DE3905703C2 - Verfahren zur elektronischen Signatur - Google Patents
Verfahren zur elektronischen SignaturInfo
- Publication number
- DE3905703C2 DE3905703C2 DE19893905703 DE3905703A DE3905703C2 DE 3905703 C2 DE3905703 C2 DE 3905703C2 DE 19893905703 DE19893905703 DE 19893905703 DE 3905703 A DE3905703 A DE 3905703A DE 3905703 C2 DE3905703 C2 DE 3905703C2
- Authority
- DE
- Germany
- Prior art keywords
- user
- key
- secret
- svz
- primitive element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
Die Erfindung bezieht sich auf ein Verfahren zur elektroni
schen Signatur in einem Netz mit einer Schlüsselverteil
zentrale SVZ und mehreren Teilnehmern A, C, . . .
Elektronische Signaturen werden zur Sicherung der
Datenintegrität und zur Sicherung der Authentizität des
Absenders einer Mitteilung eingesetzt. Man unterscheidet
zwischen symmetrischen und asymmetrischen Verfahren.
Bei symmetrischen Verfahren verwenden Absender und
Empfänger denselben Signaturalgorithmus und denselben
Schlüssel. Die Authentizität wird durch die gemeinsame
Kenntnis des Schlüssels garantiert. Das Problem dabei ist,
daß der Empfänger nicht in der Lage ist, gegenüber einem
Dritten nachzuweisen, daß ein gewisses Dokument
tatsächlich vom gegebenen Absender stammt, da auch er
selbst die Signatur erzeugt haben könnte.
Bei einem asymmetrischen Verfahren dagegen verwendet der
Absender einen Signaturalgorithums mit einem Schlüssel, den
nur er kennt (private key), und der Empfänger einen
zugehörigen Verifikationsalgorithmus mit einem öffentlich
bekannten Schlüssel (public key). Damit ist das genannte
Problem der symmetrischen Verfahren überwunden.
Asymmetrische Verfahren sind z. B. aus den Arbeiten
- R.L. Rivest, A. Shamir, L. Adleman, "A Method for
Obtaining Digital Signatures and Public-key Cryptosystems",
Commun. of the ACM, Vol. 21, pp. 120-126, Feb. 1978, und
- T. El-Gamal, "A Public-key Cryptosystem and a Signature
Scheme Based on Discrete Logarithms", IEEE Trans. on
Inform. Theory, Vol. 31, pp. 469-472, July 1985,
bekannt.
Ein wesentliches Problem bei allen Verfahren ist die
Authentizität der öffentlichen Schlüssel. Rivest, Shamir
und Adleman haben dafür folgende Lösung vorgeschlagen: In
einer Präauthentifikationsphase geht jeder Benutzer X zur
Schlüsselauthentifikationszentrale SAZ und läßt sich
seinen öffentlichen Schlüssel KX signieren → SSAZ(X, KX).
Dazu benutzt die SAZ ihren asymmetrischen Algorithmus und
gibt dem Benutzer ihren öffentlichen Schlüssel KSAZ mit. In
der Signaturphase sendet X seinem Gesprächspartner Y einen
String mit folgenden Größen: X, KX, SSAZ(X, KX), M, SKX(M). Um
die Authentizität der Mitteilung M zu prüfen, verifiziert Y
zunächst, ob SSAZ(X, KX) die Signatur zu X, KX ist, und
benutzt dann KX, um die Signatur SKX(M) von M zu testen.
Aus
- A. Fiat, A. Shamir, "How to Prove Yourself: Practical
Solutions to Identification and Signature Problems",
Advances in Cryptology - CRYPTO′ 86, Lecture Notes in
Computer Science, Vol. 263, pp. 186-194, Springer-Verlag
1987,
ist eine weitere Lösung bekannt. Ein interessanter Aspekt
dieser Arbeit ist die Idee, eine identifikationsabhängige
Zahl (welche typischerweise Namen, Vornamen,
Geburtsdatum, . . . enthält) zur Berechnung einer Größe,
die einem öffentlichen Schlüssel ähnlich ist, zu ver
wenden.
Schließlich ist aus US 4 771 461 ein Verfahren zur elek
tronischen Signatur in einem Netz mit einer Schlüssel
verteilzentrale und mehreren Teilnehmern bekannt, bei
dem von der Schlüsselverteilzentrale in einer Präauthen
tifikationsphase ein öffentlicher Netzschlüssel gebildet
wird.
Aufgabe der Erfindung ist es, ein Verfahren zur elektro
nischen Signatur in einem Netz mit einer Schlüsselver
teilzentrale und mehreren Teilnehmern anzugeben, welches
mit einem einzigen Netzschlüssel auskommt.
Erfindungsgemäß besteht die Lösung darin, daß in einer
Präauthentifikationsphase
- a) die Schlüsselverteilzentrale eine Funkti on f(.) zur Erzeugung von Identitätsnummern, eine Hashfunktion h(.), einen endlichen Körper GF(q), in welchem die Rechenoperationen ausgeführt werden, ein primitives Element α ε GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentli chen Netzschlüsse y = α-x bildet,
- b) die Schlüsselverteilzentrale jedem Benut zer A eine Identitätsnummer IDA = f(A) signiert, in dem die Schlüsselverteilzentrale eine geheime zweite Zufallszahl k wählt, welche die Eigenschaft ggT(k, q- 1) = 1 hat, aus der Zufallszahl k ein benutzerspezi fisches primitives Element rA = αk und einen gehei men Benutzerschlüssel sA mit der Eigenschaft xrA+ksA = ID mod (q-1) bildet und dem Benutzer sein primiti ves Element rA und seinen geheimen Benutzerschlüssel sA mitteilt,
und daß in einer Signaturphase zwischen einem ersten Be
nutzer A und einem zweiten Benutzer C
- c) der erste Benutzer A dem zweiten Benutzer C eine Mitteilung m sendet,
- d) der erste Benutzer A zwecks Signatur der Mitteilung m eine Zufallszahl k′ wählt, so daß ggT(k′, q-1) = 1 ist, eine Größe r′ = rA k′ berechnet, eine Zahl s′ ermittelt, welche die Gleichung sAr′+k′s′=h(m) mod (q-1) erfüllt und die Größen IDA, rA, r′, s′ als Signatur der Mitteilung m an den Benutzer C sendet,
- e) und der Benutzer C zwecks Verifikation der Signatur aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung prüft.
Es versteht sich von selbst, daß der endliche Körper GF(q)
so gewählt wird, daß q-1 eine Zahl mit mindestens einem
großen Primfaktoren ist. Falls nicht anders angegeben,
werden alle erfindungsgemäßen Operationen in diesem Körper
ausgeführt.
Die Mitteilung m ist irgend ein elektronisches Dokument
(Paket von digitalen Daten). Die Hashfunktion h(.) erzeugt
aus der Mitteilung einen kürzeren, als solchen bekannten
Hashcode. Bei kurzen Mitteilungen kann auf den Hashcode
verzichtet werden (d. h. h(.) ist die Identität), so daß die
Mitteilung selbst signiert wird.
Mit dem erfindungsgemäßen Verfahren kann man in einem
hierarchischen Netz auch Schlüssel authentifizieren. Dabei
wird davon ausgegangen, daß der Benutzer A der Schlüssel
verteilzentrale SVZ bekannt ist, nicht aber der Benutzer B.
Dieser ist aber dem Benutzer A bekannt. Dann kann der
Benutzer A für den Benutzer B einen authentifizierten
Schlüssel konstruieren, indem er die El-Gamal Signatur zu m
= -IDB berechnet, daraus rB | A = r′ und sB | A = -s′ bestimmt und
B mitteilt.
Die Größe sB | A ist dann der private Schlüssel von Benutzer
B. Sein öffentlicher Schlüssel ist gegeben durch
Ebenso wie die Schlüsselverteilzentrale SVZ ihr primitives
Element α und der Benutzer A sein primitives Element rA | SVZ
so muß auch Benutzer B sein primitives Element rB | A, das
der Bildung des öffentlichen Schlüssels zu Grund liegt,
bekanntgeben.
Bei der betrachteten hierarchischen Schlüsselverteilung
muß Vertrauen von B gegenüber A ebenso bestehen, wie von A
gegenüber der SVZ. Der Benutzer A, welcher dabei die
Funktion einer lokalen Zentrale hat, kann jederzeit einen
Schlüssel erzeugen, mit dem er sich als B ausgeben kann.
Dies ist nicht zu vermeiden, wenn IDB nicht eine
eindeutige, physikalische Beschreibung von B, wie etwa
seine Fingerabdrücke, enthält. (Im zivilen Leben hat man
ein ähnliches Problem: Eine Paßbehörde kann im Prinzip
jeden Paß fälschen, d. h. einer Person A einen Paß mit
dessen Beschreibung und Photographie aushändigen, der auf
eine Person B lautet.)
Aus den abhängigen Patentansprüchen ergeben sich vorteil
hafte Ausführungsformen der Erfindung.
Nachfolgend soll die Erfindung anhand von Ausführungsbei
spielen im Zusammenhang mit der Zeichnung näher erläutert
werden. Es zeigen:
Fig. 1 eine schematische Darstellung der Präauthenti
fikationsphase;
Fig. 2 eine schematische Darstellung der Signatur- und
Verifikationsphase; und
Fig. 3 eine schematische Darstellung der Schlüsselaus
tauschphase zwischen zwei Benutzern.
Die in der Zeichnung verwendeten Bezugszeichen und deren
Bedeutung sind in der Bezeichnungsliste zusammenfassend
tabelliert.
Die erfindungsgemäße elektronische Signatur findet in
einem für die Übertragung von digitalen Daten geeigneten
Netz mit einer Schlüsselverteilzentrale SVZ und mehreren
Benutzern A, C, . . . statt und weist zwei Phasen auf, nämlich
eine Präauthentifikationsphase und eine Kommunikations-
bzw. Signaturphase. In der Präauthentifikationsphase kommt
jeder ihr untergeordnete Benutzer A, C . . . zur Schlüssel
verteilzentrale SVZ und läßt sich seine Identität gemäß
dem El-Gamal Schema signieren. In der nachfolgenden
Signaturphase sendet ein Benutzer A einem anderen Benutzer
C eine Mitteilung und deren Signatur, welche der Benutzer C
verifiziert.
Fig. 1 zeigt eine schematische Darstellung der Präau
thentifikationsphase. Als erstes wählt (SELECT) die
Schlüsselverteilzentrale SVZ einen endlichen Körper GF(q),
wobei q-1 typischerweise einen großen Primfaktoren
aufweist, und ein primitives Element α ε GF(q). Dann
erzeugt sie zufällig (RANDOM) als geheimen Netzschlüssel
("private part") eine erste Zahl x, aus welcher sie einen
öffentlichen Netzschlüssel ("public part") y = α-x bildet.
(Es versteht sich, daß diese und die später beschriebenen
Operationen im endlichen Körper GF(q) ausgeführt werden,
soweit nicht anders angegeben.) Weiter definiert sie eine
geeignete Funktion f(.), welche aus den Identitätsmerkmalen
eines Benutzers eine eindeutige Identitätsnummer erzeugt,
und eine Hashfunktion h(.), welche aus einer Mitteilung
einen Hashcode erzeugt.
Die durch f(.) bestimmte Identitätsnummer ID kann
beispielsweise durch Abtasten des Fingers (Fingerabdruck)
gebildet werden. Es können aber auch weitere Merkmale
eingehen. Typischerweise ist f(.) eine Einwegfunktion (one
way function), die auf den Datenstring bestehend aus Name,
Vorname, Geburtsdatum und eventuell weiteren Merkmalen
angewandt wird.
Den endlichen Körper GF(q), das primitive Element α und den
öffentlichen Netzschlüssel y sowie die Funktion f(.) und
die Hashfunktion h(.) gibt die Schlüsselverteilzentrale SVZ
öffentlich bekannt. Den geheimen Netzschlüssel x speichert
sie zugriffsgeschützt ab.
Die Schlüsselverteilzentrale SVZ hat damit die grund
legenden, allgemeinen Vorbereitungen abgeschlossen. Nun
kommt jeder Benutzer zur Schlüsselverteilzentrale SVZ und
läßt sich seine Identität gemäß dem El-Gamal Schema
signieren.
Der Benutzer A weist sich aus (z. B. mit seinem Reisepaß),
worauf die Schlüsselverteilzentrale SVZ mit Hilfe der
Funktion f(.) eine eindeutige Identitätsnummer IDA = f(A)
berechnet. Dann erzeugt sie zufällig (RANDOM) eine
benutzerspezifische Zahl k, welche die Eigenschaft ggT(k,q-
1) = 1 hat (ggT = größter gemeinsamer Teiler). Aus der
zweiten Zufallszahl k bildet sie ein benutzerspezifisches,
primitives Element rA | SVZ = αk und einen geheimen Benutzer
schlüssel sA | SVZ mit der Eigenschaft xrA | SVZ+ksA | SVZ = IDA mod
(q-1). Das primitive Element rA | SVZ und den geheimen
Benutzerschlüssel sA | SVZ teilt sie dem Benutzer A mit, der
den geheimen Benutzerschlüssel sA | SVZ zugriffsgesichert
abspeichert.
Jeder Benutzer, der der Schlüsselverteilzentrale direkt
untergeordnet ist und der im Netz zugelassen werden will,
muß die beschriebene Präauthentifikationsphase
durchlaufen.
Fig. 2 zeigt eine schematische Darstellung der Kommuni
kations- bzw. Signaturphase. Sie findet zwischen einem
ersten Benutzer A und einem zweiten Benutzer C statt.
Jeder der beiden Benutzer kennt dabei die öffentlich
bekannten Parameter f(.), h(.), GF(q), α, y, sowie sein
primitives Element rA resp. rC und seinen geheimen
Benutzerschlüssel sA resp. sC. (Der Einfachheit halber wird
im folgenden der Bezug auf die Herkunft der Größen
weggelassen, soweit dadurch keine Verwechslungen verursacht
werden: rA statt rA | SVZ, rC statt rC | SVZ usw.) Typischerweise
hat jeder auch seine eigene Identitätsnummer IDA resp. IDC
abgespeichert.
Als erstes sendet der Benutzer A dem Benutzer C eine
Mitteilung m, sowie seine Identitätsnummer IDA und sein
öffentliche primitives Element rA.
Als zweites bildet jeder der beiden Benutzer A resp. C aus
der Mitteilung m den Hashcode h(m).
Als nächstes signiert der erste Benutzer A die Mitteilung, m
resp. den Hashcode h(m), indem er eine Zufallszahl k′ wählt
(RANDOM), so daß ggT(k′, q-1) = 1 ist, eine Größe r′ = rA k′
berechnet und eine Zahl s′ ermittelt (SELECT), welche die
Gleichung sAr′+k′s′=h(m) mod (q-1) erfüllt. Die Größen r′,
s′ (welche zusammen mit IDA, rA die Signatur der Mitteilung
m bilden) sendet er an den Benutzer C.
Zwecks Verifikation der Signatur berechnet der Benutzer C
zunächst die Größe
und prüft aus den ihm mitgeteilten Größen die Gültigkeit
der Gleichung
Die Hashfunktion braucht nicht unbedingt von der Schlüssel
verteilzentrale vorgegeben zu werden. Es liegt auch im
Rahmen der Erfindung, wenn der Hashcode h(m) zusammen mit
der Mitteilung m an den Benutzer C gesendet wird. Bei
kurzen Mitteilungen kann außerdem auf die Hashfunktion
h(.) verzichtet werden, d. h. h(.) ist die Identität.
Eine vorteilhafte Ausführungsform der Erfindung stellt ein
Verfahren zum Verteilen von authentifizierten Schlüsseln in
einem hierarchischen Netz mit einer Schlüsselverteil
zentrale SVZ und mehreren untergeordneten Teilnehmern A, B,
C dar. Im folgenden wird auf Fig. 1 Bezug genommen.
Die Präauthentifikationsphase wird im wesentlichen wie oben
beschrieben durchgeführt. Die Hashfunktion h(.) ist in
diesem Zusammenhang jedoch ohne Bedeutung.
Nachdem sich der Benutzer A bei der Schlüsselverteil
zentrale sein primitives Element rA | SVZ und seinen geheimen
Benutzerschlüssel sA | SVZ geholt hat, kann er einem zweiten,
ihm untergeordneten Benutzer B einen authentifizierten
Schlüssel konstruieren.
Um dem Benutzer B seine Identitätsnummer IDB = f(B) zu
signieren, wählt der Benutzer A eine geheime Zufallszahl k′
(RANDOM), welche die Eigenschaft ggT(k′, q-1) = 1 hat.
Darauf bildet er aus der Zufallszahl k′ ein primitives
Element rB | A = rA | SVZ k′ und einen geheimen Benutzerschlüssel
sB | A mit der Eigenschaft sA | SVZrB | A-k′sB | A = -IDB mod (q-1) und
teilt dem untergeordneten Benutzer B sein primitives
Element rB | A und seinen geheimen Benutzerschlüssel sB | A mit.
Der Benutzer B ist damit ins Netz aufgenommen. Er kann
damit insbesondere gültige Signaturen nach obigem Schema
erzeugen oder einen Schlüsselaustausch gemäß dem
Schweizerischen Patentgesuch CH-105/89 (Anmeldedatum
13.1.89) durchführen. Dieser letztere Vorgang sei anhand
der Fig. 3 erläutert. An dieser Stelle wird vorausgesetzt,
daß die Schlüsselverteilzentrale in der Präauthentifi
kationsphase noch eine geeignete Funktion g: GF(q) x GF(q)
→ GF(q) definiert hat. Vorzugsweise ist diese Funktion das
Produkt.
Der Benutzer B ist dabei wie beschrieben vom ihm überge
ordneten Benutzer A und der Benutzer C direkt von der
Schlüsselverteilzentrale SVZ präauthentifiziert.
Als erstes teilt jeder der beiden Benutzer B resp. C dem
anderen sein primitives Element rB | A resp. rC | SVZ mit.
Benutzer B teilt außerdem das primitive Element rA | SVZ des
übergeordneten Benutzers A mit.
Als zweites bildet jeder der beiden Benutzer B resp. C die
Identitätsnummer IDC = f(C) resp. IDB = f(B) und IDA = f(A).
Aus der Identitätsnummer und dem primitiven Element rC | SVZ
resp. rB | A und rA | SVZ des jeweils anderen berechnet jeder
zudem den öffentlichen Benutzerschlüssel
des jeweils anderen.
Als drittes erzeugt jeder der beiden Benutzer B resp. C
eine geheime Zufallszahl tB resp. tC und bildet damit einen
Code
welchen er dem anderen Benutzer C resp. B mitteilt.
Schließlich konstruieren sie einen gemeinsamen geheimen
Sitzungsschlüssel z. Benutzer B bildet ihn gemäß
und Benutzer C gemäß
Diesen gemeinsamen Kommunikationsschlüssel können sie nun
für welchen Zweck auch immer (z. B. Verschlüsselung von
Daten mit einem symmetrischen Algorithmus) einsetzen.
Die erfindungsgemäßen Verfahren haben u. a. folgende
Vorteile:
- 1. Außer den eigenen Identifikationsmerkmalen genügt die Kenntnis eines einzigen "public keys" mit einem beliebigen anderen Benutzer des Netzes. Das Verfahren zeichnet sich folglich durch einen sehr geringen Speicherbedarf aus.
- 2. Jeder präauthentifizierte Benutzer kann mit jedem anderen präauthentifizierten Benutzer eines der beschriebenen Protokolle abwickeln, ohne dabei auf die Schlüsselverteilzentrale zurückgreifen zu müssen (off line Ablauf). Ein Benutzer kann damit nicht nur von der Schlüsselverteilzentrale sondern auch von einem anderen Benutzer präauthentifiziert werden. Ein mit diesem System betriebenes Netz ist dadurch beliebig flexibel in bezug auf Erweiterung des Teilnehmerkreises.
- 3. Dennoch sind bei den erfindungsgemäßen Verfahren alle Teilnehmer unterscheidbar.
Zur Sicherheit der erfindungsgemäßen Verfahren läßt sich
folgendes sagen:
- 1. Falls man s aus α, y, ID und r bestimmen kann, kann man das El-Gamal′sche Signaturschema brechen, welches allgemein als sicher angesehen wird.
- 2. Falls man (rt′)s aus r, rs und rt′, bestimmen kann, kann man den Diffie-Hellmann′schen Schlüsselaustausch- Algorithmus brechen, welcher ebenfalls allgemein als sicher angesehen wird.
Diese Überlegungen lassen es als wahrscheinlich er
scheinen, daß bei geeigneter Wahl von q, α, x und k die
Kenntnis von sA resp. sB durch den Benutzer A resp. B un
erläßlich ist für die Konstruktion der Signatur resp. des
Sitzungsschlüssels z.
Die elektronische Signatur kann für die verschiedensten
Anwendungen benutzt werden, wie z. B. Genehmigung von
Kontoabbuchungen an POS-Terminals, Bestätigung in Anspruch
genommener Gesprächszeit in mobilen Telephonsystemen. In
all diesen Fällen stellt die signierte Mitteilung einen
elektronischen Check dar. Wichtig dabei ist, daß seine
Gültigkeit off-line geprüft werden kann. Durch die
Möglichkeit der hierarchischen Schlüsselverteilung werden
weiter auch alle Anwendungen erschlossen, die solche
Schlüssel verwenden, wie z. B. der authentifizierte
Schlüsselaustausch zwecks Chiffrierung gemäß dem Schweizer
Patentgesuch CH-1877/88-1.
Das erfindungsgemäße Verfahren läßt sich mit als solchen
bekannten Mitteln realisieren.
Die Einsatzmöglichkeiten des beschriebenen Verfahrens sind
aufgrund der erwähnten Vorteile ziemlich breit: POS-
Terminals, Computernetze, Mobiles Telephon usw.
Claims (6)
1. Verfahren zur elektronischen Signatur in einem Netz
mit einer Schlüsselverteilzentrale SVZ und mehreren
Teilnehmern A, C, dadurch gekennzeichnet, daß in
einer Präauthentifikationsphase
- a) die Schlüsselverteilzentrale eine Funktion f(.) zur Erzeugung von Identitätsnummern, eine Hashfunktion h(.), einen endlichen Körper GF(q), in welchem die Rechenoperationen ausgeführt werden, ein primitives Element α ε GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y = α-x bildet,
- b) die Schlüsselverteilzentrale jedem Benutzer A eine Identitätsnummer IDA = f(A) signiert, indem die Schlüsselverteilzentrale eine geheime zweite Zufalls zahl k wählt, welche die Eigenschaft ggT(k, q-1) = 1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element rA = αk und einen geheimen Benutzer schlüssel sA mit der Eigenschaft xrA+ksA = ID mod (q- 1) bildet und dem Benutzer sein primitives Element rA und seinen geheimen Benutzerschlüssel sA mitteilt, und daß in einer Signaturphase zwischen einem ersten Benutzer A und einem zweiten Benutzer C
- c) der erste Benutzer A dem zweiten Benutzer C eine Mitteilung m sendet,
- d) der erste Benutzer A zwecks Signatur der Mitteilung m eine Zufallszahl k′ wählt, so daß ggT(k′, q-1) = 1 ist, eine Größe r′ = rA k′ berechnet, eine Zahl s′ ermittelt, welche die Gleichung sAr′+k′s′=h(m) mod (q-1) erfüllt und die Größen IDA, rA, r′, s′ als Signatur der Mitteilung m an den Benutzer C sendet,
- e) und der Benutzer C zwecks Verifikation der Signatur aus den ihm mitgeteilten Größen die Gültigkeit der Gleichung prüft.
2. Verfahren zum Verteilen von authentifizierten
Schlüsseln in einem hierarchischen Netz mit einer
Schlüsselverteilzentrale SVZ und mehreren unter
geordneten Teilnehmern A, B, dadurch gekennzeichnet,
daß in einer Präauthentifikationsphase
- a) die Schlüsselverteilzentrale eine Funktion f(.) zur Erzeugung von Identitätsnummern, einen endlichen Körper GF(q), in welchem die Rechen operationen ausgeführt werden, ein primitives Element α ε GF(q) und eine geheime erste Zufallszahl x wählt, aus welchen sie einen öffentlichen Netzschlüssel y = α-x bildet,
- b) die Schlüsselverteilzentrale einem ihr untergeordneten Benutzer A eine Identitätsnummer IDA = f(A) signiert, indem die Schlüsselverteil zentrale eine geheime zweite Zufallszahl k wählt, welche die Eigenschaft ggT(k, q-1) = 1 hat, aus der Zufallszahl k ein benutzerspezifisches primitives Element rA | SVZ = αk und einen geheimen Benutzerschlüssel sA | SVZ mit der Eigenschaft xrA | SVZ+ksA | SVZ = IDA mod (q-1) bildet und dem Benutzer A sein primitives Element rA | SVZ und seinen geheimen Benutzerschlüssel sA | SVZ mitteilt,
- c) der erste Benutzer A einem zweiten ihm unter geordneten Benutzer B eine Identitätsnummer IDB = f(B) signiert, indem der Benutzer A eine geheime Zufalls zahl k′ wählt, welche die Eigenschaft ggT(k′, q-1) = 1 hat, aus der Zufallszahl k′ ein benutzerspezifisches primitives Element rB | A = rA | SVZ k′ und einen geheimen Benutzerschlüssel sB | A mit der Eigenschaft sA | SVZrB | A-k′sB | A = -IDB mod (q-1) bildet und dem untergeordneten Benutzer B sein primitives Element rB | A und seinen geheimen Benutzerschlüssel sB | A mitteilt.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet,
daß die Schlüsselverteilzentrale in der Präauthenti
fikationsphase eine Funktion g: GF(q) x GF(q) → GF(q)
wählt und öffentlich bekannt gibt und daß zum Aus
tauschen von authentifizierten Schlüsseln zwischen
einem ersten Benutzer B und einem zweiten Benutzer C
- a) jeder der beiden Benutzer B resp. C dem anderen sein primitives Element rB resp. rC sowie das primitive Element rA des übergeordneten Benutzers A mitteilt,
- b) jeder der beiden Benutzer B resp. C die Identitätsnummer IDC = f(C) resp. IDB = f(B) und IDA = f(A) bildet und aus dieser Identitätsnummer und dem primitiven Element rC resp. rB und rA des jeweils anderen dessen öffentlichen Benutzerschlüssel bildet,
- c) jeder der beiden Benutzer B resp. C eine geheime Zufallszahl tB resp. tC erzeugt und damit einen Code bildet, welchen er dem anderen Benutzer C resp. B mitteilt und
- d) die beiden Benutzer B und C einen gemeinsamen geheimen Sitzungsschlüssel z erzeugen, wobei Benutzer B den Sitzungsschlüssel z gemäß und Benutzer C gemäß bildet.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet,
daß als Funktion g(. , .) die Multiplikation im
endlichen Körper GF(q) verwendet wird.
5. Verfahren nach Anspruch 1 oder 2, dadurch
gekennzeichnet, daß als Funktion f(.) eine
Einwegfunktion verwendet wird.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet,
daß als Hashfunktion h(.) die Identität verwendet
wird.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19893905703 DE3905703C2 (de) | 1989-02-24 | 1989-02-24 | Verfahren zur elektronischen Signatur |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19893905703 DE3905703C2 (de) | 1989-02-24 | 1989-02-24 | Verfahren zur elektronischen Signatur |
Publications (2)
Publication Number | Publication Date |
---|---|
DE3905703A1 DE3905703A1 (de) | 1990-09-06 |
DE3905703C2 true DE3905703C2 (de) | 1998-01-22 |
Family
ID=6374816
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19893905703 Expired - Fee Related DE3905703C2 (de) | 1989-02-24 | 1989-02-24 | Verfahren zur elektronischen Signatur |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE3905703C2 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19938197A1 (de) * | 1999-08-12 | 2001-03-08 | Deutsche Telekom Ag | Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2685510B1 (fr) * | 1991-12-19 | 1997-01-03 | Bull Cps | Procede d'authentification, par un milieu exterieur, d'un objet portatif connecte a ce milieu par l'intermediaire d'une ligne de transmission, et systeme pour la mise en oeuvre |
FR2690258B1 (fr) * | 1992-04-17 | 1997-03-28 | France Telecom | Procede de controle d'acces du type autorisant l'acces a une fonction d'exploitation d'un module d'exploitation a l'aide d'un mot de controle. |
KR0137536B1 (ko) * | 1995-01-19 | 1998-07-01 | 조백제 | 자체인증 특성을 갖는 개인식별정보에 기반을 둔 비대화형 전자 서명 방법 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4771461A (en) * | 1986-06-27 | 1988-09-13 | International Business Machines Corporation | Initialization of cryptographic variables in an EFT/POS network with a large number of terminals |
-
1989
- 1989-02-24 DE DE19893905703 patent/DE3905703C2/de not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4771461A (en) * | 1986-06-27 | 1988-09-13 | International Business Machines Corporation | Initialization of cryptographic variables in an EFT/POS network with a large number of terminals |
Non-Patent Citations (3)
Title |
---|
US-B.: FIAT, A. et al.: How to Prove Yourselfe: Practical Solutions to Identification and Signature Problems, In: Advances in Cryptology- CRYPTO` 86, Lecture Notes in Computer Science, Vol. 263, Springer Verlag, 1987, S. 186-194 * |
US-Z.: EL-GAMAL, T.: A Public-key Cryptosystem and a Signature Scheme Based on Discrete Loga- rithms, In: IEEE Trans. on Inform. Theory, Vol.31,July 1985, S. 469-472 * |
US-Z.: RIVEST, R.L. et al.: A Method for ObtainingDigital Signatures and Public-Key Cryptosystems, In: Communication of the ACM, Vol. 21, Feb. 1978, S. 120-126 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19938197A1 (de) * | 1999-08-12 | 2001-03-08 | Deutsche Telekom Ag | Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern |
Also Published As
Publication number | Publication date |
---|---|
DE3905703A1 (de) | 1990-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0384475B1 (de) | Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem | |
DE69128981T2 (de) | Geheimübertragungsverfahren und Geheimübertragungseinrichtung | |
DE60114833T2 (de) | Überprüfbare, geheime mischung von verschlüsselten daten wie z. b. elgamal-verschlüsselte daten für gesicherte mehrinstanzwahlen | |
DE102012206341B4 (de) | Gemeinsame Verschlüsselung von Daten | |
DE69408176T2 (de) | Verwaltungsverfahren von Geheimschlüsseln zwischen zwei Chipkarten | |
DE69613409T2 (de) | Verfahren und Vorrichtung zur gesicherten anonymen Nachrichtenübertragung und zum elektronischen Abstimmen | |
DE102008061483A1 (de) | Verfahren und Vorrichtung zum Verarbeiten von Daten | |
DE69838258T2 (de) | Public-Key-Datenübertragungssysteme | |
EP0872076A1 (de) | Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit | |
DE10136608B4 (de) | Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul | |
WO2002073374A2 (de) | Verfahren zur authentikation | |
DE68904989T2 (de) | Einrichtung zur abgesicherten datenkommunikation. | |
DE10143728A1 (de) | Vorrichtung und Verfahren zum Berechnen eines Ergebnisses einer modularen Exponentiation | |
DE3915262A1 (de) | Verfahren zur erzeugung von authentifizierten geheimschluesseln | |
DE69108786T2 (de) | Geheimnisübertragungsverfahren, durch Zertifikataustausch zwischen zwei sich gegenseitig authentifizierenden Mikrorechnern. | |
DE3905703C2 (de) | Verfahren zur elektronischen Signatur | |
DE69831792T2 (de) | Verfahren zur digitalen unterschrift | |
EP3832950A1 (de) | Kryptographisches signatursystem | |
EP1119941A1 (de) | Verfahren zum etablieren eines gemeinsamen schlüssels zwischen einer zentrale und einer gruppe von teilnehmern | |
DE19841886C2 (de) | Verfahren und Vorrichtung zur Erzeugung von Paßwörtern | |
WO2011000608A1 (de) | Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats | |
EP0481121A1 (de) | Authentifizierung für verschlüsselte Kommunikation | |
DE102006009725A1 (de) | Verfahren und Vorrichtung zum Authentifizieren eines öffentlichen Schlüssels | |
DE19518546C1 (de) | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N | |
DE19703929A1 (de) | Verfahren zum Generieren einer digitalen Signatur und Verfahren zur Überprüfung der Signatur |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8128 | New person/name/address of the agent |
Representative=s name: KOENIG, R., DIPL.-ING. DR.-ING. BERGEN, K., DIPL.- |
|
8110 | Request for examination paragraph 44 | ||
8125 | Change of the main classification |
Ipc: H04L 9/32 |
|
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |