DE602004004029T2 - Verfahren zur Verteilung von Konferenzschlüsseln, gemäss einem identitätsbasierten Verschlüsselungssystem - Google Patents

Verfahren zur Verteilung von Konferenzschlüsseln, gemäss einem identitätsbasierten Verschlüsselungssystem Download PDF

Info

Publication number
DE602004004029T2
DE602004004029T2 DE602004004029T DE602004004029T DE602004004029T2 DE 602004004029 T2 DE602004004029 T2 DE 602004004029T2 DE 602004004029 T DE602004004029 T DE 602004004029T DE 602004004029 T DE602004004029 T DE 602004004029T DE 602004004029 T2 DE602004004029 T2 DE 602004004029T2
Authority
DE
Germany
Prior art keywords
conference
party
key
parties
temporary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE602004004029T
Other languages
English (en)
Other versions
DE602004004029D1 (de
Inventor
Bae-Eun Jung
Dae-Youb Kim
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of DE602004004029D1 publication Critical patent/DE602004004029D1/de
Application granted granted Critical
Publication of DE602004004029T2 publication Critical patent/DE602004004029T2/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Datenübertragungsverfahren, und insbesondere ein Verfahren zur Verteilung eines Konferenzschlüssels (Session-Keys), der gemeinsam verwendet wird, um Daten zwischen einer Mehrzahl von Parteien zu verschlüsseln.
  • Da Computer stark entwickelt sind, nehmen Netzwerke, die die Computer verbinden, an Bedeutung und Nutzen zu. Unlängst haben jedoch Missbrauch von Computern und Netzwerken zugenommen. Daher besteht ein Bedarf daran, Netzwerksicherheitstechniken zu implementieren.
  • Ein Protokoll zur gemeinsamen Nutzung von Schlüsseln zwischen Teilnehmern (Inter-party Key Sharing Protocol) ist ein Protokoll, das verwendet wird, um die Geheimhaltung bei durch die Netzwerke übertragenen Daten zu bewahren. Ein Standardprotokoll ist das Diffie-Hellman-Protokoll, das auf der Schwierigkeit beruht, ein Problem der diskreten Logarithmen mit Ellipsenkurvenkryptographie zu lösen. Das Diffie-Hellman-Protokoll basiert auf einer Verschlüsselung mit öffentlicher Schlüsselinfrastruktur (PKI, Public Key Infrastructure). Die PKI-Verschlüsselung weist jedoch Unzulänglichkeiten darin auf, dass es notwendigerweise die Beteiligung eines zuverlässigen Authentifizierungszentrums umfasst, da Integrität eines öffentlichen Schlüssels durch das Authentifizierungszentrum garantiert sein muss.
  • Wegen der Unzulänglichkeiten der PKI-Verschlüsselung wurde viel Forschungsarbeit auf ein Schlüsselnutzungsprotokoll auf ID-Basis verwendet, das nicht auf PKI-Verschlüsselung beruht. Leider haben herkömmliche Schlüsselnutzungsprotokolle auf ID-Basis Probleme damit, dass sie für versteckte Angriffe anfällig sind und keine fortgesetzte Geheimhaltung (Forward Secrecy) bereitstellen können.
  • EP 739105 beschreibt Verfahren zur Signatur- und Schlüsselerzeugung. In einer Ausführungsform erzeugt jedes Teilnehmerpaar ein Paar zufälliger Zahlen. Es wird ein Konferenzschlüssel aus einer Zufallszahl von jedem der Teilnehmerpaare ermittelt. In einer anderen Ausführungsform, wird ein Schlüsselaustauschprotokoll beschrieben.
  • Xu und Tilborg, ISIT Sorrento 2000, Juni 2000, Seite 269 beschrieben "a new identity-based conference key distribution scheme". Jeder Benutzer erzeugt eine Zufallszahl. Ein Benutzer initiiert den Austausch, sendet eine Nachricht an andere Benutzer und erhält Antworten. Der eine Benutzer errechnet einen Konferenzschlüssel und verwendet ihn zur Verschlüsselung der Benutzer-ID. Es wird eine Nachricht an alle anderen Benutzer gesendet, die den Konferenzschlüssel daraus errechnen und verwenden, um die ID zu überprüfen.
  • Gemäß einem Aspekt der vorliegenden Erfindung wird ein Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien in einer einzigen Konferenzsitzung auf einem ID-basierten kryptographischen System nach Anspruch 1 zur Verfügung gestellt.
  • Gemäß einem Aspekt der vorliegenden Erfindung wird ein Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien in einer einzigen Konferenzsitzung auf einem ID-basierten kryptographischen System nach Anspruch 6 zur Verfügung gestellt. Gemäß einem anderen Aspekt der vorliegenden Erfindung wird ein Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien in einer einzigen Konferenzsitzung auf einem ID-ba sierten kryptographischen System nach Anspruch 11 zur Verfügung gestellt.
  • Gemäß einem anderen Aspekt der vorliegenden Erfindung wird ein Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien in einer einzigen Konferenzsitzung auf einem ID-basierten kryptographischen System nach Anspruch 15 zur Verfügung gestellt.
  • Die vorliegende Erfindung stellt ein Verfahren zur Verteilung eines Konferenzsitzungsschlüssels zur Verfügung, das in der Lage ist, einem versteckten Angriff zu widerstehen und eine fortgesetzte Geheimhaltung bereitzustellen.
  • Die vorliegende Erfindung stellt auch ein computerlesbares Speichermedium zur Verfügung, das ein Programm enthält, mit dem ein Verfahren zur Verteilung eines Konferenzschlüssels auf einem Computer ausgeführt wird.
  • Die obigen und weitere Merkmale und Vorteile der vorliegenden Erfindung werden besser ersichtlich aus einer ausführlichen Beschreibung exemplarischer Ausführungsformen mit Bezug zu den begleitenden Zeichnungen, in denen:
  • 1 ein Konzeptdiagramm ist, das ein kryptographisches System unter Verwendung eines Problems der diskreten Logarithmen in einem finiten Feld darstellt; und
  • 2 ein Fließbild ist, das Schritte eines Verfahrens zur Verteilung eines Konferenzsitzungsschlüssels gemäß der vorliegenden Erfindung darstellt.
  • Die vorliegende Erfindung und ihre funktionellen Vorteile werden durch Bezugnahme zu den begleitenden Zeichnungen und die Erläuterungen vollkommen verständlich.
  • Nun wird ein Verfahren zur Verteilung eines Konferenzsitzungsschlüssels gemäß der vorliegenden Erfindung mit Bezug zu den begleitenden Zeichnungen ausführlich beschrieben.
  • 1 ist ein Konzeptdiagramm, das ein kryptographisches System unter Verwendung eines Problems der diskreten Logarithmen in einem finiten Feld darstellt.
  • Das kryptographische System gemäß der vorliegenden Erfindung beruht auf der Schwierigkeit, ein Problem diskreter Logarithmen in einer Ellipsenkurvenkryptographiegruppe zu lösen. Der diskrete Logarithmus in der Ellipsenkurvenkryptographiegruppe ist ein Logarithmus, der eine Ellipsenkurvenadditionsgruppe verwendet, die in einem finiten Feld definiert ist, das heißt, der Definitionsdomäne. Es ist bekannt, dass ein Problem in der diskreten Logarithmenfunktion im finiten Feld statt im realen Zahlenfeld schwierig zu lösen ist, weil die Abschätzung unter Verwendung eines einfachen Größenvergleichs nicht verfügbar ist. Bei der vorliegenden Erfindung wird die Verschlüsselung von Daten unter Nutzung der Schwierigkeit beim Lösen des diskreten Logarithmenproblems durchgeführt.
  • Beim kryptographischen System unter Verwendung des diskreten Logarithmenproblems im finiten Feld verwenden Parteien, die an der Datenverschlüsselung teilnehmen, zwei Variablen p und g gemeinsam. Die Variable p ist eine ausreichend große Primzahl, die in Abhängigkeit von der Sicherheit des kryptographischen Systems bestimmt wird. Die Variable g ist eine Grundlage für die Multiplikationsgruppe des finiten Felds, die einen Divisor q in der Größenordnung von p-1 aufweist. Zwei Par teien A und B wählen ihre eigenen Geheimschlüssel xa und xb, ganze Zahlen zwischen 1 und q-1. Die Parteien errechnen ihre eigenen öffentlichen Schlüssel ya und yb unter Verwendung ihrer eigenen Geheimschlüssel, wie es in den folgenden Gleichungen 1 und 2 dargestellt ist.
  • [Gleichung 1]
    • ya = gxa mod p
  • [Gleichung 2]
    • yb = gxb mod p
  • Die beiden Parteien A und B tauschen die öffentlichen Schlüssel aus, und verwenden einen gemeinsamen Schlüssel K gemeinsam, der aus den öffentlichen Schlüsseln der Gegenparteien und ihren eigenen Geheimschlüsseln unter Verwendung der folgenden Gleichung 3 ermittelt sind.
  • [Gleichung 3]
    • K = gxaxb mod p
  • Die Partei A errechnet den gemeinsamen Schlüssel K unter Verwendung ihres eigenen Geheimschlüssels xa und des öffentlichen Schlüssels xb der Partei B, wie es in der folgenden Gleichung 4 dargestellt ist. Die Partei B errechnet den gemeinsamen Schlüssel K unter Verwendung ihres eigenen Geheimschlüssels xb und des öffentlichen Schlüssels xa der Partei A, wie es in der folgenden Gleichung 5 dargestellt ist.
  • [Gleichung 4]
    • K = yb xa = (gxb)xa = gxaxb mod p
  • [Gleichung 5]
    • K = ya xb = (gxa)xb = gxaxb mod p
  • Obwohl jeder Angreifer den öffentlichen Schlüssel kennt, muss er das diskrete Logarithmenproblem im kryptographischen System lösen. Deshalb ist der Geheimschlüssel des Benutzers nicht offenbart.
  • Beim Diffie-Hellman-Verfahren, das im Grund das in 1 dargestellte System verwendet, müssen bei einer praktischen Anwendung bei jedem Kommunikationsvorgang beide Nutzer temporär ihre eigenen Geheimschlüssel und öffentlichen Schlüssel erzeugen.
  • Harn und Yang haben ein kryptographisches System vorgeschlagen, um die Unzulänglichkeit bei gemeinsamer Verwendung eines temporären Schlüssels bei jeder Kommunikationssession unter Verwendung von Identifizierungs(ID)-Information zu lösen. Das System wird als ID-basiertes Kryptographiesystem bezeichnet.
  • Außerdem haben Xu und Tilborg ein Protokoll zur gemeinsamen Schlüsselbenutzung für mehrere Parteien unter Verwendung des Verfahrens von Harn und Yang vorgeschlagen. Das Mehrparteienschlüsselnutzungsprotokoll ist ein Protokoll, das gemeinsame Schlüsselnutzung bei mehr als drei Parteien implementiert und ein Schlüsselverteilungsprotokoll und ein Schlüsselvereinbarungsprotokoll (Key-Agreement Protocol) beinhaltet. Das Schlüsselverteilungsprotokoll ist ein Protokoll, bei dem eine Konferenzauslösepartei einen Schlüssel erzeugt und den Schlüssel sicher zu den anderen Parteien als gemeinsamen Schlüssel verteilt. Das Schlüsselvereinbarungsprotokoll ist ein Protokoll, bei dem ein allgemeiner Schlüssel für alle teilnehmenden Parteien gemeinsam verarbeitet wird, damit er als gemeinsamer Session-Key verwendet wird.
  • Das Verfahren von Xu und Tilborg ist ein Schlüsselverteilungsprotokoll, das einen ID-basiertes Kryptographiesystemimplementierungsschritt und einen Schlüsselnutzungsprotokollschritt umfasst. Das ID-basierte kryptographische System verwendet das Verfahren von Harn und Yang.
  • Die an jeder Konferenzsitzung teilnehmenden Parteien werden in eine Konferenzauslösepartei A und Konferenzteilnehmerparteien B und C klassifiziert.
  • Beim Implementierungsschritt des ID-basierten kryptographischen Systems stellt ein Schlüsselauthentifizierungszentrum (KAC, Key Authentification Center) seinen eigenen öffentlichen Schlüssel y zur Verfügung. Die Parteien i (i = A, B, C), die an der Sitzung teilnehmen, kennen öffentliche Schlüsselparameter G, p, α, y und f. Der Parameter G ist eine Multiplikationsgruppe GF(P)* eines finiten Felds umfassend ganze Zahlen des modulo p. Der Parameter p ist eine ausreichend große Primzahl. Der "modulo p" ist ein Operator, dessen Ergebnis ein Rest der Division von p ist. Die Gruppe G hat den Parameter α als Grundlage. Der Parameter f ist eine Hash-Funktion. Jede Partei i besitzt einen geheimen si und einen öffentlichen Schlüssel ri, der vom KAC bereitgestellt ist.
  • Die Schritte des Schlüsselnutzungsprotokolls von Xu und Tilborg sind wie folgt.
  • Schritt 1). Die Partei A wählt eine ganze Zahl v1, die wie p-1 Primzahl ist, zwischen den ganzen Zahlen 1 und p-1.
  • Schritt 2). Die Partei A erzeugt temporäre öffentliche Schlüssel w1 und η1, die jeweils in den folgenden Gleichungen 6 und 7 dargestellt sind.
  • [Gleichung 6]
    • w1 = yv1 (mod p)
  • [Gleichung 7]
    • η1 = (f(ID1, zeit) – v1w1)s1 –1 (mod p-1)
  • In Gleichung 7 bezeichnet ID1 Information zur Partei A und zeit bezeichnet Zeitinformation zur Zeit der Erzeugung von Gleichung 7.
  • Schritt 3). Die Partei A erzeugt eine Mitteilung (ID1, r1, w1, η1, zeit) und transportiert die Mitteilung zu den Teilnehmerparteien B und C der Sitzung.
  • Schritt 4). Die Teilnehmerparteien B und C der Sitzung empfangen die Mitteilung (ID1, r1, w1, η1, zeit) und bestimmen, dass die Mitteilung die folgende Gleichung 8 erfüllt.
  • [Gleichung 8]
    • yf(ID1,zeit) = w1 w1EID1r1 –r1)η1 (mod p)
  • In Gleichung 8 gilt EID1 = f(ID1).
  • Wenn die Mitteilung von einer zulässigen Konferenzauslösepartei gesendet ist, erfüllt sie die Gleichung 8. Deshalb kann die Gültigkeit der von der Partei A gesendeten Mitteilung unter Verwendung der Gleichung 8 vollständig bestimmt werden. Im Falle, wo die Gleichung 8 erfüllt ist, geht das Protokoll zum nächsten Schritt über. Ansonsten wird das Protokoll beendet.
  • Schritt 5). Die Teilnehmerparteien B und C der Sitzung wählen jeweils ganze Zahlen VB und VC, die wie p-1 Primzahlen sind, zwischen den ganzen Zahlen 1 und p-1.
  • Schritt 6). Die Teilnehmerparteien B und C der Sitzung erzeugen ihre eigenen Parameter wj, nj und ηj unter Verwendung der ausgewählten ganzen Zahl vj (j = B, C) wie es in den folgenden Gleichungen 9 bis 11 dargestellt ist.
  • [Gleichung 9]
    • wj = yvj (mod p)
  • [Gleichung 10]
    • ηj = wj vj (mod p)
  • [Gleichung 11]
    • ηj = (nj – vjwj)sj –1 (mod p-1)
  • Schritt 7). Die Teilnehmerparteien B und C der Sitzung erzeugen ihre eigenen Mitteilungen (IDj, rj, wj, nj, ηj) und transportieren die Mitteilungen zur Konferenzauslösepartei A.
  • Schritt 8). Die Konferenzauslösepartei A bestimmt, dass die Miteilungen die folgende Gleichung 12 erfüllen, unter Verwendung der Variablen, die von den Teilnehmerparteien B und C empfangen wurden.
  • [Gleichung 12]
    • ynj= wj wjEIDjrj –rj)ηj (mod p)
  • In Gleichung 12 gilt EIDj = f(IDj).
  • Wenn die Mitteilung von einer zulässigen Konferenzteilnehmerpartei gesendet ist, erfüllt sie die Gleichung 12. Wenn die Mitteilung von einer unzulässigen Konferenzteilnehmerpartei gesendet ist, erfüllt sie die Gleichung 12 nicht. Deshalb kann die Gültigkeit der von den Konferenzteilnehmerparteien B und C gesendeten Mitteilung unter Verwendung der Gleichung 12 vollständig bestimmt werden. Im Falle, wo die Gleichung 12 erfüllt ist, geht das Protokoll zum nächsten Schritt über. Ansonsten wird das Protokoll beendet.
  • Schritt 9). Die Konferenzauslösepartei A wählt eine ganze Zahl r zwischen 1 und p-1 und erzeugt einen gemeinsamen Schlüssel Kc und eine Variable zj, die durch die folgenden Gleichungen 13 bzw. 14 dargestellt sind.
  • [Gleichung 13]
    • Kc = yr (mod p) [Gleichung 14)
      Figure 00100001
    • Schritt 10). Die Konferenzauslösepartei A erzeugt EKC(ID1) durch Verschlüsseln ihrer eigenen ID-Information ID1 mit dem gemeinsamen Schlüssel Kc. Hier bezeichnet das Symbol E einen Verschlüsselungsalgorithmus.
  • Schritt 11). Die Konferenzauslösepartei A transportiert eine Mitteilung (z,, EKC(ID1)) an die Parteien, die die Mitteilungen gesendet haben, die Gleichung 12 erfüllen.
  • Schritt 12). Die Partei j errechnet ein inverses Element vj –1 der ganzen Zahl vj im modulo p-1 und den gemeinsamen Schlüssel Kc unter Verwendung des inversen Elements vj –1 wie es in den folgenden Gleichung 15 dargestellt ist. (Gleichung 15]
    Figure 00100002
  • EKC(ID1) wird mit dem gemeinsamen Schlüssel Kc verschlüsselt, der aus Gleichung 15 erhalten ist, und es wird bestimmt, dass ID1 gültig ist. Wenn ID1 gültig ist, wird das Verschlüsselungsprotokoll unter Verwen dung des gemeinsamen Schlüssels Kc fortgesetzt. Wenn nicht, wird das Protokoll beendet.
  • Leider kann das durch die zuvor genannten Schritte ausgeführte Mehrparteienschlüsselnutzungsprotokoll von Xu und Tilborg keine Funktionen zur Verhinderung eines versteckten Angriffs und Gewährleistung fortgesetzter Sicherheit aufweisen, die für ein Mehrparteienschlüsselnutzungsprotokoll von Bedeutung sind.
  • Der versteckte Angriff wird von einem Angreifer ausgeführt, der ID-Information einer Partei verwendet, die an der Konferenz teilnimmt, um in das Protokoll einzugreifen. In diesem Fall ist es notwendig, den versteckten Angriff zu erkennen und zu verhindern. Das Protokoll von Xu und Tilborg kann jedoch den versteckten Angriff nicht erkennen. Dies liegt daran, dass die folgende Gleichung 16 mit den Parametern wj und nj mit der selben Variable vj erfüllt wird, wie es in den Gleichungen 9 und 10 dargestellt ist.
  • [Gleichung 16]
    • nj = wj vj
  • Der Angreifer erzeugt einen gemeinsamen Schlüssel Kc' und eine Variable zj', die durch die folgenden Gleichungen 17 bzw. 18 dargestellt sind, verschlüsselt in Schritt 9 ID-Information ID1 unter Verwendung des gemeinsamen Schlüssels Kc' und der Variable zj' und transportiert eine Mitteilung (zj', EKC'(ID1)) an die Konferenzteilnehmerparteien.
  • [Gleichung 17]
    • Kc' = yr' (mod p)
  • [Gleichung 18]
    • zj' = wj r'(mod p)
  • Die Konferenzteilnehmerparteien führen das Protokoll durch, wobei sie die Mitteilung fälschlicherweise für eine gültige Mitteilung halten. Dies liegt daran, dass der gemeinsame Schlüssel Kc' unter Verwendung der folgenden Gleichung 19 errechnet wird und die ID-Information ID1 durch Verschlüsseln von EKC'(ID1) unter Verwendung des gemeinsamen Schlüssels KC' ermittelt wird. [Gleichung 19]
    Figure 00120001
  • Außerdem berechnet der Angreifer den gemeinsamen Schlüssel Kc' und die Variable zj', die durch die folgenden Gleichungen 20 bzw. 21 dargestellt sind, verschlüsselt in Schritt 9 ID-Information ID1 unter Verwendung des gemeinsamen Schlüssels KC' und der Variable zj' und transportiert eine Mitteilung (zj', EKC'(ID1)) an die Konferenzteilnehmerparteien.
  • [Gleichung 20]
    • Kc' = w1 r' (mod p)
  • [Gleichung 21]
    • zj' = nj r' (mod p)
  • Die Konferenzteilnehmerparteien führen das Protokoll durch, wobei sie die Mitteilung fälschlicherweise für eine gültige Mitteilung halten. Dies liegt daran, dass der gemeinsame Schlüssel KC' unter Verwendung der folgenden Gleichung 22 errechnet wird und die ID-Information ID1 durch Entschlüsseln von EKC'(ID1) unter Verwendung des gemeinsamen Schlüssels KC' ermittelt wird. [Gleichung 22]
    Figure 00130001
  • Der Grund, dass die Konferenzteilnehmerparteien den versteckten Angriff des Angreifers nicht erkennen können, liegt darin, dass die Parteien, die die Variablen zj empfangen, die gemeinsamen Konferenzschlüssel unter Verwendung nur ihrer eigenen ausgewählten ganzen Zahl vj erzeugen, ungeachtet der ausgewählten ganzen Zahl v1 der Konferenzauslösepartei. Dementsprechend besteht eine Notwendigkeit, das Verfahren zum Erzeugen der Variablen zj zu verbessern.
  • Die fortgesetzte Geheimhaltung ist eine Sicherheit, dass, wenn permanente Geheimschlüssel (Langzeitschlüssel) si (i = A, B, C) für mehr als eine Partei, die am Protokoll teilnimmt, offenbart werden, der Angreifer Information zu Schlüsseln der vergangenen Sitzungen unter Verwendung der offenbarten Langzeitschlüssel nicht erfahren kann. Wenn ein permanenter Geheimschlüssel in einem kryptographischen System offenbart wird, bei dem die fortgesetzte Geheimhaltung nicht gewährleistet ist, können alle Daten in der vergangenen Verschlüsselungssitzung offenbart werden, selbst im Falle der Ausbildung des Systems durch Erzeugen eines neuen Geheimschlüssels.
  • Beim Protokoll von Xu und Tilborg wird der Geheimwert vj, der zum Ermitteln des gemeinsamen Schlüssels von Gleichung 15 verwendet wird, in Gleichung 11 so verwendet wie er ist. Im Falle, dass der Geheimschlüssel sj der Teilnehmerpartei j offenbart wird, kann der Angreifer, wenn er in der vergangenen Sitzung transportierte Miteilungen erhält, den Geheimwert vj unter Verwendung der Gleichung 11 mit den bekannten Werten der Parameter wj, nj und ηj und dem früheren gemeinsamen Schlüssel unter Verwendung der Gleichung 15 errechnen. Als Folge davon, kann die Geheimhaltung der in den früheren Sitzungen verschlüsselten Daten nicht gewährleistet werden.
  • Außerdem ist ein potentieller Schwachpunkt im Protokoll von Xu und Tilborg vorhanden, bei dem die Signatur für die Authentifizierung gefälscht werden kann. Beim Vergleich der Gleichungen 9 und 11 mit dem Signaturerzeugungsverfahren von Schnorr, entspricht der Parameter ηj einer Mitteilung und die Parameter wj und n entsprechen Signaturwerten. Im Allgemeinen wird die Signaturwerterzeugung, die zum Zeitpunkt des Schreibens der Signatur durch Anwendung einer Hash-Funktion auf die Mitteilung durchgeführt wird, als unerlässliche Prozedur betrachtet, um Signaturfälschungen zu vermeiden.
  • Wenn hingegen der Angreifer die Werte der Parameter wj, nj und ηj kennt, können die Parameter wj', nj' und ηj', die die Gleichung 12 erfüllen, erzeugt werden, wie es in den Gleichungen 23 bis 25 dargestellt ist. In diesem Fall ist ein potentieller Schwachpunkt, dass ein Angreifer versteckt sein kann, obwohl er den Schlüssel nicht mitbenutzen kann.
  • (Gleichung 23]
    • wj' = (wj)t (mod p-1)
  • [Gleichung 24]
    • nj' = nj t wj
  • [Gleichung 25]
    • ηj' = ηj t wj
  • 2 ist ein Fließbild, das Schritte eines Verfahrens zur Verteilung eines Konferenzsitzungsschlüssels gemäß der vorliegenden Erfindung darstellt. Die beim Schlüsselverteilungsverfahren beteiligten Parteien werden in eine Konferenzauslösepartei A und Konferenzteilnehmerparteien B, C, D ... klassifiziert. Im Protokoll wird die Konferenzauslösepartei manchmal Chairperson genannt, weil die Konferenzauslösepartei bei einer Konferenz den Vorsitz zu haben scheint.
  • Beim ID-basierten kryptographischen System umfasst ein Schlüsselvetteilungsprotokoll für eine Konferenzsitzung einen Implementierungsschritt für ein ID-basiertes kryptographisches System und einen Protokollschritt für gemeinsame Schlüssel. Das ID-basierte kryptographische System ist mit einem Signaturbereitstellungssystem konstruiert. Wenn im System ein öffentlicher Schlüssel aus persönlicher ID-Information abgeleitet werden kann oder zuvor bereitgestellt wurde, kann der Transport des öffentlichen Schlüssels übergangen werden. Hingegen im Fall, dass die Information des öffentlichen Schlüssels benötigt wird, wie im Fall, wo eine Signatur authentifiziert werden muss, wird der öffentliche Schlüssel transportiert.
  • Nun werden die exemplarischen Ausführungsformen des Protokolls für gemeinsame Schlüssel, das im von Harn und Yang vorgeschlagenen ID-basierten kryptographischen System verwendet wird, beschrieben.
  • Alle Parteien, die an der Sitzung teilnehmen, kennen öffentliche Schlüsselparameter G, p, q, α, y und f. Der Parameter G, der eine Teilgruppe einer Gruppe GF(P)* ist, ist eine finite Gruppe mit einer ausreichend großen Primzahl p als Größenordnung. Der Parameter q ist eine ausreichend große Primzahl und die zugeordnete ganze Zahl q-1 weist p als Faktor auf. In der Ausführungsform wird eine Operation bezüglich der Gruppe G durch eine Multiplikation dargestellt. Die Gruppe G hat den Parameter α als Grundlage. Der Parameter y ist ein öffentlicher Schlüssel vom KAC. Der Parameter f ist eine Hash-Funktion. Jede Partei i (i = A, B, C,...) besitzt einen Geheimschlüssel s1 und einen öffentlichen Schlüssel ri, der von KAC bereitgestellt wird.
  • Beim kryptographischen System von Harn und Yang erfüllen die ID-Information, der öffentliche Schlüssel und der Geheimschlüssel die folgende Gleichung 26.
  • [Gleichung 26]
    • ysi = αf(IDi)(ri ri)–1 mod q
  • Die Schritte des Verteilungsverfahrens für gemeinsame Schlüssel gemäß der vorliegenden Erfindung sind wie folgt.
  • Die Partei A wählt zwei Zufallszahlen u1 und v1 zwischen den ganzen Zahlen 1 und p-1 aus. Die beiden Zahlen u1 und v1 werden temporäre Geheimschlüssel für die Sitzung. In einem Fall, bei dem das Operationszeitintervall der Zufallsfunktion länger ist als das der Hash-Funktion, kann ein durch Hash-Funktion des temporären Geheimschlüssels u1 ermittelter Wert als der temporäre Geheimschlüssel v1 verwendet werden, um das Operationszeitintervall zu verringern.
  • Die temporären öffentlichen Schlüssel w1 und n1, die in den folgenden Gleichungen 27 bzw. 28 dargestellt sind, werden unter Verwendung der temporären Geheimschlüssel u1 und v1 erzeugt (S100). Diese sind temporäre öffentliche Schlüssel bei der Sitzung.
  • [Gleichung 27]
    • w1 = yv1 (mod q)
  • [Gleichung 28]
    • n1 = w1 u1 (mod q)
  • Der durch die folgende Gleichung 29 dargestellte Signaturwert η1 wird unter Verwendung der temporären Geheimschlüssel, der temporären öffentlichen Schlüssel, einem permanenten Geheimschlüssel, der ID-Information ID1 der Partei A und Zeitinformation zeit erzeugt (S110).
  • [Gleichung 29]
    • η1 = (f(n1, ID1, zeit)-v1w1)s1 –1(mod p)
  • Die Partei A erzeugt eine Mitteilung (ID1, r1, w1, n1, η1, zeit) 5 und transportiert die Mitteilung 5 zu den Konferenzteilnehmerparteien (S120).
  • Die Konferenzteilnehmerparteien empfangen die Mitteilung (ID1, r1, w1, n1, η1, zeit) 5 und bestimmen, dass die Mitteilung 5 die folgende Gleichung 30 erfüllt (S200).
  • [Gleichung 30]
    • yf(n1, ID1, zeit) = w1 w1 (aEID1r1 –r1)η1 (mod q)
  • In Gleichung 30 gilt EID1 = f(ID1).
  • Wenn die Mitteilung 5 von einer zulässigen Konferenzauslösepartei gesendet ist, erfüllt sie die Gleichung 30. Wenn die Mitteilung 5 von einer unzulässigen Konferenzauslösepartei gesendet ist, erfüllt sie die Gleichung 30 nicht. Deshalb kann die Gültigkeit der von der Partei A gesendeten Mitteilung unter Verwendung der Gleichung 30 vollständig bestimmt werden. Im Falle, dass die Gleichung 30 erfüllt ist, geht das Protokoll weiter zum nächsten Schritt. Ansonsten wird das Protokoll beendet (S210).
  • Jede Konferenzteilnehmerpartei wählt nach dem Zufallsprinzip zwei ganze Zahlen uj und vj (j = B, C, D,...) zwischen den ganzen Zahlen 1 und p-1 aus. Die beiden Zahlen werden temporäre Geheimschlüssel der entsprechenden Konferenzteilnehmerpartei. In einem Fall, bei dem das Operationszeitintervall der Zufallsfunktion länger ist als das der Hash-Funktion, kann ein durch Hash-Funktion des temporären Geheimschlüssels uj ermittelter Wert als der temporäre Geheimschlüssel vj verwendet werden, um das Operationszeitintervall zu verringern.
  • Die temporären öffentlichen Schlüssel wj und nj, die in den folgenden Gleichungen 31 bzw. 32 dargestellt sind, werden unter Verwendung der temporären Geheimschlüssel uj und vj jeder der Konferenzteilnehmerparteien erzeugt (S220). Diese temporären öffentlichen Schlüssel werden Parameter, die zum Erzeugen von Konferenzschlüssen verwendet werden.
  • [Gleichung 31]
    • wj = yvj (mod q)
  • [Gleichung 32]
    • nj = W1 uj (mod q)
  • Der durch die folgende Gleichung 33 dargestellte Signaturwert ηj wird unter Verwendung der temporären Geheimschlüssel, der temporären öffentlichen Schlüssel, einem permanenten Geheimschlüssel und der ID-Information IDj der Partei j (j = B, C, D,...) in der Signaturfunktion erzeugt (S230).
  • [Gleichung 33]
    • ηj = (f(nj)-vjwj)sj –1(mod p)
  • Jede Konferenzteilnehmerpartei erzeugt ihre eigene Mitteilung (IDj, rj, wj, nj, ηj) 10 und transportiert die Mitteilung 10 zur Konferenzauslösepartei A (S240).
  • Die Konferenzauslösepartei A empfängt die Mitteilungen 10 und bestimmt, dass die Mitteilungen 10 die folgende Gleichung 34 erfüllen, wobei die empfangenen Variablen verwendet werden (S300).
  • [Gleichung 34]
    • yf(nj) = wj wj (aEIDjrj –rj)ηj (mod q)
  • In Gleichung 34 gilt EIDj = f(IDj).
  • Wenn die Mitteilung 10 von einer zulässigen Konferenzteilnehmerpartei gesendet ist, erfüllt sie die Gleichung 34. Wenn die Mitteilung 10 von einer unzulässigen Konferenzteilnehmerpartei gesendet ist, erfüllt sie die Gleichung 34 nicht. Deshalb kann die Gültigkeit der von jeder Konferenzteilnehmerpartei gesendeten Miteilung unter Verwendung der Gleichung 34 vollständig bestimmt werden. Wenn die Gleichung 34 erfüllt ist, geht das Protokoll zum nächsten Schritt über. Ansonsten wird das Protokoll beendet (S310).
  • Die Konferenzauslösepartei A erzeugt einen gemeinsamen Schlüssel Kc und eine Variable zj, die zum Erzeugen der gemeinsamen Schlüssel bei den Konferenzteilnehmerparteien verwendet werden, die in den folgenden Gleichungen 35 bzw. 36 dargestellt sind (S320). Die Konferenzauslösepartei A erzeugt EKc(ID1) durch Verschlüsseln ihrer eigenen ID-Information ID1 mit dem gemeinsamen Schlüssel KC (S330). Hier bezeichnet das Symbol E einen Verschlüsselungsalgorithmus.
  • [Gleichung 35]
    • Kc = n1 u1 (mod q)
  • [Gleichung 36]
    • zj = (n1·nj)u1 (mod q)
  • Die Konferenzauslösepartei A transportiert die Mitteilung (zj, EkKC(ID1)) 15 zu den Konferenzteilnehmerparteien, die die Mitteilungen 10 gesendet haben, die in Schritt S310 als gültig bestimmt wurden (S340).
  • Die Konferenzteilnehmerparteien, die die Mitteilungen 15 empfangen haben, errechnen die gemeinsamen Schlüssel KC, die in der folgenden Gleichung 37 dargestellt sind (S400).
  • [Gleichung 37]
    • Kc = zj·(n1 uj)–1 (mod q)
  • Die ID-Information wird durch Entschlüsseln von EKC(ID1) mit dem gemeinsamen Schlüssel KC, der aus der Gleichung 37 erhalten ist (S410), ermittelt und es wird bestimmt, dass ID1 zur ID-Information ID1 identisch ist, die in der Mitteilung 15 erhalten ist (S240). Wenn die ID-Information der Konferenzauslösepartei A identisch ist, wird das Verschlüsselungsprotokoll unter Verwendung des gemeinsamen Schlüssels KC fortgesetzt. Wenn nicht, wird das Protokoll beendet.
  • Nun werden exemplarische Ausführungsformen des Protokolls zur gemeinsamen Schlüsselnutzung gemäß der vorliegenden Erfindung beschrieben, das im ID-basierten kryptographischen System unter Verwendung einer Weil-Pairing-Funktion, die in einer Ellipsenkurven-Verschlüsselungsgruppe definiert ist, verwendet wird.
  • Alle Parteien, die an der Sitzung teilnehmen, kennen öffentliche Schlüsselparameter G, p, q, α, y, e, f1, f2 und f3. Der Parameter G ist eine finite Gruppe mit einer ausreichend großen Primzahl p als Ordnung. Die Gruppe G hat den Parameter α als Grundlage. Der Parameter y ist ein öffentlicher Schlüssel vom KAC. Der Parameter e ist eine Weil-Pairing-Funktion, die in einer elliptischen Kurve definiert ist. Die Parameter f, und f2 sind Hash-Funktionen, die im Feld ganzer Zahlen definiert sind. Der Parameter f3 ist eine Hash-Funktion, die in der Gruppe G definiert ist. In der Ausführungsform ist eine Operation bezüglich der Gruppe G als Addition dargestellt. Der Ausdruck [x]y bezeichnet einen Wert der x-fachen Addition des Elements y der Gruppe G.
  • Jede Partei i (i = A, B, C,...) besitzt einen Geheimschlüssel si und einen öffentlichen Schlüssel ri, der vom KAC bereitgestellt ist. Der öffentliche Schlüssel ri ist ein Wert, der aus der ID-Information IDi jeder Partei i ab geleitet ist. Der Geheimschlüssel si wird unter Verwendung der folgenden Gleichung 38 errechnet.
  • [Gleichung 38]
    • si = [s]·ri
  • Der Wert s in Gleichung 38 ist nur dem KAC bekannt und erfüllt die folgende Gleichung 39.
  • [Gleichung 39]
    • y = [s]α
  • Schritte des Verfahrens zur Verteilung eines gemeinsamen Konferenzschlüssels gemäß der vorliegenden Erfindung sind wie folgt.
  • Die Partei A wählt nach dem Zufallsprinzip zwei ganze Zahlen u1 und v1 zwischen 1 und p-1 aus. Die beiden Zahlen u1 und v1 werden temporäre Geheimschlüssel für die Sitzung. In einem Fall, bei dem das Operationszeitintervall der Zufallsfunktion länger ist als das der Hash-Funktion, kann ein durch Hash-Funktion des temporären Geheimschlüssels u1 ermittelter Wert als der temporäre Geheimschlüssel v1 verwendet werden, um das Operationszeitintervall zu verringern.
  • Die temporären öffentlichen Schlüssel w1 und n1, die in den folgenden Gleichungen 40 bzw. 41 dargestellt sind, werden unter Verwendung der temporären Geheimschlüssel u1 und v1 erzeugt (S100).
  • [Gleichung 40]
    • w1 = [v1
  • [Gleichung 41]
    • n1 = [u1] w1
  • Der in der folgenden Gleichung 42 dargestellte Signaturwert η1 wird unter Verwendung der temporären Geheimschlüssel, der temporären öffentlichen Schlüssel, eines permanenten Geheimschlüssels, der ID-Information ID1 der Partei A und Zeitinformation zeit (S110) erzeugt.
  • [Gleichung 42]
    • η1 = [v1 –1]([f2(f3(n1), ID1, zeit)]α + [f3(w1)]s1)
  • Die Partei A erzeugt eine Mitteilung (ID1, w1, n1, η1, zeit) 5 und transportiert die Mitteilung 5 zu den Konferenzteilnehmerparteien (120).
  • Die Konferenzteilnehmerparteien empfangen die Mitteilung (ID1, w1, n1, η1, zeit) 5 und bestimmen, dass die Mitteilung 5 die folgende Gleichung 43 erfüllt (5200).
  • [Gleichung 43]
    • e(w1, η1) = e(α, [f2(f3(n1), ID1, zeit)]α)·e(y, [f3(w1)]r1)
  • Wenn die Mitteilung 5 von einer zulässigen Konferenzauslösepartei gesendet ist, erfüllt sie die Gleichung 43. Wenn die Mitteilung 5 von einer unzulässigen Konferenzauslösepartei gesendet ist, erfüllt sie die Gleichung 43 nicht. Deshalb kann die Gültigkeit der von der Partei A gesendeten Mitteilung unter Verwendung der Gleichung 43 vollständig bestimmt werden. Im Falle, dass die Gleichung 43 erfüllt ist, geht das Protokoll weiter zum nächsten Schritt. Ansonsten wird das Protokoll beendet (S210).
  • Jede Konferenzteilnehmerpartei wählt nach dem Zufallsprinzip zwei ganze Zahlen uj und vj (j = B, C, D,...) zwischen 1 und p-1 als ihre temporären Geheimschlüssel aus und erzeugt ihre temporären öffentlichen Schlüssel wj und nj, die in den folgenden Gleichungen 44 bzw. 45 dar gestellt sind. Die temporären öffentlichen Schlüssel werden Parameter, die zum Erzeugen des Konferenzschlüssels verwendet werden. In einem Fall, bei dem das Operationszeitintervall der Zufallsfunktion länger ist als das der Hash-Funktion, kann ein durch Hash-Funktion des temporären Geheimschlüssels uj ermittelter Wert als der temporäre Geheimschlüssel vj verwendet werden, um das Operationszeitintervall zu verringern.
  • [Gleichung 44)
    • wj = [vj
  • [Gleichung 45]
    • nj = [uj]w1
  • Der in der folgenden Gleichung 46 dargestellte Signaturwert ηj wird unter Verwendung der temporären Geheimschlüssel, der temporären öffentlichen Schlüssel, eines permanenten Geheimschlüssels und der ID-Information IDj der Partei j (j = B, C, D,...) in der Signaturfunktion erzeugt (S230).
  • [Gleichung 46)
    • ηj = [vj –1]([f3(nj)]α + [f3(w1)]sj)
  • Jede Konferenzteilnehmerpartei erzeugt ihre eigene Mitteilung (IDj, wj, nj, ηj) 10 und transportiert die Mitteilung 10 zur Konferenzauslösepartei A (S240).
  • Die Konferenzauslösepartei A empfängt die Mitteilungen 10 und bestimmt, dass die Mitteilungen 10 die folgende Gleichung 47 erfüllen, wobei die empfangenen Variablen verwendet werden (S300).
  • [Gleichung 47]
    • e(wj, nj) = e(α, [f3(nj)]α·e(y, [f3(wj)]rj)
  • Wenn die Mitteilung 10 von einer zulässigen Konferenzteilnehmerpartei gesendet ist, erfüllt sie die Gleichung 47. Wenn die Mitteilung 10 von einer unzulässigen Konferenzteilnehmerpartei gesendet ist, erfüllt sie die Gleichung 47 nicht. Deshalb kann die Gültigkeit der von jeder Konferenzteilnehmerpartei gesendeten Mitteilung unter Verwendung der Gleichung 47 vollständig bestimmt werden. Wenn die Gleichung 47 erfüllt ist, geht das Protokoll zum nächsten Schritt über. Ansonsten wird das Protokoll beendet (S310).
  • Die Konferenzauslösepartei A erzeugt einen gemeinsamen Schlüssel Kc und eine Variable zj, die zum Erzeugen der gemeinsamen Schlüssel bei den Konferenzteilnehmerparteien verwendet werden, die in den folgenden Gleichungen 48 bzw. 49 dargestellt sind (S320). Die Konferenzauslösepartei A erzeugt EKc(ID1) durch Verschlüsseln ihrer eigenen ID-Information ID1 mit dem gemeinsamen Schlüssel Kc(S330). Hier bezeichnet das Symbol E einen Verschlüsselungsalgorithmus.
  • [Gleichung 48]
    • Kc = [u1] n1
  • [Gleichung 49]
    • zj = [u1] (n1 + nj)
  • Die Konferenzauslösepartei A transportiert die Mitteilung (zj, EKC(ID1)) 15 zu den Konferenzteilnehmerparteien, die die Mitteilungen gesendet haben, die in Schritt S310 als gültig bestimmt wurden (S340).
  • Die Konferenzteilnehmerparteien, die die Mitteilungen 15 empfangen haben, errechnen die gemeinsamen Schlüssel KC, die in der folgenden Gleichung 50 dargestellt sind (S400).
  • [Gleichung 50]
    • Kc = zj – [uj] n1
  • Die ID-Information wird durch Entschlüsseln von EKC(ID1) mit dem gemeinsamen Schlüssel KC, der aus der Gleichung 50 erhalten ist (S410), ermittelt und es wird bestimmt, dass ID1 zur ID-Information ID1 identisch ist, die in der Mitteilung 5 erhalten ist (S240). Wenn die ID-Information der Konferenzauslösepartei A identisch ist, wird das Verschlüsselungsprotokoll unter Verwendung des gemeinsamen Schlüssels KC fortgesetzt. Wenn nicht, wird das Protokoll beendet.
  • Gemäß den exemplarischen Ausführungsformen des Verfahrens zur Verteilung eines gemeinsamen Konferenzschlüssels der vorliegenden Erfindung ist es möglich, einen versteckten Angriff zu verhindern, indem in den Schritten 100 und 220 zwei unterschiedliche temporäre Geheimschlüssel erzeugt werden, damit ein Angreifer die Werte der beiden temporären Geheimschlüssel nicht kennen kann, und die temporären Geheimschlüssel der Konferenzauslösepartei zum Zeitpunkt der Erzeugung der Konferenzschlüsselerzeugungsvariablen zj verwendet werden. Außerdem ist es möglich, die fortgesetzte Geheimhaltung zu gewährleisten, indem ein Angreifer daran gehindert wird, die früheren gemeinsamen Schlüssel zu errechnen, selbst in einem Fall, wenn der Angreifer den permanenten Geheimschlüssel der an der Sitzung teilnehmenden Parteien kennt. Darüber hinaus ist es möglich, einen Angreifer daran zu hindern, dass er sich versteckt, ohne Schlüssel gemeinsam zu verwenden, indem der potentielle Schwachpunkt des Protokolls von Xu und Tilborg gelöst wird. Da es keinen erhöhten Rechenaufwand gibt, ist das Protokoll der vorliegenden Erfindung effektiver als das herkömmliche Protokoll.
  • Die vorliegende Erfindung kann mit Codes implementiert werden, die auf einem computerlesbaren Speichermedium aufgezeichnet sind. Der Computer beinhaltet alle Geräte mit Datenverarbeitungsfunktionen. Das computerlesbare Speichermedium beinhaltet alle Arten von Aufzeichnungsgeräten, die von den Computern gelesen werden können. Beispiele der computerlesbaren Geräte sind ROMs, RAMs, CD-ROMs, Magnetbänder, Floppy-Disks und optische Datenaufzeichnungsgeräte.
  • Während die vorliegende Erfindung insbesondere mit Bezug zu beispielhaften Ausführungsformen gezeigt und beschrieben wurde, versteht es sich für die Fachleute, dass verschiedene Veränderungen in Form und Details hierzu vorgenommen werden können, ohne den Rahmen der vorliegenden Erfindung zu verlassen, wie er durch die folgenden Ansprüche definiert ist.
  • Gemäß dem Verfahren zur Verteilung eines gemeinsamen Schlüssels der vorliegenden Erfindung ist es möglich, ein effektives ID-basiertes kryptographisches System zur Verfügung zu stellen, das in der Lage ist, einen versteckten Angriff zu verhindern und eine fortgesetzte Geheimhaltung zu gewährleisten, indem zwei unterschiedliche temporäre Geheimschlüssel ausgewählt werden, eine Mitteilung erzeugt wird und Variablen der Konferenzschlüsselerzeugung erzeugt werden, wobei temporäre Geheimschlüssel einer Konferenzauslösepartei verwendet werden.

Claims (20)

  1. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien in einer einzigen Konferenzsitzung auf einem ID-basierten kryptographischen System über ein Computernetzwerk, wobei das Verfahren die Schritte umfasst, die bei der die Konferenzauslösepartei ausgeführt werden: (a) Erzeugen (s100) zweier temporärer Geheimschlüssel für die Konferenzauslösepartei, Erzeugen zweier temporärer öffentlicher Schlüssel für die Konferenzauslösepartei unter Verwendung der temporären Geheimschlüssel für die Konferenzauslösepartei und Erzeugen eines Signaturwerts, der durch Anwenden einer vorbestimmten Signaturfunktion auf die Schlüssel erhalten ist; (b) Transportieren einer Mitteilung (5) mit ID-Information der Konferenzauslösepartei, der temporären öffentlichen Schlüssel für die Konferenzauslösepartei und des Signaturwerts an die Konferenzteilnehmerparteien; (c) Empfangen von Mitteilungen (10) mit den temporären öffentlichen Schlüsseln für die Konferenzteilnehmerparteien von den Konferenzteilnehmerparteien und Bestimmen der Gültigkeit der Mitteilungen; (d) Erzeugen von Erzeugungsvariablen für die gemeinsamen Schlüssel für die Konferenzteilnehmerparteien, die gültige Mitteilungen gesendet haben; (e) Erzeugen des gemeinsamen Konferenzschlüssels (s320) unter Verwendung einer von zwei temporären Geheimschlüsseln für die Konferenzauslösepartei und des temporären öffentlichen Schlüssels für die Konferenzauslösepartei, der unter Verwendung des einen von zwei temporären Geheimschlüsseln erzeugt ist, und Verschlüsseln der ID-Information der Konferenzauslösepartei unter Verwendung des gemeinsamen Konferenzschlüssels; und (f) Transportieren einer Mitteilung (15) mit Erzeugungsvariablen für die gemeinsamen Schlüssel und der verschlüsselten ID-Information an die Konferenzteilnehmerparteien, die gültige Mitteilungen gesendet haben, worin das ID-basierte kryptographische System ein System ist, das eine Gleichung ySi = af(IDi)(ri ri)–1 mod q bei einer finiten Gruppe G mit einer Ordnung p erfüllt, das heißt, eine Teilgruppe von GF(q)*, worin q eine ausreichend große Primzahl ist und die zugehörige ganze Zahl q-1 den Faktor p aufweist, und worin Parameter y, a, f, ri, si und IDi einen öffentlichen Schlüssel eines Schlüsselautentifizierungszentrums, eine Erzeugungsquelle der finiten Gruppe G, eine Hash-Funktion, einen öffentlichen Schlüssel für eine Partei i, einen Geheimschlüssel für die Partei i und ID-Information bezeichnen, worin der Schritt (a) die Schritte umfasst: (a1) statistisches Auswählen temporärer Geheimschlüssel u1 und v1 zwischen 1 und p-1; (a2) Erzeugen temporärer öffentlicher Schlüssel (s100) w1 = yv1 (mod q) und n1 = w1 u1 (mod q); und (a3) Erzeugen des Signaturwerts (s110) η1 = (f(n1, ID1, zeit)-v1w1)s1 –1(mod p), worin die Parameter ID1 und zeit ID-Information der Konferenzauslösepartei und Zeitinformation bezeichnen.
  2. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien nach Anspruch 1, worin der Schritt (a1) die Schritte umfasst: (a11) statistisches Auswählen des ersten temporären Geheimschlüssels u1 zwischen 1 und p-1; und (a12) Erzeugen des zweiten temporären Geheimschlüssels v1 durch Anwenden der Hash-Funktion auf den ersten temporären Geheimschlüssel u1.
  3. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien nach Anspruch 1 oder 2, worin der Schritt (c) die Schritte umfasst: (c1) Empfangen von Mitteilungen (IDj, rj, wj, nj, ηj) (10) von den Konferenzteilnehmerparteien, worin Parameter IDj, rj, wj, nj, und ηi ID-Information der Partei j, einen permanenten öffentlichen Schlüssel der Partei j, von der Partei j erzeugte temporäre öffentliche Schlüssel und einen von der Partei j erzeugten Signaturwert bezeichnen; und (c2) Bestimmen (s300), dass die von den Parteien j empfangenen Mitteilungen eine Gleichung yf(nj) = wj wj (aEIDjrj –ri)nj (mod q) erfüllt, worin EID; = f(IDj).
  4. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien nach Anspruch 3, worin der Schritt (d) ein Schritt zum Erzeugen der Erzeugungsvariable für den öffentlichen Schlüssel zj = (n1·nj)u1 (mod q) für die Konferenzteilnehmerparteien ist, die die Gleichung in Schritt (c2) erfüllen.
  5. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien nach Anspruch 3 oder 4, worin der Schritt (e) die Schritte umfasst: (e1) Erzeugen des gemeinsamen Konferenzschlüssels Kc = n1 u1 (mod q); (e2) Verschlüsseln der ID-Information der Konferenzauslösepartei unter Verwendung des gemeinsamen Konferenzschlüssels EKc(ID1), worin E einen Verschlüsselungsalgorithmus bezeichnet.
  6. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien in einer einzigen Konferenzsitzung auf einem ID-basierten kryptographischen System über ein Computernetzwerk, wobei das Verfahren die Schritte umfasst, die bei der die Konferenzauslösepartei ausgeführt werden: (a) Erzeugen (s100) zweier temporärer Geheimschlüssel für die Konferenzauslösepartei, Erzeugen zweier temporärer öffentlicher Schlüssel für die Konferenzauslösepartei unter Verwendung der temporären Geheimschlüssel für die Konferenzauslösepartei und Erzeugen eines Signaturwerts, der durch Anwenden einer vorbestimmten Signaturfunktion auf die Schlüssel erhalten ist; (b) Transportieren einer Mitteilung (5) mit ID-Information der Konferenzauslösepartei, der temporären öffentlichen Schlüssel für die Konferenzauslösepartei und des Signaturwerts an die Konferenzteilnehmerparteien; (c) Empfangen von Mitteilungen (10) mit den temporären öffentlichen Schlüsseln für die Konferenzteilnehmerparteien von den Konferenzteilnehmerparteien und Bestimmen der Gültigkeit der Mitteilungen; (d) Erzeugen von Erzeugungsvariablen für die gemeinsamen Schlüssel für die Konferenzteilnehmerparteien, die gültige Mitteilungen gesendet haben; (e) Erzeugen des gemeinsamen Konferenzschlüssels (s320) unter Verwendung einer von zwei temporären Geheimschlüsseln für die Konferenzauslösepartei und des temporären öffentlichen Schlüssels für die Konferenzauslösepartei, der unter Verwendung des einen von zwei temporären Geheimschlüsseln erzeugt ist, und Verschlüsseln der ID-Information der Konferenzauslösepartei unter Verwendung des gemeinsamen Konferenzschlüssels; und (f) Transportieren einer Mitteilung (15) mit Erzeugungsvariablen für die gemeinsamen Schlüssel und der verschlüsselten ID-Information an die Konferenzteilnehmerparteien, die gültige Mitteilungen gesendet haben, worin das ID-basierte kryptographische System ein System ist, das eine Weil-Pairing-Funktion in einer finiten Ellipsenkurven-Verschlüsselungs gruppe G mit einer ausreichend großen Primzahl p als Ordnung verwendet, worin der Schritt (a) die Schritte umfasst: (a1) statistisches Auswählen temporärer Geheimschlüssel u1 und v1 zwischen 1 und p-1; (a2) Erzeugen (s100) temporärer öffentlicher Schlüssel w1 = [v1]a und n1 = [u1]w1, worin der Parameter a eine Erzeugungsquelle für die finite Ellipsenkurven-Verschlüsselungsgruppe G ist; und (a3) Erzeugen des Signaturwerts (s110) n1 = [v1 –1]([f2(f3(n1), ID1, zeit)] a + [f3(w1)]s1), worin f2, f3, ID1, zeit und s1 eine Hash-Funktion, die in einer ganzzahligen Domäne definiert ist, eine Hash-Funktion, die in der finiten Ellipsenkurven-Verschlüsselungsgruppe G definiert ist, ID-Information der Konferenzauslösepartei, Zeitinformation und einen permanenten Geheimschlüssel der Konferenzauslösepartei bezeichnen.
  7. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien nach Anspruch 6, worin der Schritt (a1) die Schritte umfasst: (a11) statistisches Auswählen des ersten temporären Geheimschlüssels u1 zwischen 1 und p-1; und (a12) Erzeugen des zweiten temporären Geheimschlüssels v1 durch Anwenden der Hash-Funktion auf den ersten temporären Geheimschlüssel u1.
  8. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien nach Anspruch 6 oder 7, worin der Schritt (c) die Schritte umfasst: (c1) Empfangen von Mitteilungen (IDj, wj, nj, ηj) von den Konferenzteilnehmerparteien, worin Parameter IDj, wj, nj, und ηj ID-Information der Partei j, von der Partei j erzeugte temporäre öffentliche Schlüssel und einen von der Partei j erzeugten Signaturwert bezeichnen; und (c2) Bestimmen (s300), dass die Partei j eine Gleichung e(wj, ηj) = e(a, [f3 (nj)]a)·e(y, [f3(wj)]rj) erfüllt, worin e, y und rj eine Weil-Pairing-Funktion bezeichnen, die auf einer Ellipsenkurve definiert ist, einen öffentlichen Schlüssel eines Schlüsselautentifizierungszentrums und einen permanenten öffentlichen Schlüssel der Konferenzteilnehmerpartei j.
  9. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien nach Anspruch 8, worin der Schritt (d) ein Schritt zum Erzeugen der Erzeugungsvariable für den öffentlichen Schlüssel zj = [u1] (n1 + nj) für die Konferenzteilnehmerparteien ist, die die Gleichung in Schritt (c2) erfüllen.
  10. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu einer Mehrzahl von Konferenzteilnehmerparteien nach Anspruch 8 oder 9, worin der Schritt (e) die Schritte umfasst: (e1) Erzeugen des gemeinsamen Konferenzschlüssels Kc = [u1]n1; und (e2) Verschlüsseln der ID-Information der Konferenzauslösepartei unter Verwendung des gemeinsamen Konferenzschlüssels zum Erzeugen von EKc(ID1), worin E einen Verschlüsselungsalgorithmus bezeichnet.
  11. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien in einer einzigen Konferenzsitzung auf einem ID-basierten kryptographischen System über ein Computernetzwerk, wobei das Verfahren die Schritte umfasst, die bei den Konferenzteilnehmerparteien ausgeführt werden: (a) Empfangen einer Mitteilung mit ID-Information, zwei temporären öffentlichen Schlüsseln und einem bestimmten Signaturwert der Konfe renzauslösepartei von der Konferenzauslösepartei und Bestimmen der Gültigkeit der Mitteilung; (b) Erzeugen zweier temporärer Geheimschlüssel für die Konferenzteilnehmerparteien, Erzeugen zweier temporärer öffentlicher Schlüssel für die Konferenzteilnehmerparteien unter Verwendung der temporären Geheimschlüssel für die Konferenzteilnehmerparteien, und Erzeugen eines Signaturwerts, erhalten durch Anwenden einer bestimmten Signaturfunktion auf die Schlüssel; (c) Transportieren einer Mitteilung mit den temporären öffentlichen Schlüsseln für die Konferenzteilnehmerparteien und des Signaturwerts zur Konferenzauslösepartei; (d) Empfangen einer Mitteilung mit einer Erzeugungsvariable für den gemeinsamen Schlüssel und verschlüsselter ID-Information der Konferenzauslösepartei von der Konferenzauslösepartei; (e) Erzeugen der gemeinsamen Konferenzschlüssel unter Verwendung der Erzeugungsvariable für den gemeinsamen Schlüssel, eines von zwei temporären Geheimschlüsseln für die Konferenzteilnehmerpartei und des temporären öffentlichen Schlüssels für die Konferenzauslösepartei, der unter Verwendung des einen der zwei temporären Geheimschlüssel erzeugt ist; und (f) Entschlüsseln der verschlüsselten ID-Information der Konferenzauslösepartei unter Verwendung des gemeinsamen Konferenzschlüssels und Bestimmen, dass der gemeinsame Konferenzschlüssel gültig ist, worin das ID-basierte kryptographische System ein System ist, das eine Gleichung ySi = af(IDi)(ri ri)–1 mod q bei einer finiten Gruppe G mit einer Ordnung p erfüllt, das heißt, eine Teilgruppe von GF(q)*, worin q eine ausreichend große Primzahl ist und die zugehörige ganze Zahl q-1 den Faktor p aufweist, und worin Parameter y, a, f, ri, si und IDi einen öffentlichen Schlüssel eines Schlüsselautentifizierungszentrums bezeichnen, eine Erzeugungsquelle der finiten Gruppe G, eine Hash-Funktion, einen öffentlichen Schlüssel für eine Partei i, einen Geheimschlüssel für die Partei i und ID-Information für die Partei i, worin der Schritt (b) die Schritte umfasst: (b1) statistisches Auswählen temporärer Geheimschlüssel uj und vj zwischen 1 und p-1; (b2) Erzeugen temporärer öffentlicher Schlüssel wj = yvj (mod q) und nj = w1 uj (mod q); und (b3) Erzeugen des Signaturwerts ηj = (f(nj)-vjw1)sj –1(mod p).
  12. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien nach Anspruch 11, worin der Schritt (b1) die Schritte umfasst: (b11) statistisches Auswählen des ersten temporären Geheimschlüssels uj zwischen 1 und p-1; und (b12) Erzeugen des zweiten temporären Geheimschlüssels vj durch Anwenden der Hash-Funktion auf den ersten temporären Geheimschlüssel uj.
  13. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien nach Anspruch 11 oder 12, worin der Schritt (a) die Schritte umfasst: (a1) Empfangen einer Mitteilung (ID1, r1, w1, n1, n1, zeit) von der Konferenzauslösepartei, worin die Parameter ID1, r1, w1, n1, n1 und zeit ID-Information der Konferenzauslösepartei, einen permanenten öffentlichen Schlüssel der Konferenzauslösepartei, von der Konferenzauslösepartei erzeugte temporäre öffentliche Schlüssel, einen von der Konferenzauslösepartei erzeugten Signaturwert und Zeitinformation bezeichnen; und (a2) Bestimmen, dass die Mitteilung eine Gleichung yf(n1, ID1, zeit) = w1 w1(aEID1r1 –r1)η1(mod q), worin EID1 = f(ID1) erfüllt.
  14. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteil nehmerparteien nach Anspruch 13, worin der Schritt (e) ein Schritt zum Erzeugen eines gemeinsamen Konferenzschlüssels Kc = zj·(n1 uj)–1 (mod q) ist und worin zj die Erzeugungsvariable für den gemeinsamen Schlüssel empfangen von der Konferenzauslösepartei bezeichnet.
  15. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien in einer einzigen Konferenzsitzung auf einem ID-basierten kryptographischen System über ein Computernetzwerk, wobei das Verfahren die Schritte umfasst, die bei den Konferenzteilnehmerparteien ausgeführt werden: (a) Empfangen einer Mitteilung mit ID-Information, zwei temporären öffentlichen Schlüsseln und einem bestimmten Signaturwert der Konferenzauslösepartei von der Konferenzauslösepartei und Bestimmen der Gültigkeit der Mitteilung; (b) Erzeugen zweier temporärer Geheimschlüssel für die Konferenzteilnehmerparteien, Erzeugen zweier temporärer öffentlicher Schlüssel für die Konferenzteilnehmerparteien unter Verwendung der temporären Geheimschlüssel für die Konferenzteilnehmerparteien und Erzeugen eines Signaturwerts, erhalten durch Anwenden einer bestimmten Signaturfunktion auf die Schlüssel; (c) Transportieren einer Mitteilung mit den temporären öffentlichen Schlüsseln für die Konferenzteilnehmerparteien und des Signaturwerts zur Konferenzauslösepartei; (d) Empfangen einer Mitteilung mit einer Erzeugungsvariable für den gemeinsamen Schlüssel und verschlüsselte ID-Information der Konferenzauslösepartei von der Konferenzauslösepartei; (e) Erzeugen der gemeinsamen Konferenzschlüssel unter Verwendung der Erzeugungsvariable für den gemeinsamen Schlüssel, eines von zwei temporären Geheimschlüsseln für die Konferenzteilnehmerpartei und des temporären öffentlichen Schlüssels für die Konferenzauslösepartei, der unter Verwendung des einen der zwei temporären Geheimschlüssel erzeugt ist; und (f) Entschlüsseln der verschlüsselten ID-Information der Konferenzauslösepartei unter Verwendung des gemeinsamen Konferenzschlüssels und Bestimmen, dass der gemeinsame Konferenzschlüssel gültig ist, worin das ID-basierte kryptographische System ein System ist, das eine Weil-Pairing-Funktion in einer finiten Ellipsenkurven-Verschlüsselungsgruppe G mit einer ausreichend großen Primzahl p als Ordnung verwendet, und worin der Schritt (b) die Schritte umfasst: (b1) statistisches Auswählen temporärer Geheimschlüssel u1 und v1 zwischen 1 und p-1; (b2) Erzeugen temporärer öffentlicher Schlüssel wj = [vj]a und nj = [uj]w1, worin der Parameter a eine Erzeugungsquelle für die finite Ellipsenkurven-Verschlüsselungsgruppe G ist; und (b3) Erzeugen des Signaturwerts ηj = [vj –1]([(f3(nj)] a + [f3 (wj)]sj), worin f3 und sj eine Hash-Funktion, die in der finiten Ellipsenkurven-Verschlüsselungsgruppe G definiert ist, und einen permanenten Geheimschlüssel der Partei j bezeichnen.
  16. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien nach Anspruch 15, worin der Schritt (b1) die Schritte umfasst: (b11) statistisches Auswählen des ersten temporären Geheimschlüssels uj zwischen 1 und p-1; und (b12) Erzeugen des zweiten temporären Geheimschlüssels vj durch Anwenden der Hash-Funktion auf den ersten temporären Geheimschlüssel uj.
  17. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteil nehmerparteien nach Anspruch 15 oder 16, worin der Schritt (a) die Schritte umfasst: (a1) Empfangen einer Mitteilung (ID1, w1, n1, n1, zeit) von der Konferenzauslösepartei, worin die Parameter ID1, w1, n1, n1 und zeit ID-Information der Konferenzauslösepartei, von der Konferenzauslösepartei erzeugte temporäre öffentliche Schlüssel, einen von der Konferenzauslösepartei erzeugten Signaturwert und Zeitinformation bezeichnen; und (a2) Bestimmen, dass die Mitteilung eine Gleichung e(w1, η1) = e(a, [f2 (f3 (n1), ID1, zeit)] a)·e(y, [f3 (w1)]r1) erfüllt, worin e, f2, f3, y und r1 eine Weil-Pairing-Funktion, die auf einer Ellipsenkurve definiert ist, eine Hash-Funktion, die in einer ganzzahligen Domäne definiert ist, eine Hash-Funktion, die in der finiten Ellipsenkurven-Verschlüsselungsgruppe G definiert ist, einen öffentlichen Schlüssel eines Schlüsselautentifizierungszentrums und einen permanenten öffentlichen Schlüssel der Konferenzauslösepartei bezeichnen.
  18. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien nach Anspruch 17, worin der Schritt (e) ein Schritt zum Erzeugen eines gemeinsamen Konferenzschlüssels Kc = zj – [uj]n1 ist und worin zj die Erzeugungsvariable für den gemeinsamen Schlüssel bezeichnet, die von der Konferenzauslösepartei empfangen ist.
  19. Verfahren zur Verteilung eines gemeinsamen Konferenzschlüssels zum Verschlüsseln von einer Konferenzauslösepartei zu Konferenzteilnehmerparteien nach einem der Ansprüche 11 bis 18, worin der Schritt (f) die Schritte umfasst: (f1) Entschlüsseln der verschlüsselten ID-Information der Konferenzauslösepartei, die von der Konferenzteilnehmerpartei empfangen ist, unter Verwendung des gemeinsamen Konferenzschlüssels; und (f2) Bestimmen, dass die entschlüsselte ID-Information der Konferenzauslösepartei identisch ist zur ID-Information der Konferenzauslösepartei, die in Schritt (a) empfangen ist.
  20. Computerlesbares Speichermedium, auf dem ein Programm aufgezeichnet ist, das geeignet ist, alle Schritte eines Verfahrens nach einem der vorhergehenden Ansprüche durchzuführen, wenn es auf einem Computer ausgeführt wird.
DE602004004029T 2003-10-20 2004-10-19 Verfahren zur Verteilung von Konferenzschlüsseln, gemäss einem identitätsbasierten Verschlüsselungssystem Expired - Fee Related DE602004004029T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR2003072982 2003-10-20
KR1020030072982A KR100571820B1 (ko) 2003-10-20 2003-10-20 신원 정보를 기반으로 하는 암호 시스템에서의 컨퍼런스세션 키 분배 방법

Publications (2)

Publication Number Publication Date
DE602004004029D1 DE602004004029D1 (de) 2007-02-15
DE602004004029T2 true DE602004004029T2 (de) 2007-11-15

Family

ID=34386781

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004004029T Expired - Fee Related DE602004004029T2 (de) 2003-10-20 2004-10-19 Verfahren zur Verteilung von Konferenzschlüsseln, gemäss einem identitätsbasierten Verschlüsselungssystem

Country Status (4)

Country Link
US (1) US7716482B2 (de)
EP (1) EP1526676B1 (de)
KR (1) KR100571820B1 (de)
DE (1) DE602004004029T2 (de)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100617456B1 (ko) * 2004-04-28 2006-08-31 주식회사 니츠 비밀키 관리 기능을 가지는 비밀키 단말장치 및 비밀키관리방법
CA2550362C (en) * 2005-06-14 2015-12-01 Certicom Corp. Enhanced key agreement and transport protocol
KR100642745B1 (ko) 2005-10-05 2006-11-10 고려대학교 산학협력단 Id-기반의 키교환 방법 및 장치
EP1793606A1 (de) * 2005-12-05 2007-06-06 Microsoft Corporation Schlüsselverteilung zur Ver- und Entschlüsselung
CN1859090B (zh) * 2005-12-30 2010-05-05 上海交通大学 一种基于身份的密码方法和系统
US7817802B2 (en) * 2006-10-10 2010-10-19 General Dynamics C4 Systems, Inc. Cryptographic key management in a communication network
US8464059B2 (en) * 2007-12-05 2013-06-11 Netauthority, Inc. System and method for device bound public key infrastructure
US20090216837A1 (en) * 2008-02-25 2009-08-27 Microsoft Corporation Secure reservationless conferencing
CN102177677A (zh) * 2008-10-22 2011-09-07 索尼公司 密钥共享系统
DE102009024604B4 (de) * 2009-06-10 2011-05-05 Infineon Technologies Ag Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
US8842833B2 (en) 2010-07-09 2014-09-23 Tata Consultancy Services Limited System and method for secure transaction of data between wireless communication device and server
KR101233254B1 (ko) 2011-04-26 2013-02-14 숭실대학교산학협력단 가변길이 인증코드를 사용하는 무선 통신 단말간 세션키 공유 방법
SI2648170T1 (sl) * 2012-04-06 2015-03-31 Kapsch Trafficcom Ag Postopek za zaznavanje prekoračitve hitrosti vozila
KR101301609B1 (ko) 2012-05-31 2013-08-29 서울대학교산학협력단 비밀키 생성 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
KR101493212B1 (ko) * 2012-10-31 2015-02-23 삼성에스디에스 주식회사 아이디 기반 암호화, 복호화 방법 및 이를 수행하기 위한 장치
US9467283B2 (en) 2013-06-24 2016-10-11 Blackberry Limited Securing method for lawful interception
US9219722B2 (en) 2013-12-11 2015-12-22 Globalfoundries Inc. Unclonable ID based chip-to-chip communication
US9647832B2 (en) 2014-01-13 2017-05-09 Visa International Service Association Efficient methods for protecting identity in authenticated transmissions
US10659232B2 (en) 2014-04-09 2020-05-19 Ictk Holdings Co., Ltd. Message authentication apparatus and method based on public-key cryptosystems
WO2015156621A1 (ko) * 2014-04-09 2015-10-15 (주) 아이씨티케이 인증 장치 및 방법
US20150349971A1 (en) * 2014-05-30 2015-12-03 Highfive Technologies, Inc. Proximity-based conference session transfer
US9525848B2 (en) 2014-05-30 2016-12-20 Highfive Technologies, Inc. Domain trusted video network
CN111355749A (zh) 2014-06-18 2020-06-30 维萨国际服务协会 用于已认证的通信的高效方法
EP3195521B1 (de) 2014-08-29 2020-03-04 Visa International Service Association Verfahren zur sicheren erzeugung von kryptogrammen
US10461933B2 (en) 2015-01-27 2019-10-29 Visa International Service Association Methods for secure credential provisioning
EP3257227B1 (de) 2015-02-13 2021-03-31 Visa International Service Association Verwaltung von vertraulicher kommunikation
CN105610575B (zh) * 2015-09-22 2019-01-08 西安电子科技大学 空间信息网跨域的端到端密钥交换方法
CN105406961B (zh) * 2015-11-02 2018-08-07 珠海格力电器股份有限公司 密钥协商方法、终端及服务器
SG11201807726QA (en) 2016-06-07 2018-10-30 Visa Int Service Ass Multi-level communication encryption
CN106534570B (zh) * 2016-11-30 2019-10-25 Oppo广东移动通信有限公司 一种隐私保护方法及装置
US10237063B2 (en) * 2016-12-13 2019-03-19 Nxp B.V. Distributed cryptographic key insertion and key delivery
WO2020010515A1 (en) 2018-07-10 2020-01-16 Apple Inc. Identity-based message integrity protection and verification for wireless communication
CN110868285B (zh) * 2018-08-28 2023-05-19 中国电信股份有限公司 认证方法、服务器、系统和计算机可读存储介质
US11128454B2 (en) 2019-05-30 2021-09-21 Bong Mann Kim Quantum safe cryptography and advanced encryption and key exchange (AEKE) method for symmetric key encryption/exchange

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7334127B2 (en) * 1995-04-21 2008-02-19 Certicom Corp. Key agreement and transport protocol
AU5266596A (en) * 1995-04-21 1996-11-07 Certicom Corp. Method for signature and session key generation
US7243232B2 (en) * 1995-04-21 2007-07-10 Certicom Corp. Key agreement and transport protocol
CA2176972C (en) * 1995-05-17 2008-11-25 Scott A. Vanstone Key agreement and transport protocol with implicit signatures
US6151395A (en) * 1997-12-04 2000-11-21 Cisco Technology, Inc. System and method for regenerating secret keys in diffie-hellman communication sessions
US6336188B2 (en) * 1998-05-01 2002-01-01 Certicom Corp. Authenticated key agreement protocol
US7047408B1 (en) * 2000-03-17 2006-05-16 Lucent Technologies Inc. Secure mutual network authentication and key exchange protocol
US6769060B1 (en) * 2000-10-25 2004-07-27 Ericsson Inc. Method of bilateral identity authentication
CA2369540C (en) * 2001-12-31 2013-10-01 Certicom Corp. Method and apparatus for computing a shared secret key
GB0215524D0 (en) * 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key

Also Published As

Publication number Publication date
US20050084114A1 (en) 2005-04-21
KR100571820B1 (ko) 2006-04-17
US7716482B2 (en) 2010-05-11
EP1526676B1 (de) 2007-01-03
KR20050037723A (ko) 2005-04-25
DE602004004029D1 (de) 2007-02-15
EP1526676A1 (de) 2005-04-27

Similar Documents

Publication Publication Date Title
DE602004004029T2 (de) Verfahren zur Verteilung von Konferenzschlüsseln, gemäss einem identitätsbasierten Verschlüsselungssystem
DE69633590T2 (de) Verfahren zur Unterschrift und zur Sitzungsschlüsselerzeugung
DE69534192T2 (de) Verfahren zur gemeinsamen Nutzung einer geheimen Information, zur Erzeugung einer digitalen Unterschrift und zur Ausführung einer Beglaubigung in einem Kommunikationssystem mit mehreren Informationsverarbeitungseinrichtungen und Kommunikationssystem zur Anwendung dieses Verfahrens
DE69630331T2 (de) Verfahren zur gesicherten Sitzungsschlüsselerzeugung und zur Authentifizierung
DE69636815T2 (de) Verfahren zur sitzungsschlüsselerzeugung mit impliziten unterschriften
EP0472714B1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
DE69233613T2 (de) Kryptographisches Protokoll zur gesicherten Kommunikation
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
CN101582906B (zh) 密钥协商方法和装置
DE19804054B4 (de) System zur Verifizierung von Datenkarten
DE112012001828B4 (de) Passwortgestützte Einzelrunden-Schlüsselaustauschprotokolle
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
CH711133B1 (de) Protokoll zur Signaturerzeugung
DE112012000971B4 (de) Datenverschlüsselung
WO1997047108A1 (de) Verfahren zum gruppenbasierten kryptographischen schlüsselmanagement zwischen einer ersten computereinheit und gruppencomputereinheiten
Meng et al. Tightly coupled multi-group threshold secret sharing based on Chinese Remainder Theorem
EP1119942B1 (de) Verfahren zum etablieren eines gemeinsamen kryptografischen schüssels für n teilnehmer
EP1119941B1 (de) Verfahren zum etablieren eines gemeinsamen schlüssels zwischen einer zentrale und einer gruppe von teilnehmern
EP1208669B1 (de) Verfahren zum etablieren eines gemeinsamen schlüssels für eine gruppe von mindestens drei teilnehmern
EP1286494B1 (de) Verfahren zur Erzeugung eines asymmetrischen kryptografischen Gruppenschlüsselpaares
EP0481121A1 (de) Authentifizierung für verschlüsselte Kommunikation
EP1062763B1 (de) Schlüsselaustauschverfahren
WO2001022654A1 (de) Verfahren zur wiederherstellung eines kryptographischen sitzungsschlüssels
EP1317096A2 (de) Verfahren zur Bestimmung eines symmetrischen Schlüssels über einen unsicheren Kanal und zur digitalen Signatur bei der Übermittlung einer Nachricht zwischen einer ersten und einer zweiten Vorrichtung
DE19938197A1 (de) Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee