JP2005532723A - 処理中の計算を容易にするための暗号化方法、及び装置 - Google Patents

処理中の計算を容易にするための暗号化方法、及び装置 Download PDF

Info

Publication number
JP2005532723A
JP2005532723A JP2004518844A JP2004518844A JP2005532723A JP 2005532723 A JP2005532723 A JP 2005532723A JP 2004518844 A JP2004518844 A JP 2004518844A JP 2004518844 A JP2004518844 A JP 2004518844A JP 2005532723 A JP2005532723 A JP 2005532723A
Authority
JP
Japan
Prior art keywords
certificate
component
exponent
coefficient
modulo
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004518844A
Other languages
English (en)
Other versions
JP4494965B2 (ja
Inventor
マルク・ジロール
ジャン−クロード・パイル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of JP2005532723A publication Critical patent/JP2005532723A/ja
Application granted granted Critical
Publication of JP4494965B2 publication Critical patent/JP4494965B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Abstract

本発明は、第2の構成要素(B)により前記秘密鍵に関連付けられたRSA公開鍵を用いて照合可能な証明書を、第1の構成要素(A)がRSA秘密鍵(d)を用いて生成する処理において使用するための暗号化方法に関するものである。公開鍵は、第1の指数(e)、及び係数(n)を含む。前記方法において、第1の構成要素(A)は、処理の計算とは無関係に1つの計算が獲得され得る証明書の第1の要素(x)と、証明書の第1の要素(x)に関連付けられると共に、処理のために第1及び第2の構成要素に明確に共有された共通数(c)に依存する証明書の第2の要素(y)とを生成する。第2の構成要素(B)は、証明書の第1の要素(x)が、係数(n)を法として求められた総称数(g)の第1の累乗と、関係式によって関連付けられていることを照合する。

Description

この発明は、暗号方式の技術分野に関し、より明確にはいわゆる公開鍵暗号方式に関するものである。
このタイプの暗号方式において、利用者は、所定の使用に対して一組のキーを所有する。前記キーのペアは、この利用者が秘密の状態に維持する秘密鍵、及びこの利用者が他の利用者に通知する可能性がある関連付けられた公開鍵から構成される。例えば、秘密保持専用の一組のキーの場合、その場合に公開鍵はデータを暗号に変えるために使用され、一方、秘密鍵はそれを解読するため、すなわち、このデータを平文に回復するために使用される。
秘密鍵暗号方式と異なり、安全に保護された通信を確立するために同じ秘密を共有する対話者を必要としない限り、公開鍵暗号方式は非常に広く使用される。しかしながら、セキュリティに関するこの利点には、公開鍵スキーム(schemes)とも呼ばれる公開鍵暗号化方法が、多くの場合秘密鍵スキーム(schemes)とも呼ばれる秘密鍵暗号化方法より100倍、あるいは1000倍更に遅いので、性能に関する欠点がつきものである。非常に重要な目標は、従って、標準のマイクロプロセッサカードのような、資源が制限された接触方式または非接触方式の環境においてそれらを使用することができるように、迅速に実行され得る公開鍵暗号化方法を発見することである。
現存する大部分の公開鍵スキームは、演算(または、数論)の分野における数学の問題の難しさに依存している。このように、RSA(Rivest, Shamir, Adleman)の数字による署名、及び暗号化スキームの安全性は、同程度のサイズの2個かそれ以上の素数をお互いに掛け合わせることによって非公開で獲得された非常に大きな整数(500桁を超える)を与えられると共に、これらの素数を回復するための効果的な方法が現存しないという、その整数を因数分解することに対する問題の難しさに基づいている。
特許文献1において説明されたデジタル署名スキームのような他の公開鍵スキームは、それらの安全性に関して、いわゆる“離散的対数問題(discrete logarithm problem)”の難しさに依存している。この問題は、以下のような、その最も一般的な場合に表される。例えば“E”は演算(すなわち、2つの要素“a”と“b”とを有し、“a.b”または“ab”と表示されると共に「“a”と“b”との積」と呼ばれるように要素を結合させる関数)が与えられたセットであるとし、更にそれぞれ“g”は“E”の要素、“r”は大きな整数、“y”は“y = gr”で定義される整数(すなわち、“g・g・ . . . . ・g”と“g”が“r”回出現する積)とすると、その場合に、“g”及び“y”から“r”を回復することは実行不可能である。多くの場合、使用されるセット“E”は“n”を法とする整数(整数を“n”で割った余り)のセットであり、ここで“n”は整数、素数、または素数から構成される数である。
本発明は、更に特に、“識別”とも呼ばれる構成要素の認証に関係すると共に、同様にメッセージの認証の技術分野、及び公開鍵の暗号化技術を用いたそのデジタル署名の技術分野に関係する。そのような方法において、“認証要求者(prover)”と呼ばれる認証された構成要素は、秘密鍵または非公開鍵と、関連付けられた公開鍵とを所有する。その認証要求者は、認証値またはデジタル署名を生成するために秘密鍵を使用する。“認証者”と呼ばれる認証を行う構成要素は、認証値またはデジタル署名を照合するのに認証要求者の公開鍵だけを必要とする。
本発明の分野は、それに加えて、更に特にいわゆる“ゼロ知識証明(zero-knowledge)”と呼ばれた認証方法の分野である。これは、その認証が、それが使用される回数にかかわりなく、認証された構成要素の秘密鍵について何も明らかにしない、証明された方法におけるプロトコルを用いて実行されることを意味する。メッセージ及びこのメッセージのデジタル署名の認証に関して、このタイプのスキームから、標準の技術を用いてどのようにスキームを推論するかが知られている。
本発明の分野は、それに加えて、特にその安全性が、更に整数を因数分解することに対する問題の難しさ、及び離散的対数問題の難しさの両方に依存する方法の分野である。
例えばセントラルサーバの場合、または他の理由により、公開鍵暗号方式を使用するあらゆるシステムにおいて、更に特に、様々な当事者によって実行された多くの計算が、少なくともそれらのうちの1つに対して臨界のパラメータを形成するシステムにおいて、それが、計算の速度を加速するために、多くの場合“暗号用プロセッサ(cryptoprocessor)”と呼ばれる暗号化計算を専門に実行する利用可能なコプロセッサを備えていないか、またはそれが、多くの計算を同時に実行することが可能であるので、本発明は、それらの要素及び/またはそれらの処理の安全性を保護するために適用できる。
主な用途は、クレジットカード(バンクカード)または電子財布による電子決済である。近接通信決済の場合、共通鍵を蓄積しないように、決済端末は公開鍵暗号化方法の使用を促す公共の場所にある。そのようなシステムの総コストを減少させるために、標準のマイクロプロセッサカードであるカード、すなわち、暗号用プロセッサを供給されなかったカード、または標準型である端末自身に含まれる安全性が保護されたマイクロプロセッサ、またはこれらの両方のいずれかにとって、それは望ましいかもしれない。その状況及び採用された暗号化方法によって、現在知られている従来技術は、これらの目的の一方または他方を達成するが、しかし、システムの制限に従いながら、容易に両方が同時に達成されることを可能にするとは限らない。そのような制限の例としては、その決済が1秒未満で達成される、または非接触処理の場合に150ミリ秒未満で達成される、または高速道路通行料金の場合に数ミリ秒で達成されることが挙げられる。
現在最も広く使用される暗号化方法は、RSA方法である。それは、因数分解の問題に基づいている。様々な場合において標準化されたこのアルゴリズムは、デファクト・スタンダードになった。それは、今後とも優勢なアルゴリズムとして残ることになる。PKI基盤(Public Key Infrastructure:公開鍵基盤)のような、多くの製品、システム、及びインフラ基盤が、このアルゴリズムから、及びアルゴリズムが使用する鍵の形式から設計された。
知られているように、このアルゴリズムによれば、公開鍵は、一組の整数“(n,e)”から構成されると共に、秘密鍵は整数“d”から構成される。係数“n”(法“n”)は、それを因数分解することができない十分に大きい整数である。公開鍵“(n,e)”を知るあらゆる構成要素“B”が、“n”を法として整数“W'”を“e”乗する(整数“W'”を“e”乗して“n”で割った余りを取る)ことによって整数“W”を回復することを可能にするために、単独で秘密鍵“d”を保持する構成要素“A”が、「“n”を法とする整数“W”の“d”乗(整数“W”の“d”乗を“n”で割った余り)」に等しい整数“W'”を生成する。
メッセージ署名“M”を使用する方法において、整数“W”は、一般に既知のハッシュ関数のような関数によるメッセージの写像である。その認証要求者は、その署名が整数“W'”である構成要素“A”であって、その認証者は、署名“W'”に基づいて発見された整数が既知の関数によるメッセージの写像であるかを照合する構成要素“B”である。
識別の方法において、整数“W”は、一般に認証者である構成要素“B”により送信された要求を構成する。認証要求者である構成要素“A”によって生成された数“W'”は、この要求に対する応答を構成する。
メッセージ“M”を認証する方法において、整数“W”は、一般的にメッセージ“M”の写像と、構成要素“B”で構成される認証者によって送信された要求との結合から生じる。認証要求者である構成要素“A”によって生成された数“W'”は、この要求に応答して本物の署名を構成する。
仏国特許出願公開第716058号明細書
しかしながら、RSAアルゴリズムは、認証要求者または署名者によって実行されるべき多くの処理から生じる問題を有している。これらの処理を実行するマイクロプロセッサカード上で、1秒未満で完全な計算を実行するために、暗号用プロセッサをカードに加えることが必要である。しかしながら、暗号用プロセッサの製作及び導入には、マイクロプロセッサカードのコストを増大させる多大なコストがかかる。同様に暗号用プロセッサが多量の電流を消費するということも知られている。端末によるカードを供給することは、非接触インタフェースの場合に技術的難しさをもたらす可能性がある。同様に暗号用プロセッサの追加が、技術的解決法を発見することが難しい欠点を提示する、消費された電流のスペクトル解析による物理的攻撃を容易にするということが知られている。更に、もしカードが暗号用プロセッサを与えられるとしても、上述の例にあるように、処理時間が非常に短いことが必要とされるアプリケーションにおいて、その計算はまだ遅すぎると証明される可能性がある。
本発明の目的は、認証及びデジタル署名方法のような公開鍵の暗号化方法を具体的に述べることである。より正確には、本発明の目的は、更に暗号用プロセッサを使用する必要性を回避する計算の大部分が前もって実行されることを可能にする一方で、少なくともRSAアルゴリズムの安全性のレベルと等しい安全性のレベルで、RSAアルゴリズムと同じ鍵を使用することである。
RSA秘密鍵に関連付けられたRSA公開鍵を用いて第2の構成要素によって照合可能な証明書を、第1の構成要素が前記RSA秘密鍵を用いて生成するための処理に使用され得ると共に、前記公開鍵が第1の指数と係数とを有する暗号化方法を考慮すると、本発明による方法は、
− 第1の構成要素が証明書の第1の要素を生成し、かなりの資源を消費するその第1の計算が処理とは無関係に実行され得る過程と、
− 第1の構成要素が、第1の要素に関連付けられると共に、処理のために第1と第2の構成要素により明確に共有された共通数に依存する証明書の第2の要素を生成し、その第2の計算がほとんど資源を消費しない過程と、
− 証明書の第1の要素が、共通数の全部または一部と証明書の第2の要素が乗算された公開鍵の第1の指数との一次結合に等しい第2の指数を有すると共に、係数を法とする総称数の第1の累乗と、関係式を通して関連付けられることを、第2の構成要素が照合する過程と
を有するという点で注目すべきである。
鍵がRSAタイプの鍵であるという事実は、何の変更も加えることなく、鍵生成ソフトウェア、マイクロプロセッサのメモリ領域の記述、公開鍵証明書フォーマット等のような多くの既存製品、開発物、またはインフラストラクチャを使用することができるという利点を有する。
処理とは無関係に、証明書の第1の要素が完全にまたは部分的に計算され得るので、第1の構成要素は、安全性を保証するために、この複合的計算の実行を秘密の状態に維持しながら、処理の前に複合的な計算を実行する可能性を有する。このように、第1の構成要素が、暗号用プロセッサの資源のような強力な資源を必要とせずに、処理の初めから直ちにそのような証明書の第1の要素を迅速に生成するということが理解される。その場合には、単純な処理を通じて、処理によって明確に共有された共通数に証明書の第2の要素を依存させるために、証明書の第1の要素と関係づけることにより、第1の構成要素のみが証明書の第2の要素を生成することができる。短時間におけるこれらの単純な処理の第1の構成要素による可能な限りの実行は、更に高いレベルの安全を保ちながら、処理が減速することを回避する。
