JP2003511899A - エンティティの真正性及びメッセージの完全性を証明するための特定のキーのセット - Google Patents

エンティティの真正性及びメッセージの完全性を証明するための特定のキーのセット

Info

Publication number
JP2003511899A
JP2003511899A JP2001529121A JP2001529121A JP2003511899A JP 2003511899 A JP2003511899 A JP 2003511899A JP 2001529121 A JP2001529121 A JP 2001529121A JP 2001529121 A JP2001529121 A JP 2001529121A JP 2003511899 A JP2003511899 A JP 2003511899A
Authority
JP
Japan
Prior art keywords
mod
key
secret
numbers
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001529121A
Other languages
English (en)
Inventor
ギユ,ルイ
キスクワテル,ジャン−ジャック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR9912467A external-priority patent/FR2788912B1/fr
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of JP2003511899A publication Critical patent/JP2003511899A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Complex Calculations (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Peptides Or Proteins (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Error Detection And Correction (AREA)
  • Stored Programmes (AREA)

Abstract

(57)【要約】 発明は、エンティティの真正性またはメッセージの完全性を証明するために設 .Q ≡1 mod nまたはG≡Q modnの型の関係性によってリンクされる指数値v=2(k>1)を備えるキーの集合によって確立される。キーの集合は、Qまたはそのmodnの逆数のmodn平方の累乗を、k−1かける階数増加することにより得られるm個の数の間で、それらの内の少なくとも1つがgから異なり、2m個の等式、x2=gmodn、x≡−gmodnの間で、それらの内の少なくとも1つがmodnの整数の環内のxに解を有するように作成される。

Description

【発明の詳細な説明】
【0001】 本発明は、エンティティの真正性及び/またはメッセージの完全性及び/また
は真正性を証明することを目的とした技術分野に関する。
【0002】 発明者がLouis Guillou及びJean−Jacques Qui
squaterである特許EP第0311470B1号は、このような方法を説
明する。以下、彼らの研究は用語「GQ特許」または「GQプロセス」によって
参照されるだろう。以下、用語「GQ2」、「GQ2発明」または「GQ2技術
」は、フランステレコム、TDF及びMathrizk Companyによる
本出願と同日に提出され、Louis Gillou及びJean−Jacqu
es Quisquaterを発明者として有する係属中の出願の対象となるG
Q技術での新しい発展を示すために使用されることもあるだろう。これらの係属
中の出願の特徴的な機能は、以下の説明で必要であるときに必ず思い起こされる
ものである。
【0003】 GQプロセスによれば、「信用される権威」と呼ばれるエンティティが、「証
人」と呼ばれる各エンティティにアイデンティティを割り当て、そのRSAシグ
ニチャを計算する。つまり、カスタマイズプロセスの間に、信用される権威は、
証人にアイデンティティ及びシグニチャを与える。その後で、証人は「ここに私
のアイデンティティがあります。私はそれがRSAシグニチャであることを知っ
ています」と述べる。証人は、それを明らかにすることなく、自分が自分のアイ
デンティティのRSAシグニチャを知っていることを証明する。信用される権威
によって配布されるRSA公開検証鍵によって、「コントローラ」と呼ばれるエ
ンティティが、その知識を得ることなく、RSAシグニチャが宣言されたアイデ
ンティティに一致することを検証する。GQプロセスを使用する機構は、「知識
を移転することなく」動作する。GQプロセスによれば、信用される真正な者が
多数のアイデンティティに署名するのに用いるRSA秘密鍵を証人は知らない。
【0004】 前述のGQ技術は、RSA技術を使用する。しかし、RSA技術が真にモジュ
ラスnの因数分解に依存しているのであれば、RSA技術を実現するさまざまな
デジタルシグニチャ規格に対するいわゆる「倍数的な」(multiplica
tive)攻撃によって示されるように、この依存性は等価ではなく、むしろ全
く異なるものである。
【0005】 GQ2は2つの目的を有する。一つは、RSA技術に関する性能を改善する目
的である。もう一つは、RSA技術に固有の問題点を避ける目的である。秘密的
なGQ2秘密鍵を知っていることは、モジュラスnの因数分解を知っていること
に同等である。GQ2トリプレットのレベルでの攻撃は、モジュラスnの因数分
解に戻る。この時点では等価がある。GQ2技術を用いると、署名するあるいは
それ自体を認証するエンティティと管理するエンティティの両方に対しての作業
負荷が削減される。機密保護と性能の両方で因数分解の問題をよりよく使用する
ことによって、GQ2技術は、RSA技術によって提示される欠点を回避する。
【0006】 GQプロセスは、512ビット以上の数のモジュロ計算を実現する。これらの
計算は、約216+1乗にされるのとほぼ同じ大きさを有する数に関係する。特
にバンクカードの分野での現在のマイクロエレクトロニクスのインフラストラク
チャは、算術コプロセッサを使用せずに、モノリシックな自己プログラム可能な
マイクロプセッサを使用している。GQプロセスのようなプロセスに関わる複数
の算術演算に関連付けられる作業負荷は、バンクカードを使用する消費者が、買
い物の支払いをするために不利となることが判明するような計算時間につながる
。ここでは、支払いカードの機密保護を強化しようと努めて、銀行当局が、特に
解決するのが困難である問題を提起したことが思い出される。実際には、2つの
明らかに矛盾する問題が解決されなければならない。つまり、作業負荷が、ユー
ザにとって過剰な計算時間につながるのを防ぐ一方で、それぞれのカードに対し
てますます長々しい、且つ別個のキーを使用することによって機密保護を強化す
るのである。この問題は、特にさらに、既存のインフラストラクチャ及び既存の
マイクロプロセッサの構成要素を考慮に入れなければならない限りにおいて、特
に深刻になる。
【0007】 GQ2技術は、機密保護を厳重にしつつ、この問題に解決策をもたらす。 GQ2技術は、特定の特性を有する素因子を実現する。これらの素因子を生成
するためにさまざまな技術が存在する。本発明の主題は、この種の素因子を組織
的に生じさせることができるようにする方法である。それは、さらに特にGQ2
技術を実現する上で、それらから作ることができる用途にも関する。これらの特
定の素因子及びそれらを得ることができるようにする方法が、GQ2技術の分野
外で適用できることが、いまここで強調される。発明は、コントローラエンティ
ティに対して以下を証明することを目的とする方法に当てはまる。 エンティティの真正性、及び/または このエンティティに関連付けられるメッセージMの完全性。
【0008】 このような方法は、以下を実現する。 f個の素因子p、p2…(fは2より大きい、または2に等しい)の積
によって構成される、あるいはf個の素因子を実現する公開モジュラスn、 gがf個の素因子p、p2…未満である、m個の異なる基数整数g
、g2…(mは1より大きい、または1に等しい)、 m組の秘密値Q、Q及び公開値G、G(mは、1よ
り大きいまたは1に等しい)あるいはそれらから導出されるパラメータ。 前記モジュラス及び前記秘密値及び公開値は、以下の型の関係によって連結さ
れ、
【数4】 G.Q ≡1.mod n or G≡Q mod n 前記公開値Gは基数の二乗g であり、vは以下の形の公開指数値を表し
、 v=2 ここで、kは1より大きい機密保護パラメータである。
【0009】 本発明による方法は、f個の素因数p、p2…及び/またはm個の基数
、g2…を、以下の条件が満たされるように生成するステップを含む。
第1条件: 第1条件に従って、等式のそれぞれ
【数5】 X≡g mod n (1) は、モジュロnの整数の環内のxに解を有する。 第2条件: 第2条件に従って、G≡Q である場合に、階数のk−1倍、Qをmod
nの平方乗することによって得られるm個の数qの間で、それらの内の1つは
±g分異なる(言い換えると、ノントリビアルである)。 第2条件に従って、G.Q ≡1 mod nである場合、階数のk−1
倍、Q1モジュロnの逆数をモジュロnの平方乗することによって得られるm個
のqの間で、それらの内の1つは±分異なる(言い換えると、ノントリビ
アルである)。 これにより、1つの共通の表記により、±は、g及びn−gを表す。 第3条件: 第3条件に従って、2m個の等式の中で、
【数6】 X≡gmod n (2) X≡−gmod n (3) それらの内の少なくとも1つは、モジュロnの整数の環内のxに解を有する。
【0010】 本発明によるf個の素因子p、p2…及び/またはm個の基数g、g
2…を生成するための方法は、第1に以下を選ぶステップを含む。 ・機密保護パラメータk ・それがf個の素因子p、p2…を生成することなのか、あるいはm個の
基数g、g2…を生成することなのかに応じて、m個の基数g、g2…
及び/またはf個の素因子p、p2…
【0011】 好ましくは、m個の基数g、g2…が、少なくとも部分的に第1の整数
の中で選ばれる。 好ましくは、機密保護パラメータkは小さな整数、特に100未満である。 好ましくは、モジュラスnの大きさは数百ビットより大きい。 好ましくは、f個の素因子p、p2…、は、因子の数fによって除算さ
れるモジュラスnの大きさに近い大きさを有する。
【0012】 第1条件を試すために、数k、p、gの互換性が、以下に示されるアルゴリズ
ムを実現することによって検証され、そこではhは、2がpを基準にしてgの
階数を除算するように、及び2h+1がそれを除算しないようなある数を示す。
hは、ルジャンドル記号(g|p)から、及びCG(p)内の単位の2番目の
原始根に等しい数bから計算され、そこでは、ルジャンドル記号(g|p
及びtは、説明中以下定義される意味を有する。
【0013】 このアルゴリズムのステップは次の通りである。 ・(g|p)=−1の場合には、h=t ・t=1で(g|p)=+1の場合には、h=0 ・t>1で(g|p)=+1の場合には、手順は以下の通りになる。 キー〈(p−1+2)/2t+1,p〉がGに割り当てられ、結果wはこのよ
うにして得られる。 ・w=+gの場合には、h=0 ・w=p−gの場合には、h=+1 wが+gまたはp−g(この場合、5は2より大きい)とは異なる場合、計算部
分加群が適用される。変数cはそれに値bを帰して初期化され、計算部分加群の
その後のステップはt−1から2に及ぶ値に関して繰り返される。 ステップ1:キー〈2,p〉がw/g(modp)に適用され、 * 得られる結果が+1に等しい場合には、ステップ2に移動する。 *得られる結果が+1に等しい場合には、値iはhに帰され、wはw.c(mo
dp)で置換される。 ステップ2:cがc(modp)で置換される。 求められるhの値は、ステップ1に従ったキー〈2,p〉の適用が最後に−1
に等しい結果を生じさせたときに得られる値である。 h>1のとき及びk+h>t+1のとき、k、p、qが互換性がない。 kの値が何であれh=0または1であるとき、あるいは ことが思い出されてよい。
【0014】 第2条件を試すために、少なくとも1つの集合{δi,l…δi,f}が可変
または零であるのか(δは説明中以下定義される意味を有する)がチェックされ
る。
【0015】 第3条件を試すために、f個のルジャンドル記号(g|p)から(g
)がすべて+1に等しくなるように、でなければルジャンドル記号(−g
|p)から(−g|p)がすべて+1に等しいように、gからgまで
の基数があるかチェックされる。
【0016】 G≡Q mod nの場合に秘密値Q1、2…m(i,j=Q
odpj)のf.m個の秘密構成要素Qi,jを計算するためには、手順は以下
のとおりであり、tの値に従ってケースを区別する。 t=1(つまり、p≡3(mod4))の場合、 ・数sは、s≡((p+1)/4(mod(p−1)/2)となるよ
うに計算され、 ・そのキー〈s,p〉は演繹され、 ・キー〈s,p〉はGに適用され、 ・このようにして以下を得る。w ≡G sj(modp). Qi,jの2つの考えられる値は、w、p−wである。
【0017】 t=2(つまり、p≡5(mod8)の場合) ・数sはs≡((p+3)/8(mod(p−1)/4)となるよう
に計算され、 ・そのキー〈s,p〉が演繹され、 ・キー〈s,p〉がGに適用され、 ・このようにして以下を得て、w≡G sj(modp)及びw′≡w.z (mod p)、 この場合zは詳細な説明中で定義される意味を有する。 Qi,jの4つの考えられる値はw、p−w、w′、p−w′である。 h=0またはh=1でt>2(つまり、p≡2+1(mod2t+1)の
場合)の場合、 ・数sは、s≡((p−1+2)/2t+1(mod(p−1)
/2)となるように計算され、 ・そのキー〈s,p〉が演繹され、 ・キー〈s,p〉がGに適用され、 ・このようにして以下を得る。w≡G sj(modp). Qi,jの2min(k,t)個の考えられる値は、CG(p)内の単位の
min(k,t)番目の累乗根のどれか1つによるwの積に等しく、 の場合)場合、 ・sは、s≡((p+2)/2t+1k+h_1(mod(p
−1)/2)となるように計算され、 ・そのキー〈s,p〉は演繹され、 ・キー〈s,p〉が2h1乗のGに適用され、 ・wはこのようにして得られる。
【0018】 Qの2の考えられる値は、CG(p)の単位の2k+h−1番目の
原始根によるwのすべての積に属する。 G.Q ≡1mod nの場合に、秘密構成要素Qi,jを計算するため
には、sがキー〈s,p〉の中の((p−1)/2)−sによって
置換される。
【0019】 本発明は、f個の素因子p、p2…またはm個の基数g、g2…
を生成することができるようにする方法を適用する方法にも関する。
【0020】 前記方法は、コントローラエンティティに対し、 エンティティの真正性、及び/または このエンティティに関連つけられるメッセージMの完全性 を、m組の秘密Q、Q2…値及び公開G、G値(mは1より
大きいまたは1に等しい)あるいはそれらから導出されるパラメータによって、
特に秘密構成要素Qi,jによって、証明することを目的とする。
【0021】 前記方法は、証人と呼ばれるエンティティを以下のステップに従って実現する
。 前記証人エンティティは、f個の素因子p及び/または素因子のチャイニー
ズ剰余のパラメータ及び/または公開モジュラスn及び/またはm個の秘密値Q
及び/または秘密値Qのf.m個の秘密構成要素Qi,j及び公開指数値を
有する。
【0022】 証人は、モジュロnの整数の環内のコミットメントRを計算する。各コミット
メントは、以下のように計算される。 ・以下の型の演算を実行することによって、
【数7】 R≡rmod n この場合、rは0<r<nとなるように乱数である。 ・あるいは以下の型の演算を実行した後に、チャイニーズ剰余の方法を提供する
ことによって
【数8】 R≡r mod p この場合、rは、0<r<pであり、それぞれのrが乱数の集合体{r
、r、からr}に属するように、素数pと関連付けられる乱数である。
【0023】 証人は、1つまたは複数のチャレンジdを受け取る。各チャレンジdは、以下
初歩チャレンジと呼ばれるm個の整数dを受け取る。証人は、各チャレンジd
から応答Dを以下によって計算する。 ・以下の型の演算を実行することによって
【数9】 D≡r.Q d1.Q d2 to Q dmmod n
・以下の型の演算を実行した後に、チャイニーズ剰余の方法を適用することによ
って
【数10】 D≡r.Qi,1 d1.Qi,2 d2 i,m dmmod p
【0024】 前記方法は、チャレンジd及びコミットメントRと同じ程度多くの応答Dがあ
るほどである。数、R、d、Dの各グループは、{R,d,D}で表されるトリ
プレットを構成する。
【0025】 [詳細な説明] GQ技術の目標とは、エンティティ及びメッセージの動的な認証、及びメッセ
ージのデジタルシグニチャである。それは、「知識の移転を行わない」技術であ
る。あるエンティティは、それが1つまたは複数の秘密数を知っていることを証
明する。別のエンティティが管理する。つまり、それは1つまたは複数の一致す
る公開数を知っている。証明側エンティティは、それらを必要な回数使用できる
ようにするために、1つまたは複数の秘密数を明らかにしないで管理側エンティ
ティを説得することを望む。
【0026】 各GQパターンは、大きな秘密素数から構成される公開モジュラスに基づく。
公開指数値v及び公開モジュラスnは、ともに「vモジュラスn乗する」ことを
意味する検証鍵〈v、n〉を形成し、すべてが同じ直接型、つまりG≡Q(m
od n)または逆のGxQ≡1(mod n)である1つまたは複数の一般
的方程式によって実施される。型は、証明側エンティティではなく、管理側エン
ティティ内での計算の演算に影響を及ぼす。事実上、機密保護分析が2つの型を
混乱させる。各一般的方程式は、公開数G及び秘密数Qをリンクさせ、あわせて
1組の数{G,Q}を形成する。要約すると、各GQパターンは、同じキー〈v
、n〉について、1組または複数組の数{G,Q}を実現する。
【0027】 GQ1とここで呼ばれているGQパターンの従来のバージョンは、RSAデジ
タルシグニチャパターンを使用する。そういうわけで、検証鍵〈v、n〉が、好
ましくは偶数ではないv指数値が素数であるRSA公開鍵である。各GQ1パタ
ーンは、通常、数{G,Q}の単一の組を使用する。公開数Gは、RSAデジタ
ルシグニチャパターンの整数部であるフォーマットによる識別データから演繹さ
れる。秘密数Qまたは、でなければmod nの逆数は、識別データのRSAシ
グニチャである。証明側エンティティは、独自の識別データからRSAシグニチ
ャを知っていることを証明し、この証明は、したがって必要な回数だけ使用され
るために秘密のままとなるシグニチャを明らかにしない。
【0028】 GQ1パターンは、通常、2つのキーレベルに適用する。つまり、RSAシグ
ニチャ秘密鍵は、それら自体を、識別データを介して互いから識別するエンティ
ティを信任する権威のために確保される。このようなパターンが「アイデンティ
ティベースの」であると言われる。このようにして、チップカード発行者は、そ
れがカードに多様な秘密鍵として記す秘密数Qを計算するために、各カード発行
時に自分のRSA秘密鍵を使用する。でなければ、コンピュータネットワーク上
のカスタマは、セッション中にカスタマの一日限りの秘密鍵となるだろう秘密数
Qを計算するために、ログすると必ず自分のRSA秘密鍵を使用する。証明側エ
ンティティ、チップカード、またはログオンしたカスタマは、自らの識別データ
のRSAシグニチャを知っている。彼らは、キーの階層の中ですぐ上のレベルに
あるRSA秘密鍵を知らない。しかしながら、権威のレベルでの768ビットモ
ジュラスを用いたGQ1によるエンティティの動的認証は、それぞれのエンティ
