DE69333121T2 - Verfahren zur Ausführung von kryptographischen und/oder fehlerkorrigierenden Protokollen auf dem Gebiet der Zahlentheorie - Google Patents

Verfahren zur Ausführung von kryptographischen und/oder fehlerkorrigierenden Protokollen auf dem Gebiet der Zahlentheorie Download PDF

Info

Publication number
DE69333121T2
DE69333121T2 DE1993633121 DE69333121T DE69333121T2 DE 69333121 T2 DE69333121 T2 DE 69333121T2 DE 1993633121 DE1993633121 DE 1993633121 DE 69333121 T DE69333121 T DE 69333121T DE 69333121 T2 DE69333121 T2 DE 69333121T2
Authority
DE
Germany
Prior art keywords
mod
calculation
test unit
unit
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE1993633121
Other languages
English (en)
Other versions
DE69333121D1 (de
Inventor
David Naccache
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Technicolor SA
Original Assignee
Thomson Multimedia SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Multimedia SA filed Critical Thomson Multimedia SA
Application granted granted Critical
Publication of DE69333121D1 publication Critical patent/DE69333121D1/de
Publication of DE69333121T2 publication Critical patent/DE69333121T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Ausführung von zahlentheoretischen, kryptographischen und/oder fehlerkorrigierenden Protokollen.
  • Hintergrund
  • Der Algorithmus von Montgomery, beschrieben in "Modular Multiplication without Trial Division", Mathematics of Computation, Band 44, Seiten 519–521, ist ein Vorgang zur Berechnung A*B*2–|n| modulo n in o(Log(n)} memory space (O: order).
  • In Fiat, Feige und Shamir, "Zero-Knowledge Proofs of identity", Journal of Cryptology, Band 1, Seiten 77–94, ist ein authentisches Schema (Fiat-Shamir) beschrieben. Siehe auch EP-A-O 252 499 und EP-A-O 325 238.
  • Erfindung
  • Es ist eine Aufgabe der Erfindung, ein Verfahren zur Bildung eines Fiat-Shamirähnlichen Authentifikation (Echtheitsprüfung)-Schema anzugeben, das für den Montgomery-Bereich geeignet ist, ohne einen Overhead (zusätzlicher Aufwand) in der Anzahl der modularen Multiplikationen einzuführen, die für die Ausführung des normalen Protokolls benötigt werden. Diese Aufgabe wird durch das im Anspruch 1 angegebene Verfahren gelöst.
  • Ein neustes Ergebnis, beschrieben in Arazi, "Modular Multiplication is Equivalent in Complexity to a Standard Multiplication", Fortress U&T Internal Report (1992), Fortress U&T Information Safeguards, P.O. Box 1350, Beer-Sheva, IL-84110, Israel, bewirkt in einer konstruktiven Weise, dass A*B*2–|n| mod n mit derselben Komplexität (zeitweise und hardwareweise) berechnet werden kann wie A*B* (not mod n) Diese theoretische Verringerung des Problems der modularen Anwendung, neuerdings angewendet auf den Aufbau von heutigen, schnellsten Hardware-Modularmultiplizierer, ist sehr wichtig, da sie bewirkt, dass das im folgenden dargestellte Protokoll in derselben Weise ausgeführt wird wie ein Fiat-Shamir-Schema, wo alle modularen Multiplikationen durch Standard-Multiplikationen ersetzt werden. Die Tatsache, dass im voraus keine Konstanten vorberechnet werden müssen und der geringe Betrag an RAM, der für die Softwareausführung des neuen Protokolls benötigt wird, macht es für Smart Card-Anwendungen außerordentlich bequem, zum Beispiel in Gebührenfernsehsystemen.
  • Der Vorteil des neuen Verfahrens gegenüber dem klassischen Fiat-Shamir-Protokoll besteht darin, dass die Berechnungen in einer wesentlich schnelleren Weise erfolgen. Außerdem kann dieselbe Philosophie angewendet werden, um andere zahlentheoretische Schemen für eine schnelle Ausführung umzusetzen oder zu adaptieren.
  • Während der gesamten Anmeldung bezeichnet | n | die Länge von n (in Bit) und || n || das Hamming-Gewicht von n.
  • In dem oben genannten Algorithmus von Montgomery für eine modulare Multiplikation wird angenommen, dass n ungerade ist. Es gibt keine weiteren Einschränkungen bei den Modulen.
  • Sehr stark vereinfacht, arbeitet dieser Algorithmus "Kernel" folgendermaßen:
    Es wird angenommen, dass X[i] die X's i-ten Bit bezeichnet (mit X[0] als LSB) und K = 4|n| mod n.
  • Figure 00020001
  • Aus der oben genannten Schrift von Montgomery fällt sich zeigen, dass c = A*B*2–|n| mod n und dass:
    Kernel (K, Kernel (A, B) ) = A*B mod n.
  • Eine umfassendere und vollständigere Lösung wird durch den oben genannten Arazi gezeigt, wo formal gezeigt wird, wie die Komplexität der Berechnung Kernel (A, B) in die von A*B reduziert werden kann.
  • Wenn es möglich ist, das Fiat-Shamir-Schema derart umzusetzen, dass die Montgomery-Parasiten (2–|n|) das Protokoll nicht stören (unter Anwendung nur eines Kernel-Vorgangs anstelle jeder modularen Multiplikation), dann wäre es möglich, das Fiat-Shamir-Schema etwa in der halben Zeit durchzuführen, wie sie für einen vollständigen Montgomery-Multplizierer benötigt wird. Jedoch wird die Vorberechnung oder Benutzung der Konstanten K des Montgomery-Verfahrens nicht benötigt.
  • Diese Lösung für das Problem ist etwas neu, da im Gegensatz zu dem klassischen Vorgang der Bestimmung der Berechnungsmittel für die komfortable Ausführung der zahlentheoretischen Protokolle, hier ein kryptographisches Schema, umgesetzt wird, um eine bestimmte Berechnungsbegrenzung zu erfüllen.
  • In vorteilhafter Weise kann nach einer geeigneten Änderung der Beziehung zwischen den öffentlichen und den privaten Schlüsseln die Montgomery-Parasiten nützlich sein, anstatt zu stören. Von nun an bezeichnet D den Parasitenfaktor 2–|n| mod n, und es wird angenommen, dass die Verfügbarkeit eines halben Montgomery-Multiplizierers (das ist ein Kernel-Vorgang, der nur den Vorgang A*B*D mod n durchführt).
  • Das öffentliche Fiat-Shamir vj–s wird neu definiert durch: D3* vj* s2 j ≡ 1 mod n.
  • Es wird angenommen, dass die vj's dem Verifizierer bereits bekannt sind (zum Beispiel durch das Verfahren von Fiat und Shamir F(ID/j)).
  • Schritt 1:
  • Ein geeignetes Gerät wählt eine Zufallszahl R und berechnet Z = R2D mod n = Kernel (R, R) und sendet sie zu einer Prüfeinheit.
  • Schritt 2:
  • Die Prüfeinheit sendet den binären Zufallsvektor e zu dem geeigneten Gerät.
  • Schritt 3:
  • Das Beweisgerät berechnet und sendet zu der Prüfeinheit:
    Figure 00030001
  • Dieser Wert wird leicht berechnet durch:
    Figure 00030002
  • Hier bezeichnen die ij's die ||e|| Indices, die durch einen Vektor e gewählt sind.
  • Schritt 4:
  • Die Prüfeinheit berechnet (in einer ähnlichen Weise zu der des vorangehenden Schritts):
    Figure 00040001
    und prüft, ob A = Z ist.
  • Die Beweiseinheit kann eine Smart Card sein, die einen Microprocessor und RAM-Mittel und eine Speicherung der Geheimschlüssel si und des Modulos n in nichtflüchtigen Speichermitteln enthält, wobei die Smart Card über einen Smart Card Leser mit einem Gebührenfernseh-Decoder verbunden ist, der die Prüfeinheit enthält, die den öffentlichen Schlüssel v auswertet und außerdem den modulus n in Speichermitteln speichert.
  • Im Prinzip besteht das erfindungsgemäße Verfahren in der Berechnung von zahlentheoretischen, kryptographischen und/oder fehlerkorrgierenden Protokollen unter Anwendung einer Beweiseinheit, die in Speichermitteln Geheimschlüssel si und einen modulos n speichert, und ein Prüfgerät, das einen Satz von öffentlichen Schlüsseln vi auswertet, wobei das Verhältnis zwischen den öffentlichen Schlüsseln vj und den geheimen Schlüsseln sj in einer derartigen Weise geändert wird, dass die Parasiten, die durch die Benutzung eines Montgomery-ählichen modularen Multiplikations-Verfahren erfüllt oder beseitigt werden.
  • Insbesondere wird der Zusammenhang zwischen den öffentlichen Schlüsseln und den geheimen Schlüsseln gegenüber dem Zusammenhang zwischen den Schlüsseln in den ursprünglichen Protokollen durch Einführung der Abhängigkeit von dem Montgomery-konstanten Parasitenfaktor in dem Zusammenhang geändert.
  • Vorteilhafte zusätzliche Ausführungsformen des erfindungsgemäßen Verfahrens ergeben sich aus den jeweiligen abhängigen Ansprüchen.
  • Bevorzugte Ausführungsformen
  • In ähnlicher Weise kann die Erfindung ebenso auf das Fiat-Shamir-digitale Signaturverfahren angewendet werden.
  • In Quisquater und Guillou, "A Practical Zero-Knowledge Protocol Fitted to Security Microprocessor Minimizing Both Transmission and Memory", Proceedings of Eurocrypt'88 Lecture Notes in Computer Science, Springer-Verlag (Ausgabe C.G. Günther) 330 (1988), Seiten 123–128, wird ein zweites, sehr populäres Authentifikationsschema beschrieben. Das ursprüngliche Quisquater-Guillou-Identifikationsschmea ist das folgende:
    Der grundlegende Zusammenhang zwischen dem Geheimschlüssel B und dem (Beweisgerät) Identität ID ist: f ( ID ) *Bv = 1 mod n. Ein anderer kurzer Name für f(ID) ist J. Der Parameter v wird durch die Behörde festgelegt.
  • Schritt 1:
  • Die Beweiseinheit wählt eine Zufallszahl r und sendet ihre ID und T = rv mod n zu dem Prüfgerät.
  • Schritt 2:
  • Das Prüfgerät wählt eine Zufallszahl d<v , berechnet J = f(ID) und sendet d zu der Beweiseinheit.
  • Schritt 3:
  • Die Beweiseinheit berechnet und sendet U = r*Bd mod n zu der Prüfeinheit.
  • Schritt 4:
  • Die Prüfeinheit prüft, ob T = JdUv mod n ist.
  • Diese Identität sollte halten, da: JdUv = Jd (r*Bd)v = (J*Bv)drv = 1drv = rv = T mod n.
  • Durch Anwendung des erfindungsgemäßen Verfahrens kann hier die Berechnung durch Anwendung eines halben Montgomery-Multiplizierers (Processors) beschleunigt werden. Der Zusammenhang zwischen den öffentlichen und den geheimen Schlüsseln wird wieder geändert: f ( ID ) *BvDv+1 = 1 mod n, jedoch wird genau dasselbe Protokoll während des Ersatzes der Multiplikationen durch die Kernel-Vorgänge ausgeführt:
  • Schritt 1:
  • Die Beweiseinheit wählt eine Zufallszahl r und sendet ihre ID und T = rvDv– 1 mod n zu der Prüfeinheit. Der Faktor Dv–1 wird durch den Quadrat- und Multiplizier-Exponentenalgorithmus hinzugefügt, wo alle Multiplikationen durch Kernel-Vorgänge ersetzt sind. Genauer ist dieser Kernel_Exponentiation-Algorithmus folgender:
    Figure 00060001
  • Daraus kann leicht nachgewiesen werden, dass:
    Kernel_Exponentiation(A, p) = ApDp– 1 mod n (T wird durch die Kernel_Exponentiation (r, v) gewonnen).
  • Schritt 2:
  • Das Prüfgerät wählt eine Zufallszahl d < v, berechnet J = f (ID) und sendet d zu der Beweiseinheit.
  • Schritt 3:
  • Die Beweiseinheit berechnet und sendet U = r*BdDd mod n zu der Prüfeinheit.
  • U wird berechnet durch: Kernel (Kernel_Exponentiation(B, d), r)
  • Schritt 4:
  • Die Prüfeinheit prüft, ob T = JdUvDd+ v–1 mod n..
  • Der Wert JdUvDd+ v–1 wird berechnet durch:
    Kernel (Kernel_Exponentiation(J, d), Kernel_Exponentiation(U, v) ).
  • Dieser Test sollte wahr sein, da: JdUvDd+ v–1 = Jd (*BdDd)vDd+v–1 = (J*Bv)drvDd*v+d+v–1 = D–d(v+1)rvDd(v+1)Dv–1 = rvDv–1 = T.Schnorr, "Efficient Identification and Signatures for Smart Cards", Proceedings of Eurocrypt'89 Lecture Notes in Computer Science, Springer-Verlag (Ausgabe G. Brassard) 435 (1990), Seiten 239–252, (siehe auch EP-A-O 384 475) ist ein Sys tem, wo der Zusammenhang zwischen den öffentlichen (v) und den geheimen (s) Schlüsseln gleich v = α–s mod p ist.
    α wird durch die Behörde so gewählt, dass αq = 1 mod p. q ein durch die Behörde veröffentlichter öffentlicher Schlüssel ist.
  • Schritt 1:
  • Die Beweiseinheit wählt eine Zufallszahl r, berechnet x = α mod p und sendet x zu der Prüfeinheit.
  • Schritt 2:
  • Die Prüfeinheit wählt ein zufälliges e und sendet es zu der Beweiseinheit.
  • Schritt 3:
  • Die Beweiseinheit sendet y = r + s*e mod q zurück.
  • Schritt 4:
  • Die Prüfeinheit prüft, ob x = αyve mod p.
  • Das erfindungsgemäße Verfahren kann wieder angewendet werden, um die Berechnungszeit zu verkürzen. Die einzige einzuführende Änderung besteht in dem Zusammenhang zwischen den öffentlichen und den geheimen Schlüsseln. Dieser wird gleich: v*Ds+1αs = 1 mod p.
  • Schritt 1:
  • Die Beweiseinheit wählt ein zufälliges r, berechnet x = αrDr–1 mod p und sendet x zu der Prüfeinheit. x = Kernel_Exponentiation(α, r)
  • Schritt 2:
  • Die Prüfeinheit wählt ein zufälliges e und sendet es zu der Beweiseinheit.
  • Schritt 3:
  • Die Beweiseinheit sendet y = r+s*e mod q zurück.
  • Schritt 4:
  • Die Prüfeinheit prüft, ob x = αyveDy+e –1 mod p durch Prüfung, ob:
    x = Kernel (Kernel_Exponentiation(α, y), Kernel_Exponentiation(v, e) ).
  • Dieser Test sollte wahr sein, wenn
    Figure 00080001
  • Das Signaturschema, das in El Gamal, "A public-key cryptosystem and a signature scheure based on the discrete logarithm", IEEE Transactions on Information Theory, Band 31, Nr. 4, Seiten 469–472, 1985 beschrieben ist, basiert auf dem diskreten Logarithmusproblem.
  • Der öffentliche Schlüssel ist bestimmt als eine ganze Zahl p = gs mod q, wo s der Geheimschlüssel des Benutzers ist und p, q und g öffentlich sind. Für die Signierung einer Nachricht m wählt der Benutzer eine Zufallszahl k, berechnet u = gk mod q und berechnet v derart, dass m = s*u+k*v mod (q–1)·{u, v} die Signatur der Nachricht m ist.
  • Beim Empfang der Gültigkeit der Signatur kann geprüft werden, ob puuv = gs*ugm–s*u = gm mod q and m and g verfügbar sind.
  • Um einen Vorteil von dem erfindungsgemäßen Kernel_Exponenten-variations-Verfahren zu erlangen, ohne das Protokoll zu ändern, wird der öffentliche Schlüssel wieder neu definiert als p = gSDs –1 mod q.
    p kann leicht durch Kernel_Exponentiation (g, s) berechnet werden. Für die Signierung wählt der Benutzer ein zufälliges k und berechnet u = gkDk–1 mod q = Kernel_Exponentiation(g, k), während die Definition von v dieselbe bleibt (nämlich: m = s*u+k*v mod (q–1) ). Für die Prüfung der Gültigkeit der Signatur berechnet der Empfänger:
    Figure 00080002
    und vergleicht natürlich diesen Wert mit dem Ergebnis von: Kernel_Exponentlatlon (g, m).
  • Der sogenannte Digital Signature Standard (DSS) ist eine zunehmende neue Norm für die Nachricht-Signatur. Sehr stark vereinfacht, arbeitet die DSS folgendermaßen:
    Die Primärzahlen p und q und die ganze Zahl g werden gewählt. y = gx mod p wird berechnet, und p, q, g und y werden veröffentlicht. x ist der Privatschlüssel des Benutzers.
  • Der Vorgang zur Signierung der Nachricht M ist folgendermaßen:
    Das Signierungsgerät summiert (hashes) die Nachricht M in eine komprimierte Zeitenfolge oder sogenannte String m.
  • Die Signiereinheit berechnet r = (gk mod p) mod q and s = (m+x*r)/k mod q und sendet die Signatur {r, s} zu der Prüfeinheit.
  • Die Prüfeinheit steuert die Signatur durch Prüfung, ob
    Figure 00090001
  • Um diese Vorgang an das erfindungsgemäße Verfahren anzupassen, wird nur der Zusammenhang zwischen den Schlüsseln geändert, jedoch werden zwei verschiedene Kernel-Vorgänge unterschieden:
    Kernelq(A, B) computing A*B*δ mod q und
    Kernelp(A, B) computing A*B*D mod p.
  • Hier ist das neue Protokoll: Redefine y = gδxDδX–1 mod p.
  • Die Signiereinheit berechnet:
    Figure 00090002
    und sendet die Signatur {r, s} zu der Prüfeinheit.
  • Die Prüfeinheit steuert die Signatur durch Berechnung:
    Figure 00100001
    und vergleicht, dass: v = r.
  • Für r kann der Signierer auch berechnen r = (gkDk –1 mod p)C*δ mod qmit einer Prüfung durch die Prüfeinheit, ob v3*δ*C = r mod q,
    wobei C eine willkürliche Konstante ist.
  • Für r kann der Signierer auch berechnen r = (gkDk –1 mod p)*f(M)*δ mod qmit der Prüfung durch die Prüfeinheit, ob v3*δ*f(M) = r mod q , wobei f(M) eine öffentliche Funktion der zu signierenden Nachricht ist.
  • In vorteilhafter Weise kann die Sicherheit des vorgeschlagenen Schemas ohne Zusatzkosten (verglichen mit der ursprünglichen DSS) verbessert werden, wenn die Schritte:
    r = Kernelq(r1, 1) (bei der Berechnung der Signatur) und
    v = Kernelq(v3, 1) (bei der Prüfung der Signatur) jeweils ersetzt werden können durch:
    r = Kernelq(r1, f(m)) (bei der Berechnung der Signatur) und
    v = Kernelq(v3, f(m)) (bei der Prüfung der Signatur),
    wobei feinen beliebigen öffentlichen Schlüssel bezeichnet (z. B. |q| LBS Bit von m).
  • Mit einem Betrieb des Microprocessors vom Typ 68HC05 bei 3,5 MHz, wurde der Kernel-Vorgang (für 512 Bitzahlen) in weniger als 125 ms durchgeführt, die RAM-Benutzung beträgt weniger als 70 Byte. Eine spezielle Kernel-Squaring-Version läuft bei 85 ms ab, benötigt jedoch einen doppelten RAM-Platz.
  • In dem oben genannten Artikel von Arazi ist gezeigt, dass "Es ist möglich, A*B*D mod n in |n| +1 Taktzyklen zu berechnen. Das heißt, eine modulare Multiplikation erfolgt mit derselben Komplexität (zeitweise und hardwareweise) wie die eines genormten Multiplikationsvorgangs".
  • Es ist somit möglich, eine Fiat-Shamir-Identitätsprüfung (und Signatur, mit ähnlichen Abwandlungen des Schemas) in Hardware und Zeit äquivalent zu der auszuführen, die für die Ausführung der Protokolle ohne modulare Verringerungen benötigt wird.
  • Dieselbe Strategie der Änderung des Zusammenhangs zwischen den öffentlichen und den privaten Schlüsseln, um die Wirkung der parasitären Konstanten zu erfüllen oder zu beseitigen, die durch die Hilfsmittel für die modulare Reduktion eingeführt werden, kann auf eine große Vielfalt von zahlentheoretischen Authentifikations- und Signatur-Protokollen angewendet werden.
  • Die Erfindung kann auch benutzt werden für Bankwesen, Zugriffsteuerungs- und Militärische Anwendungen.

Claims (9)

  1. Verfahren zur Ausführung von zahlentheoretischen, kryptographischen und/oder fehlerkorrgierenden Protokollen unter Anwendung einer Beweiseinheit – z. B. einer Smart Card -, die in Speichermitteln einen Geheimschlüssel und einen modulus speichern, und einer Prüfeinheit, die die öffentlichen Schlüssel auswertet, dadurch gekennzeichnet, dass der Zusammenhang zwischen den öffentlichen Schlüsseln (vj) und den geheimen Schlüsseln (s,) gegenüber dem Zusammenhang zwischen den Schlüsseln in den ursprünglichen Protokollen durch Einführung einer Abhängigkeit von dem konstanten Montgomery-Parasitenfaktor in dem Zusammenhang geändert wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch Anwendung eines Fiat-Shamir-Protokolls für die digitale Signatur und/oder die Identifikation folgendes erfolgt: – Ersatz aller modularen Multiplikationsvorgänge durch eine Kernel-Operation, die als Eingang ein Paar von Zahlen A und B aufnimmt und die Zahl A*B*D mod n ausgibt, wobei D ein konstanter Parasitenfaktor und n ein genormter Fiat-Shamir-modulus ist, – Ersatz des Zusammenhangs zwischen den öffentlichen und den geheimen Schlüsseln durch D3vjsj 2 = 1 mod n.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch Anwendung eines Quisquater-Guillou-Protokolls für die digitale Signatur und/oder die Identifikation folgendes erfolgt: – Ersatz aller modularen Multiplikationsoperationen durch eine Kernel-Operation, die als Eingang ein Paar von Zahlen A und B aufnimmt und automatisch die Zahl A*B*D mod n ausgibt, wobei D ein konstanter Parasitenfaktor und n ein Quisquater-Guillou-modulus ist, – Ersatz des Zusammenhangs zwischen den öffentlichen und den privaten Schlüsseln durch f (ID) (B*D)vD = 1 mod n .
  4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch Anwendung eines Schnorr-Protokolls für die digitale Signatur und/oder die Identifikation folgendes erfolgt: – Ersatz aller modularen Multiplikationsoperationen durch eine Kernel-Operation, die als Eingang ein Paar von Zahlen A und B aufnimmt und die Zahl A*B*D mod n ausgibt, wobei D ein konstanter Parasitenfaktor und p der genormte Schnorr-prime modulus ist, – Ersatz des Zusammenhangs zwischen den öffentlichen und den geheimen Schlüsseln durch v*Ds+1αs = 1 mod p.
  5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch Anwendung eines El-Gamal-Protokolls für die digitale Signatur und/oder die Identifikation folgendes erfolgt: – Ersatz aller modularen Multiplikationsoperationen durch eine Kernel-Operation, die als Eingang ein Paar von Zahlen A und B aufnimmt und die Zahl A*B*D mod n ausgibt, wobei D ein konstanter Parasitenfaktor und q der genormte El-Gamal-prime modulus ist, – Ersatz des Zusammenhangs zwischen den öffentlichen und den privaten Schlüsseln durch gsDs –1 = 1 mod q, – Ersatz der Definition von u durch u = gkDk–1 mod q.
  6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch Anwendung eines Digital Signature Standard folgendes erfolgt: a) Summierung (hashing) einer Nachricht M zur Signierung in eine komprimierte String m durch die Beweiseinheit, b) Berechnung von r = (gkDk –1 mod p) mod q durch die Beweiseinheit, c) Berechnung von s = δ (m+x*r*δ)/k mod q durch die Beweiseinheit, d) Senden der Signatur {r, s} von der Beweiseinheit zu der Prüfeinheit, e) Berechnung von w = s–1 mod q durch die Prüfeinheit, f) Berechnung von u1 = m w δ mod q durch die Prüfeinheit, g) Berechnung von u2 = r w δ mod q durch die Prüfeinheit, h) Berechnung von v1 = gu1Du1–1 mod p durch die Prüfeinheit, i) Berechnung von v2 = yu2Du2 –1 mod p durch die Prüfeinheit, j) Berechnung von v3 = v1*v2+D mod p durch die Prüfeinheit, k) Prüfung durch die Prüfeinheit, ob v3 = r mod q ist.
  7. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch Anwendung eines Digital Signature Standard folgendes erfolgt: a) Summierung (hashing) einer Nachricht M zur Signierung in eine komprimierte String m durch die Beweiseinheit, b) Berechnung von r = (gkDk–1 mod p) c*δ mod q durch die Beweiseinheit, c) Berechnung von s = δ (m+x*r*δ)/k mod q durch die Beweiseinheit, d) Senden der Signatur {r, s} von der Beweiseinheit zu der Prüfeinheit, e) Berechnung von w = s–1 mod q durch die Prüfeinheit, f) Berechnung von u1 = m w δ mod q durch die Prüfeinheit, g) Berechnung von u2 = r w δ mod q durch die Prüfeinheit, h) Berechnung von v1 = gu1Du1–1 mod p durch die Prüfeinheit, i) Berechnung von v2 = yu2Du2 –1 mod p durch die Prüfeinheit, j) Berechnung von v3 = v1*v2+D mod p durch die Prüfeinheit, k) Prüfung durch die Prüfeinheit, ob v3*⎕*C = r mod q, wobei C eine willkürliche Konstante ist.
  8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch Anwendung eines Digital Signature Standard: a) Summierung (hashing) einer Nachricht M zur Signierung in eine komprimierte String m durch die Beweiseinheit, b) Berechnung von r = (gkDk–1 mod p) C*δ mod q durch die Beweiseinheit, c) Berechnung von s = δ (m+x*r*δ)/k mod q durch die Beweiseinheit, d) Senden der Signatur {r, s} von der Beweiseinheit zu der Prüfeinheit, e) Berechnung von w = s' mod q durch die Prüfeinheit, f) Berechnung von u1 = m w δ mod q durch die Prüfeinheit, g) Berechnung von u2 = r w δ mod q durch die Prüfeinheit, h) Berechnung von v1 = gu1Du1–1 mod p durch die Prüfeinheit, i) Berechnung von v2 = yu 2Du 2– 1 mod p durch die Prüfeinheit, j) Berechnung von v3 = v1*v2+D mod p durch die Prüfeinheit, k) Prüfung durch die Prüfeinheit, ob v3*?*C = r mod q, wobei f(M) eine öffentliche Funktion der zu signierenden Nachricht ist.
  9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die Operationen x = ypowerDpower–1 modulo N durch einen Exponentiations-Vorgang erfolgen, dessen algorithmische Struktur folgendermaßen ist: Ausdruck 60
    Figure 00150001
DE1993633121 1992-06-30 1993-06-24 Verfahren zur Ausführung von kryptographischen und/oder fehlerkorrigierenden Protokollen auf dem Gebiet der Zahlentheorie Expired - Fee Related DE69333121T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP92401869 1992-06-30
EP92401869 1992-06-30

Publications (2)

Publication Number Publication Date
DE69333121D1 DE69333121D1 (de) 2003-09-04
DE69333121T2 true DE69333121T2 (de) 2004-04-15

Family

ID=27675822

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1993633121 Expired - Fee Related DE69333121T2 (de) 1992-06-30 1993-06-24 Verfahren zur Ausführung von kryptographischen und/oder fehlerkorrigierenden Protokollen auf dem Gebiet der Zahlentheorie

Country Status (3)

Country Link
EP (1) EP0578059B1 (de)
DE (1) DE69333121T2 (de)
ES (1) ES2203612T3 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1082836B1 (de) * 1998-03-18 2005-11-23 Kent Ridge Digital Labs Verfahren zum austausch digitaler daten
DE19820605A1 (de) 1998-05-08 1999-11-11 Giesecke & Devrient Gmbh Verfahren zur sicheren Verteilung von Software
GB0228760D0 (en) * 2002-12-10 2003-01-15 Koninkl Philips Electronics Nv Efficient implementation of zero knowledge protocols
FR2880149B1 (fr) 2004-12-23 2007-03-30 Oberthur Card Syst Sa Procede de traitement de donnees et dispositif associe
KR101094339B1 (ko) 2010-03-31 2011-12-19 고려대학교 산학협력단 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치, 방법 및 그 기록 매체

Also Published As

Publication number Publication date
ES2203612T3 (es) 2004-04-16
EP0578059B1 (de) 2003-07-30
EP0578059A1 (de) 1994-01-12
DE69333121D1 (de) 2003-09-04

Similar Documents

Publication Publication Date Title
DE19804054B4 (de) System zur Verifizierung von Datenkarten
Okamoto Provably secure and practical identification schemes and corresponding signature schemes
DE69633217T2 (de) Verfahren zum Implentieren von elektronischem Geld mit Hilfe einer Lizenz eines anonymen öffentlichen Schlüssels
Schoenmakers A simple publicly verifiable secret sharing scheme and its application to electronic voting
Brands Restrictive binding of secret-key certificates
Beth Efficient zero-knowledge identification scheme for smart cards
DE69938624T2 (de) Robuste und effiziente verteilte erzeugung eines rsa-schlüssels
DE69630738T2 (de) Verfahren und Einrichtung für ein elektronisches Geldsystem mit Ursprungserkennung
EP0384475B1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
Damgård et al. A statistically-hiding integer commitment scheme based on groups with hidden order
DE60031304T3 (de) Verfahren zur authentifizierung von softwarebenutzern
DE2843583C2 (de) Verfahren für den zugriffsicheren Nachrichtenverkehr über einen ungesicherten Nachrichtenübertragungskanal
DE69930334T2 (de) IC-Karte ausgerüstet mit einer Verarbeitungsanlage für Elliptische-Kurven-Verschlüsselung
DE69833334T2 (de) Verschlüsselungsgerät und -verfahren mit schneller entzifferung
Chaabouni et al. Additive combinatorics and discrete logarithm based range protocols
DE19829643C2 (de) Verfahren und Vorrichtung zur Block-Verifikation mehrerer digitaler Signaturen und Speichermedium, auf dem das Verfahren gespeichert ist
DE69826963T2 (de) Gerät für die modulare Inversion zur Sicherung von Information
DE112010004426T5 (de) Nicht verknüpfbare Übertragung ohne Gedächtnis mit Preisangaben und wiederaufladbaren Geldbörsen
DE69837036T2 (de) Verfahren und vorrichtung zur ausführung einer entschlüsselung mittels einer standardisierten modularen potenzierung zum vereiteln eines zeitangriffs
DE69636772T2 (de) Auf dem diskreten logarithmus basierendes verschlüsselungsverfahren mit öffentlichem schlüssel
Au et al. Practical compact e-cash
DE60212248T2 (de) Informationssicherheitsvorrichtung, Vorrichtung und Verfahren zur Erzeugung einer Primzahl
DE60117813T2 (de) Verfahren und Vorrichtung zur Speicherung und wiedergewinnung eones Privaten Kryptoschlüssels
DE69633253T2 (de) Kryptographisches verfahren mit öffentlichem schlüssel
DE69333121T2 (de) Verfahren zur Ausführung von kryptographischen und/oder fehlerkorrigierenden Protokollen auf dem Gebiet der Zahlentheorie

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee