JP2013034251A - 暗黙の証明書検証 - Google Patents
暗黙の証明書検証 Download PDFInfo
- Publication number
- JP2013034251A JP2013034251A JP2012247137A JP2012247137A JP2013034251A JP 2013034251 A JP2013034251 A JP 2013034251A JP 2012247137 A JP2012247137 A JP 2012247137A JP 2012247137 A JP2012247137 A JP 2012247137A JP 2013034251 A JP2013034251 A JP 2013034251A
- Authority
- JP
- Japan
- Prior art keywords
- key
- certificate
- verification
- signature
- item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】暗黙の証明書検証の提供。
【解決手段】暗号システムを介して互いに通信し合う一対の通信者の間で共有されるべき暗号鍵を計算する方法が提供される。ここで一対の通信者のうちの一方の通信者は、鍵を生成するためにその一方の通信者の秘密鍵情報と組み合わされるべき他方の通信者の公開鍵情報の証明書を受け取る。その方法は、公開鍵情報と秘密鍵情報とを組み合わせることによって鍵を計算するステップと、証明書の検証に失敗した結果として一方の通信者での鍵が他方の通信者で計算された鍵とが異なるように、証明書の検証に対応する成分を計算に含めるステップとを含む。
【選択図】図1
【解決手段】暗号システムを介して互いに通信し合う一対の通信者の間で共有されるべき暗号鍵を計算する方法が提供される。ここで一対の通信者のうちの一方の通信者は、鍵を生成するためにその一方の通信者の秘密鍵情報と組み合わされるべき他方の通信者の公開鍵情報の証明書を受け取る。その方法は、公開鍵情報と秘密鍵情報とを組み合わせることによって鍵を計算するステップと、証明書の検証に失敗した結果として一方の通信者での鍵が他方の通信者で計算された鍵とが異なるように、証明書の検証に対応する成分を計算に含めるステップとを含む。
【選択図】図1
Description
本発明は、公開鍵暗号法に関する。
(本発明の概要)
公開鍵暗号法は、一対の通信者の間の安全な通信を可能にし、一対の通信者のうちの一方の通信者が発するメッセージの認証を可能にするために用いられる。公開鍵暗号法において各通信者は、数学的関数による秘密鍵に関連した秘密鍵および公開鍵を利用する。その数学的関数は、関係者の秘密鍵が対応する公開鍵から獲得され得ないことを保証するために「困難な」数学的問題を提供する。そのような問題は、RSA暗号システムにおいて用いられる2つの大きな素数の積を因数分解する困難さ、およびデジタル署名アルゴリズム(DSA)において用いられる有限体上の離散対数問題の難しさ(intractabiliy)を含む。離散対数システムは、広く用いられ、そのようなシステムの特定の適用は、有限体上に定義された楕円曲線の点を使用する。楕円曲線暗号システム(ECC)として参照されるそのようなシステムは、他のシステムよりも小さい鍵の大きさで高いレベルの安全性を提供する。
(本発明の概要)
公開鍵暗号法は、一対の通信者の間の安全な通信を可能にし、一対の通信者のうちの一方の通信者が発するメッセージの認証を可能にするために用いられる。公開鍵暗号法において各通信者は、数学的関数による秘密鍵に関連した秘密鍵および公開鍵を利用する。その数学的関数は、関係者の秘密鍵が対応する公開鍵から獲得され得ないことを保証するために「困難な」数学的問題を提供する。そのような問題は、RSA暗号システムにおいて用いられる2つの大きな素数の積を因数分解する困難さ、およびデジタル署名アルゴリズム(DSA)において用いられる有限体上の離散対数問題の難しさ(intractabiliy)を含む。離散対数システムは、広く用いられ、そのようなシステムの特定の適用は、有限体上に定義された楕円曲線の点を使用する。楕円曲線暗号システム(ECC)として参照されるそのようなシステムは、他のシステムよりも小さい鍵の大きさで高いレベルの安全性を提供する。
メッセージが安全に交換されるべきときは、通信者間でそれぞれの秘密鍵を開示しないで共有される鍵を構築するために、公開鍵および秘密鍵が、概して鍵の合意プロトコルとして参照される特定のプロトコルにおいて用いられる。次いで、共有される鍵は、通信者間のメッセージを暗号化および復号するために用いられ得る。
楕円曲線公開鍵の鍵の合意プロトコルは、典型的には以下のステップを含む。
・鍵のコントリビューション(key contribution):各関係者は、任意の整数である秘密鍵と、かつ一時的な公開鍵を表す点を提供するためのシード点とから、任意の短期の(一時的な)公開鍵を生成し、対応する一時的な公開鍵(しかし、秘密鍵ではない)をもう一方の関係者に伝える。加えて、鍵のコントリビューションは、その長期の固定的な公開鍵を伝え得る。
・鍵の設定:各関係者は、他方の関係者から受け取った固定的および一時的な鍵に基づいて、および自身で生成した秘密鍵に基づいて、共有される鍵を計算する。楕円曲線の特性に起因して、両方の関係者は、同一の共有される鍵に到達する。
・鍵の認証:各関係者は、共通の鍵を計算する能力があり得る唯一の関係者が、本当に、その受け取られた通信する関係者である証拠を獲得するために、他方の関係者の長期の固定的な鍵の信頼性を検証する。
・鍵の確認:各関係者は、いずれかの関係者によって伝えられた鍵のコントリビューションに対応するストリング(string)を介して通例ではメッセージの認証チェック値を伝えることによって、他方の関係者に対し共通の鍵の所有を実証する。このことは、各関係者に対して他方の関係者の真の識別を確認し、その関係者が首尾よく共通の鍵を計算したことを証明する。このステップは、鍵の合意プロトコルの一部として、またはその後に、共有される鍵の使用を介して行われ得る。
・鍵のコントリビューション(key contribution):各関係者は、任意の整数である秘密鍵と、かつ一時的な公開鍵を表す点を提供するためのシード点とから、任意の短期の(一時的な)公開鍵を生成し、対応する一時的な公開鍵(しかし、秘密鍵ではない)をもう一方の関係者に伝える。加えて、鍵のコントリビューションは、その長期の固定的な公開鍵を伝え得る。
・鍵の設定:各関係者は、他方の関係者から受け取った固定的および一時的な鍵に基づいて、および自身で生成した秘密鍵に基づいて、共有される鍵を計算する。楕円曲線の特性に起因して、両方の関係者は、同一の共有される鍵に到達する。
・鍵の認証:各関係者は、共通の鍵を計算する能力があり得る唯一の関係者が、本当に、その受け取られた通信する関係者である証拠を獲得するために、他方の関係者の長期の固定的な鍵の信頼性を検証する。
・鍵の確認:各関係者は、いずれかの関係者によって伝えられた鍵のコントリビューションに対応するストリング(string)を介して通例ではメッセージの認証チェック値を伝えることによって、他方の関係者に対し共通の鍵の所有を実証する。このことは、各関係者に対して他方の関係者の真の識別を確認し、その関係者が首尾よく共通の鍵を計算したことを証明する。このステップは、鍵の合意プロトコルの一部として、またはその後に、共有される鍵の使用を介して行われ得る。
鍵の認証ステップは、典型的には上記で説明された他のプロトコルステップとは独立に実行され、対応する公開鍵を手段として関係者とその秘密鍵との間の結合の信頼性を請け合う証明書の有効性をチェックすることに通例では関係する。別個の鍵の認証ステップが、(例えば、証明書の使用における)より大きな柔軟性を可能にするが、かなりのコストで行われる。なぜなら、鍵の合意プロトコルのオンラインでの計算コストは、鍵の認証ステップのコストと、鍵の設定ステップ中の鍵の計算のコストとの合計によって支配されるからである。
証明書は、本質的に通信者の公開鍵への信頼された関係者の署名と、発行する関係者の名前および証明書の保有者の名前のような他の情報とが一緒になったものである。ECCシステムにおいて、署名は、通例ではECDSAプロトコルを用いて実行され、検証されるが、他の署名プロトコルもまた、用いられ得る。例として、ECDSA署名生成は、ECCのドメインパラメーター、秘密鍵d、およびメッセージmに対して機能し、メッセージmは、証明書に関しては、通信者の公開鍵を含む。出力は、署名(r,s)である。ここで署名の成分rおよびsは、整数であり、以下のように進められる。
1.任意の整数
1.任意の整数
4.e=H(m)を計算する。ここでHは、出力がnのビット長さを超えないビット長さを有する、暗号ハッシュ関数を示す(この条件が満たされない場合には、Hの出力は切り捨て(truncate)られ得る)。
5.s=k−1(e+αr)mod nを計算する。ここでαは、署名者の長期の秘密鍵である。s=0の場合には、ステップ1に戻る。
6.対(r,s)をメッセージmのECDSA署名として出力する。
ECDSA署名検証は、いくつかのドメインパラメーター、長期の公開鍵Q(ここでQ=αG)、メッセージm、および上記で導かれた署名(r,s)に対して機能する。ECDSA署名検証の出力は、署名の拒絶または承認であり、以下のように進められる。
1.rおよびsが区間[1,n−1]にある整数であることを検証する。すべての検証が失敗する場合には、拒絶が返される。
2.e=H(m)を計算する。
3.w=s−1 mod nを計算する。
4.u1=ew mod nおよびu2=rw mod nを計算する。
5.R=u1G+u2Q=s−1(eG+rQ)を計算する。(上記の3および4から)6.R=∞の場合には、署名は、拒絶される。
7.Rのx座標x1を整数
1.rおよびsが区間[1,n−1]にある整数であることを検証する。すべての検証が失敗する場合には、拒絶が返される。
2.e=H(m)を計算する。
3.w=s−1 mod nを計算する。
4.u1=ew mod nおよびu2=rw mod nを計算する。
5.R=u1G+u2Q=s−1(eG+rQ)を計算する。(上記の3および4から)6.R=∞の場合には、署名は、拒絶される。
7.Rのx座標x1を整数
ECGDSAのような他の署名生成および検証のステップが用いられ得ること、および署名の完全性を確認する特定のステップが時として省略されることは、認識されるであろう。
したがって、通信者の公開鍵、すなわち通信者の公開鍵および他の情報を含むメッセージmを認証するためには、証明書上の署名を検証することが必要である。
認証に続いて、各関係者が本当に同一であることを確認するのが通例である。2つの関係者AとBとの間で鍵の合意プロトコルの実行中、関係者Aが鍵KAを構築している間に、関係者Bは、鍵KBを構築する。鍵の確認は、Aが何らかの量f(KA)(ここでfは、何らかの公知の関数である)をB(Bは、これを彼自身の計算された値f(KB)と比較し、これらの値が一致する場合にのみ承認する(およびその逆))に伝えることによって、KAについての知識をBに対して実証することからなる。この関数fは、f(KA)=f(KB)の場合に圧倒的な確率でKA=±KBとなり、共通の鍵が設定されるような関数である。
上記で留意されたように、鍵の認証ステップは、鍵の合意プロトコルにかなりの計算負荷を追加する。したがって、本発明の目的は、上記の不利な点を除去または軽減することである。
一般的に言って、本出願人は、共有される鍵と証明書検証との組み合わせを結合して計算することによって、証明書の暗黙の検証が後続の鍵の確認ステップにおいて獲得されることを認識した。
好ましくは、署名検証は、証明書の検証の失敗の結果、共有される鍵の値の間の不一致が生じるような同次の検証方程式、すなわち0に等しい方程式を用いる。
1つの局面において、暗号システムを介して互いに通信する一対の通信者の間で共有されるべき暗号鍵を計算する方法が提供され、一対の通信者のうちの一方の通信者は、鍵を生成するためにその一方の通信者の秘密鍵情報と組み合わされるべき他方の通信者の公開鍵情報の証明書を受け取り、その方法は、公開鍵情報と秘密鍵情報とを組み合わせることによって鍵を計算するステップと、証明書の検証に失敗した結果として一方の通信者での鍵が他方の通信者で計算された鍵とが異なるように、証明書の検証に対応する成分を計算に含めるステップとを含む。
別の局面において、コンピューター読み取り可能な媒体、暗号ユニット、および上記の方法のステップを実行するために構成されるシステムが提供される。
例えば、本願発明は以下の項目を提供する。
(項目1)
暗号システムを介して互いに通信する一対の通信者の間で共有されるべき暗号鍵を計算する方法であって、該一対の通信者のうちの一方の通信者は、該鍵を生成するために該一方の通信者の秘密鍵情報と組み合わされるべき他方の通信者の公開鍵情報の証明書を受け取り、該方法は、
該公開鍵情報と該秘密鍵情報とを組み合わせることによって該鍵を計算するステップと、
該証明書の検証に失敗した結果として、該一方の通信者での鍵が該他方の通信者で計算された鍵とは異なるように、該証明書の検証に対応する成分を該計算に含めるステップと
を含む、方法。
(項目2)
前記検証は、前記証明書に含まれる署名を利用する、項目1に記載の方法。
(項目3)
前記成分は、前記証明書が検証するときにゼロに等しい、項目2に記載の方法。
(項目4)
前記証明書の検証を隠すために、任意の要素が前記成分に含まれる、項目3に記載の方法。
(項目5)
前記任意の要素は、前記署名の検証において繰り返される反復を提供することにより、側面チャネル攻撃を禁止するように選ばれる、項目4に記載の方法。
(項目6)
前記暗号システムは、楕円曲線暗号システムである、項目1に記載の方法。
(項目7)
前記計算は、重複点の倍増を用いて実行される、項目6に記載の方法。
(項目8)
前記証明書は、楕円曲線署名プロトコルによって実行される署名を含む、項目6に記載の方法。
(項目9)
前記署名プロトコルは、ECDSAである、項目8に記載の方法。
(項目10)
前記公開鍵情報は、楕円曲線の点を表し、公開鍵情報と前記秘密鍵情報との組み合わせが点の倍増を含む、項目6に記載の方法。
(項目11)
前記署名の検証は、重複点の倍増を要求する、項目10に記載の方法。
(項目12)
前記計算は、重複点の倍増を用いて実行される、項目11に記載の方法。
(項目13)
前記一方の通信者によって生成された鍵が前記他方の通信者の鍵と一致することを確認するステップを含む、項目1に記載の方法。
例えば、本願発明は以下の項目を提供する。
(項目1)
暗号システムを介して互いに通信する一対の通信者の間で共有されるべき暗号鍵を計算する方法であって、該一対の通信者のうちの一方の通信者は、該鍵を生成するために該一方の通信者の秘密鍵情報と組み合わされるべき他方の通信者の公開鍵情報の証明書を受け取り、該方法は、
該公開鍵情報と該秘密鍵情報とを組み合わせることによって該鍵を計算するステップと、
該証明書の検証に失敗した結果として、該一方の通信者での鍵が該他方の通信者で計算された鍵とは異なるように、該証明書の検証に対応する成分を該計算に含めるステップと
を含む、方法。
(項目2)
前記検証は、前記証明書に含まれる署名を利用する、項目1に記載の方法。
(項目3)
前記成分は、前記証明書が検証するときにゼロに等しい、項目2に記載の方法。
(項目4)
前記証明書の検証を隠すために、任意の要素が前記成分に含まれる、項目3に記載の方法。
(項目5)
前記任意の要素は、前記署名の検証において繰り返される反復を提供することにより、側面チャネル攻撃を禁止するように選ばれる、項目4に記載の方法。
(項目6)
前記暗号システムは、楕円曲線暗号システムである、項目1に記載の方法。
(項目7)
前記計算は、重複点の倍増を用いて実行される、項目6に記載の方法。
(項目8)
前記証明書は、楕円曲線署名プロトコルによって実行される署名を含む、項目6に記載の方法。
(項目9)
前記署名プロトコルは、ECDSAである、項目8に記載の方法。
(項目10)
前記公開鍵情報は、楕円曲線の点を表し、公開鍵情報と前記秘密鍵情報との組み合わせが点の倍増を含む、項目6に記載の方法。
(項目11)
前記署名の検証は、重複点の倍増を要求する、項目10に記載の方法。
(項目12)
前記計算は、重複点の倍増を用いて実行される、項目11に記載の方法。
(項目13)
前記一方の通信者によって生成された鍵が前記他方の通信者の鍵と一致することを確認するステップを含む、項目1に記載の方法。
本発明の一実施形態がここで添付の図面を参照することにより説明される。
図1は、データ通信システムの概略を表示する図である。
図2は、第一の鍵の合意プロトコルを表示する図である。
図3は、さらなる鍵の合意プロトコルを表示する図である。
(本発明の詳細な説明)
したがって、図1を参照すると、暗号通信システムが、数字10によって一般的に示されている。システム10は、通信チャネル16を介して互いに通信し得る第一の通信者12および第二の通信者14を有する。通信チャネル16は、安全であり得るか、または、安全でないこともあり得る。各通信者は、選ばれた体上で定義される楕円曲線E上で機能する暗号化操作を実行するために、暗号モジュール18および暗号モジュール20をそれぞれ有する。暗号モジュール18は、以下に説明されるもののような暗号化操作を実行するように構成されるハードウェア、コンピューター読み取り可能なソフトウェア命令または両者の組み合わせであり得る。
したがって、図1を参照すると、暗号通信システムが、数字10によって一般的に示されている。システム10は、通信チャネル16を介して互いに通信し得る第一の通信者12および第二の通信者14を有する。通信チャネル16は、安全であり得るか、または、安全でないこともあり得る。各通信者は、選ばれた体上で定義される楕円曲線E上で機能する暗号化操作を実行するために、暗号モジュール18および暗号モジュール20をそれぞれ有する。暗号モジュール18は、以下に説明されるもののような暗号化操作を実行するように構成されるハードウェア、コンピューター読み取り可能なソフトウェア命令または両者の組み合わせであり得る。
通信者12は、長期の秘密鍵「a」と、対応する長期の公開鍵A=aGとを有し、ここでGはドメインパラメーターにおける特定の曲線上の基点である。
通信者12に対して公開鍵Aを認証するために、証明書TAが、信頼された機関から獲得される。証明書は、信頼された機関の公開鍵Qを用いて検証され得る公開鍵Aに関する信頼された機関の署名を含む。
同様に、通信者14は、長期の秘密鍵bと、対応する長期の公開鍵B=bGと、その公開鍵の証明書TBとを有する。証明書TBは、証明書TAを獲得するために用いられたものとは異なる別の信頼された関係者によってか、または別の公開鍵を用いて、署名された可能性がある。
典型的には、通信者12、14はそれぞれ、対応する一時的な公開鍵xG、yGを生成するセッションまたは一時的な秘密鍵として用いるための、任意の整数x、yを生成し得る。しかしながら、明確さのために、共通の鍵が各通信者の長期の鍵を用いて設定される第一の実施形態が、説明される。
図2に示された第一の鍵の合意プロトコルにおいて、固定的(static)な楕円曲線ディフィ・ヘルマン(Diffie Hellman)(ECDH)鍵生成が、証明書TA、TBを用いて使用され、ECDSAを用いて署名される。
最初に、通信者12、14は、公開鍵A、Bおよびそれぞれの証明書TA、TBを交換する。共通の鍵は、K=abGであり、K=abGは、各関係者に対して、受け取られた公開情報および各関係者が有する秘密情報から計算され得る。その結果、KA=aBおよびKB=bAである。
鍵の信頼性を検証するために、証明書TAおよびTBを検証するのが通常である。しかしながら、本実施形態において、鍵の生成および認証は、効率性を提供するために、結合して実行される。上記で留意されたように、ECDSAは、その検証において、
各通信者はまた、証明書TA、TBから署名(r,s)を有する。鍵Kを計算するために、通信者12は、公開鍵情報と秘密鍵情報とを組み合わせ、署名の検証に対応する成分を含むことによって鍵KAを計算する。したがって、
KA=abG+λ1(sB −1(eBG+rBQB)−RB)
この式で、
λ1は、任意の値である。
rB、sBは、証明書TBの署名成分である。
eBは、証明書におけるメッセージmのハッシュである。証明書は、通信者14の公開鍵Bを含む。そして、
RBは、rBから復元される値である。
KA=abG+λ1(sB −1(eBG+rBQB)−RB)
この式で、
λ1は、任意の値である。
rB、sBは、証明書TBの署名成分である。
eBは、証明書におけるメッセージmのハッシュである。証明書は、通信者14の公開鍵Bを含む。そして、
RBは、rBから復元される値である。
証明書がBの公開鍵を認証する場合には、署名検証成分
同様に、通信者14は、rA、sA、およびRAの値が証明書TAと関連するKB=abG+λ2(sA −1(eAG+rAQA)−RA)を計算する。さらにまた、証明書が認証する場合には、これは、鍵KB=bAをもたらすべきである。
通信者12、14がそれぞれの鍵KA、KBを計算した後で、それらは、共通の鍵の機能である情報を交換するための鍵確認ステップを実行する。受け取られた情報が計算されたものと一致しない場合には、鍵は、拒絶される。
共通の鍵が異なる1つの理由は、証明書の検証部分から獲得された値がゼロでなく、証明書が認証していないことを示していることである。通信者12、14それぞれに対して通例では異なる各計算中に任意の値λを挿入することによって、認証プロセスの有効性が高められる。
こうして、証明書が認証する場合には、共通の鍵の値および、Oに対応する関係を結合して計算することによって、計算が削減される。
さらなる実施形態が図3に示され、MQV鍵合意プロトコルが、ECDSAを用いて署名された証明書の認証と組み合わされている。
図3の実施形態において、通信者12および14はそれぞれ、長期の秘密鍵a、b、長期の公開鍵A、B、短期の秘密鍵x、yおよび短期の公開鍵X、Yを有する。ECMQVにおいて、共通の鍵は、
K=cX+dB
の形式である。
ここで、
c=x+ag(x)(mod n)かつ
d=cg(Y)(mod n)。
ここで、gは、楕円曲線の点を適切な整数に写像する公知の表現関数である。
K=cX+dB
の形式である。
ここで、
c=x+ag(x)(mod n)かつ
d=cg(Y)(mod n)。
ここで、gは、楕円曲線の点を適切な整数に写像する公知の表現関数である。
各通信者がもう一方の通信者の証明書TA、TBを有していると仮定すると、各通信者はそれぞれ、もう一方の通信者に短期の公開鍵X、Yを送る。
通信者12は、s12=(x+ag(x))mod nを計算する。通信者14は、s14=(y+bg(y))mod nを計算する。次いで、共通の鍵Kは、K=s12(Y+g(y)B)=s14(X+g(x)A)として計算され得る。
鍵を認証するためには、通信者の長期の公開鍵の証明書が認証されなければならない。したがって、上記で説明されたように、共通の鍵Kは、通信者12によって
KA=s12(Y+g(y)B)+λΣ=(x+ag(x))(Y+g(y)B)+(λ1eBsB −1)G+(λ1rBsB −1)Q+λ1RB
として、かつ、通信者14によって、
KB=s14(Y+g(x)A)+λΣ=(y+bg(y))(X+g(x)A)+(λ2eAsA −1)G+(λ2rAsA −1)QA+λ2RA
として、計算される。
KA=s12(Y+g(y)B)+λΣ=(x+ag(x))(Y+g(y)B)+(λ1eBsB −1)G+(λ1rBsB −1)Q+λ1RB
として、かつ、通信者14によって、
KB=s14(Y+g(x)A)+λΣ=(y+bg(y))(X+g(x)A)+(λ2eAsA −1)G+(λ2rAsA −1)QA+λ2RA
として、計算される。
各通信者に対して、λは、任意の整数であり、Σは、それぞれの証明書に対する署名検証の関係s−1(eG+rQ)−Rである。
Σ=Oと仮定すると、鍵は、一致し、証明書は、暗黙に認証される。
獲得された効率性は、点の倍増操作の節約および重複点の倍増戦略を用いる可能性に帰せられ得る。
安全性の観点から、λの任意の値は、大きさ
量(λes−1)G+(λrs−1)Qは、その内容が参照により援用されるVanstone他、Springer、「Guide to Elliptic Curve Cryptography」、98から101ページにおいてより十分に説明されている、隣接していない形式(NAF;non−adjacent form)を用いて計算され得る。
この方法でKAを評価することの作業負荷は、およそmの点の追加およびmの倍増であり、mは、曲線のビットの大きさである。
比較によって、KA=aBを評価することおよびECDSA署名を検証することは、それぞれ5m/6の追加および2mの倍増の作業負荷を有する。
したがって、30%の改善は、達成可能である。上記の米国特許出願第11/333,296号において示されている「高速検証(fast verify)」技術が用いられる場合には、10%程度の節約が可能である。
二進表現におけるよりむしろNAF表現において整数とともにλを考慮することによって、さらなる改善を行い得る。
Vanstone他、Springer、「Guide to Elliptic Curve Cryptography」、99ページにおいて説明されたw−NAF表現(w≧2)に対して、これをさらに一般化し得る。そのとき、
このアプローチは、基本的にECDSA検証手順から倍増操作を除去する。すなわち、ECDSA検証の徐々に増加するコストは、それぞれ(スケーリングの後で)0.85mの追加(Fast Verify)、1.02mの追加(普通のECDSA検証)ではなく、m/2の追加のみとなる。すなわち、ECDSA検証手順の70〜104%の効率性改善を表している。重複点倍増の方法でできることをより十分に利用することによって、およびウィンドウイング(windowing)とw−NAFの方法とを用いることによって、さらなる改善が行われ得る。
MQVおよびECDSAを含む図3の実施形態について、KA’=cY+dB+λΣ=cY+dB−λR+((λes−1)G+(λrs−1)Q)である。
上記のアプローチは、単純な側面チャネル攻撃(side channel attack)への抵抗を実施するために用いられ得る。詳細は、以下の通りである。
ΣがGによって生成される素数位数部分群にあることが仮定される。Σは、十分に大きな位数を有するべきである。ΣがECDSA検証の方程式に対応する場合には、この条件は、hR≠Oであることをチェックすることによって、容易にチェックされ得る。ここで、hは曲線の余因子である。
上記で説明されたアプローチは、倍増操作の節約および重複点の倍増戦略を利用する見込みに起因して、性能の改善につながる。さらには、このアプローチは、鍵の合意プロトコルの実行中に鍵の認証ステップと鍵の設定ステップとを組み合わせることに限定されず、それは、いくつかの鍵を計算し、いくつかの楕円曲線の方程式を検証しなければならない任意の環境に適用され得る(事実、鍵は、秘密である必要さえない)。このこと、本アプローチが、計算された鍵が正しいか否か検証し得る環境において最も有用であるゆえんである(なぜなら、このことは、同次の楕円曲線の方程式Σ=0が成り立つか否かに関する判定をもたらし得るからである)。このように、本アプローチは、計算された鍵の知識を本当に実証するすべての環境において効果的に機能する。
検証を鍵の計算と組み合わせる方法は、上記で説明されたよりもより一般的な環境において機能する。多数のECDSA署名(証明書の連鎖)の検証は、計算および検証の方程式と各検証に対して異なるλとの組み合わせを用いることによって獲得され得る。同様に、任意の楕円曲線の検証および多数の楕円曲線の方程式のバッチ検証が可能である。
ANSI X9.63NIST SP800−56aにおけるECDHスキーム(ECIES、Unified Model、STS、ECMQV、ElGamal暗号化を含む)を用いた鍵の計算もまた、可能である。正確さを提供された秘密でないECC点の計算は、例えばECDSA証明書を用いたPV署名においてチェックされ得る。同様に、正確さを提供された多数のECC点の計算がチェックされ得る。
また、そのような技術を(超楕円曲線、識別に基づく暗号システム等を含む)他の代数的構造における操作に適用することも可能である。
単純な側面チャネルの抵抗を提供するλの使用は、実質的に自由である。
上記は特定の例示的な実施形態に関して説明されてきたが、その変形は以下に続く特許請求の範囲内で可能であることが認識されるであろう。
Claims (1)
- 本願明細書に記載された発明。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US86601306P | 2006-11-15 | 2006-11-15 | |
US60/866,013 | 2006-11-15 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009536569A Division JP5174828B2 (ja) | 2006-11-15 | 2007-11-15 | 暗黙の証明書検証 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013034251A true JP2013034251A (ja) | 2013-02-14 |
Family
ID=39401282
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009536569A Active JP5174828B2 (ja) | 2006-11-15 | 2007-11-15 | 暗黙の証明書検証 |
JP2012247137A Withdrawn JP2013034251A (ja) | 2006-11-15 | 2012-11-09 | 暗黙の証明書検証 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009536569A Active JP5174828B2 (ja) | 2006-11-15 | 2007-11-15 | 暗黙の証明書検証 |
Country Status (7)
Country | Link |
---|---|
US (2) | US8069346B2 (ja) |
EP (1) | EP2082524B1 (ja) |
JP (2) | JP5174828B2 (ja) |
CN (1) | CN101641905B (ja) |
CA (1) | CA2669145C (ja) |
SG (1) | SG174833A1 (ja) |
WO (1) | WO2008058388A1 (ja) |
Families Citing this family (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2935823C (en) | 2005-01-18 | 2019-01-15 | Certicom Corp. | Accelerated verification of digital signatures and public keys |
WO2008058388A1 (en) * | 2006-11-15 | 2008-05-22 | Certicom Corp. | Implicit certificate verification |
WO2009090519A1 (en) * | 2008-01-15 | 2009-07-23 | Nxp B.V. | Efficient reconstruction of a public key from an implicit certificate |
US8327146B2 (en) * | 2008-03-31 | 2012-12-04 | General Motors Llc | Wireless communication using compact certificates |
US8582775B2 (en) * | 2009-02-12 | 2013-11-12 | General Motors Llc | Method of securing and authenticating data using micro-certificates |
CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
WO2011120125A1 (en) * | 2010-03-31 | 2011-10-06 | Irdeto Canada Corporation | System and method for protecting cryptographic assets from a white-box attack |
US8644500B2 (en) * | 2010-08-20 | 2014-02-04 | Apple Inc. | Apparatus and method for block cipher process for insecure environments |
WO2012126085A1 (en) * | 2011-03-18 | 2012-09-27 | Certicom Corp. | Keyed pv signatures |
US8675869B2 (en) * | 2011-03-23 | 2014-03-18 | Blackberry Limited | Incorporating data into an ECDSA signature component |
US9003181B2 (en) * | 2011-03-23 | 2015-04-07 | Certicom Corp. | Incorporating data into cryptographic components of an ECQV certificate |
US11418580B2 (en) | 2011-04-01 | 2022-08-16 | Pure Storage, Inc. | Selective generation of secure signatures in a distributed storage network |
US10298684B2 (en) | 2011-04-01 | 2019-05-21 | International Business Machines Corporation | Adaptive replication of dispersed data to improve data access performance |
US8874991B2 (en) * | 2011-04-01 | 2014-10-28 | Cleversafe, Inc. | Appending data to existing data stored in a dispersed storage network |
WO2012151653A1 (en) | 2011-05-06 | 2012-11-15 | Certicom Corp. | Validating a batch of implicit certificates |
CA2976795C (en) | 2011-06-10 | 2021-08-03 | Certicom Corp. | Implicitly certified digital signatures |
WO2012170130A1 (en) * | 2011-06-10 | 2012-12-13 | Certicom (U.S.) Limited | Implicitly certified public keys |
US8745376B2 (en) * | 2011-10-14 | 2014-06-03 | Certicom Corp. | Verifying implicit certificates and digital signatures |
WO2013116916A1 (en) * | 2012-02-09 | 2013-08-15 | Irdeto Canada Corporation | System and method for generating and protecting cryptographic keys |
CA2855099C (en) * | 2013-06-27 | 2016-05-17 | Infosec Global Inc. | Key agreement protocol for generating a shared secret key for use by a pair of entities in a data communication system |
US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
US10498530B2 (en) | 2013-09-27 | 2019-12-03 | Network-1 Technologies, Inc. | Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys |
US10700856B2 (en) | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
EP2905718A1 (en) * | 2014-02-05 | 2015-08-12 | Thomson Licensing | Device and method certificate generation |
US9705683B2 (en) * | 2014-04-04 | 2017-07-11 | Etas Embedded Systems Canada Inc. | Verifiable implicit certificates |
FR3027753B1 (fr) * | 2014-10-28 | 2021-07-09 | Morpho | Procede d'authentification d'un utilisateur detenant un certificat biometrique |
US9853977B1 (en) | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
WO2016187690A1 (en) * | 2015-05-26 | 2016-12-01 | Infosec Global Inc. | Key agreement protocol |
EP3420669B1 (en) | 2016-02-23 | 2021-03-24 | Nchain Holdings Limited | Cryptographic method and system for secure extraction of data from a blockchain |
WO2017145010A1 (en) | 2016-02-23 | 2017-08-31 | nChain Holdings Limited | Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system |
EP3420675B1 (en) | 2016-02-23 | 2020-03-11 | Nchain Holdings Limited | Blockchain implemented counting system and method for use in secure voting and distribution |
US11126976B2 (en) | 2016-02-23 | 2021-09-21 | nChain Holdings Limited | Method and system for efficient transfer of cryptocurrency associated with a payroll on a blockchain that leads to an automated payroll method and system based on smart contracts |
LT3268914T (lt) | 2016-02-23 | 2018-11-12 | nChain Holdings Limited | Bendros paslapties, skirtos saugiems informacijos mainams, nustatymas ir hierarchiniai determinuoti kriptografiniai raktai |
JP6528008B2 (ja) | 2016-02-23 | 2019-06-12 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | 秘密共有のための楕円曲線暗号化を利用したパーソナルデバイスセキュリティ |
BR112018016822A2 (pt) | 2016-02-23 | 2018-12-26 | Nchain Holdings Ltd | método implementado por computador para realizar uma troca de entidades entre um primeiro usuário e um segundo usuário, processador e meio legível por computador |
EP3748903A1 (en) | 2016-02-23 | 2020-12-09 | Nchain Holdings Limited | Universal tokenisation system for blockchain-based cryptocurrencies |
EP3420507A1 (en) | 2016-02-23 | 2019-01-02 | Nchain Holdings Limited | Tokenisation method and system for implementing exchanges on a blockchain |
BR112018016819A2 (pt) | 2016-02-23 | 2018-12-26 | Nchain Holdings Ltd | método e sistemas para proteger um recurso digital controlado utilizando uma tabela de dispersão e livro-razão distribuídos e um blockchain |
JP6942136B2 (ja) | 2016-02-23 | 2021-09-29 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | デジタルコンテンツの制御及び配信のためのブロックチェーンにより実施される方法 |
US11308486B2 (en) | 2016-02-23 | 2022-04-19 | nChain Holdings Limited | Method and system for the secure transfer of entities on a blockchain |
BR112018016782A2 (pt) | 2016-02-23 | 2018-12-26 | Nchain Holdings Ltd | sistema e método implementado por computador configurado para controlar uma transferência feita através de um blockchain |
WO2017145019A1 (en) | 2016-02-23 | 2017-08-31 | nChain Holdings Limited | Registry and automated management method for blockchain-enforced smart contracts |
FR3048319B1 (fr) * | 2016-02-25 | 2018-03-09 | Commissariat A L'energie Atomique Et Aux Energies Alternatives | Methode de gestion de certificats implicites au moyen d'une infrastructure a cles publiques distribuee |
CN108574571B (zh) * | 2017-03-08 | 2021-12-03 | 华为技术有限公司 | 私钥生成方法、设备以及系统 |
US10511591B2 (en) * | 2017-05-08 | 2019-12-17 | Amazon Technologies, Inc. | Generation of shared secrets using pairwise implicit certificates |
US10798086B2 (en) | 2017-05-08 | 2020-10-06 | Amazon Technologies, Inc. | Implicit certificates using ring learning with errors |
US10516543B2 (en) | 2017-05-08 | 2019-12-24 | Amazon Technologies, Inc. | Communication protocol using implicit certificates |
CN110999203B (zh) * | 2017-05-08 | 2021-09-07 | 亚马逊技术有限公司 | 用于生成共享密钥的方法和系统 |
CN108306734B (zh) * | 2017-12-28 | 2021-01-01 | 飞天诚信科技股份有限公司 | 一种通信链路保护方法及装置 |
US10797868B2 (en) * | 2018-05-31 | 2020-10-06 | Irdeto B.V. | Shared secret establishment |
US11263630B2 (en) | 2018-10-12 | 2022-03-01 | Blackberry Limited | Method and system for single purpose public keys for public ledgers |
US20210073359A1 (en) * | 2019-09-10 | 2021-03-11 | Michael Boodaei | Secure one-time password (otp) authentication |
WO2022088094A1 (zh) * | 2020-10-30 | 2022-05-05 | 华为技术有限公司 | 一种安全通信方法及装置 |
CN114007220B (zh) * | 2021-10-20 | 2023-12-08 | 武汉大学 | 短期阶段会话密钥生成方法、认证密钥协商方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08328472A (ja) * | 1995-05-26 | 1996-12-13 | Korea Telecommun Authority | 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法 |
JP2004507156A (ja) * | 2000-08-11 | 2004-03-04 | テレフオンアクチーボラゲツト エル エム エリクソン | 任意通信サービスのセキュリティ確保 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996033565A1 (en) * | 1995-04-21 | 1996-10-24 | Certicom Corp. | Method for signature and session key generation |
CA2176972C (en) * | 1995-05-17 | 2008-11-25 | Scott A. Vanstone | Key agreement and transport protocol with implicit signatures |
WO1999020020A1 (en) * | 1997-10-14 | 1999-04-22 | Certicom Corp. | Key validation scheme |
CA2235359C (en) * | 1998-03-23 | 2012-04-10 | Certicom Corp. | Implicit certificate scheme with ca chaining |
US6243467B1 (en) * | 1998-07-23 | 2001-06-05 | The United States Of America As Represented By The National Security Agency | Method of elliptic curve cryptographic digital signature generation and verification using reduced base tau expansion in non-adjacent form |
IL128183A0 (en) * | 1999-01-21 | 1999-11-30 | L P K Information Integrity Lt | Systems and methods for certifying public keys in digital signatures and key-agreements |
WO2001095068A2 (en) * | 2000-06-09 | 2001-12-13 | Certicom Corp. | A method for the application of implicit signature schemes |
US7142670B2 (en) * | 2001-08-14 | 2006-11-28 | International Business Machines Corporation | Space-efficient, side-channel attack resistant table lookups |
US7702105B1 (en) * | 2004-04-23 | 2010-04-20 | Oracle America, Inc. | Accelerating elliptic curve point multiplication through batched inversions |
CA2935823C (en) * | 2005-01-18 | 2019-01-15 | Certicom Corp. | Accelerated verification of digital signatures and public keys |
WO2008058388A1 (en) * | 2006-11-15 | 2008-05-22 | Certicom Corp. | Implicit certificate verification |
-
2007
- 2007-11-15 WO PCT/CA2007/002049 patent/WO2008058388A1/en active Application Filing
- 2007-11-15 CA CA2669145A patent/CA2669145C/en active Active
- 2007-11-15 CN CN200780049588.8A patent/CN101641905B/zh active Active
- 2007-11-15 EP EP07845519.3A patent/EP2082524B1/en not_active Not-in-force
- 2007-11-15 SG SG2011068533A patent/SG174833A1/en unknown
- 2007-11-15 JP JP2009536569A patent/JP5174828B2/ja active Active
- 2007-11-15 US US11/940,659 patent/US8069346B2/en active Active
-
2011
- 2011-10-28 US US13/284,770 patent/US8380984B2/en active Active
-
2012
- 2012-11-09 JP JP2012247137A patent/JP2013034251A/ja not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08328472A (ja) * | 1995-05-26 | 1996-12-13 | Korea Telecommun Authority | 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法 |
JP2004507156A (ja) * | 2000-08-11 | 2004-03-04 | テレフオンアクチーボラゲツト エル エム エリクソン | 任意通信サービスのセキュリティ確保 |
Non-Patent Citations (6)
Title |
---|
CSNG200400121002; 伊藤孝一,伊豆哲也,武仲正彦: '"Address-bit DPAによるOK-ECDHとOK-ECDSAの解析報告"' 電子情報通信学会技術研究報告 Vol.102,No.323, 20020913, p.17-24, 社団法人電子情報通信学会 * |
JPN6011062673; Mohamad Badra, Ibrahim Hajjeh: '"Key-Exchange Authentication Using Shared Secrets"' Computer Volume 39, Issue 3, 200603, p.58-66, [online] * |
JPN6011062674; Adrian Antipa, Daniel Brown, Robert Gallant, Rob Lambert, Rene Struik, and Scott Vanstone: '"Accelerated Verification of ECDSA Signatures"' LNCS, Selected Areasin Cryptography Vol.3897, 200508, p.307-318 * |
JPN6011062677; Katsuyuki OKEYA and Kouichi SAKURAI: '"A Scalar Multiplication Algorithm with Recovery of the y-Coordinate on the Montgomery Form and Ana' IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences VOL.E85-A, NO.1, 20020101, p.84-93, 社団法人電[ * |
JPN6011062679; Jiin-Chiou CHENG, Wen-Chung KUO, and Chi-Sung LAIH: '"Correction on "A Scalar Multiplication Algorithm with Recovery of the y-Coordinate on the Montgom' IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences VOL.E87-A, NO.7, 2004 * |
JPN6011062681; 伊藤孝一,伊豆哲也,武仲正彦: '"Address-bit DPAによるOK-ECDHとOK-ECDSAの解析報告"' 電子情報通信学会技術研究報告 Vol.102,No.323, 20020913, p.17-24, 社団法人電子情報通信学会 * |
Also Published As
Publication number | Publication date |
---|---|
CA2669145C (en) | 2013-11-05 |
US20120047363A1 (en) | 2012-02-23 |
JP5174828B2 (ja) | 2013-04-03 |
US20100023771A1 (en) | 2010-01-28 |
CN101641905A (zh) | 2010-02-03 |
SG174833A1 (en) | 2011-10-28 |
CN101641905B (zh) | 2012-09-05 |
CA2669145A1 (en) | 2008-05-22 |
EP2082524A4 (en) | 2010-08-18 |
US8380984B2 (en) | 2013-02-19 |
WO2008058388A1 (en) | 2008-05-22 |
EP2082524A1 (en) | 2009-07-29 |
JP2010509876A (ja) | 2010-03-25 |
US8069346B2 (en) | 2011-11-29 |
EP2082524B1 (en) | 2013-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5174828B2 (ja) | 暗黙の証明書検証 | |
JP5329676B2 (ja) | 鍵合意プロトコルの加速 | |
US8369517B2 (en) | Fast scalar multiplication for elliptic curve cryptosystems over prime fields | |
US9571274B2 (en) | Key agreement protocol | |
JP5497677B2 (ja) | 公開鍵を検証可能に生成する方法及び装置 | |
JP5205398B2 (ja) | 鍵認証方式 | |
EP2276196B1 (en) | Method for the Application of Implicit Signature Schemes | |
US8594324B2 (en) | Key validation scheme | |
US20150288527A1 (en) | Verifiable Implicit Certificates | |
CN111355582A (zh) | 基于sm2算法的两方联合签名和解密的方法及系统 | |
US20160352689A1 (en) | Key agreement protocol | |
EP2495907A1 (en) | System and method for reducing computations in the derivation of a publick key corresponding to an implicit certificate | |
CN110557260B (zh) | 一种sm9数字签名生成方法及装置 | |
WO2016187690A1 (en) | Key agreement protocol | |
Mangipudi et al. | Authentication and Key Agreement Protocols Preserving Anonymity. | |
Arazi | Certification of dl/ec keys | |
Chakraborty et al. | Preventing Unknown Key-Share Attack using Cryptographic Bilinear Maps | |
Yoon et al. | Robust User Password Change Scheme based on the Elliptic Curve Cryptosystem | |
CLIMENT et al. | A nonlinear cryptosystem based on elliptic curves | |
Uslu | Basic key exchange protocols for secret key cryptosystems under crympix library | |
JPH07261664A (ja) | プライバシー保護認証方法 | |
CA2892787A1 (en) | Key agreement protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121109 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130206 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20130402 |