ティのレベルに3つの素因数のある512ビットモジュラスを用いたRSAによ
るエンティティの動的認証とほぼ同じ作業負荷を必要とし、証明側エンティティ
が、積を法として結果を計算する前に、素因数のそれぞれを法として結果を計算
することによりチャイニーズ剰余の技法を使用できるようにする。
【0029】 しかしながら、権威エンティティと信任されたエンティティの間のキーの階層
は必須ではない。GQ1は、証明側エンティティに特定のモジュラスとともに使
用されてよく、証明側エンティティレベルでのモジュラスが、例えば768ビッ
トに比較して512ビットなど権威レベルでのモジュラスより短くてよいという
事実とは別に、根本的に管理側エンティティの作業負荷を変更しない証明側エン
ティティの作業負荷を削減するためにチャイニーズ剰余の技法を使用できるよう
にする。
【0030】 エンティティが独自のモジュラスの素因数を知っているときに、なぜデジタル
シグニチャRSAパターンを使用するのか。
【0031】 ここでは初歩GQ2と呼ばれているGQパターンの別のバージョンは、モジュ
ラスnの因数分解という問題を直接的に使用する。この文脈では、「直接的に」
とは、「RSAシグニチャを使用しないで」を意味する。GA2の目的とは、事
実上、証明側のだけではなく管理側の作業負荷も削減することである。証明側エ
ンティティは独自のモジュラスの分解に関する知識を証明し、この証明は、した
がって、必要とされる回数使用されるために秘密のままとなる分解を明らかにし
ない。GQ2プロトコルの機密保護は、モジュラスの因数分解に同等である。 各証明側エンティティは、独自のモジュラスnを有する。各GQ2パターンは
、パラメータk、公開指数値v=2を固定する1より大きい小さな数、及び1
組または複数組の数{G,Q}から{G,Q}を実現する。各公開数G
は、1より大きい小さな数gの平方であり、「基数」と呼ばれる。すべての
証明側エンティティが、1つまたは複数の同じ公開数GからGを使用する。
そういうわけで、モジュラスn及び1つまたは複数の秘密数QからQの因数
分解は、キーの階層の同じレベルにある。GQ初歩キーの各集合は、2つの必要
な及び十分な条件によって定義される。
【0032】 基数ごとに、2つの等式x±(modn)のどちらもモジュロnの整
数の環内のxに解を有さない。つまり、±は、modn、2つの非平方剰余
である。
【0033】 基数ごとに、v=2がモジュロnの整数の環内のxに解を有する等式 x
≡g (modn)。秘密数Qまたはmodnの逆数は、これらの解のどち
らかである。
【0034】 第2条件を考慮すると、数±がmod nの2つの非平方剰余であるため
には、モジュラスnは、それを基準にしてgルジャンドル記号が異なる3(m
od4)と合致する少なくとも2つの素因数を備えなければならない。その結果
、そのどれも3(mod4)と合致しない、あるいはその1つが3(mod4)
と合致する素因数から構成される任意のモジュラスは、GQ2初歩キーの集合を
確立できるようにせず、3(mod4)と合致する素因数を好む。無作為の大き
な素数で棒がすると、それらの約半分は、3(mod4)と合致する、及び半分
が1(mod4)と合致することが判明する。したがって、使用中の多くのRS
Aモジュラスは、初歩GQ2キーの集合を確立することを可能としない。
【0035】 私達は、ここでGQ2汎用化キーの集合を導入し、特に、任意のRSAモジュ
ラスでGQ2技法を任意のモジュラスとともに使用できるようにするためにこの
制約を克服するために使用する。それらは、2つの必要且つ十分な原則に基づい
ている。
【0036】 第1の原則は、第2GQ2初歩条件を複製する。
【0037】 基数gからgごとに、v=2が、モジュロnの整数の環内のxに解を有
する等式 x≡g (mod n)。
【0038】 秘密数Q、でなければmod nの逆数が等式の解であるため、k−1個の
連続したモジュロnの平方が、それをモジュロnの整数の環内のGという平方
根であるqに変換する。数qが2つの数gまたはn−gの一方に等しい
かどうか、あるいは2つのgとn−gと異なっているかどうかに従って、そ
れがトリビアルであるのか、ノントリビアルであるのかというふうに言う。数q
がノントリビアルであるとき、q −g を除算するnは、q−g
+gも除算しない。したがって、ノントリビアルな数qは、モジュラス
nの分解を明らかにする。
【0039】 n=pgcd(n,q−g)xpgcd(n,q+g
【0040】 第2原則は、第1GQ2初歩条件を広げる。
【0041】 数qからqのうち、少なくとも1つの数qはノントリビアルである。 数±が、モジュロnの整数の環内の2つの非平方剰余であるときに、数q
が存在する場合数qがはっきりとノントリビアルであることに注記しよう。
したがって、初歩的なGQ2キーの集合は、モジュラスを使用できるようにする
一般的に使用されているGQ2キーの集合の完全な一部、つまりその内の少なく
とも2つが異なる3または1(mod4)に関わりなく合致する大きな素数の任
意の構成物である。他方、一般的に使用されているGQ2の多くの集合は、GQ
2初歩キーの集合ではない。一般的に使用されているGQ2キーの各集合は、2
つの以下のケースの内の1つにある。
【0042】 2xm個の数±gから±gがすべて非平方剰余であるとき、それはGQ2
初歩キーの集合である。 2xm個の数±から±の中で、少なくとも1つの平方剰余があるとき
、それはGQ2初歩キーの集合ではない。それは、ここで私達がGQ2補足キー
と呼ぶものである。
【0043】 本発明は、GQ2補足キーの集合、定義により、初歩的ではない一般的に使用
されているそれらのGQキーの集合に関係する。2つの前記原則とは別に、この
種の集合は、第3の原則を満たさなければならない。
【0044】 2xm個の数±から±の中で、少なくとも1つの平方剰余がある。問
題をの意味を捉え、私達がそれに対処している解決策、つまり発明を理解するた
めに、最初に、ノントリビアルな数qによって明らかにされるモジュラスnの分
解を分析してから、チャイニーズ剰余の技法、それからガロアフィールドCG (p)の階数の概念を思い出してみよう。CG(p)での「累乗する」の機能を
研究し、CG(p)の二次的な剰余の「平方根を取る」。最後に、前述された3
つの原則の適用性を分析してみよう。
【0045】 モジュラスの分解の分析―まさにモジュラスnがf個の素因数pからp
分解するように、モジュロnの整数の環はf個のガロアフィールドCG(p
にCG(p)分解する。各フィールドでは、単位の2つの平方根、すなわち±
1がある。したがって、環の中では、単位の2個の平方根がある。それぞれの
秘密数QからQが、環内の単位のこれらの2の平方根の1つである数△
=q/g(mod n)を定義する。言い換えると、nが△ −1を除算
する。
【0046】 ・qがトリビアルである、つまり△±1であるとき、nは△−1または
でなければ△+1を除算するため、△はモジュラスnの分解を明らかにしな
い。 ・qがノントリビアルである、つまり△±1であるとき、nは、△−1
も△+1も分割しないため、△は、各フィールド内の△という値から生じ
る分解
【0047】 n=pgcd(n,△−1)Xpgcd(n,△+1)を明らかにする。
つまり、△−1を除算する一方で1つまたは複数の因数であり、他方でそれま
たはそれらは△+1を除算する。
【0048】 数qの乗算の構成規則を調べてみよう。2つの数{q1、}が、1つの合
成数qxq(modn)を与える。 −qがノントリビアルであり、qがトリビアルであるとき、合成数qxq
(modn)はノントリビアルである。それは、qと同じ分解を明らかにす
る。
【0049】 qとqがノントリビアルであり、△±であるとき、合成数q
(modn)はトリビアルである。それは分解を明らかにしない。
【0050】 qとq2がノントリビアルであり、△±であるとき、合成数q
(modn)はノントリビアルである。それは第3の分解を明らかにする。
【0051】 3つの数{q1、,q}は、4つの合成数{qxq、qxq
xq、qxqxq(mod n)}、つまり計7つの数を示す。こ
のようにして、m個の数は、2−m−1個の合成数、つまり2−1個の数の
合計を示す。
【0052】 i個の基数及びgからg及びi個の数qからqを示すi個の秘密数Q
からQ、したがって単位の累乗根であるi個の数△から△を備える、一
般的に使用されるGQ2キーの集合を考えてみよう。数qi+1及びしたがって
累乗根△i+1を示す秘密数Qi+1により別の基数gi+1を考慮してみよう
。 ・2i+1−1個の数の合計は、2つの以下のケースのそれぞれで多くのノント
リビアルな数を備える。
【0053】 累乗根△i+1はトリビアルであり、少なくとも1つの累乗根△から△iが
ノントリビアルである。 累乗根△i+1がノントリビアルであり、2xiの累乗根±から±
中で計算する。 ・累乗根△i+1がノントリビアルであり、2xiの累乗根±から±
中で計算しない場合、qi+1が計算する各合成数はノントリビアルである。 その結果、m個の数qからqの中で、少なくとも1つがノントリビアルであ
るとき、2−1個の数の合計の半分より多くがノントリビアルである。 定義により、私達は、2−l−1個の対応する合成数がノントリビアルである
、言い換えると、合計で2−1個の数がすべてノントリビアルであるときに、
1<f個のノントリビアルな数{q、q}がモジュラスnを基準に
して独立していると言う。そういうわけで、これらの2−1個の数のそれぞれ
がモジュラスnの異なる分解を表す。f個の素因数が別個であるとき、モジュラ
スnの2f−1−1の分解がある。それから、f−1個の数qが独立している場
合、2f−1−1の分解とf−1個の独立数及び対応する2f−1−f個の合成
数を含む、2f−1−1個の数の合計の間には1対1の対応がある。 チャイニーズ剰余―2つのaとbを、0<a<bとなるようにそれらの間で素に
、及び2つの数を0からa−1のX及び0からb−1からのXとしてみよう
。それは、X≡X(mod a)及びX≡X(mod b)となるように、
0からaxb−1までの一意の数Xを決定することである。α≡{b(mod
a)}−1(mod a)は、チャイニーズ剰余のパラメータである。ここに、
チャイニーズ剰余の初歩的な演算がある。
【0054】
【数11】
【0055】 要約すると、私達は以下のように書く。X=チャイニーズ剰余(X,X
f個の素因数が最小pから最大のpfへ昇順に置かれるとき、チャイニーズ剰
余のパラメータは以下であってよい(素因数未満のもの、つまりf−1がある)
。 第1パラメータは、α≡(p(mod p))−1(mod p)である
。 第2パラメータは、β≡(pxp(mod p))−1(mod p
である。 i番目のパラメータは、λ≡(pi−1(mod p−1(mod
)である。等々。
【0056】 f−1個の初歩的な演算では、数Xが、Xf0からpf−1isであるX
Xfのf個の構成要素の任意の集合からの0からn−1で確立される。 第1パラメータのある第1結果(mod pxp) それから、第2パラメータのある第2結果(mod pxpxp) 最後のパラメータのある最終結果(n=mod pxppf) 要約すると、素因数pからpfを考慮すると、モジュロnの整数の環の各要
素が2つの同等な表現を有する。 f個の数XからXf、素因数ごとの1つの構成要素:Xf≡X(mod p
f)、 0からn−1までの数X、X=チャイニーズ剰余(X、X、からXf)。 CG(p)内の数の階数―偶数ではない素数p及びpより小さいa、つまり0
<a<pがあるようにする。定義により、pを基準にした階数は、{x=a;
るストリーム{X}である。フェルマの定理によって、私達は、x1+p≡a
xx≡axx≡xi+1(mod p)を得る。その結果、pを基準にした
数の階数はp−1またはp−1の序数である。
【0057】 例えば、(p−1)/2が偶数ではない素数p′であるとき、ガロアフィール
ド CG(p)は、階数1の数、つまり、これは1、階数2の数、つまりこれは
−1、階数p′のp′−1数、及び階数2Xp′=p−1のp′−1数を備える
。CG(p)では、階数p−1の任意の数は「生成素」である。命名は、CG(
p)ないの生成素の連続する累乗、つまり1からp−1の添数のストリーム{X
}の項が、CG(p)のすべての非零要素の順列を形成するという事実のためで
ある。
【0058】 CG(p)の生成素yがあるようにする。y(mod p)の階数をi及びp
−1の関数として評価してみよう。iがp−1と素であるとき、それはp−1で
ある。iがp−1を除算するとき、それは(p−1)/Iである。すべてのケー
スで、それは(p−1)/pgcd(p−1,i)である。 定義により、オイラー関数ψ(n)は、nより小さい数の数の数であり、nと素
である。CG(p)では、ψ(p−1)個の生成素がある。
【0059】 例証により、階数は、RSAの基礎の良好な理解を提供する。モジュラスnが
ごとに、公開指数値eは、p−1に対して素でなければならない。それから、
キー〈e,p〉が、CG(pf)の要素の階数を尊重する。つまり、それは、
CG(p)の要素を順列する。p−1がeXd−1を除算するように、通
常は一般的には考えられる最小の数dがある。キー〈d,p〉は、CG(
)の要素の順列を逆転する。各フィールドCG(p)からCG(pf)内
に1つづつ、これらのf個の順列が、公開鍵〈e,n〉によって要約されるRS
A順列によってモジュロnの整数の環に表現される。一般的には考えられる最小
のd,があり、その結果、ppcm(p−1,p−1、pf−1)がdX
e−1byを除算する。pからpfの素因数pとごに、私達はd≡d(m
od pf−1)を有する。公開鍵〈e,n〉によtって要約されるRSA順列
は、秘密鍵 〈d,n〉によって逆転される。
【0060】 CG(p)内の平方 ―p−1が2t+1によってではなく2によって除算
可能であるように、数tを定義してみよう。それぞれの大きな素数が、あるカテ
ゴリで、及び1つ単独で計算する。t=1、t=2、t=3、t=4等である。
連続する素数の十分に大きな数が考慮される場合、pが3(mod4)と合致す
る第1カテゴリ内で2つの内のほぼ1つが計算し、pが5(mod8)と合致す
る第2カテゴリ内で4つの内の1つが計算し、pが9(mod16)と合致する
第3カテゴリ内で8つの内の1つが計算し、pが17(mod32)と合致する
第4カテゴリ内で16の内の1つが計算する等、平均してpが2+1(mod
t+1)と合致するt−番目のカテゴリ内で2個の内の1つが計算する。
【0061】 数x及びp−xは、CG(p)内で同じ平方を有するため、キー〈2,p〉は
、CG(p)を順列しない。CG(p)ないの「乗算する」関数は、フィールド
内の各非零要素がその場所を有する方角を定めて配置されるグラフによって表さ
れてよい。各要素の階数のパリティに従って、枝内及び円内の構造を分析してみ
よう。
【0062】 零要素は固定されている。それは0である。階数は、他の要素が連結されてい
ない零要素について定義されない。零要素は隔離されている。 単位要素は固定されている。それは、1であり、階数1の唯一の要素である。
CG(p)内での単位のすべての累乗根は、どれであれ、1に連結する枝内にあ
る。yをCG(p)の非平方剰余とする。キー〈(p−1)/2,p〉がbに
よって表される−1の2t−1番目の原始根にyを変換する。事実上、私達はy
(p−1)≡−1(mod p)を有する。その結果、CG(p)では、1
から2t−1の指数についてのbの累乗は、1以外の単位の2t−1累乗根であ
る。つまり、それらは1に連結する枝を構成する。
【0063】 偶数階数の任意の要素の平方は、その階数が2により除算される別の要素であ
る。その結果として、偶数階数の各要素は枝内に置かれる。それぞれの枝は、4
3である場合には、16によってではなく8によって除算可能な階数の4つの数
能な階数の8つの数を備える等である。すべての枝は1に連結される枝に類似す
る。つまり各枝の2t−1枚の葉は、非平方剰余である。各枝は2−1個の要
素を備え、偶数ではない要素に連結される。すべてが同じ長さtを有する(p−
1)/2の枝がある。
【0064】 単位要素以外の偶数ではない階数の任意の要素の平方は、同じ階数を有する別
の要素である。キー〈2,p〉は、偶数ではない階数のすべての(p−1)/2
個の要素を順列する。順列は、順列サイクルに分解する。サイクルの数は、(
p−1)/2の因数分解に依存する。(p−1)/2の各除数p′ごとに、
階数p′のψ(p′)個の要素を備えるサイクルがある。定義により、オイラー
関数ψ(p′)がp′より小さく、p′と素であることが思い出されなければな
らない。例えば、p′=(p−1)/2が素であるとき、階数p′のp′−1
数が大きな順列サイクルを形成する。
【0065】 図1Aから図1Dは、それぞれ、3(mod 4)、5(mod 8)、9(
mod 16)及び17(mod 32)にそれぞれ合致するpのグラフ断片を
示す。 枝の上の葉は、白い円によって示される。これらは、非平方剰余である。 枝の中のノードは灰色の円によって示される。これらは偶数階数の二次的な要
素である。 円の中のノードは、黒の円によって示される。これらは、偶数ではない階数の
二次的な要素である。
【0066】 CG(p)内の平方根―aがCG(p)平方剰余であることを知っているので
、等式x≡a(mod p)の解を計算する、つまりCG(p)内の「平方根
を取る」方法を確認してみよう。言うまでもなく同じ結果を得る複数の方法があ
る。シリーズ数学の卒業生テキスト(GTM138)の第138巻としてベルリ
ンのスプリンガー(Springer)によって出版されたHenrCohe
nによる本、計算台数的数理論(a Course on Computati
onal Algebraic Number Theory)の31ページか
ら36ページを参照できるだろう。
【0067】 数s=(p−1+2)/2t−1は、以下に値するキー〈s,p〉を与える
。 pが3(mod 4)に合致するときの〈p+1)/4,p〉 pが5(mod 8)に合致するときの〈p+3)/8,p〉 pが9(mod 16)に一致するときの〈p+7)/16,p〉 pが17(mod 32)に一致するときの〈p+15)/32,p〉等である
【0068】 キー〈s,p〉は、円の中の任意の要素を円の中の過去の要素に変換する。a
が偶数ではない階数からであるとき、それは偶数ではない階数の解である。私達
はそれをwと名づける。実際に、CG(p)ではw/aは、(2X(p−1+
/2t−1)−1=(p−1)/2乗されるのに値する。それ以外の解は
偶数の階数からである。それは、p−wである。
【0069】 一般的には、〈s,p〉は、任意の平方剰余aを私達がrと名づける第1解近
似に変換する。aは平方剰余であるため、〈2t−1,p〉は、確実にr/a
を1に変換する。aの平方根に近づくために、r/aを2t−2(mod p
)乗し、+1または−1を得る。結果が+1である場合には新しい近似はrのま
まとなり、でなければ、bがフィールドCG(p)内の1の任意の2−番目の
原始根を示すことを知っているので、結果が−1である場合には bxr(mo
d p)になる。その結果、キー〈2t−2,p〉は、新しい近似を1に変換す
る。〈2t−3,p〉を使用することによって、及び必要ならばb(mod
p)によって乗算することによって当により近づくことも可能である。
【0070】 以下のアルゴリズムが等式を解決する。それは、前記に定義された数a、b、
p、r及びtならびに2個の変数を使用する。cは、連続補正を表し、wは連続
近似を表す。アルゴリズムの最初では、c=b及びw=rである。計算の最後で
は、2つの解はw及びp−wである。
【0071】 iがt−2から1に及ぶ場合、以下のシーケンスを繰り返す。 キー〈2,p〉を数w/a(mod p)に適用し、+1または−1を得
る。 −1が得られると、wをwxc(mod p)で置換する。cをc(mod
p)で置換する。
【0072】 原則の適用性―定義により、私達は、指数値vが2に値する等式 x≡g
(mod p)がフィールドCG(p)内のxに解を有するときに、パラメー
タk、基数g及び素因数pが互換であると言う。数k及びgは、小さく、1より
大きい。pは大きな素数である。
【0073】 t=1、つまりp≡3(mod 4)であるとき、等式は2つの解を有する。 t=2、つまりp≡5(mod 8)であるとき、pを基準にしたgというル
ジャンドルの記号に従って、等式は、(g|p)=+1であるならば4つの解を
有する。(g|p)=−1である場合にはそれには解はない。 t>2つまりp≡1(mod 8)であるとき、uを、2がpを基準にして
公開数G=gを除算するが、2u+1はそれを除算しないような数にしよう。
【0074】 その結果、uは、0からt−1の数の1つに等しい。u>0及びk+u>tの
る。それは、u=0及びk>tの場合2個の解を有する。
【0075】 したがって、Gが円の中にあるのか、あるいはでなければ枝の中の適切な位置
にあるのかに従って2種類の互換性がある。 Gが円内にある、つまりkの値が何であれu=0であるときには円の中には偶
数ではない階数の解があり、円に連結されるα=min(k,t)の連続枝には
=3であるこのケース、つまりu=0を課す9(mod 16)に合致する素因
数を示す。
【0076】 の解決策、偶数階数のすべて、及び枝の中にある。図2Bは個のケースを示す
【0077】 パラメータkを考慮するとtの値がkより低いか、あるいはでなければkより
高い、またはkに等しいかどうかに従って2種類の素因数がある。 t<kとなるような任意の素因数pの場合、各Gは円の中にいなければな
らず、Gに連結される枝の中に解はない。gが円内にあるのか、あるいは−
が円内にあるのかに応じて、+1または−1に値する△ijを定義してみよ
う。m個の数△1,jから△m,jのどれかについて選択肢はない。図3Aは、
ケースt<kを示し、Gは、素因数pが9(mod 16)に合致する、つ
まりu=0、k>3の場合にt=3である円内にある。 でなければならず、言い換えると、あるいはでなければu=0の場合に園内にあ
に連結するグラフの一部であるのか、あるいは−gに連結するグラフの一
部であるのかに応じて+1または−1に値する数△ijを定義してみよう。m個
の△1,jから△m,jのそれぞれについて選択肢がある。それぞれの数△1j
は、 し、Gは、17(mod 32)に合致する素因数pのある枝の中にある。つ
まり、k=3の場合に、u=1、t=4である。
【0078】 f個の構成要素{△i,1から△i,f}の各集合は、CG(pf)内の単位
の平方根である。この累乗根は、f個の構成要素が等しいかどうかに従って、ト
リビアルまたはノントリビアルである。そういうわけで、私達は、数qがトリ
ビアルであるのか、ノントリビアルであるのかという事実を表すf個の構成要素
の集合が一定または可変であるかを言う。その結果として、qがノントリビア
ルであるとき、f個の構成要素{△i,1から△i,f}がモジュールの分解を
要約する。そういうわけで、秘密構成要素Qi,jを計算する前に原則を試すこ
とが可能である。
【0079】 公開数Gが素因数pの円内にあるとき、数△i,jは、gが円内にある
のか、あるいは−gが円内にあるのかに従って+1または−1に値する。p
≡3(mod 4)であるとき、それは、ルジャンドル記号、つまり△i,j
(g|p)である。 公開数Gが素因数pの枝の中の適切な位置にあるとき、△i,jに与えら
れる値は、秘密構成要素Qi,jを計算する前に求められてよい。 キーの集合の生成―パラメータkを考慮すると、2つの戦略がある。 生成元がm個の基数を求めるためにf個の素因数を必要とする。第1素数、2
、3、7等は、f個の大きな素因数pからpfのそれぞれとのその互換性を評
価するために調べられる。g=2はp≡5(mod 8)と互換ではないが、2
は基数の構成物の中に入る。実際、2個の数が枝内の類似する位置にあるとき、
それらの積は、まさに平方が円に近くなるように円にさらに近くなる。基数は、
個々には適切ではない数を備えることによって、このようにして得ることができ
る。 あるいは生成元はm個の基数及びビットサイズ(例えば、512、768,1
位ビット(例えば、1、8、16、24、32)などのモジュラスの特徴を必要
とする。g、g2…によって示され、基数は、通常、第1素数2、3、5
、7、11等の中で計算するか、あるいはでなければそれらは第1素数の組み合
わせである。それ以外に示されない限り、これらがm個の第1素数である。つま
りg=2、g=3、g=5、g=7等である。p≡5(mod 8)が
g=2と互換性がないことが注記されなければならない。モジュラスnは、隣接
するサイズ、つまりfによって除算される計算に割り当てられるサイズのf個の
素因数の積であるだろう。
【0080】 第1原則−パラメータk、pからpfに及ぶ各素因数p、及びgからg
に及ぶ各基数gは互換でなければならない。2がpを基準にしてgの階数を除
算するが、2h+1がそれを除算しないような数hを定義してみよう。数hを計
算するには、以下の手順はルジャンドル記号(g|p)及び数b、CG(p)内
の単位の2−番目の原始根を使用する。
【0081】 t=1で(g|p)=+1である場合、「h=0」に戻る。 t>1で(g|p)=+1である場合、キー〈p−1+2)/2t+1,p
〉をGに適用しwと呼ばれる結果を得る。
【0082】 w=+gの場合、「h=0」を戻す。 w=p−gの場合、「h=1」を戻す。 ではない場合、cをbに置き、iはt−1から2に及ぶ。 キー〈2,p〉をw/g(mod p)に適用し、±1を得る。 −1である場合、hをiに置き、wをwXc(mod p)で置換する。 cをc(mod p)で置換する。 「2からt−1までのhの値」を戻す。 (g|p)=−1である場合、「h=t」を戻す。
【0083】 k+u>tである場合にu>0kのとき、g及びpが互換性がないことを思い
出すだろう。それらは、kの値が何であれ、h=0または1であるときに、及び
第2原則−3つの以下の手順は、第2原則の異なる実現に対応する。いくつかの
実現では、第2原則は、各数qからqがノントリビアル的であることを要求
する範囲まで強化することができる。そういうわけで、基数の役割は平衡される
。第2原則を平衡するまたは平衡しないという事実は、パターンの機密保護の証
明のなんらかの態様に影響を及ぼす。最後に、m個の数{qからq}の間で
f>2個の別個の素因数があるとき、f−1個の独立数の少なくとも1つのサブ
ユニットがあることを要求することが可能である。
【0084】 3つの手順は、以下のように定義されるmxf個の数δi,jを使用する。 pがt<kであるほどであるとき、iは1からm、δi,j=△i,jに及
ぶ。つまりhi,j=0であるのらば+1であり、hi,j=1であるならば−
1である。 pがであるほどであるとき、iは1からm、δi,j=0に及び、△1,j
から△m,jが第2原則の関数として選択できることを示す。 第1手順は、少なくとも1つの集合{δi,1からδi,f}が可変であるか、
例であることを、言い換えると、少なくとも1つのqからqがノントリビア
ルである、あるいはノントリビアルと選ばれてよいことを検証する。 iが1からmに及び、jが1からfに及ぶ場合、 δi,j=0または≠δi,1である場合に、「成功」を戻す。 「失敗」を戻す。
【0085】 第2手順は、各集合{δi,1からδi,f}が可変または零であるか、言い
換えると、少なくとも1つのqからqがノントリビアルである、あるいはノ
ントリビアルと選ばれてよいことを検証する。 iが1からmに及ぶ場合 jが1からfに及ぶ場合、 δi,j=0または≠δi,1であれば、iの次の値に移動する。 「失敗」を戻す。 「成功」を戻す。
【0086】 くとも1つの集合{δi,1からδi,f}があり、δi,j1零であるか、δ
i,j2と異なる。それは、mがf−1より小さいときにはっきりと失敗する。
それが成功するとき、m個の数qかqの間で、f個の素因数を基準にしたf
−1個の独立した数の少なくとも1つの集合がある。 jが1からf−1に及び、jがj+1からfに及ぶ場合、 iが1からmに呼ぶ場合、 δi,j1=0または≠δi,j2であれば、j及びjの次の値に移動す
る。 「失敗」を戻す。 「成功」を戻す。
【0087】 手順が失敗すると、GQ2キーの集合の生成元は、2つの考えられる戦略の中
の1つの戦略に従う。 f個の素因数を保ちながら、m個の基数の1つを変更する。 m個の基数を保ちながら、f個の素因数の1つを変更する。
【0088】 第3原則−以下の手順が、生成の過程のあるいはすでに生成された汎用化され
たGQ2キーの集合が、以下であるかどうかを決定する。 GQ2初歩キーの集合、言い換えると、2Xm個の数±から±がすべ
て非平方剰余である。 あるいは、でなければGQ2初歩キーの集合、言い換えると2xm個の数±
から±の中で、少なくとも1つの平方剰余がある。 手順はiが1からmに及ぶ場合、及びjが1からfに及ぶ場合に2つのルジャン
ドル記号(g|p)及び(−g|p)を使用する。 iが1からmに及ぶ場合 jが1からfに及ぶ場合、 (g|p)=−1であるならば、iの次の値に移動する。 「GQ2の補足キーの集合」を戻す。 jが1からfに及ぶ場合 (−g|p)=−1であれば、iの次の値に移動する。 「GQ2補足キーの集合」を戻す。 「GQ2初歩キーの集合」を戻す。
【0089】 秘密構成要素− 直接型、つまりx≡g (mod p)の等式につい
て、以下の計算が秘密構成要素Qi,jのすべての考えられる値を確立する。2
つのもつとも簡略且つ最も共通のケース、つまり、t=1及びt=2の後には、
最も複雑なケース、つまり、t>2が続く。
【0090】 t=1、つまりp≡3(mod 4)について、キー〈p+1)/4,p
〉は、CG(p)内の任意の非平方剰余の平方二次根を与える。Gをw≡G
sj(mod p)に変換するキー〈s,p〉を与える、数s≡(m
od(p+1)/4)((p−1)/2)が演繹されると、Qi,jはw
に等しい、またはでなければp−wに等しい。
【0091】 t=2、つまりp≡5(mod 8)について、キー〈p+3)/8,p
〉は、CG(p)内の偶数ではない階数の任意の要素の偶数ではない階数の
平方根を与える。Gをw≡G sj(mod(p))に変換するキー〈s
,p〉を与える数s≡(mod(p+3)/8)((p−1)/4)
が演繹される。2はCG(p)内での非平方剰余であるため、z≡2(pj−
1)/4(mod p)が−1の平方根であることが観察されなければならな
い。Qi,jは、wに、またはでなければp−wに、またはでなければw′≡
wxz(mod p)またはでなければp−w′に等しい。
【0092】 t>2である場合にp≡2+1(mod2t+1)について、キー〈p
−1+2)/2t+1,p〉が、偶数ではない階数の任意の要素の偶数では
ない階数の平方根を与える。k、g及びpの間の互換性試験は、hの値、それか
らuの値を示す。 Gが円内にある場合(kの値が何であれu=0)、数s≡((p−1+
)/2t+1(mod(p−1)/2))が確立される。〈s
〉は、Gを偶数ではない階数G sj(mod p)の解に変換する。
円に結び付けられる最小(k,t)連続枝内で分散される偶数の階数の解があり
、α個の枝において言ってみよう。Qi,jは、CG(p)内の単位の2α
目の累乗のどれかによるwの積に等しい。 と同じ枝の中にあり、枝は数Gの2乗で円に結び付けられる。数s
((p−1+2)/2t+1k+u(mod(p−1)/2)が確立
される。キー〈s,p〉は、Gの2乗を偶数ではない階数wの数に変換
する。CG(p)内の単位の2k+u番目の原子根によるwのすべての積は、
i,jの2の値を含む。
【0093】 G(p)内のbの2t−u 乗であるbが存在する。それは、単位の2
番目の原子根である。Qi,jbを単位の2番目の原子根で乗算すると、数△
i,jの値を振動することができる。
【0094】 逆数型の等式について、1≡xxg (modp)、CG(p)内の
i,jの値の逆転に実質的に等しい、数sをキー〈s,p 内の((p
−1)/2)−sで置換することが十分である。 5(mod8)に合致する2つの素因数のあるキーの集合の p=E6C83BF428689AF8C35E07EDD06F9B39A
659829A58B79CD894C435C95F32BF25 p=11BF8A68A0817BFCC00F15731C8B70CEF
9204A34133A0DEF862829B2EEA74873D n=pXp=FFFF8263434F173D0F2E76B32D90
4F56F4A5A6A50008C43D32B650E9AB9AAD2E
B713CD4F9A97C4DBDA3828A3954F296458D5
F42C0126F5BD6B05478BE0A80ED1 ここには、まさに第1素数のルジャンドル記号がある。
【0095】 (2|p)=−1;(3|p)=−1;(5|p)=−1;(7|p
=−1; (11|p)=+1;(13|p)=−1;(17|p)=+1;
【0096】 CG(p)では、階数は−5、−11、及び17について偶数ではない。 (2|p)=−1;(3|p)=+1;(5|p)=+1;(7|p
=+1; (11|p)=+1;(13|p)=−1;(17|p)=−1;
【0097】 CG(p)では、階数は、−3、−5、及び11について偶数ではない。 Carmichael関数は、λ(n)=ppcm((p−1)/4,(p
−1)/4)である。 λ(n)=33331A13DA4304A5CFD617BD6F83431
1642121543334F40C3D57A9C8558555D5BDA
A2EF6AED17B9E3794F51A65A1B37239B18FA
9B0F618627D8C7E1D8499C1B k=9の場合、逆関数型の一般的方程式を使用するために、秘密指数値としての
数σ≡λ(n)−((1+λ(n))/2)(modλ(n))。 σ=01E66577BC997CAC273671E187A35EFD25
373ABC9FE6770E7446C0CCEF2C72AF6E89D0
BE277CC6165F1007187AC58028BD2416D4CC
1121E7A7A8B6AE186BB4B0
【0098】 2、3、7、13及び17の数は、奇数として適切ではない。
【0099】 キー〈σ,n〉は、g=5を、分解を示さない秘密数Qに変換する。実際、
両方のフィールドで、−5が円上にある。 Q=818C23AF3DE333FAECE88A71C4591A705
53F91D6C0DD5538EC0F2AAF909B5BDAD491F
D8BF13F18E3DA3774CCE19D0097BC4BD47C5
D6E0E7EBF6D89FE3DC5176C
【0100】 キー〈σ,n〉は、g=11を、分解を示す秘密数Qに変換する。実際、
11は、2つのフィールド内の同じ位置にない。 Q=25F9AFDF177993BE8652CE6E2C728AF31
B6D66154D3935AC535196B07C19080DC962E
4E86ACF40D01FDC454F2565454F290050DA0
52089EEC96A1B7DEB92CCA7
【0101】 キー〈σ,n〉は、g=21=3x7を、分解を示す秘密数Qに変換する。
=78A8A2F30FEB4A5233BC05541AF7B684C
2406415EA1DD67D18A0459A1254121E95D5C
AD8A1FE3ECFE0685C96CC7EE86167D99532B
3A96B6BF9D93CAF8D4F6AF0
【0102】 キー〈σ,n〉は、g=26=2x13を、分解を示す秘密数Qに変換する
。 Q=6F1748A6280A200C38824CA34C939F97D
D2941DAD300030E481B738C62BF8C6737315
14D1978AF5655FE493D659514A6CE897AB76
C01E50B5488C5DAD12332E5
【0103】 秘密鍵は、依然として、チャイニーズ剰余のパラメータと8つの秘密構成要素
という2つの素因数によって表されてよい。 α≡(p(modp))−1(modp)=ADE4E77B703F5
FDEAC5B9AAE825D649E06692D15FBF0DF737
B115DC4D012FD1D Q1,1≡Q(modp)=7751A9EE18A8F5CE44AD7
3D613A4F465E06C6F9AF4D229949C74DD6C1
8D76FAF Q1,2≡Q(modp)=A9EB5FA1B2A981AA64CF8
8C382923DB64376F5FD48152C08EEB6114F3
1B7665F Q2,1≡Q(modp)=D5A7D33C5FB75A033F2F0
E8B20274B957FA34004ABB2C2AC1A3F5320C
5A9049 Q2,2≡Q(modp)=76C9F5EFD066C73A2B5CE
9758DB512DFC011F5B5AF7DA8D39A961CC87
6F2DD8F Q3,1≡Q(modp)=2FEC0DC2DCA5BA7290B27
BC8CC85C938A514B8F5CFD55820A174FB5E6
DF7B883 Q3,2≡Q(modp)=010D488E6B0A38A1CC406
CEE0D55DE59013389D8549DE493413F34604
A160C1369 Q4,1≡Q(modp)=A2B32026B6F82B6959566
FADD9517DB8ED8524652145EE159DF3DC0C6
1FE3617 Q4,2≡Q(modp)=011A3BB9B607F0BD71BBE
25F52B305C224899E5F1F8CDC2FE0D8F9FF6
2B3C9860F
【0104】 GQ2秘密鍵の多形性−GQ2秘密鍵のさまざまな考えられる表現は、同等で
あると判明している。つまり、それらはすべて、真のGQ2秘密権であるモジュ
ラスnの因数分解の知識に戻る。GQ2秘密鍵の表現は、管理側エンティティ内
ではなく、証明側エンティティ内の計算の演算に影響を及ぼす。ここに、GQ2
の3つの主要な考えられる表現がある。つまり、1)GQ2秘密鍵の従来の表現
は、GQ2パターンについてm個の秘密数Q及び公開検証鍵〈v,n〉を記憶
することにあり、この表現は以下に続く2つと競合している。2)作業負荷とい
う点での最適表現は、パラメータk、f個の素因数p、mxf個の秘密構成要
素Qi,j及びチャイニーズ剰余のf−1個のパラメータを記憶することにある
。3)秘密鍵サイズという点での最適表現は、パラメータk、m個の基数g
f個の素因数p、を記憶すること、それから第1表記に戻るために、m個の秘
密数Qとモジュラスnのどちらかを、あるいはでなければ、第2表現に戻るた
めに、mxf個の秘密構成要素Qi,j及びチャイニーズ剰余のf−1個のパラ
メータを確立することによって各使用を開始することにある。動的認証またはデ
ジタルシグニチャ機構の機密保護がモジュラスの分解の知識に同等であるため、
GQ2パターンは、同じモジュラスを使用する2つのエンティティの間での単純
な区別を行うことを可能としない。一般的に、各証明側エンティティは独自のG
Q2モジュラスを有する。しかしながら、その内の2つがあるエンティティによ
って既知であり、それ以外の2つが別のエンティティによって既知である4つの
素因数のあるGQ2モジュラスを指定することが可能である。
【0105】 動的認証 コントローラと呼ばれるエンティティに対して、証明者と呼ばれる別のエンテ
ィティの真正性及び関連付けられるメッセージMの真正性を証明することを目的
とし、その結果、コントローラが、それが実際の証明者であること、及びおそら
く彼及び証明者が実際に同じメッセージMについて話をしていることを確信でき
る動的認証機構。関連付けられるメッセージMはオプションであり、つまりそれ
は空であってよい。動的認証機構は、4つの行為のシーケンスである。つまり、
コミットメントという行為、チャレンジという行為、応答という行為、及びチェ
ックという行為である。証明者は、コミットメントという行為及び応答という行
為を実行する。コントローラは、チャレンジという行為及び管理という行為を実
行する。
【0106】 証明者の最も機密のパラメータ及び関数、つまり、コミットメント及び応答の
作成を隔離するために、証明者の中では、証人は隔離されてよい。証人は、パラ
メータk及びGQ2秘密鍵、言い替えると、前述された3つの表現の1つに従っ
たモジュラスnの因数分解を、自由に使うことができる。つまり、・f個の素因
数及びm個の基数、・mxf個の秘密構成要素、f個の素因数、及びチャイニー
ズ剰余のf−1個のパラメータ、・m個の秘密数及びモジュラスnである。 証人は、ある特定の実施形態に対応してよい。例えば、・ともに証明者を形成す
るPCにリンクされるチップカード、あるいは再び、・PC内で特別に保護され
ているプログラム、または再び、・チップカード内で特別に保護されているプロ
グラムである。このように示される証人は、以下、署名者内で定義される証人に
類似している。機構の各動作を用いて、証人は1つまたは複数のコミットメント
R、それから多くのチャレンジdと同じくらい多くの応答Dを作成する。各集合
{R,d,D}は、GQ2トリプレットを構成する。
【0107】 証明者は、証人を含むだけではなく、必要な場合に、ハッシュ関数及びメッセ
ージMも自由に使うことができる。
【0108】 コントローラは、例えば、公開鍵のディレクトリから、または再び公開鍵の登
録簿からモジュラスnを自由に使うことができる。必要な場合、コントローラは
、同じハッシュ関数及びメッセージM′も自由に使うことができる。GQ2公開
パラメータ、すなわちk、m及びgからgが、証明者によってコントローラ
に与えられてよい。コントローラは、任意のチャレンジd及び任意の応答Dから
コミットメントR′を復元することができる。パラメータk及びmはコントロー
ラに知らせる。それ以外に示されない限り、gからgのm個の基数は、m個
の第1素数である。各チャレンジdは、基数ごとに1つ、dからdと示され
るm個の初歩チャレンジを備えなければならない。dからdの初歩チャレン
ジは、0から2λ−1−1(v/2からv−1の数は使用されていない)の数で
ある。典型的には、各チャレンジは、mかけるk−1ビットによって(及びmか
けるkビットによってではない)符号化される。k=5及びm=4の基数5、1
1、21、及び26の場合の例、各チャレンジは4つの四つ組で伝送される16
ビットを備える。(k−1)xm個の考えられるチャレンジもありそうなとき、
(k−1)xmが、各GQ2トリプレットによってもたらされる機密保護を決定
する。定義により、モジュラスnの因数分解を知らない詐称者は、正確に2(k
−1)xmの内に1回の成功の確率を有する。(k−1)xmが15から20に
値するとき、1つのトリプレットは、動的認証を妥当に保証するのに十分である
。機密保護の任意のレベルに達するには、トリプレットは並列で作成されてよい
。それらは、直列で作成されてもよい。言い替えると、機構の動作を繰り返す。
【0109】 1)コミットメントという行為は、以下の動作を含む。 証人がチャイニーズ剰余を使用しないとき、それはパラメータk、QからQ
のm個の秘密数及びモジュラスnを自由に使うことができる。それは、無作為
に、秘密の1つまたは複数の乱数r(0<r<n)を引き入れる。それから、k
個の連続する平方乗算(modn)によって、それは各乱数rをコミットメント
Rに変換する。
【数12】 R≡r(mod n) ここで、チャイニーズ剰余を使用しない過去の集合の例がある。 r=5E94B894AC24AF843131F437C1B1797EF5
62CFA53AB8AD426C1AC016F1C89CFDA13120
719477C3E2FB4B4566088E10EF9C010E8F09
C60D981512198126091996 R=6BBF9FFA5D509778D0F93AE074D36A07D9
5FFC38F70C8D7E3300EBF234FA0BC20A9515
2A8FB73DE81FAEE5BF4FD3EB7F5EE3E36D70
68D083EF7C93F6FDDF673A
【0110】 証人がチャイニーズ剰余を使用するとき、それはパラメータk、pからpf
f個の素因数、チャイニーズ剰余のf−1個のパラメータ、及びmxf個の秘
密構成要素Qi,jを有する。それは、無作為にf個の乱数の秘密の1つまたは
複数の集合を引き入れる。各集合は、素因数p(0<r<p)ごとに1つ
の乱数rを備える。それから、kの連続する平方乗算(modp)によって
、それは、各乱数rをコミットメント構成要素Rに変換する。
【0111】
【数13】 R≡r (mod p
【0112】 f個のコミットメント構成要素の各集合について、証人は、チャイニーズ剰余
の技法に従ってコミットメントを確立する。乱数の集合と同じ数のコミットメン
トがある。
【数14】
【0113】 ここに、キーの過去の集合及びチャイニーズ剰余のある例がある。 r=5C6D37F0E97083C8D120719475E080BBB
F9F7392F11F3E244FDF0204E84D8CAE R=3DDF516EE3945CB86D20D9C49E0DA4D42
281D07A76074DD4FEC5C7C5E205DF66 r=AC8F85034AC78112071947C457225E908
E83A2621B0154ED15DBFCB9A4915AC3 R=01168CEC0F661EAA15157C2C287C6A5B3
4EE28F8EB4D8D340858079BCAE4ECB016 R=Chinese Remainders(R,R)= 0AE51D90CB4FDC3DC757C56E063C9ED86BE1
53B71FC65F47C123C27F082BC3DD15273D4A
923804718573F2F05E991487D17DAE0AAB7D
F0D0FFA23E0FE59F95F0
【0114】 両方のケースで、証明者は、コントローラに、各コミットメントR、またはで
なければ、各コミットメントR及びメッセージMをハッシュすることによって得
られるハッシュコードHのすべてまたは一部を伝送する。 2)チャレンジという行為は、それぞれがm個の初歩チャレンジd、dから
から構成される1つまたは複数のチャレンジdを無作為に引き入れることに
ある。それぞれの初歩チャレンジdは、0からv/2−1の数の内の1つであ
る。
【0115】 d=d、d2…
【0116】 ここに、2つの例、言い換えるとk=5及びm=4の場合のためのチャレンジ
がある。 d=1011=11=′B′; d=0011=3; d=0110=6
;d4=1001=9, d=d||d||d|| d=101100101101001=B
3 69
【0117】 コントローラは、証明者に各チャレンジdを伝送する。 3)応答の行為は、以下の動作を備える。 証人がチャイニーズ剰余を使用しないとき、それはパラメータk、QからQ
のm個の秘密数、及びモジュラスnを自由に使うことができる。それは、コミ
ットメントという行為の各乱数r及び初歩チャレンジに従った秘密数を使用する
ことにより1つまたは複数の応答を計算する。
【数15】 D≡rXQ d1XQ d2 dm(mod n)
【0118】 ここに、チャイニーズ剰余を使用しない例のシーケンスがある。 D=027E6E808425BF2B401FD00B15B642B1A8
453BE8070D86C0A7870E6C1940F7A6996C2D
871EBE611812532AC5875E0E116CC8BA648F
D8E86BE0B2ABCC3CCBBBE4
【0119】 証人が、チャイニーズ剰余を使用するとき、それは、パラメータk、pから
pfのf個の素因数、チャイニーズ剰余のf−1個のパラメータ、及びmxf個
の秘密構成要素Qi,jを自由に使うことができる。それは、コミットメントと
いう行為の乱数の各集合を使用することによってf個の応答構成要素の1つまた
は複数の集合を計算する。それぞれの応答構成要素の集合は、素因数につき1つ
の要素である。
【数16】
【0120】 応答構成要素の集合ごとに、証人は、孫し譲与の技法に従って応答を確立する
。チャレンジと同じ数の応答がある。
【数17】
【0121】 ここに、チャイニーズ剰余を使用する例のシーケンスがある。 D=rx Q1,1 d1xQ2,1 d2xQ3,1 d3xQ4,1 d4(m
od p)=C71F86F6FD8F955E2EE434BFA7706
E38E5E715375BC2CD2029A4BD572A9EDEE6 D=rxQ1,2 d1xQ2,2 d2xQ3,2 d3xQ4,2 d4(mo
d p)=0BE022F4A20523F98E9F5DBEC0E108
87902F3AA48C864A6C354693AD0B59D85E D=90CE7EA43CB8EA89ABDD0C814FB72ADE74
F02FE6F098ABB98C8577A660B9CFCEAECB93
BE1BCC356811BF12DD667E2270134C9073B9
418CA5EBF5191218D3FDB3
【0122】 両方のケースで、証明者は、各応答Dをコントローラに伝送する。 4)チェックするという行為は、各トリプレット{R,d,D}が、非零値につ
いて以下の型の等式を検証することを確認することにある
【0123】
【数18】 またはでなければ、各コミットメントを確立する際に、どれも零であってはなら
ない。
【数19】
【0124】 おそらく、コントローラは、次に、各再確立されコミットメントR′及びメッ
セージM′をハッシュすることによってハッシュコードH′を計算する。動的認
証は、コントローラがこのようにして、それがコミットメントの行為の最後に受
信したもの、言い換えると各コミットメントRのすべてまたは一部、あるいはで
なければハッシュコードHを再獲得するときに成功である。
【0125】 例えば、初歩動作のシーケンスは、応答DをコミットメントR′に変換する。
シーケンスは、基数によるk−1の除算または乗算(mod n)によって分離
されるk個の平方(mod n)を含む。i番目の平方とi+1番目の平方の間
に実行されるi番目の除算または乗算について、初歩チャレンジdのi番目の
ビットがgを使用する必要があるかどうかを示し、初歩チャレンジdのi番
目のビットが、gを使用する必要があるかどうかを示し、初歩チャレンジd
のi番目のビットが、gを使用する必要があるかどうかまでを示す。
【0126】 ここに、チャイニーズ剰余を使用しない例の最後がある。 D=027E6E808425BF2B401FD00B15B642B1A8
453BE8070D86C0A7870E6C1940F7A6996C2D
871EBE611812532AC5875E0E116CC8BA648F
D8E86BE0B2ABCC3CCBBBE4
【0127】 modnの平方乗する。
【0128】 88BA681DD641D37D7A7D9818D0DBEA821740
73997C6C32F7FCAB30380C4C6229B0706D1A
F6EBD84617771C31B4243C2F0376CAF5DCEB
644F098FAF3B1EB49B39
【0129】 5かける26=130、つまり「82」mod nによって乗算する。
【0130】 6ECABA65A91C22431C413E4EC7C7B39FDE14
C9782C94FD6FA3CAAD7AFE192B9440C1113C
B8DBC45619595D263C1067D3D0A840FDE008
B415028AB3520A6AD49D
【0131】 modnの平方乗する。
【0132】 0236D25049A5217B13818B39AFB009E4D7D5
2B17486EBF844D64CF75C4F652031041328B
29EBF0829D54E3BD17DAD218174A01E6E3AA
650C6FD62CC274426607
【0133】 21、つまり「15」modnによって乗算する。
【0134】 2E7F40960A8BBF1899A06BBB6970CFC5B47C
88E8F115B5DA594504A92834BA405559256A
705ABAB6E7F6AE82F4F33BF9E91227F0ACFA
4A052C91ABF389725E93
【0135】 modnの平方乗する。
【0136】 B802171179648AD687E672D3A32640E2493B
A2E82D5DC87DBA2B2CC0325E7A71C50E8AE0
2E299EF868DD3FB916EBCBC0C5569B53D42D
AD49C956D8572E1285B0
【0137】 5かける11かける21=1155、つまり「483」modnによって乗算す
る。
【0138】 3305560276310DEFEC1337EB5BB5810336FD
B28E91B350D485B09188E0C4F1D67E68E959
0DB7F9F39C22BDB4533013625011248A8DC4
17C667B419D27CB11F72
【0139】 modnの平方乗する。
【0140】 8871C494081ABD1AEB8656C38B9BAAB57DBA
72A4BD4EF9029ECBFFF540E55138C9F22923
963151FD0753145DF70CE22E9D019990E41D
B6104005EEB7B1170559
【0141】 5かける11かける26=1430、つまり「596」modnによって乗算す
る。
【0142】 2CF5F76EEBF128A0701B56F837FF68F81A6A
5D175D0AD67A14DAEC6FB68C362B1DC0ADD6
CFC004FF5EEACDF794563BB09A17045ECFFF
88F5136C7FBC825BC50C
【0143】 modnの平方乗する。
【0144】 6BBF9FFA5D509778D0F93AE074D36A07D95F
FC38F70C8D7E3300EBF234FA0BC20A95152A
8FB73DE81FAEE5BF4FD3EB7F5EE3E36D7068
D083EF7C93F6FDDF673A
【0145】 コミットメントRが検出される。認証は成功である。
【0146】 ここに、チャイニーズ剰余を使う例の最後がある。 D=90CE7EA43CB8EA89ABDD0C814FB72ADE74
F02FE6F098ABB98C8577A660B9CFCEAECB93
BE1BCC356811BF12DD667E2270134C9073B9
418CA5EBF5191218D3FDB3
【0147】 modnの平方乗する。
【0148】 770192532E9CED554A8690B88F16D013010C
903172B266C1133B136EBE3EB5F13B170DD4
1F4ABE14736ADD3A70DFA43121B6FC5560CD
D4B4845395763C792A68
【0149】 5かける26=130、つまり「82」modnで乗算する。
【0150】 6EE9BEF9E52713004971ABB9FBC31145318E
2A703C8A2FB3E144E7786397CD8D1910E70F
A86262DB771AD1565303AD6E4CC6E90AE364
6B461D3521420E240FD4
【0151】 modnの平方乗する。
【0152】 D9840D9A8E80002C4D0329FF97D7AD163D8F
A98F6AF8FE2B2160B2126CBBDFC734E39F2C
9A39983A426486BC477F20ED2CA59E664C23
CA0E04E84F2F0AD65340
【0153】 21、「15」modnによって乗算する。
【0154】 D7DD7516383F78944F2C90116E1BEE0CCDC8
D7CEC5D7D1795ED33BFE8623DB3D2E5B6C5F
62A56A2DF4845A94F32BF3CAC360C7782B59
41924BB4BE91F86BD85F
【0155】 modnの平方乗する。
【0156】 DD34020DD0804C0757F29A0CBBD7B46A1BAF
949214F74FDFE021B626ADAFBAB5C3F16020
95DA39D70270938AE362F2DAE0B914855310
C7BCA328A4B2643DCCDF
【0157】 5かける11かける21=1155、つまり「483」modnで乗算する。
【0158】 038EF55B4C826D189C6A448EFDD9DADBD2B6
3A7D675A0587C8559618EA2D83DF552D24EA
F6BE983FB4AFB3DE7D4D2545190F1B1F946D
327A4E9CA258C73A98F57
【0159】 modnの平方乗する。
【0160】 D1232F50E30BC6B7365CC2712E5CAE079E47
B971DA03185B33E918EE6E99252DB3573CC8
7C604B327E5B20C7AB920FDF142A8909DBBA
1C04A6227FF18241C9FE
【0161】 5かける11かける26=1430、つまり「596」modnで乗算する。
【0162】 3CC768F12AEDFCD4662892B9174A21D1F0DD
9127A54AB63C984019BED9BF88247EF4CCB5
6D71E0FA30CFB0FF28B7CE45556F744C1FD7
51BFBCA040DC9CBAB744
【0163】 modnの平方乗する。
【0164】 0AE51D90CB4FDC3DC757C56E063C9ED86BE1
53B71FC65F47C123C27F082BC3DD15273D4A
923804718573F2F05E991487D17DAE0AAB7D
F0D0FFA23E0FE59F95F0
【0165】 コミットメントRが検出される。認証は成功である。
【0166】 デジタルシグニチャ デジタルシグニチャ機構は、署名者と呼ばれるエンティティが、署名済みのメ
ッセージを作成し、管理者と呼ばれるエンティティが署名済みのメッセージを検
証できるようにする。メッセージMは、任意のバイナリシーケンスである。つま
り、それは空であってよい。メッセージMは、対応する応答だけではなく、1つ
または複数のコミットメント、及び/またはチャレンジも含む、隣接するシグニ
チャアペンディクスとともに署名される。コントローラは、例えば、公開鍵のデ
ィレクトリから、またはでなければ公開鍵の登録簿からモジュラスnを自由に使
うことができる。それは、また同じハッシュ機能も有する。GQ2公開パラメー
タ、つまり数k、m及びgからgは、例えば、それらをシグニチャアペンデ
ィクスの中に入れることによって証明者によってコントローラに与えられてよい
【0167】 数k及びmは、コントローラに知らせる。一方では、dからdの各初歩チ
ャレンジは、0から2k−1−1の数である(数v/2からv−1は使用されな
い)。他方、各チャレンジdは、基数と同数のdからdと表されるm個の初
歩チャレンジを備えなければならない。さらに、それ以外に示されない限り、g
からgというm個の基数は、m個の第1素数である。(k−1)xmが15
から20に値巣sる場合に、並列で作成される4個のGQ2トリプレットを用い
て署名することが可能である。つまり(k−1)xmが60以上に値する状態で
、単一のGQ2トリプレットを用いて書名することが可能である。例えば、k=
9及びm=8の場合、単一GQ2トリプレットで十分である。それぞれのチャレ
ンジは8個のバイトを備え、基数は2、3、5、7、11、13、17、及び1
9である。
【0168】 シグニチャ動作とは、3つの行為のシーケンスである。つまり、コミットメン
トという行為、チャレンジという行為、及び応答という行為である。各行為は、
それぞれコミットメントR(≠0)、d,dによって表されるm個
の初歩チャレンジから構成されるチャレンジd、及び応答D(≠0)を含む、1
つまたは複数のGQ2トリプレットを作成する。
【0169】 署名者は、ハッシュ機能、パラメータk及びGQ2秘密鍵、言い換えると前述
された3つの表現の内の1つに従ったモジュラスnの因数分解を自由に使うこと
ができる。証明者の最も機密の機能及びパラメータを隔離するように、署名者内
では、コミットメントという行為及び応答の行為を実行する証人を隔離すること
ができる。コミットメント及び応答を計算するために、証人は、パラメータk及
ぴGQ2秘密鍵、言い換えると前述された3つの表現の内の1つに従ったモジュ
ラスnの因数分解を自由に使用することができる。このように隔離された証人は
、証明者内で定義される証人に類似している。それは、ある特定の実施形態、例
えば、・ともに署名者を形成するPCにリンクされるチップカード、または再び
・PC内で特に保護されているプログラム、または再び・チップカード内で特に
保護されているプログラムに対応してよい。
【0170】 1)コミットメントという行為は、以下の動作を含む。 証人がm個の秘密数QからQ及びモジュラスnを自由に使用することがで
きるとき、それは無作為に、及び秘密の1つまたは複数の乱数r(0<r<n)
を引き入れる。それから、kの連続の平方(mod n)累乗によって、それは
各乱数rをコミットメントRに変換する。
【0171】
【数20】 R≡r(mod n)
【0172】 証人がpからpfのf個の素因数及びmxf個の秘密構成要素Q1jを自由
に使用できるとき、それは無作為に、及びf個の乱数の秘密の1つまたは複数の
集合体を引き入れる。つまり、各集合体は、素因数p(0<r<p)ごと
に1つの乱数rを備える。それから、kの連続平方(mod p)累乗によ
って、それはrをコミットメント構成要素Rに変換する。
【0173】
【数21】 R=r (mod p
【0174】 f個のコミットメント構成要素の集合体ごとに、証人はチャイニーズ剰余の技
法に従ってコミットメントを確立する。乱数の集合体と同じ数のコミットメント
がある。
【数22】
【0175】 2)チャレンジという行為は、署名者がそれぞれm個の初歩チャレンジを含む
1つまたは複数のチャレンジを形成するハッシュコードを得るために、すべての
コミットメントR及び署名するためのメッセージMをハッシュすることにある。
各初歩チャレンジは0からv/2−1という数である。例えば、k=9及びm=
8の場合、各チャレンジは8つのバイトを備える。コミットメントと同じ数のチ
ャレンジがある。 ハッシュ結果(M、R)から抽出されるd=d2…
【0176】 3)応答という行為は、以下の動作を備える。 証人がQからQのm個の秘密数及びモジュラスnを自由に使用できるとき
、それはコミットメントという行為の各乱数r及び初歩チャレンジに従った秘密
数を使用することによって1つまたは複数の応答Dを計算する。
【0177】
【数23】 X≡Q d1xQ d2xto Q dm(mod n) D≡rxX(mod n)
【0178】 証人がpからpfのf個の素因数及びmxf個の秘密構成要素Q1jを自由
に使用することができるとき、それはコミットメントという行為の乱数の各集合
体を使用することによってf個の応答構成要素の1つまたは複数の集合体を計算
する。応答構成要素の各集合体は、素因数ごとに1つの構成要素を備える。
【0179】
【数24】
【0180】 応答コミットメントの集合体ごとに、証人は、チャイニーズ剰余の技法に従っ
て応答を確立する。チャレンジと同じ数の応答がある。
【0181】
【数25】
【0182】 署名者は以下を含む署名者アペンディクスをそれに接合するメッセージMに署
名する。 各GQ2トリプレット、つまり各コミットメントR、各チャレンジd及び各応
答D、 あるいは各コミットメントR及び各対応する応答D あるいは各チャレンジd及び各対応する応答D
【0183】 検証動作の性能は、シグニチャアペンディクスの内容に依存する。3つのケー
スを区別することができる。
【0184】 アペンディクスが1つまたは複数のトリプレットを含む場合、管理動作は、そ
の年代順配列が重要ではない2つの独立した方法を備える。コントローラは、以
下の2つの条件が満たされる場合、及び場合にだけ署名済みのメッセージを受け
入れる。 一方、各トリプレットはコヒーレント(以下の型の適切な関係が検証されなけれ
ばならない)且つ受け入れ可能(非零値に関する比較が行われなければならない
)でなければならない。
【0185】
【数26】
【0186】 例えば、応答Dは、以下初歩動作のシーケンスによって変換される。つまり、
基数によるk−1の乗算または除算(mod n)によって分離されるk個の平
方(mod n)。i番目の平方とi+1番目の平方の間で実行されるi番目の
乗算または除算について、初歩チャレンジdのi番目のビットはgを使用す
ることが必要であるかを示し、初歩チャレンジdのi番目のビットはgを使
用することが必要であるかを示し、初歩チャレンジdのi番目のビットは、g
を使用することが必要であるかまでを示す。このようにして、各コミットメン
トRがシグニチャアペンディクス内に存在して検出されなければならない。 他方、1つまたは複数のトリプレットが、メッセージMに結び付けられなければ
ならない。すべてのコミットメントR及びメッセージMをハッシュすることによ
って、各チャレンジdがその中から得られなければならないハッシュコードが得
られる。
【0187】 ハッシュ結果(M、R)から抽出されるものに同一のd=d2…, アペンディクスがチャレンジを含まない場合、管理動作はすべてのコミットメン
トR及びメッセージMをハッシュすることによって1つまたは複数のチャレンジ
d′の再構築で開始する。
【0188】 ハッシュ結果(M,R)から抽出されるd′=d′d′2…d′ 次に、コントローラは、各トリプレットがコヒーレント(以下の型の関係が検証
される)であり、且つ受け入れ可能である(非零値に関する比較が行われる)場
合、及び場合にだけ署名済みのメッセージを受け入れる。
【0189】
【数27】
【0190】 アペンディクスがコミットメントを含まない場合、管理動作は、以下の2つの
公式の一方、つまり適切である一方に従って1つまたは複数のコミットメントR
′の再構築で開始する。再確立されたコミットメントは零であってはならない。
【0191】
【数28】
【0192】 次に、コントローラは、各チャレンジdを再構築するために、すべてのコミッ
トメントR′及びメッセージMをハッシュしなければならない。 ハッシュ結果(M、R′)から抽出されるものに同一のd=d2…、 コントローラは、各再構築されたチャレンジがアペンディクス内で特徴にしてい
る対応するチャレンジに同一である場合、及び場合にだけ署名済みのメッセージ
を受け入れる。
───────────────────────────────────────────────────── フロントページの続き (31)優先権主張番号 99/12468 (32)優先日 平成11年10月1日(1999.10.1) (33)優先権主張国 フランス(FR) (31)優先権主張番号 00/09644 (32)優先日 平成12年7月21日(2000.7.21) (33)優先権主張国 フランス(FR) (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,MZ,SD,SL,SZ,TZ,UG ,ZW),EA(AM,AZ,BY,KG,KZ,MD, RU,TJ,TM),AE,AG,AL,AM,AT, AU,AZ,BA,BB,BG,BR,BY,BZ,C A,CH,CN,CR,CU,CZ,DE,DK,DM ,DZ,EE,ES,FI,GB,GD,GE,GH, GM,HR,HU,ID,IL,IN,IS,JP,K E,KG,KP,KR,KZ,LC,LK,LR,LS ,LT,LU,LV,MA,MD,MG,MK,MN, MW,MX,MZ,NO,NZ,PL,PT,RO,R U,SD,SE,SG,SI,SK,SL,TJ,TM ,TR,TT,TZ,UA,UG,US,UZ,VN, YU,ZA,ZW (72)発明者 ギユ,ルイ フランス国、35230 ブルバル、リュ・ド ゥ・リズ 16 (72)発明者 キスクワテル,ジャン−ジャック ベルギー国、1640 ロード・サン・ジェネ ス、アヴニュ・デ・カナール 3 Fターム(参考) 5J104 AA07 AA08 AA21 EA32 JA23 JA27 KA05 KA08 LA03 NA02 NA17

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】 コントローラエンティティに対し、 エンティティの真正性、及び/または 該エンティティに関連付けられるメッセージMの完全性 を証明することを目的とする方法であって、 前記方法は、 f個のp、p2…(fは、2より大きいまたは2に等しい)の積によっ
    て構成される、あるいはf個の素因数を実現する公開モジュラスnと、 gがf個の素因数p、p2…未満であるm個の異なる整数基数g
    2…(mは1より大きい、または1に等しい)と、 m組の秘密値Q、Q及び公開値G、G(mは1より
    大きい、または1に等しい)またはそれらから引き出されるパラメータと、を実
    現し、 前記モジュラス及び前記秘密値と公開値が、以下の型の関係によって連結され
    、 【数1】 G.Q ≡1.mod n or G≡Q mod n 前記公開値Gが基数の平方g であり、vが以下の形式の公開指数値を表
    し、 v=2 ここで、kは1より大きい機密保護パラメータであり、 発明による方法が、f個の素因数p、p2…及び/またはm個の基数g
    、g2…を、以下の条件が満たされるように作成するステップを含み、 第1条件: 第1条件に従って、等式のそれぞれ 【数2】 X≡g mod n (1) は、モジュロnの整数の環内においてxについての解を有する。 第2条件: G≡Q mod nの場合、階数(rank)のk−1倍、Qをモジュ
    ロnの平方に累乗することによって得られるm個の数qの間で、それらの内の
    1つが±gと異なる(言い換えると、ノントリビアルである)。 G.Q ≡1 mod nの場合、階数のk−1倍、Qの逆数をmod nの平方に累乗することによって得られるm個の数qの間で、それらの内の
    1つが±と異なる(言い換えると、ノントリビアルである)。 第3条件: 2m個の等式の間で: 【数3】 X≡gmod n (2) X≡−gmod n (3) それらの内の少なくとも1つが、モジュロnの整数の環内のxの中に解を有し
    、 f個の素因数p、pからp及び/またはm個の基数g、gからg
    を作成するための発明による方法は、最初に ・機密保護パラメータk ・m個の基数g、gからg及び/またはf個の素因数p、pからp
    を選ぶステップを含む方法。
  2. 【請求項2】 m個の基数g、g2…が、少なくとも部分的に第1整
    数の間で選ばれる請求項1に記載の方法。
  3. 【請求項3】 機密保護パラメータkが小さい整数、特に100未満である
    請求項1または2の1つに記載の方法。
  4. 【請求項4】 モジュラスnの大きさが数百ビットより大きい請求項1から
    3のいずれか1項に記載の方法。
  5. 【請求項5】 f個の素因数p、pからpが、因数の数fで除算され
    たモジュラスnの大きさに近い大きさを有する請求項1から4のいずれか1項に
    記載の方法。
  6. 【請求項6】 第1条件を試すために、数k、p、gの互換性が、以下に示
    すアルゴリズムを実現することによって検証され、 2がpに関してgという階数を除算する数であって、そして2h+1が除算
    しない数がhにより表され、 hが、ルジャンドル記号(g|p)から、及びCG(p)内の単位の2番の
    原始根(primitive root)に等しい数bから計算され、 ・(g|p)=−1の場合には、h=t ・t=1で(g|p)=+1であれば、h=0 ・t>1で(g|p)=+1であれば、キー〈(p−1+2)/2t−1,p
    〉がGに適用され、結果wがかくして得られ ・・w=+gの場合には、h=0 ・・w=p−gの場合には、h=+1 ・・それ以外の場合、以下の計算サブモジュラスが、それを値bに帰する変数c
    を初期化してから、t−1から2までのiという値について以下のステップを反
    復することによって適用され、 ステップ1: キー〈2,p〉がw/g(mod p)に適用され、 *得られた結果が+1に等しい場合に、ステップ2に移動し、 *得られた結果が−1に等しい場合に、値がhに帰され、wがw.c(mod
    p)によって置換され、 ステップ2:cがc(mod p)によって置換され、 求められているhの値は、ステップ1に従ってキー〈2,p〉の適用が最後
    に−1に等しい結果を作成したときに得られたものであり、 (h>1のとき及びk+h>t+1のとき、k、g、pは互換性がある、 t+1のときにk、g、pは互換性があることが想起されよう) (前記アルゴリズムでは、ルジャンドル記号及びtは、詳細な説明中定義される
    意味を有する) ことを特徴とする請求項1から5のいずれか1項に記載の方法。
  7. 【請求項7】 第2条件を試すために、少なくとも1つの集合{δi.l…
    δi.f}が可変または零であるかチェックされるような請求項6に記載の方法
    。 (δは、説明中定義される意味を有する。)
  8. 【請求項8】 第3条件を試すために、f個のルジャンドル記号(g|p
    )から(g|p)がすべて+1に等しいか、またはでなければf個のルジ
    ャンドル記号(−g|p)から(−g|p)がすべて+1に等しいよう
    に、gからgの基数gがあるかチェックされるような請求項7に記載の方
    法。
  9. 【請求項9】 G≡Q mod nの場合に秘密値Q、Q2…m(
    i,j≡Qmod p)のf.m個の秘密構成要素Qi,jを計算するた
    めに、 t=1(つまり、p≡3(mod4)の場合)の場合: ・数Sは、S≡((p+1)/4(mod(p−1)/2)となるよ
    うに計算され、 ・そのキー〈s,p〉が演繹され、 ・キー〈s,p〉がGに適用され、 ・このようにしてw≡G sj(mod p)を得る、 ・Qi,jの2つの考えられる値はw、p−wであり、 −t=2(つまり、p≡5(mod8)の場合)場合: ・数sは、s≡((p+3)/8(mod(p−1)/4))となる
    ように計算され、 ・そのキー〈s,p〉が演繹され、 ・キー〈s,p〉がGに適用され、 ・このようにしてw≡G sj(mod p)及びw′≡w.z(mod p
    )が得られ、 ・Qの4つの考えられる値はw、p−w、w′、p−w′であり、w
    ’≡w.z(mod p)(前記アルゴリズムでは、zは詳細な説明中に定義
    される意味を有する。) t>2(つまり、p≡2+1(mod 2t+1)の場合)場合及びh=
    0の場合またはh=1の場合 ・数sは、s≡((p+2)/2t+1(mod(p−1)
    /2))となるように計算され、 ・そのキー〈s,p〉が演繹され、 ・キー〈s,p〉がGに適用され、 ・このようにして、w≡G sj(mod p)を得る。 ・Qの2min(k,t)個の考えられる値は、CG(p)内の単位の
    min(k,t)番の累乗根のどれか1つによるwの積に等しい。 −t>2(つまり、p≡2+1(mod 2t+1)の場合)の場合及びh
    >1 ・sは、s≡((p+2)/2t+1k+h−1(mod(p
    −1)/2))となるように計算され、 ・そのキー〈s,p〉が演繹され、 ・キー〈s,p〉が2h−1乗のGに適用され、 ・wがこのようにして得られ、 ・Qi,jの2個の考えられる値が、CG(p)内の単位の2k+h−1
    の原始根によるwのすべての積に属する ことを特徴とする請求項1から8のいずれか1項に記載の方法。
  10. 【請求項10】 G.Q ≡1.mod nである場合の秘密構成要素
    i,jを計算するために、sがキー〈s,p〉の中の((p−1)/
    )−sによって置換されるような請求項9に記載の方法。
  11. 【請求項11】 f個の素因数p、p2…またはm個の基数g、g
    2…を作成できるようにする、請求項1から8のいずれか1項に記載の方法
    を適用する方法であって、 前記方法が、コントローラエンティティに対し、 エンティティの真正性、及び/または 該エンティティに関連付けられるメッセージMの完全性 を、m組の秘密値Q、Q2…m及び公開値G、G(mは1より
    大きい、または1に等しい)あるいはそれらから導出されるパラメータによって
    、特に秘密構成要素Qi,jによって証明することを目的とし、 前記方法が、証人と呼ばれるエンティティを以下のステップに従って実現し、 前記証人が、f個の素因数p及び/または素因数のチャイニーズ剰余の値の
    パラメータ、及び/または公開モジュラスn及び/またはm個の秘密値Q及び
    /または秘密値Qのf.m個の秘密構成要素及び公開指数値vのQi,jを有
    し、 証人が、モジュロnの整数の環内のコミットメントRを計算し、各コミットメ
    ントが、以下によって計算され、 ・以下の型の演算を実行することによって、 R≡rmodn その場合、rは0<r<nとなるように乱数であり、 ・あるいは ・・以下の型の演算を実行することによって R=r modp その場合、rは0<r<pとなるように素数pと関連付けられる乱数で
    あり、rは、乱数{r、r、からr}の集合体に属し、 ・・それから、チャイニーズ剰余の方法を適用することによって、 証人は、1つまたは複数のチャレンジdを受け取り、各チャレンジdは以下初歩
    チャレンジと呼ばれるm個の整数dを備え、証人は、以下によって各チャレン
    ジdから、応答Dを計算し、 ・以下の型の演算を実行することによって D=r.Q d1.Q d2からQ dmmodn ・または ・・以下の型の動作を実行することによって D≡r.Qi,1 d1・Qi,2 d2からQi,m dmmodp ・・それから、チャイニーズ剰余法を適用することによって、 チャレンジd及びコミットメントRと同じ数の応答Dがあり、数R、d、Dの各
    グループが{R,d,D}と表されるトリプレットを構成するようである前記方
    法。
JP2001529121A 1999-10-01 2000-09-29 エンティティの真正性及びメッセージの完全性を証明するための特定のキーのセット Pending JP2003511899A (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
FR9912467A FR2788912B1 (fr) 1999-01-27 1999-10-01 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message aux moyens de facteurs premiers particuliers
FR99/12465 1999-10-01
FR9912465A FR2788908B1 (fr) 1999-01-27 1999-10-01 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message
FR9912468A FR2824974B1 (fr) 1999-01-27 1999-10-01 Procede destine a prouver l'authenticite d'une entite ou l'integrite d'un message au moyen d'un exposant public egal a une puissance de deux.
FR99/12468 1999-10-01
FR99/12467 1999-10-01
FR0009644 2000-07-21
FR00/09644 2000-07-21
PCT/FR2000/002715 WO2001026278A1 (fr) 1999-10-01 2000-09-29 Jeux de cles particuliers destines a prouver l'authenticite d'une entite ou l'integrite d'un message

Publications (1)

Publication Number Publication Date
JP2003511899A true JP2003511899A (ja) 2003-03-25

Family

ID=27445921

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2001529122A Pending JP2004527139A (ja) 1999-10-01 2000-09-29 エンティティの真性性またはメッセージの完全性を証明する方法、システム、および装置。
JP2001529121A Pending JP2003511899A (ja) 1999-10-01 2000-09-29 エンティティの真正性及びメッセージの完全性を証明するための特定のキーのセット
JP2007258101A Expired - Lifetime JP4809310B2 (ja) 1999-10-01 2007-10-01 エンティティの真正性又はメッセージの完全性を証明するための方法、システム、デバイス

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2001529122A Pending JP2004527139A (ja) 1999-10-01 2000-09-29 エンティティの真性性またはメッセージの完全性を証明する方法、システム、および装置。

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2007258101A Expired - Lifetime JP4809310B2 (ja) 1999-10-01 2007-10-01 エンティティの真正性又はメッセージの完全性を証明するための方法、システム、デバイス

Country Status (8)

Country Link
US (1) US7080254B1 (ja)
EP (2) EP1216536A1 (ja)
JP (3) JP2004527139A (ja)
CN (2) CN100380862C (ja)
AT (1) ATE518327T1 (ja)
AU (2) AU765538B2 (ja)
CA (2) CA2388084A1 (ja)
WO (2) WO2001026279A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2842052B1 (fr) * 2002-07-05 2004-09-24 France Telecom Procede et dispositifs cryptographiques permettant d'alleger les calculs au cours de transactions
JP5328186B2 (ja) * 2008-03-21 2013-10-30 ルネサスエレクトロニクス株式会社 データ処理システム及びデータ処理方法
WO2010123116A1 (ja) * 2009-04-24 2010-10-28 日本電信電話株式会社 情報生成装置、方法、プログラム及びその記録媒体
JP5593850B2 (ja) * 2010-05-31 2014-09-24 ソニー株式会社 認証装置、認証方法、プログラム、及び署名生成装置
JP5594034B2 (ja) 2010-07-30 2014-09-24 ソニー株式会社 認証装置、認証方法、及びプログラム
JP5790287B2 (ja) * 2011-08-12 2015-10-07 ソニー株式会社 情報処理装置、情報処理方法、プログラム、及び記録媒体
EP2966803A1 (en) * 2014-07-11 2016-01-13 Thomson Licensing Method and device for cryptographic key generation
CN106304054B (zh) * 2016-08-29 2019-06-07 西安电子科技大学 一种lte系统中的保护数据完整性的方法及装置
CN110519051B (zh) * 2019-08-22 2021-06-01 武汉理工大学 r参数和秘密双乘积的SM9签名协同生成方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2620248B1 (fr) 1987-09-07 1989-11-24 France Etat Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de messages
AU622915B2 (en) * 1988-05-19 1992-04-30 Ncr Corporation Method and device for authentication
EP0381523A3 (en) * 1989-02-02 1993-03-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
FR2733379B1 (fr) * 1995-04-20 1997-06-20 Gemplus Card Int Procede de generation de signatures electroniques, notamment pour cartes a puces
EP0792044B1 (en) 1996-02-23 2001-05-02 Fuji Xerox Co., Ltd. Device and method for authenticating user's access rights to resources according to the Challenge-Response principle

Also Published As

Publication number Publication date
JP2004527139A (ja) 2004-09-02
ATE518327T1 (de) 2011-08-15
WO2001026278A1 (fr) 2001-04-12
AU765538B2 (en) 2003-09-18
CN100380862C (zh) 2008-04-09
AU766102B2 (en) 2003-10-09
CN1387714A (zh) 2002-12-25
CN1433609A (zh) 2003-07-30
CA2388084A1 (en) 2001-04-12
EP1216536A1 (fr) 2002-06-26
CN1215678C (zh) 2005-08-17
AU7669900A (en) 2001-05-10
WO2001026279A1 (fr) 2001-04-12
US7080254B1 (en) 2006-07-18
AU7670000A (en) 2001-05-10
JP4809310B2 (ja) 2011-11-09
JP2008048451A (ja) 2008-02-28
CA2386748C (en) 2008-11-25
EP1216537B1 (fr) 2011-07-27
EP1216537A1 (fr) 2002-06-26
CA2386748A1 (en) 2001-04-12

Similar Documents

Publication Publication Date Title
Goldwasser et al. A digital signature scheme secure against adaptive chosen-message attacks
EP0503119B1 (en) Public key cryptographic system using elliptic curves over rings
Camenisch et al. A group signature scheme based on an RSA-variant
Damgård et al. New convertible undeniable signature schemes
Pedersen et al. Fail-stop signatures
EP2375628A2 (en) Signature schemes using bilinear mappings
Sander Efficient accumulators without trapdoor extended abstract
US6446205B1 (en) Cryptosystems with elliptic curves chosen by users
JP4809310B2 (ja) エンティティの真正性又はメッセージの完全性を証明するための方法、システム、デバイス
TW201320701A (zh) 資訊處理裝置、資訊處理方法及程式
van Heijst et al. New constructions of fail-stop signatures and lower bounds
US7346637B2 (en) Polynomial time deterministic method for testing primality of numbers
Lim et al. A study on the proposed Korean digital signature algorithm
Crutchfield et al. Generic on-line/off-line threshold signatures
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
Lyuu et al. Convertible group undeniable signatures
KR100194638B1 (ko) 개인 식별정보를 이용한 부가형 디지털 서명방법
KR100844546B1 (ko) 엔티티의 진정성 또는 메시지의 무결성 검증방법, 시스템 및 장치
KR100676461B1 (ko) 특정 소인수를 이용한 엔티티 인증성, 및 메시지의 무결성및(또는) 인증성 검증방법, 시스템 및 장치
RU2325767C1 (ru) Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
JPH0695590A (ja) 電子署名システム及び電子署名方法
RU2325768C1 (ru) Способ генерации и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
RU2280896C1 (ru) Способ проверки подлинности электронной цифровой подписи, заверяющей электронный документ
Al-Saidi et al. A new idea in zero knowledge protocols based on iterated function systems
JP3518680B2 (ja) 素数生成装置