処理の目的は、メッセージに署名するため、またはメッセージを認証するために、制限されることなく第1の構成要素を識別することであっても良い。
特に、第1の構成要素が識別されることを可能にするために、
− 第1の構成要素により秘密の状態に維持された任意の整数が乗算された公開鍵の第1の指数と等しい第3の指数を有すると共に、係数を法とする総称数の第2の累乗を計算することにより、証明書の第1の要素が第1の構成要素によって生成され、
− 第2の構成要素によって、共通数が安全期間の中から任意に選択されると共に、その場合には証明書の第1の要素が受信された後で送信され、
− 第2の構成要素により照合される関係式が、証明書の第1の要素の累乗と総称数の第1の累乗との間の関係の等式である
ことを特徴とする。
その実行が秘密の状態に維持される複合的な計算は、この場合、証明書の第1の要素を生成するために総称数の第2の累乗を計算することと関連付けられる。処理中に任意に選択された共通数の選択は、この処理のスピードを損なわない。
特に、メッセージが署名されることを可能にするために、
− メッセージと、第1の構成要素により秘密の状態に維持された任意の整数が乗算された公開鍵第1指数と等しい第3の指数を有すると共に、係数を法とする第2の累乗が計算された総称数とに標準のハッシュ関数を適用することにより、証明書の第1の要素が第1の構成要素によって生成され、
− 共通数が証明書の第1の要素に等しく、
− 第2の構成要素により照合される関係式が、共通数と、メッセージ及び総称数の第1の累乗に適用された標準のハッシュ関数の結果との間の関係の等式である
ことを特徴とする。
その実行が秘密の状態に維持される複合的な計算は、この場合、証明書のポテンシャルを生成するために総称数の第2の累乗を計算することと関連付けられる。メッセージ及びこの証明書のポテンシャルに対する標準のハッシュ関数の応用は、もはや多量の資源を消費しない。この場合、証明書の第2の要素の伝送、及び第2の構成要素と共有された共通数に等しい証明書の第1の要素の伝送を行う処理の前に、第1の構成要素は証明書のポテンシャルを計算しても良く、その場合には、第1の構成要素はメッセージの署名の伝送を実行する。
特に、第2の構成要素により受信されるメッセージが第1の構成要素からくることを認証するために、
− メッセージと、第1の構成要素により秘密の状態に維持された任意の整数が乗算された公開鍵第1指数と等しい第3の指数を有すると共に、係数を法とする第2の累乗が計算された総称数とに標準のハッシュ関数を適用することにより、証明書の第1の要素が第1の構成要素によって生成され、
− 第2の構成要素によって、共通数が安全期間の中から任意に選択されると共に、その場合には証明書の第1の要素が受信された後で送信され、
− 第2の構成要素により照合される関係式が、証明書の第1の要素と、メッセージ及び総称数の第1の累乗に適用された標準のハッシュ関数の結果との間の関係の等式である
ことを特徴とする。
秘密の状態に維持される複合的な計算は、この場合、証明書の第1の要素を生成するために総称数の第2の累乗を計算することと関連付けられる。第2の構成要素によって処理中に任意に選択された共通数の選択は、この処理のスピードを損なわない。
一般的に、処理の前に実行され得る複合的な計算は、条件として直接秘密鍵を伴わないと共に、従ってその結果は秘密鍵に関する情報を与えない。
更に特に、暗号化方法は、
− 任意の整数から共通数が乗算された秘密鍵(d)を減算することにより、証明書の第2の要素が第1の構成要素によって生成され、
− 第2の指数に等しい一次結合が、共通数に関する単一の正の係数と、証明書の第2の要素が乗算された公開鍵第1指数に関する単一の正の係数とを有し、
− 照合される関係式において、証明書の第1の要素が単一の指数による累乗とみなされる
という点で注目すべきである。
もう一つの方法として、好ましくは、共通数が第2の構成要素によって選択されるとき、暗号化方法は
− 共通数が第1の共通数元素と第2の共通数元素とに分割されるので、第1の共通数元素が乗算された任意の整数から第2の共通数元素が乗算された秘密鍵を減算することにより、証明書の第2の要素が第1の構成要素によって生成され、
− 第2の指数に等しい一次結合が、第1の共通数元素に関するゼロの係数と、第2の共通数元素に関する単一の正の係数と、証明書の第2の要素が乗算された公開鍵第1指数に関する単一の正の係数とを有し、
− 照合される関係式において、証明書の第1の要素が第1の共通数元素に等しい単一の指数による累乗とみなされる
という点で注目すべきである。
上述の単純な減算処理及び乗算処理は、処理中に証明書の第2の要素を迅速に計算すると共に、異なった証明書の第1の要素に関係する証明書の第2の要素を、異なる任意の数によって毎回生成することにより、秘密鍵に関するあらゆる情報を与えることなく処理を数回繰り返すことを可能にする。
暗号化方法は、都合良く、証明書の第2の要素がカーマイケル(Carmichael)関数による係数の写像を法として計算されるか、または係数を法として求められた総称数の次数の倍数を法として計算されるという点で、注目すべきである。
任意の整数は、秘密鍵より非常に大きくなるように選択されても良い。もし前の段落において言及された利点が適用されないならば、秘密鍵の値より非常に大きな値であることが任意の整数には必要である。都合良く、任意の数を指数として有する指数計算のために必要とされる処理の数を減少させるために、任意の整数は、カーマイケル関数による係数の写像より小さいか、または係数を法として求められた総称数の次数の倍数より小さい。そのような任意の数は、秘密鍵に関して攻撃可能な情報を全く与え得ない。
このように獲得された証明書の第2の要素のサイズを減少させることにより、安全性を損なわずに第2の構成要素によって実行されるべき計算をスピードアップすることが可能である。
暗号化方法は、同様に都合良く、第3の指数がカーマイケル関数による係数の写像を法として計算されるか、または係数を法として求められた総称数の次数の倍数を法として計算されるという点で、注目すべきである。
このように獲得された第3の指数のサイズを減少させることにより、安全性を損なわずに第1の構成要素によって実行されるべき計算をスピードアップすることが可能である。
総称数に割り当てられる値“2”は、あらゆる総称数の累乗に対する指数計算を容易にする。既知のハッシュ関数を、係数及び公開鍵の第1の指数に適用することにより、各第1の構成要素を区別することを可能にする総称数に、小さな値が同様に割り当てられても良い。
第1の構成要素の区別に関して、暗号化方法に対する評価できる改善は、公開鍵と共に、秘密鍵を指数とし係数を法として累乗された単純な数に等しい総称数が送信されることである。
その場合に第1の構成要素が実行しなければならない全てのことは、任意の整数が乗算された公開鍵第1指数に等しい第3の指数を有すると共に、係数を法とする総称数の第2の累乗を計算することによる結果と同じ結果を獲得するために、任意の数を指数とし係数を法として単純な数を累乗することである。単純な数に値“2”を割り当てることによって、複合的計算が処理の前または処理中に実行されるか否かに拘らず、複合的計算はかなりスピードアップされる。
暗号化方法に対する更に評価できる改善は、
− 第3の構成要素が、証明書の第2の要素を受信し、証明書の第2の要素を指数とし係数を法として総称数を累乗することによって証明書の第3の要素を生成すると共に、証明書の第3の要素を第2の構成要素に送信し、
− 証明書の第1の要素を証明書の第2の要素に関連付ける関係式を照合するために、第2の構成要素が、係数を法として証明書の第3の要素を第1の指数で累乗すると共に、それの結果に共通数を指数として累乗された総称数を乗算する
ことによる改善である。
第3の構成要素は、認証の完全性を損なわずに第2の構成要素の負担を軽減することを可能にする。
秘密の状態に維持されたRSA秘密鍵を与えられると共に、認証用装置との処理中に前記秘密鍵に関連付けられた公開鍵を用いて、認証要求者用装置が前記証明書の発行元であることの保証をその認証が可能にする証明書を生成するために、侵入から保護された認証要求者用装置を考慮すると、前記RSA公開鍵は第1の指数と係数とを有し、本発明による認証要求者用装置は、
− かなりの資源を消費するその第1の計算が処理とは無関係に実行され得て、証明書の第1の要素を生成するように設計されると共に、証明書の第1の要素に関連付けられ、かつ処理に特有の共通数に依存する証明書の第2の要素を生成するように設計される計算手段と、
− 少なくとも証明書の第1及び第2の要素を送信するように設計されると共に、前記共通数を認証者用装置に送信する、または前記共通数を認証者用装置から受信するように設計される通信手段とを有する
という点で注目すべきである。
本発明による認証要求者用装置は、
− 計算手段が、一方で、任意の数を生成すると共に、任意の整数が乗算された公開鍵第1指数に等しい第3の指数を有し、係数を法とする総称数の累乗を計算するように設計され、
− 計算手段が、他方で、任意の整数(r)と共通数(c)が乗算された秘密鍵(d)との間の差分を取ることによって、証明書の第2の要素(y)を生成するように設計される
という点で注目すべきである。
もう一つの方法として、計算手段は、カーマイケル関数による係数の写像を法とする操作を実行するか、または係数を法として求められた総称数の次数の倍数を法とする操作を実行するように設計される。
認証要求者用装置により秘密の状態に維持されたRSA秘密鍵(d)を与えられて認証要求者用装置から発行された証明書を前記秘密鍵に関連付けられた公開鍵によって照合するための認証者用装置を考慮すると、前記RSA公開鍵は第1の指数と係数とを有し、本発明による認証者用装置は、
− 証明書の第1の要素と、証明書の第2の要素または第3の要素とを受信すると共に、証明書の第1の要素と第2または第3の要素とが受信される処理に特有の共通数を、受信または送信するように設計される通信手段と、
− 証明書の第1の要素が、共通数の全部または一部と証明書の第2の要素が乗算された公開鍵第1指数との一次結合に等しい第2の指数を有すると共に、係数を法とする総称数の第1の累乗と、関係式を通して関連付けられることを照合するように設計される計算手段とを有する
という点で注目すべきである。
特に、認証者用装置は、通信手段が証明書の第2の要素を受信するように設計されると共に、計算手段が第2の指数、及び総称数の前記第1の累乗を計算するように設計されるという点で注目すべきである。
もう一つの方法として、認証装置は、通信手段が証明書の第3の要素を受信するように設計されると共に、計算手段は、それの結果に共通数を指数として有する第2の累乗が計算された総称数を乗算するために、証明書の第3の要素を公開鍵第1指数で累乗するように設計されるという点で注目すべきである。
本発明は、添付された図を参照して以下に示された実施例から更によく理解されることになる。
ここに示された実施例は、構成要素の認証方法、または構成要素の識別方法である。それによって認証要求者“A”はその信頼性を認証者“B”に証明することが可能となる。この方法は、以下で説明されるように、メッセージ、またはデジタルメッセージ署名を認証する方法に変更されても良い。その安全性は、大きな整数を因数分解することの難しさに依存している。この難しさは、RSAアルゴリズムの安全性が依存する問題の難しさと少なくとも同じくらい難しいとして当業者に知られている。照合のタスク(作業)が促進されることを可能にする1つのオプションにおいて、方法の安全性はRSAの安全性に相当する。
素数は“1”及びそれ自身のみで割り切れる数であるということが思い出されることになる。あらゆる正の整数“z”のオイラー関数“φ(z)”は、“z”より小さいと共に“z”と互いに素である、すなわち“z”に関して“1”以外の公約数を持たない正の整数のセットの基数を与えることも同様に思い出されることになる。あらゆる整数“u”が関係式“{uv = 1 modulo w}”、すなわち、知られているように、“w”による“uv”の整数分割の残りが“1”に等しいという関係を満たすように、あらゆる正の整数“w”のカーマイケル関数“λ(w)”が正確に正の整数“v”の最小値を与えるということが同じく思い出されることになる。
上述の目的及び結果によれば、この方法はRSAの鍵を使用する。認証要求者用装置を構成するために、第1の構成要素“A”は、第一に、認証者用装置を構成するあらゆる第2の構成要素“B”に対して公開された公開鍵を所有する。第1の構成要素“A”は、第二に、秘密の状態に維持された秘密鍵を所有する。公開鍵は、係数“n”及び第1の指数“e”を有する。秘密鍵は、第2の指数“d”を有する。係数“n”は、2個か、またはそれ以上の素数の積に等しい整数である。数“n”が2個の素数“p”及び“q”の積であるとき、その場合、“φ(n) = (p-1)(q-1)”である。多くのRSAの記述は、係数“n”、第1の指数“e”、及び第2の指数“d”が方程式“{ed = 1 modulo φ(n)}”を満足させることを指定する。方程式“{ed = 1 modulo φ(n)}”が満足されているとき、その場合には方程式“{ed = 1 modulo λ(n)}”が満足されていることは当業者に良く知られている。
更に一般的に、その方法は、方程式“{ed = 1 modulo λ(n)}”を満たす秘密鍵“d”と関連付けられたあらゆる公開鍵“(n,e)”に対する安全性と同じレベルで機能する。
全てのオプションにおいて、認証要求者“A”の証明書、すなわちその身元、その公開鍵、その公開鍵証明書等が第1の構成要素によって与えられるということを照合するのに必要とされる全ての公のパラメータを、認証者“B”が既に知っていると仮定されている。
構成要素“B”による構成要素“A”の識別は、図1を参照してここで説明されたプロトコルを“k”回繰り返すことによって実行される。数“k”は、指数“e”より小さいかまたは等しい整数“t”と共に一組の安全性のパラメータを定義する、正の整数である。
第1のステップ9において、構成要素“A”は、“d”より非常に大きい第1の任意の整数“r”を生成し、“x = ger (mod n)”を計算すると共に“x”を構成要素“B”に送信する。既知の方法において、構成要素“A”及び構成要素“B”は、コンピュータ、またはチップカードタイプの構成要素である。整数“g”は、構成要素“A”及び構成要素“B”によって知られている総称数である。“2”に等しい総称数“g”の値は、指数計算を容易にする。総称数“g”は、同様に、例えば“h”が全てに知られているハッシュ関数である“g = h(n,e)”のような、認証要求者の公開鍵の関数でも良い。総称数“g”は、同様に、構成要素“A”によって決定され、その後その公開鍵と共に送信されても良い。例えば、構成要素“A”は、単純な数“G”を“d”乗すると共に、その結果は“ge(mod n) = G”のような数“g”を与える。総称数“g”が構成要素“A”によって最終的に計算されるので、この場合“x = Gr(mod n)”のように“x”の計算は単純化される。指数計算を容易にする“2”に等しい単純な数“G”の値は、更に特に有利である。すなわち、式“(mod n)”は“n”を法とすること、すなわち知られているように、計算の結果が、一般的に係数と呼ばれる整数“n”による問題の演算の結果の整数分割の残りに等しいことを意味する。ここで、任意の数“r”を生成する構成要素のみが数“x”を生成することが可能であるので、整数“x”は、証明書の第1の要素を構成する。任意の数“r”は、それを生成する構成要素によって通知されない。既知の数論から、総称数“g”または単純な数“G”の認識、及び係数“n”の認識が、数“x”から数“r”が回復されることを可能にしないように、数“r”は十分に大きいものに選ばれる。
構成要素“B”による証明書の第1の要素“x”の受信は遷移10を有効とし、その場合にそれは第2のステップ11をアクティブにする。
ステップ11において、構成要素“B”は、安全期間(the security interval)と呼ばれる期間“[O,t-l]”の中から任意に選択された整数“c”を構成要素“A”に送信する。このように、数“c”は、構成要素“A”及び構成要素“B”、更に対話を構成要素“A”及び構成要素“B”の間に浸透させている他の構成要素に共通である。
構成要素“A”による共通数“c”の受信は遷移12を有効とし、その場合にそれは第3のステップ13をアクティブにする。
ステップ13において構成要素“A”は、“y = r- dc”を計算する。このように、構成要素“A”は、数“r”と、掛け算の係数が共通数“c”である数“d”との一次結合の形式で表された秘密鍵の写像“y”を生成する。任意の数“r”が非常に大きいと共に通知されないので、写像“y”の認識は積“dc”が回復されることを可能にせず、従って、その結果構成要素“A”により秘密の状態に維持されたままである秘密鍵数“d”の回復を防止する。構成要素“A”のみが数“d”を知っているので、構成要素“A”のみが、共通数“c”を結びつける写像を生成し得る。
ここで説明されたプロトコルを考慮すると、偽物は、秘密鍵“d”の秘密を知らずに構成要素“A”になりすまそうと試みる構成要素である。整数の因数分解が難しい問題であるとき、検出されない偽物の確率が“1/kt”に等しいということが証明され得る。これらのプロトコルの安全性は、従ってRSAの安全性と少なくとも同じくらい高い。多くのアプリケーションに対して、積“kt”は、例えば“216”の次数の認証文脈の中で、比較的小さいものに選ばれても良い。
安全性のパラメータのペアである“k”及び“t”のあらゆる値が見込まれる。好ましくは、“k = 1”及び“t = e”であり、その場合に、上で定義された確率は“l/e”に等しいと共に、適用されるべき認証方程式は1つだけである。“e = 65537”のような標準のRSAの公の指数の値、すなわち“216+1”は多くのアプリケーションに適している。
構成要素“B”による証明書の第2の要素“y”の受信は遷移16を有効とし、その場合にそれは第4のステップ17をアクティブにする。
ステップ17において、構成要素“B”は、“gey+c = x(mod n)”であるかどうかを照合する。上述のように、証明書の第2の要素が秘密鍵“d”に関する情報を通知しないが、証明書の第2の要素“y”は“ey + c = e(r - dc) + c”のようになる。従って、指数を共通数“c”と積“ey”の一次結合として総称数を累乗することにより、その場合には“gey+c = ger(g-ed+1)c = x(mod n)”となる。更に、数論によれば総称数“g”が秘密鍵に関する情報を通知しないが、総称数“g”は、実際“(gdc)e = gc(mod n)”のようになる。
このように、どんな場合も“r”の通知なしで、等式“(gy)egc = (gr)e = x(mod n)”は、構成要素“A”が“d”を知っていることを証明する。
この照合は、ステップ11の終わりまたはそれの前にでも、前もって“v' = gc(mod n)”を計算することによってスピードアップされる。
このように、第4のステップにおいて、“B”は、もはや“geyv' = x(mod n)”であるかどうかを照合する必要はない。“B”が“y”を受信するとき、ステップ11において“Gyv' = x(mod n)”であるかどうかを照合するために、最終的に“G = ge(mod n)”を計算することは“B”にとって有利である。認証計算を最適化する他の可能な方法は、以下の説明において与えられることになる。
この基礎的プロトコルを最適化する多くの異なる方法が実行できる。例えば、“x = ger (mod n)”は、“x = g-er(mod n)”と交換されても良く、その場合に、認証方程式は“gey+cx = 1(mod n)”となる。
更に、例えば、“c”を一組の正または負の整数“(a,b)”と交換すると共に“y = r - dc”を“y = ar - bd”と交換することが可能であり、その場合に、認証方程式は“gey+b = xa(mod n)”となる。
もし係数“n”の素数因数が“A”から分かる場合、第1のステップは、いわゆる“中国人剰余(Chinese remainders)”技術を用いてスピードアップされても良い。
第1のステップは、前もって実行されても良い。更に、“x”の“k”値は、“A”の公開鍵の一部を形成しても良く、その場合に、プロトコルは直接第2のステップにおいて開始する。“x”のこれらの値は、信頼するに足る外部の構成要素によって計算されると共に、構成要素“A”に記憶されても良い。
証明書の第1の要素の事前の計算値が公開鍵に結合されるとき、処理の中のプロトコルは、直接ステップ11と同時に開始する。ステップ17において、“V”に等しい証明書の第1の要素“x”の値が存在するかどうかを、構成要素“B”がそれぞれに対して照合する、ステップ11及びステップ13の反復の数“k”を決定するのは構成要素“B”である。更に構成要素“A”は、証明書の第1の要素と対応する任意の数を知る唯一の構成要素である。
事前の計算値の最大の数を構成要素“A”のメモリに記憶することができるように、特に、構成要素“A”がチップカードの超小型回路に統合されるとき、クレジットカード、または携帯電話の場合には、数“x”は、“f”が例えば暗号化ハッシュ関数に等しい(または暗号化ハッシュ関数を含む)関数である値“f(x)”と交換されても良く、その場合に、認証方程式は“f(gey+c(mod n) ) = f(x)”となる。
全ての、またはいくらかの上述の変形例は結合されても良い。
方法に対する1つの有益な改良は、カーマイケル関数による係数nの写像“λ(n)”を構成要素“A”のメモリに記憶することである。
それによって認証方程式を修正せずに認証時間を減少させるために、証明書の第2の要素“y”のサイズを減少させるように、証明書の第2の要素“y”はステップ13において“λ(n)”を法とする計算が実行される。この実施方法において、任意の数“r”は、“λ(n)”より小さくなるように、ステップ11において有利に選択される。更に一般的に、式“{y = r - dc}”は、あらゆる式“{y = r - dc - iλ(n)}”と交換されても良く、ここで“i”はあらゆる整数、好ましくは正の整数である。
ステップ11の実行をスピードアップするために、総称数“g”に適用される指数の演算より前に、積“er”が“λ(n)”を法として計算される。
同等の手段は、“λ(n)”を“n”を法とする“g”の次数と交換すること、すなわち“n”を法として“gl=1(gの「エル」乗=「数字の1」)”となるような最も小さいゼロでない整数“l「エル」”、または、より一般的には、この次数“l”のあらゆる倍数と交換することから構成される。
図5を参照すると、構成要素“B”によって実行された認証計算は、いかなる安全性の損失もなしに、同様に“B”以外のあらゆる構成要素に部分的に委託されても良い。この場合、“A”は、証明書の第2の要素“y”を、これ以外の他の構成要素“C”に供給する。構成要素“C”は、証明書の第2の要素“y”から証明書の第3の要素“Y”を生成すると共に、証明書の第3の要素“Y”を構成要素“B”に送信する。第一に、積“dc”が任意の数“r”によって“マスクされている”ので、“y”を知ることは“d”に関する情報を提供しない。第二に、詐欺師が全ての部分から、すなわち、第1の構成要素“A”によって排他的に生成された証明書の第2の要素“y”なしで、“Y”を生成することは実質的に不可能である。こういうわけで、もしその因数分解が難しい問題であるならば、“n”,“e”,“x”,及び“c”を与えられて第4のステップの認証方程式を満たす“Y”の値を求めることは実行可能ではない。
公開鍵は、ペア“(n,e)”であると共に、構成要素“B”による構成要素“A”の認証または識別は、ここで説明されたプロトコルを“k”回繰り返すことによって実行され、ここでは“C”は“B”以外のあらゆる構成要素を意味する。従来技術の他のプロトコルと比較すると、例えば、離散的対数の場合において、公開鍵は“(n, e, g, v)”の四つ組であり、公開鍵のコンポーネントの数の減少は、安全性を損なわずに、実行されるべき演算の数を減少する。都合良く、本発明によれば、ここで使用される公開鍵はRSAタイプの鍵であり、記述されたプロトコルは、広く開発されたRSAの文脈に容易に統合される。
その方法は、図1を参照してステップ13に至るまでに説明された方法と同じ方法で実行される。図5を参照すると、構成要素“A”が秘密鍵“d”の写像“y”を中間の構成要素“C”に送信するという点でステップ13は修正される。上述のように、写像“y”は秘密鍵に関する情報を与えない。
構成要素“C”による写像“y”の受信は遷移14を有効とし、従ってそれは第5のステップ15をアクティブにする。
ステップ15において、証明書の第3の要素“Y = gy(mod n)”を計算すると共に、“Y”を“B”に送信するのは、この場合中間の構成要素“C”である。
その手続きは、図1を参照して遷移16及びステップ17によって説明されたのと同じ方法で継続される。しかしながら、第2の構成要素“B”が、直ちに証明書の第3の要素“Y”を指数“e”で累乗すると共に、それの結果に“gc(mod n)”を乗算しさえすればよいように、ステップ17は修正される。
物理的に、中間の構成要素“C”は、例えば、必ずしも安全性が保護されているとは限らない、チップカードのような認証要求者のセキュリティ装置(保護装置)、決済端末のような認証者のセキュリティ装置、さもなければコンピュータのような別の装置に含まれているチップに組み込まれる。その安全性は、構成要素“C”がそれ自身により適当な値“Y”、すなわち認証方程式が満足されていることを発見することができないという事実に依存している。
上述のプロトコルは、メッセージ認証プロトコル、またはディジタル署名スキームに変えられても良い。図3は、第2の構成要素“B”によって受信されたメッセージ“M”が第1の構成要素“A”により送信されたことを認証するのを可能にする方法のステップを示す。
第1のステップ20において、構成要素“A”は、“d”より非常に大きい第1の任意の整数“r”を生成すると共に、証明書の第1の要素の場合には、ステップ9と同様に“P = ger(mod n)”のような式を使用して証明書のポテンシャル“P”を計算する。“P”を構成要素“B”に送信する代りに、構成要素“A”は、例えば暗号化ハッシュ関数に等しい関数“h”を数“P”と共同でメッセージ“M”に適用するか、または“x = h(P,M)”のような暗号化ハッシュ関数を組み込むことによって証明書の第1の要素“x”を生成する。
次に、構成要素“A”は、メッセージ“M”及び証明書の第1の要素“x”を構成要素“B”に送信する。
構成要素“B”によるメッセージ“M”及び証明書の第1の要素“x”の受信は遷移21を有効とし、それは第2のステップ11をアクティブにする。その手続きは、その場合には、図1または図5のいずれかを参照して説明されたのと同じ方法で続く。
ステップ11において、構成要素“B”は、安全期間と呼ばれる期間“[O,t-l]”の中から任意に選択された整数“c”を構成要素“A”に送信する。このように、数“c”は、構成要素“A”及び構成要素“B”、更に対話を構成要素“A”及び構成要素“B”の間に浸透させている他の構成要素に共通である。
構成要素“A”による共通数“c”の受信は遷移12を有効とし、その場合にそれは第3のステップ13をアクティブにする。
ステップ13において構成要素“A”は“y = r - dc”を計算する。このように、構成要素“A”は、数“r”と、掛け算の係数が共通数“c”である数“d”との一次結合の形式で表された秘密鍵の写像“y”を生成する。任意の数“r”が非常に大きいと共に通知されないので、写像“y”の認識は積“dc”が回復されることを可能にせず、従って、その結果構成要素“A”により秘密の状態に維持されたままである秘密鍵数“d”の回復を可能にしない。構成要素“A”のみが数“d”を知っているので、構成要素“A”のみが、共通数“c”を結びつける写像を生成し得る。図3に示された例において、構成要素“A”は、秘密鍵写像“y”を構成要素“B”に送信するが、しかし、図5における例と同様にそれを中間の構成要素“C”に送信しても良い。上述のように、写像“y”は秘密鍵に関する情報を与えない。
構成要素“B”による写像“y”の受信は遷移16を有効とし、その場合にそれは第4のステップ22をアクティブにする。
ステップ22において、構成要素“B”は、ステップ17と同様に、式“V = gc+ey(mod n)”によって認証値“V”を計算すると共に、その場合には、認証方程式“h(V,M) = x”によって証明書の第2の要素が証明書の第1の要素と適合することを照合する。
関数“f”を使用する変形例において、認証方程式は“h(f(gc+ey(mod n)),M) = x”となる。
関数“f”を使用すると共に、中間の構成要素“C”を包含する変形例において、認証方程式は、“h(f(Yegc(mod n)),M) = x”となる。
メッセージ認証と異なり、もし構成要素“B”があらゆる他の構成要素からメッセージ“M”を受信するならば、構成要素“A”によるメッセージ“M”の署名が有効な状態を維持するという意味において、メッセージ署名は送り手とは無関係である。安全性の許容レベルを保証するために、公開鍵指数“e”に関して少なくとも24ビット以上のサイズが推奨される。
図2を参照すると、第1のステップ18において、構成要素“A”は、第1の任意の整数“r”を生成すると共に、証明書のポテンシャル“P = ger(mod n)”を計算する。
ステップ1のすぐ後の第2のステップ23において、構成要素“A”は、例えば暗号化ハッシュ関数に等しい関数“h”を数“P”と共同でメッセージ“M”に適用するか、または“x = h(P,M)”のような暗号化ハッシュ関数を組み込むことによって証明書の第1の要素“x”を生成する。
ステップ23において、構成要素“A”は、証明書の第1の要素“x”に等しいとみなされる共通数“c”を生成する。
ステップ23のすぐ後の第3のステップ24において、構成要素“A”は“y = r - dc”を計算する。このように、構成要素“A”は、数“r”と、掛け算の係数が共通数“c”である数“d”との一次結合の形式で表された秘密鍵の写像“y”を生成する。任意の数“r”が非常に大きいと共に通知されないので、写像“y”の認識は積“dc”が回復されることを可能にせず、従って、その結果構成要素“A”により秘密の状態に維持されたままである秘密鍵数“d”の回復を可能にしない。構成要素“A”のみが数“d”を知っているので、構成要素“A”のみが、共通数“c”を結びつける写像を生成し得る。上述のように、写像“y”は秘密鍵に関する情報を与えない。ペア“(x,y)”は、このペアが、メッセージ“M”と、構成要素“A”がこの署名の発信元(ソース)であることを保証する秘密鍵の要素との双方を統合するので、メッセージ“M”の署名を構成する。
その場合に構成要素“A”は、構成要素“B”へ、またはその後に署名されたメッセージを構成要素“B”に送ることができるであろう他の構成要素へ、メッセージ“M”及び署名“(x,y)”を送信する。
ステップ24においてメッセージ“M”が必ずしも送信されるとは限らないことに留意すべきである。メッセージ“M”のあらゆる変形がその署名と互換性を有する機会は殆どないので、メッセージ“M”は、その署名とは無関係にステップ19において送信されても良い。
構成要素“B”による、構成要素“A”または他の構成要素から発行している署名“(x,y)”を伴うメッセージ“M”の受信は遷移25を有効とし、その場合にそれはステップ26をアクティブにする。
ステップ26において、構成要素“B”は、共通数“c”を証明書の第1の要素“x”に等しいとみなす。
ステップ26において、構成要素“B”は、ステップ17と同様に、式“V = gc+ey(mod n)”によって認証値“V”を計算すると共に、その場合には、認証方程式“h(V,M) = x”によって証明書の第2の要素が証明書の第1の要素と適合することを照合する。
この場合、証明書の第1の要素と適合することは、ステップ23自身において生成された共通数“c”自身が証明書の第1の要素に適合するという事実に基づくこの等式によって照合される。
関数“f”を使用する変形例において、認証方程式は“h(f(gc+ey (mod n)),M) = x”となる。
本発明の方法の特に効率的な1つの実施例は、図4を参照してこれから説明されることになる。
ステップ27は、そのそれぞれと関連付けられたものが証明書のポテンシャル“P(j')”となる、1つ以上の任意の数の値“r(j')”を生成すると共に、構成要素“A”のメモリに記憶する。インデックス“j'”は、テーブルにおいて、各任意の数“r(j')”と関連付けられた証明書のポテンシャル“P(j')”との間の一致を証明する役目をする。各任意の数“r(j')”は、上述のように、秘密鍵“d”より実質的に大きいか、または“λ(n)”より小さいか、または“λ(n)”に等しいか、のいずれかとなるように生成される。証明書の各ポテンシャル“p(j')”は、“r(j')”を指数とする単純な数“G”の累乗(“Gr(j')”)として計算される。ステップ27は、“P(j')”の各計算後に、インデックス“j'”の各列に対して、長さ“k'”を法としてインデックス“j'”をインクリメントすることにより実行される。長さ“k'”は、テーブルの第1の列に“j' = O”のインデックスが付けられ、“j'”が再びゼロの状態になるときステップ27の実行が停止するか、またはテーブルに含まれる値を更新するためにステップ27の実行が継続するような、テーブルの段数(列数)を表す。長さ“k'”は、“k”以上の値を有する。
“P(j')”の計算は、“λ(n)”より小さいかまたは“λ(n)”に等しい任意の数“r (j')”を選ぶために、構成要素“A”、あるいは構成要素“A”から任意の数“r(j')”または値“λ(n)”を受信する信用のある構成要素によって実行される。“P(j')”の計算が構成要素“A”によって実行されるとき、ステップ27の各実行は、構成要素“A”のデジタル処理手段が接続されていないことが検出されるときに有効とされる遷移28によってアクティブにされる。
単純な数“G”は、第1のステップ29において決定される。総称数“g”がセットされ、その結果全てに知られたとき、構成要素“A”は単に公開鍵“(n,e)”を通知する必要があると共に、単純な数“G”が“n”を法として“G = ge”のように計算される。総称数“g”がセットされないとき、構成要素“A”は、“G”の値、例えば“G = 2”を選択すると共に、“n”を法として“g = Gd”を生成する。その場合に、総称数“g”は公開鍵と共に送信される。インデックス“j'”は、テーブルの第1の列に対してステップ27の最初の実行を始めるように、ゼロにセットされる。ステップ27の実行の各終りは、遷移28、及び優先順位に従って遷移40,41,42を調べるために、ステップ29の出力に戻すように接続される。
遷移42は、識別処理によって有効とされ、その場合にそれはステップ43及びステップ45の一組をアクティブにする。
ステップ43は、例えば任意の数を含むテーブルの現在のインデックス“j'”、及び関連づけられた証明書のポテンシャルに等しい、繰り返しインデックス“j”を配置する。
ステップ45において、構成要素“A”は、テーブルから証明書のポテンシャル“P(j)”を単に読み取ることによって第1の要素“x”を生成する。その結果、遷移42の検証によって検出された処理中に、証明書の第1の要素の生成は累乗計算を必要としない。証明書の第1の要素“x”は、このように迅速に送信される。
遷移1は、共通数“c”の受信によって有効とされ、その場合にそれはステップ2をアクティブにする。
ステップ2において、構成要素“A”は、上述のように証明書の第2の要素“y”を生成する。その操作がわずかな乗算、及び加算または減算に限定されるので、それらは計算時間をほとんど必要としない。証明書の第2の要素“y”は、このように共通数“c”の受信の後で迅速に送信される。
ステップ45の“k”回実行後にステップ29の出力に戻るために、“j”が“k”を法とする“j'”と異なることが遷移3において検知される限り、“j”が“k”を法とする“j'”に等しいことを遷移4が検知するまで、ステップ45及びステップ2を繰り返すように、ステップ2においてインデックス“p”は単一の増分で増加させられる。
遷移41は、メッセージ“M”の署名処理によって有効とされる。その場合に、遷移41はステップ44及びステップ46の一組をアクティブにする。
ステップ44は、例えば任意の数を含むテーブルの現在のインデックス“j'”、及び関連づけられた証明書のポテンシャルに等しい繰り返しインデックス“j”を配置する。メッセージ“M”はステップ44において送信される。
ステップ46において、構成要素“A”は、標準のハッシュ関数“h()”をメッセージ“M”、及びテーブルからの証明書のポテンシャル“P(j)”の単なる読み取り結果に適用することによって、証明書の第1の要素“x”を生成する。共通数“c”は、証明書の第1の要素“x”に等しいとみなされる。
ステップ46において、構成要素“A”は、上述のように証明書の第2の要素“y”を生成する。その操作がわずかな乗算、及び加算または減算に限定されるので、それらは計算時間をほとんど必要としない。その結果、遷移41の検証によって検出された処理中に、証明書の第1の要素“x”及び証明書の第2の要素“y”から構成される署名の生成は累乗計算を必要としない。署名“(x,y)”は、このように迅速に送信される。
ステップ46の“k”回実行後にステップ29の出力に戻るために、“j”が“k”を法とする“j'”と異なることが遷移3において検知される限り、“j”が“k”を法とする“j'”に等しいことを遷移4が検知するまで、ステップ46を繰り返すように、状況に応じて、ステップ46においてインデックス“j”は単一の増分で増加させられる。
遷移40は、メッセージ“M”を認証するための処理によって有効とされる。その場合に、遷移40はステップ43及びステップ47の一組をアクティブにする。
ステップ43は、例えば任意の数を含むテーブルの現在のインデックス“j'”、及び関連づけられた証明書のポテンシャルに等しい繰り返しインデックス“j”を配置する。
ステップ47において、構成要素“A”は、メッセージ“M”、及び証明書の第1の要素“x”を送信する。証明書の第1の要素“x”は、標準のハッシュ関数“h()”をメッセージ“M”、及びテーブルからの証明書のポテンシャル“P(j)”の単なる読み取り結果に適用することによって生成される。
その結果、遷移40の検証によって検出された処理中に、証明書の第1の要素の生成は累乗計算を必要としない。証明書の第1の要素“x”はこのように迅速に送信される。
遷移1は、共通数“c”の受信によって有効とされ、その場合にそれはステップ48をアクティブにする。
ステップ48において、構成要素“A”は、上述のように証明書の第2の要素“y”を生成する。その操作がわずかな乗算、及び加算または減算に限定されるので、それらは計算時間をほとんど必要としない。証明書の第2の要素“y”は、このように共通数“c”の受信の後で迅速に送信される。
ステップ47の“k”回実行後にステップ29の出力に戻るために、“j”が“k”を法とする“j'”と異なることが遷移3において検知される限り、“j”が“k”を法とする“j'”に等しいことを遷移4が検知するまで、ステップ47及びステップ48を繰り返すように、ステップ48においてインデックス“p”は単一の増分で増加させられる。
図6を参照すると、上述の構成要素“A”、構成要素“B”、及び構成要素“C”は、認証要求者用装置30、認証者用装置31、及び中間装置32によってそれぞれ物理的に形成される。
認証要求者用装置30は、例えばクレジットカード、または携帯電話加入者身分証明カード(mobile telephone subscriber identification card)のようなマイクロプロセッサカードである。認証者用装置31は、例えば銀行端末(bank terminal)、または電子商取引サーバ(electronic commerce server)、または移動体通信オペレータ装置(mobile telecommunication operator equipment)である。中間装置32は、例えばマイクロプロセッサカード付属装置(microprocessor card extension)、クレジットカード読み取り端末(credit card read terminal)、または、携帯電話の電子カード(mobile telephone electronic card)である。認証要求者用装置30は、通信手段34、及び計算手段37を有する。認証要求者用装置30は、侵入から保護される。通信手段34は、実行されるべき方法のバージョンに応じて、図1、図3、または図4を参照して説明されたステップ9、ステップ45、またはステップ47に従って証明書の第1の要素“x”、図1、及び図3を参照して説明されたステップ13に従って、図2を参照して説明されたステップ24、または図4を参照して説明されたステップ2、及びステップ48において証明書の第2の要素“y”、図1から図4を参照して説明されたステップ19、ステップ20、ステップ44、またはステップ47に従ってメッセージ“M”、または図2、及び図4を参照して説明されたステップ24、ステップ46に従って共通数“c”を送信するように設計される。通信手段34は、実行されるべき方法のバージョンが識別、または認証に相当するとき、同様に、図1から図4を参照して説明された遷移12、または遷移1に従って、共通数“c”を受信するように設計される。署名に相当する実行されるべき方法のバージョンに関して、通信手段34は共通数“c”を受信するように設計される必要はない。
計算手段37は、実行されるべき方法のバージョンに応じて、図1、または図5を参照して説明されたステップ9、及びステップ13、図2を参照して説明されたステップ18、ステップ19、ステップ23、及びステップ24、図3を参照して説明されたステップ13、及びステップ20、または図4を参照して説明されたステップを実行するように設計される。既知の方法において、計算手段37は、上述のような計算専用のマイクロプロセッサ及びマイクロプログラム、または結合回路を有する。
認証者用装置31は、通信手段35、及び計算手段38を有する。通信手段35は、実行されるべき方法のバージョンが認証に相当するとき、図1、図3、及び図5を参照して説明されたステップ11に従って、1つ以上の共通数“c”を送信するように設計される。署名に相当する実行されるべき方法のバージョンに関して、通信手段35は共通数“c”を送信するように設計される必要はない。通信手段35は、同様に、図1から図3、及び図5を参照して説明された遷移10、及び遷移16に従って、証明書の2つの要素“x”と“y”、図3を参照して説明された遷移21、及び遷移16に従って、証明書の第1の要素“x”、及び証明書の第2の要素“y”を伴うメッセージ“M”、または図5を参照して説明された遷移2、及び遷移8に従って、1つ以上の共通数“c”と秘密鍵の写像“y”を伴う証明書の第2の要素とメッセージ“M”を受信するように設計される。
計算手段38は、実行されるべき方法のバージョンに応じて、図1、及び図5を参照して説明されたステップ11、及びステップ17、図2を参照して説明されたステップ26、または図3を参照して説明されたステップ11、及びステップ22を実行するように設計される。既知の方法において、計算手段38は、上述のような計算専用のマイクロプロセッサ及びマイクロプログラム、または結合回路を有する。
中間装置32は、通信手段36、及び計算手段39を有する。通信手段36は、図5を参照して説明されたステップ15に従って、証明書の第3の要素“Y”を送信するように設計される。通信手段36は、同様に、図5を参照して説明された遷移14に従って、証明書の第2の要素“y”を受信するように設計される。
計算手段39は、図5を参照して説明されたステップ15を実行するように設計される。既知の方法において、計算手段39は、上述のような計算専用のマイクロプロセッサ及びマイクロプログラム、または結合回路を有する。
改良として、上述の計算手段、及び通信手段は、毎回異なる証明書の第1の要素、及び証明書の第2の要素に関して、上述のステップの実行を“k”回繰り返すように設計される。
第1の構成要素を識別するための本発明による方法のステップを示す図である。 メッセージに署名するための本発明による方法のステップを示す図である。 メッセージを認証するための本発明による方法のステップを示す図である。 多くの処理を容易にするための認証方法の第1の変形例を示す図である。 中間の構成要素を関与させる認証方法の第2の変形例を示す図である。
符号の説明
30 認証要求者用装置
31 認証者用装置
32 中間装置
34,35,36 通信手段
37,38,39 計算手段

Claims (18)

  1. RSA秘密鍵(d)に関連付けられたRSA公開鍵を用いて第2の構成要素(B)によって照合可能な証明書を、第1の構成要素(A)が前記RSA秘密鍵(d)を用いて生成するための処理に使用され得る暗号化方法であって、
    前記公開鍵が第1の指数(e)と係数(n)とを有すると共に、
    − 第1の構成要素(A)が証明書の第1の要素(x)を生成し、かなりの資源を消費するその第1の計算が処理とは無関係に実行され得る過程と、
    − 第1の構成要素(A)が、第1の要素(x)に関連付けられると共に、処理のために第1と第2の構成要素により明確に共有された共通数(c)に依存する証明書の第2の要素(y)を生成し、その第2の計算がほとんど資源を消費しない過程と、
    − 証明書の第1の要素(x)が、共通数(c)の全部または一部と証明書の第2の要素(y)が乗算された公開鍵の第1の指数(e)との一次結合に等しい第2の指数を有すると共に、係数(n)を法とする総称数(g)の第1の累乗と、関係式を通して関連付けられることを、第2の構成要素(B)が照合する過程とを有する
    ことを特徴とする暗号化方法。
  2. 第1の構成要素(A)が識別されることを可能にするために、
    − 第1の構成要素(A)により秘密の状態に維持された任意の整数(r)が乗算された公開鍵の第1の指数(e)と等しい第3の指数を有すると共に、係数(n)を法とする総称数(g)の第2の累乗を計算することにより、証明書の第1の要素(x)が第1の構成要素(A)によって生成され、
    − 第2の構成要素(B)によって、共通数(c)が安全期間“[O,t-l]”の中から任意に選択されると共に、その場合には証明書の第1の要素(x)が受信された後で送信され、
    − 第2の構成要素(B)により照合される関係式が、証明書の第1の要素(x)の累乗と総称数(g)の第1の累乗との間の関係の等式である
    ことを特徴とする請求項1に記載の暗号化方法。
  3. メッセージ(M)が署名されることを可能にするために、
    − メッセージ(M)と、第1の構成要素(A)により秘密の状態に維持された任意の整数(r)が乗算された公開鍵の第1の指数(e)と等しい第3の指数を有すると共に、係数(n)を法とする第2の累乗が計算された総称数(g)とに標準のハッシュ関数を適用することにより、証明書の第1の要素(x)が第1の構成要素(A)によって生成され、
    − 共通数(c)が証明書の第1の要素(x)に等しく、
    − 第2の構成要素(B)により照合される関係式が、証明書の第1の要素(x)と、メッセージ(M)及び総称数(g)の第1の累乗に適用された標準のハッシュ関数の結果との間の関係の等式である
    ことを特徴とする請求項1に記載の暗号化方法。
  4. 第2の構成要素(B)により受信されるメッセージ(M)が第1の構成要素(A)からくることを認証するために、
    − メッセージ(M)と、第1の構成要素(A)により秘密の状態に維持された任意の整数(r)が乗算された公開鍵の第1の指数(e)と等しい第3の指数を有すると共に、係数(n)を法とする第2の累乗が計算された総称数(g)とに標準のハッシュ関数を適用することにより、証明書の第1の要素(x)が第1の構成要素(A)によって生成され、
    − 第2の構成要素(B)によって、共通数(c)が安全期間“[O,t-l]”の中から任意に選択されると共に、その場合には証明書の第1の要素(x)が受信された後で送信され、
    − 第2の構成要素(B)により照合される関係式が、証明書の第1の要素(x)と、メッセージ(M)及び総称数(g)の第1の累乗に適用された標準のハッシュ関数の結果との間の関係の等式である
    ことを特徴とする請求項1に記載の暗号化方法。
  5. − 任意の整数(r)から共通数(c)が乗算された秘密鍵(d)を減算することにより、証明書の第2の要素(y)が第1の構成要素(A)によって生成され、
    − 第2の指数に等しい一次結合が、共通数(c)に関する単一の正の係数と、証明書の第2の要素(y)が乗算された公開鍵の第1の指数(e)に関する単一の正の係数とを有し、
    − 照合される関係式において、証明書の第1の要素が単一の指数による累乗とみなされる
    ことを特徴とする請求項2から請求項4のいずれか1項に記載の暗号化方法。
  6. − 共通数(c)が第1の共通数元素(a)と第2の共通数元素(b)とに分割されるので、第1の共通数元素(a)が乗算された任意の整数(r)から第2の共通数元素(b)が乗算された秘密鍵(d)を減算することにより、証明書の第2の要素(y)が第1の構成要素(A)によって生成され、
    − 第2の指数に等しい一次結合が、第1の共通数元素(a)に関するゼロの係数と、第2の共通数元素(b)に関する単一の正の係数と、証明書の第2の要素(y)が乗算された公開鍵の第1の指数(e)に関する単一の正の係数とを有し、
    − 照合される関係式において、証明書の第1の要素が第1の共通数元素(a)に等しい単一の指数による累乗とみなされる
    ことを特徴とする請求項2と請求項4のいずれかに記載の暗号化方法。
  7. 証明書の第2の要素(y)が、カーマイケル関数(λ)による係数(n)の写像を法として計算されるか、または係数(n)を法として求められた総称数(g)の次数の倍数を法として計算される
    ことを特徴とする請求項5と請求項6のいずれかに記載の暗号化方法。
  8. 任意の数(r)が秘密鍵(d)の値より非常に大きい
    ことを特徴とする請求項5と請求項6のいずれかに記載の暗号化方法。
  9. 任意の整数(r)が、カーマイケル関数(λ)による係数(n)の写像より小さいか、または係数(n)を法として求められた総称数(g)の次数の倍数より小さい
    ことを特徴とする請求項7に記載の暗号化方法。
  10. 第3の指数が、カーマイケル関数(λ)による係数(n)の写像を法として計算されるか、または係数(n)を法として求められた総称数(g)の次数の倍数を法として計算される
    ことを特徴とする請求項5から請求項9のいずれか1項に記載の暗号化方法。
  11. 秘密鍵(d)を指数とすると共に、係数(n)を法として累乗された単純な数(G)に等しい総称数(g)が、公開鍵と共に送信される
    ことを特徴とする請求項1から請求項10のいずれか1項に記載の暗号化方法。
  12. − 第3の構成要素(C)が、証明書の第2の要素(y)を受信し、証明書の第2の要素(y)を指数とし係数(n)を法として総称数(g)を累乗することによって証明書の第3の要素(Y)を生成すると共に、証明書の第3の要素(Y)を第2の構成要素(B)に送信し、
    − 証明書の第1の要素を証明書の第2の要素に関連付ける関係式を照合するために、第2の構成要素(B)が、係数(n)を法として証明書の第3の要素(Y)を第1の指数(e)で累乗すると共に、それの結果に共通数(c)を指数として累乗された総称数(g)を乗算する
    ことを特徴とする請求項1から請求項11のいずれか1項に記載の暗号化方法。
  13. 秘密の状態に維持されたRSA秘密鍵(d)を与えられると共に侵入から保護され、認証用装置との処理中に前記秘密鍵に関連付けられた公開鍵を用いて、認証要求者用装置(30)が証明書を発行したことの保証をその認証が可能にする証明書を生成するための認証要求者用装置(30)であって、
    前記RSA公開鍵が第1の指数(e)と係数(n)とを有すると共に、
    − 処理とは無関係に、証明書の第1の要素(x)を完全にまたは部分的に生成するように設計されると共に、証明書の第1の要素に関連付けられ、かつ処理に特有の共通数(c)に依存する証明書の第2の要素(y)を生成するように設計される計算手段(37)と、
    − 少なくとも証明書の第1及び第2の要素を送信するように設計されると共に、前記共通数(c)を認証者用装置に送信する、または前記共通数を認証者用装置から受信するように設計される通信手段(34)とを有する
    ことを特徴とする認証要求者用装置。
  14. − 計算手段(37)が、一方で、第1の任意の数(r)を生成すると共に、任意の整数(r)が乗算された公開鍵の第1の指数(e)に等しい第3の指数を有し、係数(n)を法とする総称数(g)の第2の累乗を計算するように設計され、
    − 計算手段(37)が、他方で、任意の整数(r)と共通数(c)が乗算された秘密鍵(d)との間の差分を取ることによって、または共通数(c)が共通数元素(a,b)に分割され、第1の共通数元素(a)が乗算された任意の整数(r)から第2の共通数元素(b)が乗算された秘密鍵(d)を減算することによって、証明書の第2の要素(y)を生成するように設計される
    ことを特徴とする請求項13に記載の認証要求者用装置。
  15. 計算手段(37)が、カーマイケル関数(λ)による係数(n)の写像を法とする操作を実行するか、または係数(n)を法として求められた総称数(g)の次数の倍数を法とする操作を実行するように設計される
    ことを特徴とする請求項14に記載の認証要求者用装置。
  16. 認証要求者用装置により秘密の状態に維持されたRSA秘密鍵(d)を与えられて認証要求者用装置から発行された証明書を前記秘密鍵に関連付けられた公開鍵を用いて照合するための認証者用装置(31)であって、
    前記RSA公開鍵が第1の指数(e)と係数(n)とを有すると共に、
    − 証明書の第1の要素(x)と、証明書の第2の要素(y)または第3の要素(Y)とを受信すると共に、証明書の第1の要素と第2または第3の要素とが受信される処理に特有の共通数(c)を、受信または送信するように設計される通信手段(35)と、
    − 証明書の第1の要素(x)が、共通数(c)の全部または一部と証明書の第2の要素(y)が乗算された公開鍵の第1の指数(e)との一次結合に等しい第2の指数を有すると共に、係数(n)を法とする総称数(g)の第1の累乗と、関係式を通して関連付けられることを照合するように設計される計算手段(38)とを有する
    ことを特徴とする認証者用装置。
  17. 通信手段が、証明書の第2の要素(y)を受信するように設計されると共に、
    計算手段(38)が、第2の指数と総称数(g)の第1の累乗とを計算するように設計される
    ことを特徴とする請求項16に記載の認証者用装置。
  18. 通信手段が、証明書の第3の要素(Y)を受信するように設計されると共に、
    計算手段(38)が、それの結果に共通数(c)を指数として有する第2の累乗が計算された総称数(g)を乗算するために、証明書の第3の要素(Y)を公開鍵の第1の指数(e)で累乗するように設計される
    ことを特徴とする請求項16に記載の認証者用装置。

JP2004518844A 2002-07-05 2003-06-27 処理中の計算を容易にするための暗号化方法、及び装置 Expired - Fee Related JP4494965B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0208474A FR2842052B1 (fr) 2002-07-05 2002-07-05 Procede et dispositifs cryptographiques permettant d'alleger les calculs au cours de transactions
PCT/FR2003/002000 WO2004006497A1 (fr) 2002-07-05 2003-06-27 Procede et dispositifs cryptographiques permettant d'alleger les calculs au cours de transactions

Publications (2)

Publication Number Publication Date
JP2005532723A true JP2005532723A (ja) 2005-10-27
JP4494965B2 JP4494965B2 (ja) 2010-06-30

Family

ID=29725211

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004518844A Expired - Fee Related JP4494965B2 (ja) 2002-07-05 2003-06-27 処理中の計算を容易にするための暗号化方法、及び装置

Country Status (13)

Country Link
US (1) US7760884B2 (ja)
EP (1) EP1520370B1 (ja)
JP (1) JP4494965B2 (ja)
KR (1) KR100984562B1 (ja)
CN (1) CN1666458B (ja)
AT (1) ATE420502T1 (ja)
AU (1) AU2003269005B2 (ja)
DE (1) DE60325732D1 (ja)
ES (1) ES2320752T3 (ja)
FR (1) FR2842052B1 (ja)
MX (1) MXPA04012758A (ja)
WO (1) WO2004006497A1 (ja)
ZA (1) ZA200409854B (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008532389A (ja) 2005-02-25 2008-08-14 クゥアルコム・インコーポレイテッド 認証のための小型の公開鍵を用いたデジタル署名
US7853018B2 (en) 2005-11-10 2010-12-14 Atallah Mikhail J Method and apparatus for hiding a private key
US20080013721A1 (en) * 2005-11-30 2008-01-17 Jing-Jang Hwang Asymmetric cryptography with discretionary private key
DE102014101936A1 (de) * 2014-02-17 2015-08-20 Infineon Technologies Ag Verfahren zum Permutieren von Datenelementen und Permutiervorrichtung
EP3334083A1 (en) * 2016-12-08 2018-06-13 Gemalto SA Method of rsa signature or decryption protected using a homomorphic encryption
US10355859B2 (en) * 2017-03-27 2019-07-16 Certicom Corp. Method and system for selecting a secure prime for finite field diffie-hellman

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0383985A1 (de) * 1989-02-24 1990-08-29 Claus Peter Prof. Dr. Schnorr Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
FR2716058B1 (fr) 1994-02-04 1996-04-12 France Telecom Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret.
FR2718311A1 (fr) * 1994-03-30 1995-10-06 Trt Telecom Radio Electr Dispositif de mise en Óoeuvre d'un système de signature de message et carte à puce comportant un tel dispositif.
FR2752122B1 (fr) 1994-07-28 1998-11-27 France Telecom Procede d'authentification a nombre reduit de bits transmis
FR2739469B1 (fr) * 1995-10-03 1997-12-26 Gemplus Card Int Procede de cryptographie a cle publique base sur le logarithme discret
FR2747257B1 (fr) * 1996-04-09 1998-09-11 Gilbert Henri Procede d'identification et/ou de signature
FR2763451B1 (fr) * 1997-05-13 1999-06-18 France Telecom Procede d'identification a cle publique utilisant deux fonctions de hachage
JP3613936B2 (ja) * 1997-07-07 2005-01-26 富士ゼロックス株式会社 アクセス資格認証装置
US6307936B1 (en) * 1997-09-16 2001-10-23 Safenet, Inc. Cryptographic key management scheme
US6411715B1 (en) * 1997-11-10 2002-06-25 Rsa Security, Inc. Methods and apparatus for verifying the cryptographic security of a selected private and public key pair without knowing the private key
CA2316227C (en) * 1998-01-02 2009-08-11 Cryptography Research, Inc. Leak-resistant cryptographic method and apparatus
US6788788B1 (en) * 1998-09-16 2004-09-07 Murata Kikai Kabushiki Kaisha Cryptographic communication method, encryption method, and cryptographic communication system
US6578144B1 (en) * 1999-03-23 2003-06-10 International Business Machines Corporation Secure hash-and-sign signatures
FR2792142B1 (fr) 1999-04-08 2001-06-01 France Telecom Procede d'authentification et de signature de message utilisant des engagements de taille reduite
JP2004527139A (ja) * 1999-10-01 2004-09-02 フランス テレコム エンティティの真性性またはメッセージの完全性を証明する方法、システム、および装置。
JP2001117823A (ja) * 1999-10-15 2001-04-27 Fuji Xerox Co Ltd アクセス資格認証機能付きデータ記憶装置
FR2809894B1 (fr) * 2000-05-31 2002-10-25 France Telecom Procede de cryptographie, microcircuit pour carte a puce et cartes a puce incluant un tel microcircuit
US20020041683A1 (en) * 2000-09-29 2002-04-11 Hopkins Dale W. Method for selecting optimal number of prime factors of a modulus for use in a cryptographic system
US20030059041A1 (en) * 2001-06-26 2003-03-27 Mackenzie Philip D. Methods and apparatus for two-party generation of DSA signatures
US7165181B2 (en) * 2002-11-27 2007-01-16 Intel Corporation System and method for establishing trust without revealing identity
JP2004226674A (ja) * 2003-01-23 2004-08-12 Renesas Technology Corp 情報処理方法

Also Published As

Publication number Publication date
AU2003269005B2 (en) 2008-01-10
AU2003269005A1 (en) 2004-01-23
JP4494965B2 (ja) 2010-06-30
EP1520370A1 (fr) 2005-04-06
ZA200409854B (en) 2006-10-25
KR100984562B1 (ko) 2010-10-01
ATE420502T1 (de) 2009-01-15
WO2004006497A1 (fr) 2004-01-15
EP1520370B1 (fr) 2009-01-07
FR2842052B1 (fr) 2004-09-24
MXPA04012758A (es) 2005-08-15
CN1666458B (zh) 2011-08-24
KR20050016988A (ko) 2005-02-21
US20050213769A1 (en) 2005-09-29
US7760884B2 (en) 2010-07-20
DE60325732D1 (de) 2009-02-26
ES2320752T3 (es) 2009-05-28
FR2842052A1 (fr) 2004-01-09
CN1666458A (zh) 2005-09-07

Similar Documents

Publication Publication Date Title
Kapoor et al. Elliptic curve cryptography
US8300811B2 (en) Method and device for processing data
KR101040588B1 (ko) 익명성을 제공하는 효율적인 신원기반 환서명 방법과 그 시스템
CN108833103B (zh) 射频识别标签和读取设备之间进行安全通信的方法和系统
US9882890B2 (en) Reissue of cryptographic credentials
EP2158719B1 (en) Method of generating a public key for an electronic device and electronic device
US9524144B2 (en) Data processing method and related device
Pietiläinen Elliptic curve cryptography on smart cards
JP4945026B2 (ja) 減少した計算組を伴う認証または署名プロセス
JP4494965B2 (ja) 処理中の計算を容易にするための暗号化方法、及び装置
Chande et al. An improvement of a elliptic curve digital signature algorithm
US7382875B2 (en) Cryptographic method for distributing load among several entities and devices therefor
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
Fan Ownership-attached unblinding of blind signatures for untraceable electronic cash
KR100899020B1 (ko) 공개키를 이용하여 암호화 작업을 수행하는 방법
JP2004222331A (ja) ユーザが電子商取引/情報サービス提供者の正当性をチェックできるようにする方法
Zhang et al. A Loss Reportable E-Cash Scheme without TTP Based on ECC
JPH0659626A (ja) ディジタル署名方式
JP2002542716A (ja) 署名または認証の検証方法
unther Horn et al. Authentication and Payment in Future Mobile Systems
JPH05128132A (ja) デイジタル署名方式
JPH07261664A (ja) プライバシー保護認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091006

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100106

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100309

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100408

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4494965

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140416

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees