ein Organ G des Typs Rauschgenerator oder Zufallsgenerator.
- Die in den Speicher PROM geschriebenen Vollmachten und Identitätsinformationen sind von außen unzugänglich. Die Programme werden in den Speicher ROM geschrieben. Der Speicher RAM dient zur Speicherung der Rechenergebnisse. Der Generator G wird verwendet für die Zufallsziehungen diverser, in das Verfahren eingreifender Zahlen (r, D).
- Die Zentraleinheit und die Speicher können strukturiert sein wie der selbstprogrammierbare monolithische Mikrocomputer, der in dem USA-Patent 4 382 297 beschrieben wird.
- Die Komprimierungsfunktion kann den Algorithmus DES (Data Encryption Standard) in Anspruch nehmen. Es gibt eine Chipkarte, hergestellt von PHILIPS, die diesen Algorithmus DES ausführt.
Claims (6)
1. Verfahren zum Beglaubigen einer Vollmacht mit einem
Null-Kenntnis-System,
a) wobei diese Vollmacht durch ein Verfahren des Typs
mit einem öffentlichen Schlüssel mit den folgenden
Verfahrensschritten ausgearbeitet wurde:
- ein Bevollmächtigter, der berechtigt ist,
Vollmachten auszustellen, wählt zwei erste Zahlen, bildet das
Produkt N dieser beiden Zahlen, hält diese Zahlen geheim,
wählt eine ganze Zahl p und veröffentlicht N und p;
- für jeden Inhaber einer Vollmacht wird eine
numerische Identität I gebildet, die anschließend redundant
vervollständigt wird, um ein Wort J zu bilden, das verhüllte
Identität genannt wird,
- eine Vollmacht A wird durch den Bevollmächtigten
ausgearbeitet, indem die p-te Wurzel der verhüllten
Identität in dem Ring der ganzen Zahlen N (A = J1/p mod N) gezogen
wird,
- in einen geeigneten Träger mit einem Speicher
lädt der Bevollmächtigte den Kehrwert modulo N der Vollmacht
A, also eine Zahl B, die inverse Vollmacht genannt wird (BpJ
mod N = 1), wobei diese Zahl B die Vollmacht ist, die es zu
beglaubigen gilt,
b) wobei die Beglaubigung der so ausgearbeiteten
Vollmacht aus einem interaktiven und probabilistischem,
numerischen Verfahren des Typs mit einem Null-Kenntnis-System
besteht und zwischen einem eine Vollmacht enthaltenden Träger,
der "der Verifizierte" genannt wird, und einem
Beglaubigungsorgan, das "der Verifizierende" genannt wird,
stattfindet, wobei dieses Verfahren wenigstens eine numerische
Bearbeitung durch die folgenden, bekannten Operationen umfaßt:
- der Verifizierte zieht zunächst zufällig eine
ganze Zahl r, die zu dem Ring der ganzen Zahlen modulo N
gehört,
- der Verifizierte erhebt diese ganze Zahl in die
Potenz p modulo N, wobei das Ergebnis Titel T genannt wird,
- der Verifizierte händigt wenigstens einen Teil
der Bits des Titels T aus,
- der Verifizierende zieht anschließend zufällig
eine Zahl D und fordert den Verifizierten auf, bestimmte
Operationen auf r und auf die inverse Vollmacht B
auszuführen, wobei die Operationen mit der zufällig von dem
Verifizierenden gezogenen Zahl D verbunden sind und in dem Ring
der ganzen Zahlen modulo N durchgeführt werden,
- der Verifizierte händigt an den Verifizierenden
eine Zahl t, Zeuge genannt, die das Resultat dieser
Operationen ist, aus,
- der Verifizierende führt seinerseits auf dem von
dem Verifizierten ausgehändigten Zeugen t und auf der
verhüllten Identität J des Verifizierten Operationen durch,
wobei die Operationen ihrerseits auch mit der zufällig von dem
Verifizierenden gezogenen Zahl D verbunden sind und in dem
Ring der ganzen Zahlen modulo N durchgeführt werden,
- der Verifizierende vergleicht das so erhaltene
Ergebnis mit den Bits des Titels T, den der Verifizierte zu
Beginn des Verifizierungsprozesses ausgehändigt hat, und
läßt die Beglaubigung der Vollmacht zu, wenn er diese Bits
wiederfindet,
wobei dieses Verfahren gekennzeichnet ist durch die
Tatsache, daß:
a) bei der Ausarbeitung der Vollmacht (B) die Zahl p,
die zum Ziehen der p-ten Wurzel der verhüllten Identität (J)
dient, groß gewählt wird und wenigsten etwa zehn Bits
umfaßt,
b) für die Beglaubigung der Vollmacht das Verfahren nur
eine interaktive und probabilistische Bearbeitung aufweist,
wobei die einzige Bearbeitung aus den folgenden Operationen
besteht:
- die Zahl D, die der Verifizierende zufällig
zieht, ist eine ganze Zahl zwischen 0 und p-1, die Grenzen
eingeschlossen,
- die Operation, die der Verifizierte durchführt,
um einen Zeugen t auszuhändigen, ist das Produkt in dem Ring
der ganzen Zahlen modulo N des Elements r, das er selbst
zufällig gezogen hat, mit der D-ten Potenz der inversen
Vollmacht B, wobei der Zeuge also t = r BD mod N ist,
- die Operationen, die der Verifizierende
durchführt, ist das Produkt im Ring der ganzen Zahlen modulo N
der p-ten Potenz des Zeugen t mit der D-ten Potenz der
verhüllten Identität J, also tpJD mod N,
- die von dem Verifizierenden durchgeführte
Vergleichsoperation bezieht sich zunächst auf die Bits des von
dem Verifizierten ausgehändigten Titels T und auf die durch
die vorhergehende Operation erhaltenen Bits, wobei die
Beglaubigung der Vollmacht in einer einzigen Bearbeitung
erhalten wird, sobald alle Bits des von dem Verifizierten
ausgehändigten Titels von dem Verifizierenden in tpJD mod N
wiedergefunden werden.
2. Verfahren zum Beglaubigen einer Nachricht, wobei
diese Nachricht von einem Befehlsgeber kommt, der
bevollmächtigt sein soll,
a) wobei diese Vollmacht des Befehlsgebers aus einem
numerischen Wort B besteht, das durch ein Verfahren mit einem
öffentlichen Schlüssel mit den folgenden Verfahrensschritten
erhalten wurde:
- ein Bevollmächtigter, der berechtigt ist,
Vollmachten auszustellen, wählt zwei erste Zahlen, bildet das
Produkt N dieser beiden Zahlen, hält diese Zahlen geheim,
wählt eine ganze Zahl p und veröffentlicht N und p;
- für jeden Befehlsgeber wird eine numerische
Identität I gebildet, die anschließend redundant vervollständigt
wird, um ein Wort J zu bilden, das verhüllte Identität
genannt wird,
- eine Vollmacht A wird durch den Bevollmächtigten
ausgearbeitet, indem die p-te Wurzel der verhüllten
Identität in dem Ring der ganzen Zahlen N (A = J1/p mod N) gezogen
wird,
- in einen geeigneten Träger, den der Befehlsgeber
besitzt, lädt der Bevollmächtigte den Kehrwert modulo N der
Vollmacht A, also eine Zahl B, die inverse Vollmacht genannt
wird (BpJ mod N = 1),
b) wobei die Beglaubigung der von einem so
bevollmächtigten Befehlsgeber ausgesandten Nachricht aus einem
interaktiven und probabilistischem, numerischen Verfahren des
Typs mit einem Null-Kenntnis-System besteht und zwischen dem
Träger des als bevollmächtigt anerkannten Befehlsgebers, der
"der Verifizierte" genannt wird, und einem
Beglaubigungsorgan, das "der Verifizierende" genannt wird, stattfindet,
wobei dieses Verfahren wenigstens eine numerische Bearbeitung
durch die folgenden, bekannten Operationen umfaßt:
- der Verifizierte zieht zunächst zufällig eine
ganze Zahl r, die zu dem Ring der ganzen Zahlen modulo N
gehört,
- der Verifizierte erhebt diese ganze Zahl r in die
Potenz p modulo N und berechnet ein Ergebnis durch eine
Komprimierungsfunktion, indem er als Argument die Nachricht m
und rp mod N nimmt, also f (m, rp mod N), wobei das Ergebnis
Titel T genannt wird,
- der Verifizierte händigt wenigstens einen Teil
der Bits des Titels T aus,
- der Verifizierende zieht anschließend zufällig
eine Zahl D und fordert den Verifizierten auf, bestimmte
Operationen auf r und auf die inverse Vollmacht B
anzuwenden, wobei die Operationen mit der zufällig von dem
Verifizierenden gezogenen Zahl D verbunden sind und in dem Ring
der ganzen Zahlen modulo N durchgeführt werden,
- der Verifizierte händigt an den Verifizierenden
eine Zahl t, Zeuge genannt, die das Resultat dieser
Operationen ist, aus,
- der Verifizierende führt seinerseits auf dem von
dem Verifizierten ausgehändigten Zeugen t und auf der
verhüllten Identität J des Verifizierten Operationen durch,
wobei die Operationen ihrerseits auch mit der zufällig von dem
Verifizierenden gezogenen Zahl D verbunden sind und in dem
Ring der ganzen Zahlen modulo N durchgeführt werden,
- der Verifizierende bildet eine
Komprimierungsfunktion, indem er als Argument die zu beglaubigende
Nachricht m und das Resultat der vorhergehenden Operationen
nimmt, also f(m, t, J),
- der Verifizierende vergleicht das erhaltene
Ergebnis der Komprimierungsfunktion mit dem Titel T, den der
Verifizierte zu Beginn des Verifizierungsprozesses
ausgehändigt hat,
wobei dieses Verfahren gekennzeichnet ist durch die
Tatsache, daß:
a) bei der Ausarbeitung der Vollmacht des Befehlsgebers
die Zahl p, die zum Ziehen der p-ten Wurzel der verhüllten
Identität dient, groß gewählt wird und wenigsten etwa zehn
Bits umfaßt,
b) für die Beglaubigung der Vollmacht das Verfahren nur
eine interaktive und probabilistische Bearbeitung aufweist
(und nicht eine Wiederholung einer solchen Bearbeitung),
wobei die einzige Bearbeitung aus den folgenden Operationen
besteht:
- die Zahl D, die der Verifizierende zufällig
zieht, ist eine ganze Zahl zwischen 0 und p-1, die Grenzen
eingeschlossen,
- die Operation, die der Verifizierte durchführt,
um den Zeugen t auszuhändigen, ist das Produkt in dem Ring
der ganzen Zahlen modulo N des Elements r, das er selbst
zufällig gezogen hat, mit der D-ten Potenz der inversen
Vollmacht B ist, wobei der Zeuge also t = r BD mod N ist,
- die Operationen, die der Verifizierende
durchführt, ist das Produkt im Ring der ganzen Zahlen modulo N
der p-ten Potenz des Zeugen t mit der D-ten Potenz der
verhüllten Identität J,
- der Verifizierende bildet die
Komprimierungsfunktion der Nachricht und des Ergebnisses der vorhergehenden
Operationen, also f(m, tpJD mod N),
- der von dem Verifizierenden durchgeführte
Vergleich bezieht sich zunächst auf das Ergebnis der
Komprimierungsfunktion, das er erhalten hat, und auf den Titel T,
den der Verifizierte ihm zu Beginn des
Verifikationsprozesses
ausgehändigt hat, wobei die Beglaubigung der Nachricht
in einer einzigen Bearbeitung erhalten wird, sobald es am
Ende dieser Bearbeitung eine Entsprechung zwischen allen
Bits des von dem Verifizierenden erhaltenen Ergebnisses der
Komprimierungsfunktion und des von dem Verifizierten
ausgehändigten Titels gibt.
3. Verfahren zum Unterschreiben durch eine Person, wobei
diese Person bevollmächtigt sein soll,
a) wobei diese Vollmacht einer Nachrichten
unterzeichnenden Person durch ein Verfahren mit einem öffentlichen
Schlüssel mit den folgenden Verfahrensschritten erarbeitet
wurde:
- ein Bevollmächtigter, der berechtigt ist,
Vollmachten auszustellen, wählt zwei erste Zahlen, bildet das
Produkt N dieser beiden Zahlen, hält diese Zahlen geheim,
wählt eine ganze Zahl p und veröffentlicht N und p;
- für jede unterschreibende Person wird eine
numerische Identität I gebildet, die anschließend redundant
vervollständigt wird, um ein Wort J zu bilden, das verhüllte
Identität genannt wird,
- eine Vollmacht A wird durch den Bevollmächtigten
ausgearbeitet, indem die p-te Wurzel der verhüllten
Identität in dem Ring der ganzen Zahlen N (A = J1/p mod N) gezogen
wird,
- in einen geeigneten Träger, den die
unterschreibende Person besitzt, lädt der Bevollmächtigte den Kehrwert
modulo N der Vollmacht A, also eine Zahl B, die inverse
Vollmacht genannt wird (BpJ mod N = 1),
b) wobei die Unterzeichnung einer Nachricht m durch
einen Unterzeichnenden der Identität I aus einem
interaktiven und probabilistischem, numerischen Verfahren des Typs
mit einem Null-Kenntnis-System besteht, das die folgenden
Operationen umfaßt:
- der Unterzeichnende zieht zunächst zufällig eine
ganze Zahl r, die zu dem Ring der ganzen Zahlen modulo N
gehört,
- der Unterzeichnende erhebt diese ganze Zahl r in
die Potenz p modulo N,
- der Unterzeichnende berechnet das Ergebnis einer
Komprimierungsfunktion f, indem er als Argument die zu
unterzeichnende Nachricht m und die erhaltene Potenz rp nimmt,
- der Unterzeichnende bildet wenigstens einen
Zeugen t, indem er bestimmte Operationen auf r und die inverse
Vollmacht B durchführt, wobei diese Operationen mit der Zahl
D verbunden sind und in dem Ring der ganzen Zahlen modulo N
durchgeführt werden,
- der Unterzeichnende überträgt die Nachricht m,
seine Identität I, das Wort D, den Zeugen t, wobei die
Gesamtheit eine unterzeichnete Nachricht bildet,
wobei dieses Verfahren gekennzeichnet ist durch die
Tatsache, daß:
a) bei der Ausarbeitung der Vollmacht des
Unterzeichnenden die Zahl p, die zum Ziehen der p-ten Wurzel der
verhüllten
Identität dient, groß gewählt wird und wenigsten etwa
zehn Bits umfaßt,
b) für die Durchführung der Unterzeichnung der Nachricht
- der Unterzeichnende nur eine ganze Zahl r
zufällig zieht, die zum Ring der ganzen Zahlen modulo N gehört,
- die Komprimierungsfunktion als Argumente die
Nachricht m und die p-te Potenz von r hat, was eine Zahl D
ergibt,
- der einzige Zeuge, der von dem Unterzeichnenden
gebildet wird, das Produkt im Ring der ganzen Zahlen modulo
N der ganzen Zahl r mit der D-ten Potenz der inversen
Vollmacht B ist,
- der Unterzeichnende mit der Nachricht m seine
Identität, das Wort D und den Zeugen t liefert.
4. System zum Beglaubigen einer Vollmacht mit einem
Null-Kenntnis-System mit:
a) Vorrichtungen zum Ausarbeiten dieser Vollmacht durch
ein Verfahren des Typs mit einem öffentlichen Schlüssel,
wobei diese Vorrichtungen umfassen:
- bei einem Bevollmächtigten, der berechtigt ist,
Vollmachten auszustellen, Vorrichtungen zum Auswählen zweier
erster Zahlen, zum Bilden des Produkts N dieser beiden
Zahlen, zum Geheimhalten dieser Zahlen, zum Auswählen einer
ganzen Zahl p und zum Veröffentlichen von N und p;
- Vorrichtungen zum Bilden für jeden Inhaber einer
Vollmacht einer numerischen Identität I und zum redundanten
Vervollständigen dieser Identität, um ein Wort J zu bilden,
das verhüllte Identität genannt wird,
- Vorrichtungen zum Ausarbeiten einer Vollmacht A,
wobei diese Vorrichtungen geeignet sind, die p-te Wurzel der
verhüllten Identität in dem Ring der ganzen Zahlen N (A =
J1/P mod N) zu ziehen,
- einen geeigneten Träger mit einem Speicher, in
den der Kehrwert modulo N der Vollmacht A, also eine Zahl B,
die inverse Vollmacht genannt wird (BpJ mod N = 1), geladen
wird, wobei diese Zahl B die Vollmacht ist, die es zu
beglaubigen gilt,
b) Vorrichtungen zum Beglaubigen der Vollmacht bestehend
aus Vorrichtungen zum Ausführen eines interaktiven und
probabilistischen, numerischen Verfahrens des Typs mit einem
Null-Kenntnis-System, das zwischen einem eine Vollmacht
enthaltenden Träger, der "der Verifizierte" genannt wird, und
einem Beglaubigungsorgan, das "der Verifizierende" genannt
wird, stattfindet, wobei diese Vorrichtungen umfassen:
- eine Vorrichtung in dem Verifizierten, um
zunächst zufällig eine ganze Zahl r zu ziehen, die zu dem
Ring der ganzen Zahlen modulo N gehört,
- eine Vorrichtung in dem Verifizierten, um diese
ganze Zahl in die Potenz p modulo N zu erheben, wobei das
Ergebnis Titel T genannt wird,
- Vorrichtungen in dem Verifizierten, um wenigstens
einen Teil der Bits des Titels T auszuhändigen,
- Vorrichtungen in dem Verifizierenden, um
anschließend zufällig eine Zahl D zu ziehen und den
Verifizierten auf zufordern,
bestimmte Operationen auf r und auf
die inverse Vollmacht B auszuführen, wobei diese Operationen
mit der zufällig mittels der Vorrichtungen des
Verifizierenden gezogenen Zahl D verbunden sind und in dem Ring der
ganzen Zahlen modulo N durchgeführt werden,
- Vorrichtungen in dem Verifizierten, um an den
Verifizierenden eine Zahl t, Zeuge genannt, auszuhändigen, die
das Resultat dieser Operationen ist,
- Vorrichtungen in dem Verifizierenden, um
seinerseits auf dem von dem Verifizierten ausgehändigten Zeugen t
und auf der verhüllten Identität J des Verifizierten
Operationen durchzuführen, wobei die Operationen ihrerseits auch
mit der zufällig von dem Verifizierenden gezogenen Zahl D
verbunden sind und in dem Ring der ganzen Zahlen modulo N
durchgeführt werden,
- Vorrichtungen in dem Verifizierenden, um das so
erhaltene Ergebnis mit den Bits des Titels T, den die
Vorrichtungen des Verifizierten zu Beginn des
Verifizierungsprozesses ausgehändigt haben, zu vergleichen und die
Beglaubigung der Vollmacht zuzulassen, wenn er diese Bits
wiederfindet,
wobei dieses System gekennzeichnet ist durch die
Tatsache, daß:
a) in den Vorrichtungen zur Ausarbeitung der Vollmacht B
die Vorrichtungen zur Auswahl der Zahl p, die zum Ziehen der
p-ten Wurzel der verhüllten Identität (J) dient, geeignet
sind, eine große Zahl, die wenigstens etwa zehn Bits umfaßt,
zu wählen
b) in den Vorrichtungen zur Beglaubigung der Vollmacht
die Vorrichtungen geeignet sind, nur eine interaktive und
probabilistische Bearbeitung durchzuführen (und nicht eine
Wiederholung einer solchen Bearbeitung), wobei diese
Vorrichtungen bestehen aus:
- Vorrichtungen, damit die Zahl D, die der
Verifizierende zufällig zieht, eine ganze Zahl zwischen 0 und p-1,
die Grenzen eingeschlossen, ist,
- Vorrichtungen in dem Verifizierten, um einen
Zeugen t auszuhändigen, die geeignet sind, das Produkt in dem
Ring der ganzen Zahlen modulo N des zufällig gezogenen
Elements r mit der D-ten Potenz der inversen Vollmacht B zu
bilden, wobei der Zeuge also t = r BD mod N ist,
- Vorrichtungen in dem Verifizierenden, die
geeignet sind, das Produkt im Ring der ganzen Zahlen modulo N
der p-ten Potenz des Zeugen t mit der D-ten Potenz der
verhüllten Identität J, also tpJD mod N, zu berechnen,
- Vergleichsvorrichtungen in dem Verifizierenden,
die geeignet sind, die Bits des von den Vorrichtungen des
Verifizierten ausgehändigten Titels T und die durch die
vorhergehende Operation erhaltenen Bits zu vergleichen, wobei
die Beglaubigung der Vollmacht in einer einzigen Bearbeitung
erhalten wird, sobald alle Bits des von dem Verifizierten
ausgehändigten Titels von dem Verifizierenden in tpJD mod N
wiedergefunden werden.
5. System zum Beglaubigen einer Nachricht, wobei diese
Nachricht von einem Befehlsgeber kommt, der bevollmächtigt
sein soll, mit:
a) Vorrichtungen, die bei einem Befehlsgeber angeordnet
sind zum Bilden eines numerischen Wortes B durch ein
Verfahren mit öffentlichem Schlüssel, wobei diese Vorrichtungen
umfassen:
- bei einem Bevollmächtigten, der berechtigt ist,
Vollmachten auszustellen, Vorrichtungen zum Auswählen zweier
erster Zahlen, zum Bilden des Produkts N dieser beiden
Zahlen, zum Geheimhalten dieser Zahlen, zum Auswählen einer
ganzen Zahl p und zum Veröffentlichen von N und p;
- Vorrichtungen zum Bilden für jeden Befehlsgeber
einer numerischen Identität I und zum redundanten
Vervollständigen dieser Identität, um ein Wort J zu bilden, das
verhüllte Identität genannt wird,
- Vorrichtungen zum Ausarbeiten einer Vollmacht A
durch den Bevollmächtigten und zum Ziehen der p-ten Wurzel
der verhüllten Identität in dem Ring der ganzen Zahlen N (A
= J1/p mod N),
- einen geeigneten Träger, der von dem Befehlsgeber
gehalten wird, wobei der Bevollmächtigte in diesen Träger
den Kehrwert modulo N der Vollmacht A, also eine Zahl B, die
inverse Vollmacht genannt wird (BpJ mod N = 1), lädt,
b) Vorrichtungen zum Beglaubigen einer Nachricht m, die
von dem derart bevollmächtigten Befehlsgeber ausgesandt
wird, bestehend aus Vorrichtungen zum Ausführen eines
interaktiven und probabilistischen, numerischen Verfahrens des
Typs mit einem Null-Kenntnis-System, das zwischen dem Träger
des für bevollmächtigt angenommenen Befehlsgebers, der "der
Verifizierte" genannt wird, und einem Beglaubigungsorgan,
das "der Verifizierende" genannt wird, stattfindet, wobei
diese Vorrichtungen umfassen:
- eine Vorrichtung in dem Verifizierten, um
zunächst zufällig eine ganze Zahl r zu ziehen, die zu dem
Ring der ganzen Zahlen modulo N gehört,
- eine Vorrichtung in dem Verifizierten, um diese
ganze Zahl in die Potenz p modulo N zu erheben und ein
Ergebnis durch eine Komprimierungsfunktion zu berechnen, wobei
als Argument die Nachricht m und rp mod N genommen wird,
also f (m, rp mod N), wobei das Ergebnis Titel T genannt
wird,
- Vorrichtungen in dem Verifizierten, um wenigstens
einen Teil der Bits des Titels T auszuhändigen,
- Vorrichtungen in dem Verifizierenden, um
anschließend zufällig eine Zahl D zu ziehen und den
Verifizierten aufzufordern, bestimmte Operationen auf r und auf
die inverse Vollmacht B anzuwenden, wobei diese Operationen
mit der zufällig von dem Verifizierenden gezogenen Zahl D
verbunden sind und in dem Ring der ganzen Zahlen modulo N
durchgeführt werden,
- Vorrichtungen in dem Verifizierten, um an den
Verifizierenden eine Zahl t, Zeuge genannt, auszuhändigen, die
das Resultat dieser Operationen ist,
- Vorrichtungen in dem Verifizierenden, um
seinerseits auf dem von dem Verifizierten ausgehändigten Zeugen t
und auf der verhüllten Identität J des Verifizierten
Operationen durchzuführen, wobei die Operationen ihrerseits auch
mit der zufällig von dem Verifizierenden gezogenen Zahl D
verbunden sind und in dem Ring der ganzen Zahlen modulo N
durchgeführt werden,
- Vorrichtungen in dem Verifizierenden zum Bilden
einer Komprimierungsfunktion, indem als Argumente die zu
beglaubigende Nachricht m und das Ergebnis der vorhergehenden
Operationen genommen wird, also f (m, t, J),
- Vorrichtungen in dem Verifizierenden, um die
erhaltene Komprimierungsfunktion mit dem Titel T, den der
Verifizierte zu Beginn des Verifizierungsprozesses
ausgehändigt hat, zu vergleichen,
wobei dieses System gekennzeichnet ist durch die
Tatsache, daß:
a) in den Vorrichtungen zur Ausarbeitung der Vollmacht
des Befehlsgebers die Zahl p, die zum Ziehen der p-ten
Wurzel der verhüllten Identität (J) dient, groß gewählt wird
und wenigstens etwa zehn Bits umfaßt,
b) in den Vorrichtungen zur Beglaubigung der Vollmacht
die Vorrichtungen geeignet sind, nur eine interaktive und
probabilistische Bearbeitung durchzuführen (und nicht eine
Wiederholung einer solchen Bearbeitung), wobei diese
Vorrichtungen bestehen aus:
- Vorrichtungen, um zufällig als Zahl D eine ganze
Zahl zwischen 0 und p-1, die Grenzen eingeschlossen, zu
ziehen,
- Vorrichtungen in dem Verifizierten, um einen
Zeugen t auszuhändigen, der das Produkt in dem Ring der ganzen
Zahlen modulo N des Elements r, das er selbst gezogen hat,
mit der D-ten Potenz der inversen Vollmacht B ist, wobei der
Zeuge also t = r BD mod N ist,
- Vorrichtungen in dem Verifizierenden zum Bilden
des Produkts im Ring der ganzen Zahlen modulo N der p-ten
Potenz des Zeugen t mit der D-ten Potenz der verhüllten
Identität J,
- Vorrichtung in dem Verifizierenden zum Bilden der
Komprimierungsfunktion der Nachricht und des Ergebnisses der
vorhergehenden Operationen, also f (m, tp, JD mod N),
- Vergleichsvorrichtungen in dem Verifizierenden,
die sich auf das Ergebnis der Komprimierungsfunktion, das
die Vorrichtungen des Verifizierenden erhalten haben, und
auf den ihm von den Vorrichtungen des Verifizierten
ausgehändigten Titel T beziehen, wobei die Beglaubigung der
Nachricht in einer einzigen Bearbeitung erhalten wird, sobald am
Ende der Bearbeitung es eine Entsprechung zwischen allen
Bits des Ergebnisses der von dem Verifizierenden erhaltenen
Komprimierungsfunktion und den Bits des von dem
Verifizierten ausgehändigten Titels gibt.
6. System zum Unterzeichnen einer Nachricht durch eine
Person, wobei diese Person bevollmächtigt sein soll, mit:
a) Vorrichtungen zum Ausarbeiten einer Vollmacht einer
Nachrichten unterzeichnenden Person, wobei diese
Vorrichtungen
ein Verfahren mit öffentlichem Schlüssel ausführen und
umfassen:
- bei einem Bevollmächtigten, der berechtigt ist,
Vollmachten auszustellen, Vorrichtungen zum Auswählen zweier
erster Zahlen, zum Bilden des Produkts N dieser beiden
Zahlen, zum Geheimhalten dieser beiden ersten Zahlen, zum
Auswählen einer ganzen Zahl p und zum Veröffentlichen von N und
p;
- Vorrichtungen zum Bilden für jede unterzeichnende
Person einer numerischen Identität I und zum redundanten
Vervollständigen dieser Identität, um ein Wort J zu bilden,
das verhüllte Identität genannt wird,
- Vorrichtungen zum Ausarbeiten einer Vollmacht A
durch den Bevollmächtigten und zum Ziehen der p-te Wurzel
der verhüllten Identität in dem Ring der ganzen Zahlen N (A
= J1/p mod N),
- einen geeigneten Träger, der von dem
Unterzeichnenden gehalten wird, in den der Bevollmächtigte den
Kehrwert modulo N der Vollmacht A, also eine Zahl B, die inverse
Vollmacht genannt wird (BpJ mod N = 1), laden kann,
b) Vorrichtungen zum Bilden der Unterschrift einer
Nachricht m durch einen Unterschreibenden der Identität I, wobei
diese Vorrichtungen umfassen:
- Vorrichtungen bei dem Unterzeichnenden, um
zufällig wenigstens eine ganze Zahl r zu ziehen, die zu dem Ring
der ganzen Zahlen modulo N gehört,
- Vorrichtungen bei dem Unterzeichnenden, um diese
ganze Zahl in die Potenz p modulo N zu erheben,
- Vorrichtungen bei dem Unterzeichnenden, um das
Ergebnis einer Komprimierungsfunktion f zu berechnen, wobei
als Argument die zu unterzeichnende Nachricht m und die
erhaltene Potenz rp genommen wird,
- Vorrichtungen bei dem Unterzeichnenden, um
wenigstens einen Zeugen t zu bilden, indem bestimmte Operationen
auf r und auf die inverse Vollmacht B ausgeführt werden,
wobei diese Operationen mit der zufällig gezogenen Zahl D
verbunden sind und in dem Ring der ganzen Zahlen modulo N
durchgeführt werden,
- Vorrichtungen bei dem Unterzeichnenden zum
Übertragen der Nachricht m, seiner Identität I, des Wortes D und
des Zeugen t, wobei die Anordnung eine unterzeichnete
Nachricht darstellt,
wobei dieses System gekennzeichnet ist durch die
Tatsache, daß:
a) in den Vorrichtungen zur Ausarbeitung der Vollmacht
des Unterzeichnenden die Vorrichtungen zur Auswahl der Zahl
p, die zum Ziehen der p-ten Wurzel der verhüllten Identität
(J) dient, geeignet sind, eine große Zahl zu wählen, die
wenigstens etwa zehn Bits umfaßt,
b) in den Vorrichtungen zur Durchführung der
Unterzeichnung der Nachricht:
- die Vorrichtungen des Unterzeichnenden nur eine
ganze Zahl r zufällig ziehen, die zum Ring der ganzen Zahlen
modulo N gehört,
- die Komprimierungsvorrichtungen mit Argumenten
arbeiten, die die Nachricht m und die p-te Potenz von r
sind, was eine Zahl D ergibt,
- die Vorrichtungen zum Bilden eines einzigen
Zeugen durch den Unterzeichnenden geeignet sind, in dem Ring
der ganzen Zahlen modulo N das Produkt der ganzen Zahl r mit
der D-ten Potenz der inversen Vollmacht B zu bilden,
- die Vorrichtungen des Unterzeichnenden mit der
Nachricht m, seine Identität, das Wort D und den Zeugen t
liefern.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR8712366A FR2620248B1 (fr) | 1987-09-07 | 1987-09-07 | Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de messages |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE3876741D1 DE3876741D1 (de) | 1993-01-28 |
| DE3876741T2 true DE3876741T2 (de) | 1993-06-24 |
Family
ID=9354667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE8888402231T Expired - Fee Related DE3876741T2 (de) | 1987-09-07 | 1988-09-05 | Vorrichtungen und verfahren zum beglaubigen von vollmachten oder nachrichten mittels eines null-kenntnis-probe-systems und zum unterschreiben von nachrichten. |
Country Status (10)
| Country | Link |
|---|---|
| EP (1) | EP0311470B1 (de) |
| JP (2) | JP3158118B2 (de) |
| KR (1) | KR960008209B1 (de) |
| AT (1) | ATE83573T1 (de) |
| AU (1) | AU613084B2 (de) |
| CA (1) | CA1295706C (de) |
| DE (1) | DE3876741T2 (de) |
| ES (1) | ES2037260T3 (de) |
| FI (1) | FI97170C (de) |
| FR (1) | FR2620248B1 (de) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2663141B1 (fr) * | 1990-06-11 | 1992-08-21 | France Etat | Procede de transfert de secret, par echange de deux certificats entre deux microcalculateurs s'authentifiant reciproquement. |
| US4868877A (en) * | 1988-02-12 | 1989-09-19 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
| US5005200A (en) * | 1988-02-12 | 1991-04-02 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
| FR2654288B1 (fr) * | 1989-11-08 | 1996-11-29 | Europ Rech Electr Lab | Procede d'authentification d'une carte a microprocesseur et systeme le mettant en óoeuvre. |
| AU648643B2 (en) * | 1991-02-07 | 1994-04-28 | Thomson Multimedia S.A. | Method, identification device and verification device for identification and/or performing digital signature |
| FR2718311A1 (fr) * | 1994-03-30 | 1995-10-06 | Trt Telecom Radio Electr | Dispositif de mise en Óoeuvre d'un système de signature de message et carte à puce comportant un tel dispositif. |
| US5539828A (en) * | 1994-05-31 | 1996-07-23 | Intel Corporation | Apparatus and method for providing secured communications |
| FR2747257B1 (fr) * | 1996-04-09 | 1998-09-11 | Gilbert Henri | Procede d'identification et/ou de signature |
| FR2763451B1 (fr) * | 1997-05-13 | 1999-06-18 | France Telecom | Procede d'identification a cle publique utilisant deux fonctions de hachage |
| FR2763452B1 (fr) * | 1997-05-13 | 1999-06-18 | France Telecom | Procede d'identification a cle publique |
| FR2773406B1 (fr) * | 1998-01-06 | 2003-12-19 | Schlumberger Ind Sa | Procede d'authentification de cartes a circuit integre |
| AU769446C (en) | 1999-01-27 | 2007-09-20 | France Telecom | Method for proving the authenticity or integrity of a message by means of a public exponent equal to the power of two |
| FR2788911A1 (fr) * | 1999-01-27 | 2000-07-28 | France Telecom | Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message |
| FR2788910A1 (fr) * | 1999-01-27 | 2000-07-28 | France Telecom | Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message |
| KR100844546B1 (ko) * | 1999-10-01 | 2008-07-08 | 프랑스 텔레콤 | 엔티티의 진정성 또는 메시지의 무결성 검증방법, 시스템 및 장치 |
| ATE518327T1 (de) * | 1999-10-01 | 2011-08-15 | Phentam Dire Nv Llc | Verfahren, system und vorrichtung zum beweis der authentizität einer einheit oder der integrität einer nachricht |
| FR2822002B1 (fr) | 2001-03-12 | 2003-06-06 | France Telecom | Authentification cryptographique par modules ephemeres |
| US7631196B2 (en) | 2002-02-25 | 2009-12-08 | Intel Corporation | Method and apparatus for loading a trustable operating system |
| US7444512B2 (en) * | 2003-04-11 | 2008-10-28 | Intel Corporation | Establishing trust without revealing identity |
| US8037314B2 (en) | 2003-12-22 | 2011-10-11 | Intel Corporation | Replacing blinded authentication authority |
| US7802085B2 (en) | 2004-02-18 | 2010-09-21 | Intel Corporation | Apparatus and method for distributing private keys to an entity with minimal secret, unique information |
| US8924728B2 (en) | 2004-11-30 | 2014-12-30 | Intel Corporation | Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information |
| US7809957B2 (en) | 2005-09-29 | 2010-10-05 | Intel Corporation | Trusted platform module for generating sealed data |
| US8014530B2 (en) | 2006-03-22 | 2011-09-06 | Intel Corporation | Method and apparatus for authenticated, recoverable key distribution with no database secrets |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2102606B (en) * | 1981-06-19 | 1985-01-30 | Nat Res Dev | Apparatus and methods for making payments electronically |
| FR2536928B1 (fr) * | 1982-11-30 | 1989-10-06 | France Etat | Systeme pour chiffrer et dechiffrer des informations, du type utilisant un systeme de dechiffrement a cle publique |
| US4748668A (en) * | 1986-07-09 | 1988-05-31 | Yeda Research And Development Company Limited | Method, apparatus and article for identification and signature |
-
1987
- 1987-09-07 FR FR8712366A patent/FR2620248B1/fr not_active Expired
-
1988
- 1988-09-05 AT AT88402231T patent/ATE83573T1/de not_active IP Right Cessation
- 1988-09-05 EP EP88402231A patent/EP0311470B1/de not_active Expired - Lifetime
- 1988-09-05 ES ES198888402231T patent/ES2037260T3/es not_active Expired - Lifetime
- 1988-09-05 DE DE8888402231T patent/DE3876741T2/de not_active Expired - Fee Related
- 1988-09-05 FI FI884082A patent/FI97170C/fi not_active IP Right Cessation
- 1988-09-06 CA CA000576531A patent/CA1295706C/en not_active Expired - Lifetime
- 1988-09-07 AU AU21971/88A patent/AU613084B2/en not_active Ceased
- 1988-09-07 KR KR1019880011581A patent/KR960008209B1/ko not_active IP Right Cessation
- 1988-09-07 JP JP22436388A patent/JP3158118B2/ja not_active Expired - Fee Related
-
2000
- 2000-04-14 JP JP2000114230A patent/JP2000358027A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| FI97170B (fi) | 1996-07-15 |
| EP0311470B1 (de) | 1992-12-16 |
| DE3876741D1 (de) | 1993-01-28 |
| ES2037260T3 (es) | 1993-06-16 |
| FI884082A (fi) | 1989-03-08 |
| JP2000358027A (ja) | 2000-12-26 |
| AU613084B2 (en) | 1991-07-25 |
| KR960008209B1 (ko) | 1996-06-20 |
| KR890005634A (ko) | 1989-05-16 |
| JP3158118B2 (ja) | 2001-04-23 |
| AU2197188A (en) | 1989-03-23 |
| FI97170C (fi) | 1996-10-25 |
| FR2620248B1 (fr) | 1989-11-24 |
| FR2620248A1 (fr) | 1989-03-10 |
| EP0311470A1 (de) | 1989-04-12 |
| JPH01133092A (ja) | 1989-05-25 |
| FI884082A0 (fi) | 1988-09-05 |
| CA1295706C (en) | 1992-02-11 |
| ATE83573T1 (de) | 1993-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE3876741T2 (de) | Vorrichtungen und verfahren zum beglaubigen von vollmachten oder nachrichten mittels eines null-kenntnis-probe-systems und zum unterschreiben von nachrichten. | |
| DE3685987T2 (de) | Verfahren zum vermindern der fuer eine rsa-verschluesselung benoetigten veraenderlichen speicherkapazitaet. | |
| EP0472714B1 (de) | Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders | |
| DE68919923T2 (de) | Verfahren und Vorrichtung zur Authentifizierung. | |
| DE69533328T2 (de) | Beglaubigungseinrichtung | |
| DE69629857T2 (de) | Datenkommunikationssystem unter Verwendung öffentlicher Schlüssel | |
| DE69031614T2 (de) | Wahlweise moderierte Transaktionssysteme | |
| DE69031868T2 (de) | Verfahren zur personenidentifizierung mittels berechtigungsbeweis | |
| DE2843583C2 (de) | Verfahren für den zugriffsicheren Nachrichtenverkehr über einen ungesicherten Nachrichtenübertragungskanal | |
| DE69735464T2 (de) | Authentifizierungsverfahren, Kommunikationsverfahren und Informationsverarbeitungseinrichtung | |
| DE3781612T2 (de) | Verfahren zum beglaubigen der echtheit von daten, ausgetauscht durch zwei vorrichtungen, die oertlich oder entfernt mittels einer uebertragungsleitung verbunden sind. | |
| DE69112191T2 (de) | Fernsteuerbares Zugangssystem. | |
| DE3782099T2 (de) | Verfahren, vorrichtung und geraet zum identifizieren und unterschreiben. | |
| EP1076887B1 (de) | Verfahren zur authentisierung einer chipkarte innerhalb eines nachrichtenübertragungs-netzwerks | |
| DE69006241T2 (de) | Verfahren und Apparat für Benützeridentifikation, beruhend auf permutierten Kernen. | |
| DE69202699T2 (de) | Verfahren, Identifizierungs- und Verifiziereinrichtung zur Identifizierung und/oder Ausführung digitaler Unterschriften. | |
| DE60124011T2 (de) | Verfahren und system zur autorisierung der erzeugung asymmetrischer kryptoschlüssel | |
| DE69830902T2 (de) | Zweiweg-authentifizierung-protokoll | |
| EP2810400B1 (de) | Kryptographisches authentifizierungs - und identifikationsverfahren mit realzeitverschlüsselung | |
| DE3319919A1 (de) | Schutzsystem fuer intelligenz-karten | |
| DE19804054A1 (de) | System zur Verifizierung von Datenkarten | |
| CH660822A5 (de) | Zufallsprimzahlen-erzeugungsmittel in einer mit oeffentlichem schluessel arbeitenden daten-verschluesselungsanlage. | |
| DE10148415C2 (de) | Verfahren und Vorrichtung zum Verschlüsseln und Entschlüsseln von Daten | |
| WO2013135337A1 (de) | Verfahren und system zur gesicherten kommunikation zwischen einem rfid-tag und einem lesegerät | |
| DE3036596A1 (de) | Verfahren zum gesicherten abwickeln eines geschaeftsvorganges ueber einen ungesicherten nachrichtenkanal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8380 | Miscellaneous part iii |
Free format text: DER PATENTINHABER LAUTET RICHTIG: FRANCE TELECOM, PARIS, FR |
|
| 8364 | No opposition during term of opposition | ||
| 8327 | Change in the person/name/address of the patent owner |
Owner name: FRANCE TELECOM, PARIS, FR ETABLISSEMENT PUBLIC DE |
|
| 8339 | Ceased/non-payment of the annual fee |