DE69636772T2 - Auf dem diskreten logarithmus basierendes verschlüsselungsverfahren mit öffentlichem schlüssel - Google Patents

Auf dem diskreten logarithmus basierendes verschlüsselungsverfahren mit öffentlichem schlüssel Download PDF

Info

Publication number
DE69636772T2
DE69636772T2 DE69636772T DE69636772T DE69636772T2 DE 69636772 T2 DE69636772 T2 DE 69636772T2 DE 69636772 T DE69636772 T DE 69636772T DE 69636772 T DE69636772 T DE 69636772T DE 69636772 T2 DE69636772 T2 DE 69636772T2
Authority
DE
Germany
Prior art keywords
random
exponent
values
bank
linear combination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69636772T
Other languages
English (en)
Other versions
DE69636772D1 (de
Inventor
David M'raihi
David Naccache
Jacques Stern
Serge Vaudenay
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus Card International SA
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus Card International SA, Gemplus SA filed Critical Gemplus Card International SA
Application granted granted Critical
Publication of DE69636772D1 publication Critical patent/DE69636772D1/de
Publication of DE69636772T2 publication Critical patent/DE69636772T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Complex Calculations (AREA)
  • Storage Device Security (AREA)

Description

  • Gegenstand der vorliegenden Erfindung ist ein so genanntes Kryptographieverfahren mit öffentlichem Schlüssel, basierend auf dem die Berechnung einer Größe modulo p einsetzenden diskreten Logarithmus.
  • Sie findet eine Anwendung in der Erzeugung von digitalen Unterschriften von Meldungen oder in einer Authentifizierungsabtretung zwischen zwei Einheiten.
  • In derartigen Verfahren wird die Sicherheit auf der extremen Schwierigkeit begründet, die in der Umkehrung bestimmter Funktionen besteht und ganz besonders dem diskreten Logarithmus.
  • Dieses Problem besteht darin, x wieder zu finden, während p, g und y bekannt sind, da die mathematische Relation y = gx modulo p ist, die im Folgenden mit y = gx modp notiert wird (die bedeutet, dass y der Rest der Division von gx mal p ist). Bei dem derzeitigen Kenntnisstand ist es unmöglich, dieses Problem zu lösen, sobald die Größe p 512 Bits erreicht oder übersteigt und die von x 128 Bits erreicht oder übersteigt.
  • Bei derartigen Systemen gibt es im Allgemeinen eine Autorität, die die das Modul bildende Zahl p großer Größe liefert. Die Autorität wählt ebenfalls eine als Bank bezeichnete ganze Zahl g, wie zum Beispiel die von g erzeugte Gruppe, das heißt die von den Zahlen gx modp gebildete Gruppe, wobei das zum Intervall [0, p-1] gehörende x eine Untergruppe maximaler Größe ist, wenigstens 2128.
  • Die Parameter p und g werden als „öffentlich" bezeichnet, das heißt, dass sie durch die Autorität an alle dieser Autorität zugeordneten Benutzer geliefert werden.
  • Gemäß bestimmter Varianten werden diese Parameter individuell durch jeden Benutzer gewählt und sind in diesem Fall fester Bestandteil seines öffentlichen Schlüssels.
  • Ein größerer Nachteil bei der Umsetzung von kryptographischen Systemen besteht in der Notwendigkeit, aufgrund der komplexen Berechnungen, die realisiert werden, relative große Berechnungs- und Speichermittel zu besitzen.
  • Die Berechnung des Wertes gkmod besteht nämlich in der Realisierung der modularen Multiplikationen, und das ist aufwändig in Bezug auf Berechnungszeit und Speicherplatz. In nur Standard-Mikroprozessoren nutzenden einfachen elektronischen Vorrichtungen ist dieser Typ von Operationen kaum realisierbar.
  • Bei elektronischen, einen auf diesen Typ von Berechnung spezialisierten Prozessor besitzenden Vorrichtungen, ist es dennoch wünschenswert, die Berechnungszeit und den für die Zwischenergebnisse notwendigen Speicherplatz zu begrenzen.
  • Die Berechnung der Größe gkmod ist nämlich durch die unter der angelsächsischen Abkürzung SQM (Square-Multiply) bekannten klassische Methode des „multiplizierten Quadrats" im Allgemeinen relativ kostspielig, da es im Durchschnitt 3/2 Log2 (p) Multiplikationen entspricht.
  • Gemäß dieser Methode werden alle Potenzen von g berechnet, das heißt, wenn k die Länge von n Bits ist, alle Quadrate:
    g20, g21, ... g2n.
  • Gemäß der Methode des „multiplizierten Quadrats" erfordert das einfache gk n/2 Multiplikationen und n Quadrate.
  • Eine von E. BRICKELL et a. vorgeschlagene, durch die Abkürzung BGCW bezeichnete Methode erlaubt die Reduktion der Anzahl von Multiplikationen in dem Fall der Methode des multiplizierten Quadrats, führt aber einen Speicherbedarf von zahlreichen vorberechneten Konstanten und damit die Notwendigkeit ein, über eine sehr nachteilige Menge an Speicherplatz zu verfügen.
  • Diese Methode wird im Artikel von E. BRICKELL: „Fast Exponentiation with Precomputation", EUROCRYPT, 92, S. 200-207, beschrieben. Ein Exponent n wird zufällig gewählt und eine Auflösung in eine lineare Kombination n = Σ ai xi, 0 ≤ i ≤ m-1 wird gesucht. Potenzen gxi werden vorberechnet und im Speicher gespeichert. Schließlich wird die exponentielle Funktion gn durch Kombination von Potenzen berechnet.
  • Gegenstand der vorliegenden Erfindung ist, alle diese Nachteile zu beheben. Sie erlaubt es bei der Umsetzung des kryptographischen Algorithmus, eine flexible und in Bezug auf die Berechnungszeit und den Speicherplatz wenig aufwändige Lösung für alle Kryptographiesysteme und insbesondere durch tragbare Geräte des Typs Mikroprozessorkarte beizubringen.
  • Erfindungsgemäß werden zwei Lösungen vorgeschlagen. Die beiden Lösungen basieren auf einem aus der Bildung einer Datenbank von zufälligen Werten und der Kombination dieser Werte zur Bestimmung der zum Austausch zwischen den beiden Einheiten dienenden Exponenten x bestehenden gemeinsamen Prinzip.
  • Mit den beiden vorgeschlagenen Lösungen erfordert die Berechnung eines Exponenten k weniger als 30 modulare Multiplikationen bei einem für Träger, wie zum Beispiel Chipkarten, durchaus akzeptablen Speicherplatz.
  • Gegenstand der Erfindung ist ganz besonders ein die Berechnung der Größe r = gk modp einbeziehendes Kryptographieverfahren mit öffentlichem Schlüssel, bei dem p eine Modul genannte Primzahl ist, der Exponent k eine zufällige Zahl üblicherweise in der Länge von N Bits und g eine Basis genannte ganze Zahl, in der die Schritte durch Anspruch 1 definiert werden.
  • Gemäß einem ersten Realisierungsmodus bestehen die Schritte in Folgendem:
    • – eine m zufällige Werte xi und die entsprechenden Größen zi, wie zum Beispiel zi = gxi modp enthaltende feste Datenbank bilden,
    • – einen für jede Unterschrift notwendigen Exponenten k durch die Durchführung einer zufälligen linearen Kombination der Werte xi der Bank erzeugen,
    • – die Größe gk modp ausgehend von den relativen Größen zi zu den in der Kombination intervenierenden Werte xi berechnen,
    • – diese Größe bei dem Signalaustausch mit einer anderen Einheit nutzen.
  • Gemäß einem zweiten Ausführungsmodus bestehen die Schritte in Folgendem:
    • – eine n zufällige Exponentenwerte und ihre Potenz (ki, gkimodp) enthaltende evolutive Datenbank bilden,
    • – einen neuen, für eine Unterschrift notwendigen Exponenten ki+1 durch Vornehmen einer zufälligen linearen Kombination von n Werten ki der Bank erzeugen,
    • – die Größe gki+1modp durch Realisierung des Produkts der in die lineare Kombination eintretenden Potenzen von g berechnen,
    • – die Bank der Exponenten und der Potenzen aktualisieren,
    • – diese Größe in dem Zeichenaustausch mit einer anderen Einheit einsetzen.
  • Weitere Besonderheiten und Vorteile der Erfindung werden bei der Lektüre der erfolgten Beschreibung deutlich, die beispielhaft und nicht einschränkend unter Bezugnahme auf die Zeichnungen gegeben wird, die Folgendes darstellen:
  • 1, ein Prinzipschema eines zur Umsetzung der Erfindung geeigneten System,
  • 2, ein die wesentlichen Schritte des erfindungsgemäßen Verfahrens darstellende funktionales Schema,
  • 3, das funktionale Schema gemäß einem ersten Ausführungsmodus,
  • 4 das funktionale Schema gemäß einem zweiten Ausführungsmodus.
  • In 1 wurde ein Prinzipschema eines Umsetzungssystems des erfindungsgegenständlichen Kryptographieverfahrens dargestellt.
  • Dieses System wird aus einer Einheit E1 gebildet, die den Austausch elektronischer Signale mit wenigstens einer anderen Einheit E2 vornehmen möchte. Die beiden Einheiten sind jeweils mit einer Bearbeitungseinheit (CPU) 11, 30, einer Kommunikationsschnittfläche, einem Arbeitsspeicher (RAM) 13, 32 und/oder einem nicht beschreibbaren Speicher (ROM) 14, 34 und/oder einem nicht flüchtigen, beschreibbaren oder wieder beschreibbaren Speicher (EPROM oder EEPROM) 15, 33 und einem Adress-, Daten-, Kontrollbus 16, 35 ausgerüstet.
  • Die Verarbeitungssteuereinheit und/oder der ROM enthalten der Ausführung der Berechnungsschritte entsprechende, in dem erfindungsgegenständlichen Verfahren, das heißt bei einer Authentifizierungssitzung oder bei der Erzeugung eines elektronischen Signals, oder in deren Verlauf die beiden Einheiten elektronische Signale austauschen, intervenierende Berechungs-Programme oder -Ressourcen.
  • Die Verarbeitungseinheit oder der ROM besitzen die für modularen Multiplikationen, Additionen und Reduktionen notwendigen Ressourcen.
  • Ebenso umfassen die Verarbeitungseinheit und/oder der ROM die jedem Kryptographiealgorithmus eigenen Kryptographiefunktionen und die für die Berechnung notwendigen Parameter g und p eingesetzten und im Anschluss endgültig eingesetzten Kryptographiefunktionen. Die Exponenten xi gemäß dem ersten Modus oder ki gemäß dem zweiten Modus können vorab in einen von der Autorität wieder beschreibbaren Speicher eingesetzt oder von einem Zufallsgenerator und einem geheimen zufälligen Quellenwert x0 (oder k0) erzeugt werden. Jede Einheit E1, E2 besitzt darüber hinaus einen geheimen Schlüssel x und den öffentlichen Schlüssel y.
  • Die Erfindung wird ganz besonders auf im Bankenbereich eingerichtete Kryptographiesysteme angewendet, wo eine große Sicherheit bei den auf den Konten vorgenommenen Transaktionen erforderlich ist.
  • Das ist auch der Fall, wenn der Versand von durch eine andere Einheit in Form von elektronischen Signalen versandten Meldungen authentifiziert werden soll.
  • Das ist auch der Fall, wenn die Unterzeichnung von Meldungen beim Signalaustausch mit einer anderen Einheit notwendig ist.
  • In der Praxis kann die die Realisierung einer Transaktion wünschende Einheit zum Beispiel eine Karte mit integriertem Schaltkreis, wie zum Beispiel eine Chipkarte sein, und die Empfängereinheit wird dann ein Bankenterminal sein.
  • Die nachfolgende Beschreibung wird im Rahmen der Anwendung des Verfahrens mit Unterzeichnung von digitalen Meldungen erfolgen, wobei es sich von selbst versteht, dass die Erfindung sich auf jedes auf dem diskreten Logarithmus basierende Kryptographiesystem bezieht.
  • 1 stellt die wesentlichen Schritte des Verfahrens dar. Erfindungsgemäß wird eine eine feste Anzahl von Exponenten und die entsprechenden Potenzen enthaltende Datenbank gebildet,
    dann wird für jeden Signalaustausch:
    • – ein Exponent durch Vornahme einer zufälligen linearen Kombination der Exponenten-Werte der Bank erzeugt,
    • – und die Potenz von g ausgehend von den Potenzen der in die Kombination eintretenden Bank berechnet.
  • Das erfindungsgemäße Verfahren schlägt zwei Lösungen vor, wobei alle beide auf der Bildung (oder Konstitution) dieser Datenbank beruhen.
  • Gemäß dem ersten Ausführungsmodus ist die Datenbank fest und wird aus einer Gruppe von m Paaren (xi, zi) gebildet. Die Daten xi sind, wie zuvor genannt, durch einen Generator von zufälligen oder pseudozufälligen Zahlen erhaltene zufällige Zahlen. Die Länge dieser Zahlen ist die eines Exponenten k und ist bei allen dieselbe (das heißt N Bits). Die Größen zi sind das Ergebnis einer vorherigen Berechnung, wie zum Beispiel: zi = gxi modp.
  • Die Länge der Größen zi ist die des modulo p.
  • Wenn die Einheit E1 diese Datenbank B = [(xo, z0), ... (xm-1, –zm-1)] besitzt, kann sie Signale mit einer anderen Einheit austauschen, indem sie zum Beispiel eine Unterschrift DAS (r, s) intervenieren lässt, wie zum Beispiel r = gk modp, in der k ausgehend von den Daten der Bank B erzeugt wurde.
  • Somit erzeugt die Einheit erfindungsgemäß einen Exponenten k, wenn dies notwendig ist, und sie tut dies unter Realisierung einer zufälligen linearen Kombination der Werte xi der Bank. Die Einheit berechnet anschließend die entsprechende Größe gkmodp.
  • Für die Erzeugung des Exponenten k geht die Einheit auf folgende Weise vor:
    • – die Einheit erzeugt eine Sequenz von Werten ai: (a0, ..., am-1), die zufällige ganze Zahlen sind, wie zum Beispiel 0 ≤ ai ≤ h und von denen nur w Werte ungleich Null sind.
    • – die Einheit erzeugt k, so dass:
      Figure 00090001
    • – die Einheit berechnet anschließend die Größe gkmodp unter Durchführung der Multiplikationen der Potenzen von g Daten durch die Werte zi relativ zu xi, die in die lineare Kombination eintreten. In der Praxis sind die in die lineare Kombination eintretenden xi diejenigen, für die der Koeffizient ai ungleich Null ist.
  • Der Algorithmus von BRICKELL et al. wird für die Realisierung dieser Berechnung eingesetzt, doch die Anzahl von Multiplikationen beträgt von nun an (h/h+1) w + h-2 anstatt von (h/h+1) m + h-2.
  • Die Zahl w ist im Verhältnis zur erforderlichen Sicherheit festgelegt und führt bei den Werten von m und h zu den folgenden Ergebnissen:
    m = 32, w = 24 und h = 8
    m = 64, w = 20 und h = 6.
  • Diese Werte werden beispielhaft genannt und es können unterschiedliche Kombinationen in Betracht gezogen werden, solange die Sicherheitsauflagen beachtet werden.
  • In dem Fall, in dem m = 64 und w = 20 ist, beträgt die erfindungsgemäße notwendige Anzahl von Multiplikationen 34, während bei einer Methode wie zum Beispiel BRICKELL 60 Multiplikationen zu realisieren gewesen wären.
  • Bei m = 32 werden infolgedessen 32 Anzahlen der Größe des modulo p gespeichert, das heißt je nach Fall 512 bis 1024 Bits und 32 Anzahlen von 160 Bits (N = 160).
  • Die m Paare (xi, zi) werden in dem Fall im Speicher EEPROM gespeichert, in dem die Einheit eine Karte ist, und zwar auf durch die üblichen Abschirmungs- und analogen Methoden geschützte Weise.
  • Die zweite erfindungsgemäß vorgeschlagene Lösung besteht in der Bildung einer evolutiven Datenbank ausgehend von n zufälligen Werten von Exponenten ki, i=1 bis n und ihrer Potenz gki modp.
  • Ein erster neuer Exponentenwert ki+1 wird anschließend durch zufällige lineare Kombination der Exponenten der Bank erhalten. Die Berechnung der Größe gki+1 entspricht der Ausführung dieses neuen Exponenten. Dieses neue Paar wird durch Ersatz des ersten Paars in die Datenbank eingeführt.
  • Ein für eine Unterschrift notwendiger Exponent k wird durch lineare Kombination aller anderen Exponenten der Datenbank erhalten, und der Inhalt der Bank wird bei jeder neuen Erzeugung eines Exponenten abgeändert.
  • In der Tat wird die Bank durch Ersatz des ersten Paares durch das letzte erhaltene Paar aktualisiert.
  • Damit weist die Bank zum Zeitpunkt t die folgende Form auf:
    ((k0, gko modp), (k1, gkl modp) ..., (kt, gkt modp))
    dann wird kt+1 berechnet, und die Bank wird aktualisiert, die zu Folgendem wird:
    ((k1, gkimodp), (k2, gk2modp), ..., kt, gktmodp) (kt+1, gkt+1modp).
  • Das Verfahren wird bei jeder Berechnung eines neuen k in der pseudo-zufälligen Sequenz wiederholt.
  • Jeder Exponent der Bank ist eine für die folgende Relation ausgedrückte lineare Kombination:
    Figure 00110001
    wobei h-1 = n ist
    in der die Koeffizienten ai zufällige positive ganze Zahlen sind.
  • Die zufälligen Zahlen werden ausgehend von einer festen Sequenz a0, ... ah-1 erhalten, auf der eine zufällige Permutation durchgeführt wird.
  • Damit kann die Erzeugung eines Exponenten kt+1 durch die folgende Relation ausgedrückt werden: kt+1 = lt[k(t+i – (h-1), ... kt]wobei lt eine lineare Funktionale (linear functional) mit ganzen, aus L Funktionalen ausgewählten Koeffizienten ist.
  • Die Koeffizienten ai sind kleine Potenzen von 2. Es werden zwischen 1 und 2f gewählte Werte ausgewählt, wobei f eine Größe hat, die eine effiziente Implementierung erlaubt. Zum Beispiel wird f = 7 gewählt, um mit den vom Algorithmus Schnorr vorgeschlagenen Werten kohärent zu bleiben. Es wird damit die Folge von 0, ... ah-1 als eine zufällige Permutation der Sequenz (1, 2, ... 27) aufgenommen.
  • Die Koeffizienten der linearen Kombinationen müssen unter einem Schwellenwert b liegen, um Angriffe zu verhindern, und die kt gleichmäßig verteilt und (h-1)-unabhängig behalten.
  • Unter Berücksichtigung von h und L = bh werden die Werte h = 8 und b = 4 suggeriert, und L = {1, ..., b)h wird festgelegt.
  • Die Größe der Zahlen k beträgt im Allgemeinen 160 Bits. In diesem Fall ist die Anzahl von gemäß dem erfindungsgemäßen Verfahren intervenierenden modularen Multipaktionen deutlich niedriger als die Anzahl von im Allgemeinen im aktuellen Stand der Technik festgestellten Multiplikationen. In der Tat ist sie für die gewählten Werte niedriger als 30.

Claims (7)

  1. Kryptographie-Verfahren mit öffentlichem Schlüssel, basierend auf dem diskreten Logarithmus, in dessen Verlauf eine Berechung einer Größe r = gkmodp realisiert wird, in der p eine Modul genannte Primzahl ist, k eine zufällige Zahl ist und g eine Bank genannte ganze Zahl ist, wobei das Verfahren die folgenden Schritte umfasst, die aus Folgendem bestehen: – eine m zufällige Daten x0, ..., xm-1 und m entsprechende Potenzen z0, ..., zm-1 wie zum Beispiel für jedes i, zi = gxi mod p, enthaltende Datenbank bilden, – den zufälligen Exponenten k durch Realisierung der folgenden Unterschritte erzeugen: – m Werte ao, ..., am-1 erzeugen, von denen nur w zufällig aus den m Werten ausgewählte Werte ungleich Null sind, k durch Durchführen einer zufälligen linearen Kombination der zufälligen Daten der Datenbank gemäß der Relation
    Figure 00140001
    berechnen, – und gk mod p durch eine Kombination der den in die Kombination eintretenden zufälligen Werten xi entsprechenden Potenzen berechnen.
  2. Kryptographieverfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass der Bildungsschritt der Datenbank den folgenden Unterschritten entspricht: – m zufällige Werte xi von N Bits ausgehend von einem pseudo-zufälligen Generator und einem geheimen anfänglichen Wert x0 erzeugen, – die Größe zi = gximodp durch Realisierung des Produkts der in die lineare Kombination eintretenden Potenzen von g modulo p berechnen, nach der ein Wert xi aufgelöst werden kann, – die Einheit der m Paare (xi, zi) im nicht flüchtigen Speicher speichern.
  3. Kryptographieverfahren mit öffentlichem Schlüssel gemäß Anspruch 1, dadurch gekennzeichnet, dass die Schritte aus Folgendem bestehen: – eine n zufällige Exponentenwerte und ihre Potenz (ki, gkimodp) enthaltende evolutive Datenbank bilden, – einen neuen, für eine Unterschrift notwendigen Exponenten ki+1 durch Vornehmen einer zufälligen linearen Kombination von n Werten ki der Bank erzeugen, – die Größe gki+1modp durch Realisierung des Produkts der in die lineare Kombination eintretenden Potenzen von g berechnen, – die Bank durch Ersatz eines Paars durch dieses neue Paar aktualisieren, – diese Größe in dem Zeichenaustausch mit einer anderen Einheit einsetzen.
  4. Kryptographieverfahren gemäß Anspruch 3, dadurch gekennzeichnet, dass dieser Exponent bei einem Exponenten kt der Bank eine lineare Kombination der Form
    Figure 00150001
    wobei h-1 = n ist ist und in der die Koeffizienten a1 zufällige positive ganze Zahlen sind.
  5. Kryptogrphieverfahren gemäß Anspruch 3, dadurch gekennzeichnet, dass die Koeffizienten a1, i=0 bis h-1 durch eine zufällige Permutation einer festen Sequenz erhalten werden.
  6. Kryptographieverfahren gemäß Anspruch 5, dadurch gekennzeichnet, dass ein neuer Exponent kt+1 eine lineare Kombination der anderen sich durch die Relation: kt+1 = It(kt+1-(h-1), ..., kt)ausdrückenden Exponenten ist und It eine lineare Funktionale ist.
  7. Kryptographieverfahren gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass es für Mikroprozessorkarten umgesetzt werden kann.
DE69636772T 1995-10-03 1996-10-03 Auf dem diskreten logarithmus basierendes verschlüsselungsverfahren mit öffentlichem schlüssel Expired - Lifetime DE69636772T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9511622 1995-10-03
FR9511622A FR2739469B1 (fr) 1995-10-03 1995-10-03 Procede de cryptographie a cle publique base sur le logarithme discret
PCT/FR1996/001546 WO1997013342A1 (fr) 1995-10-03 1996-10-03 Procede de cryptographie a cle publique base sur le logarithme discret

Publications (2)

Publication Number Publication Date
DE69636772D1 DE69636772D1 (de) 2007-02-01
DE69636772T2 true DE69636772T2 (de) 2007-07-12

Family

ID=9483191

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69636772T Expired - Lifetime DE69636772T2 (de) 1995-10-03 1996-10-03 Auf dem diskreten logarithmus basierendes verschlüsselungsverfahren mit öffentlichem schlüssel

Country Status (7)

Country Link
US (1) US5946397A (de)
EP (1) EP0795241B1 (de)
JP (1) JPH10500502A (de)
DE (1) DE69636772T2 (de)
ES (1) ES2279525T3 (de)
FR (1) FR2739469B1 (de)
WO (1) WO1997013342A1 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7587044B2 (en) 1998-01-02 2009-09-08 Cryptography Research, Inc. Differential power analysis method and apparatus
US6240512B1 (en) * 1998-04-30 2001-05-29 International Business Machines Corporation Single sign-on (SSO) mechanism having master key synchronization
DE19820605A1 (de) * 1998-05-08 1999-11-11 Giesecke & Devrient Gmbh Verfahren zur sicheren Verteilung von Software
CA2333095C (en) 1998-06-03 2005-05-10 Cryptography Research, Inc. Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems
JP4216475B2 (ja) 1998-07-02 2009-01-28 クリプターグラフィー リサーチ インコーポレイテッド 漏洩抵抗力を有する暗号索引付き鍵の更新方法及びデバイス
US6332193B1 (en) * 1999-01-18 2001-12-18 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
FR2793571B1 (fr) * 1999-05-11 2003-10-31 Gemplus Card Int Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete et dynamique
FR2842052B1 (fr) * 2002-07-05 2004-09-24 France Telecom Procede et dispositifs cryptographiques permettant d'alleger les calculs au cours de transactions
US7194628B1 (en) 2002-10-28 2007-03-20 Mobile-Mind, Inc. Methods and systems for group authentication using the naccache-stern cryptosystem in accordance with a prescribed rule
CN100431294C (zh) * 2002-11-05 2008-11-05 管海明 基于亚群上离散对数问题的密钥分配及加解密协议的方法
US20030177051A1 (en) * 2003-03-13 2003-09-18 Robin Driscoll Method and system for managing worker resources
US8265265B2 (en) * 2005-08-19 2012-09-11 Nxp B.V. Circuit arrangement and method for RSA key generation
US8682795B2 (en) * 2005-09-16 2014-03-25 Oracle International Corporation Trusted information exchange based on trust agreements
US8230487B2 (en) 2005-12-21 2012-07-24 International Business Machines Corporation Method and system for controlling access to a secondary system
US10341098B2 (en) * 2017-01-24 2019-07-02 Nxp B.V. Method of generating cryptographic key pairs

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2606419B2 (ja) * 1989-08-07 1997-05-07 松下電器産業株式会社 暗号通信システムと暗号通信方法
US5297206A (en) * 1992-03-19 1994-03-22 Orton Glenn A Cryptographic method for communication and electronic signatures
US5313521A (en) * 1992-04-15 1994-05-17 Fujitsu Limited Key distribution protocol for file transfer in the local area network
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
US5604805A (en) * 1994-02-28 1997-02-18 Brands; Stefanus A. Privacy-protected transfer of electronic information
US5724425A (en) * 1994-06-10 1998-03-03 Sun Microsystems, Inc. Method and apparatus for enhancing software security and distributing software

Also Published As

Publication number Publication date
EP0795241B1 (de) 2006-12-20
US5946397A (en) 1999-08-31
FR2739469B1 (fr) 1997-12-26
JPH10500502A (ja) 1998-01-13
DE69636772D1 (de) 2007-02-01
WO1997013342A1 (fr) 1997-04-10
ES2279525T3 (es) 2007-08-16
FR2739469A1 (fr) 1997-04-04
EP0795241A1 (de) 1997-09-17

Similar Documents

Publication Publication Date Title
DE69636772T2 (de) Auf dem diskreten logarithmus basierendes verschlüsselungsverfahren mit öffentlichem schlüssel
DE3685987T2 (de) Verfahren zum vermindern der fuer eine rsa-verschluesselung benoetigten veraenderlichen speicherkapazitaet.
DE68919923T2 (de) Verfahren und Vorrichtung zur Authentifizierung.
DE19804054B4 (de) System zur Verifizierung von Datenkarten
EP0384475B1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
DE69327238T2 (de) Verfahren zur digitalen Unterschrift und Verfahren zur Schlüsselübereinkunft
DE69331183T2 (de) Verfahren und Vorrichtung zur Authentifizierung unter Verwendung eines Null-Kenntnis-Protokolls
DE2843583C2 (de) Verfahren für den zugriffsicheren Nachrichtenverkehr über einen ungesicherten Nachrichtenübertragungskanal
DE69006241T2 (de) Verfahren und Apparat für Benützeridentifikation, beruhend auf permutierten Kernen.
DE3782780T2 (de) Schluesselverteilungsverfahren.
DE68911935T2 (de) Varianten des Fiat-Shamir-Verfahrens zum Identifizieren und Unterschreiben.
DE69636815T2 (de) Verfahren zur sitzungsschlüsselerzeugung mit impliziten unterschriften
DE69534603T2 (de) Verschlüsselungssystem für elliptische kurve
DE69903854T2 (de) Verfahren zur beschleunigung kryptographischer operationen auf elliptischen kurven
DE69224238T2 (de) Geheimübertragungsverfahren zur Identitätsverifizierung
DE69031614T2 (de) Wahlweise moderierte Transaktionssysteme
DE69930334T2 (de) IC-Karte ausgerüstet mit einer Verarbeitungsanlage für Elliptische-Kurven-Verschlüsselung
EP0472714B1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
DE69826963T2 (de) Gerät für die modulare Inversion zur Sicherung von Information
CH694603A5 (de) Identifizierungsverfahren.
DE68904989T2 (de) Einrichtung zur abgesicherten datenkommunikation.
DE60311507T2 (de) Verfahren zur elliptische-kurven-verschlüsselung
DE69837036T2 (de) Verfahren und vorrichtung zur ausführung einer entschlüsselung mittels einer standardisierten modularen potenzierung zum vereiteln eines zeitangriffs
DE69218961T2 (de) Verfahren, sende- und empfangseinrichtung zum modulobetrieb
EP1346509B1 (de) Verfahren und Vorrichtung zum Ermitteln eines Schlüsselpaars und zum Erzeugen von RSA-Sclüsseln

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 795241

Country of ref document: EP

Representative=s name: HOFFMANN - EITLE, 81925 MUENCHEN, DE