JP2001511912A - 有限体上の離散対数暗号系の円分多項式構造 - Google Patents
有限体上の離散対数暗号系の円分多項式構造Info
- Publication number
- JP2001511912A JP2001511912A JP53570498A JP53570498A JP2001511912A JP 2001511912 A JP2001511912 A JP 2001511912A JP 53570498 A JP53570498 A JP 53570498A JP 53570498 A JP53570498 A JP 53570498A JP 2001511912 A JP2001511912 A JP 2001511912A
- Authority
- JP
- Japan
- Prior art keywords
- value
- integer
- prime number
- signature
- generator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3013—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Complex Calculations (AREA)
- Mobile Radio Communication Systems (AREA)
- Lock And Its Accessories (AREA)
- Saccharide Compounds (AREA)
- Crystals, And After-Treatments Of Crystals (AREA)
- Error Detection And Correction (AREA)
Abstract
(57)【要約】
公開鍵暗号化方式及びディジタル署名方式を含む離散対数型公開鍵暗号系の非常に効率的な実行を可能にする有限体の乗法群の部分群を構成するのに円分多項式が使用される。体は最適正規基準で表現され、体の乗法群の部分群の生成元が公開鍵を形成するのに使用される。
Description
【発明の詳細な説明】
有限体上の離散対数暗号系の円分多項式構造
発明の背景
本発明は、データセキュリティ、暗号化、及び、通信者の身元を確認するため
の電子署名の生成及び使用に関する。
殆どの公開鍵暗号系は素因数分解問題又は離散対数(DL)問題を含んでいる。素
因数分解問題は、非素数が与えられた場合、その素数への完全な因数分解を見つ
けるものである。DL問題は、gによって生成された群G及びGの元hが与えられた
場合、gm=hとなる整数mを見つける、即ち、logghを数値計算するものである。公
開鍵暗号系に対する幾つかの提案された方式は有限体の乗法群でDLを発見する計
算上の困難匪に依存している。公開鍵暗号系は公開鍵暗号化方式及びディジタル
署名方式を包含している。各ユーザが、全ての方式に必然的に当てはまらない公
開鍵と秘密鍵を有し、当事者Aが当事者Bに安全なメッセージを送信したいと仮
定する。公開鍵暗号化方式においては、当事者Aは当事者Bの公開鍵を暗号化に
使用し、当事者Bはそれ自身の公開及び秘密鍵を暗号解読に使用する。ディジタ
ル署名方式においては、当事者Aは、それ自身の公開鍵及び秘密鍵をメッセージ
を準備するのに使用し、当事者Bは当事者Aの公開鍵をメッセージを受信するの
に使用する。即ち、メッセージを準備するために、公開鍵暗号化方式においては
送信者は受信者の鍵情報を利用し、ディジタル署名方式においては送信者はそれ
自身の鍵情報を利用する。メッセージを受信するために、公開鍵暗号化方式にお
いては受信者はそれ自身の鍵情報を利用し、ディジタル署名方式においては受信
者は送信者の鍵清報を利用する。
典型的なディジタル署名方式は、系セットアップ、送信者による署名生成、及
び、受信者による署名確認という3つのステップを有している。
系セットアップは、メッセージの署名又は暗号化の十分前に発生すると想定され
ている。一般に、DL型公開鍵暗号系の系セットアップ中に、素数が選択されて群
の生成元を入手するのに使用され、乱数が選択され、有限体の結果値を生成する
のに生成元の指数として使用される。生成元と結果値のみが知られている場合に
乱数を決定することはDL問題である。
系セットアップの成果は公開鍵と秘密鍵である。公開鍵は公開知識であると想
定され、素数、生成元、結果値及びその他の可能なパラメータを有する。秘密鍵
は送信者にのみ知られていると想定され、乱数を有する。
DL型公開鍵暗号系の署名生成中に、第2の乱数が選択されて有限体の第2の結
果値を生成するのに生成元の指数として使用される。生成元及び第2の結果値の
みが知られている場合に第2の乱数を決定することはDL問題である。その後、署
名されるメッセージ上の秘密鍵に基づく第3の値及び第2の結果値が得られる。
署名生成の成果は第3の値及び少なくとも一の他のパラメータを有するディジタ
ル署名である。
DL型公開鍵暗号系のディジタル確認中に、署名の公開鍵及び第3の値部分が指
数的に第4の結果を生成するために組み合わされる。第4の結果は署名の少なく
とも一の他のパラメータであれば、署名は有効であるとみなされる。
系セットアップの累乗部分、署名生成及び署名確認は計算に費用と時間がかか
る。権限を有しないユーザに対する計算上の困難性を維持しながら、権限を有す
るユーザに対する計算上の負担を、特に、署名生成中に、低減する技術が求めら
れている。
発明の要約
本発明の側面によれば、公開鍵暗号系用の公開鍵及び秘密鍵を決定する方法及
び装置は第1の素数を選択すること、第1の素数で数値計算された円分多項式を
入手すること、第1の素数で数値計算された円分多項式の因数である第2の素数
を入手すること、有限体の
乗法群の部分群の生成元を発見し、部分群の位数が第2の素数であること、生成
元及び選択整数に基づく公開値を入手すること、第1及び第2の素数、生成元及
び公開値を含むように公開鍵を形成すること、選択整数を含むように秘密鍵を形
成することを含む。
本発明の更なる側面によれば、有限体は最適正規基準で表現可能である。
本発明の異なる側面によれば、第2の素数qは、Bが所定数のビットである場
合に
本発明の別の側面によれば、制御整数t'が選択され、円分多項式はt'番目の円
分多項式で、公開鍵は制御整数t'を含んでいる。
本発明の更に別の側面によれば、メッセージのディジタル署名生成方法は更に
、第2の整数を選択し、第2の整数及び生成元に基づく第1の署名値を入手し、
第1の署名値及びメッセージに基づく第2の署名値を入手し、第1及び第2の署
名値を含むようにディジタル署名を形成する。
このように形成されたメッセージのディジタル署名確認方法は、第2の署名値
の逆元である逆元整数を発見し、逆元整数及びメッセージに基づいて第1の中間
値を発見し、逆元整数及び第1の署名値に基づいて第2の中間値を発見し、生成
元、公開値及び第1及び第2の中間値に基づいて第3の中間値を発見し、第3の
中間値が第1の署名値に等しい場合に署名が有効であることを決定する。
公開鍵暗号系用の共有鍵決定方法は、第1の素数を選択し、第1の素数で数値
計算された円分多項式を入手し、第1の素数で数値計算された円分多項式の因数
である第2の素数を入手し、有限体の乗法群の部分群の生成元を発見し、部分群
の位数は第2の素数であり、整数を選択し、生成元に基づく中間値を受信し、共
有鍵を中間値及び整数の関数として形成する。
メッセージの安全な通信方法は、第1の素数を選択し、第1の素数で数値計算
された円分多項式を入手し、第1の素数で数値計算された円分多項式の因数であ
る第2の素数を入
手し、有限体の乗法群の部分群の生成元を発見し、部分群の位数は第2の素数で
あり、整数を選択し、生成元に基づく中間値を受信し、共有鍵を中間値と整数の
関数として形成し、共有鍵を利用してメッセージを暗号化する。
メッセージの安全な通信方法は、中間値及び選択整数の関数として共有鍵を利
用して暗号化された暗号メッセージを受信し、中間値は有限体の乗法群の部分群
の生成元に基づき、部分元の位数は第1の素数で数値計算された円分多項式の因
数である第2の素数であり、共有鍵を利用して暗号メッセージを暗号解読する。
メッセージの安全な通信方法は、第1の素数を選択し、第1の素数で数値計算
された円分多項式を入手し、第1の素数で数値計算された円分多項式の因数であ
る第2の素数を入手し、有限体の乗法群の部分群の生成元を発見し、部分群の位
数は第2の素数であり、生成元及び第1の整数に基づく公開値を入手し、第2の
整数を選択し、生成元及び第2の整数に基づく第1の暗号値を発見し、メッセー
ジ、公開値及び第2の整数に基づく第2の暗号値を発見し、第1及び第2の暗号
値から暗号メッセージを形成する。
メッセージの安全な通信方法は、第1の暗号値及び第2の暗号値から形成され
た暗号メッセージを受信し、第1の暗号値は有限体の乗法群の部分群の生成元及
び第1の整数に基づいており、部分群の位数は第1の素数で数値計算された円分
多項式の因数である第2の素数であり、第2の暗号値は生成元及び第2の整数に
基づく公開値、第1の整数及びメッセージに基づいており、第1の暗号値及び秘
密鍵に基づく第1の中間値を発見し、秘密鍵は生成元に基づき、第2の暗号値及
び第1の中間値に基づいて暗号メッセージを解読する。
本発明をここでその全体を要約するつもりはない。むしろ、本発明の更なる特
徴、側面及び長所は以下の説明及び図面において述べられて明らかにされる。
図面の簡単な説明
図1Aは、エルガマル(ElGamal)方式による系セットアップを示すフローチャー
トである。
図1Bは、エルガマル方式による署名生成を示すフローチャートである。
図1Cは、エルガマル方式による署名確認を示すフローチャートである。
図2Aは、シュノール(Schnorr)及びDSA方式による系セットアップを示すフロー
チャートである。
図2Bは、シュノール方式による署名生成を示すフローチャートである。
図2Cは、シュノール方式による署名確認を示すフローチャートである。
図2Dは、DSA方式による署名生成を示すフローチャートである。
図2Eは、DSA方式による署名生成を示すフローチャートである。
図3Aは、ECDSA方式による系セットアップを示すフローチャートである。
図3Bは、ECDSA方式による署名生成を示すフローチャートである。
図3Cは、ECDSA方式による署名確認を示すフローチャートである。
図4Aは、本発明の系セットアップを示すフローチャートである。
図4Bは、本発明の署名生成を示すフローチャートである。
図4Cは、本発明の署名確認を示すフローチャートである。
図4Dは、円分多項式係数表である。
図4Eは、本発明のDES系セットアップを示すフローチャートである。
図4Fは、本発明のDES系セットアップの暗号化を示すフローチャートである。
図4Gは、本発明のDES系セットアップの暗号解読を示すフローチャートである
。
図4Hは、本発明のエルガマル系セットアップの暗号化を示すフローチャートで
ある。
図4Jは、本発明のエルガマル系セットアップの暗号解読を示すフローチャート
である。
図5Aは、公開鍵暗号系の方式の署名生成性能を比較する結果表である。
図5Bは、公開鍵暗号系の方式の署名確認性能を比較する結果表である。
図6は、図5A及び図5Bの性能結果を得るために暗号化及び暗号解読されたメッ
セージを示す表である。
図7A-11Dは、図5A及び図5Bの性能結果を得るために、公開鍵暗号系の各々に対
する公開鍵、秘密鍵、署名及び署名生成パラメータkを示す表である。
図12は、本発明が実行可能な環境のブロック図である。
好ましい実施例の詳細な説明
公開鍵暗号化方式及びディジタル署名方式を含む離散対数型公開鍵暗号系の大
変効率的な実行を可能にする有限体の乗法群の部分群を形成するのに円分多項式
を使用する。有限体は最適正規基準で表現され、有限体の乗法群の部分群の生成
元は公開鍵を形成するのに使用される。用途と実行の種類に依存して、円分方式
による公開鍵暗号化は有限体の部分群の多くの従来の選択を使用する方式よりも
最大3倍早い。
提案されたディジタル署名方式は、ティ・エルガマル(T.ElGamal)、「離散対
数に基づく公開鍵暗号系及び署名方式(A public key cryptosystem and a signa
ture scheme based on discrete logarithms)」、IEEEトランスミッション・アン
ド・インフォメーション・テクノロジー(Trans.Info.Tech.)、31号469-472頁、198
5年において述べられているエルガマル方式と、C.Pシュノール、「スマートカー
ドによる効率的署名生成(Efficient signature generation by smartcards)」、
ジャーナル・オブ・クリプトロジー(J.Cryptology)、4号161-174頁、1991年に
おいて述べられているシュノール方式と、米国特許第5,231,668(クラビッツ(Kra
vitz))、「ディジタル署名アルゴリズム(Digital signature algorithm)」、1993
年7月27日において述べられているディジタル署名アルゴリズム(DSA)方式と、
アグニュー等(Agnew et al.)、「高速公開鍵暗号系の実行(An implementation fo
r a fast public key cryptosystem)」、ジャーナル・オブ・クリプトロジー、3
号63-79頁、1991年において述べられている楕円曲線ディジタル署名アルゴリズ
ム(ECDSA)方式を含む。DSAは米国政府のディジタル署名基準に結合されている。
これらの提案された方式は、ディジタル署名方式で使用されるように、議論され
て本円分方式と比較される。
用語
m 2値列からなる署名されるべきメッセージ
p 素数
q p-1の素因数
L pビットの長さ、事実上LはDLセキュリティレベルを決定する。
B qビットの長さ、事実上Bは部分群DLセキュリティレベルを決定する。
F(p) 最小剰余モジュロpの集合{0,1,…,p-1}によって表現されるp元の体。
F(p)* F(p)=F(p)-0の乗数群
H(・) 多くても所定数のビットの負ではない整数に2値列を写像する衝突抵抗
暗号ハッシュ関数
エルガマル系セットアップ
図1Aは、エルガマル方式による電子署名系のセットアップ中に各ユーザ毎に実
行されるステップを示している。このプロセスは汎用ディジタルコンピュータの
プロセッサによって実行される。代替的に、このプロセスは汎用コンピュータと
関連して使用される特別目的の配線基板や「スマートカード」、即ち、マイクロプ
ロセッサを含むクレジットカード大の携帯可能なデバイスによって実行可能であ
る。
ステップ102で、L-1ビットを有する素数qが選択される。
ステップ104で、値p=2q+1が計算される。
ステップ106で、pが素数であるかどうかを決定するテストが行われる。qがL-1
ビットなのでpはLビットを有する。
pが素数でなければプロセスはステップ102に復帰して別の素数を選択する。
pが素数であればプロセスはステップ108に進行して、p元の体F(p)の乗法群F(p
)*の元gをランダムに選択する。
ステップ110で、g2≠1かどうか及びF(p)のgq≠1かどうかを決定するテストが
行われる。これらのテストのいずれかが失敗すればプロセスはステップ108に復
帰してF(p)*の別の元を元gとして選択する。
g2≠1でF(p)のgq≠1であれば、元gは体F(p)の乗法群F(p)*の生成元である。
ステップ102-110で示された手順の代わりに、体F(p)及び生成元gを突き止めるの
に別の手順が使用可能である。
の範囲で選択する。
ステップ114で、プロセスはF(p)のy=gaを発見する。
系セットアップの結果は公開鍵(p,g,y)及び秘密鍵(a)である。公開鍵は長さ3L
ビットを有する。秘密鍵は長さLビットを有する。
公開鍵(p,g,y)から秘密鍵(a)を発見することは体F(p)の離散対数(DL)問題で、
pが十分に大きければ困難であると考えられている。現在、pの長さがLビット、
L=1024である場合及びp-1の素因数が少なくとも160ビットを有する場合に適当な
困難性が提供される。計算力がより増加するにつれてこれらのパラメータは権限
のないユーザに対する計算上の困難性を維持するために増加する。
エルガマル署名生成
図1Bはエルガマル方式による特定文書の電子署名を生成する者によって実行さ
れるステップを示している。文書はビット列mであるとみなされている。実際、
生成者は汎用ディジタルコンピュータのプロセッサである。幾つかの実施例にお
いては、プロセッサは、スマートカードなどの特別目的のディジタルコンピュー
タであってもよい。
約数(GCD)を1に、即ち、p-1と互いに素なようにkは選択される。
ステップ124で、k1mod p-1、即ち、(k)(k-1)=1mod p-1を満足する値が発見さ
れる。
H(・)は、系の全ユーザが同意した暗号ハッシュ関数である。例えば、適当な標準
暗号ハッシュ関数は、バージニア州スプリング体国立技術情報サービスから入手
可能な1995年4月17日FIPS180-1に定義された安全ハッシュアルゴリズム(Secure
Hash Algorithm)SHA-1である。
署名生成の結果はディジタル署名(r,s)である。署名は2Lビットの長さを有し
ている。
秘密鍵(a)のプロセッサのみが正しくメッセージに署名することができる。秘
密鍵(a)の秘密性はDL問題により再び保護される。kがrからF(p)の離散対数loger
を計算することによって計算可能であればk-1は計算可能で、s、m及びk-1から秘
密鍵(a)を引き出すことを可能にするだろう。その結果、kの特定値は秘密にされ
て再使用されないことが重要である。
エルガマル署名確認
図1Cは、署名が有効であるかどうかを決定するために、エルガマル方式により
電子署名された文書を受信する者によって実行されるステップを示している。
受信者は、メッセージ(m)と、図1Bにあるように入手された対応するディジタ
ル署名(r.s)と、図1Aにあるように入手されて署名(r,s)を得るのに使用された公
開鍵(p,q,y)を有すると想定されている。実際、受信者は汎用ディジタルコンピ
ュータのプロセッサである。幾つかの実施例においては、プロセッサはスマート
カードなどの特別目的のディジタルコンピュータであってもよい。
うでなければステップ142で署名は無効と決定される。
rが適当な範囲であればステップ136でF(p)の値v1=yrrsが計算される。次に、
ステップ
138で、F(p)の値v2=gH(m)が計算される。
ステップ140で、v1=v2であるかどうかを決定するテストが行われる。もしそう
でなければ、ステップ142で署名が無効であると決定される。もしそうであれば
、ステップ144で署名が有効であると決定される。
シュノール/DSA系セットアップ
図2Aはシュノール方式により電子署名系のセットアップ中に各ユーザ毎に実行
されなければならないステップを示している。
短い指数が使用されるので、署名の短縮と累乗の高速化のために、シュノール
方式は大きな標数の素体の乗法群の小さい部分群の利用に関する。部分群位数が
素数で十分に大きければ、部分群の使用は方式のセキュリティに影響を与えない
。
DSA方式の系セットアップは、後述するように、DSA方式があるパラメータ(B
及びL)の長さの値を特定しない点を除けばシュノール方式の系セットアップと
同一である。
ステップ202で、長さBビットの素数qが選択される。DSA方式においては、B
は160に特定される。
ステップ204で、整数kはランダムに選択される。好ましくは、権限のないユー
ザに対して十分なセキュリティを与えるためにkは750-864ビットの長さを有する
が、これは処理能力が増加すると増加する。整数iに対して512+i*64に特定されている。
ステップ208で、pが素数であるかどうかを決定するテストが行われる。
pが素数でなければ、プロセスはステップ204に帰還し、別の整数kを選択する
。
pが素数であれば、プロセスはステップ210に進行し、ランダムにF(p)*の元hを
選択する。
ステップ212で、F(p)の値g=h(p-1)/qが入手される。
ステップ214で、F(p)のg≠1であるかどうかを決定するテストが行われる。テ
ストが失敗すれば、即ち、g=1であれば、プロセスはステップ210に帰還し、F(p)*
の別の元を値hとして選択する。
F(p)のg≠1であれば、大きな標数の素体F(p)の乗法群の小さい部分群Gの生成
元gが突き止められた。F(p)のg≠1でgq=1であるので、生成元gは位数qを有する
。ステップ202-214に示す手順の代わりに、別の手順が生成元gを配置するのに使
用可能である。
生成元gを配置した後、プロセスはステップ216に進行して2血勾-lの範囲の
値aをランダムに選択する。この範囲は、エルガマル方式に対する図1Aのステッ
プ112の対応する範囲よりも小さいことが理解されるであろう。
ステップ218で、プロセスはF(p)のy=gaを発見する。yとgが与えられれば、値a
を発見することは上述したように離散対数(DL)問題である。
系セットアップの結果は公開鍵(p,g,y,q)と秘密鍵(a)である。公開鍵は3L+Bビ
ットを有する。秘密鍵はBビットを有する。
秘密鍵(a)を公開鍵(p,g,y,q)から発見するために、体F(p)のDL問題又はgによ
って生成されたF(p)*の部分群GのDL問題のどちらかを解く必要がある。
pは長さLビットを有する素数でqは少なくともBビットの長さを有するp-1の
素因数である場合に、濃度pを有する体F(p)のDL問題は現在実行できないと信じ
られている。
少なくともBビットの長さを有するqを位数として有する部分群GのF(p)*の部
分群GのDL問題は、現在実行できないと信じられている。
シュノール著名生成
図2Bはシュノール方式による特定文書の電子署名を生成する者によって実行さ
れるステップを示している。実際、生成者は汎用ディジタルコンピュータである
。幾つかの実施
例においては、プロセッサはスマートカードなどの特別の目的のディジタルコン
ピュータであってもよい。
対応ステップである図1Bのステップ122はkの範囲にp-2の上限を使用している。p
>>qであるので、シュノールによる公開鍵暗号系は、エルガマルによる公開鍵暗
号系よりも小さい元を有するだろう。例えば、qが160ビットの長さを有すれば、
pは約1024の長さを有する。
ので、ステップ226の計算は図1Bのステップ126の対応する計算、即ち、エルガマ
ルによる公開鍵暗号系よりもずっと高速である。
ステップ228で、値e=H(m‖r)、即ち、メッセージm及び署名元rの結合に適用さ
れるハッシュ関数が入手される。暗号ハッシュ関数H(・)は長さ最大Bビットの値
を生成すると想定されている。
署名生成の結果はディジタル署名(s,e)である。署名は2Bビットの長さを有す
る。
シュノール署名確認
図2Cは、署名が有効であるかどうかを決定するためにシュノール方式による電
子署名された文書を受信する者によって実行されるステップを示している。
受信者は、メッセージ(m)と図2Bにあるように入手された対応するディジタル
署名(s,e)、及び、図2Aにあるように入手されて署名(s.c)を入手するのに使用さ
れた公開鍵(p,g,y,q)を有すると想定されている。実際、受信者は汎用ディジタ
ルコンピュータのプロセッサである。ある実施例においては、プロセッサは、ス
マートカードなどの特別目的のディジタルコンピュータであってもよい。
ステップ236で、F(p)の値v=gsy-eが計算される。次に、ステップ238で値e'=H(
m‖v)が計算される。
ステップ240で、e=e'かどうかを決定するテストが行われる。そうでなければ
、ステップ242で、署名が無効と決定される。そうならば、ステップ244で署名は
有効と決定される。
DSA署名生成
図2DはDSA方式による特定の文書の電子署名を生成するものによって実行され
るステップを示している。実際、生成者は汎用ディジタルコンピュータのプロセ
ッサである。ある実施例においては、プロセッサは、スマートカードなどの特別
目的のディジタルコンピュータであってもよい。
ステップ326で、k-1mod qが発見され、即ち、(k)(k-1)=1mod qを満足する値で
ある。
る値u=gkが入手される。
ステップ330で、値r=u mod qが計算される。
ステップ333で、s=0かどうかを決定するテストが行われる。そうであれば、整
数kに対する新しい値を選択するために処理はステップ324に帰還する。s≠0であ
れば、手順はステップ334に進行して終了する。
署名生成の結果はディジタル署名(r,s)である。署名は長さ2Bビットを有する
。
DSA署名確認
図2Eは、署名が有効であるかどうかを決定するために、DSA方式により電子署
名され
た文書を受信する者によって実行されるステップを示している。
受信者は、メッセージ(m)と、図2Dにあるように入手された対応するディジタ
ル署名(s,e)と、図2Aにあるように入手されて署名(r.s)を生成するのに使用され
た公開鍵(p,g,y,q)を有すると想定されている。実際、受信者は汎用ディジタル
コンピュータのプロセッサである。ある実施例においては、プロセッサは、スマ
ートカードなどの特別目的のディジタルコンピュータであってもよい。
もしそうでなければ、ステップ352で署名は無効であると決定される。
るかどうかを決定する。そうでなければ、ステップ352で署名は無効であると決
定される。
sが適当な範囲内であれば、ステップ342で、sの逆元である整数w、即ち、ws=1
mod qが入手される。
ステップ344で、値u1=wH(m)mod qが計算され、値u2=wr mod qが計算される。
ステ
より入手される。
ステップ348で、値v=c mod qが計算される。
ステップ350で、v=rかどうかを決定するテストが行われる。そうでなければス
テップ352で署名は無効であると決定される。そうであれば、ステップ354で署名
は有効であると決定される。
ECDSA系セットアップ
図3Aは、ECDSA方式による電子署名系のセットアップ中に実行されなければな
らないステップを示している。ステップ402-416はグローバルに、即ち、全ユー
ザにとって、実行されなければならず、従って一回のみ実行されることを必要と
する。ステップ420-424
は各ユーザによって実行される。
ECDSA系は2つの元の体の大きな拡張を利用することに関する。拡張体最適正
規基準表現(アール・シー・ミュリン等(R.C.Mullin et al.)、「GF(p)の最適正
規基準(Optimal normal bases in GF(p))」、ディスクリート・アブリケーション
・マスマティックス(Discmte Appl.Math.)、22巻149-11頁、1988/89年を参照。
)により、乗法は大変高速で2乗は循環シフトによって実行され、累乗も効率的
にそう実行される。しかし、ハードウェア実行が必要である。更に、標数の体2
は比較可能な大きさの他の体よりも攻撃を受けやすいと考えられている。
ECDSA方式は、t=Bであると想定されている場合に、全系列に及ぶ2t元の有限体F(
2t)を使用する。
ステップ404で、曲線E=Y2+XY=X3+αX2+βの係数α,β∈F(2t)が選択される。
ECDSA方式はF(2t)の部分体上のF(2t)の元を表現するのに最適正規基準の使用を
想定している。曲線Eを使用することはこの最適正規基準を使用することを意味
する。
ステップ406で、μが計算される。値μは、x、y∈F(2t)であるEを満足する異
なる対(x,y)の数に1を足したものである。即ち、Eの群は位数μを有する。換
言すれば、これはμが曲線群の濃度であるということである。
ステップ408で、μの因数が入手される。
ステップ410で、少なくとも140ビットを有するμの素因数が存在するかどうか
を決定するテストが行われる。そうでなければ処理はステップ404に帰還して新
しい楕円曲線Eを選択する。
少なくとも140ビットを有するμの素因数が存在すれば、ステップ412でqがこ
の素因数に等しく設定される。qが楕円曲線Eの群の位数の素数約数であること
が理解されるであろう。好ましくは、qは少なくとも140ビットの長さを有する。Eの群は位数μを有して、qはμを除する。
は位数qを有する。曲線Eの点gは曲線群の部分群である群Gを生成する。
ステップ402-416の結果はグローバルな公開鍵(α,β,t,q,g)である。グローバ
ルな公開鍵の長さは全員に知られているのであまり重要ではなく、個々の暗号又
は暗号解読する者によって変わらない。
れる。
ステップ420-422の結果は長さB+1ビットのユーザ特定公開鍵(P)と、最大長さ
Bビットの秘密鍵(a)である。鍵はECDSA方式では小さいがこの方式は計算に費用
がかかる。
ユーザ特定公開鍵(P)から秘密鍵(a)を発見するために、曲線Eに関連付けられ
た群のDL問題又は曲線Eに関連付けられた群の部分群Gを解く必要がある。
行できないと現在信じられている。
qが少なくとも140ビットを有する曲線群の位数qの部分群GのDL問題は楕円曲
線暗号系の支持者によって実行できないと現在信じられている。
ECDSA署名生成
図3BはECDSA方式により特定文書に対する電子署名を生成する者によって実行
されるステップを示している。実際、生成者は汎用ディジタルコンピュータのプ
ロセッサである。幾つかの実施例においては、プロセッサは、スマートカードな
どの特別目的のディジ
タルコンピュータである。
ステップ430で、k-1mod q、即ち、(k)(k-1)=1mod qを満足する値が発見される
。
される。
は、有限体F(2t)と整数の集合{0,1,…,2t-1}との間で固定されて効率的に計算可
能な全単射である。この全単射は系の全ユーザに知られている。
ステップ435で、r=0であるかどうかを決定するテストが行われる。もしそうで
あれば、処理は整数kに対する新しい値を選択するためにステップ428に帰還する
。もしr≠0であれば、処理はステップ436に進行する。
ステップ437で、s=0かどうかを決定するテストが行われる。もしそうであれば
、処理は整数kに対する新しい値を選択するためにステップ428に帰還する。もし
s≠0であれば、処理はステップ438に進行して終了する。
署名生成の結果は、ディジタル署名(r,s)である。署名は最大2Bビットの長さ
を有する。
ECDSA署名確認
図3Cは、署名が有効であるかどうかを決定するために、ECDSA方式により電子
署名された文書を受信する者によって実行されるステップを示している。
受信者は、メッセージ(m)と、図3Bにあるように入手された対応するディジタ
ル署名(r,s)と、図3Aにあるように入手されて署名(r,s)を得るのに使用された(
α,β,t,q,g)及び(P)を含む公開鍵を有すると想定されている。実際、受信者は
汎用ディジタルコンピュータのプロセッサである。幾つかの実施例では、プロセ
ッサはスマートカードなどの特別目的のディジ
タルコンピュータであってもよい。もしそうでなければ、ステップ456で署名は無効と決定される。
うかを決定する。もしそうでなければ、ステップ456で署名は無効と決定される
。
sが適当な範囲にあれば、ステップ446で、sの逆元である整数w、即ち、ws=1mo
d qが入手される。
ステップ448で、値u1=wH(m)mod qが計算され、値v2=wr mod qが計算される。
ステ
ステップ454で、v=rであるかどうかを決定するテストが行われる。そうでなけ
れば、ステップ456で署名が無効であると決定される。そうであれば、ステップ4
58で署名が有効であると決定される。
円分系セットアップ
図4Aは、本発明の円分方式による電子署名系のセットアップ中に各ユーザ毎に
実行されなければならないステップを示している。図4Aに示された処理の目的は
、gが、Lの選択を決定する所望の離散対数セキュリティレベル(Discrete Logar
ithm Security Level)とBの選択を決定する部分群離散対数セキュリティレベル
(Subgroup Discrete Logarithm Security Level)の両方を満足するように、かつ
、F(p)上のF(pt')に対する最適正規基準が存在するように、有限体F(pt')の乗法
群F(pt')*の部分群の生成元gを発見することである。
円分方式は、シュノール方式のように部分群を利用し、ECDSA方式のように最
適正規基準も利用する。部分群の使用は短い署名と短い指数をもたらす。最適正
規基準は効率的
累乗をもたらす。その結果、円分方式のソフトウェア実行はシュノール方式のソ
フトウェア実行よりも実質的に高速になる。
Rが基の大きさであるとする。Rの値は機械依存性で、計算mod pが高速に進
行するために十分小さいように選択されるが、累乗は高速で進行することができ
るように十分大きい。pのより大きな値はt'のより小さい値をもたらし、体F(pt'
)の乗法毎の(t')2演算が要求されるのでt'の小さい値が望ましい。また、pのよ
り大きな値は構成可能な暗号系の選択を拡張する。現在入手可能な32ビットアー
キテクチャ汎用コンピュータに対してはR=32が適当な値である。より新しい64ビ
ットアーキテクチャに対してはR=64が適当な値である。他の実施例においては、
Rの別の値が適当であり、本発明の技術を実施するコンピュータの(ビットの)
語長に必ずしも等しくない。
ステップ502で、制御整数t'及び整数t、sは以下のように選択される。
はより高い効率性をもたらす。整数sは素数pの大きさを制限するのに使
用され
(ii) t'>1、好ましくは、t+1が素数でt'/tが、例えば、t'/t<5と小さくなる
ようなt'が因数t>1を有するようにされる。制御整数t'は、Lに反映さ
れている所望の離散対数セキュリティレベルに関係する素数pのビット
数の広範囲の選択を可能にする。
より特定的には、素数pの値は、上述したように機械依存性であるRの
値に依存する。制御整数t'は素数pのビット数によって除されるLに略
等しい。留意されるように、t+1は素数でなければならない。理想的に
は、t'=tである。しかし、t+1が素数でt'/tが小さい場合にt'が因数t>1
を有している限り、t'+1が素数でないようにt'の値が使用されなければ
ならない。即ち、tに加えてt'の使用はより多くの柔軟住を与える。
(iii) t'*sはLに近い。 ように、φ(t')*sは少なくともBであるがBよりも大きすぎない。関数
φ(t)はオ
る。
ステップ506で、pがF(t+1)*の原始根mod t+1、即ち、p mod t+1がF(t+1)*を生
成するか
る数が入手されたことをチェックすることによって実行可能である。そうでなけ
れば、処理は別の素数pを選択するためにステップ504に帰還する。
pが原始根mod t+1であれば、ステップ508で、p、Φ1'(p)で数値計算されたt'
番目の円分多項式が入手される。
Z[x]のXt-1の約されない素因数分解は、
Xt-1=IId|tΦd(X)
で与えられ、ここでΦd(X)は、ここで参照して結合されるエイチ・ライセル(H.R
iesel)、素数及び素因数分解のコンピュータ方法(Prime Number and Computer M
ethods for Factorization)、バークホーザー(Birkhauser)、1985年に説明され
ているように、d番目の円分多項式である。因数Φt(X)は、s<tであるtの約数sに
対するX-s-1の素因数分解に現れないX-t-1の約せない因数である。
Φt(X)の一方向入手は、上述したように素因数分解一致を使用することによる
ものである。Φt(X)を入手する別の方法は、図4Dに示す表のような円分多項式計
数表のΦ
の表を使用すると、例えば、Φ18(X)=X6-X3+1及びΦ54(X)=X18-X9+1であること
が分かるであろう。
ステップ510で、Φt'(p)の大きな素因数qが入手される。円分方式で使用され
て後述する
ように構成される部分群が位数qを有してqはΦt(p)の約数であるので、対応する
DL計算は権限のない者にとって困難になる。
F(pt')の真の部分体に埋め込まれることができないF(pt')の乗法群F(pt')*の十
分大きな部分群を構成可能であることを確実にする。換言すれば、DL問題を解く
ために、即ち、y及びgが与えられれば値aを発見するために、体F(pt')全体又はg
によって生成された部分群においてDL問題を解くことが必要であるが、DL問題は
F(pt')の真の部分体のDL問題に低減されないので、計算上の困難陣は権限のない
者に対して低減されない。
であれば、別の素数pを選択するために、処理はステップ504に帰還する。
れ、ここで各αiはft(X)=(Xt+1)/(X-1)=Xt+Xt-1+…X+1のゼロである。
ケース1 tが存在してt'=tであれば、F(pt'/t)は整数mod pによって表現され
、F(pt')のp番目のべきが基本元αiの単なる順列で、従って計算が安価となる。
このためF(pt')の乗法及び2乗は大変効率的に実行可能である。
ケース2 tが存在してt'≠tであれば、F(pt'/t)の元はF(p)上の便利な基準を
利用して表現される。この場合、p番目のべきはF(pt')の極少数の演算のみを必
要とし、F(pt')の乗法及び2乗は効率的に実行可能である。t'/tが小さい場合に
は、暗号系実行のF(pt')の算術効率差はケース1及びケース2で無視できる。
ケース3 tが存在しなければ、F(pt')はいかなる便宜な方法によっても、好ま
しくは、F(pt')の乗法と2乗を高速で実行するのに散在最小多項式を使用して、
表現される。
ステップ516で、F(pt')の元bがランダムに選択される。
ステップ518で、F(Pt')の以下の値
が入手される。最適正規基準がF(pt')を表現するのに使用されるのでgの計算は
大変効率的である。
ステップ520で、F(pt')でg≠1かどうかを決定するテストが行われる。そうで
なければ、即ち、g=1であれば、処理は別の元bを選択するためにステップ516に
帰還する。
g≠1であればgはF(pt')の有限体F(pt')の乗法群F(pt')*の部分群Gの生成元で
ある。部分群
ステップ524で、F(pt')の値y=gaが計算される。y及びgが与えられた場合の値a
の発見はDL問題である。
系セットアップの結果は公開鍵(p,g,y,q,t')及び秘密鍵(a)である。パラメー
タg及びyは最適正規基準を利用して表現される。公開鍵は長さ2L+B+64ビットを
有する。秘密鍵は長さBビットを有する。
セキュリティはシュノール方式にあるように、そして、Gが効果的に真の部分
群に埋め込まれることができないようにqがpで数値計算されたt番目の円分多項
式の少なくともBビットの長さを有する素因数である場合に部分群Gは位数qを
有するという事実によって確信される。
上述したように、最適正規基準の元の再配列のみを含むため円分方式において
p番目のべきは計算が容易である。これは円分方式の重要な計算上の長所である
。
円分方式の計算はソフトウェア実行に適している短い行の長さ(log2p)ビット
を有し、ECDSA方式はハードウェア実行により適している長さ1ビットの長い行
を有している。即ち、円分基底体F(p)は長さ(log2p)ビットの元を有しており、E
CDSA基底体F(2)は長さ1ビットの元を有している。
円分署名生成
図4Bは、円分方式による特定文書に対する電子署名を生成する者によって実行
されるステップを示している。実際、生成者は汎用ディジタルコンピュータであ
る。幾つかの実施例においては、プロセッサは、スマートカードなどの特別目的
ディジタルコンピュータであってもよい。
ステップ532で、k-1 mod q、即ち、(k)(k-1)=1mod qを満足する値が発見され
る。
ステップ534で、F(pt')の値u=gkが発見される。
は、有限体F(pt')と整数の集合{0,1,…,pt'-1}との間で固定されて効率的に計算
可能な全単射である。この全単射は系のユーザに既知である。これは、ECDSA方
式用の図3Bのステップ434で使用されるものと異なる全単射である。
ステップ537で、r=0かどうかを決定するテストが行われる。そうであれば、整
数kに対する新しい値を選択するために、処理はステップ530に帰還する。もしr
≠0であれば、手順はステップ538に進行する。
ステップ539で、s=0かどうかを決定するテストが行われる。もしそうであれば
、整数kに対する新しい値を選択するために、処理はステップ530に帰還する。も
しs≠0であれば、手順はステップ540に進行して終了する。
署名生成の結果はディジタル署名(r,s)である。署名は2Bビットの長さを有す
る。
円分署名確認
図4Cは、署名が有効であるかどうかを決定するために、円分方式によって電子
署名された受信する者によって実行されるステップを示している。
受信者は、メッセージ(m)と、図4Bにあるように入手された対応するディジタ
ル署名(r,s)と、図4Aにあるように入手されて署名(r,s)を生成するのに使用さ
れた公開鍵(p,q,y,q,t')を有すると想定されている。実際、受信者は、汎用ディ
ジタルコンピュータのプロセッサである。幾つかの実施例においては、プロセッ
サは、スマートカードなどの特別目的用ディジタルコンピュータである。
うでなければ、ステップ558は、署名が無効であると決定される。
るかどうかを決定する。そうでなければ、ステップ558で、署名が無効であると
決定される。
sが適当な範囲にあれば、ステップ548で、sの逆元である整数w、即ち、ws=1mo
d qが入手される。
ステップ550で、値u1=wH(m)mod qが計算され、値u2=wr mod qが計算される。
ステップ552で、F(pt')の値v'=gu1yu2が計算される。ステップ554で、値v=χ(v'
)mod qが発見される。
ステップ556で、v=rであるかどうかを決定するテストが行われる。もしそうで
なければ、ステップ558で、署名は無効であると決定される。もしそうであれば
、ステップ560で署名は有効であると決定される。
円分代替案
上述したように、円分方式の適用可能性は電子署名系に限定されるものではな
い。円分方式は、そのセキュリティがDL問題、例えば、ディフィ−ヘルマン(Dif
fie-Hellman)鍵交換方式、エルガマル公開鍵暗号方式又はエルガマル、シュノー
ル及びDSA方式にあるようにディジタル署名生成及び確認方式の困難性に依存す
るいかなる公開鍵暗号系において
も使用可能である。
提案された公開鍵暗号方式は、バージニア州スプリングフィールドの国立技術
情報サービスから入手可能でFIPS46-2、1993年に述べられているデータ暗号化基
準(DES)と、ティ・エルガマル(T.ElGamal)、「離散対数に基づく公開鍵暗号系及
び署名方式」、IEEEトランスミッション・アンド・インフォメーション・テクノロジ
ー(Trans.info.Tech.)、31号469-472頁、1985年に述べられているエルガマル旅
を含む。これらの提案された方式に対する円分計画の適用を以下に説明する。
以下に述べられた技術を実施するユーザは、これらの技術を実行するようにプ
ログラムされている汎用ディジタルコンピュータを有していると想定されている
。代替的にこれらの技術は、汎用コンピュータと関連して又はスマートカード、
即ちマイクロプロセッサを含むクレジットカード大の携帯可能デバイス、によっ
て使用されたりする特別目的の配線基板によって実行可能である。
図4Eは、本発明によるDES系セットアップを示すフローチャートである。特に
、図4Eは、円分方式の適用によって修正されたディフィ−へルマン鍵交換方式を
示している。
ステップ600で、全ユーザは、図4Aのステップ500-520により入手されたグロー
バル共有公開鍵(p,g,q,t')を有するように想定されている。反対に、上述したエ
ルガマル、シュノール、DSA及び円分ディジタル署名方式においては、各ユーザ
は公開鍵及び秘密鍵に関連付けられており、即ち、グローバル共有公開鍵は存在
しない。
当事者Δ及びΘが通信を希望すれば、彼等は共有鍵を設定するために最初に情
報交換し
の範囲の値aΔを選択し、ステップ604でF(pt')の
yΔ=gαΔ
を発見する。
ステップ606で当事者ΔはyΔを当事者Θに送信する。ステップ608で当事者Δ
はyΘを
当事者Θから受信する。ステップ610で、当事者ΔはF(pt')の
y0=χ(yΘ αΔ)
を計算する。関数χ(・)は、有限体F(pt')と、図4Bのステップ536に使用された整
数の集合{0,1,…,pt'-1}との間の固定されて効率的に計算可能な全単射である。
関数χ(・)を適用することは絶対的に必要ではないが、有限体の最適正規基準で
表現された元を通常の整数に変換するために好ましい。
テップ605はF(pt')の
yΘ=gαΘ
を発見する。ステップ607で、当事者ΘはyΘを当事者Δに送信する。ステップ60
9で当事者Θは当事者ΔからyΔを受信する。ステップ611で、当事者ΘはF(pt')
の
y0=χ(yΔ αΘ)
を計算する。
ステップ612で当事者Δ及びΘは共有鍵(y0)を設定した。gによって生成された
部分群で計算がなされた。権限のない者は当事者Δ及びΘ間の通信を暗号解読す
るためにDL問題を解くことが必要であることが理解されるであろう。
図4Fは、本発明によるDES系セットアップの暗号化を示すフローチャートであ
る。本質的に、ステップ622で当事者Δ及びΘの一人がメッセージを暗号化する
のに有鍵(y0)を使用する。
図4Gは、本発明によるDES系セットアップの暗号解読を示すフローチャートで
ある。本質的に、ステップ632で当事者Δ及びΘの他方がステップ622で暗号メッ
セージを解読するのに共有鍵(y0)を使用する。
上述したエルガマルディジタル署名方式とは異なるエルガマル公開鍵暗号化方
式に対して、公開鍵(p,g,y,q,t')及び秘密鍵(a)を互いに得るために、図4Aに示
されたステップ500-526
が実行されたと想定する。権限を有しない者はDL問題を解くことを要求する暗号
メッセージを解読するための秘密鍵(a)を決定する必要があることが理解される
であろう。
図4Hは、円分方式によるエルガマル系セットアップ用の暗号化を示すフローチ
ャート
に整数kを選択する。ステップ704で、F(pt')の値γ=gkが入手される。ステップ7
06で、F(pt')の値λ=χ-1(m)*ykが入手される。関数χ-1(・)は、図4Bのステップ
536で使用された関数χ(・)の逆元である。ステップ708での成果は暗号メッセー
ジ(γ,λ)である。
図4Jは、円分方式によるエルガマル系セットアップの暗号解読を示すフローチ
ャートである。ステップ722で、暗号メッセージ(γ,λ)の暗号解読を希望する者
は、F(pt')の値ζ=γqaを発見して、ステップ724でF(pt')の値η=λζを発見す
る。ステップ726で、暗号解読されたメッセージm'が{0,1,…,pt'-1}のm'=χ(η)
として入手される。全ての累乗はgによって生成された部分群に発生する。
性能比較
図5Aは、公開鍵暗号系に対する方式の署名生成性能比較結果表である。比較さ
れた方式は、ソフトウェア実行を使用したエルガマル、シュノール、DSA及び円
分であった。ECDSA方式は、効率化にハードウェア実行が必要であるため評価さ
れなかった。
パラメータBはエルガマル方式に関係しないので、ケース「C」及び「D」はエ
ルガマル方式で同一である。実際問題として、DSA方式は、ケース「A」及び「C
」にのみ対応
実施例においては、整数メッセージのみが使用され、エルガマルに対してmod
p-1が採用され、その他に対してmod qが採用された。ハッシュは使用されなかっ
た。ハッシュの計算時間は無視できるので、ハッシュの省略は性能結果を歪めな
い。
特に、図5Aは、各方式毎にソフトウェア実行を使用するペンティアム166MHzプ
ロセ
ッサの秒のランタイムを示している。
エルガマル方式からシュノール方式に移行すると部分群の使用による性能改善
が見られる。DSA方式の性能はシュノール方式の性能と殆ど同一である。
シュノール方式から円分方式に移行すると、最適正規基準の使用による更なる
性能改善が見られる。特に、図5Aの実施例に対して、円分方式は、シュノール方
式の性能よりも約3倍高速である性能をもたらす。
図5Bは、図5Aの表に報告されている実施例に対する公開鍵暗号系に対する方式
の署名確認性能比較結果表である。署名生成に関する限り、円分方式は、シュノ
ール方式の性能よりも約3倍高速である性能をもたらす。
図6は図5A及び図5Bの性能結果を得るための、署名されたメッセージと確認さ
れた署名を示す表である。
図7A-11Dは、図5A及び図5Bの性能結果を得るのに使用される実施例において、
公開鍵暗号系毎に公開鍵、秘密鍵、署名及び署名生成パラメータkを示す表であ
る。タイミングは10の異なる代表メッセージに対する成果を平均化することによ
って生成された。実際、署名生成パラメータは当事者間で交換されない。ここで
、結果が便宜に再生されるようにそれは含まれる。
方式に対して値は小数表現である。
実施例を比較することによって、エルガマル方式(図7A、8A、9A、10A、11A)
は最長値を使用するが、円分方式(図7D、8D、9D、10D、11D)は最短値を使用す
ることが分かるだろう。更に、データセキュリティが増加して図5A及び図5Bにあ
るケース「A」からケース「E」に移行すると、全ての方式における値の長さは増
加する。
図12は円分方式が実行可能な環境のブロック図である。汎用コンピュータ10は
暗号プロセッサ11と、通信インターフェース12と、メインプロセッサ13と、メモ
リ14と、通
信バス15と、通信線16とを有している。メモリ14はRAM、ROM、磁気ディスク、光
ディスクその他のメモリ媒体を含むことができる。通信ライン16はワイヤ線、RF
ワイヤセン、光学線、又は、その他いかなる通信媒体であってもよい。スマート
カード20は、プロセッサ21と、メモリ22と、通信インターフェース23と、通信バ
ス24と、通信線25とを有する。汎用コンピュータ10及びスマートカード20は、通
信チャネル30に結合されている。中央機能40も通信線41を介して通信チャネル30
に結合されている。中央機能40は、汎用コンピュータ10及びスマートカード20に
関して理解されるように、円分方式を実施するために適当な処理ハードウェア及
びソフトウェアを含んでいる。
汎用コンピュータ10は、暗号方式に従って動作するのに十分なメモリを含む暗
号プロセッサ11へメインプロセッサ13によって案内された呼を含むメモリ14に格
納されたソフトウェアを実行する。
スマートカード20は、円分方式に従ってメモリ22に格納されたソフトウェアを
実行する。
中央機能40は、円分方式を利用してグローバル情報を生成して全ての当事者に
それを分配するように機能する。グローバル情報の例は図4Eのステップ600に示
されたグローバル公開鍵である。
本発明の例示的実施例とその様々な変形例を添付図面を参照してここで詳細に
説明したが、本発明は実施例に正確には限定されず、本発明の範囲又は本旨を逸
脱せずに添付の特許請求の範囲に画定されているように、様々な変形及び更なる
変更が当業者によって可能であることが理解されるであろう。
【手続補正書】特許法第184条の8第1項
【提出日】平成11年8月2日(1999.8.2)
【補正内容】
明細書
1. 外国語特許出願20頁に相当する明細書翻訳文20頁2行目乃至21頁
4行目
ように、φ(t')*sは少なくともBであるがBよりも大きすぎない。関数
φ(t)はオ
る。
ステップ506で、pがF(t+1)*の原始根mod t+1、即ち、p mod t+1がF(t+1)*を生
成するか
る数が入手されたことをチェックすることによって実行可能である。そうでなけ
れば、処理は別の素数pを選択するためにステップ504に帰還する。
pが原始根mod t+1であれば、ステップ508で、p、Φt'(p)で数値計算されたt'
番目の円分多項式が入手される。
Z[x]のXt-1の約されない素因数分解は、
Xt-1=IId|tΦd(X)
で与えられ、ここでΦd(X)は、エイチ・ライセル(H.Riesel)、素数及び素因数分
解のコンピュータ方法(Prime Number and Computer Methods for Factorization
)、バークホーザー(Birkhauser)、1985年に説明されているように、d番目の円分
多項式である。因数Φt(X)は、s<tであるtの約数sに対するXs-1の素因数分解に
現れないXt-1の約せない因数である。
Φt(X)の一方向入手は、上述したように素因数分解一致を使用することによる
ものである。Φt(X)を入手する別の方法は、図4Dに示す表のような円分多項式計
数表のΦ
の表を使用すると、例えば、Φ18(X)=X6-X3+1及びΦ54(X)=X18-X9+1であること
が分かるであろう。
ステップ510で、Φt'(p)の大きな素因数qが入手される。円分方式で使用され
て後述するように構成される部分群が位数qを有してqはΦt'(p)の約数であるの
で、対応するDL計算は権限のない者にとって困難になる。
2. 外国語特許出願24頁に相当する明細書翻訳文24頁3行目乃至25頁
5行目と、図4Aにあるように入手されて署名(r,s)を生成するのに使用された公
開鍵(p,q,y,q,t')を有すると想定されている。実際、受信者は、汎用ディジタル
コンピュータのプロセッサである。幾つかの実施例においては、プロセッサは、
スマートカードなどの特別目的用ディジタルコンピュータである。
うでなければ、ステップ558は、署名が無効であると決定される。
るかどうかを決定する。そうでなければ、ステップ558で、署名が無効であると
決定される。
ステップ550で、値u1=wH(m)mod qが計算され、値u2=wr mod qが計算される。
ステップ552で、F(pt')の値、v'=gu1yu2が計算される。ステップ554で、値v=χ(
v')mod qが発見される。
ステップ556で、v=rであるかどうかを決定するテストが行われる。もしそうで
なければ、ステップ558で、署名は無効であると決定される。もしそうであれば
、ステップ560で署名は有効であると決定される。
円分代替案
上述したように、円分方式の適用可能性は電子署名系に限定されるものではな
い。円分方式は、そのセキュリティがDL問題、例えば、ディフィ−ヘルマン(Dif
fie-Hellman)鍵交換方式、エルガマル公開鍵暗号方式又はエルガマル、シュノー
ル及びDSA方式にあるようにディジタル署名生成及び確認方式の困難性に依存す
るいかなる暗号系においても使用可能である。
提案された暗号方式は、バージニア州スプリングフィールドの国立技術情報サ
ービスから入手可能でFIPS46-2、1993年に述べられているデータ暗号化基準(DES
)と、ティ・エルガマル(T.ElGamal)、「離散対数に基づく公開鍵暗号系及び署名
方式」、IEEEトランスミッション・アンド・インフォメーション・テクノロジー(Tra
ns.Info.Tech.)、31号469-472頁、1985年に述べられているエルガマル方式を含
む。これらの提案された方式に対する円
3. 外国語特許出願29頁に相当する明細書翻訳文29頁5行目乃至19行
目
る。中央機能40も通信線41を介して通信チャネル30に結合されている。中央機能
40は、汎用コンピュータ10及びスマートカード20に関して理解されるように、円
分方式を実施するために適当な処理ハードウェア及びソフトウェアを含んでいる
。
汎用コンピュータ10は、暗号方式に従って動作するのに十分なメモリを含む暗
号プロセッサ11へメインプロセッサ13によって案内された呼を含むメモリ14に格
納されたソフトウェアを実行する。
スマートカード20は、円分方式に従ってメモリ22に格納されたソフトウェアを
実行する。
中央機能40は、円分方式を利用してグローバル情報を生成して全ての当事者に
それを分配するように機能する。グローバル情報の例は図4Eのステップ600に示
されたグローバ
ル公開鍵である。
本発明の例示的実施例とその様々な変形例を添付図面を参照してここで詳細に
説明したが、本発明は実施例に正確には限定されず、本発明の範囲を逸脱せずに
添付の特許請求の範囲に画定されているように、様々な変形及び更なる変更が当
業者によって可能であることが理解されるであろう。
請求の範囲
外国語特許出願30頁乃至36頁に相当する特許請求の範囲翻訳文全文
1. 第1の素数を選択するステップ(504)と、
前記第1の素数で数値計算された円文多項式を入手するステップ(508)
と、
前記第1の素数で数値計算された前記円文多項式の因数である第2の素
数を入手するステップ(510)と、
有限体の乗法群の部分群の生成元を発見するステップであって、前記部
分群の位数は前記第2の素数であるステップ(518)と、
前記第1及び第2の素数及び生成元を含むように前記公開鍵を形成する
ステップ(526)とを有する離散対数暗号系用公開鍵決定方法。
2. 最適正規基準で前記有限体を表現するステップを更に有する請
求項1記載の方法。
求項1記載の方法。
4. 制御整数t'を選択するステップを更に有し、前記円文多項式は
t'番目の円文多項式であり、前記公開鍵は前記制御整数t'を含む請求項1記載の
方法。
5. 請求項1の方法により形成された公開鍵を利用してメッセージ
用のディジタル署名生成方法であって、
前記生成元及び第1の整数に基づいて公開値を入手するステップ(524)
と、
第2の整数を選択するステップ(530)と、
前記第2の整数及び前記生成元に基づいて第1の署名値を入手するステ
ップ(536)と、
前記第1の署名値及び前記メッセージ(538)に基づいて第2の署名値を
入手するステップ(538)と、
第1及び第2の署名値を含むディジタル署名を形成するステップ(540)
とを有する方法。
6. 最適正規基準で前記有限体を表現するステップを更に有する請
求項5記載の方法。
求項5記載の方法。
8. 制御整数t'を選択するステップを更に有し、前記円文多項式は
t'番目の円文多項式である請求項5記載の方法。
9. 前記第1の署名値は前記第2の整数のべきに上げられた前記生
成元の全単射に基づく請求項5記載の方法。
10. 前記第2の署名値は前記第1の署名値を前記メッセージの暗号
ハッシュに結合することに基づく請求項5記載の方法。
11. 請求項5により形成されたメッセージのディジタル署名確認方
法であって、
前記第2の署名値の逆元である逆整数を発見するステップ(548)と、
前記逆整数及び前記メッセージに基づいて第1の中間値を発見するステ
ップ(550u1)と、
前記逆整数及び前記第1の署名値に基づいて第2の中間値を発見するス
テップ(550u2)と、
前記生成元、前記公開値及び前記第1及び第2の中間値に基づいて第3
の中間値を発見するステップ(554)と、
前記第3の中間値が前記第1の署名値に等しい場合に前記署名が有効で
あると決定するステップ(556)とを有する方法。
12. 前記第3の中間値は、第2の中間値のべきに上げられた公開値
が掛けられた前記第1の中間値のべきに上げられた生成元の全単射である請求項
11記載の方法。
13. 請求項1の方法によって形成された公開鍵を利用して供給鍵を
決定する方法であって、
第1の整数を選択するステップ(602)と、
前記生成元に基づいて中間値を受け取るステップ(608)と、
前記中間値及び前記整数の関数として前記共有鍵を形成するステップ(6
10)とを有する公開鍵暗号系の共有鍵決定方法。
14. 最適正規基準で前記有限体を表現するステップを更に有する請
求項13記載の方法。
15. 前記生成元及び前記整数に基づく第2の中間値を発見するステ
ップ(604)と、前記共有鍵を共有する者に前記第2の中間値を送信するステップ(
606)とを更に有する請求項13記載の方法。
16. 請求項13の方法によって形成される前記共有鍵を利用したメッ
セージの安全な通信方法であって、前記共有鍵により前記メッセージを暗号化す
るステップを有する方法。
17. 最適正規基準で前記有限体を表現するステップを更に有する請
求項16記載の方法。
18. メッセージの安全な通信方法であって、
請求項13の方法によって形成される前記共有鍵を利用して暗号化された
暗号メッセージを受け取るステップと、
前記共有鍵を使用して前記暗号メッセージを解読するステップとを有す
る方法。
19. 請求項1により形成された公開鍵を利用したメッセージの安全
な通信方法であって、
前記生成元及び第1の整数に基づいて公開値を入手するステップ(524)
と、
第2の整数を選択するステップ(702)と、
前記生成元と第2の整数に基づいて第1の暗号値を発見するステップ(7
04)と、
前記メッセージ、前記公開値及び前記第2の整数に基づいて第2の暗号
値を発見するステップ(706)と、
前記第1及び第2の暗号値から暗号メッセージを形成するステップ(708
)を有する方法。
20. 最適正規基準で前記有限体を表現するステップを更に有する請
求項19記載の方法。
21. メッセージの安全な通信方法であって、
請求項1により公開鍵を利用して暗号化された暗号メッセージを受け取
るステップと、
前記第1の暗号値と、前記生成元に基づく秘密鍵に基づいて第1の中間
値を発見するステップ(724)と、
前記第2の暗号値及び前記第1の中間値に基づいて前記暗号メッセージ
を解読するステップ(726)とを有する方法。
22. 第1の素数を選択する手段と、
前記第1の素数で数値計算された円文多項式を入手する手段と、
前記第1の素数で数値計算された前記円文多項式の因数である第2の素
数を入手する手段と、
有限体の乗法群の部分群の生成元を発見する手段であって、前記部分群
の位数は前記第2の素数である手段と、
前記第1及び第2の素数及び前記生成元を含むように前記公開鍵を形成
する手段とを有する離散対数暗号系用の公開鍵決定装置。
23. 最適正規基準で前記有限体を表現する手段を更に有する請求項
22記載
の装置。
求項22記載の装置。
25. 制御整数t'を選択する手段を更に有し、前記円文多項式はt'番
目の円文多項式であり、前記公開鍵は前記制御整数t'を含む請求項22記載の装置
。
26. 前記生成元及び選択整数に基づく公開値を入手するステップを
更に有し、前記公開鍵は公開値も有する請求項1記載の方法。
27. 前記選択整数を含む秘密鍵を形成するステップを更に有する請
求項1記載の方法。
28. 前記生成元及び選択整数に基づく公開値を入手する手段を更に
有し、前記公開鍵は公開値も有する請求項22記載の装置。
29. 前記選択整数を含む秘密鍵を形成する手段を更に有する請求項
22記載の装置。
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,DE,
DK,ES,FI,FR,GB,GR,IE,IT,L
U,MC,NL,PT,SE),OA(BF,BJ,CF
,CG,CI,CM,GA,GN,ML,MR,NE,
SN,TD,TG),AP(GH,KE,LS,MW,S
D,SZ,UG,ZW),EA(AM,AZ,BY,KG
,KZ,MD,RU,TJ,TM),AL,AM,AT
,AU,AZ,BA,BB,BG,BR,BY,CA,
CH,CN,CU,CZ,DE,DK,EE,ES,F
I,GB,GE,GH,HU,IL,IS,JP,KE
,KG,KP,KR,KZ,LC,LK,LR,LS,
LT,LU,LV,MD,MG,MK,MN,MW,M
X,NO,NZ,PL,PT,RO,RU,SD,SE
,SG,SI,SK,SL,TJ,TM,TR,TT,
UA,UG,UZ,VN,YU,ZW
Claims (1)
- 【特許請求の範囲】 1. 第1の素数を選択するステップと、 前記第1の素数で数値計算された円文多項式を入手するステップと、 前記第1の素数で数値計算された前記円文多項式の因数である第2の素 数を入手するステップと、 有限体の乗法群の部分群の生成元を発見するステップであって、前記部 分群の位数は前記第2の素数であるステップと、 前記生成元と選択整数に基づいて公開値を入手するステップと、 前記第1及び第2の素数、生成元及び公開値を含むように前記公開鍵を 形成するステップと、 選択整数を含むように秘密鍵を形成するステップとを有する公開鍵暗号 系の公開及び秘密鍵決定方法。 2. 最適正規基準で前記有限体を表現するステップを更に有する請 求項1記載の方法。 求項1記載の方法。 4. 制御整数t'を選択するステップを更に有し、前記円文多項式は t'番目の円文多項式であり、前記公開鍵は前記制御整数t'を含む請求項1記載の 方法。 5. メッセージのディジタル署名生成方法であって、 第1の素数を選択するステップと、 前記第1の素数で数値計算された円文多項式を入手するステップと、 前記第1の素数で数値計算された前記円文多項式の因数である第2の素 数を入手するステップと、 有限体の乗法群の部分群の生成元を発見するステップであって、前記部 分群の位数は前記第2の素数であるステップと、 前記生成元と第1の整数に基づいて公開値を入手するステップと、 第2の整数を選択するステップと、 前記第2の整数及び前記生成元に基づいて第1の署名値を入手するステ ップと、 前記第1の署名値及び前記メッセージに基づいて第2の署名値を入手す るステップと、 第1及び第2の署名値を含むディジタル署名を形成するステップとを有 する方法。 6. 最適正規基準で前記有限体を表現するステップを更に有する請 求項5記載の方法。 求項5記載の方法。 8. 制御整数t'を選択するステップを更に有し、前記円文多項式は t'番目の円文多項式である請求項5記載の方法。 9. 前記第1の署名値は前記第2の整数のべきに上げられた前記生 成元の全単射に基づく請求項5記載の方法。 10. 前記第2の署名値は前記第1の署名値を前記メッセージの暗号 ハッシュに結合することに基づく請求項5記載の方法。 11. 請求項5により形成されたメッセージのディジタル署名確認方 法であって、 前記第2の署名値の逆元である逆整数を発見するステップと、 前記逆整数及び前記メッセージに基づいて第1の中間値を発見するステ ップと、 前記逆整数及び前記第1の署名値に基づいて第2の中間値を発見するス テップと、 前記生成元、前記公開値及び前記第1及び第2の中間値に基づいて第3 の中間値を発見するステップと、 前記第3の中間値が前記第1の署名値に等しい場合に前記署名が有効で あると決定するステップとを有する方法。 12. 前記第3の中間値は、第2の中間値のべきに上げられた公開値 が掛けられた前記第1の中間値のべきに上げられた生成元の全単射である請求項 11記載の方法。 13. 第1の素数を選択するステップと、 前記第1の素数で数値計算された円文多項式を入手するステップと、 前記第1の素数で数値計算された前記円文多項式の因数である第2の素 数を入手するステップと、 有限体の乗法群の部分群の生成元を発見するステップであって、前記部 分群の位数は前記第2の素数であるステップと、 整数を選択するステップと、 前記生成元に基づいて中間値を受け取るステップと、 前記中間値及び前記整数の関数として前記共有鍵を形成するステップと を有する公開鍵暗号系の共有鍵決定方法。 14. 最滴正規基準で前記有限体を表現するステップを更に有する請 求項13記載の方法。 15. 前記生成元及び前記整数に基づく第2の中間値を発見するステ ップと、 前記共有鍵を共有する者に前記第2の中間値を送信するステップとを更に有する 請求項13記載の方法。 16. メッセージの安全な通信方法であって、 第1の素数を選択するステップと、 前記第1の素数で数値計算された円文多項式を入手するステップと、 前記第1の素数で数値計算された前記円文多項式の因数である第2の素 数を入手するステップと、 有限体の乗法群の部分群の生成元を発見するステップであって、前記部 分群の位数は前記第2の素数であるステップと、 整数を選択するステップと、 前記生成元に基づいて中間値を受け取るステップと、 前記中間値及び前記整数の関数として前記共有鍵を形成するステップと 前記共有鍵により前記メッセージを暗号化するステップとを有する方法 。 17. 最適正規基準で前記有限体を表現するステップを更に有する請 求項16記載の方法。 18. 中間値と選択整数の関数として形成された共有鍵により暗号化 された暗号メッセージを受け取るステップであって、前記中間値は、有限体の乗 法群の部分群の生成元に基づいており、前記部分群の位数は第1の素数で数値計 算された円文多項式の因数である第2の素数であるステップと、 前記共有鍵を使用して前記暗号メッセージを解読するステップとを有す るメッセージの安全な通信方法。 19. メッセージの安全な通信方法であって、 第1の素数を選択するステップと、 前記第1の素数で数値計算された円文多項式を入手するステップと、 前記第1の素数で数値計算された前記円文多項式の因数である第2の素 数を入手するステップと、 有限体の乗法群の部分群の生成元を発見するステップであって、前記部 分群の位数は前記第2の素数であるステップと、 前記生成元と第1の整数に基づいて公開値を入手するステップと、 第2の整数を選択するステップと、 前記生成元及び前記第2の整数に基づいて第1の暗号値を発見するステ ップと、 前記メッセージ、前記公開値及び前記第2の整数に基づいて第2の暗号 値を発見するステップと、 前記第1及び第2の暗号値から暗号メッセージを形成するステップを有 する方法。 20. 最適正規基準で前記有限体を表現するステップを更に有する請 求項19記載の方法。 21. メッセージの安全な通信方法であって、 第1の暗号値及び第2の暗号値から形成された暗号メッセージを受け取 るステップであって、前記第1の暗号値は有限体の乗法群の部分群の第1の整数 と生成元に基づいており、前記部分群の位数は第1の素数で数値計算された円文 多項式の因数である第2の素数で、前記第2の暗号値は、前記生成元及び第2の 整数に基づく公開値と、前記第1の整数と、前記メッセージに基づいているステ ップと、 前記第1の暗号値及び前記生成元に基づいている秘密鍵に基づいて第1 の中間値を発見するステップと、 前記第2の暗号値及び前記第1の中間値に基づいて前記暗号メッセージ を解読するステップとを有する方法。 22. 第1の素数を選択する手段と、 前記第1の素数で数値計算された円文多項式を入手する手段と、 前記第1の素数で数値計算された前記円文多項式の因数である第2の素 数を入手する手段と、 有限体の乗法群の部分群の生成元を発見する手段であって、前記部分群 の位数は前記第2の素数である手段と、 前記生成元と選択整数に基づく公開値を入手する手段と、 前記第1及び第2の素数、前記生成元及び前記公開値を含む前記公開鍵 を形成する手段と、 選択整数を含むように前記秘密鍵を形成する手段とを有する公開鍵暗号 系用の公開及び秘密鍵決定装置。 23. 最適正規基準で前記有限体を表現する手段を更に有する請求項 22記載 の装置。 求項22記載の装置。 25. 制御整数t'を選択する手段を更に有し、前記円文多項式はt'番 目の円文多項式であり、前記公開鍵は前記制御整数t'を含む請求項22記載の装置 。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US80066997A | 1997-02-14 | 1997-02-14 | |
| US08/800,669 | 1997-02-14 | ||
| PCT/US1997/017304 WO1998036526A1 (en) | 1997-02-14 | 1997-09-26 | Cyclotomic polynomial construction of discrete logarithm cryptosystems over finite fields |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001511912A true JP2001511912A (ja) | 2001-08-14 |
Family
ID=25179039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP53570498A Ceased JP2001511912A (ja) | 1997-02-14 | 1997-09-26 | 有限体上の離散対数暗号系の円分多項式構造 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US6665405B1 (ja) |
| EP (1) | EP0963635B1 (ja) |
| JP (1) | JP2001511912A (ja) |
| KR (1) | KR20000071078A (ja) |
| CN (2) | CN101087195A (ja) |
| AT (1) | ATE246418T1 (ja) |
| AU (1) | AU719462B2 (ja) |
| CA (1) | CA2280775C (ja) |
| DE (1) | DE69723872D1 (ja) |
| WO (1) | WO1998036526A1 (ja) |
Families Citing this family (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7837116B2 (en) | 1999-09-07 | 2010-11-23 | American Express Travel Related Services Company, Inc. | Transaction card |
| US7239226B2 (en) | 2001-07-10 | 2007-07-03 | American Express Travel Related Services Company, Inc. | System and method for payment using radio frequency identification in contact and contactless transactions |
| US7889052B2 (en) | 2001-07-10 | 2011-02-15 | Xatra Fund Mx, Llc | Authorizing payment subsequent to RF transactions |
| US7172112B2 (en) | 2000-01-21 | 2007-02-06 | American Express Travel Related Services Company, Inc. | Public/private dual card system and method |
| US8429041B2 (en) | 2003-05-09 | 2013-04-23 | American Express Travel Related Services Company, Inc. | Systems and methods for managing account information lifecycles |
| US8543423B2 (en) | 2002-07-16 | 2013-09-24 | American Express Travel Related Services Company, Inc. | Method and apparatus for enrolling with multiple transaction environments |
| AU2001243473A1 (en) | 2000-03-07 | 2001-09-17 | American Express Travel Related Services Company, Inc. | System for facilitating a transaction |
| US7725427B2 (en) | 2001-05-25 | 2010-05-25 | Fred Bishop | Recurrent billing maintenance with radio frequency payment devices |
| US7650314B1 (en) | 2001-05-25 | 2010-01-19 | American Express Travel Related Services Company, Inc. | System and method for securing a recurrent billing transaction |
| US7493288B2 (en) | 2001-07-10 | 2009-02-17 | Xatra Fund Mx, Llc | RF payment via a mobile device |
| US20040236699A1 (en) | 2001-07-10 | 2004-11-25 | American Express Travel Related Services Company, Inc. | Method and system for hand geometry recognition biometrics on a fob |
| US8960535B2 (en) | 2001-07-10 | 2015-02-24 | Iii Holdings 1, Llc | Method and system for resource management and evaluation |
| US7805378B2 (en) | 2001-07-10 | 2010-09-28 | American Express Travel Related Servicex Company, Inc. | System and method for encoding information in magnetic stripe format for use in radio frequency identification transactions |
| US7925535B2 (en) | 2001-07-10 | 2011-04-12 | American Express Travel Related Services Company, Inc. | System and method for securing RF transactions using a radio frequency identification device including a random number generator |
| US7668750B2 (en) | 2001-07-10 | 2010-02-23 | David S Bonalle | Securing RF transactions using a transactions counter |
| US7746215B1 (en) | 2001-07-10 | 2010-06-29 | Fred Bishop | RF transactions using a wireless reader grid |
| US7503480B2 (en) | 2001-07-10 | 2009-03-17 | American Express Travel Related Services Company, Inc. | Method and system for tracking user performance |
| US9031880B2 (en) | 2001-07-10 | 2015-05-12 | Iii Holdings 1, Llc | Systems and methods for non-traditional payment using biometric data |
| US7119659B2 (en) | 2001-07-10 | 2006-10-10 | American Express Travel Related Services Company, Inc. | Systems and methods for providing a RF transaction device for use in a private label transaction |
| US7996324B2 (en) | 2001-07-10 | 2011-08-09 | American Express Travel Related Services Company, Inc. | Systems and methods for managing multiple accounts on a RF transaction device using secondary identification indicia |
| US9454752B2 (en) | 2001-07-10 | 2016-09-27 | Chartoleaux Kg Limited Liability Company | Reload protocol at a transaction processing entity |
| US8001054B1 (en) | 2001-07-10 | 2011-08-16 | American Express Travel Related Services Company, Inc. | System and method for generating an unpredictable number using a seeded algorithm |
| US7249112B2 (en) | 2002-07-09 | 2007-07-24 | American Express Travel Related Services Company, Inc. | System and method for assigning a funding source for a radio frequency identification device |
| US7360689B2 (en) | 2001-07-10 | 2008-04-22 | American Express Travel Related Services Company, Inc. | Method and system for proffering multiple biometrics for use with a FOB |
| US8635131B1 (en) | 2001-07-10 | 2014-01-21 | American Express Travel Related Services Company, Inc. | System and method for managing a transaction protocol |
| US7827106B2 (en) | 2001-07-10 | 2010-11-02 | American Express Travel Related Services Company, Inc. | System and method for manufacturing a punch-out RFID transaction device |
| US9024719B1 (en) | 2001-07-10 | 2015-05-05 | Xatra Fund Mx, Llc | RF transaction system and method for storing user personal data |
| US8279042B2 (en) | 2001-07-10 | 2012-10-02 | Xatra Fund Mx, Llc | Iris scan biometrics on a payment device |
| US7303120B2 (en) | 2001-07-10 | 2007-12-04 | American Express Travel Related Services Company, Inc. | System for biometric security using a FOB |
| US7762457B2 (en) | 2001-07-10 | 2010-07-27 | American Express Travel Related Services Company, Inc. | System and method for dynamic fob synchronization and personalization |
| US8294552B2 (en) | 2001-07-10 | 2012-10-23 | Xatra Fund Mx, Llc | Facial scan biometrics on a payment device |
| US8538863B1 (en) | 2001-07-10 | 2013-09-17 | American Express Travel Related Services Company, Inc. | System and method for facilitating a transaction using a revolving use account associated with a primary account |
| US8548927B2 (en) | 2001-07-10 | 2013-10-01 | Xatra Fund Mx, Llc | Biometric registration for facilitating an RF transaction |
| US7705732B2 (en) | 2001-07-10 | 2010-04-27 | Fred Bishop | Authenticating an RF transaction using a transaction counter |
| US7281132B2 (en) * | 2001-10-19 | 2007-10-09 | Sun Microsystems, Inc. | Using token-based signing to install unsigned binaries |
| GB2391772B (en) * | 2002-08-10 | 2005-05-11 | Clive Neil Galley | Public-key cryptosystem |
| US6805287B2 (en) | 2002-09-12 | 2004-10-19 | American Express Travel Related Services Company, Inc. | System and method for converting a stored value card to a credit card |
| EP1597646A2 (en) * | 2003-02-04 | 2005-11-23 | Canonline Global Media, Inc. | Method and apparatus for converting objects between weakly and strongly typed programming frameworks |
| US7590236B1 (en) * | 2004-06-04 | 2009-09-15 | Voltage Security, Inc. | Identity-based-encryption system |
| US7318550B2 (en) | 2004-07-01 | 2008-01-15 | American Express Travel Related Services Company, Inc. | Biometric safeguard method for use with a smartcard |
| WO2006020238A2 (en) * | 2004-07-16 | 2006-02-23 | Ns8 Corporation | Method and system for managing the use of electronic works |
| CN1773905B (zh) * | 2004-11-10 | 2010-08-18 | 日电(中国)有限公司 | 在安全通信系统中生成匿名公钥的方法、设备和系统 |
| EP1815635B9 (en) * | 2004-11-11 | 2014-01-15 | Certicom Corp. | Custom static diffie-hellman groups |
| JP4548223B2 (ja) * | 2005-05-27 | 2010-09-22 | 日本電気株式会社 | 擬似ランダム関数計算装置及び方法、並びに回数制限匿名認証システム及び方法 |
| WO2008093690A1 (ja) * | 2007-02-02 | 2008-08-07 | Nec Corporation | 分散情報生成装置、復元装置、復元結果検証装置、秘密情報分散システム、方法およびプログラム |
| CN101008937B (zh) * | 2007-02-06 | 2010-05-19 | 中国科学院研究生院 | 提高有限域上乘法以及大矩阵消元的计算速度的方法 |
| US8707042B2 (en) * | 2008-08-28 | 2014-04-22 | Red Hat, Inc. | Sharing keys between cooperating parties |
| US8200616B2 (en) * | 2008-12-31 | 2012-06-12 | Nokia Corporation | Method, apparatus, and computer program product for polynomial-based data transformation and utilization |
| CN102043606B (zh) * | 2009-10-20 | 2013-07-03 | 瑞昱半导体股份有限公司 | 处理有限域运算的方法与运算电路 |
| KR101350987B1 (ko) * | 2011-10-31 | 2014-01-16 | 삼성에스디에스 주식회사 | 이산 대수 계산을 위한 분산 처리 시스템 및 방법 |
| CN105359455A (zh) * | 2013-07-12 | 2016-02-24 | 皇家飞利浦有限公司 | 电子签名系统 |
| JP6413598B2 (ja) * | 2014-10-10 | 2018-10-31 | 富士通株式会社 | 暗号処理方法、暗号処理装置、及び暗号処理プログラム |
| US10129026B2 (en) * | 2016-05-03 | 2018-11-13 | Certicom Corp. | Method and system for cheon resistant static diffie-hellman security |
| US10951404B1 (en) * | 2020-06-09 | 2021-03-16 | Quantropi Inc. | Methods and systems for digital message encoding and signing |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3963905A (en) * | 1974-09-11 | 1976-06-15 | Bell Telephone Laboratories, Incorporated | Periodic sequence generators using ordinary arithmetic |
| GB9510035D0 (en) * | 1995-05-18 | 1995-08-02 | Cryptech Systems Inc | Strengthened public key protocols |
| US9836526B2 (en) * | 2013-12-17 | 2017-12-05 | International Business Machines Corporation | Selecting a structure to represent tabular information |
-
1997
- 1997-09-26 AU AU46530/97A patent/AU719462B2/en not_active Ceased
- 1997-09-26 CA CA002280775A patent/CA2280775C/en not_active Expired - Fee Related
- 1997-09-26 AT AT97945298T patent/ATE246418T1/de not_active IP Right Cessation
- 1997-09-26 EP EP97945298A patent/EP0963635B1/en not_active Expired - Lifetime
- 1997-09-26 CN CNA2007101092829A patent/CN101087195A/zh active Pending
- 1997-09-26 KR KR1019997007364A patent/KR20000071078A/ko not_active Application Discontinuation
- 1997-09-26 JP JP53570498A patent/JP2001511912A/ja not_active Ceased
- 1997-09-26 CN CNB971820929A patent/CN1326351C/zh not_active Expired - Lifetime
- 1997-09-26 DE DE69723872T patent/DE69723872D1/de not_active Expired - Lifetime
- 1997-09-26 WO PCT/US1997/017304 patent/WO1998036526A1/en active IP Right Grant
-
2000
- 2000-10-19 US US09/704,722 patent/US6665405B1/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| US6665405B1 (en) | 2003-12-16 |
| ATE246418T1 (de) | 2003-08-15 |
| CN1251715A (zh) | 2000-04-26 |
| AU719462B2 (en) | 2000-05-11 |
| CA2280775C (en) | 2002-11-19 |
| AU4653097A (en) | 1998-09-08 |
| KR20000071078A (ko) | 2000-11-25 |
| EP0963635B1 (en) | 2003-07-30 |
| CN1326351C (zh) | 2007-07-11 |
| CA2280775A1 (en) | 1998-08-20 |
| WO1998036526A1 (en) | 1998-08-20 |
| CN101087195A (zh) | 2007-12-12 |
| EP0963635A1 (en) | 1999-12-15 |
| DE69723872D1 (de) | 2003-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2001511912A (ja) | 有限体上の離散対数暗号系の円分多項式構造 | |
| CA2235359C (en) | Implicit certificate scheme with ca chaining | |
| RU2376651C2 (ru) | Использование изогений для разработки криптосистем | |
| US20180359097A1 (en) | Digital signing by utilizing multiple distinct signing keys, distributed between two parties | |
| US6490352B1 (en) | Cryptographic elliptic curve apparatus and method | |
| US8429408B2 (en) | Masking the output of random number generators in key generation protocols | |
| US7912216B2 (en) | Elliptic curve cryptosystem optimization using two phase key generation | |
| JP4137385B2 (ja) | 公開鍵および秘密鍵による暗号化方法 | |
| GB2321834A (en) | Cryptographic signature verification using two private keys. | |
| US20040139029A1 (en) | Apparatus and method for generating and verifying ID-based blind signature by using bilinear parings | |
| US20100177890A1 (en) | Hash functions with elliptic polynomial hopping | |
| US7248692B2 (en) | Method of and apparatus for determining a key pair and for generating RSA keys | |
| Shen et al. | Identity-based authenticated encryption with identity confidentiality | |
| JP4706811B2 (ja) | 依頼計算を用いた演算装置、及び記録媒体 | |
| CA2742530C (en) | Masking the output of random number generators in key generation protocols | |
| CA2232936C (en) | Implicit certificate scheme | |
| AU2771500A (en) | Cyclotomic polynominal construction of discrete logarithm cryptosystems over finite fields | |
| MXPA99007515A (en) | Cyclotomic polynomial construction of discrete logarithm cryptosystems over finite fields | |
| JP2000165374A (ja) | ユーザー装置への秘密の固有情報の配送方法、暗号送信装置、暗号受信装置 | |
| JPH11187009A (ja) | 無交信鍵配送方法、その装置、及びプログラム記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040927 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071218 |
|
| A313 | Final decision of rejection without a dissenting response from the applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A313 Effective date: 20080520 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080701 |