DE69831792T2 - Verfahren zur digitalen unterschrift - Google Patents

Verfahren zur digitalen unterschrift Download PDF

Info

Publication number
DE69831792T2
DE69831792T2 DE69831792T DE69831792T DE69831792T2 DE 69831792 T2 DE69831792 T2 DE 69831792T2 DE 69831792 T DE69831792 T DE 69831792T DE 69831792 T DE69831792 T DE 69831792T DE 69831792 T2 DE69831792 T2 DE 69831792T2
Authority
DE
Germany
Prior art keywords
message
signature
digital signature
modulo
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69831792T
Other languages
English (en)
Other versions
DE69831792D1 (de
Inventor
Antoine Joux
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Direction General pour lArmement DGA
Etat Francais
Original Assignee
Direction General pour lArmement DGA
Etat Francais
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Direction General pour lArmement DGA, Etat Francais filed Critical Direction General pour lArmement DGA
Application granted granted Critical
Publication of DE69831792D1 publication Critical patent/DE69831792D1/de
Publication of DE69831792T2 publication Critical patent/DE69831792T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Optimization (AREA)
  • Algebra (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Compression, Expansion, Code Conversion, And Decoders (AREA)
  • Error Detection And Correction (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)
  • Control Of Steam Boilers And Waste-Gas Boilers (AREA)
  • Auxiliary Devices For Music (AREA)

Description

  • Die vorliegende Erfindung hat insbesondere ein Verfahren für die Erzeugung einer digitalen Signatur (c, d) einer Nachricht M sowie ein Verfahren zur Authentisierung einer solchen Signatur zum Gegenstand.
  • Digitale Signaturverfahren richten sich auf das Beglaubigen des Ursprungs eines elektronischen Dokuments. In einer zu einer handschriftlichen Signatur ähnlichen Weise wird eine digitale Signatur an eine elektronische Nachricht angefügt, um ihre Authentizität zu garantieren. Es sei der praktische Fall betrachtet, in dem eine Entität A eines Kommunikationssystems eine Nachricht M an eine Entität B schicken will. In einer ersten Phase der Erzeugung der Signatur führt der Sender A, nachdem er seine Nachricht geschrieben hat, in Abhängigkeit von der zu signierenden Nachricht M und von Operanden, die sowohl geheim als auch öffentlich sein können, eine Gesamtheit von mathematischen Operationen aus. Diese Berechnungen ermöglichen das Erzeugen einer digitalen Entität, die als Signatur bezeichnet wird. Die Nachricht M sowie ihre Signatur werden anschließend elektronisch übertragen. In einer zweiten Phase, nach dem Empfang der Nachricht und der Signatur, führt der Empfänger B seinerseits mathematische Operationen aus, Das Ergebnis dieser letzten Berechnungen ermöglicht das Überprüfen der Gültigkeit der empfangenen Signatur. Es ist anzumerken, dass das Ziel der Signaturfunktion das Sicherstellen der Authentisierung einer Nachricht N und nicht das Sicherstellen der Vertraulichkeit ihres Inhalts ist. Diese Nachricht kann folglich entweder unverschlüsselt oder durch eine von dem Signaturmechanismus völlig unabhängige Chiffrierfunktion chiffriert übertragen werden.
  • Global ermöglicht ein digitales Signaturverfahren in einem modernen Kommunikationssystem:
    • (a) das Authentifizieren in zuverlässiger Weise der Identität des Senders der Nachricht,
    • (b) das Sicherstellen der Unversehrtheit des Inhalts einer Nachricht (es wird geprüft, ob die Nachricht während ihrer Übertragung nicht verändert worden ist).
  • Bei den digitalen Signaturverfahren basiert die Sicherheit auf der extremen Schwierigkeit, bestimmte mathematische Funktionen umzukehren. Tatsächlich ist es heutzutage bei der heutigen Rechenleistung der Rechner unmöglich, bestimmte dieser Gleichungen zu lösen, ohne die geheimen Elemente des Algorithmus zu kennen.
  • Gegenwärtig gibt es mehrere Typen von digitalen Signaturverfahren.
  • Ein erster Typ, der von Rivest-Shamir-Adelman entwickelt worden ist, stützt sich auf die Schwierigkeit, große ganze Zahlen in Faktoren zu zerlegen (siehe "A method for obtaining digital signatures and public key cryptosystems", Communications of the ACM, Februar 1978, Bd. 21, Nr. 2, S. 120–126, und das sich darauf beziehende US-Patent 4.405.829).
  • Ein zweiter Typ, der von Taher El-Gamal entwickelt worden ist, schlägt Signaturalgorithmen vor, die auf dem Problem des diskreten Logarithmus, das eine diskrete Potenzierung einsetzt, basiert (siehe "A Public Key Cryptosystem and a signature scheme based on discrete logarithms", IEEE Trans. on Inform Theory, Bd. IT-31, S. 469–472, Juli 1985).
  • Die diskrete Potenzierung umfasst drei Argument, die Basis der Potenzierung g, den Exponenten x und das Modulo N Das Problem des diskreten Logarithmus besteht darin, bei gegebener mathematischer Beziehung: Y = gx modulo N (was bedeutet: Y ist der Rest der Division von gx durch N) x zu finden, wenn N, g und Y bekannt sind.
  • Ein Verfahren desselben, jedoch einfacheren Typs ist durch Schnorr offenbart worden und bildet den Gegenstand des US-Patents 4.995.082. Es unterscheidet sich von jenem von El-Gamal dadurch, dass es darin besteht, die Größe der Exponenten der diskreten Potenzierungen zu verkleinern, um die Berechnungen zu beschleunigen. Dazu erzeugt ein Element g eine Untergruppe der Größenordnung q, wobei q beispielsweise 160 bit breit ist. Zudem wird bei der Berechnung der Signatur eine Hashfunktion verwendet.
  • Die so erzeugte digitale Signatur besitzt eine kleine Größe.
  • Allgemein kann die diskrete Potenzierung je nach Fall eine modulare Potenzierung sein, bei der dann mit ganzen Zahlen und einer gut gewählten Zahl als Modulo, gearbeitet wird, oder eine Multiplikation mit einer ganzen Zahl auf einer elliptischen Kurve sein, was eine zu einer modularen Potenzierung ähnliche Operation ist, jedoch über eine Gruppe, die als additiv anstatt multiplikativ vermerkt ist, definiert ist.
  • Bei zahlreichen Anwendungen müssen die digitale Signatur sowie ihre Verifizierung in Echtzeit ausgeführt werden. Bestimmte Verfahren wie etwa jenes von El-Gamal benötigen eine große Investition an Hardware, da die Algorithmen sehr leistungsstarke Maschinen erfordern. Um diesen Hardwarezwängen zu entgehen, ermöglicht die Optimierung der Algorithmen das Verringern des Umfangs an Berechnungen und dabei das Bewahren einer vergleichbaren Sicherheit.
  • Die Lösung der diskreten Potenzierung ist heutzutage die am meisten bei den kryptographischen Systemen angewandte Lösung, wobei an den Algorithmen bestimmte Verbesserungen vorgenommen worden sind, um die Rechengeschwindigkeit zu erhöhen und dennoch eine maximale Sicherheit zu bewahren.
  • Unter dieser Perspektive ist das Verkleinern der Größe (der Anzahl von Bits) des Exponenten sehr wichtig, da die Rechenzeit der modularen Potenzierung zu dieser Größe proportional ist.
  • Zum anderen muss bei den bis heute bekannten Algorithmen die Kardinalzahl der Gruppe, in der gearbeitet wird, bekannt sein. Die Kardinalzahl dieser Gruppe hängt von der Wahl des Modulo N ab. Da die Sicherheit des Algorithmus auf der diskreten Potenzierung beruht, muss ihre Auflösung unmöglich gemacht werden. Diese Sicherheit impliziert bestimmte Zwänge bezüglich der Wahl des Modulo N.
  • Im Fall einer modularen Potenzierung bietet die Sicherheit der diskreten Potenzierung gemäß dem Stand der Technik nur zwei Möglichkeiten der Wahl des Modulo N.
  • Im Rahmen der ersten Möglichkeit ist N ein Produkt aus zwei Primzahlen. El-Gamal schlägt vor, N so zu wählen, dass (N – 1)/2 teilerfremd ist und der behaltene Divisor (N – 1) ist.
  • Die zweite Möglichkeit betrifft die Basisalgorithmen der diskreten Potenzierung, bei der eine Untergruppe sowie ihre Kardinalzahl bekannt sein müssen, wobei die Kardinalzahl dieser Untergruppe ein Teiler von N – 1 ist, wenn N teilerfremd ist, oder im Fall einer elliptischen Kurve ein Teiler mit der Anzahl von Punkten auf der Kurve ist. Schnorr schlägt vor, q als Kardinalzahl der Untergruppe zu wählen, wobei q derart ist, dass es N – 1 teilt.
  • Die Erfindung beseitigt diese Nachteile, indem sie ein Verfahren vorschlägt, das geeignet ist, den Umfang der Berechnungen zu verringern und das Arbeiten in Echtzeit mit einem Rechner des Typs PC zu ermöglichen.
  • Sie hebt ferner die oben genannten Beschränkungen auf, wobei die Wahl des Modulo N nicht mehr auf die zwei anführten Möglichkeiten begrenzt ist oder die Berechnung der Anzahl von Punkten auf der elliptischen Kurve nicht mehr erforderlich ist.
  • Dazu besteht ein Verfahren für die Erzeugung einer digitalen Signatur (c, d) einer Nachricht m darin:
    • – ein Modulo N und eine Basis g, einen öffentlichen Schlüssel Y und einen privaten Schlüssel x zu definieren, wobei diese Parameter N, g, Y und x durch die folgende Beziehung miteinander verbunden sind: Y = gx(mod N)
    • – eine Hashfunktion H zu definieren, bei der die Größe des Ergebnisses S Bits enthält;
    • – eine Zahl r aus T Bits mit T ≥ 25 zu wählen;
    • – u gemäß der folgenden Beziehung zu berechnen: u = gr·YZ,wobei Z = 2S
    • – die Verkettung von M und u durch die Funktion H zu hashen, wobei die auf diese Weise erhaltene Zahl der Wert c der Signatur ist,
    • – den Wert d der Signatur durch die Beziehung d = r + c·x zu berechnen.
  • Gemäß einem zusätzlichen Merkmal, das ein noch ein weiteres Verringern der Rechenzeit ermöglicht, wird die Nachricht M durch eine Funktion h1 gehashed und danach mit u verkettet, wobei die Funktionen h1 und H eventuell identisch sein können.
  • Gemäß einem besonderen Merkmal wird der private Schlüssel x vor dem öffentlichen Schlüssel Y definiert, wobei dieser letztere Schlüssel dann durch die Beziehung: Y = gx(mod N)berechnet wird.
  • Gemäß einem weiteren Merkmal wird der öffentliche Schlüssel Y vor dem privaten Schlüssel x definiert und wird für das Modulo N keine Primzahl gewählt.
  • Gemäß einem weiteren Merkmal ist die Zahl r eine Zufallszahl.
  • Die Erfindung betrifft ferner ein Verfahren zur Authentisierung der digitalen Signatur (c, d) einer Nachricht M, die gemäß der Erfindung erzeugt wird, wobei das Verfahren dadurch gekennzeichnet ist, dass es bei Kenntnis des öffentlichen Schlüssels Y, des Modulos N und der Basis g sowie der Hashfunktion H und daher des Wertes S darin besteht:
    • – u durch die Beziehung u = gd·Y(Z–c) zu berechnen, wobei Z = 2S
    • – die Verkettung von M und u durch die Funktion H zu hashen,
    • – zu verifizieren, dass der auf diese Weise erhaltene Wert gleich c ist, falls die Signatur authentisch ist.
  • Gemäß einem zusätzlichen Merkmal dieses Verfahrens wird die Nachricht M durch die Funktion h1 gehashed, bevor sie durch die Funktion H gehashed und dann mit u verkettet wird.
  • Weitere Vorteile und Merkmale der vorliegenden Erfindung werden deutlich in der Beschreibung einer besonderen Ausführungsform der Erfindung in Gegenüberstellung der beigefügten Figuren, unter denen:
  • 1 ein Schema eines Verfahrens für die Erzeugung einer digitalen Signatur zeigt,
  • 2 ein Schema eines Verfahrens zur Authentisierung einer digitalen Signatur, die nach dem in 1 gezeigten Verfahren erzeugt worden ist, zeigt.
  • Das erfindungsgemäße Verfahren wird unter anderem verwendet, um die Signatur einer Nachricht M zu erzeugen und zu prüfen. Unabhängig von den Phasen der Signatur und der Prüfung oder Verifizierung der Signatur legt eine Behörde, Garant für die Sicherheit innerhalb der Kommunikationssysteme, die folgenden allgemeinen Parameter fest:
    • a) Das Modulo N. Die Größe dieses Modulos ist durch Überlegungen festgelegt, die mit der Sicherheit des Algorithmus verbunden sind (gegenwärtig sind 1024 Bits eine gute Wahl). Dieses Modulo kenn mehreren Benutzern (eventuell einer großen Anzahl von Benutzern) innerhalb des Verschlüsselungssystems gemeinsam sein. Dieses Modulo kann gemäß Varianten eine Primzahl sein oder nicht, eine elliptische Kurve sein oder allgemeiner eine Gruppe sein, für die die diskrete Potenzierung schwierig umzukehren ist.
    • b) Die Basis g. Diese ist ein Generator der Untergruppe der durch das Modulo N bestimmten Gruppe (Modulozahl, Punkt auf der elliptischen Kurve, Element der gewählten Gruppe). Die erzeugte Untergruppe muss eine große Kardinalität besitzen (> 2S, wobei S die Größe des Ergebnisses von H, der Hashfunktion, die im Folgenden erläutert wird, ist), jedoch ist diese nicht zwangsläufig die gesamte Modulo-N-Gruppe. Wie N kann auch g mehreren Benutzern gemeinsam sein.
  • Die Kardinalität muss sehr groß sein, jedoch ist deren Kenntnis für die Signaturalgorithmen und ihre Verifizierung nicht notwendig. Es ist dann möglich, mit der Potenzierung als Basisoperation zu arbeiten und gleichzeitig N als Produkt von Primzahlen zu wählen.
  • Die Parameter N und g sind Hauptparameter, die ein für allemal festgelegt werden und den Benutzergruppen gemeinsam sind. Sie sind nicht geheim, da ihre bloße Kenntnis kein Durchkreuzen der Sicherheit des Algorithmus ermöglicht.
  • Der Verantwortliche für das Verschlüsselungssystem ordnet jedem Benutzer ein Paar von Schlüsseln zu, die ihm gehören. Der Schlüssel x wird privater Schlüssel genannt, während Y öffentlicher Schlüssel genannt wird. Der Schlüssel x darf nur seinem Benutzer bekannt sein. Er allein verwendet diesen in der Phase der Erzeugung der Signatur. Der Schlüssel Y ist öffentlich. Er gehört zum Sender A der Nachricht. Jeder Benutzer wird, wenn er eine Nachricht von A empfängt, über die Identität des Senders informiert. Mit Hilfe eines Verzeichnisses der Schlüssel lässt sich der Schlüssel Y, der dem Sender der Nachricht und dem Benutzer zugeordnet ist, in der Phase der Verifizierung der Signatur wieder finden. Der Schlüssel Y, der der Entität A zueigen ist, wird folglich gleichzeitig von der Entität A und von der Entität B verwendet. Die zwei Schlüssel sind dadurch verknüpft, dass Y das Ergebnis der diskreten Potenzierung ist, mit g als Basis, x als Exponenten und N als Modulo. Sie sind durch die folgende Beziehung verknüpft: Y = gx(mod N)
  • Bei den beiden Optionen, die nachstehend beschrieben werden und sich auf die Wahl von x und Y beziehen, ist der private Schlüssel allein dem Benutzer des Schlüssels bekannt. Wenn der private Schlüssel bekannt gemacht ist, geht das Problem des diskreten Logarithmus verloren, so dass das System nicht mehr sicher ist.
  • Gemäß der ersten Option werden der private und der öffentliche Schlüssel gewählt, indem x mit der Größe von S Bits festgelegt wird (beispielsweise S = 160, falls für H der Standard SHA gewählt wird) und danach Y anhand der obigen Beziehung berechnet wird. Diese Variante ermöglicht das Verwenden von privaten Schlüsseln kleiner Größe (beispielsweise 160 bit) und das Arbeiten auf einer elliptischen Kurve, ohne zuvor die Kardinalzahl dieser Kurve berechnen zu müssen.
  • Gemäß der zweiten Option wird mit dem Festlegen von Y begonnen, indem Y beispielsweise aus dem Namen des Benutzers abgeleitet wird (siehe Maurer und Yacobi, "Non-interactive public-key cryptography" EUROCRYPT'91, Lecture Notes in Computet Science, Springer-Verlag, Bd. 547, Seiten 498–507, 1991) und danach x durch eine Berechnung des diskretem Logarithmus, Modulo N, hergeleitet wird. Dieses Verfahren impliziert das Verwenden einer Zahl für N, die keine Primzahl ist, N = pq, damit die Berechnung des Logarithmus durchführbar ist. Es verlangt außerdem, die Zerlegung N = pq nicht zu verbreiten, damit die Berechnung nicht durch jedermann ausgeführt werden kann. Das hier dargestellte Signaturverfahren ermöglicht es im Gegensatz zu bekannten Verfahren, p und q nicht preiszugeben. Tatsächlich muss bei den Letzteren jeder die Kardinalzahl der multiplikativen Modulo-N-Gruppe, d. h. (p – 1) (q – 1), kennen; nun aber ermöglicht die Kenntnis von (p – 1) (q – 1) das Wiederfinden von p und q.
  • Die für das Verschlüsselungssystem verantwortliche Autorität verlangt eine Hashfunktion, die allen Benutzern gemeinsam ist. Diese wird verwendet, um jede Zahl beliebiger Größe in eine Anzahl S von Bits umzuwandeln. Die Wahl von H und S ist von dem Algorithmus unabhängig, weshalb unterschiedslos jede bis heute bekannte Hashfunktion übernommen werden kann.
  • Wenn diese Vorphase abgeschlossen ist, werden fortan zwei Entitäten A und B betrachtet, die eine gesicherte Verbindung in dem Informationssystem herstellen wollen. Im ersten, anhand von 1 beschriebenen Schritt berechnet die Entität A eine digitale Signatur, die durch das Paar (c, d) repräsentiert ist, anhand der Nachricht M, die sie an die Entität B zu übertragen wünscht. Dieser Signaturschritt wird insgesamt von der Entität A ausgeführt.
  • Die Nachricht M, die möglicherweise sehr lang ist, wird eventuell durch eine beliebige Hashfunktion h1 transformiert, um das Resultat m zu ergeben.
  • Es wird dann Z = 2S gesetzt, wobei S durch die Wahl der Hashfunktion festgelegt ist.
  • Es wird eine Zufallszahl r mit T Bits gewählt (wobei T fest ist und T ≥ 25).
  • Mit der folgenden Beziehung wird die Zahl u berechnet: u = grYZ(mod N)
  • Die Zahlen m und u werden durch ein einfaches Nebeneinanderlegen verkettet.
  • Das Ergebnis der Verkettung von m und u wird mit Hilfe der Hashfunktion H gehashed. Die aus den S Bits des Ergebnisses gebildete Zahl wird mit c bezeichnet.
  • Durch die folgende Beziehung wird die Zahl d berechnet: d = r + cx
  • Das Paar (c, d) repräsentiert die Signatur der Nachricht. Diese Signatur wird zusätzlich zur Nachricht M an die Entität B gesendet. Hier beginnt der zweite Schritt, der Schritt der Authentisierung der Signatur, die in Gegenüberstellung von 2 beschrieben wird.
  • Nach dem Empfang der Signatur (c, d) und der Nachricht M, die ihr entspricht, kann die Nachricht M durch die Hashfunktion h1 gehashed werden.
  • Es wird dann Z = 2S gesetzt, wobei S durch die Wahl der Hashfunktion festgelegt ist.
  • Durch die folgende Formel wird die Zahl v berechnet: v = Z – c
  • Durch die Folgende Formel wird die Zahl u berechnet: u = gdYv(mod N)
  • Die Zahlen m und u werden verkettet.
  • Das Ergebnis der Verkettung wird durch die Hashfunktion H über S Bits gehashed. Das erhaltene Ergebnis wird mit c' bezeichnet.
  • Dann wird die durch die Entität A geschickte Signatur geprüft. Wenn c = c', dann kann der Sender der Nachricht M unter dem Vorbehalt, dass der geheime Schlüssel x der Entität A niemals preisgegeben worden ist, nur die Entität A sein. Im gegenteiligen Fall, wenn c und c' verschieden sind, ist die Nachricht verfälscht worden.

Claims (9)

  1. Verfahren für die Erzeugung einer digitalen Signatur (c, d) einer Nachricht M, das darin besteht: – ein Modulo N und eine Basis g, einen öffentlichen Schlüssel Y und einen privaten Schlüssel x zu definieren, wobei diese Parameter N, g, Y und x durch die folgende Beziehung miteinander verbunden sind: Y = gx(mod N)– eine Hashfunktion H zu definieren, bei der die Größe des Ergebnisses S Bits enthält, – eine Zahl r aus T Bits mit T ≥ 25 zu wählen; wobei das Verfahren dadurch gekennzeichnet ist, dass es außerdem darin besteht: – u gemäß der folgenden Beziehung zu berechnen: u = gr·YZ,wobei Z = 2S – die Verkettung von M und u durch die Funktion H zu hashen, wobei die auf diese Weise erhaltene Zahl der Wert c der Signatur ist, – den Wert d der Signatur durch die Beziehung: d = r + c·x zu berechnen.
  2. Verfahren für die Erzeugung einer digitalen Signatur (c, d) einer Nachricht M nach Anspruch 1, dadurch gekennzeichnet, dass die Nachricht M durch eine Funktion h1 gehashed wird, bevor sie durch die Funktion H gehashed und dann mit u verkettet wird.
  3. Verfahren für die Erzeugung einer digitalen Signatur (c, d) einer Nachricht M nach Anspruch 2, dadurch gekennzeichnet, dass die Funktionen H und h1 identisch sind.
  4. Verfahren für die Erzeugung einer digitalen Signatur (c, d) einer Nachricht M nach einem der Ansprüche 1 und 3, dadurch gekennzeichnet, dass der private Schlüssel x vor dem öffentlichen Schlüssel Y definiert wird, wobei dieser letztere Schlüssel dann durch die Beziehung: Y = gx(mod N)berechnet wird.
  5. Verfahren für die Erzeugung einer digitalen Signatur (c, d) einer Nachricht M nach einem der Ansprüche 1 und 3, dadurch gekennzeichnet, dass der öffentliche Schlüssel Y vor dem privaten Schlüssel x definiert wird und dass für das Modulo N keine Primzahl gewählt wird.
  6. Verfahren für die Erzeugung einer digitalen Signatur (c, d) einer Nachricht M nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Zahl r eine Zufallszahl ist.
  7. Verfahren zur Authentisierung der digitalen Signatur (c, d) einer Nachricht M, die gemäß dem Verfahren nach einem der Ansprüche 1 bis 6 erzeugt wird, dadurch gekennzeichnet, dass es bei Kenntnis des öffentlichen Schlüssels Y, des Modulos N und der Basis g sowie der Hashfunktion H und daher des Wertes S darin besteht: – u durch die Beziehung u = gd·Y(Z – c) zu berechnen, wobei Z = 2S – die Verkettung von M und u durch die Funktion H zu hashen, – zu verifizieren, dass der auf diese Weise erhaltene Wert gleich c ist, falls die Signatur authentisch ist.
  8. Verfahren zur Authentisierung der digitalen Signatur (c, d) einer Nachricht M nach Anspruch 7, dadurch gekennzeichnet, dass die Nachricht M durch die Funktion h1 gehashed wird, bevor sie durch die Funktion H gehashed und dann mit u verkettet wird.
  9. Verfahren zur Authentisierung der digitalen Signatur (c, d) einer Nachricht M nach Anspruch 8, dadurch gekennzeichnet, dass die Funktionen H und h1 identisch sind.
DE69831792T 1997-12-18 1998-12-10 Verfahren zur digitalen unterschrift Expired - Lifetime DE69831792T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9716061A FR2773027B1 (fr) 1997-12-18 1997-12-18 Procede de signature numerique
FR9716061 1997-12-18
PCT/FR1998/002680 WO1999033220A1 (fr) 1997-12-18 1998-12-10 Procede de signature numerique

Publications (2)

Publication Number Publication Date
DE69831792D1 DE69831792D1 (de) 2005-11-10
DE69831792T2 true DE69831792T2 (de) 2006-06-22

Family

ID=9514767

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69831792T Expired - Lifetime DE69831792T2 (de) 1997-12-18 1998-12-10 Verfahren zur digitalen unterschrift

Country Status (11)

Country Link
US (1) US6499104B1 (de)
EP (1) EP0963638B1 (de)
CA (1) CA2273632C (de)
DE (1) DE69831792T2 (de)
DK (1) DK0963638T3 (de)
ES (1) ES2251111T3 (de)
FR (1) FR2773027B1 (de)
IS (2) IS5043A (de)
NO (2) NO323723B1 (de)
TR (1) TR199902021T1 (de)
WO (1) WO1999033220A1 (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1575562A (zh) * 2001-10-23 2005-02-02 松下电器产业株式会社 信息处理装置
US20030221105A1 (en) * 2002-05-20 2003-11-27 Autodesk, Inc. Extensible mechanism for attaching digital signatures to different file types
CN100452695C (zh) * 2002-11-29 2009-01-14 北京华大信安科技有限公司 椭圆曲线加密解密方法和装置
US7240995B2 (en) * 2003-05-06 2007-07-10 Lexmark International, Inc. Method of authenticating a consumable
US8099791B1 (en) 2004-06-25 2012-01-17 Lexmark International, Inc. Method of authenticating a consumable in an imaging device
JP5437548B2 (ja) * 2004-11-15 2014-03-12 ハイデルベルガー ドルツクマシーネン アクチエンゲゼルシヤフト 電子制御システムにおける入力署名
US8666900B1 (en) * 2005-03-30 2014-03-04 Intuit Inc. Secure product enablement over channels with narrow bandwidth
US7854013B2 (en) * 2005-06-03 2010-12-14 Working Solutions International, Inc. Method for electronic data and signature collection, and system
US7774607B2 (en) * 2006-12-18 2010-08-10 Microsoft Corporation Fast RSA signature verification
US8082584B1 (en) 2007-10-16 2011-12-20 Mcafee, Inc. System, method, and computer program product for conditionally performing a scan on data based on an associated data structure
US8615649B2 (en) * 2010-09-21 2013-12-24 International Business Machines Corporation Use of a private key to encrypt and decrypt a message

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
EP0383985A1 (de) * 1989-02-24 1990-08-29 Claus Peter Prof. Dr. Schnorr Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
ATE119726T1 (de) * 1990-10-24 1995-03-15 Omnisec Ag Geheimübertragungssystem mit möglichkeit zur verschlüsselten kommunikation zwischen benutzern mit gesichertem schlüssel, welcher ohne benutzereinwirkung bestimmt wird.

Also Published As

Publication number Publication date
IS5043A (is) 1999-06-19
NO993402L (no) 1999-07-09
US6499104B1 (en) 2002-12-24
NO323723B1 (no) 2007-06-25
IS5132A (is) 1999-07-23
FR2773027B1 (fr) 2000-04-07
NO993942D0 (no) 1999-08-17
FR2773027A1 (fr) 1999-06-25
DK0963638T3 (da) 2006-02-06
ES2251111T3 (es) 2006-04-16
DE69831792D1 (de) 2005-11-10
WO1999033220A1 (fr) 1999-07-01
EP0963638B1 (de) 2005-10-05
EP0963638A1 (de) 1999-12-15
CA2273632A1 (fr) 1999-06-18
CA2273632C (fr) 2006-11-21
NO993402D0 (no) 1999-07-09
TR199902021T1 (xx) 2000-02-21

Similar Documents

Publication Publication Date Title
DE60001630T2 (de) Sichere gegenseitige Netzwerkauthenifizierung und Schlüselaustauschprotokoll
DE69918818T2 (de) Verfahren zur Erzeugung eines öffentlichen Schlüssels in einem sicheren digitalen Kommunikationssystem und implizites Zertifikat
DE69636815T2 (de) Verfahren zur sitzungsschlüsselerzeugung mit impliziten unterschriften
DE69935469T2 (de) Verfahren zur schnellen Ausführung einer Entschlüsselung oder einer Authentifizierung
DE19804054B4 (de) System zur Verifizierung von Datenkarten
EP0384475B1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
DE60200496T2 (de) Verfahren und Vorrichtung zur Ausführung eines effizienten mittels Kennwort authentifizierten Schlüsselaustauschs
DE69520714T2 (de) Verfahren und Vorrichtung zum sicheren elektronischen Abstimmen
DE69903854T2 (de) Verfahren zur beschleunigung kryptographischer operationen auf elliptischen kurven
DE69829967T2 (de) Verfahren und vorrichtung zur schnellen elliptischen verschlüsselung mit unmittelbarer einbettung
CH694603A5 (de) Identifizierungsverfahren.
DE69831792T2 (de) Verfahren zur digitalen unterschrift
DE19829643C2 (de) Verfahren und Vorrichtung zur Block-Verifikation mehrerer digitaler Signaturen und Speichermedium, auf dem das Verfahren gespeichert ist
DE68904989T2 (de) Einrichtung zur abgesicherten datenkommunikation.
CH711133A2 (de) Protokoll zur Signaturerzeugung.
EP1346509B1 (de) Verfahren und Vorrichtung zum Ermitteln eines Schlüsselpaars und zum Erzeugen von RSA-Sclüsseln
CH711134A2 (de) Schlüsselzustimmungsprotokoll.
DE3915262A1 (de) Verfahren zur erzeugung von authentifizierten geheimschluesseln
DE60000649T2 (de) Authentifizierungs- oder unterschriftsverfahren mit verringter zahl an berechnungen
EP1119942B1 (de) Verfahren zum etablieren eines gemeinsamen kryptografischen schüssels für n teilnehmer
DE602004010494T2 (de) Kryptographische Authentifizierung einer Vorrichtung
DE69928519T2 (de) Protokoll zur ubereinkunft über einen authentifizierten schlüssel
EP1119941B1 (de) Verfahren zum etablieren eines gemeinsamen schlüssels zwischen einer zentrale und einer gruppe von teilnehmern
EP1208669B1 (de) Verfahren zum etablieren eines gemeinsamen schlüssels für eine gruppe von mindestens drei teilnehmern
DE69333121T2 (de) Verfahren zur Ausführung von kryptographischen und/oder fehlerkorrigierenden Protokollen auf dem Gebiet der Zahlentheorie

Legal Events

Date Code Title Description
8364 No opposition during term of opposition