DE69821091T2 - Kryptographische vorrichtung mit verschlüsselungs und entschlüsselungssystem und schlüsselhinterlegungssystem - Google Patents

Kryptographische vorrichtung mit verschlüsselungs und entschlüsselungssystem und schlüsselhinterlegungssystem Download PDF

Info

Publication number
DE69821091T2
DE69821091T2 DE69821091T DE69821091T DE69821091T2 DE 69821091 T2 DE69821091 T2 DE 69821091T2 DE 69821091 T DE69821091 T DE 69821091T DE 69821091 T DE69821091 T DE 69821091T DE 69821091 T2 DE69821091 T2 DE 69821091T2
Authority
DE
Germany
Prior art keywords
decryption
key
encryption
mod
bits
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69821091T
Other languages
English (en)
Other versions
DE69821091D1 (de
Inventor
David Naccache
Françoise LEVY-DIT-VEHEL
Jacques Stern
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus SCA
Gemplus Card International SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus SCA, Gemplus Card International SA filed Critical Gemplus SCA
Publication of DE69821091D1 publication Critical patent/DE69821091D1/de
Application granted granted Critical
Publication of DE69821091T2 publication Critical patent/DE69821091T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

  • Die vorliegende Erfindung betrifft ein kryptographisches System mit einem Verschlüsselungs- und Entschlüsselungssystem und einem Schlüsselsequestersystem und die dazugehörigen Geräte und Vorrichtungen.
  • Sie ist insbesondere zur Umsetzung in elektronischen Systemen des Typs Chipkarte, PCMCIA-Karte, Ansteckmarken, Karten ohne Kontakt oder jedem anderen tragbaren Gerät bestimmt.
  • Die meisten heutigen kryptographischen Systeme mit öffentlichem Schlüssel (auch als asymmetrische Kryptographie bezeichnet) setzen den 1978 von R. Rivest, A. Shamir und L. Adleman veröffentlichten und dann unter dem Titel „Cryptographic Communications System and Method" veröffentlichten und unter der Referenz US 4,405,829 patentierten Chiffrierungsalgorithmus RSA um.
  • Abgesehen vom System RSA gibt es sehr wenige praktische Verschlüsselungsverfahren und -systeme mit öffentlichem Schlüssel. Dennoch gibt es ein anderes, weniger bekanntes und relativ wenig eingesetztes System: Es handelt sich um das System El-Gamal, bekannt unter dem Titel „A public-key cryptosystem and a signature scheme based on discrete logarithms" und veröffentlicht in der Revue IEEE Transactions on Information Theory, Band IT-31, Nr. 4, 1985, S. 469–472.
  • Ein RSA- oder El Gamal-Kryptogramm ist effektiv eine in einem Computer durch binäre oder hexadezimale Zahlenketten dargestellte große Zahl. Das Kryptogramm wird mithilfe einer Software-(Programm)-Berechnungsressource und/oder materiellen (elektronischer Schaltkreis) Ressource berechnet, die eine Reihe von Berechnungsregeln (Verschlüsselungsalgorithmus) umsetzt, die bei der Verbreitung eines allen zugänglichen Parametersatzes angewendet werden müssen, um den Inhalt der verarbeiteten Daten zu verstecken. Analog wird das Kryptogramm mithilfe einer Software- oder materiellen Berechnungsressource entschlüsselt, die eine Serie von (durch den Empfänger des Kryptogramms) auf einen geheimen und öffentlichen Parametersatz und das Kryptogramm angewendete Berechnungsregeln (den Entschlüsselungsalgorithmus) umsetzt.
  • Das Verschlüsselungssystem oder -verfahren setzt einen öffentlichen Schlüssel ein, um das Kryptogramm zu produzieren. Das Verschlüsselungssystem setzt einen privaten Schlüssel, der dem geheimen Schlüssel entspricht, ohne jedoch mit ihm identisch zu sein. Ein Nutzer eines tragbaren elektronischen Geräts, zum Beispiel einer Chipkarte, besitzt ein Schlüsselpaar (als öffentlicher Schlüssel und geheimer Schlüssel bezeichnet). Es wird davon ausgegangen, dass die öffentlichen Schlüssel allen Nutzern bekannt sind, während die geheimen Schlüssel niemals offen gelegt werden. Jeder hat die Möglichkeit, eine Meldung für einen Nutzer unter Einsatz des öffentlichen Schlüssels desselben zu verschlüsseln, doch die Kryptogramme können nur durch Einsatz des geheimen Schlüssels des Nutzers entschlüsselt werden.
  • Zu Darstellungszwecken wird nachstehend die Funktionsweise des wohlbekannten Algorithmus RSA beschrieben.
  • Die Parameter des Algorithmus RSA sind:
    • (1) Zwei geheime Primzahlen p und q der Größe von mindestens gleich 256 Bits. Diese Primzahlen werden auf besondere Weise erzeugt, deren Einzelheiten für das Verständnis der vorliegenden Erfindung nicht unerlässlich sind, jedoch im Werk „Cryptographie Appliquee, Algorithmes, Protocoles et Codes Sources" von Bruce Schneider (Übersetzung von Marc Vauclair), Verlag Thomson Publishing, nachgeschlagen werden können.
    • (2) Ein öffentliches Modul n = pq.
    • (3) Ein mit {e, d} bezeichnetes Paar Exponenten, wobei e ein öffentlicher Exponent ist und d ein geheimer Exponent, wie zum Beispiel:
    Ed = 1 mod(p – 1)(q – 1)
  • Der als „Veschlüsselungsexponent" bezeichnete Exponent e ist allen zugänglich, während der „Verschlüsselungsexponent" d geheim bleiben muss.
  • Zum Verschlüsseln der Meldung m berechnet der Absender das Kryptogramm c = me mod, wobei n und der Empfänger oder das Überprüfungsorgan c durch Berechnung von m = c4 mod n entschlüsselt.
  • Die Funktionsweise des Algorithmus von El-Gamal ist ihrerseits etwas komplexer und ist für das Verständnis der vorliegenden Erfindung von keinem besonderen Interesse.
  • Das folgende Dokument: „HARN L.: „Public-key cryptosystem design based on factoring and discrete logarithms" IEE Proceedings-Computers and Digital Techniques, Mai 1994, GB Band 141, Nr. 3, ISSN 1350-2387, STEVENAGE (GB), Seite 193–195, betrifft ein auf zwei bekannten Hypothesen basierendes kryptographisches System, welche die Zerlegung in Faktoren und die diskreten Logarithmen sind. Es ist praktisch unmöglich, ein derartiges System aufzubrechen, da dies die Lösung des Problems des diskreten Logarithmus Diffie-Hellman in einer Untergruppe von Z*p erfordert, in der p 0 2p' × q ist und p' und q' zwei große Primzahlen sind, und anschließend die Zerlegung in Faktoren (p – 1)/2 mit zwei großen Primzahlen. In diesem Dokument ist es möglich, für diese beiden Hypothesen dieselbe Größe der Sicherheitsparameter zu wählen und die Wirksamkeit der Implementierung aufrecht zu erhalten.
  • Die vorliegende Erfindung betrifft ein kryptographisches System mit einem Verschlüsselungs-Entschlüsselungs-System mit alternativem öffentlichen Schlüssel, der eine Alternative zur Methode RSA und der Methode von El-Gamal aufweist, und ein Schlüsselsequestersystem (im Englischen allgemein als „key escrow" bezeichnet).
  • Erfindungsgemäß ist vorgesehen, dass das die Prinzipien des so genannten diskreten Logarithmus und der Zerlegung in Faktoren zuordnende kryptographische System unter anderem öffentliche Schlüssel und einen geheimen Schlüssel umfasst und dadurch gekennzeichnet ist, dass die genannten öffentlichen Schlüssel wenigstens Folgendes umfassen:
    • a. ein Modul RSA n in einer Größe von über 640 Bits mit folgender Eigenschaft: n = (ApA + 1) × (BPB + 1) in der: PA und Pa Primzahlen in einer Größe von über 320 Bits sind (ApA + 1) ein mit p bezeichneter erster RSA ist (BpB + 1) ein mit q bezeichneter erster RSA ist, wobei A das Produkt aus k/2 (wobei k eine ganze, zwischen 10 und 20 inbegriffene gerade Zahl ist), Primzahlen (mit p[i] bezeichnet, i = 1 bis k/2) von relativ kleiner Größe (zwischen 2 und 16), ist und B das Produkt aus k/2, Primzahlen (ebenfalls mit p[i] bezeichnet, i = k/2 + 1 bis k) ist; Wobei p[i] von relativ geringer Größe sind (zwischen 2 und 16 Bits) und ebenfalls gegenseitig Primzahlen sein können;
    • b. eine Exponentierungsbasis g in der Größenordung von Φ(n)/4 (wobei Φ(n) die Anzeigefunktion nach Euler bezeichnet), wobei g daher kein p[i] modulo n Exponent irgendeiner Zahl sein darf.
  • Die Erfindung bezieht sich insbesondere auf ein kryptographisches System mit wenigstens einem Verschlüsselungs-Entschlüsselungssystem, dadurch gekennzeichnet, dass die Verschlüsselung einer Meldung m, wobei m < AB aus folgender Operation besteht: C = gmmodn
  • Wobei c das Kryptogramm (verschlüsselte Meldung) bezeichnet.
  • Das erfindungsgemäße kryptographische System wird bevorzugt dadurch gekennzeichnet, dass die Integrität von m durch die Verschlüsselung von m|m(m) gewährleistet werden kann (wobei h eine Zerhackerfunktion bezeichnet und | l die Verkettung), oder durch die Verschlüsselung von DES(Schlüssel, m), wobei der „Schlüssel" ein allen zugänglicher Schlüssel ist.
  • Gegenstand der vorliegenden Erfindung ist ebenfalls die Beschreibung eines Sequestersystems. Erfindungsgemäß ist der geheime Schlüssel des Entschlüsselungssystems oder des Sequesterzentrums die Zahl Φ(n), und die Entschlüsselungsoperation oder Abdeckung der Identität eines Nutzers besteht in den folgenden Stufen:
    • a. Berechnung bei i, inbegriffen zwischen 1 bis k: y[i] = cΦ(n)/p[i]modn;
    • b. bei i, inbegriffen von 1 bis k bei j inbegriffen von 1 bis p[i] Vergleichen von y[i] mit den Werten gjΦ(n)/p[i] mod n unabhängig von m; wenn gjΦ(n)/p[i]modn = y[i], dann Zuordnung von μ[i] = j.
    • c. Wiederzusammensetzen der Meldung m ausgehend vom Lehrsatz der chinesischen Reste TRC und den Werten μ[i]
  • Gemäß einer Ausführungsvariante beschleunigt das genannte Entschlüsselungssystem die Berechnung der Mengen y[i] durch Berechnen von:
    • a) z = crmodn, wobei r = PAPB ist.
    • b) bei i inbegriffen ist 1 bis k: y[i] = zAB/p[i] mod n,

    so dass der Größenunterschied zwischen AB/p[i] und ⧠(n)/p[i] ausgenutzt wird, um die Berechnungen zu beschleunigen.
  • Gemäß einer anderen Ausführungsvariante der Erfindung, berechnet das Entschlüsselungssystem die Wertetabelle gjΦ(n)/p[i]modn mit 1 ≤ i ≤ k und 1 ≤ j ≤ p[i] ein für allemal voraus und speichert sie
    Oder
    Ganz besonders eine Abkürzung oder ein Zerhacken dieser (mit h bezeichneter) Werte mit folgender Eigenschaft: h (gjΦ(n)/p[i]modn) ≠ h (gjΦ(n)/p[i] mod n) wenn j ≠ j' ist.
  • Somit wird einerseits die Neuberechnung für jedes i der Mengen gjΦ(n)/p[i] mod n vermieden, und andererseits die Speicherung der Werte zu großer Größen.
  • Gemäß eines anderen bevorzugten Modus der Erfindung beschleunigt das Entschlüsselungssystem seine Berechnungen durch separates Entschlüsseln der Meldung modulo p, dann modulo q, und durch Zusammensetzen der Ergebnisse modulo mithilfe des Lehrsatzes der chinesischen Reste, um m zu erhalten.
  • Das Sequestersystem wird durch die folgenden Funktionsstufen realisiert:
    • a. Die Sequesterautorität verschlüsselt die Identität des Nutzers ID = Σ2i–1 ID[i], wobei ID[i] die Bits der Identität des genannten Nutzers des Systems sind (wobei die Summe so gewählt wird, dass i zwischen 1 bis k inbegriffen ist) durch Berechnung von e(ID) = Πp[i]ID[i] (wobei das Produkt so gewählt wird, dass i zwischen 1 bis k inbegriffen ist)
    • b. Sie liefert dem Nutzer einen Schlüssel (das heißt, eine Exponentierungsbasis) El-Gamal c = ge(ID)u mod n, in der u eine große zufällige Primzahl oder eine Primzahl mit Φ(n) ist;
    • c. Sie ermöglicht dem Nutzer somit die Ableitung seines öffentlichen Schlüssels El-Gamal von c durch Auswahl einer Unsicherheit x und durch Potenzieren von c mit der Potenz x modulo n.
    • d. Um die Spur des Nutzers wieder zu finden, extrahiert die Autorität aus dem Kryptogramm El-Gamal des Verschlüsselungssystems das genannte, immer zwei Teile enthaltende Kryptogramm, nämlich den Teil: v = crmodnwobei r die vom Verschlüsselungssystem gewählte Verschlüsselungsunsicherheit ist.
    • e. In Kenntnis von Φ(n) findet die genannte Autorität die Bits ID[i] durch den folgenden Algorithmus wieder:
    • (1) Berechnen mit i inbegriffen zwischen 1 bis k: y[i] = yΦ(n)(p[i]modn
    • (2) Wenn y[i] = 1, dann μ[i] = 1, andernfalls μ[i] = 0.
    • (3) Berechnen ID' = Σ2i–1 μ[i]
    • (4) Ergebnis: ID = CCE(ID')
  • Wobei CCE einen (optionalen) Fehlerkorrekturmechanismus (vom der im Werk „Codes Correcteurs, Theorie et Pratique" von A. Poli und L. Huguet, Verlag Masson beschriebenen Typ) bezeichnet, der zur Korrektur der im Falle einer unlauteren Nutzung eines Komposit-r eingeführten Störungen bestimmt ist.
  • Ein anderes vorgeschlagenes Sequestersystem basiert auf dem als Diffie-Helman bezeichneten Schlüssel austauschmechanismus, bei dem eine durch Potenzieren von g mit einer zufälligen Potenz a modulo n durch eine der Parteien erhaltene Zahl c durch die genannte Sequesterautorität abgefangen wird: C = ga modn
  • Wobei die genannte Sequesterautorität a auf folgende Weise wieder findet:
    • a. In Kenntnis der Zerlegung von n in Faktoren findet die genannte Autorität mithilfe des Entschlüsselungsalgorithmus den Wert wieder: α = amodABdas heißt a = α + βAB
    • b. Die genannte Autorität berechnet; λ = c/gmodn = gβ ABmodn
    • c. Durch Hinzuziehung eines Krypto-Analyse-Algorithmus (Berechnungsalgorithmus diskreter Logarithmen, die eventuell zweimal (modulo p und modulo q) ausgeführt werden, um ihre Leistungen zu beschleunigen) berechnet die Autorität den diskreten Logarithmus β. λ = (gAB)βmodn
    • d. Die genannte Autorität erhält a = αt + βABund entschlüsselt die auf dem Einsatz von a basierenden Kommunikationen.
  • Gemäß einer anderen Realisierung der Erfindung ist das Modul RSA n das Produkt von drei Faktoren: N = (ApA + 1) × (Bpa + 1) × (Cpc + 1)
  • Wobei: Pa, Pb, Pc Primzahlen der Größe von über 320 Bits sind,
    (ApA + 1), (Bpa + 1), (Cpc + 1) jeweils mit p, q, r bezeichnete Primzahlen RSA sind,
  • A, B und C jeder das Produkt von k/3 Primzahlen sind (bezeichnet mit p[i], i = 1 bis k), wobei die p[i] von relativ kleiner Größe sind (zwischen 2 und 16 Bits) und gegenseitig Primzahlen sein können und wobei k eine zwischen 10 und 120 inbegriffene ganze Zahl ist, so dass das Produkt ABC wenigstens 160 Bits hat.
  • Diese Realisation ist zur Beschleunigung der Leistung des Entschlüsselungssystems interessant. Zur Beschleunigung seiner Berechnungen führt das Entschlüsselungssystem die Operationen mod p mod q mod r aus. Wenn n 640 Bits hat, verkleinert das Zerlegungssystem in drei Faktoren die Größe der Faktoren.
  • Die vorliegende Erfindung ist dazu bestimmt, bevorzugt in Verschlüsselungs-, Entschlüsselungs- und Schlüsselsequestergeräten eingebaut zu werden, die zum Beispiel Computer, Chipkarten, PCMCIA-Karten, Ansteckmarken, Karten ohne Kontakt oder jedes andere tragbare Gerät sind.
  • Die vorliegende Erfindung bezieht sich ebenfalls auf eine Vorrichtung mit einem krytographischen System, dadurch gekennzeichnet, dass es ein Verschlüsselungsund/oder Entschlüsselungs- und/oder ein Schlüsselsequestersystem umfasst, die untereinander durch einen Austausch von elektronischen Signalen oder durch einen Funkwellenaustausch oder Infrarotsignale kommunizieren.
  • Zum besseren Verständnis der Erfindung sind folgende Anmerkungen notwendig.
  • Das erfindungsgemäße Verschlüsselungsverfahren setzt sich aus drei unterschiedlichen Phasen zusammen:
    Die Erzeugung der Schlüssel
    Die Erzeugung des Kryptogramms
    Und die Entschlüsselung des Kryptogramms
  • Im Folgenden werden wir die nachfolgenden (typographischen) Konventionen benutzen:
    Φ(n) wird die Anzeigefunktion von Eider bezeichnen
    Φ(n) wird wie folgt definiert:
    Wenn n = n1 × n2 × n3 × ... × nk–1 .. × nk
    Wobei n = n1 × n2 × n3 × ... × nk–1 .. × nk Primzahlen sind, dann Φ(n) – (n1 – 1) × (n2 – 1 ) × (n3 – 1) × ... × (nk–1 – 1) × (nk – 1)
  • Zunächst ist es für ein richtiges Verständnis der Erfindung notwendig, die Erzeugung der Schlüssel zu beschreiben.
  • Zu Erzeugung der Schlüssel wählt der Empfänger der Kryptogramme zufällig zwei Gruppen GA und GB von ungefähr k/2 kleinen unterschiedlichen Primzahlen p[i] aus (wobei k ein Systemparameter der Größenordnung von 10 bis 120 ist) und bildet die beiden folgenden Zahlen (in ungefähr der gleichen Größe):
    A = das Produkt der zum Satz GA gehörenden p[i]
    B = das Produkt der zum Satz GB gehörenden p[i]
  • Aus Sicherheitsgründen erscheint es angebracht, GA und GB aufzuoktroyieren, wie zum Beispiel:
    • 1. GA ∩ GB die Menge null ist
    • 2. Bestimmte p[i] erscheinen nicht in GA ∪ GB.
  • Das erfindungsgemäße Verfahren erweist sich als sicher (selbst wenn die Beschreibung ein wenig komplexer ist), selbst wenn die Bedingung 2 nicht erfüllt ist. Das Verfahren bleibt ebenfalls sicher, wenn die Bedingung 1 nicht erfüllt ist, doch die Schlüsselerzeugungs- und Entschlüsselungsalgorithmen müssen entsprechend abgeändert werden und werden sehr viel komplexer. Daher können die p[i] Nicht-Primzahlen sein, und dabei gleichzeitig untereinander Primzahlen sein (zum Beispiel ganze Potenzen von Primzahlen von zwei oder drei Bytes).
  • Zwecks Vereinfachung der Darstellung wird die i. ungerade Primzahl mit p[i] bezeichnet; zum Beispiel: p[1] = 3, p[2] = 5, p[3] = 7, usw.
  • Im Folgenden wird angenommen, dass A einfach aus dem Produkt der p[i] bei i von 1 bis k/2 gebildet wird und B aus dem Produkt der p[i] bei i von k/2 + 1 bis k. Diese Wahl ist jedoch nicht die bestmögliche, und sie muss ausschließlich als eine Bezeichnungskonvention interpretiert werden.
  • Anschließend erzeugt der Empfänger der Kryptogramme zwei große, mit PA und PB bezeichnete Primzahlen (typischerweise in der Größenordnung von 200 bis 512 Bits), so dass p = APA + 1 und q = Bpa + 1 RSA-Primzahlen sind (die RSA-Primzahlen sind derart, dass das Produkt nach der Multiplikation n = pq sehr schwer in Faktoren zu zerlegen sein muss).
  • Zur Gewährleistung der Sicherheit scheint es besser zu sein, den verschiedenen Parametern minimale Größen aufzuerlegen:
    • 1 – Das Produkt AB muss mindestens eine Zahl in der Größenordnung von 160 Bits sein;
    • 2 – Die Größe jeder Zahl PA, Pa muss die des Produkts AB um mindestens 160 Bits übersteigen;
    • 3 – Die Größe der Zahl n = p × q muss wenigstens 640 sein.
  • Das Erzeugungsverfahren derartiger Primzahlen gehört nicht in den Rahmen der vorliegenden Erfindung und erweist sich für den Fachmann als eindeutig.
  • Schließlich erzeugt und veröffentlicht der Empfänger der Meldung ein Element g der Größenordnung von Φ(n)/4.
  • Ein derartiges g muss zwingend die folgende Bedingung überprüfen:
    Für jedes i gibt es kein x, so dass g = xp[i] mod n ist.
  • G kann mithilfe einer der nachfolgenden Methoden berechnet werden:
  • * erste Berechnungsmethode von g (schnell):
  • Der Empfänger der Meldung erzeugt zwei ganze Zahlen:
    Gp in der Größenordnung von (p – 1)/2 modulo p
    Gq in der Größenordnung von (q – 1)/2 modulo q
  • Wie weiter oben ist die Erzeugung von gp praktisch äquivalent mit der Erstellung einer Zahl, die keine p[i]. Potenz für jedes i kleiner als k/2 ist, dasselbe gilt für gq mit den offensichtlichen Abänderungen:
    • 1. Fixieren x0 = 1 t1 = 1 ti = das Produkt der p[i] bei j inbegriffen zwischen 1 bis i – 1
    • 2. bei jedem i inbegriffen zwischen 1 bis k/2 Wählen eines zufälligen x Potenzieren von x mit der Potenz t1 Wenn x(p–1)/p[i] = 1 Ein anderes x versuchen Andernfalls Berechnen xi = x (xi–1)p][i]
    • 3. Fixieren von gp = xk/2
    • 4. Fixieren von x0 = 1 t1 = 1 ti = das Produkt der p[i] bei j inbegriffen zwischen 1 bis i – 1
    • 5. bei i inbegriffen von 1 bis k/2 Ein zufälliges x auswählen X mit der Potenz ti potenzieren Wenn x(q–1)/p[i] = 1 Ein anderes x versuchen Andernfalls Berechnen xi = x(xi–1)p][i]
    • 6. Fixieren von gp = xk/2
    • 7. g ausgehend von gp und gy durch Anwenden der Methode der chinesischen Reste (im Folgenden in der Beschreibung mit TRC bezeichnet) aufbauen, die im Werk „A course in number theory and cryptography" von Neal Koblitz, zweite Auflage, im Springer-Verlag beschrieben wird. Es kann erforderlich sein, die produzierte Zahl zum endgültigen Erhalt von g zum Quadrat zu erheben.
  • Es wird aufgezeigt (die Einzelheiten eines derartigen Nachweises sind für das Verständnis der vorliegenden Erfindung nicht notwendig), dass jede Stufe des Algorithmus ein Element bestimmt, das keine p[i]. Potenz bei j kleiner oder gleich i ist.
  • * zweite Berechnungsmethode von g (einfach)
  • Ein alternativer Ansatz besteht in der zufälligen Auswahl von g und dem Test, dass ein derartiges g keine p[i]. modulo n Potenz ist. Eine präzise Berechnung zeigt, dass (im Durchschnitt), ein derartiges g nach ln(k) zufälligen Abzügen gefunden wird (das heißt bei k = 120 ungefähr jedes fünfte Mal).
  • Zum richtigen Verständnis der Erfindung ist nunmehr die Beschreibung der Erzeugung des Kryptogramms notwendig.
  • Das Kryptogramm c einer Meldung, das kleiner ist als das Produkt AB, wird durch folgende Formel berechnet: C = gm mod n.
  • Die Beschreibung der Erfindung richtet sich nun an einer Beschreibung der Entschlüsselung des Kryptogramms aus.
  • Um m zu erhalten, führt das Entschlüsselungssystem die folgenden Operationen durch:
    • (1) Berechnung bei i inbegriffen von 1 bis k: y[i] = cΦ(n)/p[i] mod n Das heißt, m[i] = m mod p[i] und m' = (m – m[i]/p[i] Durch Austauschen ist leicht festzustellen, dass: Y[i] = cΦ(n)/p[i]modn = gmΦ(n)/p[i]modn = g(m[i] + m'p[i])Φ(n)/p[i]modn = g(m[i]Φ(n)/p[i])gm'Φ(n)modn = g(m[i]Φ(n)/p[i])modn
    • (2) bei i inbegriffen zwischen 1 bis k: Bei j inbegriffen zwischen 1 bis p[i]: Wenn gjΦ(n)/p[i])modn = y[i], mi = j zuordnen
    • (3) Erhalt von M = TRC (m1, m2, ... mk)
  • Der Entschlüsselungsalgorithmus kann auf verschiedene Weisen abgeändert werden:
  • Im typischen Fall ist es möglich, die Werte gjΦ(n)/p[i]) mod n für alle für die Abwicklung der Entschlüsselung notwendigen Werte der Variablen i und j vorauszuberechnen und damit zu rechnen. Daher kann eine derartige Tabelle abgekürzt oder zerhackt werden, solange die (mit h bezeichnete) Abkürzungs- oder Zerhackermethode gewährleistet, dass: h|gjΦ(n)/p[i] mod n⌋ ≠ h ⌊jΦ(n)/p[i] mod n⌋ wenn j ≠ j'
  • Mit einer derartigen Realisierung erweist es sich als möglich, die 20 Bytes großen Meldungen mit k = 30 zu entschlüsseln (Das Produkt AB beträgt dann 160 Bits, ein Modul n 80 Bytes und eine Tabelle 4 Kilo-Bytes).
  • Wie im Teil „Erzeugung von Schlüsseln" erwähnt, kann es günstiger sein, 16 Primzahlen mit 10 Bits auszuwähle, anstatt von 30 Primzahlen p[i] (dann hat k einen Wert von 16). Da 75 derartiger Primzahlen existieren, beträgt die mögliche Auswahl ungefähr 252,9. Es ist nicht notwendig, die ausgewählten Primzahlen zu veröffentlichen, obwohl dies keinerlei zusätzliche Sicherheit hinzufügt.
  • Es ist sogar möglich, Zahlen auszuwählen, die zueinander Primzahlen sind, zum Beispiel die Potenzen von Primzahlen, was die Auswahlpalette dieser Parameter noch vergrößert.
  • Eine zweite Realisierung erlaubt die Beschleunigung der Entschlüsselung durch Berechnung der Menge sofort beim Empfang des Kryptogramms: Z = c'mod, wobei r = pApB ist.
  • Dann können die Mengen y[i] leichter durch Einschlagen der folgenden Rechnungsabkürzung berechnet werden: Y[i] = zAB/p[i] mod n
  • Wobei somit der Größenunterschied zwischen AB/p[i] und Φ(n)/p[i] ausgenutzt wird, der die Exponentierung beschleunigt.
  • Eine dritte Realisierung erlaubt die Beschleunigung der Entschlüsselung durch getrenntes Entschlüsseln der Meldung modulo p, dann modulo q (da p und q die Hälfte der Größe von n aufweisen, ist die Entschlüsselung doppelt so schnell) und durch Zusammensetzen der Ergebnisse modulo Φ(n).
  • Diese alternative Entschlüsselungsmethode wird folgendermaßen beschrieben:
    • (1) Berechnen bei i inbegriffen zwischen 1 bis k/2 : y[i] = cΦ(p)/p[i] mod p Das heißt, m[i] = m mod p[i] und m' = (m – m[i]/p[i] Durch Austauschen, ist leicht festzustellen, dass: y[i] = cΦ(n)/p[i]modp = gmΦ(n)/p[i]modp g(m[i]+m'p[i])Φ(p)/p[i]modp = g(m[i]Φ(p)/p[i])gm'Φ(p)modp = gm[i]Φ(p)/p[i])modp
    • (2) bei i inbegriffen zwischen 1 bis k/2: Bei j inbegriffen zwischen 1 bis p[i]: Wenn gjΦ(p)/p[i] zuordnen.
    • (3) Erhalt von: MmodΦ(p) = TRC(μ[1]mod p[1], ... μ[k/2]mod p[k/2])
    • (4) Wiederholen der Stufen {(1), (2), (3)} mit q anstelle von p.
    • (5) Berechnen von m = TRC(mmodΦ(p), mmodΦ(q)
  • Es kann sich als notwendig erweisen, die Meldung m gegen Manipulationen durch Verschlüsseln, zum Beispiel durch die in der vorliegenden Erfindung vorgeschlagene Methode, von f (Schlüssel, m) zu schützen, bei der f eine symmetrische Verschlüsselungsfunktion ist (zum Beispiel der Algorithmus DES), deren Parameter „Schlüssel" allen zugänglich ist. Alternativ kann die Verschlüsselungsmethode überprüfen, dass die erhaltene Meldung m tatsächlich ihrer Verschlüsselung, nämlich c, entspricht. Eine andere Weise, um m zu schützen, kann die Verschlüsselung von m|hash(m) durch die vorgeschlagene Methode sein, (das heißt c = gm|hash(m) mode n) oder hash(m) ist ein Zerhacken der Meldung m und | stellt die Verkettung dar (in diesem Fall überprüft die Entschlüsselung die Integrität der erhaltenen Meldung durch die Berechnung ihrer Zerhackung).
  • Das oben beschriebene Verschlüsselungssystem kann in dem Falle, indem das Modul n nicht mehr aus zwei, sondern aus drei Faktoren besteht, ausgeschaltet werden. Dann erhält man: N = pqr
  • Wobei p = ApA + 1, q = BpB + 1, r = CpP + 1, PA, PB, PC sind drei große Primzahlen (von 200 bis 512 Bits), und A, B, C sind jeder das Produkt der kleinen, unterschiedlichen, ungeraden Primzahlen, die aus den Mengen GA, GB, GC stammen.
  • Die vorzunehmenden Abänderungen sind für den Fachmann ersichtlich.
  • Darüber hinaus erscheint es möglich, die Bedingung 2 des vorherigen beschreibenden Teils bei der Erzeugung der Schlüssel leicht zu lockern (hier heißt es: „bestimmte p(i) erscheinen nicht in GA ∪ GB ∪ GC"). Somit gewährleistet ein Parametersatz, bei dem n 640 Bits hat, das Produkt ABC 160 Bits hat und jedes der p[i] korrelativ 160 Bits, eine geeignete Sicherheit.
  • Der zweite Gegenstand der Erfindung ist die Beschreibung eines Schlüsselsequestersystems, das das von Y. Desemet in „Securing the traceability of ciphertexis – Towards a secure softeware key escrow system" (Proceeding o Eurocrpy'95, Lecture Notes in Computer Science 921) beschriebene und von den von L. Knudsen und T. Pedersen in dem Artikel „On the difficulty of software key escrow" (Proceedings of Eurocypt'96, Lecture Notes in Computer Science 1070) gemachten Anmerkungen vervollständigte Verfahren verbessert.
  • Zwecks bedeutender Verbesserung der von Y. Desmedt vorgeschlagenen Schlüsselsequesterfunktion betrachten wir eine Variante der Verschlüsselungsmethode:
    Angenommen ID, die Identität jedes Nutzers, wird binär verschlüsselt: ID = Σ2i+1ID[i]
  • Wobei ID[i] die Identitätsbits eines Nutzers des Schlüsselsequestersystems sind (wobei die Summe mit 1 inbegriffen zwischen 1 bis k gewählt wird) und angenommen e(ID) = Πp[i]ID[i] (wobei das Produkt mit 1 inbegriffen von 1 bis k gewählt wird).
  • Ergibt schließlich c = ge(ID)u mod n, wobei u eine große zufällige Primzahl ist,
    c wird dem Nutzer als Exponentierungsbasis für die Verschlüsselung El-Gamal gegeben. Der Nutzer leitet seinen öffentlichen Schlüssel El-Gamal durch Auswahl einer Unsicherheit x und durch Potenzierung von c mit der Potenz modulo n von c ab.
  • Zum Auffinden des Nutzers extrahiert das genannte Schlüsselsequesterzentrum aus dem Kryptogramm El-Gamal des Nutzers den Teil: V = crmodn
  • Wobei r die vom Nutzer gewählte Verschlüsselungs-Unsicherheit ist.
  • In Kenntnis von Φ(n), findet das genannte Zentrum die Bits ID[i] durch den folgenden Algorithmus wieder:
    • (1) Berechnen Po B+ ur, i inbegriffen zwischen 1 bis k: y[i] = yΦ(n)/p[i]modn
    • (2) bei i inbegriffen zwischen 1 und k: Bei j inbegriffen zwischen 1 und p[i]: Wenn y[i] = 1, μ[i] 1 zuordnen, sonst p[i] 0 zuordnen
    • (3) Berechnen ID' = Σ2i-j μ[i]
    • (4) Erhalt: ID = CCE(ID')
  • Wobei CCE einen Fehlerkorrekturmechanismus (vom der im Werk „Codes Correcteurs, Theorie et Pratique" von A. Poli und L. Huguet, Verlag Masson beschriebenen Typ) bezeichnet, der zur Korrektur der im Falle einer unlauteren Nutzung eines Komposit-r eingeführten Störungen bestimmt ist. Der Korrekturmechanismus kann weggelassen werden; da der Algorithmus die Verfolgung der Spur erlaubt, muss der Nutzer dem Fachmann bekannten Abänderungen unterzogen werden und mehrere cr mod n analoge, mehreren Ausführungen des Verschlüsselungsalgorithmus El Gamal entsprechende Mengen einsetzen.
  • Dritter Gegenstand der vorliegenden Erfindung ist die Vorstellung eines Schlüsselsequestersystems, das auf dem als Diffie-Helman bezeichneten Schlüsselaustauschmechanismus beruht, der unter der Referenz US 4,200,770 patentiert ist.
  • In einem derartigen System wird eine durch Potenzieren von g mit einer zufälligen Potenz a modulo n von einer der Parteien erhaltene Zahl c durch die Sequesterautorität abgefangen. C = gαmodn
  • Die genannte Sequesterautorität findet a auf folgende Weise wieder:
    • 1. In Kenntnis der Zerlegung von n in Faktoren findet die Autorität mithilfe des Entschlüsselungsalgorithmus den Wert: α = a mod ABDas heißt a = α + βAB.
    • 2. Die Autorität berechnet: λ = c/gαmodn = gβABmodn(da c = gamodn = gα + βABmodn = gαgβABmodn)
    • 3. Durch Hinzuziehung eines Krypto-Analyse-Algorithmus (Berechnungsalgorithmus diskreter Logarithmen, die eventuell zweimal (modulo p und modulo q) ausgeführt werden, um ihre Leistungen zu beschleunigen) berechnet die Autorität den diskreten Logarithmus β. λ = (gAB)mod n
    • 4. Die Autorität erhält a = α + βABund entschlüsselt die auf dem Einsatz von a basierenden Kommunikationen.
  • Die Realisierung der Erfindung wird bei der Lektüre der nachstehenden Beschreibung und Zeichnungen besser verstanden; in den beigefügten Zeichnungen:
    • – stellt 1 das Organigramm eines von der vorliegenden Erfindung vorgeschlagene System umsetzende Verschlüsselungssystems dar.
    • – stellt 2 das Organigramm eines das von der vorliegenden Erfindung vorgeschlagene System umsetzende Verschlüsselungssystems dar.
    • – stellt 3 die zwischen dem Verschlüsselungssystem und dem Entschlüsselungssystem während der gesicherten Übertragung einer Nachricht m übertragene Daten dar.
  • Gemäß der vorgeschlagenen Erfindung wird jedes Verschlüsselungsgerät (typischerweise ein Computer oder eine Chipkarte) aus einer Bearbeitungseinheit (CPU), einer Kommunikationsschnittstelle, einem Arbeitsspeicher (RAM) und/oder einem nicht beschreibbaren Speicher (ROM) und/oder einem beschreibbaren (allgemein wiederbeschreibbaren) Speicher (Festplatte, Diskette, EPROM oder EEPROM) gebildet.
  • Die CPU und/oder die ROM des Verschlüsselungsgeräts enthalten Berechnungs-Programme oder -Ressourcen, die den Erzeugungsregeln des Kryptogramms entsprechen (Multiplikation, Potenzierung und modulare Reduktion). Einige dieser Operationen können zusammengefasst werden (zum Beispiel kann die modulare Reduktion direkt in die Multiplikation integriert werden).
  • Ebenso wie der bei Implementierung des RSA, enthält die RANI typischerweise die Meldung m, auf die die Verschlüsselung und die Berechnungsregeln für die Erzeugung des Kryptogramms angewendet werden. Die Platten, das E(E)PROM enthalten wenigstens die wie in der nachfolgenden Beschreibung ausgeführt erzeugten und eingesetzten Parameter n und g.
  • Über den Adress- und Datenbus steuert die CPU die Kommunikationsschnittstelle, die Speicher-Lese- und -Schreiboperationen.
  • Jedes (mit dem Schlüsselsequestergerät identische) Entschlüsselungsgerät wird notwendigerweise durch Hardware- oder Software-Schutz von der Außenwelt geschützt. Dieser Schutz dürfte ausreichen, um zu verhindern, dass irgendeine nicht befugte Einheit den geheimen, aus geheimen Faktoren von n gebildeten Schlüssel erhält. Die gegenwärtig am häufigsten in diesem Bereich eingesetzten Techniken sind der Einbau eines Chips in das Sicherheitsmodul und die Ausrüstung der Chips mit zur Feststellung von Temperaturabweichungen, Abweichungen des Lichteinfalls sowie anormaler Spannungen und Zeituhrfrequenzen fähigen Vorrichtungen. Besondere Konzeptionstechniken, wie zum Beispiel die Versperrung des Speicherzugangs werden ebenfalls eingesetzt.
  • Gemäß der vorgeschlagenen Erfindung besteht das Entschlüsselungsgerät mindestens aus einer Bearbeitungseinheit (CPU) und aus Speicherressourcen (RAM, ROM, EEPROM oder Platten).
  • Über die Adress- und Datenbusse steuert die CPU die Kommunikationsschnittstelle sowie die Speicher-Lese- und -Schreiboperationen. Die RAM, EPPROM oder Platten enthalten den Parameter Φ(n) oder wenigstens den Faktor von Φ(n).
  • Die CPU und/oder die ROM de Entschlüsselungsgeräts enthalten Berechnungsprogramme oder -ressourcen, die die Implementierung der verschiedenen, zuvor beschriebenen Stufen des Entschlüsselungsverfahrens erlauben (Multiplikation, Exponentierung und modulare Reduktion). Einige dieser Operationen können zusammengefasst werden (zu m Beispiel kann die modulare Reduktion direkt in die Multiplikation integriert werden).
  • Im allgemeinen Rahmen der vorgeschlagenen Erfindung wird eine Verschlüsselung der Meldung m durch Austausch wenigstens der Angabe c zwischen der Karte, dem Unterschriftsgerät und dem Überprüfungsgerät realisiert.

Claims (13)

  1. Kryptographisches System mit wenigstens einem die Prinzipien des sogenannten diskreten Logarithmus und der Faktorisierung verbindenden Verschlüsselungs-Entschlüsselungs-System, mit darüber hinaus öffentlichen Schlüsseln und einem geheimen Schlüssel, dadurch gekennzeichnet, dass die genannten öffentlichen Schlüssel wenigstens Folgendes umfassen: a. ein Modul RSA n mit einer Größe von über 640 Bit mit folgender Eigenschaft: n = (APA + 1) × (BPa + 1)in der: PA und Pa Primzahlen mit einer Größe von über 320 Bit sind (APA + 1) eine erste, mit P bezeichnete RSA ist (BPa + 1) eine erste, mit q bezeichnete RSA ist, A das Produkt aus k/2 ist, wobei k eine zwischen 10 und 120 inbegriffene ganze gerade Zahl ist, mit p[i], i = 1 bis k/2 bezeichnete Primzahlen mit relativ kleiner Größe zwischen 2 und 16 Bit und B das Produkt von k/2, mit p[i], i = k/2 + 1 bis k bezeichnete Primzahlen ist Wobei die p[i] von relativ kleiner Größe zwischen 2 und 16 Bit sind und ebenfalls gegenseitig Primzahlen sein können; b. eine Exponentierungsbasis g in der Größenordnung von Φ(n), in der Φ(n) die Indikationsfunktion Euler bezeichnet, wobei g daher keine Potenz p[i] Modulo n irgendeiner Zahl sein darf.
  2. Kryptographisches System gemäß Anspruch 1, mit wenigstens einem Verschlüsselungs-Entschlüsselungs-System 1, dadurch gekennzeichnet, dass: die Verschlüsselung einer Meldung m, m < A, aus folgender Operation besteht: c = qm m nin der c das Kryptogramm (verschlüsselte Meldung) bezeichnet.
  3. Kryptographisches System gemäß Anspruch 2, mit einem Verschlüsselungs-Entschlüsselungs-System, dadurch gekennzeichnet, dass die Ganzzahligkeit von m durch die Verschlüsselung von m/h (m) gewährleistet werden kann, wobei h auf eine Zerlegungsfunktion und die Verkettung schließen lässt, oder durch die Verschlüsselung von DES (Schlüssel, m), wobei der genannte Schlüssel ein für alle zugänglicher Schlüssel ist.
  4. Kryptographisches System gemäß Anspruch 1 mit einem Verschlüsselungs-Entschlüsselungs-System und einem Schlüssel-Sequestersystem, dadurch gekennzeichnet, dass: Der genannte Geheimschlüssel der Entschlüsselung oder des Sequesterzentrums die Zahl Φ(n) ist und dass die Entschlüsselungsoperation oder der Abdeckung der Identität eines Anwenders aus den drei folgenden Stufen besteht: a. Berechnung für i von 1 bis k : y[i] = cΦ(n)/p[i] mod n; b. für i von 1 bis k für j von 1 bis p[i] Vergleichen von y [i] mit den Werten gjΦ(n)/p[i] mod n, unabhängig von m; wenn gjΦ(n)/p[i] mod n = y[i], dann wird μ[i] = j zugeordnet. c. Wiederherstellung der Nachricht m ausgehend vom Lehrsatz der chinesischen Reste TRC und der Werte μ[i].
  5. Kryptographisches System gemäß Anspruch 4 oder 5 mit einem Verschlüsselungs-Entschlüsselungs-System und einem Schlüssel-Sequestersystem, dadurch gekennzeichnet, dass die genannte Entschlüsselung die Berechnung der Mengen y[i] durch folgende Berechnung beschleunigt: a) z = c' mod n, wobei r = PAPB ist b) für i, das von 1 bis k : y[i] = zAB/p[i] mod n reicht; so dass der Größenunterschied zwischen AB/p[i] und Φ(n)/p[i] zur Beschleunigung der Berechnungen ausgenutzt wird.
  6. Kryptographisches System gemäß Anspruch 4 mit einem Verschlüsselungs-Entschlüsselungs-System und einem Schlüssel-Sequestersystem oder gemäß Anspruch 5, dadurch gekennzeichnet, dass die Entschlüsselung ein für alle Mal die Wertetabelle gjΦ(n)/p[i] mod n für 1 ≤ i ≤ k und 1 ≤ j ≤ p[i] vorausberechnet und speichert. oder ganz spezifisch ein Abkürzen oder ein Zerlegen dieser (mit h bezeichneter) Werte mit folgenden Eigenschaften: h(gjΦ(n)/p[i]modn) ≠ h(gjΦ(n)/p[i]modn), wenn j ≠ j' ist.
  7. Kryptographisches System gemäß Anspruch 4 bis 6 mit einem Entschlüsselungs-Verschlüsselungs-System und einem Schlüssel-Sequestersystem, dadurch gekennzeichnet, dass die Entschlüsselung ihre Berechnungen durch separates Entschlüsseln der Modulo-Meldung p, dann des Modulo q und durch Zusammenstellen der Ergebnisse Modulo mit Hilfe des Lehrsatzes der chinesischen Reste beschleunigt, um zu m zu gelangen.
  8. Kryptographisches System gemäß Anspruch 4 bis 7, dadurch gekennzeichnet, dass eine Autorität oder ein Schlüssel-Sequesterzentrum die folgenden Stufen realisiert: a. Sie kodiert die Identität des Anwenders ID = Σ2[+] ID[i], wobei ID[i] die Bits der Identität des genannten Anwenders des Systems sind (wobei die Summe gewählt wird, wobei i von 1 bis k reicht), durch Berechnung von e(ID) = Πp[i]ID[i] (wobei das Produkt gewählt wird, wobei 1 von 1 bis k reicht). b. Sie liefert dem Anwender einen Schlüssel (das heißt, eine Exponentierungsbasis) El-Gamal c = ge(ID)a mod n, in dem u eine zufällige große Primzahl oder eine Primzahl mit Φ(n) ist; c. Sie ermöglicht es dem Anwender somit, aus c seinen öffentlichen Schlüssel El-Gamal durch Auswahl eines Zufalls x und durch Potenzieren von c hoch x Modulo n abzuleiten. d. Um die Spur des Anwenders wiederzufinden, zieht die Autorität, wobei das genannte Kryptogramm immer noch zwei Teile enthält, aus dem Kryptogramm El-Gamal der Entschlüsselung den Teil: v = c' mod n, in dem r der Zufall der durch die Entschlüsselung gewählten Verschlüsselung ist. e. Da Φ(n) bekannt ist, findet die Autorität die Bits ID[i] durch den folgenden Algorithmus: (1) Berechnung für i, das von 1 bis k: y[i = vΦ(n)/p[i]modn reicht (2) Wenn y[i] = 1, dann ist ⧠[i] = 1, sonst ist μ[i] = 0 (3) Berechnung ID' = Σ2j–i μ[i](4) Wiedergewinnung: ID = CCE(ID') in der CCE einen Fehlerkorrekturmechanismus bezeichnet.
  9. Kryptographisches System gemäß Anspruch 4 bis 7 mit einem Schlüssel-Sequestersystem, dadurch gekennzeichnet, dass es auf dem als Diffie-Hellmann bezeichneten Schlüsselaustauschmechanismus beruht, in dem eine durch eine zufällige Potenzierung a Modulo n von g durch einen der Teile erhaltene Zahl c durch die genannte Sequesterautorität abgefangen wird. c – gamodn die genannte Sequesterautorität gewinnt a auf folgende Weise wieder: a. Da die Faktorierung von n bekannt ist, gewinnt die genannte Autorität mithilfe des Entschlüsselungsalgorithmus den Wert a = αmodABd. h. a = α + βAB; wieder.
  10. Die genannte Autorität berechnet: λ = c/gα mod n = gαABmodn. c. Durch Verwendung eines Kryptanalyse-Algorithmus berechnet die Autorität den diskreten Algorithmus β λ = (gAB)αmodnd. Die Autorität kommt auf a = α + βABund entschlüsselt die auf der Nutzung von a basierenden Kommunikationen.
  11. Kryptographisches System gemäß Anspruch 2 bis 9 mit einem Entschlüsselungs-Verschlüsselungs-System und einem Schlüssel-Sequestersystem, dadurch gekennzeichnet, dass das Modul RSA n das Produkt aus drei Faktoren ist: n = (APA + 1) × (BPa + 1) × (CPC + 1)in dem: PA, PB, PC Primzahlen mit einer Größe von über 320 Bit sind (APA + 1) , (BPa + 1), (CPC + 1) jeweils mit p, q, r bezeichnete Primzahlen RSA sind, A, B und C jeweils das Produkt aus (mit p[i], j = 1 bis k bezeichneten) Primzahlen k/3 sind, wobei die p[i] jeweils von einer relativ kleiner Größe (zwischen 2 und 16 Bit) sind und gegenseitig Primzahlen sein können und k eine zwischen 10 und 120 begriffene ganze Zahl ist, so dass das Produkt ABC wenigstens 160 Bit hat.
  12. Kryptographisches System gemäß Anspruch 1 bis 10 mit einem Verschlüsselungs-Entschlüsselungs-System oder Sequestersystem, dadurch gekennzeichnet, dass die Verschlüsselungs-, Entschlüsselungs- und Schlüssel-Sequestergeräte Computer, Chipkarten, PCMIA-Karten, Ansteckmarken, Karten ohne Kontakt oder jedes andere tragbare Gerät sind.
  13. Vorrichtung mit einem kryptographischen System gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass sie ein Verschlüsselungssystem und/ oder ein Entschlüsselungssystem und/oder eine Schlüssel-Sequestersystem umfasst, wobei die genannten Systeme untereinander durch einen Austausch elektronischer Signale oder über einen Austausch von Funkwellen oder Infrarotsignalen kommunizieren.
DE69821091T 1997-02-19 1998-02-17 Kryptographische vorrichtung mit verschlüsselungs und entschlüsselungssystem und schlüsselhinterlegungssystem Expired - Lifetime DE69821091T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9702244A FR2759806B1 (fr) 1997-02-19 1997-02-19 Systeme cryptographique comprenant un systeme de chiffrement et dechiffrement et un systeme de sequestre de cles, et les appareils et dispositifs associes
FR9702244 1997-02-19
PCT/FR1998/000304 WO1998037662A1 (fr) 1997-02-19 1998-02-17 Systeme cryptographique comprenant un systeme de chiffrement et de dechiffrement et un systeme de sequestre de cles, et les appareils et dispositifs associes

Publications (2)

Publication Number Publication Date
DE69821091D1 DE69821091D1 (de) 2004-02-19
DE69821091T2 true DE69821091T2 (de) 2004-09-02

Family

ID=9504156

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69821091T Expired - Lifetime DE69821091T2 (de) 1997-02-19 1998-02-17 Kryptographische vorrichtung mit verschlüsselungs und entschlüsselungssystem und schlüsselhinterlegungssystem

Country Status (8)

Country Link
EP (1) EP0962069B1 (de)
JP (1) JP2001503164A (de)
CN (1) CN1248366A (de)
CA (1) CA2280952A1 (de)
DE (1) DE69821091T2 (de)
ES (1) ES2216276T3 (de)
FR (1) FR2759806B1 (de)
WO (1) WO1998037662A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69840959D1 (de) 1997-12-17 2009-08-20 Nippon Telegraph & Telephone Verschlüsselungs- und Entschlüsselungsvorrichtungen für Kryptosysteme mit öffentlichem Schlüssel und Aufzeichnungsmedium mit darauf gespeicherten zugehörigen Verarbeitungsprogrammen.
US6959091B1 (en) * 2000-07-28 2005-10-25 Atmel Corporation Cryptography private key storage and recovery method and apparatus
CN100431294C (zh) * 2002-11-05 2008-11-05 管海明 基于亚群上离散对数问题的密钥分配及加解密协议的方法
FR2897742A1 (fr) * 2006-02-17 2007-08-24 France Telecom Codage/decodage perfectionnes de signaux numeriques, en particulier en quantification vectorielle avec codes a permutation
CN101631025B (zh) * 2009-08-07 2012-07-04 彭艳兵 一种加速rsa加解密的方法

Also Published As

Publication number Publication date
FR2759806A1 (fr) 1998-08-21
JP2001503164A (ja) 2001-03-06
FR2759806B1 (fr) 1999-04-23
CN1248366A (zh) 2000-03-22
WO1998037662A1 (fr) 1998-08-27
DE69821091D1 (de) 2004-02-19
CA2280952A1 (fr) 1998-08-27
EP0962069B1 (de) 2004-01-14
ES2216276T3 (es) 2004-10-16
EP0962069A1 (de) 1999-12-08

Similar Documents

Publication Publication Date Title
EP2197149B1 (de) Verfahren und Vorrichtung zum Verarbeiten von Daten
DE69935455T2 (de) Kryptographisches verfahren unter verwendung eines öffentlichen und eines privaten schlüssels
DE69935469T2 (de) Verfahren zur schnellen Ausführung einer Entschlüsselung oder einer Authentifizierung
DE69629857T2 (de) Datenkommunikationssystem unter Verwendung öffentlicher Schlüssel
EP3566385B1 (de) Homomorphes whitebox-system und verfahren zur verwendung davon
DE112018000215T5 (de) Sichere private Postquanten-Stream-Aggregation
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
Li et al. Remark on the threshold RSA signature scheme
CH660822A5 (de) Zufallsprimzahlen-erzeugungsmittel in einer mit oeffentlichem schluessel arbeitenden daten-verschluesselungsanlage.
DE60316586T2 (de) Effiziente arithmetik in galois-feldern ungerader charakterstik auf binärer hardware
DE60025401T2 (de) Erzeugung eines mathematischen eingeschränkten schlüssels unter verwendung einer einwegfunktion
EP1891512B1 (de) Bestimmung einer modularen inversen
EP3496331A1 (de) Zweiparteien-signaturvorrichtung und -verfahren
DE102015104421A1 (de) Verfahren zum Verwenden eines Tokens in der Kryptographie
DE112012000971B4 (de) Datenverschlüsselung
EP2961095A1 (de) Schwellwertkryptosystem, zugehörige elektronische Vorrichtungen und Computerprogrammprodukte
CH708240A2 (de) Signaturprotokoll und Gerät zu dessen Umsetzung.
Raghunandan et al. Comparative analysis of encryption and decryption techniques using mersenne prime numbers and phony modulus to avoid factorization attack of RSA
DE69821091T2 (de) Kryptographische vorrichtung mit verschlüsselungs und entschlüsselungssystem und schlüsselhinterlegungssystem
DE60117813T2 (de) Verfahren und Vorrichtung zur Speicherung und wiedergewinnung eones Privaten Kryptoschlüssels
WO2004070497A2 (de) Modulare exponentiation mit randomisierten exponenten
EP2930878A1 (de) Blinde paillierbasierte entschlüsselungsverfahren und vorrichtungen
DE60218421T2 (de) Verfahren und Vorrichtung zur Erzeugung von Digitalsignaturen
DE10328860B4 (de) Vorrichtung und Verfahren zum Verschlüsseln von Daten
DE102020112102B3 (de) Verfahren und Vorrichtungen zur Erzeugung eines symmetrischen Sitzungsschlüssels für die verschlüsselte Kommunikation

Legal Events

Date Code Title Description
8364 No opposition during term of opposition