JP4945026B2 - 減少した計算組を伴う認証または署名プロセス - Google Patents
減少した計算組を伴う認証または署名プロセス Download PDFInfo
- Publication number
- JP4945026B2 JP4945026B2 JP2000596695A JP2000596695A JP4945026B2 JP 4945026 B2 JP4945026 B2 JP 4945026B2 JP 2000596695 A JP2000596695 A JP 2000596695A JP 2000596695 A JP2000596695 A JP 2000596695A JP 4945026 B2 JP4945026 B2 JP 4945026B2
- Authority
- JP
- Japan
- Prior art keywords
- processor
- parameter
- opening
- prober
- modulo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Collating Specific Patterns (AREA)
- Mobile Radio Communication Systems (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、減少された計算の組を伴う認証または署名プロセスに関する。
【0002】
より正確には、本発明は、公開鍵暗号分野に関する。このプロセスによると、認証されるべき実体−プロバ(prover)−は、秘密鍵と関係する公開鍵とを有する。認証する実体−ベリファイヤ−(verifier)は、認証を達成するためには、この公開鍵を必要とするだけである。
【0003】
更により正確には、本プロセスは、「ゼロ認識プロトコル」と呼ばれる(即ち、認識の如何なる通信も有しない)プロセスの組に関する。この種のプロセスによると、認証は、プロバの秘密鍵について何も開示しないプロトコルに従って(認識されるように、かつ、完全に筋が通っているとして科学共同体によって考慮された仮定の下で)実行される。
【0004】
更により正確であるために、本発明は、因数分解問題に基づく(即ち、大きな整数を素数の積に因数分解することの困難に基づく)ゼロ認識プロセスに関する。
【0005】
本発明は、電話相手またはメッセージを認証する必要がある全てのシステム、または、メッセージに署名する必要がある全てのシステムに適用可能であり、詳細には、プロバによって実行されるべき計算の量がクリティカルであるシステムに適用可能である。これは、特に、標準のマイクロプロセッサを使用するカード、または、低価格のカードに対する場合である。これらのカードは(しばしば、暗号プロセッサと呼ばれる)算術コプロセッサを具備せず、該カードでは、暗号計算が加速されなくてはならない。
【0006】
本発明の一般的なアプリケーションは、電子財布である。電子財布は、価格理由または技術的理由(例えば、接触不要なインターフェースの使用)のいずれかまたはその両方の理由によって暗号プロセッサの使用を放棄しながら、非常に高いセキュリティレベルを要求する。
【0007】
他の可能性のあるアプリケーションは、次世代テレカード(telecard)である。次世代テレカードの価格制約は、電子財布の価格制約よりもはるかに厳しい。
【0008】
【従来の技術および発明が解決しようとする課題】
多数のゼロ認識識別プロセスが、公表されている。例えば、
−“Advances in Cryptology: Proceedings of CRYPTO'86, Lecture Notes in Computer Science”vol. 263, Springer-Verlag, Berlin, 1987, pp. 186-194において公表された“how to prove yourself: Practical solutions to identification and signature problems”とタイトルの付けられたA. FIATとA. SHAMIRとによる記事に記載されたFIAT-SHAMIRプロトコル
−Advances in Cryptology: Proceedings of EUROCRYPT'88; Lecture notes in Computer Sciences”vol. 330, Springer-Verlag, Berlin, 1988, pp. 123-128において公表された“A Practical zero-knowledge protocol fitted to security microprocessors minimising both transmission and memory”とタイトルの付けられたL.C. GUILLOUとJ.J. QUISQUATERとによる記事に記載されたGUILLOU-QUISQUATERプロトコル
−離散対数問題に基づくフランス特許出願FR-A-2 176 058に記載されたGIRAULTプロトコル
【0009】
一般的に言えば、大抵のゼロ認識識別(または、メッセージ認証)プロトコルは、3つのステップを含む。簡単のために、「ベリファイヤBは、プロバAに関する全ての公開パラメータ(即ち、プロバAの識別子や公開鍵など)を既に知っている」ということを仮定する。
【0010】
第1のトランザクションとして、Aは、認証または署名されるべきメッセージだけでなく、「オープニング」と呼ばれる値“c”、即ち、(Aよってランダムに選択された数rからそれ自身得られた)パラメータxの擬似ランダム関数hを通したイメージを、Bに供給する。c=h(x,〔M〕)であり、ここで、シンボル〔M〕は「Mが任意である」ということを意味する。これが、第1のステップである。いくつかのプロトコルは、いくつかのオープニングを含む。
【0011】
第2のトランザクションの間、Bは、ランダムに選択されたパラメータe(「質問」)を、Aへ送る。それが、第2のステップである。
【0012】
第3のトランザクションの間、Aは、質問eとオープニングcとAの秘密鍵とに密接した「回答」yを、Bへ送る(第3のステップ)。
【0013】
そして、Bは受信した回答をチェックする。より正確には、Bは、式
【数39】
を使用して要素yとeとvとからxを再計算し、かつ、
【数40】
をベリファイする。これが、第4のステップである。
【0014】
認証すべきメッセージがないときは、擬似ランダム関数hの使用は任意である。この場合、c=xが便利である。立証は、
【数41】
をチェックすることを具備する。
【0015】
いくつかのプロトコルにおいて、ベリファイヤとプロバとの間には、1または2以上のトランザクションがある。
【0016】
メッセージ署名に対して、パラメータeはcに等しくされるので、最初の2つのステップは破棄される。そして、Aは、cとe(=c)とyとを連続的に計算するだけである。
【0017】
回答されるべき質問の数uは、希望されるプロトコルセキュリティレベルに直接依存する。このレベルは、詐称者(即ち、Aを不正に模倣する実体C)を検出することの確率pとして定義される。確率pは、パラメータkによって測定される。パラメータkの値は、式p=1−2-kによって、pに関係付けられる。言い換えると、詐称者は、2k回に1回の成功しか有しない。「もし、プロトコルが困難な数学的計算に依存するならば、かつ、もし、オープニングが十分な長さであるならば、uの長さは単にkビットに等しくなくてはならない」ということが、本ケースにおいて論証されることができる。kの一般的な値は32である。このことは、40億回に1回成功することを、詐称者に与える。識別の失敗が非常に有害な結果を有するかも知れないアプリケーション(例えば、法律行為)においては、この長さは、少ないビットに減少されてもよい。
【0018】
因数分解を使用するプロトコルに対して、rの項におけるxの計算は、または、eの項におけるyの計算は、または、その両方は、nを法とする作業を含む。ここで、nは、因数分解することが困難な合成数である。この数は、信頼できる第三者によって生成された普遍的なタイプの数であるべきと言われる。この数は、全ての認可された実体によって記憶されかつ使用される。nの因数分解を解くことは全ての信用されたユーザーの秘密鍵を処理することなので、nの「普遍的な」特徴は「大きな数(通常は1024ビット)である」ということを意味する。
【0019】
それらの基本的なバージョンでは、上述されたプロトコルはいずれも、以前の段落において記述されたようなシビアな仕様(低価格、低複雑化)に応じなくてはならないアプリケーションにおいて実現されることができない。なぜならば、要求される計算は、暗号プロセッサ無しのマイクロプロセッサカードによっては実行されることができないからである。
【0020】
フランス特許出願FR-A-2 752 122はこれらのプロトコルを楽天的に記述しているが、該特許出願は、いわゆる「予備計算を伴う」モードに続く離散対数法を含むプロトコルに限定され、「規則正しく予定された再ロードを含む」という欠点を有する。
Cryptology, Crypto 88 Proceegings, XP000090662, pp. 583-588 において先に公表された“ zero-knowledge Authentication scheme with Secret Key Exchange ”とタイトルの付けられた J. BRANDT らからの文献は、2人のユーザーの間における秘密鍵の交換を伴うゼロ認識認証スキームを記述している。該スキームでは、プロバは、該プロバ自身のモジュラスn=pqを計算し、かつ、タイプm d (mod n)の作業を実行する。
【0021】
本発明は、因数分解を含むゼロ認識識別(またはメッセージ署名または認証)プロトコルを使用するときに、プロバによって実行されるべき計算の数を減少することを目的とする。特定の作業v=s -t (mod n)を使用するとき、ゲインは約数2または3に到達しやすい。
【0022】
本発明は、また、−詳細にはGUILLOU-QUISQUATERプロトコルと結合されたときに−、電子財布または次世代テレカードのようなアプリケーションに対して、低価格の標準マイクロ回路カードにおいて具備される公開鍵を伴う識別(またはメッセージ認証または署名)の高速な完了を可能にする。
【0023】
モジュラスnは各個のパラメータであり(言い換えれば、各ユーザーは彼自身のn値を有し)、この選択物は(好ましくは結合されてもよい)以下の2つの方法で活用される。
1)第1に、現在使用される値よりも小さい(一般的には、1000ビットより小さく、かつ、例えば、700ビットと800ビットとの間の範囲にわたる)nの長さを保持することによる。nの因数分解を解くことは関連するユーザーの秘密鍵だけを処理しかつ他のユーザーの秘密鍵を処理する方法がないので、これは可能である。この修正は、nを法として実行される計算の継続期間を、単独で40%減少する。
2)もし、ユーザーが該ユーザーのセキュリティデバイスのメモリ内にnの素因数を記憶しているならば、2つの素因数が存在するときに、彼は、nを法とする計算の継続期間を40%更に減少するために、チャイニーズ剰余技術(Chinese remainders technique)を使用してもよい。この減少は、いくつか(一般的には、3または4)の素因数を使用するときに増大される。
【0024】
総合的に考えると、nを法とする計算は、少なくとも60%(即ち、係数2)減少されることができる。
【0025】
正確には、本発明は、「プロバ」と呼ばれる第1の実体と「ベリファイヤ」と呼ばれる第2の実体とを含む認証のプロセスに関し、第1の実体は、公開鍵
【数41】
と秘密鍵
【数42】
とを有し、これらの鍵は、
【数43】
を法とする計算によって関連付けられ、ここで、
【数44】
は、プロバに特有のモジュラスと呼ばれる整数であり、第2の実体は、公開鍵
【数45】
を知っており、これらの実体は、ゼロ認識コンテクストにおいて情報を交換しかつこの情報に基づく暗号計算を実行する手段を提供され、いくつかの計算は、
【数46】
を法とするモードで実行され、該プロセスは、「nを法とする作業のモジュラスはv=s -t (mod n)として表現され、tはパラメータである」ということを特徴とする。
【0026】
前記実体は、例えば、マイクロ回路カードや電子財布やテレカードなどであってもよい。
【0027】
好ましい実現によると、ゼロ認識情報交換および暗号計算は、以下の通りである。
・プロバが、1とn−1との間の範囲にわたる1つの(いくつかの)整数
【数47】
をランダムに選択し、かつ、rt(mod n)に等しい1つの(いくつかの)パラメータ
【数48】
を計算し、そして、オープニングと呼ばれる1つの(いくつかの)の数
【数49】
を計算し、オープニングは、この(これらの)パラメータとおそらくメッセージ(M)との1つの(いくつかの)の関数であり、かつ、プロバが、この(これらの)オープニングをベリファイヤへ送る。
・ベリファイヤ実体が、オープニング
【数50】
を受信し、かつ、「質問」と呼ばれる1つの数
【数51】
をランダムに選択し、かつ、この質問をプロバへ送る。
・プロバが、質問
【数52】
を受信し、かつ、この質問
【数53】
と秘密鍵
【数54】
とを使用して1つの(いくつかの)計算を実行し、この(これらの)計算の結果が1つの(いくつかの)回答
【数55】
を生じ、かつ、プロバが、この(これらの)回答をベリファイヤへ送る。
・ベリファイヤが、回答
【数56】
を受信し、かつ、公開鍵
【数57】
とモジュラス
【数58】
とを使用して1つの計算を実行し、かつ、「結果が、受信されたオープニングに密接である」ということを
【数59】
を法とする計算を伴ってチェックする。
【0028】
数nのサイズは、ビットの数で表現され、1000より小さい。例えば、該サイズは、700と800との間であってもよい。
【0029】
本発明は、また、「署名者」と呼ばれる実体によって使用されるべきメッセージ署名プロセスに関し、この実体は、公開鍵
【数63】
と秘密鍵
【数64】
とを提供され、これらの鍵は、
【数65】
を法とする作業によって関連付けられ、ここで、
【数66】
は、モジュラスと呼ばれる整数であり、
【数67】
はパラメータであり、該プロセスにおいて、署名者は、署名されるべきメッセージの注目すべき関数であるオープニング
【数68】
と秘密鍵の関数である数
【数69】
とを計算し、署名とメッセージとである数
【数70】
と
【数71】
とを送信し、該プロセスは、「モジュラスnは、署名者に特有である」ということを特徴とする。
【0030】
好ましい実現によると、署名者は、1とn−1との間の整数
【数72】
をランダムに選択し、そして、rt(mod n)に等しいパラメータ
【数73】
を計算し、そして、パラメータ
【数74】
と署名されるべきメッセージとの関数である数
【数75】
を計算し、そして、秘密鍵
【数76】
を使用して数
【数77】
と
【数78】
との関数として数
【数79】
を計算し、そして、数
【数80】
と
【数81】
とを署名として送信する。
【0031】
【発明の実施の形態】
以下の記述において、本発明は、一例として、プロトコルGUILLOU-QUISQUATERと組み合わされることが仮定される。「本発明はこのプロトコルに限定されない」ということは明らかである。
【0032】
「GUILLOU-QUISQUATERプロトコルの普遍的なパラメータは、少なくとも1024ビットを具備するモジュラス
【数82】
(素数の積)と整数値
【数83】
とである」ということに注意されたい。
【0033】
公開鍵
【数84】
と秘密鍵
【数85】
とは、式v=s-t(mod n)をベリファイする。
【0034】
保持されるセキュリティレベルは、(
【数86】
以下であり、一般には
【数87】
に等しい)
【数88】
である。
【0035】
通常の用語に従うと、BによるAの認証は、以下の通りに完了する。ここで、Aはアリスと呼ばれ、かつ、Bはボブと呼ばれる。
1.アリスが、範囲〔1,n−1〕内においてrを選択し、かつ、x=rt(mod n)そしてc=h(x,〔M〕)を計算し、かつ、cをボブへ送る。
2.ボブが、範囲〔1,u−1〕内においてeを選択し、かつ、eをアリスへ送る。
3.アリスが、y=rse(mod n)を計算し、かつ、yをボブへ送る。
4.ボブが、x=ytve(mod n)を計算し、かつ、c=h(x,〔M〕)をベリファイする。
【0036】
メッセージが認証されるべきでないときは、擬似ランダム関数hを含むことは任意である。c=xが使用されることができる。そして、立証は、x=ytve(mod n)をチェックすることを具備する。
【0037】
本発明によって修正されたプロトコルでは、tは唯一の普遍的なパラメータである。
【0038】
公開鍵は(n,v)である。ここで、nは少なくても768ビットを有する。アリスの公開鍵vと秘密鍵とは、式v=s-t(mod n)を満足する。
【0039】
本発明の第2の特徴の利点を得るために、秘密鍵は、nに基づく素因数を具備してもよい。
【0040】
パラメータtは公開鍵内に具備されてもよい(この場合、普遍的なパラメータはもはや存在しない)。
【0041】
アリスとボブとによって保持されるセキュリティレベルは(t以下であり、通常はu=tである)uである。
【0042】
ボブによるアリスの認証は、上述されたように実行される。しかし、より高速な計算を伴うと、より小さなモジュラスnに起因する。
【0043】
全てのアリスの計算はnを法として実行されるので、たった1つの係数の乗算に起因するゲインファクタは、プロトコルを実行するときに、アリスによって完了される完全な組の計算に影響を及ぼす。このことは、例えば、Fiat-ShamirまたはGiraultプロトコルと同じであるべきである(後者の場合、係数計算がないので、ステップ3においてゲインは予測されるべきでないが、このステップの実行時間は、第1ステップの係数の累乗に関して無視できる)。
【0044】
本発明は、また、チャイニーズ剰余技術によって実現されてもよい。チャイニーズ剰余技術は、nの素因数のnを法とする値を計算することを具備する。これらの数は無視できるほど小さいので、これらの作業は迅速に行われる。更に、nを法とする結果は「再構成」作業を通して取得されるべきである。この技術は、“Electronic Letters”vol. 18, October 1982, pp. 905-907において公表された“Fast Decipherment algorithm for RSA public-key cryptosystem”とタイトルの付けられたJ.J QUISQUATERとC.COUVREURの記事に記述されている。
【0045】
nが2つの素因数pとqとの積である場合を考える。
【0046】
ベゾアールの定理から、「ab+bq=1のような2つの整数が存在する」ということが知られる。
【0047】
y=xe(mod n)を計算するために、xp=x(mod p)とxq=x(mod q)とを計算することによって、各素因数を法とするxの減少を開始する。また、ep=e mod(p−1)とeq=e mod(q−1)とを計算することによって、(p−1)と(q−1)とを法とするeを減少する(Guillou-Quisquaterのプロトコルにおいて、eは常にp−1およびq−1より小さく、そして、ep=eq=1である)。
【0048】
そして、yp=xp e p(mod p)とyq=xq e q(mod q)とを計算する。pとqとが同様のサイズのとき、これらの計算の各々は、eとnとが同様のサイズのとき(第1の場合)の計算y=xe(mod n)よりも約8倍高速であり、eのサイズがpのサイズ以下であるとき(例えば、アルゴリズムにおける第2の場合を参照)よりも4倍高速である。そして、2つの計算の組は、4倍高速であるか、または、2倍高速である。
【0049】
yは、更に、ypとyqとから再構成されることができる。これは、式y=yp+ap(yq−yp)(mod n)を使用して実行される。
【0050】
総合的に考えると、チャイニーズ剰余の方法は、(同様のサイズであると仮定される)素因数の数が2より大きくかつkに等しいときに、第1の場合における3から4の範囲の約数と第2の場合における1.5から2の範囲の約数とによる計算の加速を導く。加速係数は、第1の場合はk2に近く、かつ、第2の場合はk近い。
【発明の属する技術分野】
本発明は、減少された計算の組を伴う認証または署名プロセスに関する。
【0002】
より正確には、本発明は、公開鍵暗号分野に関する。このプロセスによると、認証されるべき実体−プロバ(prover)−は、秘密鍵と関係する公開鍵とを有する。認証する実体−ベリファイヤ−(verifier)は、認証を達成するためには、この公開鍵を必要とするだけである。
【0003】
更により正確には、本プロセスは、「ゼロ認識プロトコル」と呼ばれる(即ち、認識の如何なる通信も有しない)プロセスの組に関する。この種のプロセスによると、認証は、プロバの秘密鍵について何も開示しないプロトコルに従って(認識されるように、かつ、完全に筋が通っているとして科学共同体によって考慮された仮定の下で)実行される。
【0004】
更により正確であるために、本発明は、因数分解問題に基づく(即ち、大きな整数を素数の積に因数分解することの困難に基づく)ゼロ認識プロセスに関する。
【0005】
本発明は、電話相手またはメッセージを認証する必要がある全てのシステム、または、メッセージに署名する必要がある全てのシステムに適用可能であり、詳細には、プロバによって実行されるべき計算の量がクリティカルであるシステムに適用可能である。これは、特に、標準のマイクロプロセッサを使用するカード、または、低価格のカードに対する場合である。これらのカードは(しばしば、暗号プロセッサと呼ばれる)算術コプロセッサを具備せず、該カードでは、暗号計算が加速されなくてはならない。
【0006】
本発明の一般的なアプリケーションは、電子財布である。電子財布は、価格理由または技術的理由(例えば、接触不要なインターフェースの使用)のいずれかまたはその両方の理由によって暗号プロセッサの使用を放棄しながら、非常に高いセキュリティレベルを要求する。
【0007】
他の可能性のあるアプリケーションは、次世代テレカード(telecard)である。次世代テレカードの価格制約は、電子財布の価格制約よりもはるかに厳しい。
【0008】
【従来の技術および発明が解決しようとする課題】
多数のゼロ認識識別プロセスが、公表されている。例えば、
−“Advances in Cryptology: Proceedings of CRYPTO'86, Lecture Notes in Computer Science”vol. 263, Springer-Verlag, Berlin, 1987, pp. 186-194において公表された“how to prove yourself: Practical solutions to identification and signature problems”とタイトルの付けられたA. FIATとA. SHAMIRとによる記事に記載されたFIAT-SHAMIRプロトコル
−Advances in Cryptology: Proceedings of EUROCRYPT'88; Lecture notes in Computer Sciences”vol. 330, Springer-Verlag, Berlin, 1988, pp. 123-128において公表された“A Practical zero-knowledge protocol fitted to security microprocessors minimising both transmission and memory”とタイトルの付けられたL.C. GUILLOUとJ.J. QUISQUATERとによる記事に記載されたGUILLOU-QUISQUATERプロトコル
−離散対数問題に基づくフランス特許出願FR-A-2 176 058に記載されたGIRAULTプロトコル
【0009】
一般的に言えば、大抵のゼロ認識識別(または、メッセージ認証)プロトコルは、3つのステップを含む。簡単のために、「ベリファイヤBは、プロバAに関する全ての公開パラメータ(即ち、プロバAの識別子や公開鍵など)を既に知っている」ということを仮定する。
【0010】
第1のトランザクションとして、Aは、認証または署名されるべきメッセージだけでなく、「オープニング」と呼ばれる値“c”、即ち、(Aよってランダムに選択された数rからそれ自身得られた)パラメータxの擬似ランダム関数hを通したイメージを、Bに供給する。c=h(x,〔M〕)であり、ここで、シンボル〔M〕は「Mが任意である」ということを意味する。これが、第1のステップである。いくつかのプロトコルは、いくつかのオープニングを含む。
【0011】
第2のトランザクションの間、Bは、ランダムに選択されたパラメータe(「質問」)を、Aへ送る。それが、第2のステップである。
【0012】
第3のトランザクションの間、Aは、質問eとオープニングcとAの秘密鍵とに密接した「回答」yを、Bへ送る(第3のステップ)。
【0013】
そして、Bは受信した回答をチェックする。より正確には、Bは、式
【数39】
【数40】
【0014】
認証すべきメッセージがないときは、擬似ランダム関数hの使用は任意である。この場合、c=xが便利である。立証は、
【数41】
【0015】
いくつかのプロトコルにおいて、ベリファイヤとプロバとの間には、1または2以上のトランザクションがある。
【0016】
メッセージ署名に対して、パラメータeはcに等しくされるので、最初の2つのステップは破棄される。そして、Aは、cとe(=c)とyとを連続的に計算するだけである。
【0017】
回答されるべき質問の数uは、希望されるプロトコルセキュリティレベルに直接依存する。このレベルは、詐称者(即ち、Aを不正に模倣する実体C)を検出することの確率pとして定義される。確率pは、パラメータkによって測定される。パラメータkの値は、式p=1−2-kによって、pに関係付けられる。言い換えると、詐称者は、2k回に1回の成功しか有しない。「もし、プロトコルが困難な数学的計算に依存するならば、かつ、もし、オープニングが十分な長さであるならば、uの長さは単にkビットに等しくなくてはならない」ということが、本ケースにおいて論証されることができる。kの一般的な値は32である。このことは、40億回に1回成功することを、詐称者に与える。識別の失敗が非常に有害な結果を有するかも知れないアプリケーション(例えば、法律行為)においては、この長さは、少ないビットに減少されてもよい。
【0018】
因数分解を使用するプロトコルに対して、rの項におけるxの計算は、または、eの項におけるyの計算は、または、その両方は、nを法とする作業を含む。ここで、nは、因数分解することが困難な合成数である。この数は、信頼できる第三者によって生成された普遍的なタイプの数であるべきと言われる。この数は、全ての認可された実体によって記憶されかつ使用される。nの因数分解を解くことは全ての信用されたユーザーの秘密鍵を処理することなので、nの「普遍的な」特徴は「大きな数(通常は1024ビット)である」ということを意味する。
【0019】
それらの基本的なバージョンでは、上述されたプロトコルはいずれも、以前の段落において記述されたようなシビアな仕様(低価格、低複雑化)に応じなくてはならないアプリケーションにおいて実現されることができない。なぜならば、要求される計算は、暗号プロセッサ無しのマイクロプロセッサカードによっては実行されることができないからである。
【0020】
フランス特許出願FR-A-2 752 122はこれらのプロトコルを楽天的に記述しているが、該特許出願は、いわゆる「予備計算を伴う」モードに続く離散対数法を含むプロトコルに限定され、「規則正しく予定された再ロードを含む」という欠点を有する。
Cryptology, Crypto 88 Proceegings, XP000090662, pp. 583-588 において先に公表された“ zero-knowledge Authentication scheme with Secret Key Exchange ”とタイトルの付けられた J. BRANDT らからの文献は、2人のユーザーの間における秘密鍵の交換を伴うゼロ認識認証スキームを記述している。該スキームでは、プロバは、該プロバ自身のモジュラスn=pqを計算し、かつ、タイプm d (mod n)の作業を実行する。
【0021】
本発明は、因数分解を含むゼロ認識識別(またはメッセージ署名または認証)プロトコルを使用するときに、プロバによって実行されるべき計算の数を減少することを目的とする。特定の作業v=s -t (mod n)を使用するとき、ゲインは約数2または3に到達しやすい。
【0022】
本発明は、また、−詳細にはGUILLOU-QUISQUATERプロトコルと結合されたときに−、電子財布または次世代テレカードのようなアプリケーションに対して、低価格の標準マイクロ回路カードにおいて具備される公開鍵を伴う識別(またはメッセージ認証または署名)の高速な完了を可能にする。
【0023】
モジュラスnは各個のパラメータであり(言い換えれば、各ユーザーは彼自身のn値を有し)、この選択物は(好ましくは結合されてもよい)以下の2つの方法で活用される。
1)第1に、現在使用される値よりも小さい(一般的には、1000ビットより小さく、かつ、例えば、700ビットと800ビットとの間の範囲にわたる)nの長さを保持することによる。nの因数分解を解くことは関連するユーザーの秘密鍵だけを処理しかつ他のユーザーの秘密鍵を処理する方法がないので、これは可能である。この修正は、nを法として実行される計算の継続期間を、単独で40%減少する。
2)もし、ユーザーが該ユーザーのセキュリティデバイスのメモリ内にnの素因数を記憶しているならば、2つの素因数が存在するときに、彼は、nを法とする計算の継続期間を40%更に減少するために、チャイニーズ剰余技術(Chinese remainders technique)を使用してもよい。この減少は、いくつか(一般的には、3または4)の素因数を使用するときに増大される。
【0024】
総合的に考えると、nを法とする計算は、少なくとも60%(即ち、係数2)減少されることができる。
【0025】
正確には、本発明は、「プロバ」と呼ばれる第1の実体と「ベリファイヤ」と呼ばれる第2の実体とを含む認証のプロセスに関し、第1の実体は、公開鍵
【数41】
【数42】
【数43】
【数44】
【数45】
【数46】
【0026】
前記実体は、例えば、マイクロ回路カードや電子財布やテレカードなどであってもよい。
【0027】
好ましい実現によると、ゼロ認識情報交換および暗号計算は、以下の通りである。
・プロバが、1とn−1との間の範囲にわたる1つの(いくつかの)整数
【数47】
【数48】
【数49】
・ベリファイヤ実体が、オープニング
【数50】
【数51】
・プロバが、質問
【数52】
【数53】
【数54】
【数55】
・ベリファイヤが、回答
【数56】
【数57】
【数58】
【数59】
【0028】
数nのサイズは、ビットの数で表現され、1000より小さい。例えば、該サイズは、700と800との間であってもよい。
【0029】
本発明は、また、「署名者」と呼ばれる実体によって使用されるべきメッセージ署名プロセスに関し、この実体は、公開鍵
【数63】
【数64】
【数65】
【数66】
【数67】
【数68】
【数69】
【数70】
【数71】
【0030】
好ましい実現によると、署名者は、1とn−1との間の整数
【数72】
【数73】
【数74】
【数75】
【数76】
【数77】
【数78】
【数79】
【数80】
【数81】
【0031】
【発明の実施の形態】
以下の記述において、本発明は、一例として、プロトコルGUILLOU-QUISQUATERと組み合わされることが仮定される。「本発明はこのプロトコルに限定されない」ということは明らかである。
【0032】
「GUILLOU-QUISQUATERプロトコルの普遍的なパラメータは、少なくとも1024ビットを具備するモジュラス
【数82】
【数83】
【0033】
公開鍵
【数84】
【数85】
【0034】
保持されるセキュリティレベルは、(
【数86】
【数87】
【数88】
【0035】
通常の用語に従うと、BによるAの認証は、以下の通りに完了する。ここで、Aはアリスと呼ばれ、かつ、Bはボブと呼ばれる。
1.アリスが、範囲〔1,n−1〕内においてrを選択し、かつ、x=rt(mod n)そしてc=h(x,〔M〕)を計算し、かつ、cをボブへ送る。
2.ボブが、範囲〔1,u−1〕内においてeを選択し、かつ、eをアリスへ送る。
3.アリスが、y=rse(mod n)を計算し、かつ、yをボブへ送る。
4.ボブが、x=ytve(mod n)を計算し、かつ、c=h(x,〔M〕)をベリファイする。
【0036】
メッセージが認証されるべきでないときは、擬似ランダム関数hを含むことは任意である。c=xが使用されることができる。そして、立証は、x=ytve(mod n)をチェックすることを具備する。
【0037】
本発明によって修正されたプロトコルでは、tは唯一の普遍的なパラメータである。
【0038】
公開鍵は(n,v)である。ここで、nは少なくても768ビットを有する。アリスの公開鍵vと秘密鍵とは、式v=s-t(mod n)を満足する。
【0039】
本発明の第2の特徴の利点を得るために、秘密鍵は、nに基づく素因数を具備してもよい。
【0040】
パラメータtは公開鍵内に具備されてもよい(この場合、普遍的なパラメータはもはや存在しない)。
【0041】
アリスとボブとによって保持されるセキュリティレベルは(t以下であり、通常はu=tである)uである。
【0042】
ボブによるアリスの認証は、上述されたように実行される。しかし、より高速な計算を伴うと、より小さなモジュラスnに起因する。
【0043】
全てのアリスの計算はnを法として実行されるので、たった1つの係数の乗算に起因するゲインファクタは、プロトコルを実行するときに、アリスによって完了される完全な組の計算に影響を及ぼす。このことは、例えば、Fiat-ShamirまたはGiraultプロトコルと同じであるべきである(後者の場合、係数計算がないので、ステップ3においてゲインは予測されるべきでないが、このステップの実行時間は、第1ステップの係数の累乗に関して無視できる)。
【0044】
本発明は、また、チャイニーズ剰余技術によって実現されてもよい。チャイニーズ剰余技術は、nの素因数のnを法とする値を計算することを具備する。これらの数は無視できるほど小さいので、これらの作業は迅速に行われる。更に、nを法とする結果は「再構成」作業を通して取得されるべきである。この技術は、“Electronic Letters”vol. 18, October 1982, pp. 905-907において公表された“Fast Decipherment algorithm for RSA public-key cryptosystem”とタイトルの付けられたJ.J QUISQUATERとC.COUVREURの記事に記述されている。
【0045】
nが2つの素因数pとqとの積である場合を考える。
【0046】
ベゾアールの定理から、「ab+bq=1のような2つの整数が存在する」ということが知られる。
【0047】
y=xe(mod n)を計算するために、xp=x(mod p)とxq=x(mod q)とを計算することによって、各素因数を法とするxの減少を開始する。また、ep=e mod(p−1)とeq=e mod(q−1)とを計算することによって、(p−1)と(q−1)とを法とするeを減少する(Guillou-Quisquaterのプロトコルにおいて、eは常にp−1およびq−1より小さく、そして、ep=eq=1である)。
【0048】
そして、yp=xp e p(mod p)とyq=xq e q(mod q)とを計算する。pとqとが同様のサイズのとき、これらの計算の各々は、eとnとが同様のサイズのとき(第1の場合)の計算y=xe(mod n)よりも約8倍高速であり、eのサイズがpのサイズ以下であるとき(例えば、アルゴリズムにおける第2の場合を参照)よりも4倍高速である。そして、2つの計算の組は、4倍高速であるか、または、2倍高速である。
【0049】
yは、更に、ypとyqとから再構成されることができる。これは、式y=yp+ap(yq−yp)(mod n)を使用して実行される。
【0050】
総合的に考えると、チャイニーズ剰余の方法は、(同様のサイズであると仮定される)素因数の数が2より大きくかつkに等しいときに、第1の場合における3から4の範囲の約数と第2の場合における1.5から2の範囲の約数とによる計算の加速を導く。加速係数は、第1の場合はk2に近く、かつ、第2の場合はk近い。
Claims (12)
- 「プロバ」(A)と呼ばれる第1の実体と「ベリファイヤ」(B)と呼ばれる第2の実体とを含む認証プロセスであって、第1の実体は、公開鍵vと秘密鍵sとを有し、
これらの鍵は、v=s-t(mod n)の関係によって関連付けられ、ここで、nは、モジュラスと呼ばれる整数であり、nは、プロバ(A)に特有であり、かつ、少なくとも2つの素数の積であり、tはパラメータであり、
第2の実体は、公開鍵vを知っており、
これらの実体は、ゼロ認識情報を交換しかつこの情報に基づいてプロバ(A)の認証のための暗号計算を実行する手段を提供され、
nを法とする計算は、「チャイニーズ剰余」方法に従って実行され、
暗号計算は、
・プロバ(A)が、1とn−1との間の範囲にわたる少なくとも1つの整数rをランダムに選択し、rt(mod n)に等しい少なくとも1つのパラメータ(x)を計算し、そして、該少なくとも1つのパラメータとメッセージ(M)との少なくとも1つの関数である、少なくとも1つのオープニングcを計算し、該少なくとも1つのオープニングをベリファイヤ(B)へ送り、
・ベリファイヤ実体(B)が、オープニングcを受信し、かつ、1つの質問eをランダムに選択し、質問eをプロバ(A)へ送り、
・プロバ(A)が、質問eを受信し、質問eと秘密鍵sとを使用して計算を実行し、該計算の結果が少なくとも1つの回答yを生じ、プロバ(A)が、該少なくとも1つの回答をベリファイヤ(B)へ送り、
・ベリファイヤ(B)が、該少なくとも1つの回答yを受信し、公開鍵vとモジュラスnとを使用して1つの計算を実行し、結果が受信されたオープニングcに密接であることをnを法とする計算を伴ってチェックする
ことによって完了される
ことを特徴とする認証プロセス。 - nのサイズは、ビットの数で表現され、1000より小さい
ことを特徴とする請求項1記載のプロセス。 - nのサイズは、700と800との間である
ことを特徴とする請求項2記載のプロセス。 - 公開鍵v、秘密鍵s、及び署名されるべきメッセージMを記憶する記憶装置と、該記憶装置に接続されるプロセッサとを有する署名者装置(A)によって実行されるメッセージ署名プロセスであって、
これらの鍵は、nを法とするv=s-t(mod n)の演算を介して関連付けられ、ここで、nは、モジュラスと呼ばれる整数であり、nは、署名者装置に特有であり、かつ、少なくとも2つの素数の積であり、tはパラメータであり、
前記プロセスは、
前記プロセッサによって、メッセージMの関数であるオープニングcを計算することと、
前記プロセッサによって、秘密鍵の関数である数yを計算することと、
前記プロセッサによって、数yおよびcをメッセージMの署名としてメッセージMと送信することとを含み、
nを法とする計算は、「チャイニーズ剰余」方法に従って実行される
ことを特徴とするメッセージ署名プロセス。 - 前記プロセッサは、1とn−1との間の整数rをランダムに選択し、かつ、rt(mod n)に等しいパラメータxを計算し、かつ、パラメータxとメッセージMとの関数である数cを計算し、署名者装置の秘密鍵sを使用して数yを計算し、
前記数yは、数rとeとの関数であり、
前記プロセッサは、数cとyとをメッセージMの署名として送信する
ことを特徴とする請求項4記載の署名プロセス。 - 秘密鍵sを記憶する記憶装置と、該記憶装置に接続されるプロセッサとを有するプロバ装置によって、オープニングcを生成して送信することであって、オープニングcを生成することは、
前記プロセッサによって、nを法として計算することであって、nは、プロバ装置に特有な整数であり、かつ、素数の積であることと、
前記プロセッサによって、1とn−1との間の数rをランダムに選択することと、
前記プロセッサによって、rt(mod n)に等しいパラメータxを計算することであって、tはパラメータであることと、
前記プロセッサによって、少なくとも部分的にパラメータxに基づいてオープニングcを計算することとであって、cはパラメータxと異なることとを含むことと、
オープニングcの送信に応じて、前記プロセッサによって、質問eを受信することと、
前記プロセッサによって、結果yを生成して送信し、結果yと、プロバ装置によって保持される秘密鍵sに関連する公開鍵vとに基づいてプロバ装置が認証されることを可能とすることであって、結果yを生成することは、少なくとも部分的に質問eと秘密鍵sとに基づき、nを法として計算することを含むことと、
を含み、
nを法として計算することは、「チャイニーズ剰余」方法を用いることを含む
認証方法。 - 認証プロセスのためのプロバ装置であって、
プロバ装置によって保持される秘密鍵sを記憶する記憶装置と、
該記憶装置に接続されるプロセッサと、を含み、
該プロセッサは、
オープニングcを生成し、プロバ装置にオープニングcを送信させ、ここで、オープニングcの生成は、
nを法とする計算であって、nは、プロバ装置に特有の整数であり、かつ、素数の積であることと、
1とn−1との間の数rのランダムな選択と、
rt(mod n)に等しいパラメータxの計算であって、tはパラメータであることと、
少なくとも部分的にパラメータxに基づいた、オープニングcの計算であって、cはパラメータxと異なることとを含み、
オープニングcの送信に応じて、質問eの受信においてプロバ装置を制御し、
結果yを生成し、プロバ装置に結果yを送信させ、結果yと、プロバ装置によって保持される秘密鍵sに関連する公開鍵vとに基づいてプロバ装置が認証されることを可能とし、ここで、結果yの生成は、少なくとも部分的に質問eと秘密鍵sとに基づき、nを法とする計算を含み、
nを法とする計算は、「チャイニーズ剰余」方法とnの少なくとも2つの素因数とを用いることを含む
ように構成されている
プロバ装置。 - 命令が格納された、コンピュータ読み取り可能な媒体であって、
該命令は、秘密鍵sを記憶する記憶装置と、該記憶装置と接続されるプロセッサとを有するプロバ装置で実行されると、プロバ装置に認証方法を実行させ、
該認証方法は、
前記プロセッサによって、オープニングcを生成して送信することであって、オープニングcを生成することは、
前記プロセッサによって、nを法として計算することであって、nは、プロバ装置に特有な整数であり、かつ、素数の積であることと、
前記プロセッサによって、1とn−1との間の数rをランダムに選択することと、
前記プロセッサによって、rt(mod n)に等しいパラメータxを計算することであって、tはパラメータであることと、
前記プロセッサによって、少なくとも部分的にパラメータxに基づいてオープニングcを計算することであって、cはパラメータxと異なることとを含むことと、
前記プロセッサによって、オープニングcの送信に応じて、プロバ装置によって、質問eを受信することと、
前記プロセッサによって、結果yを生成して送信し、結果yと、プロバ装置によって保持される秘密鍵sに関連する公開鍵vとに基づいてプロバ装置が認証されることを可能とすることであって、結果yを生成することは、少なくとも部分的に質問eと秘密鍵sとに基づき、nを法として計算することを含むことと、
を含み、
nを法として計算することは、「チャイニーズ剰余」方法とnの少なくとも2つの素因数とを用いることを含む
コンピュータ読み取り可能な媒体。 - 結果yを生成することは、前記プロセッサによって、rse(mod n)に等しいyを計算することを含む
請求項6記載の方法。 - 前記プロセッサは、rse(mod n)に等しいyを計算することによりyを計算するように構成されている
請求項7記載のプロバ装置。 - 結果yを生成することは、前記プロセッサによって、rse(mod n)に等しいyを計算することを含む
請求項8記載のコンピュータ読み取り可能な媒体。 - 認証プロセスのためのプロバ装置であって、
オープニングcを生成し、プロバ装置にオープニングcを送信させる手段であって、オープニングcの生成は、
nを法とする計算であって、nは、プロバ装置に特有の整数であり、かつ、少なくとも2つの異なる素数の積であることと、
1とn−1との間の数rのランダムな選択と、
rt(mod n)に等しいパラメータxの計算であって、tはパラメータであることと、
少なくとも部分的にパラメータxに基づいた、オープニングcの計算であって、cはパラメータxと異なることとを含む、手段と、
オープニングcの送信に応じて、質問eの受信においてプロバ装置を制御する手段と、
結果yを生成し、プロバ装置に結果yを送信させ、結果yと、プロバ装置によって保持される秘密鍵sに関連する公開鍵vとに基づいてプロバ装置が認証されることを可能とする手段であって、結果yの生成は、少なくとも部分的に質問eと秘密鍵sとに基づき、nを法とする計算を含む手段と、
を含み、
nを法とする計算は、「チャイニーズ剰余」方法とnの少なくとも2つの素因数とを用いることを含む
プロバ装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9900887A FR2788909B1 (fr) | 1999-01-27 | 1999-01-27 | Procede d'authentification ou de signature a nombre de calculs reduit |
| FR99/00887 | 1999-01-27 | ||
| PCT/FR2000/000174 WO2000045549A1 (fr) | 1999-01-27 | 2000-01-26 | Procede d'authentification ou de signature a nombre de calculs reduit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002536875A JP2002536875A (ja) | 2002-10-29 |
| JP4945026B2 true JP4945026B2 (ja) | 2012-06-06 |
Family
ID=9541270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000596695A Expired - Lifetime JP4945026B2 (ja) | 1999-01-27 | 2000-01-26 | 減少した計算組を伴う認証または署名プロセス |
Country Status (9)
| Country | Link |
|---|---|
| US (2) | USRE42517E1 (ja) |
| EP (1) | EP1145483B1 (ja) |
| JP (1) | JP4945026B2 (ja) |
| AT (1) | ATE226773T1 (ja) |
| CA (1) | CA2360953C (ja) |
| DE (1) | DE60000649T2 (ja) |
| ES (1) | ES2184691T3 (ja) |
| FR (1) | FR2788909B1 (ja) |
| WO (1) | WO2000045549A1 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7006999B1 (en) | 1999-05-13 | 2006-02-28 | Xerox Corporation | Method for enabling privacy and trust in electronic communities |
| US7840806B2 (en) * | 2002-10-16 | 2010-11-23 | Enterprise Information Management, Inc. | System and method of non-centralized zero knowledge authentication for a computer network |
| US8239917B2 (en) * | 2002-10-16 | 2012-08-07 | Enterprise Information Management, Inc. | Systems and methods for enterprise security with collaborative peer to peer architecture |
| US6883706B2 (en) | 2003-05-05 | 2005-04-26 | International Business Machines Corporation | Point-of-sale bill authentication |
| US7797192B2 (en) | 2003-05-06 | 2010-09-14 | International Business Machines Corporation | Point-of-sale electronic receipt generation |
| US7245718B2 (en) * | 2003-08-26 | 2007-07-17 | Mitsubishi Electric Research Laboratories, Inc. | Low bandwidth zero knowledge authentication protocol and device |
| US7467401B2 (en) * | 2004-08-12 | 2008-12-16 | Avatier Corporation | User authentication without prior user enrollment |
| US20080080707A1 (en) * | 2006-09-29 | 2008-04-03 | Shay Gueron | RSA signature authentication with reduced computational burden |
| US8615649B2 (en) * | 2010-09-21 | 2013-12-24 | International Business Machines Corporation | Use of a private key to encrypt and decrypt a message |
| CN105721166B (zh) * | 2016-03-03 | 2018-09-21 | 武汉大学 | 一种量子计算安全的身份识别协议建立方法 |
| US11196722B2 (en) * | 2017-06-14 | 2021-12-07 | Thales Dis France Sa | Method for mutual symmetric authentication between a first application and a second application |
| DE102022202824A1 (de) | 2022-03-23 | 2023-01-19 | Vitesco Technologies GmbH | Verfahren zum Ermitteln einer Manipulation von Übertragungs-Messsignalen einer Sensoreinheit eines Systems und System |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5140634A (en) * | 1987-09-07 | 1992-08-18 | U.S Philips Corporation | Method and apparatus for authenticating accreditations and for authenticating and signing messages |
| US5218637A (en) * | 1987-09-07 | 1993-06-08 | L'etat Francais Represente Par Le Ministre Des Postes, Des Telecommunications Et De L'espace | Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization |
| US4933970A (en) * | 1988-01-19 | 1990-06-12 | Yeda Research And Development Company Limited | Variants of the fiat-shamir identification and signature scheme |
| WO1989011706A1 (en) * | 1988-05-19 | 1989-11-30 | Ncr Corporation | Method and device for authentication |
| US4964164A (en) * | 1989-08-07 | 1990-10-16 | Algorithmic Research, Ltd. | RSA computation method for efficient batch processing |
| FR2716058B1 (fr) * | 1994-02-04 | 1996-04-12 | France Telecom | Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret. |
| JP3314900B2 (ja) | 1994-03-07 | 2002-08-19 | 日本電信電話株式会社 | ゼロ知識証明プロトコルを利用した情報配送方法およびシステム |
| FR2752122B1 (fr) * | 1994-07-28 | 1998-11-27 | France Telecom | Procede d'authentification a nombre reduit de bits transmis |
| DE19513896A1 (de) * | 1995-04-12 | 1996-10-17 | Deutsche Telekom Ag | Verfahren zum Signieren einer Nachricht |
| FI109505B (fi) | 1997-03-24 | 2002-08-15 | Fd Finanssidata Oy | Pankkipalvelujen käyttö digitaalisessa solukkoradiojärjestelmässä |
| FR2763194B1 (fr) | 1997-05-07 | 2000-07-28 | Gemplus Card Int | Generateur pseudo-aleatoire base sur une fonction de hachage pour systemes cryptographiques necessitant le tirage d'aleas |
| JPH118616A (ja) * | 1997-06-17 | 1999-01-12 | Dainippon Printing Co Ltd | 故障利用攻撃対応icカード |
-
1999
- 1999-01-27 FR FR9900887A patent/FR2788909B1/fr not_active Expired - Lifetime
-
2000
- 2000-01-26 DE DE60000649T patent/DE60000649T2/de not_active Expired - Lifetime
- 2000-01-26 AT AT00900666T patent/ATE226773T1/de not_active IP Right Cessation
- 2000-01-26 US US12/393,959 patent/USRE42517E1/en not_active Expired - Fee Related
- 2000-01-26 EP EP00900666A patent/EP1145483B1/fr not_active Expired - Lifetime
- 2000-01-26 CA CA002360953A patent/CA2360953C/fr not_active Expired - Fee Related
- 2000-01-26 US US09/889,557 patent/US7184547B1/en not_active Ceased
- 2000-01-26 WO PCT/FR2000/000174 patent/WO2000045549A1/fr active IP Right Grant
- 2000-01-26 JP JP2000596695A patent/JP4945026B2/ja not_active Expired - Lifetime
- 2000-01-26 ES ES00900666T patent/ES2184691T3/es not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| USRE42517E1 (en) | 2011-07-05 |
| CA2360953A1 (fr) | 2000-08-03 |
| DE60000649T2 (de) | 2003-08-07 |
| DE60000649D1 (de) | 2002-11-28 |
| FR2788909A1 (fr) | 2000-07-28 |
| FR2788909B1 (fr) | 2004-02-20 |
| ES2184691T3 (es) | 2003-04-16 |
| US7184547B1 (en) | 2007-02-27 |
| JP2002536875A (ja) | 2002-10-29 |
| ATE226773T1 (de) | 2002-11-15 |
| CA2360953C (fr) | 2007-08-14 |
| WO2000045549A1 (fr) | 2000-08-03 |
| EP1145483B1 (fr) | 2002-10-23 |
| EP1145483A1 (fr) | 2001-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Schnorr | Efficient signature generation by smart cards | |
| EP0503119B1 (en) | Public key cryptographic system using elliptic curves over rings | |
| Park et al. | Constructing fair-exchange protocols for E-commerce via distributed computation of RSA signatures | |
| US7716484B1 (en) | System and method for increasing the security of encrypted secrets and authentication | |
| EP0691055B1 (en) | Two-way public key authentication and key agreement for low-cost terminals | |
| US8437473B2 (en) | Small public-key based digital signatures for authentication | |
| US7228418B1 (en) | Authentication and signature method for messages using reduced size of binary units of information content and corresponding systems | |
| JP4945026B2 (ja) | 減少した計算組を伴う認証または署名プロセス | |
| Huang et al. | Partially blind ECDSA scheme and its application to bitcoin | |
| KR100971038B1 (ko) | 다수의 엔티티와 그에 따른 장치에 부하를 분배하는암호화 방법 | |
| Kwon | Virtual software tokens-a practical way to secure PKI roaming | |
| US7760884B2 (en) | Cryptographic method and devices for facilitating calculations during transactions | |
| JPH11234263A (ja) | 相互認証方法および装置 | |
| Fan | Improved low-computation partially blind signatures | |
| Fan | Ownership-attached unblinding of blind signatures for untraceable electronic cash | |
| Hirose et al. | A user authentication scheme with identity and location privacy | |
| US7412055B2 (en) | Method and system for fair exchange of user information | |
| JP3316895B2 (ja) | 正当性の確認システム | |
| Juang et al. | A VERIGIABLE MULTI-AUTHORITIES SECRET ELECTION ALLOWING ABSTAINING FROM VOTING | |
| JPH11252070A (ja) | 利用者認証方式 | |
| Saxena et al. | Zero-knowledge blind identification for smart cards using bilinear pairings | |
| Ranjithkumar | A Secure ElGamal Cryptosystem Using Zero Knowledge Protocol | |
| Fan et al. | An efficient election scheme for resolving ties | |
| Chen | An applicative distance education payment protocol | |
| Allen | Identity-based Cryptography from Paillier Cryptosystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061214 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20090902 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090902 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100423 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100716 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100716 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100827 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110224 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110518 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110613 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110727 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110913 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120206 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120227 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120305 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4945026 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150309 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |