JPH01309088A - 実体身元証明と署名発生方法及び装置 - Google Patents

実体身元証明と署名発生方法及び装置

Info

Publication number
JPH01309088A
JPH01309088A JP1009618A JP961889A JPH01309088A JP H01309088 A JPH01309088 A JP H01309088A JP 1009618 A JP1009618 A JP 1009618A JP 961889 A JP961889 A JP 961889A JP H01309088 A JPH01309088 A JP H01309088A
Authority
JP
Japan
Prior art keywords
numbers
coefficient
signature
entity
public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP1009618A
Other languages
English (en)
Other versions
JPH0750375B2 (ja
Inventor
Adi Shamir
アディ シャミアー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yeda Research and Development Co Ltd
Original Assignee
Yeda Research and Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yeda Research and Development Co Ltd filed Critical Yeda Research and Development Co Ltd
Publication of JPH01309088A publication Critical patent/JPH01309088A/ja
Publication of JPH0750375B2 publication Critical patent/JPH0750375B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Stringed Musical Instruments (AREA)
  • Compounds Of Unknown Constitution (AREA)
  • Peptides Or Proteins (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 [産業上の利用分野1 本発明は、身元語用及び署名機構を具体化するための方
法及び装置、特に、アデイ・シャミール(^d! 5h
allf’)及びア七スφフイアット(八m&OSl’
1at)の名で1986年7月9日付は提出された米国
特訝出願第06/f183.247前記開示されかつ請
求された方法及び装置の改良に関し、かつ前掲米国特許
出願の一部継続出願である。
[従来の技術1 前掲の米[3Jv1−出鮪(以下、ここでは* Djt
フイアット・シャミール機構と称する)においてIt’
dボされかつ請求されている方法と¥A置によれば、実
体は、凄にでら検ル[することのできるしかし、Jl偽
造することのできない身元の証拠及びメッセージの署名
を発生することが可能である。[R3式(旧vest 
 −Sbagiir−^dlesan ) II構のよ
うな1この種の他の機構に比較して、フイアット・シャ
ミール機構は1桁から2村1はとtS速である。
[発明のm要1 本願にlB1示されかつ請求されている本発明において
は、trotフイアット・シャミールll棋の2つの4
良ll橘を実現する方法と装置が説明されており。
これらの改良機構はさらに高速である。このうち−・方
の改良機構は検証T順を最適化するために小さい公開埴
を使用し、他方の改1!機構は発生不順を最適化するた
めに小さい秘密値を使用する。これらの改良機構を安全
に維持するため及びこれらの改良機構の向上された性能
を充分に発揮させるために、前掲米国特許出願に開示さ
れかつ請求されている原方法及び装置の細部のいくつか
が、変更されている。特に、実体の公開鍵は9本発明に
おいては、bはや、この実体の身元Iの関数として八1
13されることはなく、二次式表示はd次式表示に一般
化され、またプo 1−フルの実行は2通常。
繰り返されることはないが、しかし、繰り返されてらか
よりない。
本発明の他の、さらに有する[1的及び利点は。
付図とのIWI連において行われる次の詳細な説明から
明らかになるであろう。
[実施例1 付図を参照すると、第1Nに前掲の米国特=1出随に対
する本発明による新しいかつ改良された機構に対する身
元証明方法及び装置の塁木的構造が。
示されている。この図に示されているように、ブロック
10において実体は、公開鍵を選択するか又は与えられ
、この公開鍵は少なくとも2つの素数の積である係数n
と一連のkiQの公tm I! v 1゜・・・、V(
を含む。この公開鍵は、公開鍵登録用に記憶されるか、
又は信託センターの認2を得るだめに公開ahの同セン
ターの署名と共に検rji装訳に伝送される。実体は、
プ1」ツク12において。
対応する秘密鍵を計Oし、秘密鍵は、全ての1≦j≦k
に対してs、 ’ V1、 ==1 (led n )
をJ ・満足する秘密数S1、・・・、Jを含み、ここで。
dは、1より大きい周知の成る定数である。
したがって、識別技術は9次のように進行する。
実体は、その人又は事物としての身元を証明するために
、ブLlツク14において、 tllll O< r 
<nにある乱数「゛を選υシし、ブロック16において
x = r’  (giod n )を31 n シ、
これを線路18を経由しC検証装;6に伝送−4る。ブ
ロック20にJ3いて、これがこの半ijL実体によっ
て受信される。
Xを受信すると、線路22を経由してブロック24へ進
み、検証装FJ Gよ、範囲0≦C3j<(1にあるに
個の乱数e 、・・・、ehを選択し、これを線路26
に従って挙証実体に伝送する。挙証実体番、L。
ブロック28において、C・・・・・・、Cにの受(、
に応答し、線路30に従いブロック32八進み34に従
って検証装置へ伝送する。一方、線路36に従って、秘
密数SJが、ブロック12からブ[1ツク32へ伝送さ
られる。プ[1ツク38において、検証装置は、値yを
受信すると、線路40を経由してブロック42へ進み 結末の値は、線路44を経由し110ツク46に伝送さ
れ、ここで、線路48を経由して伝送されてくるlxと
比較される。この比較結果のvlは。
線路50に従って、ブロック52へ伝送さられ。
ここぐ判断が下される。1なわち、もし装置はブ【]ツ
ク54において挙シ1実体の身元の−[夙を認可し、ま
たもしこの等号が成立しないならば検証装−は挙証実体
の身元の:J拠を拒絶する、1、発明の名発生装置及び
方法は、第2図に概略的に示されでいる。この図にホさ
れているように、ブ11ツク70において、範tlll
O<e、<dにある一連のに個の取立−e1.・・・、
ekを写像する入力を有する周知の暗号的に強度の疑似
乱Ill数「を使用することによって、第1図に示され
ている身元証明機構が署名発生機構に切り換えられる。
本発明により、実体が、メツレージmに対する署名を発
生するために、まf、ial!囲0 < r < nに
ある乱数r′/fi選択される。次いで、ブロック72
にお(+NT、e□= r (r’  (−od n 
)、m)が二重さセージn1土のこの署名実体の署名は
、旦とyを含む。これらの1直は、記憶されるか又は検
証装置に伝送されるかされ、111ツク76において、
検11装置に受イエされる。
2fLされたか又は伝送された署名を検IIJ−るたる
。ブロック80において、これらの値が旦と比較される
。bしrと旦が等しければその署名は真i1として認1
1され1等しくなりれば偽作として拒絶される。
これらの証明及び署名技術に対する最もよく知られた犯
罪の企図当たり成功率は、d’、:されている。対話式
証明プロトコルを安全ならしめるためには、詐欺名は身
元の証拠を偽作する唯一の機会しか有さむいから、dk
を22°以上に選択すれば通常充分Cある。非対話式署
名挟術を署名を繰り返し偽作しようとする企図に対して
安全ならしめるためには、d を少なくとも264とし
なければならない。このことは、充分に大きな値のd及
びkを使用することによるか、又はこれらの機構をt回
実行してdkt≧264を確実ならしめることによるか
のいずれかによって達成される。はとんどの応用におい
ては、これらのいずれかのうち前者による方がmg!さ
れており、これは@者による方がモジコラ乗郷数と通信
ビット数の双方を小さくするからである。
本発明による第1改良機構の方法及び装置においては、
小さい値の公開数Vjが使用される。第1改口機構の実
施例においては、dは2又は3であり、全ての実体が、
公開数Vjを醒初のに個の素数v1=2.v2=3.v
3=5等として選択する。■、は周知ぐあるので、係数
nのみが公開iI費録所において指定されIJt &−
)ればならない。この改良機構のに=64個の数及び5
12ビットの係数nを44する典望的実施例においては
、公開鍵σ録所における各記述項の寸法は64バイトで
あり、また各署名の寸法は72バイトであり、これらは
、R8A署名i構のそれに匹敵りる。秘密鍵の寸法は約
41[−バイトであるが、しかし各実体はこのにうむフ
ァイルを1つだけ記憶しな%プればならないのぐ、この
寸法は(スマート・カードを恐らく除いて)はどんとい
かなるマイクnコンビ」−タ・ベース装置にし適合する
ことができる、。
最適化実施例を使用り”れば、10未満のモジュラ乗口
において身元の2拠を発イーしかつ30未満のモジュラ
乗口に、Fiいて署名を発生することが可能であり、こ
の白は、1東フイアツト・シャミール機構におけるのど
1rilじである。しかしながら、小さい値の公開数V
・ (これらのほとんどは単一パイト内に納まる)によ
る乗算の有する複lI竹はぼとんと無視できるので、こ
の改良機構の方法及び装置における身元及び署名検証は
、全寸法僅か1又は2のモジュラ乗口を必要とするに過
ぎない。この検lは、Dλフィアット・シャミール機構
にお曝」るよりも1桁はど高速になり、標準型マイクロ
プロ廿すで帰かall 10ミリ秒を要するに過ぎない
こと、また電子計線機本体内で1ミリ秒以下しか要暖る
に過ぎないことが予測される。中央電子計i機が多数の
アクセス要求又は数千の端末に発生された著名人り文尖
を横7しなければならないとき。
或は遠隔制ra0ポットが強力な電子計tillによっ
1発生された著名人り命令の流れを実時間的に検証しな
ければならないとき、^効率の検証は決定的に小穴であ
8といえる。
指数(1の選択は、効率及び便利性の相対的重要度に依
存する。d=2のとき、この最少数の[ジ1うgA算を
必要とするが、しかし公開@Vjの平刀根は必ずしも存
在するとは限らない。したがって、機構を次に掲げる仕
方の1つに従って変更する心髄がある。
1、各実体は、小さい1キ1の公1m vIvjのその
実体に固有の集合を選択して、これらの値の全一(がこ
の実体のnを法とする平方剰余であることを保証するこ
とがぐきる。これらの公1;n数Vjは、公開鍵σ録所
におい(完全に発行されなければならない。
2、標準公開数■jの11の艮いりストを使用し。
かつ各実体は、その固有の11を法とする平方剰余であ
る埴にの副集合を選択することができる( nが2つの
本数の積であるとさ゛1周知のリストが約4に個の数を
含IυでいなtJれば4にらない)。実体の選択した副
集合は、公開鍵0録屓においで指定にされるか又は署名
の一部として伝送されなけれならない。
3、各実体4J 、平方非剰余eあるe1準公百1数■
・を変更1することが訂される。これを実行する」 特にrfIA串な仕方は、V1、、−v−,2vj。
J、       J −2V・01つが正確にいかなる公開数Vjに対」 してもnを法とする平方剰余であるから、ρ=3(mo
d n )及びq=7(giodn)である揚台の係数
n=Dqを選択することである。各公開数V Jの適ツ
な変更値は、公開鍵σ録所において指定にれるか、¥名
の一部として伝送されるか又は所与の署名の検証中に検
証装置自体により演鐸される。
式台的に、実体は、d−3を使用して全てのこれらの複
雑性を回避することができる。t>t、nより小さくこ
れと桑である個数が3で割り切れなければ、いかなる公
開数Vjbnを法とする立法根を有する。しかしながら
、dのこのような選択は。
署名の発11と検λ中に追加のモジコラ乗粋を必要とす
る。
本発明の好適実施例における。最初のに個の素数として
の公開数Vjの選択は、大きな値はこの機構を低効率に
し、かつ乗口的に関連する値は機構の安全舎低下すると
いう事実に基づいている。
しかしながら、公開数Vjを他のいかなる一連のに個の
数として選択することもできる。
前掲の米国特許出願の原フイアット・シシミール機構に
J3いて記載されたように、鍵の寸法と。
通信ビット数と、しジュラ東篩敢との間に多く、のトレ
ードオノが1能である。前掲の米国特許出願に記載され
た仝Cの最適化構想は1本発明による改良機構の方法及
び装置に、101時に、適用可能である。
本発明による第2 a 1.! ta 88に対する実
施例の方法及び装置においては、小さい偵の秘密@Sj
が使用される1、この実施例の方法及びiutにおいて
は、実体番よ、イれらの固有の係数n4r−選択するこ
とができるか、又は信託センターにおい1発行された周
知の係数nを使Ill することができる(これらのう
ら前者の方が安全性が高く、一方後名の八番よ公開鍵の
寸法を縮小りることができる)。各実体は、一連の小さ
い値の秘密数81.・・・、81を選択しかつ対応りる
公開数V1.・・・、■kをV・” 1/s、 ’  
(10(I n )」         J として計り号”る。
(この4nは、nの回数分前が未知であってム実行づる
ことができるということを注意されたい)、。
各秘密数SJは、徹底的執拗な犯罪からこれを保護覆る
ために、少なくとも64ビット長でなければならず、か
つ指数dはs、  >nを保証するために充分大きくな
ければならない〈例えば。
1nl=512かつIsj 1=64のとぎ、dは充分
な循環を保証するために少むくと616でむt」ればな
らない)。−[算された公開数V1.・・・。
■、の値(及びもし適用可能なならばその実体の係13
!n)が、公1ml!登録所に記憶される。身元の1i
flLt及び署名の実際の発生及び検証は、−トに指定
された仕方で実施される。小さい値の秘密数S。
は9次のような2つの利点を有りる1、す(2わら。
1、秘密鍵の寸法が前述の第1改良機構に対するvR置
及び方法におけるよりも遥かに小さくなる。
d=16の場合dk、=264とするために番よ、に=
64の個数のS・に値の代わりにk・・16の個数の秘
密数S・を使用すれば充分であり、各Sjの寸法は51
2ビットの代わりに64ビットである。
秘密鍵の全寸法は、したがって、32分の1に減少され
、4096バイトから1228バイI・になる。
2.秘teasjの値が小さくなればなるほどこれによ
る乗Qは高効率になるので、署名発生は3倍高速になる
署名発!F処理が、現存の記憶Vt行及び計算能りの下
では厳しい制約を伴うスマート・カード内で実行されな
各」ればならないとぎ、これら両利点は。
極めて望ましい。
第1図及び第2図に示されているように9本発明による
装置に対しては、既知の構成装本を使用Jことができ、
またこの処jpのいくつかのステップを実施するための
装r1tよ、当業名にとって明白r″ある。
本発明は特定の好適実施例及びその改良によって示され
かつ説明されたけれどす、ここに開示された本発明の創
作の精神、範囲及びi想に反することなくこれらの実7
7I!例の変更、修正はもとより11能である。したが
っC9これらの変更及び修正は、前掲の本発明の特許請
求の範囲に包含されるものと考えられる、。
【図面の簡単な説明】
第1図は0本発明による身元証明方法及び装置の概略構
成を示すブロック線図。 第2図は9本発明による署名発生検証方法及び装置の概
略構成を示110ツク線図、である。 [記号の説明] 10“:公開鍵 12:秘密鍵 14:乱数r選択装置 16:x計詐装置 18:x伝送装置 24:乱数e  、”’、 ek選択装置26:乱me
  、−、ek伝送装置 32:y811装置 34:y伝送装置 42:x計W装6 46:xとy比較装置 52:比較結果判1liii置 70:乱no数丁 ?2 : r選択、e計vivtI! 4:y31弾装置 76:y及σ旦記憶伝送装賀 78:eとr比較装着

Claims (64)

    【特許請求の範囲】
  1. (1)実体の身元証明方法であつて、 イ)少なくとも2つの素数の積である係数nと一連のk
    個の公開数V_1、・・・、V_kとを含む公開鍵を実
    体に対して設定するステップと、 ロ)dが1よりも大きい周知の定数である場合全ての1
    ≦j≦kに対してS_j^dV_j=1(modn)を
    満足する一連のk個の秘密数S_1、・・・、S_kを
    含む秘密鍵を前記実体に対して計算するステップと、 ハ)rが範囲0<r<nにある乱数である場合x=r^
    d(modn)を前記実体から検証装置へ伝送するステ
    ップと、 ニ)範囲0≦e_j<dにある一連のk個の乱数e_1
    、・・・、e_kを前記検証装置から前記実体へ伝送す
    るステップと、 ホ)値▲数式、化学式、表等があります▼を前記実体か ら前記検証装置へ伝送するステップと、 ヘ)▲数式、化学式、表等があります▼であることを 検査することにより前記実体の身元を検証するステップ
    と、 を包含することを特徴とする前記身元証明方法。
  2. (2)請求項1記載の身元証明方法において、前記Xを
    伝送するステップと、前記k個の乱数e_1、・・・、
    e_kを伝送するステップと、前記yを伝送するステッ
    プと、前記身元を検証するステップとはt≧1なる場合
    t回繰り返すことを特徴とする前記身元証明方法。
  3. (3)請求項1記載の身元証明方法において、前記公開
    数V_jは全ての前記実体に対して同じであることを特
    徴とする前記身元証明方法。
  4. (4)請求項1記載の身元証明方法において、前記公開
    数V_jは最初のk個の素数であることを特徴とする前
    記身元証明方法。
  5. (5)請求項1記載の身元証明方法であつて、前記係数
    nと前記k個の公開数V_1、・・・、V_kとを公開
    鍵登録所に記憶するステップをさらに含むことを特徴と
    する前記身元証明方法。
  6. (6)請求項1記載の身元証明方法であつて、前記公開
    鍵上の信託センターの署名と共に前記実体から前記検証
    装置へ前記係数nと前記k個の公開数V_1、・・・、
    V_kとを伝送するステップをさらに含むことを特徴と
    する前記身元証明方法。
  7. (7)請求項3記載の身元証明方法であつて、前記係数
    nを公開鍵登録所に記憶するステップをさらに含むこと
    を特徴とする前記身元証明方法。
  8. (8)請求項3記載の身元証明方法であつて、前記公開
    鍵上の信託センターの署名と共に前記実体から前記検証
    装置へ前記係数nを伝送するステップをさらに含むこと
    を特徴とする前記身元証明方法。
  9. (9)請求項1記載の身元証明方法において、d≧2^
    2^0であることを特徴とする前記身元証明方法。
  10. (10)請求項1記載の身元証明方法において、dは2
    又は3であることを特徴とする前記身元証明方法。
  11. (11)請求項1記載の身元証明方法において、kは少
    なくとも20であることを特徴とする前記身元証明方法
  12. (12)請求項1記載の身元証明方法において、前記係
    数nは少なくとも512ビット長であることを特徴とす
    る前記身元証明方法。
  13. (13)請求項1記載の身元証明方法において、前記秘
    密数S_1、・・・、S_kが最初に選択されることと
    、次いで、各前記公開数V_jがV_j=1/S_j^
    d(modn)として計算されることとを特徴とする前
    記身元証明方法。
  14. (14)請求項13記載の身元証明方法において、全て
    の前記実体は信託センターの秘密因数分解を維持する該
    信託センターによつて選択される同じ前記係数nを使用
    することを特徴とする前記身元証明方法。
  15. (15)請求項13記載の身元証明方法において、全て
    の1≦j≦kに対してb<|n|かつ S_j^d>nなる条件の下に前記秘密数S_jが乱b
    ビット数として選択されることを特徴とする前記身元証
    明方法。
  16. (16)メッセージmに対する署名発生方法であつて、 イ)少なくとも2つの素数の積である係数nと一連のk
    個の公開数V_1、・・・、V_kとを含む公開鍵を実
    体に対して設定するステップと、 11)dが1よりも大きい周知の定数である場合全ての
    1≦j≦kに対してS_j^dV_j=1(modn)
    を満足する一連のk個の秘密数S_1、・・・、S_k
    を含む秘密鍵を前記実体に対して計算するステップと、 ハ)範囲0≦e_j<dにある一連のk個の数¥e¥=
    e_1、・・・、e_kを写像する入力を有する周知の
    暗号的に強度の疑似乱関数fに応答するステップと、 ニ)範囲0<r<nにある乱数rを選択しかつ¥e¥=
    f(r^d(modn)、m)を計算するステップと、 ホ)▲数式、化学式、表等があります▼を計算するステ ップと、 ヘ)メッセージm上の実体の署名として¥e¥とyを伝
    送又は記憶するステップと、 を包含することを特徴とする前記発生方法。
  17. (17)メッセージmに対する前記署名¥e¥とyの検
    証方法であつて、 ィ)▲数式、化学式、表等があります▼を計算 するステップと、 ロ)前記fの値が前記¥e¥に等しい場合に限り前記署
    名を妥当として認可するステップと を包含することを特徴とする前記検証方法。
  18. (18)請求項16記載の発生方法において、t≧1な
    る場合前記乱数r_1、・・・、r_tは範囲0<r_
    i<nにおいて選択されることと、範囲0≦e_j^i
    <dにある前記¥e¥=e_1^1、・・・、e_k^
    tは¥e¥=f(r_1^d(modn)、・・・、r
    _t^d(modn)、m)として計算されることと、
    t個の前記値y_1、・・・、y_tは▲数式、化学式
    、表等があります▼として計算されることと、 ¥e¥とy_1、・・・、y_tは前記メッセージm上
    の前記実体の署名として伝送又は記憶されることとを特
    徴とする前記発生方法。
  19. (19)請求項18記載の発生方法により発生された前
    記署名¥e¥とy_1、・・・、y_tを検証する請求
    項17記載の検証方法において、前記署名は ▲数式、化学式、表等があります▼である場合に限 り認可されることを特徴とする前記検証方法。
  20. (20)請求項18記載の発生方法において、前記公開
    数V_jは全ての前記実体に対して同じであることを特
    徴とする前記発生方法。
  21. (21)請求項18記載の発生方法において、前記公開
    数V_jは最初のk個の素数であることを特徴とする前
    記署名発生方法。
  22. (22)請求項18記載の発生方法であつて、公開鍵登
    録所に前記係数n及び前記k個の公開数V_1、・・・
    、V_kを記憶するステップをさらに含むことを特徴と
    する前記発生方法。
  23. (23)請求項18記載の発生方法であつて、前記メッ
    セージm上の前記署名の一部として前記係数nと、前記
    k個の公開数V_1、・・・、V_kと、前記n、V_
    1、・・・、V_k上の信託センターの署名とを組み込
    むステップをさらに含むことを特徴とする前記発生方法
  24. (24)請求項20記載の発生方法であつて、公開鍵登
    録所に前記係数nを記憶するステップをさらに含むこと
    を特徴とする前記発生方法。
  25. (25)請求項20記載の発生方法であつて、前記メッ
    セージm上の前記署名の一部として前記係数nと前記係
    数n上の信託センターの署名とを組み込むステップをさ
    らに含むことを特徴とする前記発生方法。
  26. (26)請求項18記載の発生方法において、d^k≧
    2^6^4であることを特徴とする前記発生方法。
  27. (27)請求項18記載の発生方法において、dは2又
    は3のいずれかであることを特徴とする前記発生方法。
  28. (28)請求項18記載の発生方法において、kは少な
    くとも64であることを特徴とする前記発生方法。
  29. (29)請求項18記載の発生方法において、前記係数
    nは少なくとも512ビット長であることを特徴とする
    前記発生方法。
  30. (30)請求項18記載の発生方法において、前記秘密
    数S_1、・・・、S_kが最初に選択されることと、
    次いで各前記公開数V_jがV_j=1/S_j^d(
    modn)として計算されることとを特徴とする前記発
    生方法。
  31. (31)請求項30記載の発生方法において、全ての前
    記実体は信託センターの秘密因数分解を維持する該信託
    センターによつて選択される同じ前記係数nを使用する
    ことを特徴とする前記発生方法。
  32. (32)請求項30記載の発生方法において、全ての1
    ≦j≦kに対してb<|n|かつS_j^d>nなる条
    件の下に前記秘密数S_jが乱bビット数として選択さ
    れることを特徴とする前記発生方法。
  33. (33)イ)実体の身元証明装置であつて、少なくとも
    2つの素数の積である係数nと一連のk個の公開数V_
    1、・・・、V_kとを含む公開鍵を実体に対して設定
    する設定装置と、 ロ)dが1よりも大きい周知の定数である場合全ての1
    ≦j≦kに対してS_j^dV_j=1(modn)を
    満足する一連のk個の秘密数S_1、・・・、S_kを
    含む秘密鍵を前記実体に対して計算する計算装置と、 ハ)rが範囲0<r<nにある乱数である場合x=r^
    d(modn)を前記実体から検証装置へ伝送する伝送
    装置と、 ニ)0≦e_j<dの範囲にある一連のk個の乱数e_
    1、・・・、e_kを前記検証装置から前記実体へ伝送
    する伝送装置と、 ホ)値▲数式、化学式、表等があります▼を前記実体 から前記検証装置へ伝送する伝送装置と、 ヘ)▲数式、化学式、表等があります▼であること を検査することにより前記実体の身元を検証する検証装
    置と、 を包含することを特徴とする前記身元証明装置。
  34. (34)請求項33記載の身元証明装置であつて、rが
    範囲0<r<nにある乱数である場合 x=r^d(modn)の前記実体から前記検証装置へ
    の伝送と、範囲0≦e_j<dにある一連の前記k個の
    乱数e_1、・・・、e_kの前記検証装置から前記実
    体への伝送と、前記値 ▲数式、化学式、表等があります▼の前記実体から前記 検証装置への伝送と、前記身元検証とをt≧1の場合t
    回繰り返す繰り返し装置を含むことを特徴とする前記身
    元証明装置。
  35. (35)請求項33記載の身元証明装置において、前記
    公開数V_jは全ての前記実体に対して同じであること
    を特徴とする前記身元証明装置。
  36. (36)請求項33記載の身元証明装置において、前記
    公開数V_jは最初のk個の素数であることを特徴とす
    る前記身元証明装置。
  37. (37)請求項33記載の身元証明装置であつて、公開
    鍵登録所に前記係数nと前記k個の公開数V_1、・・
    ・、V_kとを記憶する記憶装置を含むことを特徴とす
    る前記身元証明装置。
  38. (38)請求項33記載の身元証明装置であつて、前記
    公開鍵上の信託センターの署名と共に前記実体から前記
    検証装置へ前記係数nと前記k個の公開数V_1、・・
    ・、V_kとを伝送する伝送装置をさらに含むことを特
    徴とする前記身元証明装置。
  39. (39)請求項35記載の身元証明装置であつて、公開
    鍵登録所に前記係数nを記憶する記憶装置をさらに含む
    ことを特徴とする前記身元証明装置。
  40. (40)請求項33記載の身元証明装置であつて、前記
    公開鍵上の信託センターの署名と共に前記実体から前記
    検証装置へ前記係数nを伝送する伝送装置をさらに含む
    こととを特徴とする前記身元証明装置。
  41. (41)請求項33記載の身元証明装置において、d^
    k≧2^2^0であることを特徴とする前記身元証明装
    置。
  42. (42)請求項33記載の身元証明装置において、dは
    2又は3のいずれかであることを特徴とする前記身元証
    明装置。
  43. (43)請求項33記載の身元証明装置において、kは
    少なくとも20であることを特徴とする前記身元証明装
    置。
  44. (44)請求項33記載の身元証明装置において、前記
    係数nは少なくとも512ビット長であることを特徴と
    する前記身元証明装置。
  45. (45)請求項33記載の身元証明装置において、前記
    秘密数S_1、・・・、S_kが最初に選択されること
    と、次いで、各前記公開数V_jがV_j=1/S_i
    ^d(modn)として計算されることとを特徴とする
    前記身元証明装置。
  46. (46)請求項45記載の身元証明装置において、全て
    の前記実体は信託センターの秘密因数分解を維持する該
    信託センターによつて選択される同じ前記係数nを使用
    することを特徴とする前記身元証明装置。
  47. (47)請求項45記憶の身元証明装置において、全て
    の1≦j≦kに対してb<|n|かつ S_j^d>nなる条件の下に前記秘密数S_jが乱b
    ビット数として選択されることを特徴とする前記身元証
    明方法。
  48. (48)メッセージmに対する署名発生装置であつて、 イ)少なくとも2つの素数の積である係数nと一連のk
    個の公開数V_1、・・・、V_kとを含む公開鍵を実
    体に対して設定する設定装置と、 ロ)dが1よりも大きい周知の定数である場合全ての1
    ≦j≦kに対して S_j^dV_j=1(modn)を満足する一連のk
    個の秘密数S_1、・・・、S_kを含む秘密鍵を前記
    実体に対して計算する計算装置と、 ハ)範囲0≦e_j<dにある一連のk個の数¥e¥=
    e_1、・・・、e_kを写像する入力を有する周知の
    暗号的に強度の疑似乱関数fへの応答装置と、ニ)範囲
    0<r<nにある乱数rを選択しかつ¥e¥=f(r^
    d(modn)、m)を計算する選択計算装置と、 ホ)▲数式、化学式、表等があります▼の計算装置と、 前記メッセージm上の前記実体の署名として¥e¥とy
    を伝送又は記憶する伝送記憶装置と、 を包含することを特徴とする前記発生装置。
  49. (49)メッセージmに対する署名¥e¥とyの検証装
    置であつて、 イ)▲数式、化学式、表等があります▼の計 算装置と、 ロ)前記fの値が¥e¥に等しい場合に限り前記署名を
    妥当として認可する認可装置と、 を包含することを特徴とする前記検証装置。
  50. (50)請求項48記載の発生装置において、t≧1な
    る場合前記乱数r_1、・・・、r_tは範囲0<r_
    j<nにおいて選択されることと、範囲0≦e_j^i
    <dにある¥e¥=e_1^1、・・・、e_k^tは
    ¥e¥=f(r_1^d(modn)、・・・、r_t
    ^d(modn)、m)として計算されることと、t個
    の前記値y_1、・・・、 y_tは▲数式、化学式、表等があります▼として 計算されることと、前記¥e¥とy_1、・・・、y_
    tは前記メッセージm上の前記実体の署名として伝送又
    は記憶されることとを特徴とする前記発生装置。
  51. (51)請求項50記載の発生装置によつて発生された
    前記署名¥e¥とy_1、・・・、y_kを検証する請
    求項49記載の検証装置において、前記署名は▲数式、
    化学式、表等があります▼である場合に 限り認可されることを特徴とする前記検証装置。
  52. (52)請求項50記載の発生装置において、前記公開
    数V_jは全ての前記実体に対して同じであることを特
    徴とする前記発生装置。
  53. (53)請求項50記載の発生方法において、前記公開
    数V_jは最初のk個の素数であることを特徴とする前
    記署名発生装置。
  54. (54)請求項50記載の発生装置であつて、公開鍵登
    録所に前記係数n及び前記k個の公開数V_1、・・・
    、V_kを記憶するステップをさらに含むことを特徴と
    する前記発生装置。
  55. (55)請求項50記載の発生装置であつて、前記メッ
    セージm上の前記署名の一部として前記係数nと、前記
    k個の公開数V_1、・・・、V_kと、前記n、V_
    1、・・・、V_k、上の信託センターの署名とを組み
    込む組込み装置をさらに含むことを特徴とする前記発生
    装置。
  56. (56)請求項52記載の発生装置であつて、公開鍵登
    録所に係数nを記憶する記憶装置をさらに含むことを特
    徴とする前記発生装置。
  57. (57)請求項52記載の発生装置であつて、前記メッ
    セージm上の前記署名の一部として前記係数nと前記係
    数n上の信託センターの署名を組み込む組込み装置をさ
    らに含むことを特徴とする前記発生装置。
  58. (58)請求項50記載の発生装置において、d^k=
    2^6^4であることを特徴とする前記発生装置。
  59. (59)請求項50記載の発生装置において、dは2又
    は3のいずれかであることを特徴とする前記発生装置。
  60. (60)請求項50記載の発生装置において、kは少な
    くとも64であることを特徴とする前記発生装置。
  61. (61)請求項50記載の発生装置において、前記係数
    nは少なくとも512ビット長であることを特徴とする
    前記発生装置。
  62. (62)請求項50記載の発生装置において、前記秘密
    数S_1、・・・、S_kが最初に選択されることと、
    次いで各前記公開V_jが V_j=1/S_j^d(modn)として計算される
    こととを特徴とする前記発生装置。
  63. (63)請求項62記載の発生装置において、全ての前
    記実体は信託センターの秘密因数分解を維持する該信託
    センターによつて選択される同じ前記係数nを使用する
    ことを特徴とする前記発生装置。
  64. (64)請求項62記載の発生装置において、全ての1
    ≦j≦kに対してb<|n|かつS_j^d>nなる条
    件の下に前記秘密数S_jが乱bビット数として選択さ
    れることを特徴とする前記発生装置。
JP1009618A 1988-01-19 1989-01-18 実体身元証明と署名発生方法及び装置 Expired - Lifetime JPH0750375B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US07/145,402 US4933970A (en) 1988-01-19 1988-01-19 Variants of the fiat-shamir identification and signature scheme
US145402 1988-01-19

Publications (2)

Publication Number Publication Date
JPH01309088A true JPH01309088A (ja) 1989-12-13
JPH0750375B2 JPH0750375B2 (ja) 1995-05-31

Family

ID=22512949

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1009618A Expired - Lifetime JPH0750375B2 (ja) 1988-01-19 1989-01-18 実体身元証明と署名発生方法及び装置

Country Status (8)

Country Link
US (1) US4933970A (ja)
EP (1) EP0325238B1 (ja)
JP (1) JPH0750375B2 (ja)
AT (1) ATE99818T1 (ja)
AU (1) AU631111B2 (ja)
CA (1) CA1331642C (ja)
DE (1) DE68911935T2 (ja)
ES (1) ES2049764T3 (ja)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2663141B1 (fr) * 1990-06-11 1992-08-21 France Etat Procede de transfert de secret, par echange de deux certificats entre deux microcalculateurs s'authentifiant reciproquement.
US5046094A (en) * 1989-02-02 1991-09-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
FR2654288B1 (fr) * 1989-11-08 1996-11-29 Europ Rech Electr Lab Procede d'authentification d'une carte a microprocesseur et systeme le mettant en óoeuvre.
DE69206126T2 (de) * 1991-01-18 1996-05-15 Thomson Multimedia Sa Verfahren und vorrichtung zur zugriffskontrolle und/oder erkennung.
JP3456993B2 (ja) * 1991-02-07 2003-10-14 トムソン マルチメデイア ソシエテ アノニム 識別および/またはディジタル署名を行うための方法および識別装置並びに検証装置
US5148479A (en) * 1991-03-20 1992-09-15 International Business Machines Corp. Authentication protocols in communication networks
US5224162A (en) * 1991-06-14 1993-06-29 Nippon Telegraph And Telephone Corporation Electronic cash system
US5231668A (en) * 1991-07-26 1993-07-27 The United States Of America, As Represented By The Secretary Of Commerce Digital signature algorithm
US5204901A (en) * 1991-08-01 1993-04-20 General Electric Company Public key cryptographic mechanism
US5247171A (en) * 1992-04-17 1993-09-21 Fiberoptic Sensor Technologies, Inc. Drift correction for fiberoptic pressure sensors
WO1993021708A1 (en) * 1992-04-20 1993-10-28 Silvio Micali Verifying secret keys in a public-key cryptosystem
US5276737B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
USRE36918E (en) * 1992-04-20 2000-10-17 Certco Llc Fair cryptosystems and methods of use
US5315658B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5299262A (en) * 1992-08-13 1994-03-29 The United States Of America As Represented By The United States Department Of Energy Method for exponentiating in cryptographic systems
AU677269B2 (en) * 1992-12-22 1997-04-17 Telstra Corporation Limited A cryptographic method
US5426700A (en) * 1993-08-23 1995-06-20 Pitney Bowes Inc. Method and apparatus for verification of classes of documents
NZ336413A (en) * 1993-12-01 2000-01-28 Rpk Nz Ltd Method of generating random numbers by manipulating electronic pointer with coordinates at points corresponding to time instants being used for selection of points subset and computation of number function
DE69535935D1 (de) * 1994-02-24 2009-05-28 Comcast Cable Holdings Llc Verfahren und Vorrichtung zur Erstellung einer kryptographischen Verbindung zwischen Elementen eines Systems
US5787172A (en) * 1994-02-24 1998-07-28 The Merdan Group, Inc. Apparatus and method for establishing a cryptographic link between elements of a system
US5504817A (en) * 1994-05-09 1996-04-02 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for memory efficient variants of public key encryption and identification schemes for smart card applications
FR2737369A1 (fr) * 1995-07-26 1997-01-31 Trt Telecom Radio Electr Systeme de communication de messages cryptes selon un procede de type r.s.a.
US6026163A (en) * 1995-12-13 2000-02-15 Micali; Silvio Distributed split-key cryptosystem and applications
FR2747257B1 (fr) * 1996-04-09 1998-09-11 Gilbert Henri Procede d'identification et/ou de signature
DE19703929A1 (de) * 1997-02-04 1998-08-06 Deutsche Telekom Ag Verfahren zum Generieren einer digitalen Signatur und Verfahren zur Überprüfung der Signatur
US6282295B1 (en) 1997-10-28 2001-08-28 Adam Lucas Young Auto-recoverable and auto-certifiable cryptostem using zero-knowledge proofs for key escrow in general exponential ciphers
US6243466B1 (en) 1997-08-29 2001-06-05 Adam Lucas Young Auto-escrowable and auto-certifiable cryptosystems with fast key generation
US6202150B1 (en) 1997-05-28 2001-03-13 Adam Lucas Young Auto-escrowable and auto-certifiable cryptosystems
US6122742A (en) * 1997-06-18 2000-09-19 Young; Adam Lucas Auto-recoverable and auto-certifiable cryptosystem with unescrowed signing keys
US6389136B1 (en) 1997-05-28 2002-05-14 Adam Lucas Young Auto-Recoverable and Auto-certifiable cryptosystems with RSA or factoring based keys
IL121862A (en) 1997-09-29 2005-07-25 Nds Ltd West Drayton Distributed ird system for pay television systems
FR2773406B1 (fr) * 1998-01-06 2003-12-19 Schlumberger Ind Sa Procede d'authentification de cartes a circuit integre
RU2153191C2 (ru) 1998-09-29 2000-07-20 Закрытое акционерное общество "Алкорсофт" Способ изготовления вслепую цифровой rsa-подписи и устройство для его реализации (варианты)
RU2157001C2 (ru) 1998-11-25 2000-09-27 Закрытое акционерное общество "Алкорсофт" Способ проведения платежей (варианты)
US6473508B1 (en) 1998-12-22 2002-10-29 Adam Lucas Young Auto-recoverable auto-certifiable cryptosystems with unescrowed signature-only keys
FR2788909B1 (fr) 1999-01-27 2004-02-20 France Telecom Procede d'authentification ou de signature a nombre de calculs reduit
EP1056241B1 (de) * 1999-05-27 2004-08-04 Robert Bosch Gmbh Verfahren zur Verschlüsselung einer numerischen Information und Sendemodul
US7337332B2 (en) * 2000-10-24 2008-02-26 Nds Ltd. Transferring electronic content
FR2850479B1 (fr) * 2003-01-24 2005-04-29 France Telecom Procede cryptographique a cle publique pour la protection d'une puce contre la fraude
US7551737B2 (en) * 2003-03-31 2009-06-23 International Business Machines Corporation Cryptographic keys using random numbers instead of random primes
JP5204099B2 (ja) 2006-05-05 2013-06-05 ハイバー インコーポレイテッド グループ・ベースの完全および増分コンピュータ・ファイル・バックアップ・システム、処理および装置
US8239957B2 (en) 2006-11-02 2012-08-07 Nds Limited Privacy-aware content protection system
US7975142B2 (en) * 2006-12-04 2011-07-05 Electronics And Telecommunications Research Institute Ring authentication method for concurrency environment
KR101094339B1 (ko) 2010-03-31 2011-12-19 고려대학교 산학협력단 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치, 방법 및 그 기록 매체
EP4049406A1 (en) 2019-10-23 2022-08-31 "Enkri Holding", Limited Liability Company Method and system for anonymous identification of a user

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US4424414A (en) * 1978-05-01 1984-01-03 Board Of Trustees Of The Leland Stanford Junior University Exponentiation cryptographic apparatus and method
US4351982A (en) * 1980-12-15 1982-09-28 Racal-Milgo, Inc. RSA Public-key data encryption system having large random prime number generating microprocessor or the like
AU572446B2 (en) * 1981-01-28 1988-05-12 Trans-Cryption Inc. Personal identification system
FR2549989B1 (fr) * 1983-07-29 1985-09-13 Philips Ind Commerciale Systeme d'authentification entre un lecteur de carte et une carte de paiement echangeant des informations
US4625076A (en) * 1984-03-19 1986-11-25 Nippon Telegraph & Telephone Public Corporation Signed document transmission system
US4736423A (en) * 1985-04-30 1988-04-05 International Business Machines Corporation Technique for reducing RSA Crypto variable storage
US4748668A (en) * 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature

Also Published As

Publication number Publication date
DE68911935D1 (de) 1994-02-17
ATE99818T1 (de) 1994-01-15
AU2859789A (en) 1989-07-20
CA1331642C (en) 1994-08-23
ES2049764T3 (es) 1994-05-01
EP0325238B1 (en) 1994-01-05
EP0325238A2 (en) 1989-07-26
JPH0750375B2 (ja) 1995-05-31
AU631111B2 (en) 1992-11-19
DE68911935T2 (de) 1994-04-28
EP0325238A3 (en) 1990-08-29
US4933970A (en) 1990-06-12

Similar Documents

Publication Publication Date Title
JPH01309088A (ja) 実体身元証明と署名発生方法及び装置
Fiat et al. How to prove yourself: Practical solutions to identification and signature problems
US4935962A (en) Method and system for authentication
Iversen A cryptographic scheme for computerized general elections
US4748668A (en) Method, apparatus and article for identification and signature
Brassard et al. Zero-knowledge simulation of boolean circuits
US6195433B1 (en) Private key validity and validation
US5495532A (en) Secure electronic voting using partially compatible homomorphisms
CN114143080A (zh) 基于零知识证明的区块链数据隐私保护和共享方法
Gennaro et al. RSA-based undeniable signatures
US20090041232A1 (en) Establishing trust without revealing identity
JP3158118B2 (ja) 認証情報の認証確認用システム
JPH031629A (ja) データ交換システムにおける加入者相互のアイデンテイフイケーシヨンならびに署名の発生および確認のための方法
JPH07502346A (ja) ディジタル署名アルゴリズム
CN111639925B (zh) 一种基于区块链的密封式拍卖方法及系统
US5719940A (en) Method for providing information security by exchanging authentication and signing an electronic signature and apparatus therefor
JP3102692B2 (ja) カードの真性を証明する方法
Brandt et al. Zero-knowledge authentication scheme with secret key exchange
CN114005217A (zh) 一种基于区块链的电子投票系统及方法
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
Simmons A protocol to provide verifiable proof of identity and unforgeable transaction receipts
CN111262844A (zh) 一种基于密码技术的隐私保护方法
JP2004527139A (ja) エンティティの真性性またはメッセージの完全性を証明する方法、システム、および装置。
CN114741711A (zh) 基于区块链的多关键字可搜索加密方法
CN117350732A (zh) 基于区块链的电力资源交易系统及方法

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090531

Year of fee payment: 14

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090531

Year of fee payment: 14