DE3905703A1 - Verfahren zur elektronischen signatur - Google Patents

Verfahren zur elektronischen signatur

Info

Publication number
DE3905703A1
DE3905703A1 DE19893905703 DE3905703A DE3905703A1 DE 3905703 A1 DE3905703 A1 DE 3905703A1 DE 19893905703 DE19893905703 DE 19893905703 DE 3905703 A DE3905703 A DE 3905703A DE 3905703 A1 DE3905703 A1 DE 3905703A1
Authority
DE
Germany
Prior art keywords
user
key
svz
secret
primitive element
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19893905703
Other languages
English (en)
Other versions
DE3905703C2 (de
Inventor
Christoph-Georg Dipl Guenther
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ascom Radiocom AG
Original Assignee
Ascom Radiocom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ascom Radiocom AG filed Critical Ascom Radiocom AG
Priority to DE19893905703 priority Critical patent/DE3905703C2/de
Publication of DE3905703A1 publication Critical patent/DE3905703A1/de
Application granted granted Critical
Publication of DE3905703C2 publication Critical patent/DE3905703C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Description

Technisches Gebiet
Die Erfindung bezieht sich auf ein Verfahren zur elektroni­ schen Signatur in einem Netz mit einer Schlüsselverteil­ zentrale SVZ und mehreren Teilnehmern A, C, . . .
Stand der Technik
Elektronische Signaturen werden zur Sicherung der Datenintegrität und zur Sicherung der Authentizität des Absenders einer Mitteilung eingesetzt. Man unterscheidet zwischen symmetrischen und asymmetrischen Verfahren.
Bei symmetrischen Verfahren verwenden Absender und Empfänger denselben Signaturlogarithmus und denselben Schlüssel. Die Authentizität wird durch die gemeinsame Kenntnis des Schlüssels garantiert. Das Problem dabei ist, daß der Empfänger nicht in der Lage ist, gegenüber einem Dritten nachzuweisen, daß ein gewisses Dokument tatsächlich vom gegebenen Absender stammt, da auch er selbst die Signatur erzeugt haben könnte.
Bei einem asymmetrischen Verfahren dagegen verwendet der Absender einen Signaturlogarithmus mit einem Schlüssel, den nur er kennt (private key), und der Empfänger einen zugehörigen Verifikationslogarithmus mit einem öffentlich bekannten Schlüssel (public key). Damit ist das genannte Problem der symmetrischen Verfahren überwunden. Asymmetrische Verfahren sind z. B. aus den Arbeiten - R.L. Rivest, A. Shamir, L. Adleman, "A Method for Obtaining Digital Signatures and Public-key Cryptosystems", Commun. of the ACM, Vol. 21, pp. 120-126, Feb. 1978, und - T. El-Gamal, "A Public-key Cryptosystem and a Signature Scheme Based on Discrete Logarithms" IEEE Trans. on Inform. Theory, Vol. 31, pp. 469-472, July 1985, bekannt.
Ein wesentliches Problem bei allen Verfahren ist die Authentizität der öffentlichen Schlüssel. Rivest, Shamir und Adleman haben dafür folgende Lösung vorgeschlagen: In einer Präauthentifikationsphase geht jeder Benutzer X zur Schlüsselauthentifikationszentrale SAZ und läßt sich seinen öffentlichen Schlüssel K X signieren → S SAZ (X, K X ). Dazu benutzt die SAZ ihren asymmetrischen Algorithmus und gibt dem Benutzer ihren öffentlichen Schlüssel K SAZ mit. In der Signaturphase sendet X seinem Gesprächspartner Y einen String mit folgenden Größen: X, K X , S SAZ (X, K X ), M, S KX (M). Um die Authentizität der Mitteilung M zu prüfen, verifiziert Y zunächst, ob S SAZ (X, K X ) die Signatur zu X, K X ist, und benutzt dann K X , um die Signatur S KX (M) von M zu testen.
Aus - A. Fiat, A. Shamir, "How to Prove Yourself: Practical Solutions to Identification and Signature Problems", Advances in Cryptology - Crypto ′86, Lecture Notes in Computer Science, Vol. 263, pp. 186-194, Springer-Verlag 1987, ist eine weitere Lösung bekannt. Ein interessanter Aspekt dieser Arbeit ist die Idee, eine identifikationsabhängige Zahl (welche typischerweise Namen, Vornamen, Geburtsdatum, . . . enthält) zur Berechnung einer Größe, die einem öffentlichen Schlüssel ähnlich ist, zu verwenden.
Darstellung der Erfindung
Aufgrund der Erfindung ist es, ein Verfahren zur elektroni­ schen Signatur in einem Netz mit einer Schlüsselverteil­ zentrale und mehreren Teilnehmern anzugeben, welches mit einem einzigen Netzschlüssel auskommt.
Erfindungsgemäß besteht die Lösung darin, daß in einer Präauthentifikationsphase
  • a) die Schlüsselverteilzentrale eine Funktion f (.) zur Erzeugung von Identitätsnummern, eine Hashfunktion h (.), einen endlichen Körper GF (q), in welchem die Rechenoperationen ausgeführt werden, ein primitives Element α, ∈ GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y=α -x bildet,
  • b) die Schlüsselverteilzentrale jedem Benutzer A eine Identitätsnummer ID A =f(A) signiert, indem die Schlüsselverteilzentrale eine geheime zweite Zufalls­ zahl k wählt, welche die Eigenschaft ggT(k,q-1)=1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element r A =α k und einen geheimen Benutzer­ schlüssel s A mit der Eigenschaft xr A + ks A = ID mod (q,-1)bildet und dem Benutzer sein primitives Element r A und seinen geheimen Benutzerschlüssel s A mitteilt,
und daß in einer Signaturphase zwischen einem ersten Benutzer A und einem zweiten Benutzer C
  • c) der erste Benutzer A dem zweiten Benutzer C eine Mitteilung m sendet,
  • d) der erste Benutzer A zwecks Signatur der Mitteilung m eine Zufallszahl k′ wählt, so daß ggT(k′,q-1)=1 ist, eine Größe r′= r A k′ berechnet, eine Zahl s′ ermittelt, welche die Gleichung s A r′+k′s′=h(m) mod (q-1)erfüllt und die Größen ID A , r A , r′, s′ als Signatur der Mitteilung m an den Benutzer C sendet,
  • e) und der Benutzer C zwecks Verifikation der Signatur aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung prüft.
Es versteht sich von selbst, daß der endliche Körper GF(q) so gewählt wird, daß q-1 eine Zahl mit mindestens einem großen Primfaktor ist. Falls nicht anders angegeben, werden alle erfindungsgemäßen Operationen in diesem Körper ausgeführt.
Die Mitteilung m ist irgend ein elektronisches Dokument (Paket von digitalen Daten). Die Hashfunktion h (.) erzeugt aus der Mitteilung einen kürzeren, als solchen bekannten Hashcode. Bei kurzen Mitteilungen kann auf den Hashcode verzichtet werden (d. h. h (.) ist die Identität), so daß die Mitteilung selbst signiert wird.
Mit dem erfindungsgemäßen Verfahren kann man in einem hierarchischen Netz auch Schlüssel authentifizieren. Dabei wird davon ausgegangen, daß der Benutzer A der Schlüssel­ verteilzentrale SVZ bekannt ist, nicht aber der Benutzer B. Dieser ist aber dem Benutzer A bekannt. Dann kann der Benutzer A für den Benutzer B einen authentifizierten Schlüssel konstruieren, indem er die El-Gamal Signatur zu m=-ID B berechnet, daraus r B/A =r′ und s B/A =-s′ bestimmt und B mitteilt.
Die Größe s B/A ist dann der private Schlüssel von Benutzer B. Sein öffentlicher Schlüssel ist gegeben durch
Ebenso wie die Schlüsselverteilzentrale SVZ ihr primitives Element wie die Schlüsselverteilzentrale SVZ ihr primitives Element α und der Benutzer A sein primitives Element r A/SVZ so muß auch Benutzer B sein primitives Element r B/A , das der Bildung des öffentlichen Schlüssels zu Grunde liegt bekanntgeben.
Bei der betrachteten hierarchischen Schlüsselverteilung muß Vertrauen von B gegenüber A ebenso bestehen, wie von A gegenüber der SVZ. Der Benutzer A, welcher dabei die Funktion einer lokalen Zentrale hat, kann jederzeit einen Schlüssel erzeugen, mit dem er sich als B ausgeben kann. Dies ist nicht zu vermeiden, wenn ID B nicht eine eindeutige, physikalische Beschreibung von B, wie etwa seine Fingerabdrücke, enthält. (Im zivilen Leben hat man ein ähnliches Problem: Eine Paßbehörde kann im Prinzip jeden Paß fälschen, d. h. einer Person A einen Paß mit dessen Beschreibung und Photographie aushändigen, der auf eine Person B lautet).
Aus den abhängigen Patentansprüchen ergeben sich vorteil­ hafte Ausführungsformen der Erfindung.
Kurze Beschreibung der Zeichnung
Nachfolgend soll die Erfindung anhand von Ausführungsbei­ spielen im Zusammenhang mit der Zeichnung näher erläutert werden. Es zeigt
Fig. 1 eine schematische Darstellung der Präauthenti­ fikationsphase;
Fig. 2 eine schematische Darstellung der Signatur- und Verifikationsphase; und
Fig. 3 eine schematische Darstellung der Schlüsselaus­ tauschphase zwischen zwei Benutzern.
Die in der Zeichnung verwendeten Bezugszeichen und deren Bedeutung sind in der Bezeichnungsliste zusammenfassend tabelliert.
Wege zur Ausführung der Erfindung
Die erfindungsgemäße elektronische Signatur findet in einem für die Übertragung von digitalen Daten geeigneten Netz mit einer Schlüsselverteilzentrale SVZ und mehreren Benutzern A, C, . . . statt und weist zwei Phasen auf, nämlich eine Präauthentifikationsphase und eine Kommunikations- bzw. Signaturphase. In der Präauthentifikationsphase kommt jeder ihr untergeordnete Benutzer A, C . . . zur Schlüssel­ verteilzentrale SVZ und läßt sich seine Identität gemäß dem El-Gamal Schema signieren. In der nachfolgenden Signaturphase sendet ein Benutzer A einem anderen Benutzer C eine Mitteilung und deren Signatur, welche der Benutzer C verifiziert.
Fig. 1 zeigt eine schematische Darstellung der Präau­ thentifikationsphase. Als erstes wählt (SELECT) die Schlüsselverteilzentrale SVZ einen endlichen Körper GF(q), wobei q-1 typischerweise einen großen Primfaktoren aufweist, und ein primitives Element αGF(q). Dann erzeugt sie zufällig (RANDOM) als geheimen Netzschlüssel ("private part") eine erste Zahl x, aus welcher sie einen öffentlichen Netzschlüssel ("public part") y=a -x bildet. (Es versteht sich, daß diese und die später beschriebenen Operationen im endlichen Körper GF(q) ausgeführt werden, soweit nicht anders angegeben.) Weiter definiert sie eine geeignete Funktion f (.), welche aus den Identitätsmerkmalen eines Benutzers eine eindeutige Identitätsnummer erzeugt, und eine Hashfunktion h (.), welche aus einer Mitteilung einen Hashcode erzeugt.
Die durch f (.) bestimmte Identitätsnummer ID kann beispielsweise durch Abtasten des Fingers (Fingerabdruck) gebildet werden. Es können aber auch weitere Merkmale eingehen. Typischerweise ist f (.) eine Einwegfunktion (one way function), die auf den Datenstring bestehend aus Name, Vorname, Geburtsdatum und eventuell weiteren Merkmalen angewandt wird.
Den endlichen Körper GF(q), das primitive Element α und den öffentlichen Netzschlüssel y sowie die Funktion f (.) und die Hashfunktion h (.) gibt die Schlüsselverteilzentrale SVZ öffentlich bekannt. Den geheimen Netzschlüssel x speichert sie zugriffsgeschützt ab.
Die Schlüsselverteilzentrale SVZ hat damit die grund­ legenden, allgemeinen Vorbereitungen abgeschlossen. Nun kommt jeder Benutzer zur Schlüsselverteilzentrale SVZ und läßt sich seine Identität gemäß dem El-Gamal Schema signieren.
Der Benutzer A weist sich aus (z. B. mit seinem Reisepaß), worauf die Schlüsselverteilzentrale SVZ mit Hilfe der Funktion f (.) eine eindeutige Identitätsnummer ID A =f(A) berechnet. Dann erzeugt sie zufällig (RANDOM) eine benutzerspezifische Zahl k, welche die Eigenschaft ggT (k,q- 1)=1 hat (ggT=größter gemeinsamer Teiler). Aus der zweiten Zufallszahl k bildet sie ein benutzerspezifisches, primitives Element r A/SVZ =α k und einen geheimen Benutzer­ schlüssel s A/SVZ mit der Eigenschaft
xr A/SVZ +ks A/SVZ = ID A mod (q-1).
Das primitive Element r A/SVZ und den geheimen Benutzerschlüssel s A/SVZ teilt sie dem Benutzer A mit, der den geheimen Benutzerschlüssel s A/SVZ zugriffsgesichert abspeichert.
Jeder Benutzer, der der Schlüsselverteilzentrale direkt untergeordnet ist und der im Netz zugelassen werden will, muß die beschriebene Präauthentifikationsphase durchlaufen.
Fig. 2 zeigt eine schematische Darstellung der Kommuni­ kations- bzw. Signaturphase. Sie findet zwischen einem ersten Benutzer A und einem zweiten Benutzer C statt.
Jeder der beiden Benutzer kennt dabei die öffentlich bekannten Parameter f (.), h (.), GF(q), α, y, sowie sein pimitives Element r A resp. r C und seinen geheimen Benutzerschlüssel s A resp. s C . (Der Einfachheit halber wird im folgenden der Bezug auf die Herkunft der Größen weggelassen, soweit dadurch keine Verwechslungen verursacht werden: r A statt r A/SVZ , r C statt r C/SVZ usw.) Typischerweise hat jeder auch seine eigene Identitätsnummer ID A resp. ID C abgespeichert.
Als erstes sendet der Benutzer A dem Benutzer C eine Mitteilung m, sowie seine Identitätsnummer ID A und sein öffentliches primitives Element r A .
Als zweites bildet jeder der beiden Benutzer A resp. C aus der Mitteilung m den Hashcode h(m).
Als nächstes signiert der erste Benutzer A die Mitteilung, m resp. den Hashcode h(m), indem er eine Zufallszahl k′ wählt (RANDOM), so daß ggT (k′q-1)=1 ist, eine Größe r′=r A k′ berechnet und eine Zahl s′ ermittelt (SELECT), welche die Gleichung
s A r′ + k′s′ = h(m) mod (q-1)
erfüllt. Die Größen r′, s′ (welche zusammen mit ID A , r A die Signatur der Mitteilung m bilden) sendet er an den Benutzer C.
Zwecks Verifikation der Signatur berechnet der Benutzer C zunächst die Größe
und prüft aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung
Die Hashfunktion braucht nicht unbedingt von der Schlüssel­ verteilzentrale vorgegeben zu werden. Es liegt auch im Rahmen der Erfindung, wenn der Hashcode h(m) zusammen mit der Mitteilung m an den Benutzer C gesendet wird. Bei kurzen Mitteilungen kann außerdem auf die Hashfunktion h (.) verzichtet werden, d. h. h (.) ist die Identität.
Eine vorteilhafte Ausführungsform der Erfindung stellt ein Verfahren zum Verteilen von authentifizierten Schlüsseln in einem hierarchischen Netz mit einer Schlüsselverteil­ zentrale SVZ und mehreren untergeordneten Teilnehmern A, B, C dar. Im folgenden wird auf Fig. 1 Bezug genommen.
Die Präauthentifikationsphase wird im wesentlichen wie oben beschrieben durchgeführt. Die Hashfunktion h (.) ist in diesem Zusammenhang jedoch ohne Bedeutung.
Nachdem sich der Benutzer A bei der Schlüsselverteil­ zentrale sein primitives Element r A/SVZ und seinen geheimen Benutzerschlüssel s A/SVZ geholt hat, kann er einem zweiten, ihm untergeordneten Benutzer B einen authentifizierten Schlüssel konstruieren.
Um dem Benutzer B seine Identitätsnummer ID B =f(B) zu signieren, wählt der Benutzer A eine geheime Zufallszahl k′ (RANDOM), welche die Eigenschaft ggT (k′,q′-1)=1 hat. Darauf bildet er aus der Zufallszahl k′ ein primitives Element r B/A = r A/SVZ k′ und einen geheimen Benutzerschlüssel s B/A mit der Eigenschaft
s A/SVZ r B/A - k′ s B/A = - ID B mod (q-1)
und teilt dem untergeordneten Benutzer B sein primitives Element r B/A und seinen geheimen Benutzerschlüssel s B/A mit.
Der Benutzer B ist damit ins Netz aufgenommen. Er kann damit insbesondere gültige Signaturen nach obigem Schema erzeugen oder einen Schlüsselaustausch gemäß dem Schweizerischen Patentgesuch CH-105/89 (Anmeldedatum 13.1.89) durchführen. Dieser letztere Vorgang sei anhand der Fig. 3 erläutert. An dieser Stelle wird vorausgesetzt, daß die Schlüsselverteilzentrale in der Präauthentifi­ kationsphase noch eine geeignete Funktion g:
GF(q) × GF(q)GF(q)
definiert hat. Vorzugsweise ist diese Funktion das Produkt.
Der Benutzer B ist dabei wie beschrieben vom ihm überge­ ordneten Benutzer A und der Benutzer C direkt von der Schlüsselverteilzentrale SVZ präauthentifiziert.
Als erstes teilt jeder der beiden Benutzer B resp. C dem anderen sein primitives Element r B/A resp. r C/SVZ mit. Benutzer B teilt außerdem das primitive Element r A/SVZ des übergeordneten Benutzers A mit.
Als zweites bildet jeder der beiden Benutzer B resp. C die Identitätsnummer ID C =f(C) resp. ID B =f(B) und ID A =f(A). Aus der Identitätsnummer und dem primitiven Element r C/SVZ resp. r B/A und r A/SVZ des jeweils anderen berechnet jeder zudem den öffentlichen Benutzerschlüssel
des jeweils anderen.
Als drittes erzeugt jeder der beiden Benutzer B resp. C eine geheime Zufallszahl t B resp. t C und bildet damit einen Code
welchen er dem anderen Benutzer C resp. B mitteilt.
Schließlich konstruieren sie einen gemeinsamen geheimen Sitzungsschlüssel z. Benutzer B bildet ihn gemäß
und Benutzer C gemäß
Diesen gemeinsamen Kommunikationsschlüssel können sie nun für welchen Zweck auch immer (z. B. Verschlüsselung von Daten mit einem symmetrischen Algorithmus) einsetzen.
Die erfindungsgemäßen Verfahren haben u. a. folgende Vorteile:
  • 1. Außer den eigenen Identifikationsmerkmalen genügt die Kenntnis eines einzigen "public keys" mit einem beliebigen anderen Benutzer des Netzes. Das Verfahren zeichnet sich folglich durch einen sehr geringen Speicherbedarf aus.
  • 2. Jeder präauthentifizierte Benutzer kann mit jedem anderen präauthentifizierten Benutzer eines der beschriebenen Protokolle abwickeln, ohne dabei auf die Schlüsselverteilzentrale zurückgreifen zu müssen (off- line Ablauf). Ein Benutzer kann damit nicht nur von der Schlüsselverteilzentrale, sondern auch von einem anderen Benutzer präauthentifiziert werden. Ein mit diesem System betriebenes Netz ist dadurch beliebig flexibel in bezug auf Erweiterung des Teilnehmerkreises.
  • 3. Dennoch sind bei den erfindungsgemäßen Verfahren alle Teilnehmer unterscheidbar.
Zur Sicherheit der erfindungsgemäßen Verfahren läßt sich folgendes sagen:
  • 1. Falls man s aus α, y, ID und r bestimmen kann, kann man das El-Gamal′sche Signaturschema brechen, welches allgemein als sicher angesehen wird.
  • 2. Falls man (r t′ ) s aus r, r s und r t′ bestimmen kann, kann man den Diffie-Hellmann′schen Schlüsselaustausch- Algorithmus brechen, welcher ebenfalls allgemein als sicher angesehen wird.
Diese Überlegungen lassen es als wahrscheinlich er­ scheinen, daß bei geeigneter Wahl von q, α, x und k die Kenntnis von s A resp. s B durch den Benutzer A resp. B un­ erläßlich ist für die Konstruktion der Signatur resp. des Sitzungsschlüssels z.
Die elektronische Signatur kann für die verschiedensten Anwendungen benutzt werden, wie z. B. Genehmigung von Kontoabbuchungen an POS-Terminals, Bestätigung in Anspruch genommener Gesprächszeit in mobilen Telephonsystemen. In all diesen Fällen stellt die signierte Mitteilung einen elektronischen Check dar. Wichtig dabei ist, daß seine Gültigkeit off-line geprüft werden kann. Durch die Möglichkeit der hierarchischen Schlüsselverteilung werden weiter auch alle Anwendungen erschlossen, die solche Schlüssel verwenden, wie z. B. der authentifizierte Schlüsselaustausch zwecks Chiffrierung gemäß dem Schweizer Patentgesuch CH 1877/88-1.
Das erfindungsgemäße Verfahren läßt sich mit als solchen bekannten Mitteln realisieren.
Die Einsatzmöglichkeiten des beschriebenen Verfahrens sind aufgrund der erwähnten Vorteile ziemlich breit: POS- Terminals, Computernetze, Mobiles Telephon usw.
Bezeichnungsliste
A, B, C Benutzer
SVZ Schlüsselverteilzentrale
f (.) Funktion
GF(q) endlicher Körper
g(. . .) Funktion
h(m) Hashcode
h (.) Hashfunktion
ID A , ID B , ID C  Identitätsnummern
k, k′ Zufallszahl
m Mitteilung
r A/SVZ , r B/A , r C/SVZ  primitives Element
s A/SVZ , s B/A , s C/SVZ , s A , s C  geheimer Benutzerschlüssel
t B , t C  Zufallszahl
x geheimer Netzschlüssel
y öffentlicher Netzschlüssel
z Geheimschlüssel
α primitives Element

Claims (6)

1. Verfahren zur elektronischen Signatur in einem Netz mit einer Schlüsselverteilzentrale SVZ und mehreren Teilnehmern A, C, dadurch gekennzeichnet, daß in einer Präauthentifikationsphase
  • a) die Schlüsselverteilzentrale eine Funktion f (.) zur Erzeugung von Identitätsnummern, eine Hashfunktion h (.), einen endlichen Körper GF (q), in welchem die Rechenoperationen ausgeführt werden, ein primitives Element α, ∈ GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y=α -x bildet,
  • b) die Schlüsselverteilzentrale jedem Benutzer A eine Identitätsnummer ID A =f(A) signiert, indem die Schlüsselverteilzentrale eine geheime zweite Zufalls­ zahl k wählt, welche die Eigenschaft ggT(k,q-1)=1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element r A =α k und einen geheimen Benutzer­ schlüssel s A mit der Eigenschaft xr A + ks A = ID mod (q-1)bildet und dem Benutzer sein primitives Element r A und seinen geheimen Benutzerschlüssel s A mitteilt, und daß in einer Signaturphase zwischen einem ersten Benutzer A und einem zweiten Benutzer C
  • c) der erste Benutzer A dem zweiten Benutzer C eine Mitteilung m sendet,
  • d) der erste Benutzer A zwecks Signatur der Mitteilung m eine Zufallszahl k′ wählt, so daß ggT(k′,q-1)=1 ist, eine Größe r′=r A k′ berechnet, eine Zahl s′ ermittelt, welche die Gleichung s A r′ + k′s = h(m) mod (q-1)erfüllt und die Größen ID A , r A , r′, s′ als Signatur der Mitteilung m an den Benutzer C sendet,
  • e) und der Benutzer C zwecks Verifikation der Signatur aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung prüft.
2. Verfahren zum Verteilen von authentifizierten Schlüsseln in einem hierarchischen Netz mit einer Schlüsselverteilzentrale SVZ und mehreren unter­ geordneten Teilnehmern A, B, dadurch gekennzeichnet, daß in einer Präauthentifikationsphase
  • a) die Schlüsselverteilzentrale eine Funktion f (.) zur Erzeugung von Identitätsnummern, einen endlichen Körper GF (q), in welchem die Rechen­ operationen ausgeführt werden, ein primitives Element α, ∈ GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y=α -x bildet,
  • b) die Schlüsselverteilzentrale einem ihr untergeordneten Benutzer A eine Identitätsnummer ID A =f(A) signiert, indem die Schlüsselverteil­ zentrale eine geheime zweite Zufallszahl k wählt, welche die Eigenschaft ggT(k,q-1)=1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element r A/SVZ =a k und einen geheimen Benutzerschlüssel s A/SVZ mit der Eigenschaft xr A/SVZ + ks A/SVZ = ID A mod (q,-1)bildet und dem Benutzer A sein primitives Element r A/SVZ und seinen geheimen Benutzerschlüssel s A/SVZ mitteilt,
  • c) der erste Benutzer A dem zweiten ihm unter­ geordneten Benutzer B eine Identitätsnummer ID B =f(B) signiert, indem der Benutzer A eine geheime Zufalls­ zahl k′ wählt, welche die Eigenschaft ggT (k′,q-1)=1 hat, aus der Zufallszahl k′ ein benutzerspezifisches primitives Element r B/SVZ = r A/SVZ k′ und einen geheimen Benutzerschlüssel s A/B mit der Eigenschaft s A/SVZ r B/A-k′ s B/A = -ID B mod (q-1)bildet und dem untergeordneten Benutzer B sein primitives Element r B/A und seinen geheimen Benutzerschlüssel s B/A mitteilt.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die Schlüsselverteilzentrale in der Präauthentifikationsphase eine Funktion g: GF(q) × GF(q)GF(q)wählt und öffentlich bekannt gibt und daß zum Austauschen von authentifizierten Schlüsseln zwischen einem ersten Benutzer B und einem zweiten Benutzer C
  • a) jeder der beiden Benutzer B resp. C dem anderen sein primitives Element r B resp. r C sowie das primitive Element r A des übergeordneten Benutzers A mitteilt,
  • b) jeder der beiden Benutzer B resp. C die Identitätsnummer ID C = f(B) und ID A = f(A) bildet und aus dieser Identitätsnummer und dem primitiven Element r C resp. r B und r A des jeweils anderen dessen öffentlichen Benutzerschlüssel bildet,
  • c) jeder der beiden Benutzer B resp. C eine geheime Zufallszahl t B resp. t C erzeugt und damit einen Code bildet, welchen er dem anderen Benutzer C resp. B mitteilt und
  • d) die beiden Benutzer B und C einen gemeinsamen geheimen Sitzungsschlüssel z erzeugen, wobei Benutzer B den Sitzungsschlüssel z gemäß und Benutzer C gemäß bildet.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß als Funktion g(.,.) die Multiplikation im endlichen Körper GF(q) verwendet wird.
5. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß als Funktion f(.) eine Einwegfunktion verwendet wird.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß als Hashfunktion h(.) die Identität verwendet wird.
DE19893905703 1989-02-24 1989-02-24 Verfahren zur elektronischen Signatur Expired - Fee Related DE3905703C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19893905703 DE3905703C2 (de) 1989-02-24 1989-02-24 Verfahren zur elektronischen Signatur

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19893905703 DE3905703C2 (de) 1989-02-24 1989-02-24 Verfahren zur elektronischen Signatur

Publications (2)

Publication Number Publication Date
DE3905703A1 true DE3905703A1 (de) 1990-09-06
DE3905703C2 DE3905703C2 (de) 1998-01-22

Family

ID=6374816

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19893905703 Expired - Fee Related DE3905703C2 (de) 1989-02-24 1989-02-24 Verfahren zur elektronischen Signatur

Country Status (1)

Country Link
DE (1) DE3905703C2 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0547975A1 (de) * 1991-12-19 1993-06-23 Bull Cp8 Verfahren und System zur Beglaubigung eines tragbaren Objekts durch ein äusseres Medium bei dem das Objekt durch eine Übertragungsleitung mit diesem Medium verbunden ist
EP0566512A1 (de) * 1992-04-17 1993-10-20 Innovatron Terminaux S.A. Verfahren zur Zugriffskontrolle auf eine Funktion eines Bauelementes unter Verwendung eines Kennwortes
FR2729807A1 (fr) * 1995-01-19 1996-07-26 Korea Telecommunication Procede pour signer une signature electronique numerique basse sur une information d'identification certifiee automatiquement

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19938197A1 (de) * 1999-08-12 2001-03-08 Deutsche Telekom Ag Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4771461A (en) * 1986-06-27 1988-09-13 International Business Machines Corporation Initialization of cryptographic variables in an EFT/POS network with a large number of terminals

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4771461A (en) * 1986-06-27 1988-09-13 International Business Machines Corporation Initialization of cryptographic variables in an EFT/POS network with a large number of terminals

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
US-B.: FIAT, A. et al.: How to Prove Yourselfe: Practical Solutions to Identification and Signature Problems, In: Advances in Cryptology- CRYPTO` 86, Lecture Notes in Computer Science, Vol. 263, Springer Verlag, 1987, S. 186-194 *
US-Z.: EL-GAMAL, T.: A Public-key Cryptosystem and a Signature Scheme Based on Discrete Loga- rithms, In: IEEE Trans. on Inform. Theory, Vol.31,July 1985, S. 469-472 *
US-Z.: RIVEST, R.L. et al.: A Method for ObtainingDigital Signatures and Public-Key Cryptosystems, In: Communication of the ACM, Vol. 21, Feb. 1978, S. 120-126 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0547975A1 (de) * 1991-12-19 1993-06-23 Bull Cp8 Verfahren und System zur Beglaubigung eines tragbaren Objekts durch ein äusseres Medium bei dem das Objekt durch eine Übertragungsleitung mit diesem Medium verbunden ist
FR2685510A1 (fr) * 1991-12-19 1993-06-25 Bull Cps Procede d'authentification, par un milieu exterieur, d'un objet portatif connecte a ce milieu par l'intermediaire d'une ligne de transmission, et systeme pour la mise en óoeuvre.
US5253295A (en) * 1991-12-19 1993-10-12 Bull S.A. Process for authentication, by an outside medium, of a portable object connected to that medium via a transmission line and system for carrying out the process
EP0566512A1 (de) * 1992-04-17 1993-10-20 Innovatron Terminaux S.A. Verfahren zur Zugriffskontrolle auf eine Funktion eines Bauelementes unter Verwendung eines Kennwortes
FR2729807A1 (fr) * 1995-01-19 1996-07-26 Korea Telecommunication Procede pour signer une signature electronique numerique basse sur une information d'identification certifiee automatiquement

Also Published As

Publication number Publication date
DE3905703C2 (de) 1998-01-22

Similar Documents

Publication Publication Date Title
EP0384475B1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
DE19804054B4 (de) System zur Verifizierung von Datenkarten
DE60114833T2 (de) Überprüfbare, geheime mischung von verschlüsselten daten wie z. b. elgamal-verschlüsselte daten für gesicherte mehrinstanzwahlen
DE60114986T2 (de) Verfahren zur herausgabe einer elektronischen identität
DE60011990T2 (de) Verfahren und Vorrichtung in einem Kommunikationsnetzwerk
DE60313704T2 (de) Verfahren und Vorrichtung zur Erzeugung eines Geheimschlüssels
DE69133502T2 (de) Geheimübertragungsverfahren und -gerät
DE102011011652B4 (de) Verfahren zum Verwenden eines ECDSA mit Winternitzeinmalsignatur
DE102008061483A1 (de) Verfahren und Vorrichtung zum Verarbeiten von Daten
DE69838258T2 (de) Public-Key-Datenübertragungssysteme
WO2002073374A2 (de) Verfahren zur authentikation
DE112012000971B4 (de) Datenverschlüsselung
DE60311507T2 (de) Verfahren zur elliptische-kurven-verschlüsselung
DE60202149T2 (de) Verfahren zur kryptographischen authentifizierung
DE3915262A1 (de) Verfahren zur erzeugung von authentifizierten geheimschluesseln
DE69831792T2 (de) Verfahren zur digitalen unterschrift
DE3905703C2 (de) Verfahren zur elektronischen Signatur
DE60220918T2 (de) Verfahren zur ausführung einer kryptographischen berechnung unter verwendung eines öffentlichen schlüssels
EP2449494A1 (de) Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats
EP0481121A1 (de) Authentifizierung für verschlüsselte Kommunikation
WO2007099026A1 (de) Verfahren und vorrichtung zum authentifizieren eines öffentlichen schlüssels
DE19513898B4 (de) Public-Key-Verfahren zur Verschlüsselung von Daten
EP1286494B1 (de) Verfahren zur Erzeugung eines asymmetrischen kryptografischen Gruppenschlüsselpaares
DE19518546C1 (de) Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N
DE102021006430B4 (de) Verfahren zur Erzeugung verteilter One-Way-Trapdoor-Permutationen durch additives Teilen ohne einen vertrauenswürdigen Händler

Legal Events

Date Code Title Description
8128 New person/name/address of the agent

Representative=s name: KOENIG, R., DIPL.-ING. DR.-ING. BERGEN, K., DIPL.-

8110 Request for examination paragraph 44
8125 Change of the main classification

Ipc: H04L 9/32

D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee