JP2001507479A - ランダム抽出を必要とする暗号システムのためのハッシュ関数に基づく疑似ランダム生成器 - Google Patents
ランダム抽出を必要とする暗号システムのためのハッシュ関数に基づく疑似ランダム生成器Info
- Publication number
- JP2001507479A JP2001507479A JP54778798A JP54778798A JP2001507479A JP 2001507479 A JP2001507479 A JP 2001507479A JP 54778798 A JP54778798 A JP 54778798A JP 54778798 A JP54778798 A JP 54778798A JP 2001507479 A JP2001507479 A JP 2001507479A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- random number
- message
- key
- cryptographic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
- 238000000605 extraction Methods 0.000 title abstract description 7
- 238000004891 communication Methods 0.000 claims abstract description 8
- 238000000034 method Methods 0.000 claims description 30
- 239000013598 vector Substances 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000004422 calculation algorithm Methods 0.000 description 39
- 238000004364 calculation method Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000033764 rhythmic process Effects 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
- 235000002020 sage Nutrition 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/20—Manipulating the length of blocks of bits, e.g. padding or block truncation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Finance (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
本発明は、整数である乱数kの抽出を通常必要とする、暗号システムに関するものであり、hはハッシュ関数、mは当該システムに介在するメッセージであり、「秘密」は暗号システムの外界にとって未知の秘密である量h(m/秘密)で前記乱数kを置き換えることで実施されることを特徴とする。本発明は特に、チップカード、PCMCIAカード、バッヂ、非接触カードまたはその他全ての携帯機器である通信機器への適用に向けられたものである。
Description
【発明の詳細な説明】
ランダム抽出を必要とする暗号システムのためのハッシュ関数に基づく疑似ラン
ダム生成器
本発明は、(署名についてはDSA、El−Gamal、Fiat−Sham
ir、Guillou−Quisquater、暗号化についてはEl−Gam
al、McElieceに代表される)ランダム抽出を必要とする電子署名また
は暗号を、ランダム抽出を可能にするハードウェアまたはソフトウェア資源を備
えていない(マイクロプロセッサーに代表されるような)署名または暗号化装置
を用いて、生成できるシステムに関するものである。
本発明は、更に、処理すべき情報の補完を可能にするランダム・シーケンスを
少ない費用、即ち安価に生成することによって(短いメッセージの暗号化や、C
oppersmith他により、96年のEurocrypt誌の記事"Low
Exponent with Related Message"および"Fi
nding a small root of a univariate m
odular equation"で発表された最近の攻撃行為等に代表される
)幾つかの脅威に対処する為に、防御や防御手段を提供する。
また本発明により、空白署名またはランダム偽装のメカニズムの範囲内で使用
される遮蔽因数の生成も可能となる。
最後に、本発明はDiffie−Hellman型の鍵交換プロトコルで使用
可能である。
チップ・カードの概念は一般に普及し快く受け入れられているにもかかわらず
、
カードの計算能力が限られたものであるというのが主な理由で、実際的な応用の
大半が見られるようになったのは高々ここ数年のことでしかない。情報の不揮発
性保存容量、回路(例えばEEPROM)のセキュリティおよびテクノロジーの
面での進歩に促され、米国電子署名新標準(DSA)に見られるような、ますま
す野心的な新世代のカードやアプリケーションが急速に誕生して来ている。
公開鍵式アルゴリズムのインプリメンテーション媒体としてのチップ・カード
に見られる大きな制約とは、(しばしば体験されることだが)乱数生成装置をカ
ードに搭載する必要があることである。実際、そのような、生成器とも呼ばれる
装置は、開発が複雑で、(環境温度やカードへの印可電圧などの、カードの外界
の現象に感応して)不安定になることがよくある。そのような暗号システムをコ
ンピュータで実行すると、ソフトウェアのランダム生成器それ自体の性質によっ
て他の現象が発生し、乱数の質を攪乱することになる。典型的には、よく知られ
た乱数生成方法は、ユーザーがキーボードを2回押す間に経過した時間を計測す
ることから成り立つ。最近の不正の場合によれば、この類の生成器は、攻撃者が
色々な叩き方での経過時間を知っている不正装置を用いてキーボードを装えば、
どうにか侵入できてしまうということが分かる。
本発明は、以下のようなソフトウェアもしくはハードウェアのプラット・フォ
ームでの良質の乱数抽出を必要とする暗号システムの実施を可能とする代替解決
策を提案するものである。
1.乱数生成手段がなく、
2.または品質の悪い乱数を生成する、
3.またはシステムの設計者が、動作の外部的および内部的条件の変更により、
乱数の品質に外部要素からの危険がおよびかねないという疑いを抱く時。
本発明は様々の種類の暗号アルゴリズムに応用される。本発明をより良く理解
する為、また請求の範囲の内容を詳細な説明において取り上げる前に、本発明が
応用される、6種類ある前記暗号アルゴリズムの種類の主な特徴を想い起こすこ
とが有益である。
応用される種類の第一のものは、El−Gamal型の署名方式に関するもの
である。
雑誌IEEE Transactions on Information
Theory,vol.IT−31,no.4,1985,pp.469−47
2に発表された”Apublic−key cryptosystem and
a signature scheme based on discrete
logarithms”という記事に記載されたEl−Gamal署名アルゴ
リズムは、幾つもの周知の署名アルゴリズムを生み出した;例えば、米国特許第
4,995,082号のSchnorr、ロシア連邦電子署名標準規格GOST
34−10、米国電子署名標準DSA等である。
DSAの枠内で説明された以上は、同じ種類の他のアルゴリズムを用いた本発
明の応用は、当業者によって、容易に実施され得るであろう。
その後は、DSAアルゴリズムと呼ばれている。
電子署名標準(DSA,米国特許第5,231,668号、発明の名称「デジ
タル署名アルゴリズム」"Digital Signature Algori
thm")は、従来の署名に代わる電子署名を必要とする応用に適切な基礎を与
える目的で、米国国立標準・技術研究所"US National Insti
tute of Standards and Technology”によっ
て提案されたものである。DSA署名は二進数列によってコンピュータ内部に表
現された一対の大きな数である。電子署名は、一連の計算規則(DSA)とパラ
メータ・セットとによって計算され、署名の証明とデータの完全性とが同時に認
証できるようになっている。DSAは署名を生成し検証することができる。
署名生成方法は(電子署名を作りだす為に)プライベート鍵を使用する。検証
方法は、秘密鍵に対応し、しかもそれとは同じにならないような公開鍵を使用す
る。各ユーザーは(公開と秘密の)一対の鍵を持つ。公開鍵は万人に知られてい
るが、秘密鍵は決して漏洩しないことになっている。あるユーザーの署名をその
人の公開鍵を使って検証することは誰にでもできるが、そのユーザーの秘密鍵を
使わない限り、署名の生成はできない。
DSAのパラメータは以下の通り。
512≦L≦1024の時に2L-1<p<2L、そして任意のαに対してL=6
4αとなるような、素数係数p
2159<q<2160でp−1がqの乗数であるような、素数係数q
hが1<h<p−1を検証する任意の整数である場合にg=h(p-1)/q mo
d p であるような、pを法とするq次の数g
ランダムに、または疑似ランダムに生成される数x
y=gx mod p という関係式で定義される数y
0<k<qとなるようにランダムに、または疑似ランダムに生成される数k
整数p,qおよびgは、システムのパラメータであり、一つのユーザーグルー
プで公開され、および/または共有されうるものである。一人の署名者の秘密鍵
と公開鍵は、それぞれxとyである。パラメータxおよびkは署名の生成に使用
され、秘密が保たれていなければならない。パラメータkは各署名毎に再生成さ
れなければならない。
メッセージm(初期ファイルMのハッシュ値)に署名する為に、署名者は、以
下の数式により署名(r,s)を計算する。
r=gk mod p mod q およびs=(m+xr)/k mod
q
ここで、kで割ることはqを法とするものと理解する(即ち、1/kはkk’≡
1 mod qとなるような数k’である)。
例えば、もしq=5かつk=3ならば、3×2=6≡1 mod 5だから、
1/k=2。
DSAの記述で説明されているように、rおよびs≠0をテストした後は、署
名{r,s}は検証者に送られて、以下のように計算される。
w=1/s mod q
u1=m w mod q
u2=r w mod q
v=gu1yu2 mod p mod q
そして署名を受け入れるか拒絶する為にvとrが等しいかどうかを比較する。
第二の種類のアルゴリズムもまた署名の方式に関するものである。漏洩無しの
プロトコルから派生した方式を意味する。
本発明の応用される第二の種類の署名アルゴリズムは(典型的にはそれぞれ米
国特許第4,748,668号および第5,140,634号のFiat−Sh
amirもしくはGuillou−Quisquater)無漏洩プロトコルか
ら派生したものである。従って、これらのプロトコル内の一つだけが記述される
ことになる。一度、GuillouとQuisquaterのアルゴリズムに応
用されれば、本発明を、この種類の他のアルゴリズムにまで延長することは、当
業者にとっては自明のこと
である。
Guillou−Quisquaterのアルゴリズムのパラメータは以下の
通り。
二つの秘密素数pおよびqで、そのサイズは少なくとも256ビットに等しい
;これらの素数は特殊な方法で生成されるが、その詳細は本発明の理解には不可
欠ではないものの、Bruce Schneier著(Marc Vaucla
ir訳)Thomson出版社発行の「応用暗号法、アルゴリズム、プロトコル
およびソース・コード」という著作に見いだしうる。
公開係数n=pqおよび署名識別を示すID列
BV ID=1 mod nとなるような公開羃数vと秘密鍵B;パラメータ
Bは秘密にしておかなければならない。
メッセージmに署名する為に、送信器が乱数kの抽出を行い、最初の証拠T=
kV mod nを計算し、下記の署名を生成する。
d=h(T,m)およびD=k Bh(T,m) mod n
検証者が署名の真正性を確認するには、以下の式を検証する。
T’=DV Idd の時にd=h(T’,m)
第三の種類の応用は乱数を必要とする公開鍵式暗号化方式に関するものである
。
これ以後に記載された乱数を必要とする暗号化の第一のアルゴリズムはEl−
Gamalのものである。
このアルゴリズムのパラメータは以下の通りである:
(少なくとも512ビットの)素数係数p;
pを法とするp−1次の(即ち全ての整数uについて、0<u<p−1,gu
≠1 mod p)数g;
1≦x≦p−2となるようにランダムに、または疑似ランダムに生成される数
x;
y=gx mod pという関係式で定義される数y;
0<k<qとなるようにランダムに、または疑似ランダムに生成される数k。
整数pおよびgは、一つのグループのユーザーで公開され、および/または共
有されるシステムパラメータである。暗号化公開鍵は数yであり、復号化秘密鍵
は、数xである。
パラメータkは暗号の生成に使用され、しかも漏洩されてはならない。更に、
暗号化の度に再生成されなければならない。
0≦m≦p−1のメッセージmの暗号は一対の整数(r,s)であり、下記の
式が成り立つ。
r:gk mod p およびs=m yk mod q
メッセージmを再び見いだすには、(xを有する)暗号の受信器は下記の計算
を行う。
s/rx mod p
これはまさにmである。
ランダムの生成を必要とする暗号化の第二のアルゴリズムは、符号の理論の問
題に基づくMcElieceの方式であり、更に詳しく言うと、Goppaの符
号という名称で知られている特殊な符号の類を使用している。一般的な考え方と
しては、Goppaの符号を任意の線形符号で偽装することである;実際、Go
ppaの符号を効率的にデコードするアルゴリズムは存在するが、その一方で、
一般的な線形符号をデコードすることは難しい問題である。従って、符号を偽装
できた情
報を知っている受信器は、得られたGoppaの符号をデコードすることによっ
て、メッセージを復号化することができるだろう。
McElieceのアルゴリズムのパラメータ(以下の全ての式はGF(2)
で理解されている)は下記の通りである:
数n,kおよびt、つまりシステムのパラメータ;McElieceは自分の
暗号化方式を記載する独創的な記事の中で、n=1024,t=50およびk=
524を提案している。
下記の構成要素からなる秘密鍵:
・サイズnでk次,tエラーを訂正し、対応するデコードのアルゴリズムを有す
る二進法Goppa符号の生成行列G;
・k×k次のランダム正則行列S;
・サイズnの乱数置換行列P;
下記の構成要素からなる、対応する公開鍵;
・Gと等価の符号の生成行列T=SGP;
・補正値t;
kビットのメッセージmのMcElieceのアルゴリズムによる暗号化は以
下の計算式で行われる。
c=mT+e
但し、eは、tに等しいハミング荷重でランダムに選択されたエラーのベクト
ルである。
cの復号化は以下の計算式で行われる。
cP-1=mTP-1+eP-1=mSG+eP-1
eのウェイトがtである以上、eP-1のウェイトもtである。従って、ベクト
ルcP-1は符号Gによって補正可能である。デコードによって復号化器はmSを
得て、復号化器はSを知っておりSは正則なので次にmを得る。
第四の種類の応用はランダムの「パディング」を必要とする暗号化方式に関す
るものである。
暗号化すべきデータをまず「パディング」しなければならないというのは珍し
いことではなく、即ち、固定サイズのデータを得る為に補完されるということで
ある。この観点からの説明は例えば、R.Rivest、A.Shamir並び
にL.Adlemanによって1978年に発表され、ついで米国特許第4,4
05,829号「暗号通信システムとその方法」として特許になったRSA暗号
化でなされうる。
RSA暗号は二進法または十六進法暗号のストリングによってコンピュータ内
部で表される大きな数である。暗号の計算に使用されるのはソフトウェア(プロ
グラム)および/またはハードウェア(電子回路)資源であり、それらは一連の
計算規則(暗号化アルゴリズム)を実施しており、それはまた、処理されるデー
タの内容を隠蔽する為に誰にでもアクセスできるパラメータセットの処理の際に
適用されなければならない。同様に、暗号の復号化に使用されるのはソフトウェ
アまたはハードウェアの計算資源であり、それらは一連の計算規則(復号化アル
ゴリズム)を実施しており、それはまた(暗号受信器によって)、秘密パラメー
タセットと暗号に応用される。
暗号化の方法は、暗号を作りだす為に、公開鍵を用いる。復号化方法は、秘密
鍵に対応するが、しかも、それとは同一にならないプライベート鍵を使用する。
各ユーザーは(公開と秘密の)一対の鍵を持ち、公開鍵は万人に知られているが
、秘密鍵は決して漏洩しないことになっている。あるユーザーへのメッセージを
、その人の公開鍵を使って暗号化することは誰にでもできるが、そのユーザーの
秘密鍵を使わない限り、暗号の復号化はできない。
RSAのパラメータは以下の通りである:
二つの秘密素数pおよびqで、そのサイズは少なくとも256ビットに等しい
。これらの素数は特殊な方法で生成されるが、その詳細は本発明の理解には不可
欠ではないものの、Bruce Schneier著(Marc Vaucla
ir訳)Thomson出版社発行の「応用暗号法、アルゴリズム、プロトコル
およびソース・コード」という著作に見いだしうる。
公開係数n=pq;
以下のように記された指数の対(e,d):
ed=1 mod(p−1)(q−1)
「暗号化指数」と呼ばれる指数eは全てにアクセス可能であり、一方「復号化
指数」dは秘密のままでなければいけない。
メッセージmを暗号化するために、送信器は暗号c=me mod nを計算し
、受信器は、m=cd mod nを計算することでcを復号化する。
因数分解の問題に基づくアルゴリズムのセキュリティは、技術の規則で実施さ
れるパラメータの選択のために、係数のサイズで、および互いに特別な関係を持
たないメッセージの暗号化の一般的な場合、発信器と受信器の間の機密性を保証
することを可能にする。
その反面、Coppersmith等によるEurocrypt ’96にお
いて(なかでも、参照番号LNCS 1070のもとSpringer−Ver
lagにおける会議の議事録に出版された≪Low Exponent wit
h Related Message≫および≪Finding a smal
l root of a univariate modular equat
ion≫において)紹介された最新の攻撃では、小さいサイズの同じ指数で暗号
化されたメッセージの間での多項式の関係の存在を示しており、暗号化する装置
が一般的には、パフォーマンスの理由で暗号化するために、公開指数e=3を使
用するアプリケーションの範囲内で、十分に生じることが可能であり、明快な文
章を示す効果的な攻撃を可能にする。
可能な防御はランダムシーケンスでメッセージを「パディングする」(ただし
ある程度注意を払いつつ)またはメッセージ間のあらゆる関係を破壊すること、
それは、アプリケーションによると常に可能とは限らない。
したがって、暗号化の段階で以下の変更を導入する:
メッセージmを暗号化するために、発信器が、ある一定のランダム角度を有す
るシーケンスSrを生成し、暗号c=(m|sr)e mod n、|は連結を示す
、を計算する;受信器は、cd mod nを計算しながら、cを復号化し、パデ
ィングを削除しながらmを検索する。
メッセージのパディングの正確な方法は、適用する規格要求またはセキュリテ
ィの領域で要求されるレベルにより、多様になることが可能である。
アプリケーションの第五の種類は、遮蔽因数および空白署名に関する。
同業者にプリミティブと呼ばれ、数多くの方式および暗号プロトコルに使用さ
れる基本的機能性は、与えられたメッセージの空白署名のメカニスムである。
Chaum(米国特許第4,759,063号および欧州特許第0139313
号)により発見され特許となった、この機能性により、署名送信者がメッセージ
を知ることなく、メッセージを署名させることが可能になる。それは遮蔽因数の
生成を必要とし、署名の要求者のみが知るメッセージを隠すことを可能にする。
使用されるメカニスムは、El Gamal型の署名の方式にもRSAにも同様
に上手く適用される。
一度、RSAの範囲内で示されると、本発明の、署名のその他のアルゴリズム
へのアプリケーションは、同業者にとって明らかになる。ここでは、RSAに基
づいた空白署名のメカニスムだけが説明される。
本発明の応用の第四の種類の説明の範囲内で使用される表記法を再び挙げると
、署名RSAは次のようになる::
s=md mod n
検証は自然となされる:
se mod n=(md)e mod n=m
メッセージmの送信器Eによる空白署名の獲得過程は:
Eは乱数kを生成し、遮蔽因数k mod nを計算し、m’=mke mod
nを受信器または(署名送信者)へ送信する;
受信器は、m’の署名であるs’=m’d mod nを計算し、s’からEへ
送信する;
Eはs’/k=(mke)d/k=mdked/k=md mod nを計算し、よ
ってmの署名sを得る。
遮蔽因数による乗算のこの技術も、乱数偽装の範囲内で繰り返される(欧州特
許出願EP91402958.2)。
乱数偽装の方法は、例えば、装置Aが、装置Bには完全にオペランドを明かさ
ないまま、装置Bに計算の下請けをしようとする場合に用いられる。簡約化計算
を例にとってみる;Aは、nを法として減少させる数値を偽装することができ、
同時に係数の乱数倍数によってこの数値を倍加させる。こうして、仮にAがc=
ab mod nを得たいとすると、Aは乱数kを生成し、c’=ab+kn(
knは積abを遮蔽する)を計算し、c’を装置Bへ簡約のために送信すること
ができる。
装置Bは c’ mod n=ab+kn mod n=cを計算する。
この技術はついにCrypto ’96(”Timing attacks
on Implementation of Diffie−Hellman,
RSA,DSSand Other Systems”Springer−Ve
rlagで発表された会議報告書(参照番号LNCS 1109))で、Koc
herの攻撃に対する防御を提案することを可能とし、これは秘密の大きさの価
値を推測するためにこれを増加させる計算を行う時間を計るものに基づく。
実際、効果的な防御は、遮蔽因数によって、計算時間と大きさの相関関係を除
去するために操作された秘密の大きさを倍加させることである。例えばRSA署
名の場合(同業者はこの結果を攻撃によって関わりのあるアルゴリズムの全体、
特に、秘密の指数と共にモジュラー指数計算を引き起こすあらゆるものにまで拡
張することができる)、発明の応用の第四の種類の記述の範囲の中で使われてい
る表記法を用いると、以下のようになる。
署名送信者は乱数kを生成し、以下の計算を行う。
d’=d+k(p−1)(q−1)
署名送信者は次に、mの署名を生成し、以下の計算を行う。
md'=md+k(P-1)(q-1)=md(m(P-1)(q-1))k=md mod n
発明の応用の第六の種類は、Diffie−Hellmanの方法に基づく鍵
交換の方式に関するものである。
Diffie−Hellman鍵交換アルゴリズムは、IEEE Trans
actions on Information Theory,vol.IT
−22 No.6に発表された「New Directions in Cry
ptography」において記載され、米国において第4.200.770号
で特許取得されている公開鍵の第一アルゴリズムである。この方法は、2つの部
分または装置を動作させ、未定義のチャネルを通じて秘密情報を承認するもので
ある。
Diffie−Hellmanプロトコルのパラメータは以下の通りである。
機器(A)と機器(B)が互いに承認する2つの公開パラメータ:少なくと
も512ビットの素数pとpを法とする原始根である整数g。この2つのパラメ
ータは場合によって、利用者に共通であることが可能である。
プロトコルは以下のように展開する:
秘密情報の共有のため、2つの機器は次のような演算を実行する:
・機器Aは乱数xを生成し、大きさX=gx mod pを計算する。
・機器Bが乱数Yを生成し、大きさY=gy mod pを計算する;
・2つの機器が量XおよびYを交換する;
・機器Aが鍵=Yx mod pを計算する;
・機器Bが鍵’=Xy mod pを計算する.
2つの機器がこのようにプロトコルの最後において量 鍵’=鍵=gxy mo
d pの識別を共有する。
次に、2つの機器は、パラメータとして量《鍵》および暗号化するメッセージ
を取ることにより、対称暗号化のアルゴリズムを用いて、チャネルによりメッセ
ージを交換するために、秘密量《鍵》を使用することができる。
本発明の異なった適用種類の記述に従えば、本発明の主な利点を明確にするこ
とが望ましい。
チップカード市場に関する経済的拘束により、原価を改善するための恒常的な
研究が行われる。この努力から、しばしば可能な限り最も簡素な製品を使用する
ことになる。この事実が、あまり高価でない8ビットタイプの、例えば、中心に
おいて80C51あるいは68HC05のマイクロコントローラ上に公開鍵式ア
ルゴリズムをインプリメントすることを可能とするような解決にとって絶えず拡
大する利益を誘発する。
電子署名あるいは暗号化に関する前述の提案と比較した場合におけるこの発明
方法の主たる利点は、署名するあるいは暗号化する回路上の乱数生成器を必要と
せずに、署名が計算できる、または暗号化の操作を行うことができることにある
。
記述を明らかにするためには、提示した様々なシステムの鍵とパラメータの生
成が同様のままであることを明確にする必要がある。したがって、技術の規則の
中で、本発明において提示した署名のアルゴリズム、認証および暗号化に必要な
様々な要素を発生させるために、特許や、通常用いられる書物を参照することに
なるだろう。実用的な参考書はBruce Schneier著(Marc V
auclair 訳)Thomson出版社発行の「応用暗号、アルゴリズム、
プロトコルおよびソース・コード」であろう。
本発明は暗号システムに関するものであり、それは、変数が整数である、変数
kの抽出を通常必要としない;そのシステムは、前記変数kを量h(m|秘密)
に代えることにより実施することを特徴としており、このとき、hはハッシング
の機能を果たし、mは前記システムに介在するメッセージであり、《秘密》は暗
号システムの外部の未知の秘密である。
より正確には、発明の暗号システムは少なくとも以下のものを含む;
・公開鍵式署名システム、
・公開鍵式暗号システム、
・ランダムな《パディング》システム、
・遮蔽因数の生成システム、
・鍵の交換プロトコル。
DSA、Schnorr,El−Gamal、GOST 34.10または楕
円曲線ECDSAの規格IEEE型の公開鍵式署名システムを含む暗号システム
の場合、それぞれの署名の度に署名送信者によって更新される乱数(k)は、x
が署名送信者の秘密鍵である、量h(m|x)によって置きかえられる。
Fiat−ShamirまたはGuillou−Quisquater型の公
開鍵式署名システムを含む暗号システムの場合、それぞれの署名の度に署名者に
よって更新される乱数は、Bが署名者の秘密鍵であり、mが署名するメッセージ
である、量h(m|B)によって置きかえられる。
El Gamal型の公開鍵式暗号化システムを含む暗号システムの場合、そ
れぞれの暗号化されたメッセージの送信の度に、暗号化器によって更新された乱
数(k)は量h(m)に置き換えられる。
McEliece型の公開鍵式暗号化システムを含む暗号システムの場合、暗
号化の度に暗号化器によって更新されるランダム誤差ベクトルeは、mが暗号化
するメッセージである、量h(m)から派生する。
公開鍵式暗号化システムに介在するランダム≪パディング≫システムを含む暗
号システムの場合、暗号化器は復号化器にとって未知の鍵σを所有し、暗号化器
によるメッセージの≪パディング≫は次の過程によって実現される:
a.連結されたkiの長さが少なくとも係数n(例えばRSA暗号化の場合)の
サイズの1/6に等しくなるように、必要なだけki=h(m|σ|i)を生成
する、またはk=h(m|σ)を生成し、拡大する;
b.mr=サイズ(m)|m| {ki}となるようにmrを構成する;
c.mのかわりにmrを暗号化する。
空白署名生成またはランダム偽装作業の枠内での遮蔽因数の生成システムを含
む暗号システムの場合、それぞれの遮蔽または偽装作業の度に送信器によって更
新される乱数(k)は量h(m|σ)によって置きかえられる。
Diffie−Hellman型の鍵交換プロトコルを含む暗号システムの場
合、メッセージmを送信することを望む機器は、ランダム秘密のかわりに、σが
秘密データである、量h(m|σ)を使用する。
この暗号システムでの同じ場合、前記プロトコルは少なくとも次の過程を有す
る:
a.メッセージmを送信することを望む第1の機器がb1=gh(m| σ)mod p
を計算する
b.第2の機器、受信器が乱数aを生成し、b2=ga mod pを計算する
c.2つの機器がb1とb2を交換し、鍵=g2h(m| σ)mod pを計算する
d.第1の機器が、fが対称暗号化メカニズムである、c=f(m,鍵)を計算
する
第1の機器がcを第2の機器に送信し、後者はそれを復号化し、mを見出す。
好ましくは、通信機器はチップカード、PCMCIAカード、バッヂ、非接触
カードまたはその他いっさいの携帯機器である。
好ましくは、本発明を実施する前記機器間の通信は、電子信号、無線波または
赤外線信号の交換によって実現される。
続いて、本発明は、応用の種類の説明に使用された表記法を用いて、より詳細
に示される。
前述のように、ハッシュ作業hによって乱数を生成するという構想である。本
発明の最初の2つの応用の種類については、hはパラメータとして秘密データ、
つまり、署名送信者の秘密鍵、公開データ、署名するメッセージをとるであろう
。
第三の種類については、hは署名するメッセージのみをパラメータとしてとる
であろう。
最後に、他の種類については、hは公開データおよび秘密データ(以下σと記
される)をパラメータとしてとるであろう。
より厳密には:
El−Gamal型の署名の前記方式に関する第一の種類については、乱数k
は次のように生成される:mが署名されるべきメッセージMのハッシングされた
ものであり、xが署名者の秘密鍵である、k=h(m|x)。署名(r,s)の
生成の残りは、もとの方法と同一に行われる。同様に、生成された署名の検証は
不変のままである。
漏洩のないプロトコルから派生した署名の前記方式に関する第二の種類につい
ては、kは次のように生成される:mが署名されるべきメッセージMのハッシン
グされたものであり、Bが署名送信者の秘密鍵である、k=h(m|B)。署名
(d,D)の生成の残りは、もとの方法と同一に行われる。同様に、生成された
署名の検証は不変のままである。
乱数を必要とする暗号化の前記方式に関する第三の種類については、2つの場
合が考えられる:
El Gamal暗号化の場合
乱数kは次のように生成される:mが暗号化されるべきメッセージである、k
=h(m)。次に、前述のように、El Gamalアルゴリズムを行う。復号
化もまた不変のままである。
Mc Eliece暗号化の場合:
乱数から誤差ベクトルeを派生させるかわりに、mが暗号化するメッセージで
ある、h(m)から派生される。eはハミング荷重で正確にtでなければならな
い。サイズn(考慮される符号のサイズ)およびウェイトtをh(m)から派生
させる方法は次の通りである:
サイズnおよびウェイトtのベクトルの順序を定義したとしよう。ベクトルe
のような、h(m)位置(またはh(m)の派生位置、なぜなら、この数は、t
,n、および使用されるハッシュ関数によって、2項式(t,n)を超えること
があるため)にある、このリストのベクトルを選択することができる。
次に、前述のように、McElieceアルゴリズムを行う。復号化もまた不
変のままである。
さらに、このeの生成方法によって、同じメッセージの2回にわたる暗号化の
問題を解決することが可能である。というのは、包括的にMcElieceの場
合、同じメッセージを2回(したがって、異なる誤差ベクトルで)暗号化するの
は不用意である、なぜなら、誤差ベクトルの媒体の一部を推測することができ、
続いて、より容易にメッセージを鮮明に見出すことができるからである。
我々のeの生成では、同じメッセージは常に同じ暗号をもつ。
本発明は、次のように、ランダム≪パディング≫を必要とする暗号の方式に関
する第四の種類に適用される。
明示したように奨励されるセキュリティの措置はランダムシーケンスを≪パデ
ィング≫することである。しかし、ここでもまた、シーケンスが同じメッセージ
の複数の暗号化に変化するとき、メッセージを鮮明に明かす攻撃は依然として可
能である。
乱数の決定的な生成方法の使用によって、この型の現象を効果的に阻止するこ
とが可能である。実際、メッセージmに必要な回数だけ(RSA暗号化の場合、
パディングは少なくともnのサイズの1/6の長さであり、つまり、512から
1024ビットである従来の係数のサイズについては86と171ビットの間で
なくてはならない)、σが少なくとも128ビットの秘密である、値ki=h(
m,σ,i)を加えることによって、攻撃の全体は不可能になる。なぜなら、メ
ッセージ間にはいかなる関係も存在せず、さらに、複数回暗号化された同じメッ
セージは常に同じパディングによってそうなるからである。そこで、メッセージ
mの暗号化は送信器によって次の方法で行われる:
連結されたkiの長さが少なくともnのサイズの1/6に等しくなるように
必要なだけki=h(m|σ|i)を生成する;また、1つだけのk=h(m|
σ)を使用し、kを拡大してからメッセージに連結することを選ぶこともできる
;
mr=サイズ(m)|m| {ki}となるようにmrを構成する;
受信器がmr=cd mod nを計算してcを復合化するために、暗号文c
=mr e mod nを計算する。受信器は、次に、そのサイズと、したがってmr
の有効ビットを知っているので、単にmを抽出する。
遮蔽因数および空白署名に関する第五の種類については、3つの場合が考えら
れる:
kは次のように生成される:mが署名されるべきメッセージであり、σが秘密
データである、k=h(m|σ)。空白署名の生成の残りは、もとの方法と同一
に行われる。同様に、mの署名の抽出は不変のままである;
次のようにkを生成する:aおよびbが乗法するオペランドであり、σが秘密
データである、k=h(a|b|σ)。ランダム偽装作業の残りは、もとの方法
と同一に行われる。同様に、受信器によるc’の係数の約分は不変のままであ
る;
例えば、RSA署名の場合、(p−1)(q−1)の乱数kの倍数を次のよう
に生成する:mが署名するメッセージであり、σが秘密データである、k=h(
m|σ)。指数の偽装作業の残り(d’=d+k(p−1)(q−1))はもと
の方法と同一に行われる。
本発明は、次のように、Diffie−Hellman法に基づく鍵交換の前
記方式に関わる第六の種類に適用される。
Diffie−Hellman型の鍵交換システムにおいて、メッセージmを
送信することを望む、装置とも呼ばれる機器は、乱数のかわりに、σが秘密固定
データである、量h(m|σ)を使用する。当然ながら、明らかに、この方法を
プロトコルの関与者の全体にまで広げることができる。後者は、少なくとも次の
過程を有する:
・メッセージmを送信することを望む第1の装置が、X=gh(m| σ)mod
pを計算する;
・第2の装置、受信器が、乱数yを生成し、Y=gy mod pを計算する;
・2つの装置がXとYを交換し、鍵=gyh(m| σ) mod pを計算する;
・第1の装置が、fが対称暗号化メカニズムである、c=f(m,鍵)を暗号化
する;
・第1の装置が第2の装置にcを送信し、後者はそれを復号化し、mを見出す。
本発明は図1から4によって、より容易に理解されるであろう。
図1は本発明によって提案されるシステムを実施する署名または復号化機器の
フローチャートを示す。
図2は本発明によって提案されるシステムを実施する検証または暗号化機器の
フローチャートを示す。
図3は署名装置と検証装置によって交換されるデータを表す。
図4は暗号化装置と復号化装置によって交換されるデータを表す。
提案された本発明によると、それぞれの署名/復号化機器(典型的にはチップ
カード)は、処理装置(CPU)、通信インターフェース、ラム(RAM)およ
び/または書き込み不可のメモリ(ROM)および/または書き込み可能な(一
般的には再書き込み可能な)メモリ(EPROMまたはEEPROM)で構成さ
れる。
署名/復号化機器のCPUおよび/またはROMは、署名/復号化のアルゴリ
ズムの過程に対応する計算のプログラムまたは資源(計算およびハッシュ関数、
乗法、2乗、加法、係数の逆数、係数の約分の使用規則)を含む。これらの演算
のいくつかはまとめられる:例えば、係数の約分は直接、乗法に含まれることが
できる。
RAMは、ハッシュ関数または、署名生成のための計算規則または暗号生成の
ための計算規則が適用されるメッセージMを含む。E(E)PROMは、少なく
とも、以下の説明に明確にされるように生成されて、使用される、パラメータm
,xおよびkを含む。
CPUは、アドレスおよびデータのバスを介して、通信インターフェース、メ
モリの読取りおよび書き込み作業を作動させる。
それぞれの署名機器は、物理的保護によって外界から保護されている。これら
の保護は許可されていないあらゆる存在が秘密鍵を得ることを防ぐのに十分なは
ずである。今日、この分野において最もよく使われている技術は、セキュリティ
モジュールにチップを内蔵すること、および、温度、光、ならびにクロックの異
常な圧力および周波数の変動を検出することが可能な装置にチップを備えること
である。メモリアクセスのスクランブルなどの特殊な設計技術もまた、使用され
ている。
提案された本発明によると、検証機器は少なくとも、処理装置(CPU)およ
びメモリ資源から構成される。
CPUは、アドレスおよびデータのバスを介して、通信インターフェース、メ
モリの読取りおよび書き込み作業を作動させる。
当局のCPUおよび/またはROMは、署名または暗号化のプロトコルをイン
プリメンテーションすることを可能にする計算のプログラムまたは資源(計算規
則およびハッシュ関数、乗法、累乗および係数の約分)を含む。これらの演算の
いくつかはまとめられる(例えば、係数の約分は直接、乗法の中に含まれること
ができる)。
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 レヴィ−ディ−ヴェエル,フランソワーズ
フランス共和国,エフ―75015 パリ,リ
ュ ルールメル,92
Claims (1)
- 【特許請求の範囲】 1.整数である乱数kの抽出を通常必要とし、前記乱数kをhがハッシュ関数で 、mが前記システムに介在するメッセージで、≪秘密≫が暗号システムであって 、外界の未知の秘密である量h(m|秘密)に代えて実施することを特徴とする 暗号システム。 2.少なくとも以下のものを含むことを特徴とする、請求項1に記載の暗号シス テム。 −公開鍵式署名システム −公開鍵式暗号化システム −乱数「パディング」システム −遮蔽因数生成システム −鍵交換プロトコル 3.各々の署名が、xが署名送信者の秘密鍵である量h(m|x)に代えられる 際、署名送信者によって乱数(k)が更新されることを特徴とする、請求項2に 記載の、DSA型、Schnorr,EL−Gamal、GOST 34.10 公開鍵式署名システムまたはECDSA楕円曲線IEEE規格を含む暗号システ ム。 4.各署名の際、署名送信者によって更新される乱数が、Bが署名送信者の秘密 鍵であり、mが署名すべきメッセージである量h(m|B)に代えられることを 特徴とする、請求項2に記載の、Fiat−ShamirまたはGuillou −Quisquarter型公開鍵式署名システムを含む暗号システム。 5.暗合化されたメッセージの各送信の際、暗号化器によって更新される乱数 (k)が量h(m)に代えられることを特徴とする、請求項2に記載の、EL Gamal型公開鍵式暗号化システムを含む暗号システム。 6.暗号化の都度暗号化器によって更新される乱数エラーeのベクトルが、mが 暗号化すべきメッセージである量h(m)から派生されることを特徴とする、請 求項2に記載の、McEliece型公開鍵式暗号化システムを含む暗号システ ム。 7.暗号化器が復号化器の未知の鍵σを所有し、メッセージのパディングが以下 の過程から実現される、請求項2に記載の、公開鍵式暗号化システムに介在する ランダム「パディング」システムを含む暗号システム。 a.連結されたkiの長さが係数nのサイズの少なくとも1/6に等しくなる (例えばRSA暗号化の場合)のに必要なだけki=h(m|σ|i)を生成さ せるか、またはk=h(m|σ)を生成させ、それを膨張させる、 b.mr=サイズ(m)|m|{Ki}であるmrを組み入れる、 c.mの代わりにmrを暗号化する。 8.遮蔽または偽装の各オペレーション乱数(k)が、送信器によって更新され る量h(m|σ)に代えられることを特徴とする、請求項2に記載の、空白署名 生成のあるいは乱数偽装オペレーションの枠内での遮蔽因数生成システムを含む 暗号システム。 9.メッセージmの送信を望む機器が秘密乱数の代わりに、σが秘密データであ る量h(m|σ)を使用することを特徴とする、請求項2に記載の、Diffi e−Hellman型鍵交換プロトコルを含む暗号システム。 10.前記プロトコルが少なくとも以下の過程を含むことを特徴とする、請求項 9に記載の暗号システム。 a.メッセージmの送信を望む第1の機器がb1=gh(m| σ) mod pを計 算する。 b.第二の機器、受信器が乱数aを生成させ、b2=g2 mod pを計算す る。 c.2つの機器はb1とb2を交換し、鍵=g3h(m| σ) mod pを暗号化す る。 d.第1の機器は、fが対称暗号化メカニズムであるc=f(m、鍵)を暗号 化する。 第1の機器はcを第二の機器へ送信し、そこでそれは復号化され、mが見出され る。 11.通信するシステムはチップカード、PCMCIAカード、バッヂ、非接触 カードまたはその他あらゆる携帯機器であることを特徴とする、請求項1〜10 のいずれか1つに記載の暗号システム。 12.実施する前記機器Ie間の通信は電子信号、無線電波または赤外線信号交 換を媒介として実現されることを特徴とする、請求項1〜11のいずれか1つに 記載の暗号システム
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9706198A FR2763194B1 (fr) | 1997-05-07 | 1997-05-07 | Generateur pseudo-aleatoire base sur une fonction de hachage pour systemes cryptographiques necessitant le tirage d'aleas |
| FR97/06198 | 1997-05-07 | ||
| PCT/FR1998/000901 WO1998051038A1 (fr) | 1997-05-07 | 1998-05-05 | Generateur pseudo-aleatoire base sur une fonction de hachage pour systemes cryptographiques necessitant le tirage d'aleas |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001507479A true JP2001507479A (ja) | 2001-06-05 |
Family
ID=9507074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP54778798A Abandoned JP2001507479A (ja) | 1997-05-07 | 1998-05-05 | ランダム抽出を必要とする暗号システムのためのハッシュ関数に基づく疑似ランダム生成器 |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP0980607A1 (ja) |
| JP (1) | JP2001507479A (ja) |
| CN (1) | CN1262830A (ja) |
| AU (1) | AU7659598A (ja) |
| CA (1) | CA2288767A1 (ja) |
| FR (1) | FR2763194B1 (ja) |
| WO (1) | WO1998051038A1 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005210271A (ja) * | 2004-01-21 | 2005-08-04 | Mitsubishi Electric Corp | 被認証装置および認証装置および認証システムおよびデジタル認証方法およびデジタル認証集積回路 |
| JP2017517770A (ja) * | 2014-06-02 | 2017-06-29 | クアルコム,インコーポレイテッド | 半決定論的デジタル署名生成 |
| JP2022526934A (ja) * | 2019-03-25 | 2022-05-27 | マイクロン テクノロジー,インク. | ブロックチェーンを基にしたメモリコマンドの正当性確認 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2788909B1 (fr) * | 1999-01-27 | 2004-02-20 | France Telecom | Procede d'authentification ou de signature a nombre de calculs reduit |
| FR2814577B1 (fr) * | 2000-09-22 | 2003-09-12 | Laurent Francois Ernest Pele | Boitier lecteur de carte a memoire connectable a un autre boitier homologue pour permettre le dialogue entre 2 cartes a puce |
| FR2917197B1 (fr) * | 2007-06-07 | 2009-11-06 | Thales Sa | Procede de masquage du resultat d'une operation de multiplication modulaire et dispositif associe. |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5299262A (en) * | 1992-08-13 | 1994-03-29 | The United States Of America As Represented By The United States Department Of Energy | Method for exponentiating in cryptographic systems |
| US5432852A (en) * | 1993-09-29 | 1995-07-11 | Leighton; Frank T. | Large provably fast and secure digital signature schemes based on secure hash functions |
-
1997
- 1997-05-07 FR FR9706198A patent/FR2763194B1/fr not_active Expired - Fee Related
-
1998
- 1998-05-05 CA CA002288767A patent/CA2288767A1/fr not_active Abandoned
- 1998-05-05 JP JP54778798A patent/JP2001507479A/ja not_active Abandoned
- 1998-05-05 CN CN 98806980 patent/CN1262830A/zh active Pending
- 1998-05-05 AU AU76595/98A patent/AU7659598A/en not_active Abandoned
- 1998-05-05 EP EP98924379A patent/EP0980607A1/fr not_active Withdrawn
- 1998-05-05 WO PCT/FR1998/000901 patent/WO1998051038A1/fr not_active Application Discontinuation
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005210271A (ja) * | 2004-01-21 | 2005-08-04 | Mitsubishi Electric Corp | 被認証装置および認証装置および認証システムおよびデジタル認証方法およびデジタル認証集積回路 |
| JP4550438B2 (ja) * | 2004-01-21 | 2010-09-22 | 三菱電機株式会社 | 被認証装置、認証システム、認証方法および認証集積回路 |
| JP2017517770A (ja) * | 2014-06-02 | 2017-06-29 | クアルコム,インコーポレイテッド | 半決定論的デジタル署名生成 |
| JP2022526934A (ja) * | 2019-03-25 | 2022-05-27 | マイクロン テクノロジー,インク. | ブロックチェーンを基にしたメモリコマンドの正当性確認 |
| JP7150195B2 (ja) | 2019-03-25 | 2022-10-07 | マイクロン テクノロジー,インク. | ブロックチェーンを基にしたメモリコマンドの正当性確認 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP0980607A1 (fr) | 2000-02-23 |
| FR2763194B1 (fr) | 2000-07-28 |
| WO1998051038A1 (fr) | 1998-11-12 |
| AU7659598A (en) | 1998-11-27 |
| CA2288767A1 (fr) | 1998-11-12 |
| CN1262830A (zh) | 2000-08-09 |
| FR2763194A1 (fr) | 1998-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0202768B1 (en) | Technique for reducing rsa crypto variable storage | |
| EP0963635B1 (en) | Cyclotomic polynomial construction of discrete logarithm cryptosystems over finite fields | |
| US8184803B2 (en) | Hash functions using elliptic curve cryptography | |
| US6307938B1 (en) | Method, system and apparatus for generating self-validating prime numbers | |
| CN109936456B (zh) | 基于私钥池的抗量子计算数字签名方法和系统 | |
| US9088419B2 (en) | Keyed PV signatures | |
| Park et al. | Anonymous authentication scheme based on NTRU for the protection of payment information in NFC mobile environment | |
| WO2012156254A1 (en) | A method for performing a group digital signature | |
| JP2004304800A (ja) | データ処理装置におけるサイドチャネル攻撃防止 | |
| US7248692B2 (en) | Method of and apparatus for determining a key pair and for generating RSA keys | |
| Huang et al. | Partially blind ECDSA scheme and its application to bitcoin | |
| JP2001507479A (ja) | ランダム抽出を必要とする暗号システムのためのハッシュ関数に基づく疑似ランダム生成器 | |
| US7382875B2 (en) | Cryptographic method for distributing load among several entities and devices therefor | |
| US11882101B2 (en) | Methods and devices for generating a symmetric session key for encrypted communication | |
| US7519178B1 (en) | Method, system and apparatus for ensuring a uniform distribution in key generation | |
| Wang et al. | Signature schemes based on two hard problems simultaneously | |
| Andreevich et al. | On Using Mersenne Primes in Designing Cryptoschemes | |
| AU2003269005B2 (en) | Cryptographic method and devices for facilitating calculations during transactions | |
| Chang et al. | Remote scheme for password authentication based on theory of quadratic residues | |
| Mohammed et al. | Elliptic curve cryptosystems on smart cards | |
| US20050123131A1 (en) | Cryptographic system comprising an encryption and decryption system and a key escrow system, and the associated equipment and devices | |
| JP2001503164A (ja) | 暗号化および復号化システムとキー・エスクローシステムを含む暗号システム、および関連機器 | |
| JP2004222331A (ja) | ユーザが電子商取引/情報サービス提供者の正当性をチェックできるようにする方法 | |
| Verma et al. | Efficient id-based blind message recovery signature scheme from pairings | |
| US20060147039A1 (en) | Data encryption method cryptographic system and associated component |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20040122 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040217 |