DE3905703A1 - Verfahren zur elektronischen signatur - Google Patents
Verfahren zur elektronischen signaturInfo
- Publication number
- DE3905703A1 DE3905703A1 DE19893905703 DE3905703A DE3905703A1 DE 3905703 A1 DE3905703 A1 DE 3905703A1 DE 19893905703 DE19893905703 DE 19893905703 DE 3905703 A DE3905703 A DE 3905703A DE 3905703 A1 DE3905703 A1 DE 3905703A1
- Authority
- DE
- Germany
- Prior art keywords
- user
- key
- svz
- secret
- primitive element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Description
Die Erfindung bezieht sich auf ein Verfahren zur elektroni
schen Signatur in einem Netz mit einer Schlüsselverteil
zentrale SVZ und mehreren Teilnehmern A, C, . . .
Elektronische Signaturen werden zur Sicherung der
Datenintegrität und zur Sicherung der Authentizität des
Absenders einer Mitteilung eingesetzt. Man unterscheidet
zwischen symmetrischen und asymmetrischen Verfahren.
Bei symmetrischen Verfahren verwenden Absender und
Empfänger denselben Signaturlogarithmus und denselben
Schlüssel. Die Authentizität wird durch die gemeinsame
Kenntnis des Schlüssels garantiert. Das Problem dabei ist,
daß der Empfänger nicht in der Lage ist, gegenüber einem
Dritten nachzuweisen, daß ein gewisses Dokument
tatsächlich vom gegebenen Absender stammt, da auch er
selbst die Signatur erzeugt haben könnte.
Bei einem asymmetrischen Verfahren dagegen verwendet der
Absender einen Signaturlogarithmus mit einem Schlüssel, den
nur er kennt (private key), und der Empfänger einen
zugehörigen Verifikationslogarithmus mit einem öffentlich
bekannten Schlüssel (public key). Damit ist das genannte
Problem der symmetrischen Verfahren überwunden.
Asymmetrische Verfahren sind z. B. aus den Arbeiten
- R.L. Rivest, A. Shamir, L. Adleman, "A Method for
Obtaining Digital Signatures and Public-key Cryptosystems",
Commun. of the ACM, Vol. 21, pp. 120-126, Feb. 1978, und
- T. El-Gamal, "A Public-key Cryptosystem and a Signature
Scheme Based on Discrete Logarithms" IEEE Trans. on
Inform. Theory, Vol. 31, pp. 469-472, July 1985,
bekannt.
Ein wesentliches Problem bei allen Verfahren ist die
Authentizität der öffentlichen Schlüssel. Rivest, Shamir
und Adleman haben dafür folgende Lösung vorgeschlagen: In
einer Präauthentifikationsphase geht jeder Benutzer X zur
Schlüsselauthentifikationszentrale SAZ und läßt sich
seinen öffentlichen Schlüssel K X signieren → S SAZ (X, K X ).
Dazu benutzt die SAZ ihren asymmetrischen Algorithmus und
gibt dem Benutzer ihren öffentlichen Schlüssel K SAZ mit. In
der Signaturphase sendet X seinem Gesprächspartner Y einen
String mit folgenden Größen: X, K X , S SAZ (X, K X ), M, S KX (M). Um
die Authentizität der Mitteilung M zu prüfen, verifiziert Y
zunächst, ob S SAZ (X, K X ) die Signatur zu X, K X ist, und
benutzt dann K X , um die Signatur S KX (M) von M zu testen.
Aus - A. Fiat, A. Shamir, "How to Prove Yourself: Practical
Solutions to Identification and Signature Problems",
Advances in Cryptology - Crypto ′86, Lecture Notes in
Computer Science, Vol. 263, pp. 186-194, Springer-Verlag
1987,
ist eine weitere Lösung bekannt. Ein interessanter Aspekt
dieser Arbeit ist die Idee, eine identifikationsabhängige
Zahl (welche typischerweise Namen, Vornamen,
Geburtsdatum, . . . enthält) zur Berechnung einer Größe, die
einem öffentlichen Schlüssel ähnlich ist, zu verwenden.
Aufgrund der Erfindung ist es, ein Verfahren zur elektroni
schen Signatur in einem Netz mit einer Schlüsselverteil
zentrale und mehreren Teilnehmern anzugeben, welches mit
einem einzigen Netzschlüssel auskommt.
Erfindungsgemäß besteht die Lösung darin, daß in einer
Präauthentifikationsphase
- a) die Schlüsselverteilzentrale eine Funktion f (.) zur Erzeugung von Identitätsnummern, eine Hashfunktion h (.), einen endlichen Körper GF (q), in welchem die Rechenoperationen ausgeführt werden, ein primitives Element α, ∈ GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y=α -x bildet,
- b) die Schlüsselverteilzentrale jedem Benutzer A eine Identitätsnummer ID A =f(A) signiert, indem die Schlüsselverteilzentrale eine geheime zweite Zufalls zahl k wählt, welche die Eigenschaft ggT(k,q-1)=1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element r A =α k und einen geheimen Benutzer schlüssel s A mit der Eigenschaft xr A + ks A = ID mod (q,-1)bildet und dem Benutzer sein primitives Element r A und seinen geheimen Benutzerschlüssel s A mitteilt,
und daß in einer Signaturphase zwischen einem ersten
Benutzer A und einem zweiten Benutzer C
- c) der erste Benutzer A dem zweiten Benutzer C eine Mitteilung m sendet,
- d) der erste Benutzer A zwecks Signatur der Mitteilung m eine Zufallszahl k′ wählt, so daß ggT(k′,q-1)=1 ist, eine Größe r′= r A k′ berechnet, eine Zahl s′ ermittelt, welche die Gleichung s A r′+k′s′=h(m) mod (q-1)erfüllt und die Größen ID A , r A , r′, s′ als Signatur der Mitteilung m an den Benutzer C sendet,
- e) und der Benutzer C zwecks Verifikation der Signatur aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung prüft.
Es versteht sich von selbst, daß der endliche Körper GF(q)
so gewählt wird, daß q-1 eine Zahl mit mindestens einem
großen Primfaktor ist. Falls nicht anders angegeben,
werden alle erfindungsgemäßen Operationen in diesem Körper
ausgeführt.
Die Mitteilung m ist irgend ein elektronisches Dokument
(Paket von digitalen Daten). Die Hashfunktion h (.) erzeugt
aus der Mitteilung einen kürzeren, als solchen bekannten
Hashcode. Bei kurzen Mitteilungen kann auf den Hashcode
verzichtet werden (d. h. h (.) ist die Identität), so daß die
Mitteilung selbst signiert wird.
Mit dem erfindungsgemäßen Verfahren kann man in einem
hierarchischen Netz auch Schlüssel authentifizieren. Dabei
wird davon ausgegangen, daß der Benutzer A der Schlüssel
verteilzentrale SVZ bekannt ist, nicht aber der Benutzer B.
Dieser ist aber dem Benutzer A bekannt. Dann kann der
Benutzer A für den Benutzer B einen authentifizierten
Schlüssel konstruieren, indem er die El-Gamal Signatur zu m=-ID B
berechnet, daraus r B/A =r′ und s B/A =-s′ bestimmt und
B mitteilt.
Die Größe s B/A ist dann der private Schlüssel von Benutzer
B. Sein öffentlicher Schlüssel ist gegeben durch
Ebenso wie die Schlüsselverteilzentrale SVZ ihr primitives
Element wie die Schlüsselverteilzentrale SVZ ihr primitives
Element α und der Benutzer A sein primitives Element r A/SVZ
so muß auch Benutzer B sein primitives Element r B/A , das
der Bildung des öffentlichen Schlüssels zu Grunde liegt
bekanntgeben.
Bei der betrachteten hierarchischen Schlüsselverteilung
muß Vertrauen von B gegenüber A ebenso bestehen, wie von A
gegenüber der SVZ. Der Benutzer A, welcher dabei die
Funktion einer lokalen Zentrale hat, kann jederzeit einen
Schlüssel erzeugen, mit dem er sich als B ausgeben kann.
Dies ist nicht zu vermeiden, wenn ID B nicht eine
eindeutige, physikalische Beschreibung von B, wie etwa
seine Fingerabdrücke, enthält. (Im zivilen Leben hat man
ein ähnliches Problem: Eine Paßbehörde kann im Prinzip
jeden Paß fälschen, d. h. einer Person A einen Paß mit
dessen Beschreibung und Photographie aushändigen, der auf
eine Person B lautet).
Aus den abhängigen Patentansprüchen ergeben sich vorteil
hafte Ausführungsformen der Erfindung.
Nachfolgend soll die Erfindung anhand von Ausführungsbei
spielen im Zusammenhang mit der Zeichnung näher erläutert
werden. Es zeigt
Fig. 1 eine schematische Darstellung der Präauthenti
fikationsphase;
Fig. 2 eine schematische Darstellung der Signatur- und
Verifikationsphase; und
Fig. 3 eine schematische Darstellung der Schlüsselaus
tauschphase zwischen zwei Benutzern.
Die in der Zeichnung verwendeten Bezugszeichen und deren
Bedeutung sind in der Bezeichnungsliste zusammenfassend
tabelliert.
Die erfindungsgemäße elektronische Signatur findet in
einem für die Übertragung von digitalen Daten geeigneten
Netz mit einer Schlüsselverteilzentrale SVZ und mehreren
Benutzern A, C, . . . statt und weist zwei Phasen auf, nämlich
eine Präauthentifikationsphase und eine Kommunikations-
bzw. Signaturphase. In der Präauthentifikationsphase kommt
jeder ihr untergeordnete Benutzer A, C . . . zur Schlüssel
verteilzentrale SVZ und läßt sich seine Identität gemäß
dem El-Gamal Schema signieren. In der nachfolgenden
Signaturphase sendet ein Benutzer A einem anderen Benutzer
C eine Mitteilung und deren Signatur, welche der Benutzer C
verifiziert.
Fig. 1 zeigt eine schematische Darstellung der Präau
thentifikationsphase. Als erstes wählt (SELECT) die
Schlüsselverteilzentrale SVZ einen endlichen Körper GF(q),
wobei q-1 typischerweise einen großen Primfaktoren
aufweist, und ein primitives Element α ∈ GF(q). Dann
erzeugt sie zufällig (RANDOM) als geheimen Netzschlüssel
("private part") eine erste Zahl x, aus welcher sie einen
öffentlichen Netzschlüssel ("public part") y=a -x bildet.
(Es versteht sich, daß diese und die später beschriebenen
Operationen im endlichen Körper GF(q) ausgeführt werden,
soweit nicht anders angegeben.) Weiter definiert sie eine
geeignete Funktion f (.), welche aus den Identitätsmerkmalen
eines Benutzers eine eindeutige Identitätsnummer erzeugt,
und eine Hashfunktion h (.), welche aus einer Mitteilung
einen Hashcode erzeugt.
Die durch f (.) bestimmte Identitätsnummer ID kann
beispielsweise durch Abtasten des Fingers (Fingerabdruck)
gebildet werden. Es können aber auch weitere Merkmale
eingehen. Typischerweise ist f (.) eine Einwegfunktion (one
way function), die auf den Datenstring bestehend aus Name,
Vorname, Geburtsdatum und eventuell weiteren Merkmalen
angewandt wird.
Den endlichen Körper GF(q), das primitive Element α und den
öffentlichen Netzschlüssel y sowie die Funktion f (.) und
die Hashfunktion h (.) gibt die Schlüsselverteilzentrale SVZ
öffentlich bekannt. Den geheimen Netzschlüssel x speichert
sie zugriffsgeschützt ab.
Die Schlüsselverteilzentrale SVZ hat damit die grund
legenden, allgemeinen Vorbereitungen abgeschlossen. Nun
kommt jeder Benutzer zur Schlüsselverteilzentrale SVZ und
läßt sich seine Identität gemäß dem El-Gamal Schema
signieren.
Der Benutzer A weist sich aus (z. B. mit seinem Reisepaß),
worauf die Schlüsselverteilzentrale SVZ mit Hilfe der
Funktion f (.) eine eindeutige Identitätsnummer ID A =f(A)
berechnet. Dann erzeugt sie zufällig (RANDOM) eine
benutzerspezifische Zahl k, welche die Eigenschaft ggT (k,q-
1)=1 hat (ggT=größter gemeinsamer Teiler). Aus der
zweiten Zufallszahl k bildet sie ein benutzerspezifisches,
primitives Element r A/SVZ =α k und einen geheimen Benutzer
schlüssel s A/SVZ mit der Eigenschaft
xr A/SVZ +ks A/SVZ = ID A mod (q-1).
Das primitive Element r A/SVZ und den geheimen
Benutzerschlüssel s A/SVZ teilt sie dem Benutzer A mit, der
den geheimen Benutzerschlüssel s A/SVZ zugriffsgesichert
abspeichert.
Jeder Benutzer, der der Schlüsselverteilzentrale direkt
untergeordnet ist und der im Netz zugelassen werden will,
muß die beschriebene Präauthentifikationsphase
durchlaufen.
Fig. 2 zeigt eine schematische Darstellung der Kommuni
kations- bzw. Signaturphase. Sie findet zwischen einem
ersten Benutzer A und einem zweiten Benutzer C statt.
Jeder der beiden Benutzer kennt dabei die öffentlich
bekannten Parameter f (.), h (.), GF(q), α, y, sowie sein
pimitives Element r A resp. r C und seinen geheimen
Benutzerschlüssel s A resp. s C . (Der Einfachheit halber wird
im folgenden der Bezug auf die Herkunft der Größen
weggelassen, soweit dadurch keine Verwechslungen verursacht
werden: r A statt r A/SVZ , r C statt r C/SVZ usw.) Typischerweise
hat jeder auch seine eigene Identitätsnummer ID A resp. ID C
abgespeichert.
Als erstes sendet der Benutzer A dem Benutzer C eine
Mitteilung m, sowie seine Identitätsnummer ID A und sein
öffentliches primitives Element r A .
Als zweites bildet jeder der beiden Benutzer A resp. C aus
der Mitteilung m den Hashcode h(m).
Als nächstes signiert der erste Benutzer A die Mitteilung, m
resp. den Hashcode h(m), indem er eine Zufallszahl k′ wählt
(RANDOM), so daß ggT (k′q-1)=1 ist, eine Größe r′=r A k′
berechnet und eine Zahl s′ ermittelt (SELECT), welche die
Gleichung
s A r′ + k′s′ = h(m) mod (q-1)
erfüllt. Die Größen r′,
s′ (welche zusammen mit ID A , r A die Signatur der Mitteilung
m bilden) sendet er an den Benutzer C.
Zwecks Verifikation der Signatur berechnet der Benutzer C
zunächst die Größe
und prüft aus den ihm mitgeteilten Größen die Gültigkeit
der Gleichung
Die Hashfunktion braucht nicht unbedingt von der Schlüssel
verteilzentrale vorgegeben zu werden. Es liegt auch im
Rahmen der Erfindung, wenn der Hashcode h(m) zusammen mit
der Mitteilung m an den Benutzer C gesendet wird. Bei
kurzen Mitteilungen kann außerdem auf die Hashfunktion
h (.) verzichtet werden, d. h. h (.) ist die Identität.
Eine vorteilhafte Ausführungsform der Erfindung stellt ein
Verfahren zum Verteilen von authentifizierten Schlüsseln in
einem hierarchischen Netz mit einer Schlüsselverteil
zentrale SVZ und mehreren untergeordneten Teilnehmern A, B,
C dar. Im folgenden wird auf Fig. 1 Bezug genommen.
Die Präauthentifikationsphase wird im wesentlichen wie oben
beschrieben durchgeführt. Die Hashfunktion h (.) ist in
diesem Zusammenhang jedoch ohne Bedeutung.
Nachdem sich der Benutzer A bei der Schlüsselverteil
zentrale sein primitives Element r A/SVZ und seinen geheimen
Benutzerschlüssel s A/SVZ geholt hat, kann er einem zweiten,
ihm untergeordneten Benutzer B einen authentifizierten
Schlüssel konstruieren.
Um dem Benutzer B seine Identitätsnummer ID B =f(B) zu
signieren, wählt der Benutzer A eine geheime Zufallszahl k′
(RANDOM), welche die Eigenschaft ggT (k′,q′-1)=1 hat.
Darauf bildet er aus der Zufallszahl k′ ein primitives
Element r B/A = r A/SVZ k′ und einen geheimen Benutzerschlüssel
s B/A mit der Eigenschaft
s A/SVZ r B/A - k′ s B/A = - ID B mod (q-1)
und teilt dem untergeordneten Benutzer B sein primitives
Element r B/A und seinen geheimen Benutzerschlüssel s B/A mit.
Der Benutzer B ist damit ins Netz aufgenommen. Er kann
damit insbesondere gültige Signaturen nach obigem Schema
erzeugen oder einen Schlüsselaustausch gemäß dem
Schweizerischen Patentgesuch CH-105/89 (Anmeldedatum
13.1.89) durchführen. Dieser letztere Vorgang sei anhand
der Fig. 3 erläutert. An dieser Stelle wird vorausgesetzt,
daß die Schlüsselverteilzentrale in der Präauthentifi
kationsphase noch eine geeignete Funktion g:
GF(q) × GF(q) → GF(q)
definiert hat. Vorzugsweise ist diese Funktion das
Produkt.
Der Benutzer B ist dabei wie beschrieben vom ihm überge
ordneten Benutzer A und der Benutzer C direkt von der
Schlüsselverteilzentrale SVZ präauthentifiziert.
Als erstes teilt jeder der beiden Benutzer B resp. C dem
anderen sein primitives Element r B/A resp. r C/SVZ mit.
Benutzer B teilt außerdem das primitive Element r A/SVZ des
übergeordneten Benutzers A mit.
Als zweites bildet jeder der beiden Benutzer B resp. C die
Identitätsnummer ID C =f(C) resp. ID B =f(B) und ID A =f(A).
Aus der Identitätsnummer und dem primitiven Element r C/SVZ
resp. r B/A und r A/SVZ des jeweils anderen berechnet jeder
zudem den öffentlichen Benutzerschlüssel
des jeweils anderen.
Als drittes erzeugt jeder der beiden Benutzer B resp. C
eine geheime Zufallszahl t B resp. t C und bildet damit einen
Code
welchen er dem anderen Benutzer C resp. B mitteilt.
Schließlich konstruieren sie einen gemeinsamen geheimen
Sitzungsschlüssel z. Benutzer B bildet ihn gemäß
und Benutzer C gemäß
Diesen gemeinsamen Kommunikationsschlüssel können sie nun
für welchen Zweck auch immer (z. B. Verschlüsselung von
Daten mit einem symmetrischen Algorithmus) einsetzen.
Die erfindungsgemäßen Verfahren haben u. a. folgende
Vorteile:
- 1. Außer den eigenen Identifikationsmerkmalen genügt die Kenntnis eines einzigen "public keys" mit einem beliebigen anderen Benutzer des Netzes. Das Verfahren zeichnet sich folglich durch einen sehr geringen Speicherbedarf aus.
- 2. Jeder präauthentifizierte Benutzer kann mit jedem anderen präauthentifizierten Benutzer eines der beschriebenen Protokolle abwickeln, ohne dabei auf die Schlüsselverteilzentrale zurückgreifen zu müssen (off- line Ablauf). Ein Benutzer kann damit nicht nur von der Schlüsselverteilzentrale, sondern auch von einem anderen Benutzer präauthentifiziert werden. Ein mit diesem System betriebenes Netz ist dadurch beliebig flexibel in bezug auf Erweiterung des Teilnehmerkreises.
- 3. Dennoch sind bei den erfindungsgemäßen Verfahren alle Teilnehmer unterscheidbar.
Zur Sicherheit der erfindungsgemäßen Verfahren läßt sich
folgendes sagen:
- 1. Falls man s aus α, y, ID und r bestimmen kann, kann man das El-Gamal′sche Signaturschema brechen, welches allgemein als sicher angesehen wird.
- 2. Falls man (r t′ ) s aus r, r s und r t′ bestimmen kann, kann man den Diffie-Hellmann′schen Schlüsselaustausch- Algorithmus brechen, welcher ebenfalls allgemein als sicher angesehen wird.
Diese Überlegungen lassen es als wahrscheinlich er
scheinen, daß bei geeigneter Wahl von q, α, x und k die
Kenntnis von s A resp. s B durch den Benutzer A resp. B un
erläßlich ist für die Konstruktion der Signatur resp. des
Sitzungsschlüssels z.
Die elektronische Signatur kann für die verschiedensten
Anwendungen benutzt werden, wie z. B. Genehmigung von
Kontoabbuchungen an POS-Terminals, Bestätigung in Anspruch
genommener Gesprächszeit in mobilen Telephonsystemen. In
all diesen Fällen stellt die signierte Mitteilung einen
elektronischen Check dar. Wichtig dabei ist, daß seine
Gültigkeit off-line geprüft werden kann. Durch die
Möglichkeit der hierarchischen Schlüsselverteilung werden
weiter auch alle Anwendungen erschlossen, die solche
Schlüssel verwenden, wie z. B. der authentifizierte
Schlüsselaustausch zwecks Chiffrierung gemäß dem Schweizer
Patentgesuch CH 1877/88-1.
Das erfindungsgemäße Verfahren läßt sich mit als solchen
bekannten Mitteln realisieren.
Die Einsatzmöglichkeiten des beschriebenen Verfahrens sind
aufgrund der erwähnten Vorteile ziemlich breit: POS-
Terminals, Computernetze, Mobiles Telephon usw.
Bezeichnungsliste
A, B, C Benutzer
SVZ Schlüsselverteilzentrale
f (.) Funktion
GF(q) endlicher Körper
g(. . .) Funktion
h(m) Hashcode
h (.) Hashfunktion
ID A , ID B , ID C Identitätsnummern
k, k′ Zufallszahl
m Mitteilung
r A/SVZ , r B/A , r C/SVZ primitives Element
s A/SVZ , s B/A , s C/SVZ , s A , s C geheimer Benutzerschlüssel
t B , t C Zufallszahl
x geheimer Netzschlüssel
y öffentlicher Netzschlüssel
z Geheimschlüssel
α primitives Element
SVZ Schlüsselverteilzentrale
f (.) Funktion
GF(q) endlicher Körper
g(. . .) Funktion
h(m) Hashcode
h (.) Hashfunktion
ID A , ID B , ID C Identitätsnummern
k, k′ Zufallszahl
m Mitteilung
r A/SVZ , r B/A , r C/SVZ primitives Element
s A/SVZ , s B/A , s C/SVZ , s A , s C geheimer Benutzerschlüssel
t B , t C Zufallszahl
x geheimer Netzschlüssel
y öffentlicher Netzschlüssel
z Geheimschlüssel
α primitives Element
Claims (6)
1. Verfahren zur elektronischen Signatur in einem Netz
mit einer Schlüsselverteilzentrale SVZ und mehreren
Teilnehmern A, C, dadurch gekennzeichnet, daß in
einer Präauthentifikationsphase
- a) die Schlüsselverteilzentrale eine Funktion f (.) zur Erzeugung von Identitätsnummern, eine Hashfunktion h (.), einen endlichen Körper GF (q), in welchem die Rechenoperationen ausgeführt werden, ein primitives Element α, ∈ GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y=α -x bildet,
- b) die Schlüsselverteilzentrale jedem Benutzer A eine Identitätsnummer ID A =f(A) signiert, indem die Schlüsselverteilzentrale eine geheime zweite Zufalls zahl k wählt, welche die Eigenschaft ggT(k,q-1)=1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element r A =α k und einen geheimen Benutzer schlüssel s A mit der Eigenschaft xr A + ks A = ID mod (q-1)bildet und dem Benutzer sein primitives Element r A und seinen geheimen Benutzerschlüssel s A mitteilt, und daß in einer Signaturphase zwischen einem ersten Benutzer A und einem zweiten Benutzer C
- c) der erste Benutzer A dem zweiten Benutzer C eine Mitteilung m sendet,
- d) der erste Benutzer A zwecks Signatur der Mitteilung m eine Zufallszahl k′ wählt, so daß ggT(k′,q-1)=1 ist, eine Größe r′=r A k′ berechnet, eine Zahl s′ ermittelt, welche die Gleichung s A r′ + k′s = h(m) mod (q-1)erfüllt und die Größen ID A , r A , r′, s′ als Signatur der Mitteilung m an den Benutzer C sendet,
- e) und der Benutzer C zwecks Verifikation der Signatur aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung prüft.
2. Verfahren zum Verteilen von authentifizierten
Schlüsseln in einem hierarchischen Netz mit einer
Schlüsselverteilzentrale SVZ und mehreren unter
geordneten Teilnehmern A, B, dadurch gekennzeichnet,
daß in einer Präauthentifikationsphase
- a) die Schlüsselverteilzentrale eine Funktion f (.) zur Erzeugung von Identitätsnummern, einen endlichen Körper GF (q), in welchem die Rechen operationen ausgeführt werden, ein primitives Element α, ∈ GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y=α -x bildet,
- b) die Schlüsselverteilzentrale einem ihr untergeordneten Benutzer A eine Identitätsnummer ID A =f(A) signiert, indem die Schlüsselverteil zentrale eine geheime zweite Zufallszahl k wählt, welche die Eigenschaft ggT(k,q-1)=1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element r A/SVZ =a k und einen geheimen Benutzerschlüssel s A/SVZ mit der Eigenschaft xr A/SVZ + ks A/SVZ = ID A mod (q,-1)bildet und dem Benutzer A sein primitives Element r A/SVZ und seinen geheimen Benutzerschlüssel s A/SVZ mitteilt,
- c) der erste Benutzer A dem zweiten ihm unter geordneten Benutzer B eine Identitätsnummer ID B =f(B) signiert, indem der Benutzer A eine geheime Zufalls zahl k′ wählt, welche die Eigenschaft ggT (k′,q-1)=1 hat, aus der Zufallszahl k′ ein benutzerspezifisches primitives Element r B/SVZ = r A/SVZ k′ und einen geheimen Benutzerschlüssel s A/B mit der Eigenschaft s A/SVZ r B/A-k′ s B/A = -ID B mod (q-1)bildet und dem untergeordneten Benutzer B sein primitives Element r B/A und seinen geheimen Benutzerschlüssel s B/A mitteilt.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet,
daß die Schlüsselverteilzentrale in der Präauthentifikationsphase
eine Funktion g:
GF(q) × GF(q) → GF(q)wählt und öffentlich bekannt gibt und daß zum Austauschen
von authentifizierten Schlüsseln zwischen
einem ersten Benutzer B und einem zweiten Benutzer C
- a) jeder der beiden Benutzer B resp. C dem anderen sein primitives Element r B resp. r C sowie das primitive Element r A des übergeordneten Benutzers A mitteilt,
- b) jeder der beiden Benutzer B resp. C die Identitätsnummer ID C = f(B) und ID A = f(A) bildet und aus dieser Identitätsnummer und dem primitiven Element r C resp. r B und r A des jeweils anderen dessen öffentlichen Benutzerschlüssel bildet,
- c) jeder der beiden Benutzer B resp. C eine geheime Zufallszahl t B resp. t C erzeugt und damit einen Code bildet, welchen er dem anderen Benutzer C resp. B mitteilt und
- d) die beiden Benutzer B und C einen gemeinsamen geheimen Sitzungsschlüssel z erzeugen, wobei Benutzer B den Sitzungsschlüssel z gemäß und Benutzer C gemäß bildet.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet,
daß als Funktion g(.,.) die Multiplikation im
endlichen Körper GF(q) verwendet wird.
5. Verfahren nach Anspruch 1 oder 2, dadurch
gekennzeichnet, daß als Funktion f(.) eine
Einwegfunktion verwendet wird.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet,
daß als Hashfunktion h(.) die Identität verwendet
wird.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19893905703 DE3905703C2 (de) | 1989-02-24 | 1989-02-24 | Verfahren zur elektronischen Signatur |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19893905703 DE3905703C2 (de) | 1989-02-24 | 1989-02-24 | Verfahren zur elektronischen Signatur |
Publications (2)
Publication Number | Publication Date |
---|---|
DE3905703A1 true DE3905703A1 (de) | 1990-09-06 |
DE3905703C2 DE3905703C2 (de) | 1998-01-22 |
Family
ID=6374816
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19893905703 Expired - Fee Related DE3905703C2 (de) | 1989-02-24 | 1989-02-24 | Verfahren zur elektronischen Signatur |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE3905703C2 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0547975A1 (de) * | 1991-12-19 | 1993-06-23 | Bull Cp8 | Verfahren und System zur Beglaubigung eines tragbaren Objekts durch ein äusseres Medium bei dem das Objekt durch eine Übertragungsleitung mit diesem Medium verbunden ist |
EP0566512A1 (de) * | 1992-04-17 | 1993-10-20 | Innovatron Terminaux S.A. | Verfahren zur Zugriffskontrolle auf eine Funktion eines Bauelementes unter Verwendung eines Kennwortes |
FR2729807A1 (fr) * | 1995-01-19 | 1996-07-26 | Korea Telecommunication | Procede pour signer une signature electronique numerique basse sur une information d'identification certifiee automatiquement |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19938197A1 (de) * | 1999-08-12 | 2001-03-08 | Deutsche Telekom Ag | Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4771461A (en) * | 1986-06-27 | 1988-09-13 | International Business Machines Corporation | Initialization of cryptographic variables in an EFT/POS network with a large number of terminals |
-
1989
- 1989-02-24 DE DE19893905703 patent/DE3905703C2/de not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4771461A (en) * | 1986-06-27 | 1988-09-13 | International Business Machines Corporation | Initialization of cryptographic variables in an EFT/POS network with a large number of terminals |
Non-Patent Citations (3)
Title |
---|
US-B.: FIAT, A. et al.: How to Prove Yourselfe: Practical Solutions to Identification and Signature Problems, In: Advances in Cryptology- CRYPTO` 86, Lecture Notes in Computer Science, Vol. 263, Springer Verlag, 1987, S. 186-194 * |
US-Z.: EL-GAMAL, T.: A Public-key Cryptosystem and a Signature Scheme Based on Discrete Loga- rithms, In: IEEE Trans. on Inform. Theory, Vol.31,July 1985, S. 469-472 * |
US-Z.: RIVEST, R.L. et al.: A Method for ObtainingDigital Signatures and Public-Key Cryptosystems, In: Communication of the ACM, Vol. 21, Feb. 1978, S. 120-126 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0547975A1 (de) * | 1991-12-19 | 1993-06-23 | Bull Cp8 | Verfahren und System zur Beglaubigung eines tragbaren Objekts durch ein äusseres Medium bei dem das Objekt durch eine Übertragungsleitung mit diesem Medium verbunden ist |
FR2685510A1 (fr) * | 1991-12-19 | 1993-06-25 | Bull Cps | Procede d'authentification, par un milieu exterieur, d'un objet portatif connecte a ce milieu par l'intermediaire d'une ligne de transmission, et systeme pour la mise en óoeuvre. |
US5253295A (en) * | 1991-12-19 | 1993-10-12 | Bull S.A. | Process for authentication, by an outside medium, of a portable object connected to that medium via a transmission line and system for carrying out the process |
EP0566512A1 (de) * | 1992-04-17 | 1993-10-20 | Innovatron Terminaux S.A. | Verfahren zur Zugriffskontrolle auf eine Funktion eines Bauelementes unter Verwendung eines Kennwortes |
FR2729807A1 (fr) * | 1995-01-19 | 1996-07-26 | Korea Telecommunication | Procede pour signer une signature electronique numerique basse sur une information d'identification certifiee automatiquement |
Also Published As
Publication number | Publication date |
---|---|
DE3905703C2 (de) | 1998-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0384475B1 (de) | Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem | |
DE19804054B4 (de) | System zur Verifizierung von Datenkarten | |
DE60114833T2 (de) | Überprüfbare, geheime mischung von verschlüsselten daten wie z. b. elgamal-verschlüsselte daten für gesicherte mehrinstanzwahlen | |
DE60114986T2 (de) | Verfahren zur herausgabe einer elektronischen identität | |
DE60011990T2 (de) | Verfahren und Vorrichtung in einem Kommunikationsnetzwerk | |
DE60313704T2 (de) | Verfahren und Vorrichtung zur Erzeugung eines Geheimschlüssels | |
DE69133502T2 (de) | Geheimübertragungsverfahren und -gerät | |
DE102011011652B4 (de) | Verfahren zum Verwenden eines ECDSA mit Winternitzeinmalsignatur | |
DE102008061483A1 (de) | Verfahren und Vorrichtung zum Verarbeiten von Daten | |
DE69838258T2 (de) | Public-Key-Datenübertragungssysteme | |
WO2002073374A2 (de) | Verfahren zur authentikation | |
DE112012000971B4 (de) | Datenverschlüsselung | |
DE60311507T2 (de) | Verfahren zur elliptische-kurven-verschlüsselung | |
DE60202149T2 (de) | Verfahren zur kryptographischen authentifizierung | |
DE3915262A1 (de) | Verfahren zur erzeugung von authentifizierten geheimschluesseln | |
DE69831792T2 (de) | Verfahren zur digitalen unterschrift | |
DE3905703C2 (de) | Verfahren zur elektronischen Signatur | |
DE60220918T2 (de) | Verfahren zur ausführung einer kryptographischen berechnung unter verwendung eines öffentlichen schlüssels | |
EP2449494A1 (de) | Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats | |
EP0481121A1 (de) | Authentifizierung für verschlüsselte Kommunikation | |
WO2007099026A1 (de) | Verfahren und vorrichtung zum authentifizieren eines öffentlichen schlüssels | |
DE19513898B4 (de) | Public-Key-Verfahren zur Verschlüsselung von Daten | |
EP1286494B1 (de) | Verfahren zur Erzeugung eines asymmetrischen kryptografischen Gruppenschlüsselpaares | |
DE19518546C1 (de) | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N | |
DE102021006430B4 (de) | Verfahren zur Erzeugung verteilter One-Way-Trapdoor-Permutationen durch additives Teilen ohne einen vertrauenswürdigen Händler |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8128 | New person/name/address of the agent |
Representative=s name: KOENIG, R., DIPL.-ING. DR.-ING. BERGEN, K., DIPL.- |
|
8110 | Request for examination paragraph 44 | ||
8125 | Change of the main classification |
Ipc: H04L 9/32 |
|
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |