FR2877788A1 - Procede de generation de signature avec preuve de securite "tight", procede de verification et schema de signature associes bases sur le modele de diffie-hellman - Google Patents
Procede de generation de signature avec preuve de securite "tight", procede de verification et schema de signature associes bases sur le modele de diffie-hellman Download PDFInfo
- Publication number
- FR2877788A1 FR2877788A1 FR0411789A FR0411789A FR2877788A1 FR 2877788 A1 FR2877788 A1 FR 2877788A1 FR 0411789 A FR0411789 A FR 0411789A FR 0411789 A FR0411789 A FR 0411789A FR 2877788 A1 FR2877788 A1 FR 2877788A1
- Authority
- FR
- France
- Prior art keywords
- signature
- mod
- during
- message
- steps
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 230000006870 function Effects 0.000 title claims abstract description 22
- 238000012795 verification Methods 0.000 claims description 13
- 238000004364 calculation method Methods 0.000 description 7
- 241000122205 Chamaeleonidae Species 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 5
- 230000005477 standard model Effects 0.000 description 2
- 101000993944 Enterobacteria phage T4 Internal protein II Proteins 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/68—Special signature format, e.g. XML format
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
L'invention concerne un procédé de signature électronique d'un message m, caractérisé en ce qu'il utilise :• p un nombre entier premier,• q un nombre entier premier diviseur de (p-1),• g, un élément d'ordre q de l'ensemble Zp des entiers modulo p,• H et G, des fonctions de hachage,• x une clé privée et y, par exemple y = g^x mod p, une clé publique de l'ensemble Zp,pour réaliser les étapes suivantes, consistant à :• E1 : générer k, un nombre aléatoire k de l'ensemble Zq des entiers modulo q, et calculer u = gk mod p, h = H(u), z = hx mod p et v = hk mod p,• E2 : calculer c = G(m, g, h, y, z, u, v) et s = k + c.x mod q, et• E3 : produire une signature électronique du message m égale à (z,s,c).L'invention concerne également un procédé de vérification et un schéma de signature associé au procédé de signature.
Description
Procédé de génération de signature avec preuve de sécurité "tight",
procédé de vérification et schérna de signature associés basés sur le modèle de Diffie-Hellman L'invention concerne des procédés de signature électronique à sécurité prouvée, basés sur le problème de Diffie-Hellman. L'invention concerne également des procédés de vérification et des schémas de signature associés. Certains procédés selon l'invention peuvent être mis en oeuvre "à la volée", ce qui permet la génération rapide d'une signature électronique une fois que certains pré-calculs ont été réalisés. Cela rend l'invention particulièrement utile dans le cadre d'objets portables à faible ressource de calcul tels qu'une carte à puce.
Une signature électronique d'un message est un ou plusieurs nombres dépendant à la fois d'une clé secrète connue seulement de la personne signant le message, et du contenu du message à signer. Une signature électronique doit être vérifiable: il doit être possible pour une tierce personne de vérifier la validité de la signature, sans que la connaissance de la clé secrète de la personne signant le message ne soit requise.
Un schéma de signature comprend un ensemble de trois procédés (GENS, SIGN S, VER_S): É GEN S est un procédé de génération de clés publique et privée É SIGN S est un procédé de génération de signature É VERS est un procédé de vérification de signature.
Il existe de nombreux schémas de signature électronique. Les plus connus sont: Ref:101859 FR 2 É Le schéma de signature RSA: c'est le schéma de signature électronique le plus largement utilisé. Sa sécurité est basée sur la difficulté de la factorisation de grands nombres.
É Le schéma de signature de Rabin: sa sécurité est aussi basée sur la difficulté de la factorisation de grands nombres.
É Le schéma de signature de type El-Gamal: sa sécurité est basée sur la difficulté du problème du logarithme discret. Le problème du logarithme discret consiste à déterminer, s'il existe, un entier x tel que y=gX avec y et g deux structure de É Le schéma variante du (Claus--Peter smart cards, éléments d'un ensemble E possédant une groupe.
de signature de Schnorr: il s'agit d'une schéma de signature de type ElGamal. Schnorr, Efficient signature generation by Journal of Cryptology, 4(3):161-174, 1991), É le schema de Girault-Poupard-Stern (Marc Girault: An identity-based identification scheme based on discrete logarithms modulo a composite number, EUROCRYPT'90, vol. 473 of Lecture Notes in Computer Science, pages 481-486; et Guillaume Poupard and Jacques Stern, Security analysis of a pracical "on the fly" authentification and signature generation, EUROCRYPT'98, vol. 1403 of Lecture notes in Computer Science, pages 422- 436, 1998) É le schéma de Poupard-Stern (Guillaume Poupard and Jacques Stern, On the fly signatures based on factoring, ACM Conference on Computer and Communications Security, pages 37-45, 1999).
On dit qu'un schéma de signature est à sécurité prouvée si on peut, par une preuve mathématique, utiliser un éventuel attaquant contre ce schéma de signature (plus précisément, si on peut utiliser des signatures falsifiées, c'est à dire contrefaites par cet attaquant) Ref: 101559 FR 3 pour résoudre un problème difficile, comme le logarithme discret ou la factorisation.
Certaines preuves de sécurité sont déterminées dans un modèle appelé "modèle de l'oracle aléatoire".
Le modèle de l'oracle aléatoire est un modèle idéal dans lequel toute fonction de hachage est considérée comme parfaitement aléatoire. Comme dans la pratique, une fonction de hachage n'est pas un objet parfaitement aléatoire, on considère généralement qu'une preuve dans le modèle de l'oracle aléatoire est une indication que le schéma est correctement construit, mais que cela ne donne pas une garantie parfaite de la sécurité du schéma lors de son utilisation pratique.
Au contraire, on dit qu'un schéma cryptographique possède une preuve de sécurité dans le modèle standard lorsque sa sécurité peut être prouvée sans faire l'hypothèse du caractère parfaitement aléatoire des fonctions de hachage. Une telle preuve de sécurité est particulièrement utile car elle permet d'avoir une confiance parfaite dans la sécurité du schéma lors de son utilisation pratique.
Les preuves peuvent être non strictement réductibles ( loose en anglais) ou strictement réductibles ( tight en anglais). Les termes anglais seront préférés dans la suite.
Une preuve loose utilise un attaquant et résout le problème difficile avec une probabilité faible comparée à celle de l'attaquant. Au contraire, une preuve tight résout le problème avec une probabilité très proche de celle de l'attaquant. Ainsi, une preuve tight est un bien meilleur gage de sécurité pour un schéma de signature.
Ref:101859 FR 4 Bien sûr, les schémas ayant une preuve de sécurité "tight" sont préférés aux schémas ayant une preuve de sécurité "loose". Mais il existe en pratique très peu de schémas ayant une preuve de sécurité "tight". Sont connus par exemple le schéma RSA-PSS et ses dérivés basés sur le problème RSA (Ronald L. Rivest, Adi Shamir and Leonard M. Ad].eman, A method for obt:aining digital signatures and public-key cryptosystems, Communications of the ACM, 21(2):120-126, 1978), ou:bien le schéma Rabin-PSS basé sur le problème de la fa.ctorisatin (Michael O. Rabin, Digital signatures and public-key functions as int:ractable as factorization, Tech. Rep. MIT/LCS/TR-212, MIT Laboratory for Computer Science, 1979). Pendant longtemps, aucun schéma basé sur le problème de Diffie- Hellman ou le problème du:Logarithme discret et ayant une preuve de sécurité "tight" n'était connu, seuls des schémas ayant une preuve de sécurité "loose" étaient connus(David Pointcheval and Jacques Stern, Security proofs for signature schemes, in U. Maurer, editor, Advances in cryptology, EUROCRYPT'96, vol. 1070 of Lectures Notes in Computer Sciences, pages 387-398, Springer-Verlag, 1996).
Goh et Jarecki ont proposé l'utilisation d'un schéma basé sur le problème de Diffie-Hellman, appelé schéma EDL (pour Equivalent Discret Algorithm), et ont prouvé récemment que ce schéma possède une preuve de sécurité "tight" dans le modèle de l'oracle aléatoire (Eurocrypt 2003, Ed. E. Biham, LNCS 2656, pp 401-415, 2003).
Le schéma EDL comprend le procédé de génération de clé, 30 le procédé de signature et le procédé de vérification décrits ci-dessous. Soit.
É p, un nombre entier premier de IpII bits, (la notation IIpI signifie "nombre de bits du nombre binaire p") Ref:101859 FR 5 É q, un nombre entier premier de bits diviseur de (r)-1), É g, un élément g d'ordre q de l'ensemble Zp des entiers modulo p, É Gg,p, un groupe fini généré par g.
É M, l'ensemble de tous les messages É le, 9, deux fonctions de hachage telles que e: M x {0, 1) 1 Irl I -> Gg, p et 9: (Gg,p) 6 -> Zq.
Le procédé de génération de clé consiste à générer un 10 nombre aléatoire x E Zq, puis à calculer y = gx mod p. y est la clé publique et x est la clé privée.
Le procédé de signature permet de signer un message m e M. Pour cela, on génère tout d'abord un nombre entier aléatoire r de 1141 bits et un nombre aléatoire k e Zq, on calcule u = gk mod p, h =(m, r), z = hX mod p, v = hk mod p, puis c = 9(g,h,y,z,u,v) et s = k+c.x mod q. La signature de m est alors le quadruplet (z,r,s,c).
Le procédé de vérification permet de vérifier qu'une signature (z,r,s,c) est bien la signature d'un message m E M. On calcule h' = i(m, r), u' = gs.y-c mod p et v' = h'E.z-c mod p. La signature est acceptée si c = 99(cr,h',y,z,u',v').
Le schéma de signature EDL fournit une signature de IIpJI + 21IgI1+1Irll bits, qui est un peu longue mais encore acceptable pour un tel niveau de sécurité. Goh et Jarecki ont: montré qu'on peut utiliser = 111 et avoir déjà un confortable niveau de sécurité.
On dit qu'un schéma de signature est de type à la volée ( on the fly , en anglais) lorsque la génération de la signature peut se décomposer en deux phases distinctes: une première phase dite de pré-calcul, durant laquelle une donnée (appelée coupon) indépendante du message à signer est pré-calculée, et la Ref:101859 FR 6 phase de génération de signature proprement dite, durant laquelle une signature d'un message m est calculée en utilisant la donnée pré-calculée, cette dernière phase devant pouvoir s'exécuter rapidement. Pour garantir la sécurité du schéma de signature, un même coupon ne peut être utilisé qu'une seule fois.
Les schémas de signature à la volée sont donc particulièrement utiles dans le cadre d'objets portables à faible ressource de calcul tels qu'une carte à puce. De tels schémas permettent la génération rapide de la signature par l'objet portable, alors que cela ne serait pas possible pour un schéma de signature classique demandant des ressources de calculs beaucoup plus importantes.
Dans la publication "Improved online/offline signature schemes" par Shamir et Tauman (Proceedings of Crypto 01), les auteurs décrivent un moyen de conversion générique permettant d'obtenir un schéma de signature à la volée à partir d'un schéma de signature quelconque.
L'avantage de cette conversion est qu'elle préserve la sécurité du schéma de signature: si le schéma initial possède une preuve de sécurité dans le modèle standard, alors le schéma de signature à la volée obtenu possède aussi une preuve de sécurité dans le modèle standard.
Le schéma EDL dans sa version initiale, n'est pas prévu pour être mis en oeuvre "à la volée", en utilisant des coupons.. Toutefois, la méthode de conversion ci-dessus peut être utilisée pour le schéma EDL, pour obtenir un schéma de signature "à la volée" ayant une preuve de signature "tight" dans le modèle de l'oracle aléatoire. Cependant, l'inconvénient de la méthode de conversion est qu'elle double la taille de la clef publique ainsi que la taille de la signature, et qu'elle augmente aussi le temps de vérification de la signature. Le temps total de Ref:101859 FR 7 génération de la signature (pré-calcul+génération) est lui-même augmenté.
Toutefois, Goh et Jarecki ont indiqué qu'il est possible d'utiliser la méthode de conversion avec une fonction de hachage particulière, dite fonction de hachage caméléon ('(m, r) = gmyr mod p) , pour transformer le schéma EDL en un schéma avec coupon (Hugo Krawczyk and Tal Rabin, Chameleon Signatures, In Symposium on Network and Distributed System security - NDSS'00, pages 143-154, Int:ernet Society, 2000, et également la publication "Improved online/offline signature schemes" par Shamir et Tauman (Proceedings of Crypto 01). Ainsi, falsifier une nouvelle signature est aussi complexe que de falsifier une nouvelle signature à partir du schéma EDL initial, ou de trouver une collision dans la fonction de hachage caméléon (c'est-à-dire trouver deux nombres a, b différents tels que 5e(a) = q(b)).
L'avantage du schéma obtenu est bien sûr le fait que le schéma est à la volée et peut être mis en oeuvre avec des moyens matériels limités. Mais l'inconvénient est un procédé de vérification associé plus long, car il est nécessaire de calculer la fonction de hachage caméléon. De plus, utiliser la fonction de hachage caméléon suppose l'utilisation d'un nombre r aléatoire de IIgII bits. La signature obtenue devient ainsi de taille IIPII+3IIgII bits. Pour des raisons de sécurité cryptographique, q doit être choisi de taille supérieure à 160 bits, la signature obtenue est donc encore plus longue qu'une signature EDL classique.
L'invention a pour but de proposer de nouveaux procédés de signature basés sur le problème de Diffie-Hellman, aussi sûrs que le procédé de signature de EDL (c'est-à- dire ayant une preuve de sécurité "tight"), mais qui produisent des signatures plus courtes que le procédé Ref:101859 FR 8 EDL. De plus, certains procédés selon l'invention peuvent être mis sous une forme "à la volée" utilisant des coupons, ce qui est beaucoup plus rapide que le procédé EDL. L'invention propose également, pour chaque procédé de signature selon l'invention, un procédé de vérification et un schéma de signature associés.
Un procédé selon l'invention met en oeuvre un ensemble de paramètres, notamment: É p, un nombre entier premier de IIpII bits, É q, un nombre entier premier de IIgII bits, diviseur de (P-1), É g, un élément d'ordre q de l'ensemble Zp des entiers modulo p, É Gg,p, le groupe fini généré par g É /, I, des fonctions de hachage, É x, une clé privée choisie aléatoirement dans Zp, et y une clé publique associée. y est par exemple calculée par la relation y = gAx mod p (la notation gAx ou gX signifie exponentiation modulaire).
Le procédé de signature électronique d'un message m selon l'invention comprend les étapes suivantes, consistant à : É El: générer k, un nombre aléatoire de l'ensemble Zq des entiers modulo q, et calculer u = gk mod p, h = e(u), z = hX mod p et v = hk mod p, , É E2: calculer c = 99(m, g, h, y, z, u, v) et s = k + c.x mod q, et É E3: produire une signature électronique du message m écale à (z, s, c) . La signature (z,s,c) produite comprend seulement trois nombres z, s et c et a une taille égale à IIpII+21IgII, plus courte que celle d'une signature obtenue par un schéma EDL utilisant IIrII = I11 bits.
Ref: 101859 FR 9 Dans un premier mode de mise en oeuvre: É au cours d'une phase d'initialisation on réalise l'étape El une ou plusieurs fois et on mémorise à la fin 5 de chaque étape El un coupon (k, u,v,h,z), puis É on réalise ensuite les étapes E2 et E3 pour chaque message m à signer en utilisant un coupon (k,u,v,h,z) mémorisé au cours de l'étape d'initialisation.
Dans un deuxième mode de mise en oeuvre: É au cours d'une phase d'initialisation on réalise l'étape El une ou plusieurs fois et on mémorise à la fin de chaque étape El un coupon (k,u, v,z), puis É on réalise ensuite les étapes E2 et E3 pour chaque message m à signer en utilisant un coupon (k,u,v,z) 15 mémorisé au cours de l'étape d'initialisation et en recalculant h = q(u).
Ces deux modes de réalisation ont l'avantage de passer par l'intermédiaire de coupons, sans qu'il soit nécessaire de passer par l'intermédiaire d'une fonction de hachage de type caméléon supplémentaire, fonction qui comporte une multi-exponentiation et prend donc beaucoup de temps. Ceci permet une mise en oeuvre à la volée particulièrement intéressante pour des systèmes portables, et beaucoup plus avantageuse qu'une mise en oeuvre du schéma EDL qui utilise lui une fonction de hachage caméléon.
De plus, dans le cas de l'invention, les deux modes de réalisation n'ont aucun surcoût (en terme de ressources matérielles ou de temps de calcul) pour la personne qui vérifie la signature obtenue, car elle n'a pas besoin de calculer une fonction de hachage de type caméléon basée sur une exponentiation.
Par ailleurs, le deuxième mode de réalisation utilise des coupons à mémoriser plus petits: Ref:101859 FR 10 É dans le premier mode de réalisation, les coupons comprennent cinq nombres, soit au total 4.IIpII + IIgII bits, et É dans le deuxième mode de réalisation, les coupons comprennent quatre nombres, soit au total 3.IIPII + IIgII bits.
Par contre, dans le deuxième mode de réalisation, le temps de calcul de la signature est un petit peu plus long que dans le premier mode de réalisation, car il faut recalculer h. Dans un troisième mode de réalisation: É au cours de l'étape El, on calcule également t = 9(g,h,y,z,u,v), où 9 est une fonction de hachage, puis, É au cours de l'étape E2, on calcule c = 9(m, t) au lieu de c = 99(m, g, h, y, z, u, v).
Et de préférence: É au cours d'une phase d'initialisation on réalise l'étape El une ou plusieurs fois et on mémorise à la fin de chaque étape El un coupon (k,z, t), puis É on réalise ensuite les étapes E2 et E3 pour chaque message m à signer en utilisant un coupon (k,z,t) mémorisé au cours de l'étape d'initialisation.
Le coupon est ici encore plus petit (seulement trois nombres, soit au total IIpII+IIgII+IItII bits), ce qui permet de mémoriser un grand nombre de coupons, même dans un système disposant de peu de ressources mémoire.
De plus, cette variante avec coupon n'a aucun coût pour la personne qui vérifie la signature: elle n'a pas besoin de calculer une fonction de hachage de type caméléon basée sur une multi-exponentiation.
Enfin, dans la variante "à la volée" des trois modes de réalisation de l'invention, les étapes dites "on-line", c'est-à-dire les étapes E2, E3 réalisées lorsqu'une signature est souhaitée, comprennent seulement le calcul Ref:101859 FR 11 d'une fonction de hachage, d'une addition et d'une multiplication modulaire, ce qui est équivalent aux procédés de signature les plus efficaces (en terme de temps de calcul) connus à ce jour, notamment les procédés de Schnorr, Girault-Poupard-Stern ou PoupardStern.
A noter que, de préférence, dans tous les procédés mis en oeuvre à la volée, lors de:La réalisation des étapes E2 et E3 on utilise un coupon mémorisé au cours de l'étape d'initialisation et non encore utilisé lors de la réalisation de précédentes étapes E2 et E3. Ceci pour des raisons de sécurité naturellement.
Dans un quatrième mode de réalisation: É au cours de l'étape El, on calcule h = e(m,u) au lieu de h = '(u) puis, É au cours de l'étape E2, on calcule c = Cf(g, h, y, z, u, v) au lieu de c = 99(m, g, h, y, z, u, v).
Ce quatrième mode de réalisation est en pratique une amélioration du procédé EDL classique, un peu différente des trois autres modes de réalisation. On obtient une signature 1141 bits plus courte qu'une signature obtenue par un procédé EDL classique. Toutefois, ce mode de réalisation ne peut pas être mis en oeuvre à la volée de manière simple et sans surcoût, contrairement aux trois premiers mode de réalisation.
L'invention concerne également un procédé de vérification d'une signature électronique (z, s, c) d'un message m obtenue par un procédé de signature selon l'invention tel que décrit ci-dessus.
Si le procédé de signature est mis en oeuvre selon le premier ou le deuxième mode de réalisation, le procédé de vérification associé comprend les étapes suivantes, consistant à : Ref:101859 FR 12 É F1: calculer u' = gs.v-c mod p, h' = q(u') et v' = h's.z-c mod p, et É F2 accepter la signature si c = 9(m,g,h',y,z,u',v') ou refuser la signature sinon.
Si le procédé de signature est mis en oeuvre selon le troisième mode de réalisat:Lon, le procédé de vérification associé comprend les étapes suivantes, consistant à : É F1. calculer u' = gs.y-c mod p, h' = q(ut), v' = h's.z-c mod p et t ' = 9(g,h',y,z,u',v'), É F2: accepter la signature si c = 99(m,t') ou refuser la signature sinon.
Si le procédé de signature est mis en oeuvre selon le quatrième mode de réalisat:Lon, le procédé de vérification associé comprend les étapes suivantes, consistant à : É F1: calculer u' = gs.y-c mod p, h' = (m, u') et v' = h's.z-c mod p, et É F2: accepter la signature si c = 99(g,h',y,z,u',v') ou refuser la signature sinon.
L'invention concerne enfin un schéma de signature électronique à sécurité prouvée "tight" dans le modèle de l'oracle aléatoire, au cours duquel on met en oeuvre successivement: É un procédé de génération d'une clé publique y et d'une clé privée x tel que celui utilisé dans le schéma EDL, É un procédé de signature selon l'invention tel que décrit ci-dessus, et É un procédé associé de vérification de signature selon l'invention tel que décrit ci-dessus.
Tous les procédés de signature selon l'invention sont à sécurité prouvée de type "tight", donc au moins aussi sûrs que le procédé de signature EDL. La preuve de sécurité des procédés selon l'invention est similaire à Ref: 101859 FR 13 celle développée pour le schéma EDL dans Eu-Jin Goh and Stanislaw Jarecki, A signature scheme as secure as te Diffie-Hellman problem. EUROCRYP'03, lecture notes in Computer science, pages 401-415, Springer Verlag, may 2003.
L'invention concerne enfin un composant électronique portable comprenant des moyens pour mettre en oeuvre un procédé de signature et / ou un procédé de vérification et / ou un schéma de signature selon l'invention.
Un tel composant électronique est par exemple une carte à puce, ou bien une puce électronique sécurisée (en anglais TPM pour Trusted Platform Module) destinée à être utilisée dans un ordinateur classique de type PC non sécurisé.
Ref::L01859 F'R 14
Claims (11)
1. Procédé de signature électronique d'un message m, caractérisé en ce qu'il utilise: É p un nombre entier premier, É q un nombre entier premier diviseur de (p-l), É g, un élément d'ordre q de l'ensemble Zp des entiers modulo p, É ?' et 9, des fonctions de hachage, É x une clé privée et y, par exemple y = gAx mod p, une clé publique de l'ensemble Zp, pour réaliser les étapes suivantes, consistant à : É El: générer k, un nombre aléatoire k de l'ensemble Zq des entiers modulo q, et calculer u = gk mod p, h = elu), z =hXmodpety= hk mod p, É E2: calculer c = 9(m, g, h, y, z, u, v) et s = k + c.x mod q, et É E3: produire une signature électronique du message m égale à (z, s, c) . 2. Procédé selon la revendication 1, au cours duquel: É au cours d'une phase d'initialisation on réalise l'étape El une ou plusieurs fois et on mémorise à la fin de chaque étape El un coupon (k,u, v,h,z), puis É on réalise ensuite les étapes E2 et E3 pour chaque message m à signer en utilisant un coupon (k,u,v,h,z) mémorisé au cours de l'étape d'initialisation.
3. Procédé selon la revendication 1, au cours duquel: É au cours d'une phase d'initialisation on réalise l'étape El une ou plusieurs fois et on mémorise à la fin de chaque étape El un coupon (k,u, v,z), puis Ref::L01859 FR 15 É on réalise ensuite les étapes E2 et E3 pour chaque message m à signer en utilisant un coupon (k,u,v,z) mémorisé au cours de l'étape d'initialisation et en recalculant h = q(u).
4. Procédé selon la revendication 1, utilisant également une fonction 1 de hachage et dans lequel: É au cours de l'étape El, on calcule également t = 9(g,h,y,z,u,v), , puis, É au cours de l'étape E2, on calcule c = 9(m, t) au lieu de c = 9(m, g, h, y, z, u, v).
5. Procédé selon la revendication 4, au cours duquel: É au cours d'une phase d'initialisation on réalise l'étape El une ou plusieurs fois et on mémorise à la fin 15 de chaque étape El un coupon (k, z,t), puis É on réalise ensuite les étapes E2 et E3 pour chaque message m à signer en utilisant un coupon (k,z,t) mémorisé au cours de l'étape d'initialisation.
6. Procédé selon la revendication 2, 3 ou 5, au cours duquel, lors de la réalisation des étapes E2 et E3 on utilise un coupon mémorisé au cours de l'étape d'initialisation et non encore utilisé lors de la réalisation de précédentes étapes E2 et E3.
7. Procédé selon la revendication 1, dans lequel: É au cours de l'étape El, on calcule h = e(m,u) au lieu de h = ''(u) puis, É au cours de l'étape E2, on calcule c = 9(g, h, y, z, 30 u, v) au lieu de c = 9(m, g, h, y, z, u, v).
8. Procédé de vérification d'une signature électronique (z, s, c) d'un message m obtenue par un procédé de Ref:101859 FR 16 signature selon une des revendications 1, 2, 3 ou selon la revendication 6 prise en combinaison avec la revendication 2 ou 3, caractérisé en ce qu'il comprend les étapes suivantes, consistant à : É F1: calculer u' = gs.y-c mod p, h' = A'(u') et v' = h's.z-c mod p, et É F2: accepter la signature si c = 99(m,g,h',y,z,u',v') ou refuser la signature sinon.
9. Procédé de vérification d'une signature électronique (z, s, c) d'un message m obtenue par un procédé de signature selon une des revendications 4, 5 ou 6 prise en combinaison avec la revendication 5, caractérisé en ce qu'il comprend les étapes suivantes, consistant à : É F1: calculer u' = gs. y-c mod p, h' = ''(u'), v' = h's.z-c mod p et t ' = 9(g,h',y,z,u',v'), É F2: accepter la signature si c = 99(m,t') ou refuser la signature sinon.
10. Procédé de vérification d'une signature électronique (z, s, c) d'un message m obtenue par un procédé de signature selon la revendication 7, caractérisé en ce qu'il comprend les étapes suivantes, consistant à : É F1: calculer u' = gs. y-c mod p, h' = e (m, u') et v' = h's.z-c mod p, et É F2: accepter la signature si c = 99(g,h',y,z,u',v') ou 25 refuser la signature sinon.
il. Schéma de signature électronique à sécurité prouvée "tight" dans le modèle de l'oracle aléatoire, au cours duquel on met en oeuvre successivement: É un procédé de génération d'une clé privée x et d'une clé publique y tel que celui utilisé dans le schéma EDL, É un procédé de signature selon l'une des revendications 1 à 7, et É un procédé associé de vérification de signature selon 35 la revendication 8 à 10.
Ref:101859 FR 17 12. Composant électronique portable, comprenant des moyens pour mettre en oeuvre un procédé selon l'une des revendications 1 à 10 ou un schéma de signature selon la revendication 11.
13. Composant électronique selon la revendication 12, de type carte à puce.
14. Composant électronique selon la revendication 12, de type puce électronique sécurisé, et destiné à être 10 utilisé dans un ordinateur de type PC non sécurisé.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0411789A FR2877788B1 (fr) | 2004-11-05 | 2004-11-05 | Procede de generation de signature avec preuve de securite "tight", procede de verification et schema de signature associes bases sur le modele de diffie-hellman |
| EP05858607A EP1820297A1 (fr) | 2004-11-05 | 2005-10-18 | Procédé de génération de signature avec preuve de sécurité "tight", procédé de vérification et schéma de signature associés basés sur le modèle de diffie-hellman |
| US11/667,062 US20090138718A1 (en) | 2004-11-05 | 2005-10-18 | Method of generating a signature with "tight" security proof, associated verification method and signature scheme based on the diffie-hellman model |
| PCT/EP2005/055347 WO2007065468A1 (fr) | 2004-11-05 | 2005-10-18 | Procédé de génération de signature avec preuve de sécurité 'tight', procédé de vérification et schéma de signature associés basés sur le modèle de diffie-hellman |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0411789A FR2877788B1 (fr) | 2004-11-05 | 2004-11-05 | Procede de generation de signature avec preuve de securite "tight", procede de verification et schema de signature associes bases sur le modele de diffie-hellman |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2877788A1 true FR2877788A1 (fr) | 2006-05-12 |
| FR2877788B1 FR2877788B1 (fr) | 2007-01-05 |
Family
ID=34952518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0411789A Expired - Fee Related FR2877788B1 (fr) | 2004-11-05 | 2004-11-05 | Procede de generation de signature avec preuve de securite "tight", procede de verification et schema de signature associes bases sur le modele de diffie-hellman |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090138718A1 (fr) |
| EP (1) | EP1820297A1 (fr) |
| FR (1) | FR2877788B1 (fr) |
| WO (1) | WO2007065468A1 (fr) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100280873A1 (en) * | 2009-04-30 | 2010-11-04 | Bryant Justin K | Electronic coupon storage and manipulation system and method |
| EP3876155B1 (fr) | 2020-03-02 | 2023-02-22 | Nxp B.V. | Dispositif rfid et procédé de fonctionnement d'un dispositif rfid |
| US20230224164A1 (en) | 2020-06-02 | 2023-07-13 | Nec Corporation | Signature verification system, signature verification method, and program |
| US20230224165A1 (en) | 2020-06-02 | 2023-07-13 | Nec Corporation | Signature verification system, signature apparatus, signature verification method, and program |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080082446A1 (en) * | 1999-10-01 | 2008-04-03 | Hicks Christian B | Remote Authorization for Unlocking Electronic Data System and Method |
| US7020776B2 (en) * | 2000-06-22 | 2006-03-28 | Microsoft Corporation | Cryptosystem based on a Jacobian of a curve |
| CN101099329B (zh) * | 2004-11-11 | 2012-12-26 | 塞尔蒂卡姆公司 | 基于椭圆曲线的新陷门单向函数及其用于较短签名和非对称加密的应用 |
-
2004
- 2004-11-05 FR FR0411789A patent/FR2877788B1/fr not_active Expired - Fee Related
-
2005
- 2005-10-18 EP EP05858607A patent/EP1820297A1/fr not_active Withdrawn
- 2005-10-18 US US11/667,062 patent/US20090138718A1/en not_active Abandoned
- 2005-10-18 WO PCT/EP2005/055347 patent/WO2007065468A1/fr active Application Filing
Non-Patent Citations (2)
| Title |
|---|
| EU-JIN GOH, STANISLAW JARECKI: "A SIGNATURE SCHEME AS SECURE AS THE DIFFIE-HELLMAN PROBLEM", EUROCRPYT 2003, 4 May 2003 (2003-05-04), WARSAW, POLAND, pages 1 - 15, XP002332179, Retrieved from the Internet <URL:http://theory.lcs.mit.edu/~stasio/Papers/gj03.pdf> [retrieved on 20050514] * |
| SHAMIR A ET AL: "IMPROVED ONLINE/OFFLINE SIGNATURE SCHEMES", ADVANCES IN CRYPTOLOGY. CRYPTO 2001. 21ST ANNUAL INTERNATIONAL CRYPTOLOGY CONFERENCE, SANTA BARBARA, CA, AUG. 19 - 23, 2001. PROCEEDINGS, LECTURE NOTES IN COMPUTER SCIENCE ; VOL. 2139, BERLIN : SPRINGER, DE, 19 August 2001 (2001-08-19), pages 355 - 367, XP000988709, ISBN: 3-540-42456-3 * |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2877788B1 (fr) | 2007-01-05 |
| US20090138718A1 (en) | 2009-05-28 |
| EP1820297A1 (fr) | 2007-08-22 |
| WO2007065468A1 (fr) | 2007-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2296086B1 (fr) | Protection d'une génération de nombres premiers contre des attaques par canaux cachés | |
| WO2007074149A1 (fr) | Procédé cryptographique comprenant une exponentiation modulaire sécurisée contre les attaques à canaux cachés, cryptoprocesseur pour la mise en oeuvre du procédé et carte à puce associée | |
| EP2256987A1 (fr) | Protection d'une génération de nombres premiers pour algorithme RSA | |
| CA2553176A1 (fr) | Procedes et dispositifs cryptographiques sans transfert de connaissance | |
| EP2371083B1 (fr) | Signature de groupe a vérification locale de révocation avec capacité de levée d'anonymat | |
| EP3334121A1 (fr) | Procédé de génération d'une signature électronique d'un document associé à un condensat | |
| FR2748877A1 (fr) | Protocole de signature numerique a largeur de bande reduite | |
| EP1145483B1 (fr) | Procede d'authentification ou de signature a nombre de calculs reduit | |
| WO2006030107A1 (fr) | Procede de traitement de donnees, entite electronique et carte a microcircuit, notamment pour dechiffrer ou signer un message de façon securisee | |
| EP0909495B1 (fr) | Procede de cryptographie a cle publique | |
| WO2007065468A1 (fr) | Procédé de génération de signature avec preuve de sécurité 'tight', procédé de vérification et schéma de signature associés basés sur le modèle de diffie-hellman | |
| EP0963638B1 (fr) | Procede de signature numerique | |
| Nikolay | Digital signature scheme based on a new hard problem | |
| FR2752122A1 (fr) | Procede d'authentification a nombre reduit de bits transmis | |
| EP2587716A1 (fr) | Procédé de signature cryptographique de messages, procédé de vérification de signature et dispositifs de signature et de vérification correspondants | |
| WO2012085215A1 (fr) | Procede et systeme pour l'authentification multi-modale multi-seuil utilisant le partage de secret | |
| WO1998051038A1 (fr) | Generateur pseudo-aleatoire base sur une fonction de hachage pour systemes cryptographiques necessitant le tirage d'aleas | |
| WO2007057610A1 (fr) | Systeme et procede cryptographique d'authentification ou de signature | |
| WO1998037662A1 (fr) | Systeme cryptographique comprenant un systeme de chiffrement et de dechiffrement et un systeme de sequestre de cles, et les appareils et dispositifs associes | |
| WO2001010078A1 (fr) | Schemas de signature a base de logarithme discret avec reconstitution partielle ou totale du message | |
| EP4239944A1 (fr) | Procédé de signature cryptographique d'une donnée, dispositif électronique et programme d'ordinateur associés | |
| EP3929726A1 (fr) | Procede de traitement cryptographique,dispositif electronique et programme d'ordinateur associes | |
| FR3143243A1 (fr) | Signature et dechiffrement de message securises par double rsa-crt | |
| WO2006045660A2 (fr) | Procede de generation de signature a la volee avec preuve de securite | |
| FR2842968A1 (fr) | Procede d'obtention d'une signature electronique possedant une garantie sur sa securite |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |
Effective date: 20090731 |