JP2002536875A - 減少した計算組を伴う認証または署名プロセス - Google Patents
減少した計算組を伴う認証または署名プロセスInfo
- Publication number
- JP2002536875A JP2002536875A JP2000596695A JP2000596695A JP2002536875A JP 2002536875 A JP2002536875 A JP 2002536875A JP 2000596695 A JP2000596695 A JP 2000596695A JP 2000596695 A JP2000596695 A JP 2000596695A JP 2002536875 A JP2002536875 A JP 2002536875A
- Authority
- JP
- Japan
- Prior art keywords
- equation
- verifier
- modulus
- called
- modulo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Collating Specific Patterns (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
(57)【要約】
本発明は、「プロバ」(A)と呼ばれる第1の実体と「ベリファイヤ」(B)と呼ばれる第2の実体とを含む認証プロセスであって、第1の実体は、公開鍵vと秘密鍵sとを有し、これらの鍵は、nを法とする作業によって関連付けられ、ここで、nは、モジュラスと呼ばれる整数であり、第2の実体は、公開鍵vを知っており、これらの実体は、ゼロ認識情報を交換しかつこの情報に基づいて暗号計算を実行する手段を提供され、いくつかの計算は、nを法として実行され、モジュラスnは、プロバ(A)に特有であり、プロバ(A)は、このモジュラスを、ベリファイヤ(B)へ通信することを特徴とする。
Description
【0001】
本発明は、減少された計算の組を伴う認証または署名プロセスに関する。
【0002】 より正確には、本発明は、公開鍵暗号分野に関する。このプロセスによると、
認証されるべき実体−プロバ(prover)−は、秘密鍵と関係する公開鍵とを有す
る。認証する実体−ベリファイヤ−(verifier)は、認証を達成するためには、
この公開鍵を必要とするだけである。
認証されるべき実体−プロバ(prover)−は、秘密鍵と関係する公開鍵とを有す
る。認証する実体−ベリファイヤ−(verifier)は、認証を達成するためには、
この公開鍵を必要とするだけである。
【0003】 更により正確には、本プロセスは、「ゼロ認識プロトコル」と呼ばれる(即ち
、認識の如何なる通信も有しない)プロセスの組に関する。この種のプロセスに
よると、認証は、プロバの秘密鍵について何も開示しないプロトコルに従って(
認識されるように、かつ、完全に筋が通っているとして科学共同体によって考慮
された仮定の下で)実行される。
、認識の如何なる通信も有しない)プロセスの組に関する。この種のプロセスに
よると、認証は、プロバの秘密鍵について何も開示しないプロトコルに従って(
認識されるように、かつ、完全に筋が通っているとして科学共同体によって考慮
された仮定の下で)実行される。
【0004】 更により正確であるために、本発明は、因数分解問題に基づく(即ち、大きな
整数を素数の積に因数分解することの困難に基づく)ゼロ認識プロセスに関する
。
整数を素数の積に因数分解することの困難に基づく)ゼロ認識プロセスに関する
。
【0005】 本発明は、電話相手またはメッセージを認証する必要がある全てのシステム、
または、メッセージに署名する必要がある全てのシステムに適用可能であり、詳
細には、プロバによって実行されるべき計算の量がクリティカルであるシステム
に適用可能である。これは、特に、標準のマイクロプロセッサを使用するカード
、または、低価格のカードに対する場合である。これらのカードは(しばしば、
暗号プロセッサと呼ばれる)算術コプロセッサを具備せず、該カードでは、暗号
計算が加速されなくてはならない。
または、メッセージに署名する必要がある全てのシステムに適用可能であり、詳
細には、プロバによって実行されるべき計算の量がクリティカルであるシステム
に適用可能である。これは、特に、標準のマイクロプロセッサを使用するカード
、または、低価格のカードに対する場合である。これらのカードは(しばしば、
暗号プロセッサと呼ばれる)算術コプロセッサを具備せず、該カードでは、暗号
計算が加速されなくてはならない。
【0006】 本発明の一般的なアプリケーションは、電子財布である。電子財布は、価格理
由または技術的理由(例えば、接触不要なインターフェースの使用)のいずれか
またはその両方の理由によって暗号プロセッサの使用を放棄しながら、非常に高
いセキュリティレベルを要求する。
由または技術的理由(例えば、接触不要なインターフェースの使用)のいずれか
またはその両方の理由によって暗号プロセッサの使用を放棄しながら、非常に高
いセキュリティレベルを要求する。
【0007】 他の可能性のあるアプリケーションは、次世代テレカード(telecard)である
。次世代テレカードの価格制約は、電子財布の価格制約よりもはるかに厳しい。
。次世代テレカードの価格制約は、電子財布の価格制約よりもはるかに厳しい。
【0008】
多数のゼロ認識識別プロセスが、公表されている。例えば、 −“Advances in Cryptology: Proceedings of CRYPTO'86, Lecture Notes in
Computer Science”vol. 263, Springer-Verlag, Berlin, 1987, pp. 186-194
において公表された“how to prove yourself: Practical solutions to identi
fication and signature problems”とタイトルの付けられたA. FIATとA. SHAMI
Rとによる記事に記載されたFIAT-SHAMIRプロトコル −Advances in Cryptology: Proceedings of EUROCRYPT'88; Lecture notes i
n Computer Sciences”vol. 330, Springer-Verlag, Berlin, 1988, pp. 123-12
8において公表された“A Practical zero-knowledge protocol fitted to secur
ity microprocessors minimising both transmission and memory”とタイトル
の付けられたL.C. GUILLOUとJ.J. QUISQUATERとによる記事に記載されたGUILLOU
-QUISQUATERプロトコル −離散対数問題に基づくフランス特許出願FR-A-2 176 058に記載されたGIRAUL
Tプロトコル
Computer Science”vol. 263, Springer-Verlag, Berlin, 1987, pp. 186-194
において公表された“how to prove yourself: Practical solutions to identi
fication and signature problems”とタイトルの付けられたA. FIATとA. SHAMI
Rとによる記事に記載されたFIAT-SHAMIRプロトコル −Advances in Cryptology: Proceedings of EUROCRYPT'88; Lecture notes i
n Computer Sciences”vol. 330, Springer-Verlag, Berlin, 1988, pp. 123-12
8において公表された“A Practical zero-knowledge protocol fitted to secur
ity microprocessors minimising both transmission and memory”とタイトル
の付けられたL.C. GUILLOUとJ.J. QUISQUATERとによる記事に記載されたGUILLOU
-QUISQUATERプロトコル −離散対数問題に基づくフランス特許出願FR-A-2 176 058に記載されたGIRAUL
Tプロトコル
【0009】 一般的に言えば、大抵のゼロ認識識別(または、メッセージ認証)プロトコル
は、3つのステップを含む。簡単のために、「ベリファイヤBは、プロバAに関
する全ての公開パラメータ(即ち、プロバAの識別子や公開鍵など)を既に知っ
ている」ということを仮定する。
は、3つのステップを含む。簡単のために、「ベリファイヤBは、プロバAに関
する全ての公開パラメータ(即ち、プロバAの識別子や公開鍵など)を既に知っ
ている」ということを仮定する。
【0010】 第1のトランザクションとして、Aは、認証または署名されるべきメッセージ
だけでなく、「オープニング」と呼ばれる値“c”、即ち、(Aよってランダム
に選択された数rからそれ自身得られた)パラメータxの擬似ランダム関数hを
通したイメージを、Bに供給する。c=h(x,〔M〕)であり、ここで、シン
ボル〔M〕は「Mが任意である」ということを意味する。これが、第1のステッ
プである。いくつかのプロトコルは、いくつかのオープニングを含む。
だけでなく、「オープニング」と呼ばれる値“c”、即ち、(Aよってランダム
に選択された数rからそれ自身得られた)パラメータxの擬似ランダム関数hを
通したイメージを、Bに供給する。c=h(x,〔M〕)であり、ここで、シン
ボル〔M〕は「Mが任意である」ということを意味する。これが、第1のステッ
プである。いくつかのプロトコルは、いくつかのオープニングを含む。
【0011】 第2のトランザクションの間、Bは、ランダムに選択されたパラメータe(「
質問」)を、Aへ送る。それが、第2のステップである。
質問」)を、Aへ送る。それが、第2のステップである。
【0012】 第3のトランザクションの間、Aは、質問eとオープニングcとAの秘密鍵と
に密接した「回答」yを、Bへ送る(第3のステップ)。
に密接した「回答」yを、Bへ送る(第3のステップ)。
【0013】 そして、Bは受信した回答をチェックする。より正確には、Bは、式
【数39】 を使用して要素yとeとvとからxを再計算し、かつ、
【数40】 をベリファイする。これが、第4のステップである。
【0014】 認証すべきメッセージがないときは、擬似ランダム関数hの使用は任意である
。この場合、c=xが便利である。立証は、
。この場合、c=xが便利である。立証は、
【数41】 をチェックすることを具備する。
【0015】 いくつかのプロトコルにおいて、ベリファイヤとプロバとの間には、1または
2以上のトランザクションがある。
2以上のトランザクションがある。
【0016】 メッセージ署名に対して、パラメータeはcに等しくされるので、最初の2つ
のステップは破棄される。そして、Aは、cとe(=c)とyとを連続的に計算
するだけである。
のステップは破棄される。そして、Aは、cとe(=c)とyとを連続的に計算
するだけである。
【0017】 回答されるべき質問の数uは、希望されるプロトコルセキュリティレベルに直
接依存する。このレベルは、詐称者(即ち、Aを不正に模倣する実体C)を検出
することの確率pとして定義される。確率pは、パラメータkによって測定され
る。パラメータkの値は、式p=1−2-kによって、pに関係付けられる。言い
換えると、詐称者は、2k回に1回の成功しか有しない。「もし、プロトコルが
困難な数学的計算に依存するならば、かつ、もし、オープニングが十分な長さで
あるならば、uの長さは単にkビットに等しくなくてはならない」ということが
、本ケースにおいて論証されることができる。kの一般的な値は32である。こ
のことは、40億回に1回成功することを、詐称者に与える。識別の失敗が非常
に有害な結果を有するかも知れないアプリケーション(例えば、法律行為)にお
いては、この長さは、少ないビットに減少されてもよい。
接依存する。このレベルは、詐称者(即ち、Aを不正に模倣する実体C)を検出
することの確率pとして定義される。確率pは、パラメータkによって測定され
る。パラメータkの値は、式p=1−2-kによって、pに関係付けられる。言い
換えると、詐称者は、2k回に1回の成功しか有しない。「もし、プロトコルが
困難な数学的計算に依存するならば、かつ、もし、オープニングが十分な長さで
あるならば、uの長さは単にkビットに等しくなくてはならない」ということが
、本ケースにおいて論証されることができる。kの一般的な値は32である。こ
のことは、40億回に1回成功することを、詐称者に与える。識別の失敗が非常
に有害な結果を有するかも知れないアプリケーション(例えば、法律行為)にお
いては、この長さは、少ないビットに減少されてもよい。
【0018】 因数分解を使用するプロトコルに対して、rの項におけるxの計算は、または
、eの項におけるyの計算は、または、その両方は、nを法とする作業を含む。
ここで、nは、因数分解することが困難な合成数である。この数は、信頼できる
第三者によって生成された普遍的なタイプの数であるべきと言われる。この数は
、全ての認可された実体によって記憶されかつ使用される。nの因数分解を解く
ことは全ての信用されたユーザーの秘密鍵を処理することなので、nの「普遍的
な」特徴は「大きな数(通常は1024ビット)である」ということを意味する
。
、eの項におけるyの計算は、または、その両方は、nを法とする作業を含む。
ここで、nは、因数分解することが困難な合成数である。この数は、信頼できる
第三者によって生成された普遍的なタイプの数であるべきと言われる。この数は
、全ての認可された実体によって記憶されかつ使用される。nの因数分解を解く
ことは全ての信用されたユーザーの秘密鍵を処理することなので、nの「普遍的
な」特徴は「大きな数(通常は1024ビット)である」ということを意味する
。
【0019】 それらの基本的なバージョンでは、上述されたプロトコルはいずれも、以前の
段落において記述されたようなシビアな仕様(低価格、低複雑化)に応じなくて
はならないアプリケーションにおいて実現されることができない。なぜならば、
要求される計算は、暗号プロセッサ無しのマイクロプロセッサカードによっては
実行されることができないからである。
段落において記述されたようなシビアな仕様(低価格、低複雑化)に応じなくて
はならないアプリケーションにおいて実現されることができない。なぜならば、
要求される計算は、暗号プロセッサ無しのマイクロプロセッサカードによっては
実行されることができないからである。
【0020】 フランス特許出願FR-A-2 752 122はこれらのプロトコルを楽天的に記述してい
るが、該特許出願は、いわゆる「予備計算を伴う」モードに続く離散対数法を含
むプロトコルに限定され、「規則正しく予定された再ロードを含む」という欠点
を有する。
るが、該特許出願は、いわゆる「予備計算を伴う」モードに続く離散対数法を含
むプロトコルに限定され、「規則正しく予定された再ロードを含む」という欠点
を有する。
【0021】 本発明は、この欠点を適切に抑える。本発明は、因数分解を含むゼロ認識識別
(またはメッセージ署名または認証)プロトコルを使用するときに、プロバによ
って実行されるべき計算の数を減少することを目的とする。ゲインは約数2また
は3に到達しやすい。
(またはメッセージ署名または認証)プロトコルを使用するときに、プロバによ
って実行されるべき計算の数を減少することを目的とする。ゲインは約数2また
は3に到達しやすい。
【0022】 本発明は、また、詳細にはGUILLOU-QUISQUATERプロトコルと結合されたときに
、電子財布または次世代テレカードのようなアプリケーションに対して、低価格
の標準マイクロ回路カードにおいて具備される公開鍵識別(またはメッセージ認
証または署名)アルゴリズムの高速な完了を可能にする。
、電子財布または次世代テレカードのようなアプリケーションに対して、低価格
の標準マイクロ回路カードにおいて具備される公開鍵識別(またはメッセージ認
証または署名)アルゴリズムの高速な完了を可能にする。
【0023】
この目的は、普遍的な値ではなく特有の値であるモジュラスnを選択する(言
い換えれば、各実体はそれ自身のn値を有する)ことによって、かつ、この選択
物を(好ましくは結合されてもよい)以下の2つの方法で使用することによって
、満足される。 1)第1に、現在使用される値よりも小さい(一般的には、1000ビットよ
り小さく、かつ、例えば、700ビットと800ビットとの間の範囲にわたる)
nの長さを保持することによる。nの因数分解を解くことは関連するユーザーの
秘密鍵だけを処理しかつ他のユーザーの秘密鍵を処理する方法がないので、これ
は可能である。この修正は、nを法として実行される計算の継続期間を、単独で
40%減少する。 2)もし、ユーザーが該ユーザーのセキュリティデバイスのメモリ内にnの素
因数を記憶しているならば、2つの素因数が存在するときに、彼(または彼女)
は、nを法とする計算の継続期間を更に40%減少するために、チャイニーズ剰
余技術(Chinese remainders technique)を使用してもよい。この減少は、いく
つか(一般的には、3または4)の素因数を使用するときに増大される。
い換えれば、各実体はそれ自身のn値を有する)ことによって、かつ、この選択
物を(好ましくは結合されてもよい)以下の2つの方法で使用することによって
、満足される。 1)第1に、現在使用される値よりも小さい(一般的には、1000ビットよ
り小さく、かつ、例えば、700ビットと800ビットとの間の範囲にわたる)
nの長さを保持することによる。nの因数分解を解くことは関連するユーザーの
秘密鍵だけを処理しかつ他のユーザーの秘密鍵を処理する方法がないので、これ
は可能である。この修正は、nを法として実行される計算の継続期間を、単独で
40%減少する。 2)もし、ユーザーが該ユーザーのセキュリティデバイスのメモリ内にnの素
因数を記憶しているならば、2つの素因数が存在するときに、彼(または彼女)
は、nを法とする計算の継続期間を更に40%減少するために、チャイニーズ剰
余技術(Chinese remainders technique)を使用してもよい。この減少は、いく
つか(一般的には、3または4)の素因数を使用するときに増大される。
【0024】 総合的に考えると、nを法とする計算は、少なくとも60%(即ち、係数2)
減少されることができる。
減少されることができる。
【0025】 正確には、本発明は、「プロバ」と呼ばれる第1の実体と「ベリファイヤ」と
呼ばれる第2の実体とを含む認証のプロセスに関し、第1の実体は、公開鍵
呼ばれる第2の実体とを含む認証のプロセスに関し、第1の実体は、公開鍵
【数42】 と秘密鍵
【数43】 とを有し、これらの鍵は、
【数44】 を法とする計算によって関連付けられ、ここで、
【数45】 は、モジュラスと呼ばれる整数であり、第2の実体は、公開鍵
【数46】 を知っており、これらの実体は、ゼロ認識コンテクストにおいて情報を交換しか
つこの情報に基づく暗号計算を実行する手段を提供され、いくつかの計算は、
つこの情報に基づく暗号計算を実行する手段を提供され、いくつかの計算は、
【数47】 を法とするモードで実行され、該プロセスは、「
【数48】 の値が、プロバ実体に特有であり、プロバ実体は、この値を、ベリファイヤ実体
へ通信する」ということを特徴とする。
へ通信する」ということを特徴とする。
【0026】 前記実体は、例えば、マイクロ回路カードや電子財布やテレカードなどであっ
てもよい。
てもよい。
【0027】 好ましい実現によると、
【数49】 を法とする計算は、種類v=s-t(mod n)の計算であり、tはパラメータ
であり、ゼロ認識情報交換は、以下の通りである。 ・プロバが、1とn−1との間の範囲にわたる1つの(いくつかの)整数
であり、ゼロ認識情報交換は、以下の通りである。 ・プロバが、1とn−1との間の範囲にわたる1つの(いくつかの)整数
【数50】 をランダムに選択し、かつ、rt(mod n)に等しい1つの(いくつかの)
パラメータ
パラメータ
【数51】 を計算し、そして、オープニングと呼ばれる1つの(いくつかの)の数
【数52】 を計算し、オープニングは、この(これらの)パラメータとおそらくメッセージ
(M)との1つの(いくつかの)の関数であり、かつ、プロバが、この(これら
の)オープニングをベリファイヤへ送る。 ・ベリファイヤ実体が、オープニング
(M)との1つの(いくつかの)の関数であり、かつ、プロバが、この(これら
の)オープニングをベリファイヤへ送る。 ・ベリファイヤ実体が、オープニング
【数53】 を受信し、かつ、「質問」と呼ばれる1つの数
【数54】 をランダムに選択し、かつ、この質問をプロバへ送る。 ・プロバが、質問
【数55】 を受信し、かつ、この質問
【数56】 と秘密鍵
【数57】 とを使用して1つの(いくつかの)計算を実行し、この(これらの)計算の結果
が1つの(いくつかの)回答
が1つの(いくつかの)回答
【数58】 を生じ、かつ、プロバが、この(これらの)回答をベリファイヤへ送る。 ・ベリファイヤが、回答
【数59】 を受信し、かつ、公開鍵
【数60】 とモジュラス
【数61】 とを使用して1つの計算を実行し、かつ、「結果が、受信されたオープニングに
密接である」ということを
密接である」ということを
【数62】 を法とする計算を伴ってチェックする。
【0028】 数nのサイズは、ビットの数で表現され、1000より小さい。例えば、該サ
イズは、700と800との間であってもよい。
イズは、700と800との間であってもよい。
【0029】 本発明は、また、「署名者」と呼ばれる実体によって使用されるべきメッセー
ジ署名プロセスに関し、この実体は、公開鍵
ジ署名プロセスに関し、この実体は、公開鍵
【数63】 と秘密鍵
【数64】 とを提供され、これらの鍵は、
【数65】 を法とする作業によって関連付けられ、ここで、
【数66】 は、モジュラスと呼ばれる整数であり、
【数67】 はパラメータであり、該プロセスにおいて、署名者は、署名されるべきメッセー
ジの注目すべき関数であるオープニング
ジの注目すべき関数であるオープニング
【数68】 と秘密鍵の関数である数
【数69】 とを計算し、署名とメッセージとである数
【数70】 と
【数71】 とを送信し、該プロセスは、「モジュラスnは、署名者に特有である」というこ
とを特徴とする。
とを特徴とする。
【0030】 好ましい実現によると、署名者は、1とn−1との間の整数
【数72】 をランダムに選択し、そして、rt(mod n)に等しいパラメータ
【数73】 を計算し、そして、パラメータ
【数74】 と署名されるべきメッセージとの関数である数
【数75】 を計算し、そして、秘密鍵
【数76】 を使用して数
【数77】 と
【数78】 との関数として数
【数79】 を計算し、そして、数
【数80】 と
【数81】 とを署名として送信する。
【0031】
【発明の実施の形態】 以下の記述において、本発明は、一例として、プロトコルGUILLOU-QUISQUATER
と組み合わされることが仮定される。「本発明はこのプロトコルに限定されない
」ということは明らかである。
と組み合わされることが仮定される。「本発明はこのプロトコルに限定されない
」ということは明らかである。
【0032】 「GUILLOU-QUISQUATERプロトコルの普遍的なパラメータは、少なくとも102
4ビットを具備するモジュラス
4ビットを具備するモジュラス
【数82】 (素数の積)と整数値
【数83】 とである」ということに注意されたい。
【0033】 公開鍵
【数84】 と秘密鍵
【数85】 とは、式v=s-t(mod n)をベリファイする。
【0034】 保持されるセキュリティレベルは、(
【数86】 以下であり、一般には
【数87】 に等しい)
【数88】 である。
【0035】 通常の用語に従うと、BによるAの認証は、以下の通りに完了する。ここで、
Aはアリスと呼ばれ、かつ、Bはボブと呼ばれる。 1.アリスが、範囲〔1,n−1〕内においてrを選択し、かつ、x=rt(
mod n)そしてc=h(x,〔M〕)を計算し、かつ、cをボブへ送る。 2.ボブが、範囲〔1,u−1〕内においてeを選択し、かつ、eをアリスへ
送る。 3.アリスが、y=rse(mod n)を計算し、かつ、yをボブへ送る。 4.ボブが、x=ytve(mod n)を計算し、かつ、c=h(x,〔M〕
)をベリファイする。
Aはアリスと呼ばれ、かつ、Bはボブと呼ばれる。 1.アリスが、範囲〔1,n−1〕内においてrを選択し、かつ、x=rt(
mod n)そしてc=h(x,〔M〕)を計算し、かつ、cをボブへ送る。 2.ボブが、範囲〔1,u−1〕内においてeを選択し、かつ、eをアリスへ
送る。 3.アリスが、y=rse(mod n)を計算し、かつ、yをボブへ送る。 4.ボブが、x=ytve(mod n)を計算し、かつ、c=h(x,〔M〕
)をベリファイする。
【0036】 メッセージが認証されるべきでないときは、擬似ランダム関数hを含むことは
任意である。c=xが使用されることができる。そして、立証は、x=ytve(
mod n)をチェックすることを具備する。
任意である。c=xが使用されることができる。そして、立証は、x=ytve(
mod n)をチェックすることを具備する。
【0037】 本発明によって修正されたプロトコルでは、tは唯一の普遍的なパラメータで
ある。
ある。
【0038】 公開鍵は(n,v)である。ここで、nは少なくても768ビットを有する。
アリスの公開鍵vと秘密鍵とは、式v=s-t(mod n)を満足する。
アリスの公開鍵vと秘密鍵とは、式v=s-t(mod n)を満足する。
【0039】 本発明の第2の特徴の利点を得るために、秘密鍵は、nに基づく素因数を具備
してもよい。
してもよい。
【0040】 パラメータtは公開鍵内に具備されてもよい(この場合、普遍的なパラメータ
はもはや存在しない)。
はもはや存在しない)。
【0041】 アリスとボブとによって保持されるセキュリティレベルは(t以下であり、通
常はu=tである)uである。
常はu=tである)uである。
【0042】 ボブによるアリスの認証は、上述されたように実行される。しかし、より高速
な計算を伴うと、より小さなモジュラスnに起因する。
な計算を伴うと、より小さなモジュラスnに起因する。
【0043】 全てのアリスの計算はnを法として実行されるので、たった1つの係数の乗算
に起因するゲインファクタは、プロトコルを実行するときに、アリスによって完
了される完全な組の計算に影響を及ぼす。このことは、例えば、Fiat-Shamirま
たはGiraultプロトコルと同じであるべきである(後者の場合、係数計算がない
ので、ステップ3においてゲインは予測されるべきでないが、このステップの実
行時間は、第1ステップの係数の累乗に関して無視できる)。
に起因するゲインファクタは、プロトコルを実行するときに、アリスによって完
了される完全な組の計算に影響を及ぼす。このことは、例えば、Fiat-Shamirま
たはGiraultプロトコルと同じであるべきである(後者の場合、係数計算がない
ので、ステップ3においてゲインは予測されるべきでないが、このステップの実
行時間は、第1ステップの係数の累乗に関して無視できる)。
【0044】 本発明は、また、チャイニーズ剰余技術によって実現されてもよい。チャイニ
ーズ剰余技術は、nの素因数のnを法とする値を計算することを具備する。これ
らの数は無視できるほど小さいので、これらの作業は迅速に行われる。更に、n
を法とする結果は「再構成」作業を通して取得されるべきである。この技術は、
“Electronic Letters”vol. 18, October 1982, pp. 905-907において公表され
た“Fast Decipherment algorithm for RSA public-key cryptosystem”とタイ
トルの付けられたJ.J QUISQUATERとC.COUVREURの記事に記述されている。
ーズ剰余技術は、nの素因数のnを法とする値を計算することを具備する。これ
らの数は無視できるほど小さいので、これらの作業は迅速に行われる。更に、n
を法とする結果は「再構成」作業を通して取得されるべきである。この技術は、
“Electronic Letters”vol. 18, October 1982, pp. 905-907において公表され
た“Fast Decipherment algorithm for RSA public-key cryptosystem”とタイ
トルの付けられたJ.J QUISQUATERとC.COUVREURの記事に記述されている。
【0045】 nが2つの素因数pとqとの積である場合を考える。
【0046】 ベゾアールの定理から、「ab+bq=1のような2つの整数が存在する」と
いうことが知られる。
いうことが知られる。
【0047】 y=xe(mod n)を計算するために、xp=x(mod p)とxq=x
(mod q)とを計算することによって、各素因数を法とするxの減少を開始
する。また、ep=e mod(p−1)とeq=e mod(q−1)とを計算
することによって、(p−1)と(q−1)とを法とするeを減少する(Guillo
u-Quisquaterのプロトコルにおいて、eは常にp−1およびq−1より小さく、
そして、ep=eq=1である)。
(mod q)とを計算することによって、各素因数を法とするxの減少を開始
する。また、ep=e mod(p−1)とeq=e mod(q−1)とを計算
することによって、(p−1)と(q−1)とを法とするeを減少する(Guillo
u-Quisquaterのプロトコルにおいて、eは常にp−1およびq−1より小さく、
そして、ep=eq=1である)。
【0048】 そして、yp=xp e p(mod p)とyq=xq e q(mod q)とを計算する
。pとqとが同様のサイズのとき、これらの計算の各々は、eとnとが同様のサ
イズのとき(第1の場合)の計算y=xe(mod n)よりも約8倍高速であ
り、eのサイズがpのサイズ以下であるとき(例えば、アルゴリズムにおける第
2の場合を参照)よりも4倍高速である。そして、2つの計算の組は、4倍高速
であるか、または、2倍高速である。
。pとqとが同様のサイズのとき、これらの計算の各々は、eとnとが同様のサ
イズのとき(第1の場合)の計算y=xe(mod n)よりも約8倍高速であ
り、eのサイズがpのサイズ以下であるとき(例えば、アルゴリズムにおける第
2の場合を参照)よりも4倍高速である。そして、2つの計算の組は、4倍高速
であるか、または、2倍高速である。
【0049】 yは、更に、ypとyqとから再構成されることができる。これは、式y=yp+ ap(yq−yp)(mod n)を使用して実行される。
【0050】 総合的に考えると、チャイニーズ剰余の方法は、(同様のサイズであると仮定
される)素因数の数が2より大きくかつkに等しいときに、第1の場合における
3から4の範囲の約数と第2の場合における1.5から2の範囲の約数とによる
計算の加速を導く。加速係数は、第1の場合はk2に近く、かつ、第2の場合は
k近い。
される)素因数の数が2より大きくかつkに等しいときに、第1の場合における
3から4の範囲の約数と第2の場合における1.5から2の範囲の約数とによる
計算の加速を導く。加速係数は、第1の場合はk2に近く、かつ、第2の場合は
k近い。
【手続補正書】特許協力条約第34条補正の翻訳文提出書
【提出日】平成12年10月2日(2000.10.2)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】特許請求の範囲
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【数1】 と秘密鍵
【数2】 とを有し、 これらの鍵は、
【数3】 を法とする作業によって関連付けられ、 ここで、
【数4】 は、モジュラスと呼ばれる整数であり、 モジュラス
【数5】 は、プロバ(A)に特有であり、 第2の実体は、公開鍵
【数6】 を知っており、 これらの実体は、ゼロ認識情報を交換しかつこの情報に基づいて暗号計算を実
行する手段を提供され、 いくつかの計算は、nを法として実行され、
行する手段を提供され、 いくつかの計算は、nを法として実行され、
【数7】 を法とする作業は、種類v=s-t(mod n)の作業であり、
【数8】 はパラメータである ことを特徴とする認証プロセス。
【数9】 をランダムに選択し、かつ、rt(mod n)に等しい1つの(いくつかの)
パラメータ(x)を計算し、そして、オープニングと呼ばれる1つの(いくつか
の)の数
パラメータ(x)を計算し、そして、オープニングと呼ばれる1つの(いくつか
の)の数
【数10】 を計算し、オープニングは、この(これらの)パラメータとおそらくメッセージ
(M)との1つの(いくつかの)の関数であり、かつ、プロバ(A)が、この(
これらの)オープニングをベリファイヤ(B)へ送り、 ・ベリファイヤ実体(B)が、オープニング
(M)との1つの(いくつかの)の関数であり、かつ、プロバ(A)が、この(
これらの)オープニングをベリファイヤ(B)へ送り、 ・ベリファイヤ実体(B)が、オープニング
【数11】 を受信し、かつ、「質問」と呼ばれる1つの数
【数12】 をランダムに選択し、かつ、この質問をプロバ(A)へ送り、 ・プロバ(A)が、質問
【数13】 を受信し、かつ、この質問
【数14】 と秘密鍵
【数15】 とを使用して1つの(いくつかの)計算を実行し、この(これらの)計算の結果
が1つの(いくつかの)回答
が1つの(いくつかの)回答
【数16】 を生じ、かつ、プロバ(A)が、この(これらの)回答をベリファイヤ(B)へ
送り、 ・ベリファイヤ(B)が、回答
送り、 ・ベリファイヤ(B)が、回答
【数17】 を受信し、かつ、公開鍵
【数18】 とモジュラス
【数19】 とを使用して1つの計算を実行し、かつ、結果が受信されたオープニングに密接
であることを
であることを
【数20】 を法とする計算を伴ってチェックする ことによって完了される。 ことを特徴とする請求項1記載のプロセス。
【数21】 は、少なくても2つの素数(pとq)の積であり、 nを法とする計算は、「チャイニーズ剰余」方法に従って実行される ことを特徴とする請求項1から請求項4のいずれかに記載のプロセス。
【数22】 と秘密鍵
【数23】 とが提供される署名者(A)に対して意図されたメッセージ署名プロセスであっ
て、 これらの鍵は、
て、 これらの鍵は、
【数24】 を法とする計算を介して関連付けられ、 ここで、
【数25】 は、モジュラスと呼ばれる整数であり、 該モジュラスは、署名者に特有であり、 前記プロセスは、署名されるべきメッセージMの注目すべき関数であるオープ
ニング
ニング
【数26】 を計算する手段を含み、かつ、秘密鍵の関数である数
【数27】 を計算することができ、かつ、メッセージMの署名である数
【数28】 および
【数29】 とメッセージMとを送信でき、 nを法とする作業は、v=s-t(mod n)であり、 tはパラメータである ことを特徴とするメッセージ署名プロセス。
【数30】 をランダムに選択し、かつ、rt(mod n)に等しいパラメータ
【数31】 を計算し、かつ、パラメータ
【数32】 と署名されるべきメッセージMとの関数である数
【数33】 を計算し、かつ、署名者の秘密鍵
【数34】 を使用して数
【数35】 を計算し、 前記数
【数36】 は、数
【数37】 と
【数38】 との関数であり、 署名者は、数
【数39】 と
【数40】 とを署名として送信する ことを特徴とする請求項6記載の署名プロセス。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0020
【補正方法】変更
【補正の内容】
【0020】 フランス特許出願FR-A-2 752 122はこれらのプロトコルを楽天的に記述してい
るが、該特許出願は、いわゆる「予備計算を伴う」モードに続く離散対数法を含
むプロトコルに限定され、「規則正しく予定された再ロードを含む」という欠点
を有する。 Cryptology, Crypto 88 Proceegings, XP000090662, pp. 583-588において先
に公表された“zero-knowledge Authentication scheme with Secret Key Excha nge”とタイトルの付けられたJ. BRANDTらからの文献は、2人のユーザーの間に おける秘密鍵の交換を伴うゼロ認識認証スキームを記述している。該スキームで は、プロバは、該プロバ自身のモジュラスn=pqを計算し、かつ、タイプmd
(mod n)の作業を実行する。
るが、該特許出願は、いわゆる「予備計算を伴う」モードに続く離散対数法を含
むプロトコルに限定され、「規則正しく予定された再ロードを含む」という欠点
を有する。 Cryptology, Crypto 88 Proceegings, XP000090662, pp. 583-588において先
に公表された“zero-knowledge Authentication scheme with Secret Key Excha nge”とタイトルの付けられたJ. BRANDTらからの文献は、2人のユーザーの間に おける秘密鍵の交換を伴うゼロ認識認証スキームを記述している。該スキームで は、プロバは、該プロバ自身のモジュラスn=pqを計算し、かつ、タイプmd
(mod n)の作業を実行する。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0021
【補正方法】変更
【補正の内容】
【0021】 本 発明は、因数分解を含むゼロ認識識別(またはメッセージ署名または認証)
プロトコルを使用するときに、プロバによって実行されるべき計算の数を減少す
ることを目的とする。特定の作業v=s-t(mod n)を使用するとき、ゲイ
ンは約数2または3に到達しやすい。
プロトコルを使用するときに、プロバによって実行されるべき計算の数を減少す
ることを目的とする。特定の作業v=s-t(mod n)を使用するとき、ゲイ
ンは約数2または3に到達しやすい。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0022
【補正方法】変更
【補正の内容】
【0022】 本発明は、また、−詳細にはGUILLOU-QUISQUATERプロトコルと結合されたとき
に−、電子財布または次世代テレカードのようなアプリケーションに対して、低
価格の標準マイクロ回路カードにおいて具備される公開鍵を伴う識別(またはメ
ッセージ認証または署名)の高速な完了を可能にする。
に−、電子財布または次世代テレカードのようなアプリケーションに対して、低
価格の標準マイクロ回路カードにおいて具備される公開鍵を伴う識別(またはメ
ッセージ認証または署名)の高速な完了を可能にする。
【手続補正5】
【補正対象書類名】明細書
【補正対象項目名】0023
【補正方法】変更
【補正の内容】
【0023】 モジュラスnは各個のパラメータであり(言い換えれば、各ユーザーは彼自身 のn値を有し)、この選択物は(好ましくは結合されてもよい)以下の2つの方 法で活用される。 1)第1に、現在使用される値よりも小さい(一般的には、1000ビットよ
り小さく、かつ、例えば、700ビットと800ビットとの間の範囲にわたる)
nの長さを保持することによる。nの因数分解を解くことは関連するユーザーの
秘密鍵だけを処理しかつ他のユーザーの秘密鍵を処理する方法がないので、これ
は可能である。この修正は、nを法として実行される計算の継続期間を、単独で
40%減少する。 2)もし、ユーザーが該ユーザーのセキュリティデバイスのメモリ内にnの素
因数を記憶しているならば、2つの素因数が存在するときに、彼は、nを法とす
る計算の継続期間を40%更に減少するために、チャイニーズ剰余技術(Chines
e remainders technique)を使用してもよい。この減少は、いくつか(一般的に
は、3または4)の素因数を使用するときに増大される。
り小さく、かつ、例えば、700ビットと800ビットとの間の範囲にわたる)
nの長さを保持することによる。nの因数分解を解くことは関連するユーザーの
秘密鍵だけを処理しかつ他のユーザーの秘密鍵を処理する方法がないので、これ
は可能である。この修正は、nを法として実行される計算の継続期間を、単独で
40%減少する。 2)もし、ユーザーが該ユーザーのセキュリティデバイスのメモリ内にnの素
因数を記憶しているならば、2つの素因数が存在するときに、彼は、nを法とす
る計算の継続期間を40%更に減少するために、チャイニーズ剰余技術(Chines
e remainders technique)を使用してもよい。この減少は、いくつか(一般的に
は、3または4)の素因数を使用するときに増大される。
【手続補正6】
【補正対象書類名】明細書
【補正対象項目名】0025
【補正方法】変更
【補正の内容】
【0025】 正確には、本発明は、「プロバ」と呼ばれる第1の実体と「ベリファイヤ」と
呼ばれる第2の実体とを含む認証のプロセスに関し、第1の実体は、公開鍵
呼ばれる第2の実体とを含む認証のプロセスに関し、第1の実体は、公開鍵
【数41】 と秘密鍵
【数42】 とを有し、これらの鍵は、
【数43】 を法とする計算によって関連付けられ、ここで、
【数44】 は、プロバに特有のモジュラスと呼ばれる整数であり、第2の実体は、公開鍵
【数45】 を知っており、これらの実体は、ゼロ認識コンテクストにおいて情報を交換しか
つこの情報に基づく暗号計算を実行する手段を提供され、いくつかの計算は、
つこの情報に基づく暗号計算を実行する手段を提供され、いくつかの計算は、
【数46】 を法とするモードで実行され、該プロセスは、「nを法とする作業のモジュラス はv=s-t(mod n)として表現され、tはパラメータである 」ということ
を特徴とする。
を特徴とする。
【手続補正7】
【補正対象書類名】明細書
【補正対象項目名】0027
【補正方法】変更
【補正の内容】
【0027】 好ましい実現によると、ゼロ認識情報交換および暗号計算は、以下の通りであ
る。 ・プロバが、1とn−1との間の範囲にわたる1つの(いくつかの)整数
る。 ・プロバが、1とn−1との間の範囲にわたる1つの(いくつかの)整数
【数47】 をランダムに選択し、かつ、rt(mod n)に等しい1つの(いくつかの)
パラメータ
パラメータ
【数48】 を計算し、そして、オープニングと呼ばれる1つの(いくつかの)の数
【数49】 を計算し、オープニングは、この(これらの)パラメータとおそらくメッセージ
(M)との1つの(いくつかの)の関数であり、かつ、プロバが、この(これら
の)オープニングをベリファイヤへ送る。 ・ベリファイヤ実体が、オープニング
(M)との1つの(いくつかの)の関数であり、かつ、プロバが、この(これら
の)オープニングをベリファイヤへ送る。 ・ベリファイヤ実体が、オープニング
【数50】 を受信し、かつ、「質問」と呼ばれる1つの数
【数51】 をランダムに選択し、かつ、この質問をプロバへ送る。 ・プロバが、質問
【数52】 を受信し、かつ、この質問
【数53】 と秘密鍵
【数54】 とを使用して1つの(いくつかの)計算を実行し、この(これらの)計算の結果
が1つの(いくつかの)回答
が1つの(いくつかの)回答
【数55】 を生じ、かつ、プロバが、この(これらの)回答をベリファイヤへ送る。 ・ベリファイヤが、回答
【数56】 を受信し、かつ、公開鍵
【数57】 とモジュラス
【数58】 とを使用して1つの計算を実行し、かつ、「結果が、受信されたオープニングに
密接である」ということを
密接である」ということを
【数59】 を法とする計算を伴ってチェックする。
Claims (7)
- 【請求項1】 「プロバ」(A)と呼ばれる第1の実体と「ベリファイヤ」
(B)と呼ばれる第2の実体とを含む認証プロセスであって、 第1の実体は、公開鍵 【数1】 と秘密鍵 【数2】 とを有し、 これらの鍵は、 【数3】 を法とする作業によって関連付けられ、 ここで、 【数4】 は、モジュラスと呼ばれる整数であり、 第2の実体は、公開鍵 【数5】 を知っており、 これらの実体は、ゼロ認識情報を交換しかつこの情報に基づいて暗号計算を実
行する手段を提供され、 いくつかの計算は、 【数6】 を法として実行され、 モジュラス 【数7】 は、プロバ(A)に特有であり、 プロバ(A)は、このモジュラスを、ベリファイヤ(B)へ通信する ことを特徴とする認証プロセス。 - 【請求項2】 【数8】 を法とする計算は、タイプv=s-t(mod n)の計算であり、 tはパラメータであり、 情報交換は、ゼロ認識タイプの交換であり、 暗号計算は、 ・プロバ(A)が、1とn−1との間の範囲にわたる1つの(いくつかの)整
数 【数9】 をランダムに選択し、かつ、rt(mod n)に等しい1つの(いくつかの)
パラメータ(x)を計算し、そして、オープニングと呼ばれる1つの(いくつか
の)の数 【数10】 を計算し、オープニングは、この(これらの)パラメータとおそらくメッセージ
(M)との1つの(いくつかの)の関数であり、かつ、プロバ(A)が、この(
これらの)オープニングをベリファイヤ(B)へ送り、 ・ベリファイヤ実体(B)が、オープニング 【数11】 を受信し、かつ、「質問」と呼ばれる1つの数eをランダムに選択し、かつ、こ
の質問をプロバ(A)へ送り、 ・プロバ(A)が、質問 【数12】 を受信し、かつ、この質問 【数13】 と秘密鍵 【数14】 とを使用して1つの(いくつかの)計算を実行し、この(これらの)計算の結果
が1つの(いくつかの)回答 【数15】 を生じ、かつ、プロバ(A)が、この(これらの)回答をベリファイヤ(B)へ
送り、 ・ベリファイヤ(B)が、回答 【数16】 を受信し、かつ、公開鍵 【数17】 とモジュラス 【数18】 とを使用して1つの計算を実行し、かつ、結果が受信されたオープニングに密接
であることを 【数19】 を法とする計算を伴ってチェックする ことによって完了される。 ことを特徴とする請求項1記載のプロセス。 - 【請求項3】 数nのサイズは、ビットの数で表現され、1000より小さ
い ことを特徴とする請求項2記載のプロセス。 - 【請求項4】 数nのサイズは、700と800との間である ことを特徴とする請求項3記載のプロセス。
- 【請求項5】 【数20】 は、少なくても2つの素数(pとq)の積であり、 nを法とする計算は、「チャイニーズ剰余」と呼ばれる方法に従って実行され
る ことを特徴とする請求項1から請求項4のいずれかに記載のプロセス。 - 【請求項6】 公開鍵 【数21】 と秘密鍵 【数22】 とが提供される署名者(A)に対して意図されたメッセージ署名プロセスであっ
て、 これらの鍵は、nを法とする計算を介して関連付けられ、 ここで、 【数23】 は、モジュラスと呼ばれる整数であり、 前記プロセスは、署名されるべきメッセージMの注目すべき関数であるオープ
ニング 【数24】 を計算する手段を含み、かつ、秘密鍵の関数である数 【数25】 を計算することができ、かつ、メッセージの署名である数 【数26】 および 【数27】 を送信でき、かつ、メッセージMを送信でき、 モジュラスnは、署名者に特有である ことを特徴とするメッセージ署名プロセス。 - 【請求項7】 nを法とする作業は、式v=s-t(mod n)であり、 署名者は、1とn−1との間の整数 【数28】 をランダムに選択し、かつ、rt(mod n)に等しいパラメータ 【数29】 を計算し、かつ、パラメータ 【数30】 と署名されるべきメッセージMとの関数である数 【数31】 を計算し、かつ、署名者の秘密鍵 【数32】 を使用して数 【数33】 を計算し、 前記数 【数34】 は、数 【数35】 と 【数36】 との関数であり、 署名者は、数 【数37】 と 【数38】 とを署名として送信する ことを特徴とする請求項6記載の署名プロセス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR99/00887 | 1999-01-27 | ||
| FR9900887A FR2788909B1 (fr) | 1999-01-27 | 1999-01-27 | Procede d'authentification ou de signature a nombre de calculs reduit |
| PCT/FR2000/000174 WO2000045549A1 (fr) | 1999-01-27 | 2000-01-26 | Procede d'authentification ou de signature a nombre de calculs reduit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002536875A true JP2002536875A (ja) | 2002-10-29 |
| JP4945026B2 JP4945026B2 (ja) | 2012-06-06 |
Family
ID=9541270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000596695A Expired - Lifetime JP4945026B2 (ja) | 1999-01-27 | 2000-01-26 | 減少した計算組を伴う認証または署名プロセス |
Country Status (9)
| Country | Link |
|---|---|
| US (2) | US7184547B1 (ja) |
| EP (1) | EP1145483B1 (ja) |
| JP (1) | JP4945026B2 (ja) |
| AT (1) | ATE226773T1 (ja) |
| CA (1) | CA2360953C (ja) |
| DE (1) | DE60000649T2 (ja) |
| ES (1) | ES2184691T3 (ja) |
| FR (1) | FR2788909B1 (ja) |
| WO (1) | WO2000045549A1 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7006999B1 (en) | 1999-05-13 | 2006-02-28 | Xerox Corporation | Method for enabling privacy and trust in electronic communities |
| US7840806B2 (en) * | 2002-10-16 | 2010-11-23 | Enterprise Information Management, Inc. | System and method of non-centralized zero knowledge authentication for a computer network |
| US8239917B2 (en) * | 2002-10-16 | 2012-08-07 | Enterprise Information Management, Inc. | Systems and methods for enterprise security with collaborative peer to peer architecture |
| US6883706B2 (en) | 2003-05-05 | 2005-04-26 | International Business Machines Corporation | Point-of-sale bill authentication |
| US7797192B2 (en) | 2003-05-06 | 2010-09-14 | International Business Machines Corporation | Point-of-sale electronic receipt generation |
| US7245718B2 (en) * | 2003-08-26 | 2007-07-17 | Mitsubishi Electric Research Laboratories, Inc. | Low bandwidth zero knowledge authentication protocol and device |
| US7467401B2 (en) * | 2004-08-12 | 2008-12-16 | Avatier Corporation | User authentication without prior user enrollment |
| US20080080707A1 (en) * | 2006-09-29 | 2008-04-03 | Shay Gueron | RSA signature authentication with reduced computational burden |
| US8615649B2 (en) * | 2010-09-21 | 2013-12-24 | International Business Machines Corporation | Use of a private key to encrypt and decrypt a message |
| CN105721166B (zh) * | 2016-03-03 | 2018-09-21 | 武汉大学 | 一种量子计算安全的身份识别协议建立方法 |
| EP3613169B1 (en) * | 2017-06-14 | 2021-03-17 | Thales Dis France SA | Method for mutual symmetric authentication between a first application and a second application |
| DE102022202824A1 (de) | 2022-03-23 | 2023-01-19 | Vitesco Technologies GmbH | Verfahren zum Ermitteln einer Manipulation von Übertragungs-Messsignalen einer Sensoreinheit eines Systems und System |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08149124A (ja) * | 1994-03-07 | 1996-06-07 | Nippon Telegr & Teleph Corp <Ntt> | ゼロ知識証明プロトコルを利用した情報配送方法およびシステム |
| WO1998051038A1 (fr) * | 1997-05-07 | 1998-11-12 | Gemplus S.C.A. | Generateur pseudo-aleatoire base sur une fonction de hachage pour systemes cryptographiques necessitant le tirage d'aleas |
| JPH118616A (ja) * | 1997-06-17 | 1999-01-12 | Dainippon Printing Co Ltd | 故障利用攻撃対応icカード |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5140634A (en) * | 1987-09-07 | 1992-08-18 | U.S Philips Corporation | Method and apparatus for authenticating accreditations and for authenticating and signing messages |
| US5218637A (en) * | 1987-09-07 | 1993-06-08 | L'etat Francais Represente Par Le Ministre Des Postes, Des Telecommunications Et De L'espace | Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization |
| US4933970A (en) * | 1988-01-19 | 1990-06-12 | Yeda Research And Development Company Limited | Variants of the fiat-shamir identification and signature scheme |
| EP0374225B1 (en) * | 1988-05-19 | 1993-01-20 | Ncr International Inc. | Method and device for authentication |
| US4964164A (en) * | 1989-08-07 | 1990-10-16 | Algorithmic Research, Ltd. | RSA computation method for efficient batch processing |
| FR2716058B1 (fr) * | 1994-02-04 | 1996-04-12 | France Telecom | Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret. |
| FR2752122B1 (fr) * | 1994-07-28 | 1998-11-27 | France Telecom | Procede d'authentification a nombre reduit de bits transmis |
| DE19513896A1 (de) * | 1995-04-12 | 1996-10-17 | Deutsche Telekom Ag | Verfahren zum Signieren einer Nachricht |
| FI109505B (fi) | 1997-03-24 | 2002-08-15 | Fd Finanssidata Oy | Pankkipalvelujen käyttö digitaalisessa solukkoradiojärjestelmässä |
-
1999
- 1999-01-27 FR FR9900887A patent/FR2788909B1/fr not_active Expired - Lifetime
-
2000
- 2000-01-26 ES ES00900666T patent/ES2184691T3/es not_active Expired - Lifetime
- 2000-01-26 EP EP00900666A patent/EP1145483B1/fr not_active Expired - Lifetime
- 2000-01-26 AT AT00900666T patent/ATE226773T1/de not_active IP Right Cessation
- 2000-01-26 CA CA002360953A patent/CA2360953C/fr not_active Expired - Fee Related
- 2000-01-26 DE DE60000649T patent/DE60000649T2/de not_active Expired - Lifetime
- 2000-01-26 US US09/889,557 patent/US7184547B1/en not_active Ceased
- 2000-01-26 JP JP2000596695A patent/JP4945026B2/ja not_active Expired - Lifetime
- 2000-01-26 US US12/393,959 patent/USRE42517E1/en not_active Expired - Fee Related
- 2000-01-26 WO PCT/FR2000/000174 patent/WO2000045549A1/fr active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08149124A (ja) * | 1994-03-07 | 1996-06-07 | Nippon Telegr & Teleph Corp <Ntt> | ゼロ知識証明プロトコルを利用した情報配送方法およびシステム |
| WO1998051038A1 (fr) * | 1997-05-07 | 1998-11-12 | Gemplus S.C.A. | Generateur pseudo-aleatoire base sur une fonction de hachage pour systemes cryptographiques necessitant le tirage d'aleas |
| JPH118616A (ja) * | 1997-06-17 | 1999-01-12 | Dainippon Printing Co Ltd | 故障利用攻撃対応icカード |
Also Published As
| Publication number | Publication date |
|---|---|
| DE60000649D1 (de) | 2002-11-28 |
| WO2000045549A1 (fr) | 2000-08-03 |
| DE60000649T2 (de) | 2003-08-07 |
| EP1145483A1 (fr) | 2001-10-17 |
| CA2360953A1 (fr) | 2000-08-03 |
| CA2360953C (fr) | 2007-08-14 |
| ES2184691T3 (es) | 2003-04-16 |
| US7184547B1 (en) | 2007-02-27 |
| ATE226773T1 (de) | 2002-11-15 |
| FR2788909A1 (fr) | 2000-07-28 |
| FR2788909B1 (fr) | 2004-02-20 |
| USRE42517E1 (en) | 2011-07-05 |
| EP1145483B1 (fr) | 2002-10-23 |
| JP4945026B2 (ja) | 2012-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hwang et al. | A practical (t, n) threshold proxy signature scheme based on the RSA cryptosystem | |
| Eslami et al. | A new untraceable off-line electronic cash system | |
| EP0503119B1 (en) | Public key cryptographic system using elliptic curves over rings | |
| Schnorr | Efficient signature generation by smart cards | |
| Brickell et al. | An interactive identification scheme based on discrete logarithms and factoring | |
| US7716484B1 (en) | System and method for increasing the security of encrypted secrets and authentication | |
| US6446052B1 (en) | Digital coin tracing using trustee tokens | |
| EP1261903B2 (en) | Method of authenticating users of software | |
| US20070143608A1 (en) | Malleable pseudonym certificate system and method | |
| US7228418B1 (en) | Authentication and signature method for messages using reduced size of binary units of information content and corresponding systems | |
| JP4945026B2 (ja) | 減少した計算組を伴う認証または署名プロセス | |
| US7248692B2 (en) | Method of and apparatus for determining a key pair and for generating RSA keys | |
| Daniel et al. | A forward secure signcryption scheme with ciphertext authentication for e-payment systems using conic curve cryptography | |
| Breuer et al. | Cryptocurrencies with security policies and two-factor authentication | |
| KR100971038B1 (ko) | 다수의 엔티티와 그에 따른 장치에 부하를 분배하는암호화 방법 | |
| Muleravicius et al. | Security, trustworthiness and effectivity analysis of an offline E-cash system with observers | |
| Paar et al. | Digital Signatures | |
| Kwon | Virtual software tokens-a practical way to secure PKI roaming | |
| JPH11234263A (ja) | 相互認証方法および装置 | |
| US7760884B2 (en) | Cryptographic method and devices for facilitating calculations during transactions | |
| Fan et al. | A user efficient fair blind signature scheme for untraceable electronic cash | |
| Fan | Improved low-computation partially blind signatures | |
| Fan | Ownership-attached unblinding of blind signatures for untraceable electronic cash | |
| Ezziri et al. | A zero-knowledge identification scheme based on the discrete logarithm problem and elliptic curves | |
| Juang et al. | A VERIGIABLE MULTI-AUTHORITIES SECRET ELECTION ALLOWING ABSTAINING FROM VOTING |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061214 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20090902 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090902 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100423 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100716 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100716 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100827 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110224 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110518 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110613 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110727 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110913 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120206 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120227 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120305 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4945026 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150309 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |