JP2010509876A - 暗黙の証明書検証 - Google Patents

暗黙の証明書検証 Download PDF

Info

Publication number
JP2010509876A
JP2010509876A JP2009536569A JP2009536569A JP2010509876A JP 2010509876 A JP2010509876 A JP 2010509876A JP 2009536569 A JP2009536569 A JP 2009536569A JP 2009536569 A JP2009536569 A JP 2009536569A JP 2010509876 A JP2010509876 A JP 2010509876A
Authority
JP
Japan
Prior art keywords
key
certificate
communicator
signature
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009536569A
Other languages
English (en)
Other versions
JP5174828B2 (ja
Inventor
マリヌス ストルイーク,
Original Assignee
サーティコム コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by サーティコム コーポレイション filed Critical サーティコム コーポレイション
Publication of JP2010509876A publication Critical patent/JP2010509876A/ja
Application granted granted Critical
Publication of JP5174828B2 publication Critical patent/JP5174828B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

暗号システムを介して互いに通信し合う一対の通信者の間で共有されるべき暗号鍵を計算する方法が提供される。ここで一対の通信者のうちの一方の通信者は、鍵を生成するためにその一方の通信者の秘密鍵情報と組み合わされるべき他方の通信者の公開鍵情報の証明書を受け取る。その方法は、公開鍵情報と秘密鍵情報とを組み合わせることによって鍵を計算するステップと、証明書の検証に失敗した結果として一方の通信者での鍵が他方の通信者で計算された鍵とが異なるように、証明書の検証に対応する成分を計算に含めるステップとを含む。

Description

本発明は、公開鍵暗号法に関する。
(本発明の概要)
公開鍵暗号法は、一対の通信者の間の安全な通信を可能にし、一対の通信者のうちの一方の通信者が発するメッセージの認証を可能にするために用いられる。公開鍵暗号法において各通信者は、数学的関数による秘密鍵に関連した秘密鍵および公開鍵を利用する。その数学的関数は、関係者の秘密鍵が対応する公開鍵から獲得され得ないことを保証するために「困難な」数学的問題を提供する。そのような問題は、RSA暗号システムにおいて用いられる2つの大きな素数の積を因数分解する困難さ、およびデジタル署名アルゴリズム(DSA)において用いられる有限体上の離散対数問題の難しさ(intractabiliy)を含む。離散対数システムは、広く用いられ、そのようなシステムの特定の適用は、有限体上に定義された楕円曲線の点を使用する。楕円曲線暗号システム(ECC)として参照されるそのようなシステムは、他のシステムよりも小さい鍵の大きさで高いレベルの安全性を提供する。
メッセージが安全に交換されるべきときは、通信者間でそれぞれの秘密鍵を開示しないで共有される鍵を構築するために、公開鍵および秘密鍵が、概して鍵の合意プロトコルとして参照される特定のプロトコルにおいて用いられる。次いで、共有される鍵は、通信者間のメッセージを暗号化および復号するために用いられ得る。
楕円曲線公開鍵の鍵の合意プロトコルは、典型的には以下のステップを含む。
・鍵のコントリビューション(key contribution):各関係者は、任意の整数である秘密鍵と、かつ一時的な公開鍵を表す点を提供するためのシード点とから、任意の短期の(一時的な)公開鍵を生成し、対応する一時的な公開鍵(しかし、秘密鍵ではない)をもう一方の関係者に伝える。加えて、鍵のコントリビューションは、その長期の固定的な公開鍵を伝え得る。
・鍵の設定:各関係者は、他方の関係者から受け取った固定的および一時的な鍵に基づいて、および自身で生成した秘密鍵に基づいて、共有される鍵を計算する。楕円曲線の特性に起因して、両方の関係者は、同一の共有される鍵に到達する。
・鍵の認証:各関係者は、共通の鍵を計算する能力があり得る唯一の関係者が、本当に、その受け取られた通信する関係者である証拠を獲得するために、他方の関係者の長期の固定的な鍵の信頼性を検証する。
・鍵の確認:各関係者は、いずれかの関係者によって伝えられた鍵のコントリビューションに対応するストリング(string)を介して通例ではメッセージの認証チェック値を伝えることによって、他方の関係者に対し共通の鍵の所有を実証する。このことは、各関係者に対して他方の関係者の真の識別を確認し、その関係者が首尾よく共通の鍵を計算したことを証明する。このステップは、鍵の合意プロトコルの一部として、またはその後に、共有される鍵の使用を介して行われ得る。
鍵の認証ステップは、典型的には上記で説明された他のプロトコルステップとは独立に実行され、対応する公開鍵を手段として関係者とその秘密鍵との間の結合の信頼性を請け合う証明書の有効性をチェックすることに通例では関係する。別個の鍵の認証ステップが、(例えば、証明書の使用における)より大きな柔軟性を可能にするが、かなりのコストで行われる。なぜなら、鍵の合意プロトコルのオンラインでの計算コストは、鍵の認証ステップのコストと、鍵の設定ステップ中の鍵の計算のコストとの合計によって支配されるからである。
証明書は、本質的に通信者の公開鍵への信頼された関係者の署名と、発行する関係者の名前および証明書の保有者の名前のような他の情報とが一緒になったものである。ECCシステムにおいて、署名は、通例ではECDSAプロトコルを用いて実行され、検証されるが、他の署名プロトコルもまた、用いられ得る。例として、ECDSA署名生成は、ECCのドメインパラメーター、秘密鍵d、およびメッセージmに対して機能し、メッセージmは、証明書に関しては、通信者の公開鍵を含む。出力は、署名(r,s)である。ここで署名の成分rおよびsは、整数であり、以下のように進められる。
1.任意の整数
Figure 2010509876
 を選ぶ。nは、ドメインパラメーターのうちの1つである。
2.kG=(x,y)を計算し、xを整数
Figure 2010509876
 に変換する。ここでGは、楕円曲線E上の点であり、ドメインパラメーターのうちの1つである。
3.
Figure 2010509876
 を計算する。ここでr=0の場合には、ステップ1に戻る。
4.e=H(m)を計算する。ここでHは、出力がnのビット長さを超えないビット長さを有する、暗号ハッシュ関数を示す(この条件が満たされない場合には、Hの出力は切り捨て(truncate)られ得る)。
5.s=k−1(e+αr)mod nを計算する。ここでαは、署名者の長期の秘密鍵である。s=0の場合には、ステップ1に戻る。
6.対(r,s)をメッセージmのECDSA署名として出力する。
ECDSA署名検証は、いくつかのドメインパラメーター、長期の公開鍵Q(ここでQ=αG)、メッセージm、および上記で導かれた署名(r,s)に対して機能する。ECDSA署名検証の出力は、署名の拒絶または承認であり、以下のように進められる。
1.rおよびsが区間[1,n−1]にある整数であることを検証する。すべての検証が失敗する場合には、拒絶が返される。
2.e=H(m)を計算する。
3.w=s−1 mod nを計算する。
4.u=ew mod nおよびu=rw mod nを計算する。
5.R=uG+uQ=s−1(eG+rQ)を計算する。(上記の3および4から)
6.R=∞の場合には、署名は、拒絶される。
7.Rのx座標xを整数
Figure 2010509876
 に変換する。
Figure 2010509876
 を計算する。
8.ν=rの場合には、署名は、承認される。そうでない場合には、署名は、拒絶される。
ECGDSAのような他の署名生成および検証のステップが用いられ得ること、および署名の完全性を確認する特定のステップが時として省略されることは、認識されるであろう。
したがって、通信者の公開鍵、すなわち通信者の公開鍵および他の情報を含むメッセージmを認証するためには、証明書上の署名を検証することが必要である。
認証に続いて、各関係者が本当に同一であることを確認するのが通例である。2つの関係者AとBとの間で鍵の合意プロトコルの実行中、関係者Aが鍵Kを構築している間に、関係者Bは、鍵Kを構築する。鍵の確認は、Aが何らかの量f(K)(ここでfは、何らかの公知の関数である)をB(Bは、これを彼自身の計算された値f(K)と比較し、これらの値が一致する場合にのみ承認する(およびその逆))に伝えることによって、Kについての知識をBに対して実証することからなる。この関数fは、f(K)=f(K)の場合に圧倒的な確率でK=±Kとなり、共通の鍵が設定されるような関数である。
上記で留意されたように、鍵の認証ステップは、鍵の合意プロトコルにかなりの計算負荷を追加する。したがって、本発明の目的は、上記の不利な点を除去または軽減することである。
一般的に言って、本出願人は、共有される鍵と証明書検証との組み合わせを結合して計算することによって、証明書の暗黙の検証が後続の鍵の確認ステップにおいて獲得されることを認識した。
好ましくは、署名検証は、証明書の検証の失敗の結果、共有される鍵の値の間の不一致が生じるような同次の検証方程式、すなわち0に等しい方程式を用いる。
1つの局面において、暗号システムを介して互いに通信する一対の通信者の間で共有されるべき暗号鍵を計算する方法が提供され、一対の通信者のうちの一方の通信者は、鍵を生成するためにその一方の通信者の秘密鍵情報と組み合わされるべき他方の通信者の公開鍵情報の証明書を受け取り、その方法は、公開鍵情報と秘密鍵情報とを組み合わせることによって鍵を計算するステップと、証明書の検証に失敗した結果として一方の通信者での鍵が他方の通信者で計算された鍵とが異なるように、証明書の検証に対応する成分を計算に含めるステップとを含む。
別の局面において、コンピューター読み取り可能な媒体、暗号ユニット、および上記の方法のステップを実行するために構成されるシステムが提供される。
本発明の一実施形態がここで添付の図面を参照することにより説明される。
図1は、データ通信システムの概略を表示する図である。 図2は、第一の鍵の合意プロトコルを表示する図である。 図3は、さらなる鍵の合意プロトコルを表示する図である。
(本発明の詳細な説明)
したがって、図1を参照すると、暗号通信システムが、数字10によって一般的に示されている。システム10は、通信チャネル16を介して互いに通信し得る第一の通信者12および第二の通信者14を有する。通信チャネル16は、安全であり得るか、または、安全でないこともあり得る。各通信者は、選ばれた体上で定義される楕円曲線E上で機能する暗号化操作を実行するために、暗号モジュール18および暗号モジュール20をそれぞれ有する。暗号モジュール18は、以下に説明されるもののような暗号化操作を実行するように構成されるハードウェア、コンピューター読み取り可能なソフトウェア命令または両者の組み合わせであり得る。
通信者12は、長期の秘密鍵「a」と、対応する長期の公開鍵A=aGとを有し、ここでGはドメインパラメーターにおける特定の曲線上の基点である。
通信者12に対して公開鍵Aを認証するために、証明書Tが、信頼された機関から獲得される。証明書は、信頼された機関の公開鍵Qを用いて検証され得る公開鍵Aに関する信頼された機関の署名を含む。
同様に、通信者14は、長期の秘密鍵bと、対応する長期の公開鍵B=bGと、その公開鍵の証明書Tとを有する。証明書Tは、証明書Tを獲得するために用いられたものとは異なる別の信頼された関係者によってか、または別の公開鍵を用いて、署名された可能性がある。
典型的には、通信者12、14はそれぞれ、対応する一時的な公開鍵xG、yGを生成するセッションまたは一時的な秘密鍵として用いるための、任意の整数x、yを生成し得る。しかしながら、明確さのために、共通の鍵が各通信者の長期の鍵を用いて設定される第一の実施形態が、説明される。
図2に示された第一の鍵の合意プロトコルにおいて、固定的(static)な楕円曲線ディフィ・ヘルマン(Diffie Hellman)(ECDH)鍵生成が、証明書T、Tを用いて使用され、ECDSAを用いて署名される。
最初に、通信者12、14は、公開鍵A、Bおよびそれぞれの証明書T、Tを交換する。共通の鍵は、K=abGであり、K=abGは、各関係者に対して、受け取られた公開情報および各関係者が有する秘密情報から計算され得る。その結果、K=aBおよびK=bAである。
鍵の信頼性を検証するために、証明書TおよびTを検証するのが通常である。しかしながら、本実施形態において、鍵の生成および認証は、効率性を提供するために、結合して実行される。上記で留意されたように、ECDSAは、その検証において、
Figure 2010509876
 を提供する。したがって、証明書が検証する場合には、s−1(eG+rQ)−R=Σ=Oである。Rの値は、点Rのx座標の値になるようにrを取ることによって署名成分rから復元され得る。x座標は、2つの可能なyの値を提供し、曖昧さを解決するために、正しい値の指示が署名に含まれるか、または、Rが計算されることを可能にする正しい値として値のうちの1つの値を選ぶために予め合意されたルールがある。Rを復元する付加的な技術は、米国特許出願第11/333,296号において開示され、その内容は、参照により援用される。
各通信者はまた、証明書T、Tから署名(r,s)を有する。鍵Kを計算するために、通信者12は、公開鍵情報と秘密鍵情報とを組み合わせ、署名の検証に対応する成分を含むことによって鍵Kを計算する。したがって、
=abG+λ(s −1(eG+r)−R
この式で、
λは、任意の値である。
、sは、証明書Tの署名成分である。
は、証明書におけるメッセージmのハッシュである。証明書は、通信者14の公開鍵Bを含む。そして、
は、rから復元される値である。
証明書がBの公開鍵を認証する場合には、署名検証成分
Figure 2010509876
 がゼロであるべきであり、したがって、計算の結果が鍵K=aBをもたらすべきであることは、認められるであろう。
同様に、通信者14は、r、s、およびRの値が証明書Tと関連するK=abG+λ(s −1(eG+r)−R)を計算する。さらにまた、証明書が認証する場合には、これは、鍵K=bAをもたらすべきである。
通信者12、14がそれぞれの鍵K、Kを計算した後で、それらは、共通の鍵の機能である情報を交換するための鍵確認ステップを実行する。受け取られた情報が計算されたものと一致しない場合には、鍵は、拒絶される。
共通の鍵が異なる1つの理由は、証明書の検証部分から獲得された値がゼロでなく、証明書が認証していないことを示していることである。通信者12、14それぞれに対して通例では異なる各計算中に任意の値λを挿入することによって、認証プロセスの有効性が高められる。
こうして、証明書が認証する場合には、共通の鍵の値および、Oに対応する関係を結合して計算することによって、計算が削減される。
さらなる実施形態が図3に示され、MQV鍵合意プロトコルが、ECDSAを用いて署名された証明書の認証と組み合わされている。
図3の実施形態において、通信者12および14はそれぞれ、長期の秘密鍵a、b、長期の公開鍵A、B、短期の秘密鍵x、yおよび短期の公開鍵X、Yを有する。ECMQVにおいて、共通の鍵は、
K=cX+dB
の形式である。
ここで、
c=x+ag(x)(mod n)かつ
d=cg(Y)(mod n)。
ここで、gは、楕円曲線の点を適切な整数に写像する公知の表現関数である。
各通信者がもう一方の通信者の証明書T、Tを有していると仮定すると、各通信者はそれぞれ、もう一方の通信者に短期の公開鍵X、Yを送る。
通信者12は、s12=(x+ag(x))mod nを計算する。通信者14は、s14=(y+bg(y))mod nを計算する。次いで、共通の鍵Kは、K=s12(Y+g(y)B)=s14(X+g(x)A)として計算され得る。
鍵を認証するためには、通信者の長期の公開鍵の証明書が認証されなければならない。したがって、上記で説明されたように、共通の鍵Kは、通信者12によって
=s12(Y+g(y)B)+λΣ=(x+ag(x))(Y+g(y)B)+(λ −1)G+(λ −1)Q+λ
として、かつ、通信者14によって、
=s14(Y+g(x)A)+λΣ=(y+bg(y))(X+g(x)A)+(λ −1)G+(λ −1)Q+λ
として、計算される。
各通信者に対して、λは、任意の整数であり、Σは、それぞれの証明書に対する署名検証の関係s−1(eG+rQ)−Rである。
Σ=Oと仮定すると、鍵は、一致し、証明書は、暗黙に認証される。
獲得された効率性は、点の倍増操作の節約および重複点の倍増戦略を用いる可能性に帰せられ得る。
安全性の観点から、λの任意の値は、大きさ
Figure 2010509876
 の組から選ばれるべきである。なぜなら、この組が、ECDLP問題を解決することの作業負荷に対応しているからである。λが選ばれる組は、変化され得、後続の変形は安全である。λがt<(logn)/2である大きさ2の組から抜き出される場合には、鍵の認証強度は、tビットまで下がり得る。λのそのような選択とともに、aB+λRを計算することは、BまたはB−Rを伴うwt(a)点の追加を伴い、wtは、値aの二進表現のハミング重みである。これは、aBの計算に伴う点の追加と同一の数である。
量(λes−1)G+(λrs−1)Qは、その内容が参照により援用されるVanstone他、Springer、「Guide to Elliptic Curve Cryptography」、98から101ページにおいてより十分に説明されている、隣接していない形式(NAF;non−adjacent form)を用いて計算され得る。
この方法でKを評価することの作業負荷は、およそmの点の追加およびmの倍増であり、mは、曲線のビットの大きさである。
比較によって、K=aBを評価することおよびECDSA署名を検証することは、それぞれ5m/6の追加および2mの倍増の作業負荷を有する。
したがって、30%の改善は、達成可能である。上記の米国特許出願第11/333,296号において示されている「高速検証(fast verify)」技術が用いられる場合には、10%程度の節約が可能である。
二進表現におけるよりむしろNAF表現において整数とともにλを考慮することによって、さらなる改善を行い得る。
Figure 2010509876
 であるから、
Figure 2010509876
 が得られる(Lにおけるすべての整数は、NAF形式であり、そのため一意的であることに留意されたい)。上記と類似の分析を実行して、ここで与えられたアプローチは、およそ5m/6の追加およびmの倍増をもたらす。この場合、ここで与えられたアプローチは、上記で説明された二進法のアプローチによる1.70mの追加でなく、1.52mの追加をもたらし、その結果、個別の計算(Fast Verify、Ordinary ECDSA Verifyのそれぞれ)と比較してそれぞれ22%、47%の効率性の改善をもたらす。この場合、aB−λR=(a−λ+λ)B−λ(R−B)−λ(R+B)と書き得る。ここでλ=λ+λであり、λおよびλは、それぞれ、aの対応する成分と同じまたは異なる符合を有するλの成分を示していることに留意されたい。
Vanstone他、Springer、「Guide to Elliptic Curve Cryptography」、99ページにおいて説明されたw−NAF表現(w≧2)に対して、これをさらに一般化し得る。そのとき、
Figure 2010509876
 であり、ここでq:=2w−1+1およびt:=wt(a)である(すべての整数は、w−NAF形式であり、それ故一意的である)。
Figure 2010509876
 と仮定する場合には、
Figure 2010509876
 を得る。より詳細な分析は、aB+λRにおける追加が、aBが2w−2ではなくおよそ2(w+1)(w−2)/2のより大きな予め計算するコストを有することを除いて、(同一の方法を用いることによって)aBにおける追加と同一のコストで計算され得る。格納コストは、1対3(w=2)、2対8(w=3)、4対24(w=4)、8対64(w=5)である。したがって、格納コストが選択の尺度である場合には、比較は、いくぶん誤解を招きやすい。8つの点を格納し、w−NAF技術のみを用いる場合には、本技術を用いて0.166mの追加対0.25mの追加というコストで、aB+λRを計算するための5−NAFまたは3−NAF計算を用いてaBを計算し得る。したがって、本技術は、aB+λRの評価における0.083mの付加的な追加という代償でECDSA署名の評価におけるmの倍増を節約することが考えられ得る。
このアプローチは、基本的にECDSA検証手順から倍増操作を除去する。すなわち、ECDSA検証の徐々に増加するコストは、それぞれ(スケーリングの後で)0.85mの追加(Fast Verify)、1.02mの追加(普通のECDSA検証)ではなく、m/2の追加のみとなる。すなわち、ECDSA検証手順の70〜104%の効率性改善を表している。重複点倍増の方法でできることをより十分に利用することによって、およびウィンドウイング(windowing)とw−NAFの方法とを用いることによって、さらなる改善が行われ得る。
MQVおよびECDSAを含む図3の実施形態について、KA’=cY+dB+λΣ=cY+dB−λR+((λes−1)G+(λrs−1)Q)である。
Figure 2010509876
 とし、ここで整数xは、二進表現で表されるとする。cおよびdがJSF表現である場合には、
Figure 2010509876
 が得られ、この式は、重み
Figure 2010509876
 (ここでm:=logn)を有する。その結果、
Figure 2010509876
 である。このλの選択によって、K+λRを計算することは、まさにwt(c,d)点の追加を含む。λは、このゼロでない成分が予め計算された点Y、B、Y−B、Y+Bに対してcY+dBにおける対応する係数と同じ符号を有するように選ばれる(このことは、すべてのλが、実際に、一意的であることを保証する)。その結果、すべての計算は、(12の点を要求するのでなく)8つの点Y、B、Y+B、Y−B、R+Y、R+B、R+Y+B、R+Y−Bに関係して行われ得る。いったんλが上記で示されたように決定されれば、量(λes−1)G+(λrs−1)Qは、ジョイント(joint)NAF形式を用いて計算され得る。K’をこのように評価することに伴う負荷の全体は、ほぼmの点の追加およびmの点の倍増である。明らかに、改善は、重複点倍増の方法でできることを利用することによって、およびウィンドウイングとw−NAFの方法とを用いることによって可能である。しかしながら、主たる改善は、組み合わされた計算が、倍増操作に対する相当な節約の見通しを提供することである。
上記のアプローチは、単純な側面チャネル攻撃(side channel attack)への抵抗を実施するために用いられ得る。詳細は、以下の通りである。
Figure 2010509876
 とし、ここですべての整数を二進表現であるとみなす。
Figure 2010509876
 であるから、
Figure 2010509876
 が得られる。ここで、λ=λ+λであるとする。ここでλは、Lの任意の要素であり、λは、supp(c)の外にあるすべての点に対して1に、そうでないときは0に設定されている。cY+dB+λRの計算は、5つの予め計算された点Y、B、Y+B、B+R、およびY+B+Rを用いて実行され得る。いったんλがR、Q、およびGを含む7つのゼロでない部分の合計を用いて上記で示されたように決定されれば、量λR+((λes−1)G+(λrs−1)Q)が計算され得る。22=5×3+3+4の点を予め計算することによって、重複点の倍増を用い、正確にm+22の点の追加およびmの点の倍増を用いて、K’を計算し得る。λの選択は、点の倍増のための二進法の方法における各ステップが追加を伴うことを保証する。λ:=0を選ぶことによって、わずか19の点のみを予め計算することが可能であり得るが、そのときは反復につき1つの追加を実行し、側面チャネル攻撃が可能であった可能性がある。このことは、そのような条件が獲得されるまで別のλを選ぶことによって保証された可能性があるが、これは、側面チャネルの情報をそれ自身で漏洩し得る。上記のアプローチは、Kの計算中にダミー点の追加操作を付加することに基づく単純な側面チャネル攻撃の防止の方法とほぼ同じコストを有するが、ECDSA署名検証も遂行する。このように、ECDSA署名検証は、このアプローチを用いて実質的に自由にできる。
ΣがGによって生成される素数位数部分群にあることが仮定される。Σは、十分に大きな位数を有するべきである。ΣがECDSA検証の方程式に対応する場合には、この条件は、hR≠Oであることをチェックすることによって、容易にチェックされ得る。ここで、hは曲線の余因子である。
上記で説明されたアプローチは、倍増操作の節約および重複点の倍増戦略を利用する見込みに起因して、性能の改善につながる。さらには、このアプローチは、鍵の合意プロトコルの実行中に鍵の認証ステップと鍵の設定ステップとを組み合わせることに限定されず、それは、いくつかの鍵を計算し、いくつかの楕円曲線の方程式を検証しなければならない任意の環境に適用され得る(事実、鍵は、秘密である必要さえない)。このこと、本アプローチが、計算された鍵が正しいか否か検証し得る環境において最も有用であるゆえんである(なぜなら、このことは、同次の楕円曲線の方程式Σ=0が成り立つか否かに関する判定をもたらし得るからである)。このように、本アプローチは、計算された鍵の知識を本当に実証するすべての環境において効果的に機能する。
検証を鍵の計算と組み合わせる方法は、上記で説明されたよりもより一般的な環境において機能する。多数のECDSA署名(証明書の連鎖)の検証は、計算および検証の方程式と各検証に対して異なるλとの組み合わせを用いることによって獲得され得る。同様に、任意の楕円曲線の検証および多数の楕円曲線の方程式のバッチ検証が可能である。
ANSI X9.63NIST SP800−56aにおけるECDHスキーム(ECIES、Unified Model、STS、ECMQV、ElGamal暗号化を含む)を用いた鍵の計算もまた、可能である。正確さを提供された秘密でないECC点の計算は、例えばECDSA証明書を用いたPV署名においてチェックされ得る。同様に、正確さを提供された多数のECC点の計算がチェックされ得る。
また、そのような技術を(超楕円曲線、識別に基づく暗号システム等を含む)他の代数的構造における操作に適用することも可能である。
単純な側面チャネルの抵抗を提供するλの使用は、実質的に自由である。
上記は特定の例示的な実施形態に関して説明されてきたが、その変形は以下に続く特許請求の範囲内で可能であることが認識されるであろう。

Claims (13)

  1. 暗号システムを介して互いに通信する一対の通信者の間で共有されるべき暗号鍵を計算する方法であって、該一対の通信者のうちの一方の通信者は、該鍵を生成するために該一方の通信者の秘密鍵情報と組み合わされるべき他方の通信者の公開鍵情報の証明書を受け取り、該方法は、
    該公開鍵情報と該秘密鍵情報とを組み合わせることによって該鍵を計算するステップと、
    該証明書の検証に失敗した結果として、該一方の通信者での鍵が該他方の通信者で計算された鍵とは異なるように、該証明書の検証に対応する成分を該計算に含めるステップと
    を含む、方法。
  2. 前記検証は、前記証明書に含まれる署名を利用する、請求項1に記載の方法。
  3. 前記成分は、前記証明書が検証するときにゼロに等しい、請求項2に記載の方法。
  4. 前記証明書の検証を隠すために、任意の要素が前記成分に含まれる、請求項3に記載の方法。
  5. 前記任意の要素は、前記署名の検証において繰り返される反復を提供することにより、側面チャネル攻撃を禁止するように選ばれる、請求項4に記載の方法。
  6. 前記暗号システムは、楕円曲線暗号システムである、請求項1に記載の方法。
  7. 前記計算は、重複点の倍増を用いて実行される、請求項6に記載の方法。
  8. 前記証明書は、楕円曲線署名プロトコルによって実行される署名を含む、請求項6に記載の方法。
  9. 前記署名プロトコルは、ECDSAである、請求項8に記載の方法。
  10. 前記公開鍵情報は、楕円曲線の点を表し、公開鍵情報と前記秘密鍵情報との組み合わせが点の倍増を含む、請求項6に記載の方法。
  11. 前記署名の検証は、重複点の倍増を要求する、請求項10に記載の方法。
  12. 前記計算は、重複点の倍増を用いて実行される、請求項11に記載の方法。
  13. 前記一方の通信者によって生成された鍵が前記他方の通信者の鍵と一致することを確認するステップを含む、請求項1に記載の方法。
JP2009536569A 2006-11-15 2007-11-15 暗黙の証明書検証 Active JP5174828B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US86601306P 2006-11-15 2006-11-15
US60/866,013 2006-11-15
PCT/CA2007/002049 WO2008058388A1 (en) 2006-11-15 2007-11-15 Implicit certificate verification

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2012247137A Division JP2013034251A (ja) 2006-11-15 2012-11-09 暗黙の証明書検証

Publications (2)

Publication Number Publication Date
JP2010509876A true JP2010509876A (ja) 2010-03-25
JP5174828B2 JP5174828B2 (ja) 2013-04-03

Family

ID=39401282

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2009536569A Active JP5174828B2 (ja) 2006-11-15 2007-11-15 暗黙の証明書検証
JP2012247137A Withdrawn JP2013034251A (ja) 2006-11-15 2012-11-09 暗黙の証明書検証

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2012247137A Withdrawn JP2013034251A (ja) 2006-11-15 2012-11-09 暗黙の証明書検証

Country Status (7)

Country Link
US (2) US8069346B2 (ja)
EP (1) EP2082524B1 (ja)
JP (2) JP5174828B2 (ja)
CN (1) CN101641905B (ja)
CA (1) CA2669145C (ja)
SG (1) SG174833A1 (ja)
WO (1) WO2008058388A1 (ja)

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2935823C (en) 2005-01-18 2019-01-15 Certicom Corp. Accelerated verification of digital signatures and public keys
WO2008058388A1 (en) * 2006-11-15 2008-05-22 Certicom Corp. Implicit certificate verification
WO2009090519A1 (en) * 2008-01-15 2009-07-23 Nxp B.V. Efficient reconstruction of a public key from an implicit certificate
US8327146B2 (en) * 2008-03-31 2012-12-04 General Motors Llc Wireless communication using compact certificates
US8582775B2 (en) * 2009-02-12 2013-11-12 General Motors Llc Method of securing and authenticating data using micro-certificates
CN102111759A (zh) * 2009-12-28 2011-06-29 中国移动通信集团公司 一种认证方法、系统和装置
WO2011120125A1 (en) * 2010-03-31 2011-10-06 Irdeto Canada Corporation System and method for protecting cryptographic assets from a white-box attack
US8644500B2 (en) * 2010-08-20 2014-02-04 Apple Inc. Apparatus and method for block cipher process for insecure environments
WO2012126085A1 (en) * 2011-03-18 2012-09-27 Certicom Corp. Keyed pv signatures
US8675869B2 (en) * 2011-03-23 2014-03-18 Blackberry Limited Incorporating data into an ECDSA signature component
US9003181B2 (en) * 2011-03-23 2015-04-07 Certicom Corp. Incorporating data into cryptographic components of an ECQV certificate
US11418580B2 (en) 2011-04-01 2022-08-16 Pure Storage, Inc. Selective generation of secure signatures in a distributed storage network
US10298684B2 (en) 2011-04-01 2019-05-21 International Business Machines Corporation Adaptive replication of dispersed data to improve data access performance
US8874991B2 (en) * 2011-04-01 2014-10-28 Cleversafe, Inc. Appending data to existing data stored in a dispersed storage network
WO2012151653A1 (en) 2011-05-06 2012-11-15 Certicom Corp. Validating a batch of implicit certificates
CA2976795C (en) 2011-06-10 2021-08-03 Certicom Corp. Implicitly certified digital signatures
WO2012170130A1 (en) * 2011-06-10 2012-12-13 Certicom (U.S.) Limited Implicitly certified public keys
US8745376B2 (en) * 2011-10-14 2014-06-03 Certicom Corp. Verifying implicit certificates and digital signatures
WO2013116916A1 (en) * 2012-02-09 2013-08-15 Irdeto Canada Corporation System and method for generating and protecting cryptographic keys
CA2855099C (en) * 2013-06-27 2016-05-17 Infosec Global Inc. Key agreement protocol for generating a shared secret key for use by a pair of entities in a data communication system
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
EP2905718A1 (en) * 2014-02-05 2015-08-12 Thomson Licensing Device and method certificate generation
US9705683B2 (en) * 2014-04-04 2017-07-11 Etas Embedded Systems Canada Inc. Verifiable implicit certificates
FR3027753B1 (fr) * 2014-10-28 2021-07-09 Morpho Procede d'authentification d'un utilisateur detenant un certificat biometrique
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
WO2016187690A1 (en) * 2015-05-26 2016-12-01 Infosec Global Inc. Key agreement protocol
EP3420669B1 (en) 2016-02-23 2021-03-24 Nchain Holdings Limited Cryptographic method and system for secure extraction of data from a blockchain
WO2017145010A1 (en) 2016-02-23 2017-08-31 nChain Holdings Limited Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system
EP3420675B1 (en) 2016-02-23 2020-03-11 Nchain Holdings Limited Blockchain implemented counting system and method for use in secure voting and distribution
US11126976B2 (en) 2016-02-23 2021-09-21 nChain Holdings Limited Method and system for efficient transfer of cryptocurrency associated with a payroll on a blockchain that leads to an automated payroll method and system based on smart contracts
LT3268914T (lt) 2016-02-23 2018-11-12 nChain Holdings Limited Bendros paslapties, skirtos saugiems informacijos mainams, nustatymas ir hierarchiniai determinuoti kriptografiniai raktai
JP6528008B2 (ja) 2016-02-23 2019-06-12 エヌチェーン ホールディングス リミテッドNchain Holdings Limited 秘密共有のための楕円曲線暗号化を利用したパーソナルデバイスセキュリティ
BR112018016822A2 (pt) 2016-02-23 2018-12-26 Nchain Holdings Ltd método implementado por computador para realizar uma troca de entidades entre um primeiro usuário e um segundo usuário, processador e meio legível por computador
EP3748903A1 (en) 2016-02-23 2020-12-09 Nchain Holdings Limited Universal tokenisation system for blockchain-based cryptocurrencies
EP3420507A1 (en) 2016-02-23 2019-01-02 Nchain Holdings Limited Tokenisation method and system for implementing exchanges on a blockchain
BR112018016819A2 (pt) 2016-02-23 2018-12-26 Nchain Holdings Ltd método e sistemas para proteger um recurso digital controlado utilizando uma tabela de dispersão e livro-razão distribuídos e um blockchain
JP6942136B2 (ja) 2016-02-23 2021-09-29 エヌチェーン ホールディングス リミテッドNchain Holdings Limited デジタルコンテンツの制御及び配信のためのブロックチェーンにより実施される方法
US11308486B2 (en) 2016-02-23 2022-04-19 nChain Holdings Limited Method and system for the secure transfer of entities on a blockchain
BR112018016782A2 (pt) 2016-02-23 2018-12-26 Nchain Holdings Ltd sistema e método implementado por computador configurado para controlar uma transferência feita através de um blockchain
WO2017145019A1 (en) 2016-02-23 2017-08-31 nChain Holdings Limited Registry and automated management method for blockchain-enforced smart contracts
FR3048319B1 (fr) * 2016-02-25 2018-03-09 Commissariat A L'energie Atomique Et Aux Energies Alternatives Methode de gestion de certificats implicites au moyen d'une infrastructure a cles publiques distribuee
CN108574571B (zh) * 2017-03-08 2021-12-03 华为技术有限公司 私钥生成方法、设备以及系统
US10511591B2 (en) * 2017-05-08 2019-12-17 Amazon Technologies, Inc. Generation of shared secrets using pairwise implicit certificates
US10798086B2 (en) 2017-05-08 2020-10-06 Amazon Technologies, Inc. Implicit certificates using ring learning with errors
US10516543B2 (en) 2017-05-08 2019-12-24 Amazon Technologies, Inc. Communication protocol using implicit certificates
CN110999203B (zh) * 2017-05-08 2021-09-07 亚马逊技术有限公司 用于生成共享密钥的方法和系统
CN108306734B (zh) * 2017-12-28 2021-01-01 飞天诚信科技股份有限公司 一种通信链路保护方法及装置
US10797868B2 (en) * 2018-05-31 2020-10-06 Irdeto B.V. Shared secret establishment
US11263630B2 (en) 2018-10-12 2022-03-01 Blackberry Limited Method and system for single purpose public keys for public ledgers
US20210073359A1 (en) * 2019-09-10 2021-03-11 Michael Boodaei Secure one-time password (otp) authentication
WO2022088094A1 (zh) * 2020-10-30 2022-05-05 华为技术有限公司 一种安全通信方法及装置
CN114007220B (zh) * 2021-10-20 2023-12-08 武汉大学 短期阶段会话密钥生成方法、认证密钥协商方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08328472A (ja) * 1995-05-26 1996-12-13 Korea Telecommun Authority 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法
JP2004507156A (ja) * 2000-08-11 2004-03-04 テレフオンアクチーボラゲツト エル エム エリクソン 任意通信サービスのセキュリティ確保

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996033565A1 (en) * 1995-04-21 1996-10-24 Certicom Corp. Method for signature and session key generation
CA2176972C (en) * 1995-05-17 2008-11-25 Scott A. Vanstone Key agreement and transport protocol with implicit signatures
WO1999020020A1 (en) * 1997-10-14 1999-04-22 Certicom Corp. Key validation scheme
CA2235359C (en) * 1998-03-23 2012-04-10 Certicom Corp. Implicit certificate scheme with ca chaining
US6243467B1 (en) * 1998-07-23 2001-06-05 The United States Of America As Represented By The National Security Agency Method of elliptic curve cryptographic digital signature generation and verification using reduced base tau expansion in non-adjacent form
IL128183A0 (en) * 1999-01-21 1999-11-30 L P K Information Integrity Lt Systems and methods for certifying public keys in digital signatures and key-agreements
WO2001095068A2 (en) * 2000-06-09 2001-12-13 Certicom Corp. A method for the application of implicit signature schemes
US7142670B2 (en) * 2001-08-14 2006-11-28 International Business Machines Corporation Space-efficient, side-channel attack resistant table lookups
US7702105B1 (en) * 2004-04-23 2010-04-20 Oracle America, Inc. Accelerating elliptic curve point multiplication through batched inversions
CA2935823C (en) * 2005-01-18 2019-01-15 Certicom Corp. Accelerated verification of digital signatures and public keys
WO2008058388A1 (en) * 2006-11-15 2008-05-22 Certicom Corp. Implicit certificate verification

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08328472A (ja) * 1995-05-26 1996-12-13 Korea Telecommun Authority 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法
JP2004507156A (ja) * 2000-08-11 2004-03-04 テレフオンアクチーボラゲツト エル エム エリクソン 任意通信サービスのセキュリティ確保

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
CSNG200400121002; 伊藤孝一,伊豆哲也,武仲正彦: '"Address-bit DPAによるOK-ECDHとOK-ECDSAの解析報告"' 電子情報通信学会技術研究報告 Vol.102,No.323, 20020913, p.17-24, 社団法人電子情報通信学会 *
JPN6011062673; Mohamad Badra, Ibrahim Hajjeh: '"Key-Exchange Authentication Using Shared Secrets"' Computer Volume 39, Issue 3, 200603, p.58-66, [online] *
JPN6011062674; Adrian Antipa, Daniel Brown, Robert Gallant, Rob Lambert, Rene Struik, and Scott Vanstone: '"Accelerated Verification of ECDSA Signatures"' LNCS, Selected Areasin Cryptography Vol.3897, 200508, p.307-318 *
JPN6011062677; Katsuyuki OKEYA and Kouichi SAKURAI: '"A Scalar Multiplication Algorithm with Recovery of the y-Coordinate on the Montgomery Form and Ana' IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences VOL.E85-A, NO.1, 20020101, p.84-93, 社団法人電&#x5B *
JPN6011062679; Jiin-Chiou CHENG, Wen-Chung KUO, and Chi-Sung LAIH: '"Correction on "A Scalar Multiplication Algorithm with Recovery of the y-Coordinate on the Montgom' IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences VOL.E87-A, NO.7, 2004 *
JPN6011062681; 伊藤孝一,伊豆哲也,武仲正彦: '"Address-bit DPAによるOK-ECDHとOK-ECDSAの解析報告"' 電子情報通信学会技術研究報告 Vol.102,No.323, 20020913, p.17-24, 社団法人電子情報通信学会 *

Also Published As

Publication number Publication date
CA2669145C (en) 2013-11-05
US20120047363A1 (en) 2012-02-23
JP5174828B2 (ja) 2013-04-03
US20100023771A1 (en) 2010-01-28
CN101641905A (zh) 2010-02-03
SG174833A1 (en) 2011-10-28
CN101641905B (zh) 2012-09-05
CA2669145A1 (en) 2008-05-22
EP2082524A4 (en) 2010-08-18
US8380984B2 (en) 2013-02-19
WO2008058388A1 (en) 2008-05-22
EP2082524A1 (en) 2009-07-29
US8069346B2 (en) 2011-11-29
EP2082524B1 (en) 2013-08-07
JP2013034251A (ja) 2013-02-14

Similar Documents

Publication Publication Date Title
JP5174828B2 (ja) 暗黙の証明書検証
JP5329676B2 (ja) 鍵合意プロトコルの加速
JP5205398B2 (ja) 鍵認証方式
US8369517B2 (en) Fast scalar multiplication for elliptic curve cryptosystems over prime fields
US8594324B2 (en) Key validation scheme
EP2276196B1 (en) Method for the Application of Implicit Signature Schemes
JP4741503B2 (ja) 公開鍵を検証可能に生成する方法及び装置
US9571274B2 (en) Key agreement protocol
US20150288527A1 (en) Verifiable Implicit Certificates
CN111355582A (zh) 基于sm2算法的两方联合签名和解密的方法及系统
US20160352689A1 (en) Key agreement protocol
EP2495907A1 (en) System and method for reducing computations in the derivation of a publick key corresponding to an implicit certificate
CN110557260B (zh) 一种sm9数字签名生成方法及装置
WO2016187690A1 (en) Key agreement protocol
Mangipudi et al. Authentication and Key Agreement Protocols Preserving Anonymity.
Arazi Certification of dl/ec keys
Chakraborty et al. Preventing Unknown Key-Share Attack using Cryptographic Bilinear Maps
CA2892787A1 (en) Key agreement protocol

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100602

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120229

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120709

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121109

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20121122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121228

R150 Certificate of patent or registration of utility model

Ref document number: 5174828

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250