JP2010528512A - 検証エンティティによるエンティティの認証方法 - Google Patents
検証エンティティによるエンティティの認証方法 Download PDFInfo
- Publication number
- JP2010528512A JP2010528512A JP2010508886A JP2010508886A JP2010528512A JP 2010528512 A JP2010528512 A JP 2010528512A JP 2010508886 A JP2010508886 A JP 2010508886A JP 2010508886 A JP2010508886 A JP 2010508886A JP 2010528512 A JP2010528512 A JP 2010528512A
- Authority
- JP
- Japan
- Prior art keywords
- entity
- authenticated
- bit
- vector
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Abstract
検証エンティティによりエンティティを認証する方法。前記エンティティは1対の秘密鍵XおよびYを共有している。秘密鍵XおよびYは、n × m (n, m > 1)のバイナリ行列であり、前記方法は、以下のステップ:・前記検証エンティティ(2)および前記認証されるエンティティ(1)によりそれぞれ無作為に抽出されたnビットのバイナリベクトルaおよびbを交換するステップと、前記認証されるエンティティ(1)が、mビットのノイズバイナリベクトルcを無作為に抽出するステップと、(I)であるmビットの応答ベクトルzを計算し検証エンティティ(2)に送信するステップと、・前記検証エンティティが、誤りベクトル(II)のハミング重み(220')を計算するステップと、・r個の誤りベクトルeのハミング重みが、確率ηの関数であるパラメータ(T, t)と、比較関係(230')を満たす場合に、認証を承認する(240')ステップと、をr回(r≧1)繰り返すことを特徴とする。
Description
本発明は、検証エンティティによりエンティティを認証する方法に関する。
本発明は、特にRFID(radio-frequency identification)タグにおける接触または非接触での、超低価格の電子マイクロチップの認証のための暗号プロトコルの分野におけるアプリケーションに特に有利である。
例えばRFID型などの低価格電子マイクロチップは、標識付け(labeling)または、対象の追跡(薬の処方、図書館の本など)ならびに製造、および公共交通機関のチケットといった電子チケットの検証といった多くの応用技術に使用されている。
それらの応用技術に関係なく、マイクロチップを偽造すること、特に、それらをコピーまたは複製すること、またはそれらが送信するデータを再現することによるによる不正を防ぐ必要がある。それらの応用技術をそういった侵害から保護するために、マイクロチップがマイクロチップリーダーと情報をやりとりする(interact)場合に、その認証を必要とすることは避けられない。
A. Juels and S.A. Weis, "Authenticating Pervasive Devices with Human Protocols", in V. Shoup, Editor, Advances in Cryptology - Crypto 05, Lecture Notes in Computer Science, Vol. 3126, pp. 293-308, Springer Verlag
しかし、低価格マイクロチップなどの認証されるエンティティとマイクロチップリーダーなどの検証エンティティ(verification entity)間に使用されるどの認証プロトコルも、通常、配線論理タイプ(hard-wired logic)であり、このタイプのマイクロチップの非常に限定された計算リソース(computation resource)を考慮しなければならない。
RFIDマイクロチップの要件に合うように特殊設計された対称HB+(Hopper-Blum)認証プロトコルが、近年提唱されている(A. Juels and S.A. Weis, "Authenticating Pervasive Devices with Human Protocols", in V. Shoup, Editor, Advances in Cryptology - Crypto 05, Lecture Notes in Computer Science, Vol. 3126, pp. 293-308, Springer Verlagを参照)。
図1は、認証されるエンティティと検証エンティティ間におけるHB+プロトコル下でのデータ交換(exchange)を示している。
この図から分かるように、例えば、RFIDマイクロチップである認証されるエンティティおよび、例えば、マイクロチップリーダーである検証エンティティは、nビットのバイナリベクトルからなる1対の秘密鍵xおよびyを共有する。これらの秘密鍵は、マイクロチップの記憶手段10およびマイクロチップリーダーの記憶手段20に格納されている。
前記HB+プロトコルは、r回の連続した逐次代入(successive iteration)を展開する(unfold)。それぞれの逐次代入(iteration)において、マイクロチップは、nビットのバイナリベクトルbを無作為に抽出し(draw)(ブロック100)、前記マイクロチップリーダーに送信する(1)。同様に、前記マイクロチップリーダーは、nビットのバイナリベクトルaを無作為に抽出し(ブロック200)、前記マイクロチップに送信する(2)。前記ベクトルbおよびaの無作為抽出は、一様(uniform)確率法則に従って達成される。
その後前記マイクロチップは、前記マイクロチップリーダーにより発信された(launched)チャレンジ(challenge)aを計算することにより(ブロック120)応答し、それに以下の
で示されるノイズzにより影響をうける応答を送信する(3)。ここで、
は、モジュロ2(modulo 2)スカラー積演算を表し、
は、モジュロ2和を表している。ノイズビットνは、マイクロチップにより無作為に抽出される(ブロック110)。ノイズビットνは、η<1/2の確率で値1であり、(1−η)の確率で値0である。
前記マイクロチップリーダーは、前記受信した応答zが以下の式
を満たさなければ、現在の逐次代入を拒否する(ブロック210)。この場合において、拒否された逐次代入の数nbrのカウンタは、1ユニット増加される(ブロック220)。逐次代入の数nbtのカウンタによりカウントされた(ブロック250)r回の逐次代入の最後に、拒否された逐次代入の数nbrであるカウンタの数が所与のしきい値t以下のとき(ブロック230)かつそのときに限り前記認証が承認される(ブロック240)。もちろん値tは、確率ηの関数であり、単純な値tとしては例えばt=r×ηである。
HB+プロトコルが推奨のデータ交換は、r回の3パスの逐次代入(r iterations of three passes)で構成されているが、b、a、zのr値を計算するとともに同時に送信する3パスのデータ交換1回に減らすことも可能である。
前記HB+プロトコルの利点は、認証計算がかなりシンプルである点にある。
さらに、そのロバストネスは、LPN(Learning Parity with Noise:雑音存在下におけるパリティ値の同定)問題の雑音下の線形システムの解法を見つけることの困難性による。最後に、HB+プロトコルは、項
を備えない雑音下における応答という点において、それとは異なる歴史的に早期のHBプロトコルと比較し、バイナリベクトルbにより誘導されたマスキング効果が、秘密鍵yと結合されるという利点を有する。HBプロトコルは、攻撃者(adversary)が、一定のチャレンジaを送信しマイクロチップリーダーからの応答を受信するという攻撃に弱かった。最も多い応答は
であり、aが知られている。第1ステップにおいて十分な数のa値のために
を得て、第2ステップで、線形システムを解くことによりxを導き出すことが可能であった。
しかし、実際には、HB+プロトコルは、効率的に使用することを妨げるという欠点を有している。
既に指摘したように、第1の欠点は、このプロトコルはaに対するいくつかの積極的攻撃に対して耐性があるけれども、それにもかかわらず、攻撃者が複数の連続した認証(成功/失敗)の結果を利用できる場合に遭遇する他の攻撃への脆弱性が残っている。
そのような攻撃はマイクロチップリーダーからマイクロチップへチャレンジaが送信される場合に前記チャレンジaを妨害し、連続してそのビットを改変する。例えば、aの第1ビットが改変された場合、この改変後においても結果が変わらなかったならば、秘密ベクトルxの第1ビットは0であることが明白である。逆に、結果が変わったならば、xの第1ビットはおそらく1と等しい。xの第2ビットを見つけるためにaの第2ビットを修正すれば十分であり、xのnビット全てを得るために、nビットまで同様に繰り返す。
HB+プロトコルの第2の欠点は、過度の誤認警報(false alarm)を生成することである。誤認警報は、正当なマイクロチップの認証拒絶と定義される。以下の値: n = 224 ビット、η = 0.25、r = 100の逐次代入、t = η×r = 25において、例えば、誤認警報率は45%であり、これは全く受け入れられるものではない。偽陽性率(false positive rate)、すなわち無作為に応答するチップの認証の成功は、3 × 10-7付近である。
tに期待値t = η×r = 25の代わりに、例えば35といった高い値をとった場合、前記誤認警報率は、1%にまで下がる。これは、依然として受け入れられないが、偽陽性率は、およそ1.7 × 10-3まで増加する。
最後に、HB+の第3の欠点は、マイクロチップとマイクロチップリーダー間の通信において過度の複雑さ導くことである。前と同じ数値において、それぞれの認証に44900ビットのデータ交換が必要であることが示される。すなわち、100回の逐次代入のそれぞれにおいて、bに対し224ビット、aに対し224ビット、結果zに対し1ビットである。
たとえ10000bpsのビットレートであったとしても、マイクロチップリーダーは、マイクロチップの認証に4秒以上も必要とし、これは、マイクロチップへの電力供給に関する問題はいうまでもなく、人間工学の観点からも耐え難い。
そこで、本発明は、検証エンティティによるエンティティ認証の方法を提供する。前記エンティティは、1対の秘密鍵XおよびYを共有している。前記方法は、前記秘密鍵XおよびYが n × m (n, m > 1)のバイナリ行列であるという点、および、以下のステップ:
・認証されるエンティティおよび検証エンティティが、検証エンティティおよび認証されるエンティティからそれぞれ無作為に抽出されたnビットのバイナリベクトルaおよびbのデータ交換するステップと、前記認証されるエンティティが、mビットのノイズバイナリベクトルcを無作為に抽出するステップと、以下の
で与えられるmビットの応答ベクトルzを計算し検証エンティティに送信するステップ。ここで、前記mビットのそれぞれは、1/2未満の確率ηで1である。
・検証エンティティが、誤りベクトル
のハミング重みを計算するステップ。
・rの誤りベクトルのハミング重みが、確率ηの関数であるパラメータと比較関係を満たした場合に、その後認証を承認する(accepting)ステップ。
を含み、r回(r≧1)繰り返すことに特徴がある。
したがって、本発明の方法は、HB+プロトコルと比較して、秘密鍵Xを再構成することを目的とするチャレンジaのビットを改変する攻撃への耐性が、改善されている。もし、aの第1ビットが改変された場合、その改変は、Xのm列の第1ビットとそのビットとの積(product)に影響し、積aXのmビットにも影響する。したがって、応答z全体にわたって影響する。したがって、aのビットの改変の認証結果の効果を観測することにより、秘密鍵Xに関するどの情報も推測することは、不可能である。なぜならzの複数のmビットが、その数またはその位置を示す(tell)ことなく改変されうるからである。HB+プロトコルにおいては、aの1ビットの改変は、1ビットのみからなる応答zに直接影響する。
本発明の方法の実施においては、1回だけの逐次代入によりあたかもm回の逐次代入がなされたかのように、それぞれの逐次代入の応答zは、mビットで記述される。
この結果、第一極限状態(first extreme situation)において、次数という因数により逐次代入の数を推測することが可能である。そして、実際には、逐次代入の数を1回のみに限定することは、誤認警報率の点ではHB+プロトコルのパフォーマンスを保つが、交換されるビットの数は、r(2n + 1)から(2n + m)まで、すなわちn = 224、およびm = 128において44900ビットから576ビットまで減少し、かなりの改善を示す。この例は、HB+プロトコルでは想定できない逐次代入の回数rを1に限定する場合の本発明の恩恵を十分に証明する。
第二極限状態において、逐次代入の回数は同じである。交換されるデータの総量は、わずかに増加するが誤認警報率は、微々たるものである。
もちろん、実際的な状態は、誤認警報率を減少させるとともにマイクロチップとマイクロチップリーダー間の交換されるビットの数を減少させるという観点において、これら2つの極限状態間から選択されなければならない。
それはそれとして、本発明は、誤認警報率および当該2つのエンティティ間で交換される情報の総量に関しHB+プロトコルよりもよいパフォーマンスを提供することが明白である。
本発明の一構成例において、前記行列XおよびYは、Toeplitz行列である。以下においてさらに詳しく示されるが、この有利な特徴は、マイクロチップおよびマイクロチップリーダーの記憶容量を、他の行列が選択された場合のn × mにかえて(n + m − 1)の範囲にする点にある。他の利点は、単純化された積aXおよびbYの計算である。
本発明は、検証エンティティにより認証されるエンティティも提供する。前記エンティティは、1対の秘密鍵XおよびYを共有し、前記認証されるエンティティは、n × m (n, m > 1)のバイナリ行列からなる秘密鍵XおよびYを格納する手段と、前記検証エンティティと伝送する手段と、以下のステップ:
・nビットのバイナリベクトルbを無作為に抽出し、検証エンティティへ送信するステップ。
・検証エンティティから、nビットのバイナリベクトルaを受信するステップ。
・mビットのノイズバイナリベクトルcを無作為に抽出するステップと、前記mビットのそれぞれは、1/2未満の確率ηで1であり、
であるmビットの応答ベクトルzを計算し検証エンティティへ送信するステップ。
をr回(r≧1)実施するように構成されている計算手段と、を含むことを特徴とする。
本発明は、また、プログラムが、前記認証されるエンティティの計算手段のコンピュータフォーミングパートにより実行される場合に、前記認証されるエンティティにより実施されるステップを実行するためのプログラム命令を含むコンピュータプログラムを提供する。
本発明は、さらに、1対の秘密鍵XおよびYを認証されるエンティティと共有している検証エンティティを提供する。前記検証エンティティは、n × m (n, m > 1)のバイナリ行列からなる秘密鍵XおよびYを格納する手段と、前記認証されるエンティティと伝送する手段と、以下のステップ:
・認証されるエンティティからnビットのバイナリベクトルbを受信するステップ。
・nビットのバイナリベクトルaを無作為に抽出し、前記認証されるエンティティに送信するステップ。
・前記認証されるエンティティからmビットの応答ベクトルzを受信するステップ。
・誤りベクトル
のハミング重みを計算するステップと、r個の誤りベクトルeのハミング重みが、所定の確率ηの関数であるパラメータ(T, t)と比較関係を満たす場合には、認証を承認するステップ。
をr回(r≧1)実施するように構成された計算手段と、を含むことを特徴とする。
をr回(r≧1)実施するように構成された計算手段と、を含むことを特徴とする。
本発明は、最後に、プログラムが、前記検証エンティティの前記計算手段のコンピュータフォーミングパートにより実行される場合に、前記検証エンティティにより実施されるステップを実行するプログラム命令を含むコンピュータプログラムを提供する。
以下の説明は、添付の図面を参照して限定されない例として提示するものであり、本発明の本質が何に存するか、どのように実行されるのかを説明するものである。
図2は、例えば、接触または非接触のマイクロチップリーダーである検証エンティティが、この例ではRFIDマイクロチップである認証されるエンティティの同一性の検証を可能とする認証方法を示している。
図2に示されている前記方法は、対称法(symmetrical method)と呼ばれ、2つのエンティティ(マイクロチップとマイクロチップリーダー)が同じ秘密鍵を共有する。これらのXおよびYで指定されている鍵は、n行m列からなるn × m (n, m > 1)のバイナリ行列である。前記秘密鍵XおよびYは、前記マイクロチップの格納手段10およびマイクロチップリーダーの格納手段20に格納されている(図2、図3、図4を参照).
本発明の方法は、r回(r≧1))繰り返される複数のステップで構成されている。「r回」という表現は、前記マイクロチップと前記マイクロチップリーダー間の交換が、図2に示されているように順次にr回の3パスの逐次代入が実施されることを示している。逐次代入の回数nbtは、カウンタによりそれぞれの逐次代入ごと、または、3パスと並列的に、1づつ増加させられる(ブロック250)。それぞれのパスは、あるエンティティから他のエンティティへのデータのrアイテムの伝送を含む。
図2における例では、前記マイクロチップ1は、それぞれの逐次代入ごとに無作為に抽出し(ブロック100)、マイクロチップリーダー2に、1列のnビットのバイナリベクトルbを送信する(1)。その後前記マイクロチップリーダー2は、前記マイクロチップ1に、無作為に抽出された1列のnビットのバイナリベクトルであるチャレンジa(ブロック200)を送信する(2)。前記バイナリベクトルbおよびaは、0と1ビットの一様分布(uniform distribution)にしたがって無作為に抽出される。
前記チャレンジaに応答して、前記マイクロチップ1は、モジュロ2和
(ブロック120')であるmビットの一列のバイナリベクトルzを、前記マイクロチップリーダー2に送信する(3)。ここで、cは、確率法則にしたがって、マイクロチップ1により無作為に抽出されたmビットの1列のノイズバイナリベクトルである(ブロック110')。cのそれぞれのビットは確率法則にしたがって、等確率、または1/2未満であるパラメータη未満の確率、またはパラメータηと等しい確率で1に等しいことが保証される。そのために、ノイズベクトルcのそれぞれのビットは、パラメータ η < 1/2によりベルヌーイの法則にしたがって、他とは無関係に無作為で抽出される。前記ノイズベクトルcは、前記ビットの和(ハミング重み)が、η < 1/2において値 η × m 以下であるmビットの全てのベクトルから無作為で抽出してもよい。もちろん、前記ノイズベクトルcは、バイナリベクトルbを無作為に抽出するのと同時に、マイクロチップにより無作為に抽出してもよい。前記バイナリベクトルbは、前記ベルトルaの積極的攻撃をマスクするのに使用されることを想起すべきである。
それぞれの逐次代入において、前記マイクロチップリーダー2は、以下の式
で与えられるmビットの誤りベクトルe計算する(ブロック210')。ここで、zは、前記マイクロチップ1により送信された応答ベクトルであり、誤りベクトルeのハミング重みPH(e) (block 220')は、このようにして得られる。
r回の逐次代入の後、マイクロチップリーダー2によるマイクロチップ1の認証の承認又は拒絶が、それぞれの逐次代入において得られる誤りベクトルeのr個のハミング重みPH(e)と、確率ηの関数であるパラメータとの比較から決定される。
いくつかのストラテジがまた可能である。
図2に代表される第1ストラテジは、r個の誤りベクトルeのハミング重みの和S (ブロック221')が、例えばr(η+ε)mである所与のしきい値Tより下の場合(ブロック230')かつそのときに限り認証を承認する(ブロック240')。ここで、εは、1/2以下のマージンであり、おそらくゼロである。
第2ストラテジは、それぞれの逐次代入において得られる誤りベクトルeのハミング重みがしきい値T以下である場合かつそのときに限り認証を承認する。
最後に、第3ストラテジは、それぞれの逐次代入において得られる誤りベクトルeのハミング重みが値tと等しい場合かつそのときに限り認証を承認する。
第2および第3ストラテジにおいて、前記パラメータtは、値(η+ε)mを有する。ここでεは、1/2以下のマージンであり、おそらくゼロである。
r = 1, n = 256, m = 128, η=0.25をとり、長さ128のバイナリベクトルから無作為に抽出したノイズベクトルc、そのハミング重みを32、すなわち η × mであり、マイクロチップの認証は、上記第3ストラテジ下において、それぞれの逐次代入における誤りベクトルeの重みがきっかり32と等しい場合かつそのときに限り承認される。ここでε = 0である。
この例において、データ交換の全体の長さは640ビット、すなわち(2n + m)ビットのみである。その一方で、誤認警報率は、厳密にゼロであり、zの乱数値での攻撃による儀陽性率は、10-8付近であり、全体として実際上受け入れられる。
図2において、前記マイクロチップ1と前記マイクロチップリーダー2間の一連の交換は、以下のとおりである:前記マイクロチップリーダーにbを送信するステップ、前記マイクロチップにaを送信するステップ、前記マイクロチップがcを無作為に抽出するステップ、および前記マイクロチップリーダーにzを送信するステップ。異なるシーケンスであっても等しく使用可能である点に注意しなければならない。すなわち:前記マイクロチップにaを送信するステップ、前記マイクロチップがbおよびcを無作為に抽出するステップ、および前記マイクロチップリーダーがbおよびzを送信するステップ。このシーケンスは、データ交換の回数を減少させるという利点を有する。
行列XおよびYを格納するのに必要なメモリ量を大いに減少させ、前記マイクロチップと前記検証エンティティにより実施される計算の複雑さをおおいに減少させる実施においては、それぞれの行列XおよびYは、n × m未満の複数のビットを使用する前記マイクロチップ内に定義されているすべてのn × m行列の狭義の部分集合(strict subset)内から選択されうる。例えば、それぞれの行列を格納するのに必要なメモリ量は、XおよびYがToeplitz行列の場合には(n + m - 1)のみに減少可能である。すなわち、全ての係数において対角線に沿って一定係数の行列であることから、全体が第1行および第1列の係数により決定される。Xが、Toeplitz行列であって、xi,jがi番目の行およびj番目の列の係数である場合には、xi,jは、iがj以上の場合には、xi−j+1,1と等しく、その他の場合には、x1,j−i+1と等しい。
以下の実施は非常に効率的に、バイナリベクトルである例えばaと、(n + m - 1)個のそれの第1行およびそれの第1列の係数によって定められたToeplitz行列である例えばXの、ビットごとの積を、mビットの2つのレジスタを使用して計算する。前記レジスタの1つは前記行列の現在の行を計算するために使用され、他方は0に初期化され、ベクトル-行列積の部分結果を記憶するために使用される。第1レジスタは、Xの第1行で初期化される。その後、ベクトルaのそれぞれのビットが以下の方法で処理される。aの現在のビットが1である場合には、Xの現在の行の値は、部分結果記憶レジスタの現在の値と排他的論理和演算子を使用し、ビットごとに結合される。そうでなければ、このレジスタの現在の値は、修正されない。どちらにしても、現在の行が行列Xの最後の行でない場合には、その行列の現在の行を含む前記レジスタは、このレジスタの最も左のセルに、新しい現在の行に対応する第1列の係数をコピーすることに続いてこのレジスタの中身を右方向に1ビットローテートすることで更新される。
1対の秘密鍵XおよびYを共有している2つのエンティティにおいて、図3に示されているように、マイクロチップリーダー2により認証されるマイクロチップ1は、n × m (n, m > 1)のバイナリ行列からなる秘密鍵XおよびYを格納する手段10と、マイクロチップリーダー2と伝送する手段12と、図2を参照して説明されている方法の以下のステップ:
・nビットのバイナリベクトルbを無作為に抽出し、マイクロチップリーダー2に送信するステップ。
・nビットのバイナリベクトルaをマイクロチップリーダー2から受信するステップ。
・mビットのノイズバイナリベクトルcを無作為に抽出するステップと、前記mビットのそれぞれは、1/2以下の確率ηで1であり、以下の
であるmビットの応答ベクトルzを計算し、マイクロチップリーダー2へ送信するステップ。
、をr回実行するように構成されている計算手段11と、を含む。
、をr回実行するように構成されている計算手段11と、を含む。
同様に、図4における、マイクロチップ1を認証するためのマイクロチップリーダー2は、n × m (n, m > 1)のバイナリ行列からなる秘密鍵XおよびYを格納する手段20と、認証されるマイクロチップ1と伝送する手段22と、図2を参照して説明されている方法の以下のステップ:
・認証されるマイクロチップ1からnビットのバイナリベクトルbを受信するステップ。
・mビットのバイナリベクトルaを無作為に抽出し、マイクロチップ1へ送信するステップ。
・マイクロチップ1からmビットの応答ベクトルzを受信するステップ。
・誤りベクトル
のハミング重みを計算するステップと、r個の誤りベクトルeのハミング重みが、確率ηの関数であるパラメータと比較関係を満たす場合に認証を承認するステップ。
、をr回(r≧1)実行するように構成されている計算手段21と、を含む。具体的には、これまで詳述したように、r回の逐次代入にわたり得られる誤りベクトルeのハミング重みの和が、しきい値Tであるパラメータ未満である場合に認証が承認される。
、をr回(r≧1)実行するように構成されている計算手段21と、を含む。具体的には、これまで詳述したように、r回の逐次代入にわたり得られる誤りベクトルeのハミング重みの和が、しきい値Tであるパラメータ未満である場合に認証が承認される。
X,Y 秘密鍵(n × m のバイナリ行列)
a,b バイナリベクトル
c ノイズバイナリベクトル
e 誤りベクトル
z 応答ベクトル
η 確率
a,b バイナリベクトル
c ノイズバイナリベクトル
e 誤りベクトル
z 応答ベクトル
η 確率
Claims (11)
- 検証エンティティ(2)によりエンティティ(1)を認証する方法であって、
前記エンティティは、1対の秘密鍵XおよびYを共有ており、前記秘密鍵XおよびYは、n × m (n, m > 1)のバイナリ行列であることを特徴とし、
前記方法は、
・前記認証されるエンティティ(1)および前記検証エンティティ(2)が、前記検証エンティティ(2)および前記認証されるエンティティ(1)から無作為にそれぞれ抽出されたnビットのバイナリベクトルaおよびbを交換するステップと、前記認証されるエンティティ(1)が、mビットのノイズバイナリベクトルcを無作為に抽出するステップと、前記mビットのそれぞれは、1/2未満の確率ηで1と等しく、
・前記検証エンティティ(2)が、誤りベクトル
・その後、r個の誤りベクトルeのハミング重みが、確率ηの関数であるパラメータ(T, t)との比較関係を満たす場合に、認証を承認するステップと、
を具備し、
これらのステップをr回(r≧1)繰り返すことを特徴とする検証エンティティ(2)によりエンティティ(1)を認証する方法。 - 前記比較関係は、r回の逐次代入にわたり得られた誤りベクトルeのハミング重みの和が、しきい値Tであるパラメータ未満であることを特徴とする請求項1に記載の方法。
- 前記しきい値Tは、値r(η+ε)mであり、εは1/2未満のマージンであることを特徴とする請求項2に記載の方法。
- 前記比較関係は、それぞれの逐次代入で得られた誤りベクトルeのハミング重みが、しきい値Tであるパラメータ未満であることを特徴とする請求項1に記載の方法。
- 前記比較関係は、それぞれの逐次代入で得られた誤りベクトルeのハミング重みが、しきい値Tであるパラメータと等しいことであることを特徴とする請求項1に記載の方法。
- 前記tは、値(η+ε)mであり、εは、1/2未満のマージンであることを特徴とする請求項4または5に記載の方法。
- 前記行列XおよびYは、Toeplitz行列であることを特徴とする請求項1から6のいずれか一項に記載の方法。
- 検証エンティティ(2)により認証されるエンティティであって、
前記エンティティは、一対の秘密鍵XおよびYを共有しており、
前記認証されるエンティティ(1)は、n × m (n, m > 1)のバイナリ行列からなる前記秘密鍵XおよびYを格納する手段(10)と、前記検証エンティティ(2)と伝送する手段(12)と、以下のステップ:
・nビットのバイナリベクトルbを無作為に抽出し、検証エンティティ(2)に送信するステップと、
・nビットのバイナリベクトルaを検証エンティティ(2)から受信するステップと、
・mビットのノイズバイナリベクトルcを無作為に抽出するステップと、前記mビットのそれぞれは1/2未満の確率ηで1であり、
をr回(r≧1)実施するように構成されている計算手段と、
を含むことを特徴とする検証エンティティ(2)により認証されるエンティティ。 - コンピュータプログラムが、認証されるエンティティ(1)の計算手段(11)のコンピュータのフォーミングパートにより実行される場合に、請求項8に記載のステップを実行するプログラム命令を含むことを特徴とするコンピュータプログラム。
- 認証されるエンティティ(1)と秘密鍵XおよびYを共有している検証エンティティであって、前記検証エンティティ(2)は、
n × m (n, m > 1)のバイナリ行列からなる秘密鍵XおよびYを格納する手段(20)と、
認証されるエンティティ(1)と伝送する手段(22)と、
以下のステップ:
・前記認証されるエンティティ(1)からnビットのバイナリベクトルbを受信するステップと、
・前記認証されるエンティティ(1)にnビットのバイナリベクトルaを無作為に抽出し送信するステップと、
・前記認証されるエンティティ(1)からmビットの応答ベクトルzを受信するステップと、
・誤りベクトル
を、r回(r≧1)実施するように構成されている計算手段(21)と、
を具備することを特徴とする検証エンティティ(2)。 - 前記コンピュータプログラムが、前記検証エンティティ(2)の前記計算手段(21)のコンピュータフォーミングパートにより実行される場合に、請求項10に記載のステップを実行するプログラム命令を含むことを特徴とするコンピュータプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0755216 | 2007-05-23 | ||
| FR0755216A FR2916594A1 (fr) | 2007-05-23 | 2007-05-23 | Procede d'authentification d'une entite par une entite verificatrice |
| PCT/FR2008/050879 WO2008149031A2 (fr) | 2007-05-23 | 2008-05-21 | Procede d'authentification d'une entite par une entite verificatrice |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010528512A true JP2010528512A (ja) | 2010-08-19 |
| JP5318092B2 JP5318092B2 (ja) | 2013-10-16 |
Family
ID=38736034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010508886A Active JP5318092B2 (ja) | 2007-05-23 | 2008-05-21 | 検証エンティティによるエンティティの認証方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8458474B2 (ja) |
| EP (1) | EP2149221B1 (ja) |
| JP (1) | JP5318092B2 (ja) |
| CN (1) | CN101682510B (ja) |
| FR (1) | FR2916594A1 (ja) |
| WO (1) | WO2008149031A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101489599B1 (ko) | 2013-11-05 | 2015-02-04 | 한양대학교 에리카산학협력단 | 스토리지에 저장된 데이터 파일의 무결성을 검증하는 방법 및 시스템 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2761889A1 (en) * | 2009-05-13 | 2010-11-18 | Eric Myron Smith | System and method for securely identifying and authenticating devices in a symmetric encryption system |
| JP5466032B2 (ja) * | 2010-02-10 | 2014-04-09 | Kddi株式会社 | 認証システム、認証方法およびプログラム |
| JP2012212422A (ja) * | 2011-03-24 | 2012-11-01 | Sony Corp | 情報処理装置、および情報処理方法、並びにプログラム |
| JP2012227899A (ja) | 2011-04-22 | 2012-11-15 | Toshiba Corp | 認証コンポーネント、被認証コンポーネントおよびその認証方法 |
| JP2012227901A (ja) * | 2011-04-22 | 2012-11-15 | Toshiba Corp | 認証コンポーネント、被認証コンポーネントおよびその認証方法 |
| JP2012227900A (ja) * | 2011-04-22 | 2012-11-15 | Toshiba Corp | 認証コンポーネント、被認証コンポーネントおよびその認証方法 |
| JP2013005293A (ja) * | 2011-06-17 | 2013-01-07 | Toshiba Corp | 認証コンポーネント、被認証コンポーネントおよびその認証方法 |
| US9946903B2 (en) | 2016-03-24 | 2018-04-17 | Vladimir Kozlov | Authenticity verification system and methods of use |
| US11977621B2 (en) | 2018-10-12 | 2024-05-07 | Cynthia Fascenelli Kirkeby | System and methods for authenticating tangible products |
| US11397804B2 (en) | 2018-10-12 | 2022-07-26 | Cynthia Fascenelli Kirkeby | System and methods for authenticating tangible products |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008102693A1 (ja) * | 2007-02-19 | 2008-08-28 | National Institute Of Advanced Industrial Science And Technology | 軽量の認証プロトコルによる認証システム |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2700430B1 (fr) * | 1992-12-30 | 1995-02-10 | Jacques Stern | Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification et dispositif pour sa mise en Óoeuvre. |
| US7269277B2 (en) * | 1999-12-14 | 2007-09-11 | Davida George I | Perfectly secure authorization and passive identification with an error tolerant biometric system |
| CN100369404C (zh) * | 2002-01-10 | 2008-02-13 | 张红雨 | 混沌密码序列发生器 |
| US20050159942A1 (en) * | 2004-01-15 | 2005-07-21 | Manoj Singhal | Classification of speech and music using linear predictive coding coefficients |
| KR100771911B1 (ko) * | 2005-02-04 | 2007-11-01 | 삼성전자주식회사 | 무선 네트워크 디바이스들간의 보안키 설정 방법 |
| DE102005028221B4 (de) * | 2005-06-17 | 2007-10-11 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Schutz der Integrität von Daten |
-
2007
- 2007-05-23 FR FR0755216A patent/FR2916594A1/fr not_active Withdrawn
-
2008
- 2008-05-21 EP EP08805825A patent/EP2149221B1/fr active Active
- 2008-05-21 CN CN2008800171012A patent/CN101682510B/zh active Active
- 2008-05-21 WO PCT/FR2008/050879 patent/WO2008149031A2/fr active Application Filing
- 2008-05-21 US US12/600,304 patent/US8458474B2/en active Active
- 2008-05-21 JP JP2010508886A patent/JP5318092B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008102693A1 (ja) * | 2007-02-19 | 2008-08-28 | National Institute Of Advanced Industrial Science And Technology | 軽量の認証プロトコルによる認証システム |
Non-Patent Citations (6)
| Title |
|---|
| JPN6013013907; J. Munilla, A. Peinado: '"HB-MP: A further step in the HB-Family of lightweight authentication protocols"' Computer Networks Volume 51, Issue 9, 20070620, p.2262-2267 * |
| JPN6013013911; Henri Gilbert, Hatthew J.B. Robshaw, and Yannick Seurin: '"Good Variants of HB^+ Are Hard to Find"' LNCS, Financial Cryptography and Data Security Vol.5143, 200801, pp.156-170 * |
| JPN6013013916; Henri Gilbert, Matthew J.B. Robshaw, and Yannick Seurin: '"HB^#: Increasing the Security and Efficiency of HB^+"' LNCS, Advances in Cryptology - EUROCRYPT 2008 Vol.4965, 200804, pp.361-378 * |
| JPN6013013917; Julien BRINGER, Have CHABNNE, Emmanuelle DOTTAX: '"HB^++: a Lightweight Authentication Protocol Secure against Some Attacks"' Cryptology ePrint Archive: Report 2005/440 Version: 20060112:145857, 20061102, p. 1-16, [online] * |
| JPN6013013919; Selwyn Piramuthu: '"Protocols for RFID tag/reader authentication"' Decision Support Systems and Electronic Commerce Volume 43, Issue 3, 200704, p.897-914 * |
| JPN6013013920; Khaled Ouafi, Raphael Overbeck and Serge Vaudenay: '"On the Security of HB^# Against a Man-in-the-Middle Attack"' LNCS, Advances in Cryptology - ASIACRYPT 2008 Vol.535, 200812, p. 108-124, [online] * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101489599B1 (ko) | 2013-11-05 | 2015-02-04 | 한양대학교 에리카산학협력단 | 스토리지에 저장된 데이터 파일의 무결성을 검증하는 방법 및 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2149221B1 (fr) | 2012-09-12 |
| US8458474B2 (en) | 2013-06-04 |
| WO2008149031A2 (fr) | 2008-12-11 |
| EP2149221A2 (fr) | 2010-02-03 |
| CN101682510A (zh) | 2010-03-24 |
| JP5318092B2 (ja) | 2013-10-16 |
| CN101682510B (zh) | 2012-08-15 |
| US20100161988A1 (en) | 2010-06-24 |
| FR2916594A1 (fr) | 2008-11-28 |
| WO2008149031A3 (fr) | 2009-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5318092B2 (ja) | 検証エンティティによるエンティティの認証方法 | |
| US9672342B2 (en) | System and device binding metadata with hardware intrinsic properties | |
| Cho et al. | Consideration on the brute-force attack cost and retrieval cost: A hash-based radio-frequency identification (RFID) tag mutual authentication protocol | |
| Juels et al. | Authenticating pervasive devices with human protocols | |
| EP3069249B1 (en) | Authenticatable device | |
| Lee et al. | EC-RAC (ECDLP based randomized access control): Provably secure RFID authentication protocol | |
| JP5499358B2 (ja) | 認証処理方法及び装置 | |
| US6539092B1 (en) | Leak-resistant cryptographic indexed key update | |
| CN108833103B (zh) | 射频识别标签和读取设备之间进行安全通信的方法和系统 | |
| US11784825B2 (en) | Lattice based signatures with uniform secrets | |
| CN110089075B (zh) | 用于计算模糊提取器的矩阵的伪随机生成以及用于验证的方法 | |
| Ahamed et al. | ERAP: ECC based RFID authentication protocol | |
| Pessl et al. | Enhancing side-channel analysis of binary-field multiplication with bit reliability | |
| Choi et al. | PUF-based Encryption Processor for the RFID Systems | |
| Maes et al. | PUF-based entity identification and authentication | |
| Wang | Side-channel analysis of AES based on deep learning | |
| Liu et al. | A Lightweight RFID Authentication Protocol based on Elliptic Curve Cryptography. | |
| Munilla et al. | Cryptanalaysis of an EPCC1G2 standard compliant ownership transfer scheme | |
| Sim et al. | Key bit-dependent attack on protected PKC using a single trace | |
| Maleki et al. | New clone-detection approach for RFID-based supply chains | |
| Peris-Lopez et al. | Providing stronger authentication at a low cost to RFID tags operating under the EPCglobal framework | |
| Kardaş et al. | k‐strong privacy for radio frequency identification authentication protocols based on physically unclonable functions | |
| US20220358203A1 (en) | Puf-rake: a puf-based robust and lightweight authentication and key establishment protocol | |
| Yashiro et al. | A deep learning attack countermeasure with intentional noise for a PUF-based authentication scheme | |
| Wang et al. | PGMAP: A privacy guaranteed mutual authentication protocol conforming to EPC class 1 gen 2 standards |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110415 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130326 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130521 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130611 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5318092 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |