DE3905703C2 - Verfahren zur elektronischen Signatur - Google Patents

Verfahren zur elektronischen Signatur

Info

Publication number
DE3905703C2
DE3905703C2 DE19893905703 DE3905703A DE3905703C2 DE 3905703 C2 DE3905703 C2 DE 3905703C2 DE 19893905703 DE19893905703 DE 19893905703 DE 3905703 A DE3905703 A DE 3905703A DE 3905703 C2 DE3905703 C2 DE 3905703C2
Authority
DE
Germany
Prior art keywords
user
key
secret
svz
primitive element
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE19893905703
Other languages
English (en)
Other versions
DE3905703A1 (de
Inventor
Christoph-Georg Dipl Guenther
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ascom Radiocom AG
Original Assignee
Ascom Radiocom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ascom Radiocom AG filed Critical Ascom Radiocom AG
Priority to DE19893905703 priority Critical patent/DE3905703C2/de
Publication of DE3905703A1 publication Critical patent/DE3905703A1/de
Application granted granted Critical
Publication of DE3905703C2 publication Critical patent/DE3905703C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

Technisches Gebiet
Die Erfindung bezieht sich auf ein Verfahren zur elektroni­ schen Signatur in einem Netz mit einer Schlüsselverteil­ zentrale SVZ und mehreren Teilnehmern A, C, . . .
Stand der Technik
Elektronische Signaturen werden zur Sicherung der Datenintegrität und zur Sicherung der Authentizität des Absenders einer Mitteilung eingesetzt. Man unterscheidet zwischen symmetrischen und asymmetrischen Verfahren.
Bei symmetrischen Verfahren verwenden Absender und Empfänger denselben Signaturalgorithmus und denselben Schlüssel. Die Authentizität wird durch die gemeinsame Kenntnis des Schlüssels garantiert. Das Problem dabei ist, daß der Empfänger nicht in der Lage ist, gegenüber einem Dritten nachzuweisen, daß ein gewisses Dokument tatsächlich vom gegebenen Absender stammt, da auch er selbst die Signatur erzeugt haben könnte.
Bei einem asymmetrischen Verfahren dagegen verwendet der Absender einen Signaturalgorithums mit einem Schlüssel, den nur er kennt (private key), und der Empfänger einen zugehörigen Verifikationsalgorithmus mit einem öffentlich bekannten Schlüssel (public key). Damit ist das genannte Problem der symmetrischen Verfahren überwunden. Asymmetrische Verfahren sind z. B. aus den Arbeiten - R.L. Rivest, A. Shamir, L. Adleman, "A Method for Obtaining Digital Signatures and Public-key Cryptosystems", Commun. of the ACM, Vol. 21, pp. 120-126, Feb. 1978, und - T. El-Gamal, "A Public-key Cryptosystem and a Signature Scheme Based on Discrete Logarithms", IEEE Trans. on Inform. Theory, Vol. 31, pp. 469-472, July 1985, bekannt.
Ein wesentliches Problem bei allen Verfahren ist die Authentizität der öffentlichen Schlüssel. Rivest, Shamir und Adleman haben dafür folgende Lösung vorgeschlagen: In einer Präauthentifikationsphase geht jeder Benutzer X zur Schlüsselauthentifikationszentrale SAZ und läßt sich seinen öffentlichen Schlüssel KX signieren → SSAZ(X, KX). Dazu benutzt die SAZ ihren asymmetrischen Algorithmus und gibt dem Benutzer ihren öffentlichen Schlüssel KSAZ mit. In der Signaturphase sendet X seinem Gesprächspartner Y einen String mit folgenden Größen: X, KX, SSAZ(X, KX), M, SKX(M). Um die Authentizität der Mitteilung M zu prüfen, verifiziert Y zunächst, ob SSAZ(X, KX) die Signatur zu X, KX ist, und benutzt dann KX, um die Signatur SKX(M) von M zu testen.
Aus - A. Fiat, A. Shamir, "How to Prove Yourself: Practical Solutions to Identification and Signature Problems", Advances in Cryptology - CRYPTO′ 86, Lecture Notes in Computer Science, Vol. 263, pp. 186-194, Springer-Verlag 1987, ist eine weitere Lösung bekannt. Ein interessanter Aspekt dieser Arbeit ist die Idee, eine identifikationsabhängige Zahl (welche typischerweise Namen, Vornamen, Geburtsdatum, . . . enthält) zur Berechnung einer Größe, die einem öffentlichen Schlüssel ähnlich ist, zu ver­ wenden.
Schließlich ist aus US 4 771 461 ein Verfahren zur elek­ tronischen Signatur in einem Netz mit einer Schlüssel­ verteilzentrale und mehreren Teilnehmern bekannt, bei dem von der Schlüsselverteilzentrale in einer Präauthen­ tifikationsphase ein öffentlicher Netzschlüssel gebildet wird.
Darstellung der Erfindung
Aufgabe der Erfindung ist es, ein Verfahren zur elektro­ nischen Signatur in einem Netz mit einer Schlüsselver­ teilzentrale und mehreren Teilnehmern anzugeben, welches mit einem einzigen Netzschlüssel auskommt.
Erfindungsgemäß besteht die Lösung darin, daß in einer Präauthentifikationsphase
  • a) die Schlüsselverteilzentrale eine Funkti­ on f(.) zur Erzeugung von Identitätsnummern, eine Hashfunktion h(.), einen endlichen Körper GF(q), in welchem die Rechenoperationen ausgeführt werden, ein primitives Element α ε GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentli­ chen Netzschlüsse y = α-x bildet,
  • b) die Schlüsselverteilzentrale jedem Benut­ zer A eine Identitätsnummer IDA = f(A) signiert, in­ dem die Schlüsselverteilzentrale eine geheime zweite Zufallszahl k wählt, welche die Eigenschaft ggT(k, q- 1) = 1 hat, aus der Zufallszahl k ein benutzerspezi­ fisches primitives Element rA = αk und einen gehei­ men Benutzerschlüssel sA mit der Eigenschaft xrA+ksA = ID mod (q-1) bildet und dem Benutzer sein primiti­ ves Element rA und seinen geheimen Benutzerschlüssel sA mitteilt,
und daß in einer Signaturphase zwischen einem ersten Be­ nutzer A und einem zweiten Benutzer C
  • c) der erste Benutzer A dem zweiten Benutzer C eine Mitteilung m sendet,
  • d) der erste Benutzer A zwecks Signatur der Mitteilung m eine Zufallszahl k′ wählt, so daß ggT(k′, q-1) = 1 ist, eine Größe r′ = rA k′ berechnet, eine Zahl s′ ermittelt, welche die Gleichung sAr′+k′s′=h(m) mod (q-1) erfüllt und die Größen IDA, rA, r′, s′ als Signatur der Mitteilung m an den Benutzer C sendet,
  • e) und der Benutzer C zwecks Verifikation der Signatur aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung prüft.
Es versteht sich von selbst, daß der endliche Körper GF(q) so gewählt wird, daß q-1 eine Zahl mit mindestens einem großen Primfaktoren ist. Falls nicht anders angegeben, werden alle erfindungsgemäßen Operationen in diesem Körper ausgeführt.
Die Mitteilung m ist irgend ein elektronisches Dokument (Paket von digitalen Daten). Die Hashfunktion h(.) erzeugt aus der Mitteilung einen kürzeren, als solchen bekannten Hashcode. Bei kurzen Mitteilungen kann auf den Hashcode verzichtet werden (d. h. h(.) ist die Identität), so daß die Mitteilung selbst signiert wird.
Mit dem erfindungsgemäßen Verfahren kann man in einem hierarchischen Netz auch Schlüssel authentifizieren. Dabei wird davon ausgegangen, daß der Benutzer A der Schlüssel­ verteilzentrale SVZ bekannt ist, nicht aber der Benutzer B. Dieser ist aber dem Benutzer A bekannt. Dann kann der Benutzer A für den Benutzer B einen authentifizierten Schlüssel konstruieren, indem er die El-Gamal Signatur zu m = -IDB berechnet, daraus rB | A = r′ und sB | A = -s′ bestimmt und B mitteilt.
Die Größe sB | A ist dann der private Schlüssel von Benutzer B. Sein öffentlicher Schlüssel ist gegeben durch
Ebenso wie die Schlüsselverteilzentrale SVZ ihr primitives Element α und der Benutzer A sein primitives Element rA | SVZ so muß auch Benutzer B sein primitives Element rB | A, das der Bildung des öffentlichen Schlüssels zu Grund liegt, bekanntgeben.
Bei der betrachteten hierarchischen Schlüsselverteilung muß Vertrauen von B gegenüber A ebenso bestehen, wie von A gegenüber der SVZ. Der Benutzer A, welcher dabei die Funktion einer lokalen Zentrale hat, kann jederzeit einen Schlüssel erzeugen, mit dem er sich als B ausgeben kann. Dies ist nicht zu vermeiden, wenn IDB nicht eine eindeutige, physikalische Beschreibung von B, wie etwa seine Fingerabdrücke, enthält. (Im zivilen Leben hat man ein ähnliches Problem: Eine Paßbehörde kann im Prinzip jeden Paß fälschen, d. h. einer Person A einen Paß mit dessen Beschreibung und Photographie aushändigen, der auf eine Person B lautet.)
Aus den abhängigen Patentansprüchen ergeben sich vorteil­ hafte Ausführungsformen der Erfindung.
Kurze Beschreibung der Zeichnung
Nachfolgend soll die Erfindung anhand von Ausführungsbei­ spielen im Zusammenhang mit der Zeichnung näher erläutert werden. Es zeigen:
Fig. 1 eine schematische Darstellung der Präauthenti­ fikationsphase;
Fig. 2 eine schematische Darstellung der Signatur- und Verifikationsphase; und
Fig. 3 eine schematische Darstellung der Schlüsselaus­ tauschphase zwischen zwei Benutzern.
Die in der Zeichnung verwendeten Bezugszeichen und deren Bedeutung sind in der Bezeichnungsliste zusammenfassend tabelliert.
Wege zur Ausführung der Erfindung
Die erfindungsgemäße elektronische Signatur findet in einem für die Übertragung von digitalen Daten geeigneten Netz mit einer Schlüsselverteilzentrale SVZ und mehreren Benutzern A, C, . . . statt und weist zwei Phasen auf, nämlich eine Präauthentifikationsphase und eine Kommunikations- bzw. Signaturphase. In der Präauthentifikationsphase kommt jeder ihr untergeordnete Benutzer A, C . . . zur Schlüssel­ verteilzentrale SVZ und läßt sich seine Identität gemäß dem El-Gamal Schema signieren. In der nachfolgenden Signaturphase sendet ein Benutzer A einem anderen Benutzer C eine Mitteilung und deren Signatur, welche der Benutzer C verifiziert.
Fig. 1 zeigt eine schematische Darstellung der Präau­ thentifikationsphase. Als erstes wählt (SELECT) die Schlüsselverteilzentrale SVZ einen endlichen Körper GF(q), wobei q-1 typischerweise einen großen Primfaktoren aufweist, und ein primitives Element α ε GF(q). Dann erzeugt sie zufällig (RANDOM) als geheimen Netzschlüssel ("private part") eine erste Zahl x, aus welcher sie einen öffentlichen Netzschlüssel ("public part") y = α-x bildet. (Es versteht sich, daß diese und die später beschriebenen Operationen im endlichen Körper GF(q) ausgeführt werden, soweit nicht anders angegeben.) Weiter definiert sie eine geeignete Funktion f(.), welche aus den Identitätsmerkmalen eines Benutzers eine eindeutige Identitätsnummer erzeugt, und eine Hashfunktion h(.), welche aus einer Mitteilung einen Hashcode erzeugt.
Die durch f(.) bestimmte Identitätsnummer ID kann beispielsweise durch Abtasten des Fingers (Fingerabdruck) gebildet werden. Es können aber auch weitere Merkmale eingehen. Typischerweise ist f(.) eine Einwegfunktion (one way function), die auf den Datenstring bestehend aus Name, Vorname, Geburtsdatum und eventuell weiteren Merkmalen angewandt wird.
Den endlichen Körper GF(q), das primitive Element α und den öffentlichen Netzschlüssel y sowie die Funktion f(.) und die Hashfunktion h(.) gibt die Schlüsselverteilzentrale SVZ öffentlich bekannt. Den geheimen Netzschlüssel x speichert sie zugriffsgeschützt ab.
Die Schlüsselverteilzentrale SVZ hat damit die grund­ legenden, allgemeinen Vorbereitungen abgeschlossen. Nun kommt jeder Benutzer zur Schlüsselverteilzentrale SVZ und läßt sich seine Identität gemäß dem El-Gamal Schema signieren.
Der Benutzer A weist sich aus (z. B. mit seinem Reisepaß), worauf die Schlüsselverteilzentrale SVZ mit Hilfe der Funktion f(.) eine eindeutige Identitätsnummer IDA = f(A) berechnet. Dann erzeugt sie zufällig (RANDOM) eine benutzerspezifische Zahl k, welche die Eigenschaft ggT(k,q- 1) = 1 hat (ggT = größter gemeinsamer Teiler). Aus der zweiten Zufallszahl k bildet sie ein benutzerspezifisches, primitives Element rA | SVZ = αk und einen geheimen Benutzer­ schlüssel sA | SVZ mit der Eigenschaft xrA | SVZ+ksA | SVZ = IDA mod (q-1). Das primitive Element rA | SVZ und den geheimen Benutzerschlüssel sA | SVZ teilt sie dem Benutzer A mit, der den geheimen Benutzerschlüssel sA | SVZ zugriffsgesichert abspeichert.
Jeder Benutzer, der der Schlüsselverteilzentrale direkt untergeordnet ist und der im Netz zugelassen werden will, muß die beschriebene Präauthentifikationsphase durchlaufen.
Fig. 2 zeigt eine schematische Darstellung der Kommuni­ kations- bzw. Signaturphase. Sie findet zwischen einem ersten Benutzer A und einem zweiten Benutzer C statt.
Jeder der beiden Benutzer kennt dabei die öffentlich bekannten Parameter f(.), h(.), GF(q), α, y, sowie sein primitives Element rA resp. rC und seinen geheimen Benutzerschlüssel sA resp. sC. (Der Einfachheit halber wird im folgenden der Bezug auf die Herkunft der Größen weggelassen, soweit dadurch keine Verwechslungen verursacht werden: rA statt rA | SVZ, rC statt rC | SVZ usw.) Typischerweise hat jeder auch seine eigene Identitätsnummer IDA resp. IDC abgespeichert.
Als erstes sendet der Benutzer A dem Benutzer C eine Mitteilung m, sowie seine Identitätsnummer IDA und sein öffentliche primitives Element rA.
Als zweites bildet jeder der beiden Benutzer A resp. C aus der Mitteilung m den Hashcode h(m).
Als nächstes signiert der erste Benutzer A die Mitteilung, m resp. den Hashcode h(m), indem er eine Zufallszahl k′ wählt (RANDOM), so daß ggT(k′, q-1) = 1 ist, eine Größe r′ = rA k′ berechnet und eine Zahl s′ ermittelt (SELECT), welche die Gleichung sAr′+k′s′=h(m) mod (q-1) erfüllt. Die Größen r′, s′ (welche zusammen mit IDA, rA die Signatur der Mitteilung m bilden) sendet er an den Benutzer C.
Zwecks Verifikation der Signatur berechnet der Benutzer C zunächst die Größe
und prüft aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung
Die Hashfunktion braucht nicht unbedingt von der Schlüssel­ verteilzentrale vorgegeben zu werden. Es liegt auch im Rahmen der Erfindung, wenn der Hashcode h(m) zusammen mit der Mitteilung m an den Benutzer C gesendet wird. Bei kurzen Mitteilungen kann außerdem auf die Hashfunktion h(.) verzichtet werden, d. h. h(.) ist die Identität.
Eine vorteilhafte Ausführungsform der Erfindung stellt ein Verfahren zum Verteilen von authentifizierten Schlüsseln in einem hierarchischen Netz mit einer Schlüsselverteil­ zentrale SVZ und mehreren untergeordneten Teilnehmern A, B, C dar. Im folgenden wird auf Fig. 1 Bezug genommen.
Die Präauthentifikationsphase wird im wesentlichen wie oben beschrieben durchgeführt. Die Hashfunktion h(.) ist in diesem Zusammenhang jedoch ohne Bedeutung.
Nachdem sich der Benutzer A bei der Schlüsselverteil­ zentrale sein primitives Element rA | SVZ und seinen geheimen Benutzerschlüssel sA | SVZ geholt hat, kann er einem zweiten, ihm untergeordneten Benutzer B einen authentifizierten Schlüssel konstruieren.
Um dem Benutzer B seine Identitätsnummer IDB = f(B) zu signieren, wählt der Benutzer A eine geheime Zufallszahl k′ (RANDOM), welche die Eigenschaft ggT(k′, q-1) = 1 hat. Darauf bildet er aus der Zufallszahl k′ ein primitives Element rB | A = rA | SVZ k′ und einen geheimen Benutzerschlüssel sB | A mit der Eigenschaft sA | SVZrB | A-k′sB | A = -IDB mod (q-1) und teilt dem untergeordneten Benutzer B sein primitives Element rB | A und seinen geheimen Benutzerschlüssel sB | A mit.
Der Benutzer B ist damit ins Netz aufgenommen. Er kann damit insbesondere gültige Signaturen nach obigem Schema erzeugen oder einen Schlüsselaustausch gemäß dem Schweizerischen Patentgesuch CH-105/89 (Anmeldedatum 13.1.89) durchführen. Dieser letztere Vorgang sei anhand der Fig. 3 erläutert. An dieser Stelle wird vorausgesetzt, daß die Schlüsselverteilzentrale in der Präauthentifi­ kationsphase noch eine geeignete Funktion g: GF(q) x GF(q) → GF(q) definiert hat. Vorzugsweise ist diese Funktion das Produkt.
Der Benutzer B ist dabei wie beschrieben vom ihm überge­ ordneten Benutzer A und der Benutzer C direkt von der Schlüsselverteilzentrale SVZ präauthentifiziert.
Als erstes teilt jeder der beiden Benutzer B resp. C dem anderen sein primitives Element rB | A resp. rC | SVZ mit. Benutzer B teilt außerdem das primitive Element rA | SVZ des übergeordneten Benutzers A mit.
Als zweites bildet jeder der beiden Benutzer B resp. C die Identitätsnummer IDC = f(C) resp. IDB = f(B) und IDA = f(A). Aus der Identitätsnummer und dem primitiven Element rC | SVZ resp. rB | A und rA | SVZ des jeweils anderen berechnet jeder zudem den öffentlichen Benutzerschlüssel
des jeweils anderen.
Als drittes erzeugt jeder der beiden Benutzer B resp. C eine geheime Zufallszahl tB resp. tC und bildet damit einen Code
welchen er dem anderen Benutzer C resp. B mitteilt.
Schließlich konstruieren sie einen gemeinsamen geheimen Sitzungsschlüssel z. Benutzer B bildet ihn gemäß
und Benutzer C gemäß
Diesen gemeinsamen Kommunikationsschlüssel können sie nun für welchen Zweck auch immer (z. B. Verschlüsselung von Daten mit einem symmetrischen Algorithmus) einsetzen.
Die erfindungsgemäßen Verfahren haben u. a. folgende Vorteile:
  • 1. Außer den eigenen Identifikationsmerkmalen genügt die Kenntnis eines einzigen "public keys" mit einem beliebigen anderen Benutzer des Netzes. Das Verfahren zeichnet sich folglich durch einen sehr geringen Speicherbedarf aus.
  • 2. Jeder präauthentifizierte Benutzer kann mit jedem anderen präauthentifizierten Benutzer eines der beschriebenen Protokolle abwickeln, ohne dabei auf die Schlüsselverteilzentrale zurückgreifen zu müssen (off­ line Ablauf). Ein Benutzer kann damit nicht nur von der Schlüsselverteilzentrale sondern auch von einem anderen Benutzer präauthentifiziert werden. Ein mit diesem System betriebenes Netz ist dadurch beliebig flexibel in bezug auf Erweiterung des Teilnehmerkreises.
  • 3. Dennoch sind bei den erfindungsgemäßen Verfahren alle Teilnehmer unterscheidbar.
Zur Sicherheit der erfindungsgemäßen Verfahren läßt sich folgendes sagen:
  • 1. Falls man s aus α, y, ID und r bestimmen kann, kann man das El-Gamal′sche Signaturschema brechen, welches allgemein als sicher angesehen wird.
  • 2. Falls man (rt′)s aus r, rs und rt′, bestimmen kann, kann man den Diffie-Hellmann′schen Schlüsselaustausch- Algorithmus brechen, welcher ebenfalls allgemein als sicher angesehen wird.
Diese Überlegungen lassen es als wahrscheinlich er­ scheinen, daß bei geeigneter Wahl von q, α, x und k die Kenntnis von sA resp. sB durch den Benutzer A resp. B un­ erläßlich ist für die Konstruktion der Signatur resp. des Sitzungsschlüssels z.
Die elektronische Signatur kann für die verschiedensten Anwendungen benutzt werden, wie z. B. Genehmigung von Kontoabbuchungen an POS-Terminals, Bestätigung in Anspruch genommener Gesprächszeit in mobilen Telephonsystemen. In all diesen Fällen stellt die signierte Mitteilung einen elektronischen Check dar. Wichtig dabei ist, daß seine Gültigkeit off-line geprüft werden kann. Durch die Möglichkeit der hierarchischen Schlüsselverteilung werden weiter auch alle Anwendungen erschlossen, die solche Schlüssel verwenden, wie z. B. der authentifizierte Schlüsselaustausch zwecks Chiffrierung gemäß dem Schweizer Patentgesuch CH-1877/88-1.
Das erfindungsgemäße Verfahren läßt sich mit als solchen bekannten Mitteln realisieren.
Die Einsatzmöglichkeiten des beschriebenen Verfahrens sind aufgrund der erwähnten Vorteile ziemlich breit: POS- Terminals, Computernetze, Mobiles Telephon usw.

Claims (6)

1. Verfahren zur elektronischen Signatur in einem Netz mit einer Schlüsselverteilzentrale SVZ und mehreren Teilnehmern A, C, dadurch gekennzeichnet, daß in einer Präauthentifikationsphase
  • a) die Schlüsselverteilzentrale eine Funktion f(.) zur Erzeugung von Identitätsnummern, eine Hashfunktion h(.), einen endlichen Körper GF(q), in welchem die Rechenoperationen ausgeführt werden, ein primitives Element α ε GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y = α-x bildet,
  • b) die Schlüsselverteilzentrale jedem Benutzer A eine Identitätsnummer IDA = f(A) signiert, indem die Schlüsselverteilzentrale eine geheime zweite Zufalls­ zahl k wählt, welche die Eigenschaft ggT(k, q-1) = 1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element rA = αk und einen geheimen Benutzer­ schlüssel sA mit der Eigenschaft xrA+ksA = ID mod (q- 1) bildet und dem Benutzer sein primitives Element rA und seinen geheimen Benutzerschlüssel sA mitteilt, und daß in einer Signaturphase zwischen einem ersten Benutzer A und einem zweiten Benutzer C
  • c) der erste Benutzer A dem zweiten Benutzer C eine Mitteilung m sendet,
  • d) der erste Benutzer A zwecks Signatur der Mitteilung m eine Zufallszahl k′ wählt, so daß ggT(k′, q-1) = 1 ist, eine Größe r′ = rA k′ berechnet, eine Zahl s′ ermittelt, welche die Gleichung sAr′+k′s′=h(m) mod (q-1) erfüllt und die Größen IDA, rA, r′, s′ als Signatur der Mitteilung m an den Benutzer C sendet,
  • e) und der Benutzer C zwecks Verifikation der Signatur aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung prüft.
2. Verfahren zum Verteilen von authentifizierten Schlüsseln in einem hierarchischen Netz mit einer Schlüsselverteilzentrale SVZ und mehreren unter­ geordneten Teilnehmern A, B, dadurch gekennzeichnet, daß in einer Präauthentifikationsphase
  • a) die Schlüsselverteilzentrale eine Funktion f(.) zur Erzeugung von Identitätsnummern, einen endlichen Körper GF(q), in welchem die Rechen­ operationen ausgeführt werden, ein primitives Element α ε GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y = α-x bildet,
  • b) die Schlüsselverteilzentrale einem ihr untergeordneten Benutzer A eine Identitätsnummer IDA = f(A) signiert, indem die Schlüsselverteil­ zentrale eine geheime zweite Zufallszahl k wählt, welche die Eigenschaft ggT(k, q-1) = 1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element rA | SVZ = αk und einen geheimen Benutzerschlüssel sA | SVZ mit der Eigenschaft xrA | SVZ+ksA | SVZ = IDA mod (q-1) bildet und dem Benutzer A sein primitives Element rA | SVZ und seinen geheimen Benutzerschlüssel sA | SVZ mitteilt,
  • c) der erste Benutzer A einem zweiten ihm unter­ geordneten Benutzer B eine Identitätsnummer IDB = f(B) signiert, indem der Benutzer A eine geheime Zufalls­ zahl k′ wählt, welche die Eigenschaft ggT(k′, q-1) = 1 hat, aus der Zufallszahl k′ ein benutzerspezifisches primitives Element rB | A = rA | SVZ k′ und einen geheimen Benutzerschlüssel sB | A mit der Eigenschaft sA | SVZrB | A-k′sB | A = -IDB mod (q-1) bildet und dem untergeordneten Benutzer B sein primitives Element rB | A und seinen geheimen Benutzerschlüssel sB | A mitteilt.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die Schlüsselverteilzentrale in der Präauthenti­ fikationsphase eine Funktion g: GF(q) x GF(q) → GF(q) wählt und öffentlich bekannt gibt und daß zum Aus­ tauschen von authentifizierten Schlüsseln zwischen einem ersten Benutzer B und einem zweiten Benutzer C
  • a) jeder der beiden Benutzer B resp. C dem anderen sein primitives Element rB resp. rC sowie das primitive Element rA des übergeordneten Benutzers A mitteilt,
  • b) jeder der beiden Benutzer B resp. C die Identitätsnummer IDC = f(C) resp. IDB = f(B) und IDA = f(A) bildet und aus dieser Identitätsnummer und dem primitiven Element rC resp. rB und rA des jeweils anderen dessen öffentlichen Benutzerschlüssel bildet,
  • c) jeder der beiden Benutzer B resp. C eine geheime Zufallszahl tB resp. tC erzeugt und damit einen Code bildet, welchen er dem anderen Benutzer C resp. B mitteilt und
  • d) die beiden Benutzer B und C einen gemeinsamen geheimen Sitzungsschlüssel z erzeugen, wobei Benutzer B den Sitzungsschlüssel z gemäß und Benutzer C gemäß bildet.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß als Funktion g(. , .) die Multiplikation im endlichen Körper GF(q) verwendet wird.
5. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß als Funktion f(.) eine Einwegfunktion verwendet wird.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß als Hashfunktion h(.) die Identität verwendet wird.
DE19893905703 1989-02-24 1989-02-24 Verfahren zur elektronischen Signatur Expired - Fee Related DE3905703C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19893905703 DE3905703C2 (de) 1989-02-24 1989-02-24 Verfahren zur elektronischen Signatur

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19893905703 DE3905703C2 (de) 1989-02-24 1989-02-24 Verfahren zur elektronischen Signatur

Publications (2)

Publication Number Publication Date
DE3905703A1 DE3905703A1 (de) 1990-09-06
DE3905703C2 true DE3905703C2 (de) 1998-01-22

Family

ID=6374816

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19893905703 Expired - Fee Related DE3905703C2 (de) 1989-02-24 1989-02-24 Verfahren zur elektronischen Signatur

Country Status (1)

Country Link
DE (1) DE3905703C2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19938197A1 (de) * 1999-08-12 2001-03-08 Deutsche Telekom Ag Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2685510B1 (fr) * 1991-12-19 1997-01-03 Bull Cps Procede d'authentification, par un milieu exterieur, d'un objet portatif connecte a ce milieu par l'intermediaire d'une ligne de transmission, et systeme pour la mise en oeuvre
FR2690258B1 (fr) * 1992-04-17 1997-03-28 France Telecom Procede de controle d'acces du type autorisant l'acces a une fonction d'exploitation d'un module d'exploitation a l'aide d'un mot de controle.
KR0137536B1 (ko) * 1995-01-19 1998-07-01 조백제 자체인증 특성을 갖는 개인식별정보에 기반을 둔 비대화형 전자 서명 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4771461A (en) * 1986-06-27 1988-09-13 International Business Machines Corporation Initialization of cryptographic variables in an EFT/POS network with a large number of terminals

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4771461A (en) * 1986-06-27 1988-09-13 International Business Machines Corporation Initialization of cryptographic variables in an EFT/POS network with a large number of terminals

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
US-B.: FIAT, A. et al.: How to Prove Yourselfe: Practical Solutions to Identification and Signature Problems, In: Advances in Cryptology- CRYPTO` 86, Lecture Notes in Computer Science, Vol. 263, Springer Verlag, 1987, S. 186-194 *
US-Z.: EL-GAMAL, T.: A Public-key Cryptosystem and a Signature Scheme Based on Discrete Loga- rithms, In: IEEE Trans. on Inform. Theory, Vol.31,July 1985, S. 469-472 *
US-Z.: RIVEST, R.L. et al.: A Method for ObtainingDigital Signatures and Public-Key Cryptosystems, In: Communication of the ACM, Vol. 21, Feb. 1978, S. 120-126 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19938197A1 (de) * 1999-08-12 2001-03-08 Deutsche Telekom Ag Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern

Also Published As

Publication number Publication date
DE3905703A1 (de) 1990-09-06

Similar Documents

Publication Publication Date Title
EP0384475B1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
DE69128981T2 (de) Geheimübertragungsverfahren und Geheimübertragungseinrichtung
DE60114833T2 (de) Überprüfbare, geheime mischung von verschlüsselten daten wie z. b. elgamal-verschlüsselte daten für gesicherte mehrinstanzwahlen
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
DE69408176T2 (de) Verwaltungsverfahren von Geheimschlüsseln zwischen zwei Chipkarten
DE69613409T2 (de) Verfahren und Vorrichtung zur gesicherten anonymen Nachrichtenübertragung und zum elektronischen Abstimmen
DE102008061483A1 (de) Verfahren und Vorrichtung zum Verarbeiten von Daten
DE69838258T2 (de) Public-Key-Datenübertragungssysteme
EP0872076A1 (de) Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit
DE10136608B4 (de) Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
WO2002073374A2 (de) Verfahren zur authentikation
DE68904989T2 (de) Einrichtung zur abgesicherten datenkommunikation.
DE10143728A1 (de) Vorrichtung und Verfahren zum Berechnen eines Ergebnisses einer modularen Exponentiation
DE3915262A1 (de) Verfahren zur erzeugung von authentifizierten geheimschluesseln
DE69108786T2 (de) Geheimnisübertragungsverfahren, durch Zertifikataustausch zwischen zwei sich gegenseitig authentifizierenden Mikrorechnern.
DE3905703C2 (de) Verfahren zur elektronischen Signatur
DE69831792T2 (de) Verfahren zur digitalen unterschrift
EP3832950A1 (de) Kryptographisches signatursystem
EP1119941A1 (de) Verfahren zum etablieren eines gemeinsamen schlüssels zwischen einer zentrale und einer gruppe von teilnehmern
DE19841886C2 (de) Verfahren und Vorrichtung zur Erzeugung von Paßwörtern
WO2011000608A1 (de) Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats
EP0481121A1 (de) Authentifizierung für verschlüsselte Kommunikation
DE102006009725A1 (de) Verfahren und Vorrichtung zum Authentifizieren eines öffentlichen Schlüssels
DE19518546C1 (de) Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N
DE19703929A1 (de) Verfahren zum Generieren einer digitalen Signatur und Verfahren zur Überprüfung der Signatur

Legal Events

Date Code Title Description
8128 New person/name/address of the agent

Representative=s name: KOENIG, R., DIPL.-ING. DR.-ING. BERGEN, K., DIPL.-

8110 Request for examination paragraph 44
8125 Change of the main classification

Ipc: H04L 9/32

D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee