JPH0684026A - 反復認証を行う2個のマイクロコンピュータ間に2つの証明を交換するシークレットの転送方法 - Google Patents

反復認証を行う2個のマイクロコンピュータ間に2つの証明を交換するシークレットの転送方法

Info

Publication number
JPH0684026A
JPH0684026A JP3165234A JP16523491A JPH0684026A JP H0684026 A JPH0684026 A JP H0684026A JP 3165234 A JP3165234 A JP 3165234A JP 16523491 A JP16523491 A JP 16523491A JP H0684026 A JPH0684026 A JP H0684026A
Authority
JP
Japan
Prior art keywords
microcomputer
card
security module
mod
exponent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP3165234A
Other languages
English (en)
Other versions
JP3704162B2 (ja
Inventor
Didier Angebaud
アンジュボー ディディエ
Jean-Luc Giachetti
リュック ジアシェティ ジャン
Louis Guillou
ギュイロー ルイ
Jean-Jacques Quisquater
ジャック キスカテ ジャン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telediffusion de France ets Public de Diffusion
Etat Francais
Koninklijke Philips NV
Original Assignee
Telediffusion de France ets Public de Diffusion
Etat Francais
Philips Gloeilampenfabrieken NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telediffusion de France ets Public de Diffusion, Etat Francais, Philips Gloeilampenfabrieken NV filed Critical Telediffusion de France ets Public de Diffusion
Publication of JPH0684026A publication Critical patent/JPH0684026A/ja
Application granted granted Critical
Publication of JP3704162B2 publication Critical patent/JP3704162B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/30Compression, e.g. Merkle-Damgard construction

Abstract

(57)【要約】 【目的】 2つのマイクロコンピュータ間のシークレッ
トの転送。 【構成】 チップ・カードが第1証明を発行する。この
証明は信用状(Crc)、指数(X)、オプショナル・メ
ッセージ(M)よりなり、これらの値にサインが付され
る。セキュリティ モデュールはサインを識別確認し、
第2証明を返送する。この第2証明は、信用状
(Crm)、指数(Y)、オプショナル・メッセージ
(M′)、暗号(C)よりなり、これらにサインが付さ
れる。共通シークレット・キーは、カードと、セキュリ
ティ モデュールの間の指数で構成され、カードがアド
レスされたとき、その宛先暗号を解読して、その指令に
従う。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、2つのマイクロコンピ
ュータ間でシークレット(secret)を転送する方法を提供
することを、その目的として有する。本発明は、一般に
「チップ・カード(chip cards)」と呼ばれ、多数の適用
範囲(いわゆる「多用途」又は「多目的」カード)に分
解できるようなマイクロコンピュータ・カードの、実現
とその利用のために用いられる。
【0002】
【従来の技術】これらのカードが抱えている問題の1つ
は、端末機とも呼ばれるマイクロプロセッサの具えるセ
キュリティ・モデュールから、シークレットすなわち命
令(command) を、マイクロコンピュータ・カードに転送
することである。
【0003】今日この問題を解決するのに用いられる技
術は、シークレット鍵(secret key)の階層(hierarchy)
を持つシークレット鍵の暗号記法演算方式(cryptograph
ic algorithms)を使用することである。これらのカード
の発行者は、カード毎に異なるデータ(例えばチップの
一連番号又はカード所持者の口座番号等)の関数として
カードに第2番目の鍵(secondary keys)としての多様性
が与えられているマスター・キイの管理権(disposal)を
持つ。
【0004】従って今日発行されているチップ(特定個
人用としたB0モードのマスクM4)をもつ各銀行カード
は、多様化されたキイを具えている。各セキュリティ・
モデュールはマスター・キイの管理権を持つ。内部的に
は、各セキュリティ・モデュールは、自分自身でアドレ
スするカードの多様化されたキイを改作して、然る後に
このキイを受信した結果を確認し且つそれが制御する行
動を防護するために利用する。
【0005】もっと最近のマスクでは、各カード中に暗
号記法的鍵(cryptographic keys)の組が1つ(又は複
数)ある。データの起原を保証するのに用いられる鍵
(無欠陥キイ -integrity keys) は、データの秘密性を
防護するのに使われる鍵(機密保持キイ -confidential
ity keys) とは異なるものである。これは、多数の用途
に共用されている BULL CP8 及びPHILIPS の開発したPC
2, MP 及び TB100というマスクの場合である。
【0006】いくつかの応用の間で共用できるカードで
は、1つのマスター・ファイル(master file -略してM
F) がデディケイテッド・ファイル(dedicated files -
略してDF) を造り出すことができる。多用途カードを有
効なものとするには、カードを発行したオーソリティ(a
uthority) は、カードのリソーセズ(resources) の一部
分をデディケイテッド・ファイルへの権限の一部分に割
り当てることによって、デディケイテッド・ファイルへ
の権限の一部分を委任する必要がある。従っていくつか
のデディケイテッド・ファイルは、そのうちの1つのセ
キュリティが他のもののセキュリティに影響することな
く、同一のカードの中に共存することが可能でなければ
ならない。
【0007】現在の処、発行者のマスター・キイは、チ
ップ・カードの新用途を開放するためにセキュリティ・
モデュール中で作用するように、作られなければならな
い。そうすると、サービス提供者の第1のキイは、カー
ドの発行者に属するキイの防護の下に、カードに送達さ
れる。
【0008】比較的無名のセキュリティのモデュールで
寧ろ不十分にしか制御されていない環境中に多数ばらま
かれているものの中にマスター・キイを入れ込むこと
は、或いは第三者の、たとえそれがカードの発行者であ
っても、のシークレットの制御の下に実際のシークレッ
トをばらまくことは、寧ろ危険である。
【0009】
【発明が解決しようとする課題】本発明は、かようなシ
ークレット鍵の階層とデディケイトする行動に起因する
束縛とを避ける方法を提供する。そうするとセキュリテ
ィ・モデュールは、カードと全く同様に特定個人用とさ
れる。しかし、この構造はチップ・カードのセキュリテ
ィ・アーキテクチュアにとって極めて重要なマスター・
ファイル及びデディケイテッド・ファイル(MF及びDF)
を侵害しない。
【0010】本発明を詳述する前に、この種の技術で習
慣的に実行されている既知のツールがどんなものである
かを簡単に想起して置こう。更に詳しい情報について
は、本出願人に与えられたフランス国特許第FR-A-2 620
248号明細書 "Procedes d'authentification d'accred
itations ou de messages a apport nul de connaissan
ce et de signature de messages" 及びこれに相当する
1990年2月22日に出願された米国特許出願第 488,371
号、並びに其処に記載の多数の引用文献を参照された
い、なおそれらはすべて本出願の引用文献とされる。
【0011】現在フランスでは、チップ・カードの認証
(authentification)を完全なものとするのに、身元の確
認(identity)及び公開キイ技術(public key technique)
に基づく方法が使われる。その精確な説明は "Specific
ations et normes de la carte a memoire bancaire"と
題する文献に記述されている。該文献(1984年1月発
行、第1版)はパリー(29, rue de Lisbonne, Paris,16
eme)所在の "Groupementdes Cartes Bancaires"から入
手できる。
【0012】各チップ・カードは、身元確認値(identif
ication value)を含んでいる。それはビット列の形で書
かれた整数である。この整数は、それをチェックする確
認器(verifier)で、銀行当局(bank authority)により公
開されたキイを利用して読み取られる。この整数を3乗
し、銀行当局により公開された数nで割り算した剰余を
付けると、前半と後半とが同一のビット列を見出さなけ
ればならない筈である。前半、後半の各々には、カード
の他の場所で読み取ることの出来るいくつかの情報コン
ポネント、すなわち所持者の銀行口座番号、チップ・カ
ードの一連番号、有効期間、利用者コード等が存在す
る。これらの情報コンポネントを符号化するビット列
が、用語の広い意味における身元の確認を構成する。
【0013】利用できるチップは関連の算術計算を実行
するのに十分な容量を持たないので、認証値の点検はカ
ードの外部で実行される。
【0014】しかし現在、チップ・カードの新しいコン
ポネントの開発が最終段階にある。例えば、PHILIPS RT
C のマイクロコンピュータ 83C852 は改良された性能で
種々の算術計算を実行する。これらのコンポネントと共
に、公開キイ数字に基づくいくつかの技術が実用に適す
るまでになっている、更に特定すれば、 ─それらをキイの中に入れ込むことを許す有限集合での
指数化、 ─信用供与の計算を許すディジタル署名、 ─信用供与のお蔭で認証とサインすることとを許すゼロ
知識技術 等の技術である。
【0015】1.有限集合での指数化(exponentiation
in finite sets) 有限集合での指数化は、2つのセキュリティ・マイクロ
コンピュータにとって、その無欠陥性は保証されている
が機密保持性は保証されていないリンクを経由して、共
通のシークレット鍵を確立することを可能にさせる。こ
の手順が最初に記述されたのは、"IEEE Transactions o
n Information Theory" 誌1976年11月号,Vol.IT-22,644
-654ページ所載のWhitfield DIFFIE及びMartin HELLMAN
による"New Directions in Cryptography"という論文に
おいてである。この方法では、2つのセキュリティ・マ
イクロコンピュータは、掛け算の交換律を持つ大きな有
限集合の使用について公に合意が得られている。この集
合は: ─ 500ビット以上の素数pを特徴として持つ有限体、指
数化の底(base)は体の素元(primitive element)aである
(すなわちpを法とする逐次冪乗が体のすべての元を表
す)、該素数は、(p-1)/2 もまた素数であり且つbを少
なくとも20ビットとするとき2512 ±b の形であること
を好適とし、底aはバイト(byte)で表されることを好適
とする; ─1000番目の拡大(extension) 以上の2による拡大体、
指数化の底は原始多項式の根である; ─有限体上の楕円曲線の点集合; であろう。
【0016】説明のために、第1の実例について以下に
考察する。発呼者は、この利用について標準値がないで
あろう場合に対して選ばれたパラメータa及びpを被呼
側に指示できることに注意されたい。
【0017】各セキュリティ・マイクロコンピュータ
は、指数として使用されるであろうpより小さい正の整
数を、無作為に且つ秘密に選定する。x及びyはこうし
て選定された2つの指数であることに注意されたい。各
マイクロコンピュータは対応する指数関数、すなわちそ
れぞれ X=ax mod p Y=ay mod p を計算する。
【0018】その次に、マイクロコンピュータはそれぞ
れの結果を交換し、各々が受け取った値を自身の秘密指
数で冪乗する。指数関数は交換律が成り立つから、2つ
のセキュリティ・マイクロコンピュータは、共通のシー
クレット鍵Kに到達する。 K=Xy mod p =axy mod p K=Yx mod p =ayx mod p
【0019】3番目のマイクロプロセッサが、交換値X
及びYに気付いても鍵Kを見出すことには成功しないだ
ろう、と云うのは、今考えている大きな有限集合では、
指数関数がどのように変換されなければならないかが分
からないからである。離散的な対数の計算のためのすべ
ての既知のアルゴリズムは、有限集合の次数が増加する
と急速に役に立たなくなる。
【0020】兎も角リンクに挿入された3番目のマイク
ロコンピュータが、一方では鍵K′を、また他方では鍵
K″を、セキュリティ・マイクロコンピュータには気付
かれることなく構成できるということに注意しなければ
ならない。使用に適するようにするためには、プロトコ
ルは認証手続(authentification procedure)又は署名(s
ignature) により完成されなければならない。
【0021】2.公開キイ・ディジタル署名図式(publi
c-key digital signature diagrams) 情報の電子交換におけるディジタル署名は、在来の郵便
における手書きの署名と等価である。
【0022】すべての公開キイ・ディジタル署名組織で
は、シークレット鍵は通信文(messages)にサインするた
めに「署名動作 (signature operation)」中に有効とさ
れ、公開キイは署名を確認するために「確認動作(verif
ication operation)」中に有効とされる。結果として1
対の鍵が、「シークレット署名キイ」と「公開確認キ
イ」とによって構成される。
【0023】2つの型式のディジタル署名組織が明確に
定義され、同一であることが確認される: ─確認動作がその入力エレメントとして通信文を必要と
する時は、図式は「付録付署名組織(signature with ap
pendix organization)」である、付録の計算は圧縮関数
(compression function)を利用する、 ─確認動作が通信文とその特定の冗長度、時に「通信文
の影(message shadow)」と呼ばれるもの、とを同時に明
らかにする時は、組織は「通信文再構築署名組織(signa
ture organization re-establishing the message)」で
ある。
【0024】後者の場合には通信文は、時に「通信文の
刻印(imprint of a message)」と呼ばれる別のもっと長
い通信文を圧縮した結果であるかも知れない。通信文に
128ビットの刻印を与える圧縮関数を適用し、然る後に
刻印に通信文を再構築する署名組織を適用することによ
り、「刻印付署名(signature with imprint)」組織を実
現することが好適に可能であって、これは付録付署名組
織の特別の場合である。研究の過程で作られたいくつか
の配列は、2つの動作を明瞭に区別することをその目的
として持つ:該2つの動作というのは、通信文にサイン
することと通信文の刻印にサインすることとの2つであ
る。
【0025】現在、国際標準化機関(ISO) は、通信文再
構築署名組織(ISO/CEI DIS 9796)と、ディジタル署名用
圧縮関数(ISO/CEI DP 10118)とを定義(define)してい
る。この両者について以下に詳述する。
【0026】2.1 署名図式(signature diagram) ISO/C
EI DIS 9796 サインをすべき主体(entity)は、密かに且つ機密保護の
下に1対のキイを具えている。これらのキイは、国際規
格ISO/CEI DIS 9796 "Schema de signature numerique
retablissant le message"の規定するところに従って選
定するのを好適とする。これはアルゴリズムRSA(発明者
RIVEST,SHAMIR及びADLEMAN の名前を取ってこう名付け
た) から導かれる。それは偶数の羃指数に適用され、n
を法とする整数環の n/2より小さい元に作用する。この
集合は加法律及び乗法律を具えた環状の構造である。こ
の環の中の演算は"mod* n"と記すことにする。
【0027】算術的モデュールnは、無作為に選出され
秘密に保たれている2つの奇素数の積である。もし確認
の羃指数が偶数ならば、2つの素数のうちの一方は8を
法として3と合同であり、もう一方は8を法として7と
合同である。その算術的モデュールは2の(k−1)乗とk
乗との間に含まれるような唯一つの整数kが存在する。
従って算術的モデュールは最上位ビット(most signific
ant bit)が1で且つ最下位ビット(least significant b
it) が1であるようなkビットの数字列により符号化さ
れる。公開確認キイは算術的モデュールnと確認羃指数
vとを含む。シークレット署名キイは署名羃指数sを含
む。
【0028】サインされるべき通信文は長さの限定され
たビット列である。7つの最上位ゼロ(most significan
t zero) に0を埋め込むことにより、zバイト(bytes)
数字列が得られる。サインされるべき通信文の最大長は
算術的モデュールの長さの関数である:16zは k+2 よ
り小さいか等しいに違いない。
【0029】tという数が、2tバイトの数字列が(k−2)
ビットより長いか等しくなるような最小の整数として定
義される。通信文の正確な限界をマークしながら、tバ
イトを得るためにzバイトを繰り返してたまたま拡大す
ることにより、また長さを2倍にするためにt個の冗長
度バイトを挿入して導入することにより、「冗長度のあ
る通信文」を符号化する2tバイトの数字列が得られる。
【0030】然る後に、冗長度のある通信文の、最下位
の4ビット単位(least significantquartet) を強制的
に6にするために置き換えた最下位バイトとは別に、最
上位ビット1とこれに続く(k−2)個の最下位ビットを持
つ(k−1)ビットの数字列を構築する。これらの予防策
(最上位ビットの1と最下位の4ビット単位の6)は、
アルゴリズムRSA に対するいくつかの既知の攻撃に対抗
することを可能とする。この(k−1)ビットの数字列は
「冗長度のある整数」を符号化する。
【0031】代表元(representative element)は、vが
偶数で且つ整数のヤコービの記号(Jacobi symbol) が算
術的モデュールnに関して -1 であるときを除いて、整
数に等しい。この場合には、それは整数を2で割ったも
のに等しい。従って、指数vが偶数のときには、代表元
の算術的モデュールnに関するヤコービの記号は、因数
のうちの一方が8を法として3と合同であり、もう一方
が8を法として7と合同であるという束縛を考慮に入れ
て、強制的に +1 とする。これらの予防策は、以前の予
防策が偶数の羃指数の使用を許容することを完全なもの
とする。
【0032】代表元を mod* n でs乗することによっ
て、オーソリティは通信文の署名を得る。
【0033】署名を確認するためには、それを mod* n
でv乗することが必要である。然る後に、最上位ビット
の1と最下位の4ビット単位の6を持つ(k−1)ビットの
数字列により符号化された冗長度のある整数を再確立す
る必要がある。更にその後で、冗長度のある整数の(k−
2)個の最下位ビットを持ち且つ15の最上位ゼロを0にす
る 2t バイトの数字列を再確立する必要がある。最後
に、署名が許容された時に再確立された通信文がそこか
ら抽出される前に、これらの 2t バイトの冗長度を試験
する必要がある。
【0034】2.2 圧縮関数(compression functions) 無欠陥性(認証及び署名)を防護することを意図した多
くのメカニズムでは、任意のビット列を所与の長さの限
定されたビット列に変換する疑似確率関数(pseudo-rand
om functions) を必要とする。そのような関数は ─通信文をその刻印(print) がサインされる前に刻印に
戻す(例えば、規準ISO/CEI DIS 9796に従って) ─データ・エレメント列を刻印又は疑似チャレンジ(pse
udo-challenge)に戻す ─無作為選択を装い、底の値を種々に変化させ、又はそ
れを漏らすことなくある1つの値に係わる のに利用されることができる。
【0035】これらの圧縮関数は衝突の生起に影響され
てはならない。このことは、出力点で同じ結果を与える
ような2つのビット列を入力点で見出すことは実際上不
可能に違いないことを意味する。
【0036】ある種の命題(certain propositions)、例
えばマサチューセッツ工科大学のRon RIVESTが設計した
アルゴリズムMD4 ("RSA Security Incorporated"社発行
の "Message Digest Algorithm")は特に魅力的で、これ
は 128ビット又は 256ビットで結果を与えるものであ
る。
【0037】3.ゼロ知識技術(Zero-knowledge techni
ques) 「ゼロ知識技術」なる概念は、1985年5月に"Proceedin
gs of the 17th STOC,ACM Symposium on Theory of Com
puting"291-304ページ所載のShafi GOLDWASSER,Silvio
MICALI及びCharlie RACKOFF による"The Knowledge Com
plexity of Interactive Proof" という文献で導入され
ている。
【0038】これらの技術は、フランスで使用され、各
種チップ・カードの認証を完全なものとするその方法
(認証値及び証明付身元確認)の自然の展開を許容す
る。
【0039】今日、銀行カードの認証値及び電話カード
の証明付身元確認は、バンク・オーソリティ又はフラン
ス・テレコムの公開キイのお蔭でそれらを制御する確認
器で読み取られる。
【0040】将来は、各応用例に対して、セキュリティ
・マイクロコンピュータは、公開「信用状」(public "c
redential")Cr 及び秘密の信用供与Bをそれに割り当て
てあるだろう。信用供与の量はいくつかのデータ・エレ
メント:すなわち名前(所持者、カード発行オーソリテ
ィ)、有効期間、利用できるサービス、及びマイクロコ
ンピュータの一連番号等を含む有限長のビット列であ
る。信用供与は信用状の署名によって得られる。
【0041】ゼロ知識技術は、セキュリティ・マイクロ
コンピュータにとっては、答えを漏らすことなく複雑な
問題を解いていると他のマイクロコンピュータに信じさ
せることを可能にする。従ってその答え(実際には信用
状の署名によって得られた信用供与)は、秘密を公表す
ることなく必要な回数だけ用いることができる。
【0042】以上を要約すると、あるオーソリティがセ
キュリティ・マイクロコンピュータに与信し、該セキュ
リティ・マイクロコンピュータはその後で、それらの身
元確認及び実際には屡々他のセキュリティ・マイクロコ
ンピュータである確認器へのそれらの権利を証明する。
【0043】オーソリティは公開確認キイで特徴付けら
れる。該オーソリティは対応する署名キイを使用し且つ
その秘密を維持しなければならない。
【0044】セキュリティ・マイクロコンピュータはそ
の信用状で特徴付けられる。該セキュリティ・マイクロ
コンピュータは対応する信用状を使用し且つその秘密を
維持しなければならない。
【0045】確認器は無名(anonymous) である。それは
データの公開されたエレメント:すなわちオーソリティ
により公開された確認キイ及びセキュリティ・マイクロ
コンピュータにより出力された信用供与、を知り且つこ
れを使用することをのみ要する。
【0046】この技術を更に詳細に説明するには、 ─オーソリティがシークレット・マイクロコンピュータ
に与信するのに用いる信用供与動作(accredition opera
tion), ─その過程で確認器がセキュリティ・マイクロコンピュ
ータを認証するところの相互に作用し合う認証(interac
tive authentification), ─サインする動作と確認する動作とを含む付録を用いて
のディジタル署名図式(organization for digital sign
ation), を逐次記述しなければならない。
【0047】3.1 信用供与動作(accredition operatio
n) 与信を行うオーソリティは密かに且つ秘密裡に1対のキ
イを、規格ISO/CEI DIS 9796 "Schema de signature nu
merique retablissant le message"に従って与えられ
る。公開キイは算術的モデュールnと確認指数vとを含
み、シークレット鍵は署名指数sを含む。算術的モデュ
ールnはkビットの連鎖(string)として上述のように符
号化される。
【0048】オーソリティは密かに且つ秘密裡に、ISO/
CEI DIS 9796の規定に従って、但しシークレット指数s
を -s に置き換えて、(規格9796でサインされる通信文
に対応する)与信量から信用供与を計算する。代表値J
(規格9796中の代表元に対応する)を mod* n で -s 乗
することにより、オーソリティは与信Bを得る。記号mo
d* n はその意味として、nで割り算した剰余を取り、
然る後にこの剰余又はそのnに対する補数のうちのいず
れか小さい方を保存する、という意味を持つ。
【0049】信用供与B、代表値J及び信用状Crは、以
下に示す方程式を確認する。該方程式中で関数"Red"
は、規格ISO/CEI DIS 9796に所定の規約であって、信用
状からの代表値(それぞれ規格DIS 9796で「代表元(rep
resentative element)」及び「割当てられた通信文(ass
igned message)」とされるもの)を構築するための規約
を要約したものである。その結果として、信用供与B
は、その他のすべてのパラメータは公開であるような、
すなわちJは信用状Crから得られる代表値、v及びnは
発行するオーソリティの公開キイであるような方程式の
秘密の解と考えることができる。その方程式とは、 J=Red(Cr) 及び JBv mod* n =1 である。
【0050】オーソリティは密かに且つ秘密裡に信用状
Cr及び信用供与Bをマイクロコンピュータに投入する。
この動作は、刻文(inscription) がマスター・ファイル
(MF)中に実行されたときは「エミッション(emission)」
と呼ばれ、デディケイテッド・ファイル(DF)中に実行さ
れたときは「デレゲーション(delegation)」と呼ばれ
る。信用供与は、オーソリティ及び関係のセキュリティ
・マイクロコンピュータ以外のすべてのファイルに対し
て秘密が保持されなければならない。従ってセキュリテ
ィ・マイクロコンピュータは、信用状Crを出力すること
により、対応の信用供与Bを知ることを主張(claim) す
る。
【0051】先に引用したフランス国特許第FR-A-2 620
248号明細書は、かような信用供与が、いかにしてセキ
ュリティ・マイクロコンピュータを認証し、また、いか
にしてこのセキュリティ・マイクロコンピュータが受け
取り又は送達するサイン又は通信文を認証するかを示し
ている。この認証は発明者の名前を取ってGUILLOU-QUIS
QUATER又はGQと名付けられ、以下に詳述するように、4
つの段階(stages)及び3つの交換点(exchanges) で実行
される。
【0052】3.2 4つの段階及び3つの交換点での認
証GQ ─信用状Crを発行するセキュリティ・マイクロコンピュ
ータは、 mod* n の整数の集合から1つの元rを無作為
に選出する、それから元rのv乗を mod* n で計算す
る。その結果は初期証拠(initial evidence)Tb であ
る;マイクロコンピュータは初期証拠Tb を確認器(ver
ifier)に転送する, ─然る後に確認器はチャレンジ(challenge) dを0ない
し v−1 から無作為に選出し、これをマイクロコンピュ
ータに転送する, ─セキュリティ・マイクロコンピュータは、元rと秘密
信用供与Bのd乗との積を mod* n で計算する;その結
果は答Dである;マイクロコンピュータは答Dを確認器
に転送する, ─確認器は、信用状Crに対応する答Dのv乗と代表値J
のd乗との積を mod*n で計算する;その結果は最終証
拠(final evidence)Tf である;最終証拠Tfが初期証
拠Tb'と等しいときは認証は成功(successful)である.
【0053】結果として次の関係式が得られる: Tb =rV mod* n D=rBd mod* n J= Red(Cr) Tf =Dv d mod* n
【0054】3.3 付録付ディジタル署名の図式(schem
e)GQ 図式GQはまた付録付ディジタル署名のためにも用いるこ
とができる。すべての署名図式は署名動作と確認動作と
から成る:
【0055】署名の動作: ─信用状Crを持つセキュリティ・マイクロコンピュータ
は、 mod* n の整数の集合から1つの元rを無作為に選
出する、それから元のv乗を mod* n で計算する;その
結果は初期証拠Tb である, ─然る後にマイクロコンピュータは、確認器に転送され
るべき通信文Mと初期証拠Tb とを含むビット列に圧縮
関数"Hash"を適用する;この圧縮の結果に基づいて、マ
イクロコンピュータは、例えば最下位ビットを選ぶこと
により、0からv−1 までの間の値を持つ初期疑似チャ
レンジ(initial pseudo-challenge)dbを造り出す;最後
にマイクロコンピュータは元rと秘密信用供与Bのdb乗
との積をmod* n で計算する;その結果は答Dである。
【0056】従って次の関係式が成り立つ: Tb =rV mod* n ;db=select(Hash(M, Tb)) ; D=rBdb mod* n
【0057】通信文Mにサインする付録(appendix)は、
信用状Crと初期疑似チャレンジdbと答Dとから成る。
【0058】確認動作: ─確認器は信用状Crに対応する答Dのv乗と代表値Jの
db乗との積を mod* nで計算する;その結果は最終証拠
Tf である, ─然る後に確認器は、受け取った通信文Mと最終証拠T
f とを含むビット列に圧縮関数"Hash"を適用する;確認
器は、マイクロコンピュータがやったのと同じやり方で
ビットを選ぶことにより、最終疑似チャレンジdfを造り
出す。
【0059】結果的に次の関係式が成り立つ: J= Red(Cr);Tf =Dv db mod* n df=select(Hash(M, Tf))
【0060】署名は、最終疑似チャレンジdfが初期疑似
チャレンジdbに等しいとき、そしてそのときに限り、受
け入れられる。
【0061】図式GQはいくつかの刊行物に既に掲げられ
ている: ─ Springer Verlag発行の"Proceedings of Eurocript
'88,Lecture Notes inComputer Sciences",Vol.330, 1
23-128ページ所載 L.GUILLOU及びJ.J.QUISQUATERによる
"A practical zero-knowledge protocol fitted to sec
urity microprocessor minimizing both transmission
and memory". ─ Springer Verlag発行の"Proceedings of Crypto'88,
Lecture Notes in Computer Sciences",Vol.403, 216-2
31ページ所載 L.GUILLOU及びJ.J.QUISQUATERによる"A p
aradoxical identity-based signature scheme resulti
ng from zero-knowledge". ─"Proceedings de Securicom'89,Paris",1989年3月,1
49-158ページ所載J.J.QUISQUATER及びL.GUILLOU による
"Des procedes d'authentification bases surune publ
ication de problemes complexes dont les solutions
maintenues secretes constituent autant d'accredita
tions".等の諸文献がそれである。
【0062】これら先行技術の引用資料に拠って、本発
明により解決する問題は、前述したように、シークレッ
トを転送する問題及び前以て共有した秘密なしに且つ共
通のクリプトグラフィック・アルゴリズム(cryptograph
ic algorithm) なしに相互認証を樹立した2つのマイク
ロコンピュータ間の行動を制御する問題、のいずれか一
方又は双方である、と理解して、以下に本発明を説明す
る。
【0063】更に精確に云えば、本発明による方法は、
チップ・カードに属する第1マイクロコンピュータ内の
シークレット(S)を、セキュリティ・モジュールに属
する第2マイクロコンピュータに転送するシークレット
(S)の転送方法であって、第1及び第2マイクロコン
ピュータは反復認証を行うシークレットの転送方法にお
いて、 a) 第1算術モデュール(n)、第1確認指数(v)
及び第1署名指数(s)により構成される第1公開・キ
ィを予め与えれているカードで、各カードは、この第1
公開・キィによって検証されうる信用状(クレデンシァ
ル……Crc)のサインによって得られる信用供与
(Bc )によって規定されるカードの発行資格を有する
第1当局(authority )と、 b) 第2算術モデュール(n′)、第2確認指数
(v′)、第2署名指数(s′)によって構成される第
2公開・キィを予め与えられているセキュリティ・モデ
ュールで、この第2公開・キィによって確認される信用
状(Crm)の署名によって得られる信用供与(Bm )に
よって規定されるセキュリティ・モデュールを発行しう
る第2当局と、 c) 予めパブリック的に合意して共通の過渡的キィを
形成するに適した最終セット内の計数を使用する第1及
び第2マイクロコンピュータとを有し、 本方法は次の各操作工程を有すること、すなわち、 A) カードのマイクロコンピュータにより実現される
第1計算段で、計数(X)、オプション・メッセージ
(M)ならびに(X)及び(M)のサインを計算し、こ
れらのサインは第1公開(パブリック)キィによって検
証される工程、 B) カードのマイクロコンピュータがセキュリティ・
モデュールのマイクロコンピュータに対し、カード並び
に(X)及び(M)のサインの保証(Crc)を含む第1
証明を転送する、第1データ転送工程と、 C) セキュリティ・モデュールのマイクロコンピュー
タによって実行される第2計算段で、マイクロコンピュ
ータは、第1公開・キィの助けにより証明が受信された
か否か、またカードによって正しくサインがなされてい
る否か、かくサインがなされていれば、受信した係数
(X)を計算し、この計算段は、共通過渡的・キィ
(K)を有し、次で自身の係数(Y)のオプション・メ
ッセージ(M′)を計算し、その後共通過渡的・キィ
(K)より並びに転送すべきシークレット(S)、及び
サイン(M′)、(Y′)、(C)よりクリプトグラム
(暗号:C)を演算する工程を具えてなることを特徴と
する。
【0064】明らかに、第1および第2のオーソリティ
が1つで同じである場合には、このオーソリティは単一
のパブリック キーを使用しうるのみで、この場合、第
1および第2のキーは混合(amalgamate)される。
【0065】2つのマイクロコンピュータ用として使用
される有限集合上の指数は、その特性に対して体の原始
エレメントであるベース(基数)aと整数pを有する有
限体上の指数であることが好ましく、この場合、カード
のマイクロコンピュータは、第1計算ステージAにおい
て、pより小さい正の指数Xを無作為に選定して、対応
する指数(X=ax mod p)を計算し、その後セキュリ
ティ モジュールのマイクロコンピュータは第2計算ス
テージCにおいて、pより小さい正の整数yを選定し
て、対応する指数(X=ay mod p)を計算し、かつ指
数Xのy乗、すなわち(ax y mod pを生成して共通
変換キー(common transitory key )を構成させる。つ
いで、カードのマイクロコンピュータは、第3計算ステ
ージEにおいて、指数YのX乗、すなわち(ay x mo
d pを生成して、共通キーを与える。
【0066】また、セキュリティ モジュールのマイク
ロコンピュータは排他的論理和オペレーションによるシ
ークレットおよび共通変換キーをベースにして暗号を計
算し、カードのマイクロコンピュータは同じ排他的論理
和オペレーションによる共通変換キーをベースにして受
信した暗号からシークレットを抽出することが好まし
い。
【0067】以下非限定実施例により本発明の特徴につ
き説明する。
【0068】チップ カードのインターフェースは国際
標準シリーズ ISO/CEI 7816,“Cartes a circuit(s) in
tegre(s) a contacts ”、特に、1989年9月発行の国際
標準ISO/CEI 7816-3 “Cartes a circuit(s) integre
(s) a contacts, Section 3:Signaux electroniques e
t protocoles de transmission ”により標準化されて
いる。
【0069】この標準には、5バイトの見出し(ヘッ
ダ)を有するイクステリア(exterior)からコマンドが
得られる旨規定されている。カードは手続上のバイトに
より反応し、その後、単一の方向において若干数のデー
タ バイトが変換され、最後に、カードはコマンドの終
りにおいてその状態を与える2つのバイトによりコマン
ドを終了する。
【0070】その結果、データがカード内に入る操作を
行っている間の“エンタリング(entoring)”コマンド
とデータがカードから離れる操作を行っている間の“リ
ービング(leaving )”コマンドとは異なるコマンドと
なる。
【0071】したがって、前記標準のわく組のなかで本
発明方法を実現するため、カードは始めにリービング
コマンドの制御のもと、セキュリティ モジュールに向
かってサーティフィケート(certificate )を発出し、
その後、エンタリング コマンドの制御のもとセキュリ
ティ モジュールにより発出されるサーティフィケート
を受信する。実際上には、セキュリティ モジュールも
チップ カードの形状で実現される。次に、セキュリテ
ィ モジュールはエンタリング コマンドの制御のも
と、カードにより発出されるサーティフィケートを受信
した後、リービング コマンドの制御のもと、その行先
に対するカードを有するサーティフィケートを発出す
る。この場合、カードおよびセキュリティ モジュール
を受信するマシンのセキュリティ(機密性)にも、これ
らのマシン間で使用される接続のセキュリティにも危ぶ
む理由は存在しない。
【0072】かくして、例のついでに選定した特定ケー
スの場合、本発明手順の種々のステージは以下のように
表わすことができる。 A)チップ カードにより行われる第1ステージ チップ カードはp(有限集合の最初の数)より小さい
正の指数Xを無作為に選定し、対応する指数Xを計算す
る。 X=ax mod p
【0073】その後、カードはセキュリティ モジュー
ルに伝送すべきメッセージMおよび値Xをサインする。
これがため、カードは整数の集合 mod* nから無作動に
エレメントrを選定し、このエレメントrのV乗の mod
* nを計算する。その結果を初期証拠(initial eviden
ce)Tb とする。その後、カードは指数X、任意選択メ
ッセージMおよび初期証拠Tb を含むビット列に圧縮フ
ァンクション“ハッシュ(Hash)”を供給する。次に、
この結果から、カードは例えばその最下位ビットを選定
することにより、0ないしV−1の値を有する初期擬似
チャレンジ(initial pseudo-challenge)dbを生成
し、最後に、カードはエレメントrとそのシークレット
信用供与(secret accredition)Bc のdb乗との積
の mod* nを計算する。その結果をアンサーDとする。
【0074】したがって、以下の関係式が成立する。 Tb =rV mod* n ; db=select(Hash(X, M, Tb )); D=rBc db mod*
【0075】B)第1データ トランスファ チップ カードは信用状(credential)Cre, 値X,任
意選択メッセージM、初期擬似チャレンジdbおよびア
ンサーDを含むビット列であるサーティフィケートをセ
キュリティ モジュールに対して伝送し、次に2つのデ
ータ エレメントdbおよびDはXおよびMをサインす
る。
【0076】C)セキュリティ モジュールにより行わ
れる第2計算ステージ セキュリティ モジュールは信用状Crcに対応する表示
(リプレゼンタティブ)Jc のdb乗とアンサーDのV
乗との積 mod* nを計算する。その結果を最終証拠(fi
nal evidence)Tf とする。その後、セキュリティ モ
ジュールは指数X、任意選択メッセージMおよび最終証
拠Tf を含むビット列に圧縮ファンクション“ハッシュ
(Hash)”を供給する。最終模擬チャレンジdf はカー
ドにより行われたと同じ方法でビットを選定することに
より得られる。
【0077】かくして、次の関係式が成立する。 Jc =Red (Crc); Tf =Dv c db mod* n ; df =select(Hash(X, M, Tf ))
【0078】セキュリティ モジュールは、最終擬似チ
ャレンジdf が実際上初期擬似チレレンジdb に等しい
場合のみ処理操作を続けることに同意する。この場合に
はチップ カードは適正にXおよびMをサインし、それ
が発出したサーティフィケートは正しい。
【0079】次に、セキュリティ モジュールはPより
小さい正の指数yを無作為に選定し、対応する指数Yを
計算した後、メンバー内で指数Xをy乗して共通変換キ
ーKを得る。前記変換キーKはHash(K,1)、Hash
(K,2)、Hash(K,3)、……による圧縮ファクシ
ョンの結果としての多様化(ダイバージフィケーショ
ン)により拡張することができる。その後、セキュリテ
ィ モジュールはそのときカードに伝送される暗号を計
算する。例えば暗号Cは共通変換キーKおよびシークレ
ットSの排他的論理和から得られる。
【0080】かくして、次の関係式が成立する。 Y=ay mod p; K=Xy mod p=axy mod p; C=SO+K
【0081】次に、セキュリティ モジュールは有用な
データ、すなわち指数Y、カードに伝送すべき他の任意
選択メッセージM′および信号Cをサインする。これが
ため、セキュリティ モジュールは整数の集合 mod*
から無作為にエレメントr′を選定し、このエレメント
のV乗の mod* n′を計算する。その結果として初期証
拠Tb ′を得る。
【0082】次に、セキュリティ モジュールは指数
y、任意選択メッセージM′、暗号Cおよび初期証拠T
b ′を含むビット列に圧縮ファンクション“ハッシュ
(Hash)”を供給する。この圧縮の結果、セキュリティ
モジュールは、例えば最下位ビットを選定することに
より0ないしV′−1の値を有する初期擬似チャレンジ
db′を生成する。最後に、セキュリティ モジュール
はエレメントr′とそのシークレット 信用供与Bm
db′乗との積の mod* n′を計算し、その結果として
アンサーD′を得る。
【0083】かくして、次の関係式が成立する。 Tb ′=r′v' mod* n′; db′=select(Hash(X,M′,C,Tb ′)) D′=r′Bm db' mod *
【0084】D)第2データ トランスファ セキュリティ モジュールは信用状Trm、指数Y、任意
選択メッセージM′、暗号C、初期擬似チャレンジd
b′およびアンサーD′を含むビット列であるサーティ
フィケートをカードに対し伝送する。次に、2つのデー
タ エレメントdb′およびD′は値Y,M′およびC
をサインする。この場合、カードは指数Xを知るのみで
あり、したがってシークレットSのみを初期構成するこ
とができる。
【0085】E)カードにより行われる第3計算ステー
ジ カードはアンサーD′のV′乗と信用状Crmに対応する
表示(リプレゼンタティブ)Jm のdb′乗との積の m
od* n′を計算し、その結果として最終証拠Tf ′を得
る。
【0086】その後、カードは値Y,M′,Cおよび最
終証拠Tf ′を含むビット列に圧縮ファンクション“ハ
ッシュ(Hash)”を供給する。最終擬似チャレンジ
f ′はセキュリティ モジュールにより行われたと同
じ方法でビットを選定することにより得られる。
【0087】かくして、次の関係式が成立する。 Jm =Red (Crm); Tf ′=D′v'm db' mod* n′; df ′=select(Hash(Y,M′,C,Tf ′))
【0088】カードは最終擬似チャレンジdf ′が初期
擬似チャレンジdb′に等しい場合のみ処理操作を続け
ることに同意する。そうである場合には、セキュリティ
モジュールは実際上、Y,M′およびCをサインし、
それが発出したサーティフィケートは正確である。
【0089】カードは選定された体においては指数Yを
X乗して共通の変換シークレットキーKを得る。前記変
換キーKはセキュリティ モジュールにおけると同じ方
法で任意選択的に拡張される。その後、カードは暗号C
および共通変換キーKの排他的論理和オペレーションに
よりシークレットSを再構成する。
【0090】最後に、カードはモジュールにより制御さ
れる作動、例えば爾後における計算を目的としたシーク
レットSの新しいキーとしてのメモリへの書込み操作を
行う。
【0091】かくして、次の関係式が成立する。 K=Y* mod p=axy mod p; S=CθK
【0092】上述の手順にディレクトリ(登録簿)の使
用により相互作用なしにセキュリティ モジュールから
チップ カードへのシークレットの転送(トランスフ
ァ)を可能にするため僅かに修正することができる。実
際上、ラジオ包装においては、セキュリティ モジュー
ルをカード間の相互作用は不可能である。さらに、加入
者を管理する構成要素(エンティティ)は随意にユーザ
のカードに影響する上方ファイル、一種のディレクトリ
を有する。したがって、ディレクトリへの書込みが第1
ステージ(A)および第1データ トランスファ(B)
に対応し、ディレクトリの使用が第2計算ステージ
(C)、第2データ トランスファ(D)および第3計
算ステージ(E)に対応するという条件で上述の方法を
使用できることは好都合である。
【0093】これらの変形は特に放送分野での利用に好
都合であるが、支払いシステムや電子メールの分野でも
等しく有用であることが証明されている。
【0094】放送分野での利用方法およびタイトル マ
ネジング メッセージの受信に関しては、米国特許第4,
947,428 号に対応する文書FR−A−2,632,148 号を参
照されたい。
【0095】第1変形においては、各カードはそれ独自
のサーティフィケートをディレクトリ内に記入する。
【0096】第2変形においては、セキュリティ モジ
ュールを管理するオーソリティは共同のサーティフィケ
ートをディレクトリ内に記入し、各カードにグループ内
のランクを割当て、共通の指数Xを固定させることによ
り、グループのカードを1つづつオーソライズする。放
送中に、実際上グループ当り数百または数千のカード集
団を有するカード群内に延在する共有のコモンキーを利
用することができる。この場合には、グループの各カー
ドはグループのアドレス、グループの指数およびグルー
プ内のランキングを有する。また、セキュリティ モジ
ュールにより生成されるサーティフィケートを表象する
メッセージM′には、 −グールプのカードが実行しなければならない作動(例
えば、加入の更新); −サーティフィケートをアドレスする(グループのアド
レス)カード グループの標識; −およびグループに割当てられた最大のランクに等しい
かそれより高いビット数を有する索引付け体 が列挙される。
【0097】次に、ノンインタラクティブ トランスフ
ァ法(non-interactive transfer method )に戻るこ
と、その主要ステージは以下のようになる。
【0098】共同のサーティフィケートを形成するため
オーソリティはグループの指数として前もって指数Xを
固定させた他のセキュリティ モジュールを使用する。
この場合には、任意選択メッセージMはグループを構成
する種々のカードを描写する情報成分を含む。グループ
に新しいカードを付加する場合には、新しい共同サーテ
ィフィケートを生成して管理センターのファイルを更新
することで充分である。
【0099】セキュリティ モジュールから発出する共
同サーティフィケートを受信するカードは、このサーテ
ィフィケートがそれが属するグループにアドレスされ、
かつそのランクに対応するビットが実際に索引付き(in
dexing)体内で活性状態にある場合に、意図する行動が
それにより既に行われたかどうかをチェックされ、その
場合にはそれのみがサーティフィケートを使用する。
【0100】次に、ノンインタラクティブ トランスフ
ァ法は以下のような主要ステージを含む。 A)グループを創設したオーソリティまたはチップ カ
ードによるディレクトリ(登録簿)への書込み
【0101】サーティフィケートの生成は前述の第1ス
テージA)に対応する。ここで、カードによる個別サー
ティフィケートの形成に関するこれらの計算を要約して
復習する。 − チップ カードはpより小さい正の指数Xを無作為
に選定し、対応する指数X=mod pを計算する。 − チップ カードは値Xおよびセキュリティ モジュ
ールに伝送すべき任意のメッセージMをサインする。こ
れがため、それは整数の集合 mod* nから無作為にエレ
メントrを選定し、このエレメントのV乗の mod* nを
計算し、その結果初期証拠Tb を得る。 − カードは指数X、任意選択メッセージMおよび初期
証拠Tb を含むビット列に圧縮ファンクション“ハッシ
ュ(Hash)”を供給する。 − その結果からカードは、例えば、最下位ビットを選
定することにより初期擬似チャレンジdbを生成する。 − カードはエレメントrとそのシークレット 信用供
与Bc のdb乗との積のmod* nを計算し、その結果と
してアンサーDを得る。 − チップ カードは信用状Crc、値X、任意選択メッ
セージM、初期擬似チャレンジdbおよびアンサーDを
含むビット列であるサーティフィケートをディレクトリ
に記入し、次に、2つのエレメントdbおよびDにXお
よびMをサインする。
【0102】チップ カードは明らかに、例えば限定さ
れた妥当な日付や使用に課せられる制限のような任意選
択メッセージM内に表象(figuring)されるいくつかの
情報成分ならびにシークレット指数Xをそのメモリ内に
記憶させなければならない。
【0103】かくして、ディレクトリは任意の瞬時に検
証可能な個別および共同のサーティフィケートの集合に
より構成される。
【0104】B)その機密性(シークレット)分配のた
めのセキュリティ モジュールによるディレクトリの使
用ディレクトリの使用は2つのステージで行われる。ま
ず始めに、ディレクトリ内に存在するサーティフィケー
トの検証があり、その後で、1つのカードまたはカード
群に作用を及ぼすサーティフィケートの生成を行う。第
1ステージは条件付であり、ディレクトリのサーティフ
ィケートはこれが必要な場合のみ検証される。
【0105】この場合、行われ種々のオペレーションは
以下のとおりである。 a)セキュリティ モジュールによるディレクトリのサ
ーティフィケートの検証 − セキュリティ モジュールは信用状Crcに対応する
表示(リプレゼンタティブ)Jc のdb乗とアンサーD
のV乗との積の mod* nを計算し、その結果として最終
証拠Tf を得る。 − セキュリティ モジュールは指数X、任意選択メッ
セージMおよび最終証拠Tf を含むビット列に圧縮ファ
ンクション“ハッシュ(Hash)”を供給する。最終擬似
チャレンジdbはカードの場合と同じような方法でビッ
トを選定することにより得られる。 − セキュリティ モジュールは最終擬似チャレンジd
fが実際上初期擬似チャレンジdbに等しい場合のみ継
続に同意する。チップ カードは適正にXおよびMをサ
インし、ディレクトリのサーティフィケートは正確であ
る。
【0106】b)チップ カードまたはカード群に作用
を及ぼすためのサーティフィケートの準備 − セキュリティ モジュールはpより小さい正の指数
yを無作為に選定して、対応する指数Yを計算し、その
後メンバー内でXをy乗して共通変換キーKを得る。前
記変換キーKはハッシュ(K,1)、ハッシュ(K,
2)、ハッシュ(K,3)、……による圧縮ファンクシ
ョンの結果としての多様化(ダイバージフィケーショ
ン)により拡張することができる。 − セキュリティ モジュールはカードに伝送される暗
号を計算する。(例えば、暗号Cはは共通変換キーKお
よびシークレットSの排他的論理和オペレーションから
得られる。 − 最後に、セキュリティ モジュールは有用なデー
タ、すなわち指数Y、カードに伝送すべき他の任意選択
メッセージM′および暗号Cをサインする。これがた
め、セキュリティ モジュールは整数の集合 mod* n′
から無作為にエレメントr′を選定し、このエレメント
のV乗の mod* n′を計算し、その結果として初期証拠
b ′を得る。 − セキュリティ モジュールは指数y、任意選択メッ
セージM′、信号Cならびに例えば最下位ビットを選定
することにより0ないしV′−1の値を有する初期証拠
db′を含むビット列に“ハッシュ(Hash)”圧縮ファ
ンクションを供給する。 − セキュリティ モジュールはエレメントr′とその
シークレット 信用供与Bm のdb′乗との積の mod*
n′を計算し、その結果としてアンサーD′を得る。
【0107】c)セキュリティ モジュールからチップ
カードまたはカード群へのサーティフィケートの伝送 − セキュリティ モジュールは信用状Crm、指数Y、
任意選択メッセージM′、暗号C、初期擬似チャレンジ
db′およびアンサーD′を含むビット列であるサーテ
ィフィケートを発出する。2つのエレメントdb′およ
びD′は値Y,M′およびCをサインする。シークレッ
トSを回復するため利用可能な指数Xを有することが必
要である。
【0108】d)チップ カードによるサーティフィケ
ートの使用 − サーティフィケートを共同的に使用する場合は、サ
ーティフィケートが1つのグループに関係する場合およ
びグループ内のそのランクに対応するインデックスが活
性状態にある場合、カードはコマンドされたアクション
がまだ実行されていないものと考える。 − 次に、カードはレスポンス(右管)D′のV′乗と
信用状Crmに対応する表示(リプレゼンタティブ)Jm
のdb′乗との積の mod* n′を計算し、その結果とし
て最終証拠Tf ′を得る。 − カードは値Y,M′,Cおよび最終証拠Tf ′を含
むビット列に圧縮ファクション“ハッシュ(Hash)”を
供給する。最終擬似チャレンジdf ′はセキュリティ
モジュールにより行われたと同じ方法でビットを選定す
ることにより得られる。 − カードは最終擬似チャレンジdf ′が初期擬似チャ
レンジdb′に等しい場合のみ、処理操作を続けること
に同意する。この場合は、セキュリティ モジュールは
実際上Y,M′およびCをサインし、それが発出したサ
ーティフィケートは正確である。 − カードは体において指数YをX乗して共通変換キー
Kを得る。前記変換キーKはセキュリティ モジュール
により行われたと同じ方法で任意選択的に拡張される。 − カードはセキュリティ モジュールにより行われた
と同じように、暗号Cおよび共通変換キーKの排他的論
理和オペレーションによりシークレットSを再構成す
る。 − 最後に、カードはモジュールによりコマンドされる
作動、例えば、爾後における計算を目的としたシークレ
ットSの新しいキーとしてのメモリへの書込み操作を行
う。
【0109】このように限定されたディレクトリはその
権利を管理するためセキュリティモジュールにより使用
可能である。実際上、放送分野において、きわめて頻繁
に起る情報管理の問題はカードにおける権利の管理に関
するものであるが、ここではこれらの権利の管理のため
シークレットを伝送するを要しない。この後者のメカニ
ズムは前述のメカニズムを単純化したものと考えること
ができる。それは記号(キグネーシャ)GQの直接適用
であり、前述のメカニズムを完成させるものである。
【0110】カードは公共確認キー(public verficiat
ion key )を発行したオーソリティにより認可され、か
つ目的(objective )および妥当性周期(validity per
iod)の見地から所望の信任状(credential)を提供す
るセキュリティ モジュールにより発出されるサーティ
フィケートを受容する。
【0111】カードにグループ内で組織化され、各カー
ドはグループ内のランクを有する。セキュリティ モジ
ュールにより発行されるサーティフィケート内にあるメ
ッセージM′は、少なくともグループ内に割当てられた
最大ランク数のビット 体およびグループのアドレスを
カウントとする。かくして、各カードは、メッセージが
そのグループに関係する場合およびメッセージがグルー
プ内のそれに関係する場合は、そのランクに対応するビ
ットのステージに応じて認識することができる。
【0112】さらに、メッセージM′は、例えば、記述
の更新、信用状の銘記、後刻使用すべきチケットの準備
いい等、カードにおいて引受けるべき行動を規定する。
セキュリティ モジュールの信用状の場合は、モジュー
ルが引受ける権利を与えれた行動をオーソリティが明確
に定義している。
フロントページの続き (71)出願人 590000248 エヌ・ベー・フィリップス・フルーイラン ペンファブリケン N.V.PHILIPS’ GLOEIL AMPENFABRIEKEN オランダ国 アインドーフェン フルーネ ヴァウツウエッハ 1 (72)発明者 ディディエ アンジュボー フランス国 35135 シャントピー リュ ドラ ガレンヌ 1 (72)発明者 ジャン リュック ジアシェティ フランス国 35000 レンヌ リュ デュ アメル 20 (72)発明者 ルイ ギュイロー フランス国 35510 レンヌ リュ ドュ クロ クルテル 4 (72)発明者 ジャン ジャック キスカテ ベルギー国 1170 ブリュッセル アベニ ューファン ベセラエル 2

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】チップ・カードに属する第1マイクロコン
    ピュータ内のシークレット(S)を、セキュリティ・モ
    ジュールに属する第2マイクロコンピュータに転送する
    シークレット(S)の転送方法であって、第1及び第2
    マイクロコンピュータは反復認証を行うシークレットの
    転送方法において、 a) 第1算術モデュール(n)、第1確認指数(v)
    及び第1署名指数(s)により構成される第1公開・キ
    ィを予め与えれているカードで、各カードは、この第1
    公開・キィによって検証されうる信用状(クレデンシァ
    ル……Crc)のサインによって得られる信用供与
    (Bc )によって規定されるカードの発行資格を有する
    第1当局(authority )と、 b) 第2算術モデュール(n′)、第2確認指数
    (v′)、第2署名指数(s′)によって構成される第
    2公開・キィを予め与えられているセキュリティ・モデ
    ュールで、この第2公開・キィによって確認される信用
    状(Crm)の署名によって得られる信用供与(Bm )に
    よって規定されるセキュリティ・モデュールを発行しう
    る第2当局と、 c) 予めパブリック的に合意して共通の過渡的キィを
    形成するに適した最終セット内の計数を使用する第1及
    び第2マイクロコンピュータとを有し、 本方法は次の各操作工程を有すること、すなわち、 A) カードのマイクロコンピュータにより実現される
    第1計算段で、指数(X)、オプション・メッセージ
    (M)ならびに(X)及び(M)のサインを計算し、こ
    れらのサインは第1公開(パブリック)キィによって検
    証される工程、 B) カードのマイクロコンピュータがセキュリティ・
    モデュールのマイクロコンピュータに対し、カード並び
    に(X)及び(M)のサインの保証(Crc)を含む第1
    証明を転送する、第1データ転送工程と、 C) セキュリティ・モデュールのマイクロコンピュー
    タによって実行される第2計算段で、マイクロコンピュ
    ータは、第1公開・キィの助けにより証明が受信された
    か否か、またカードによって正しくサインがなされてい
    る否か、かくサインがなされていれば、受信した指数
    (X)を計算し、この計算段は、共通過渡的・キィ
    (K)を有し、次で自身の指数(Y)のオプション・メ
    ッセージ(M′)を計算し、その後共通過渡的・キィ
    (K)より並びに転送すべきシークレット(S)、及び
    サイン(M′)、(Y′)、(C)よりクリプトグラム
    (暗号:C)を演算する工程を具えてなるシークレット
    (S)の転送方法。
  2. 【請求項2】第1オーソリティと第2オーソリティとは
    一つの同一のものであることを特徴とする請求項1に記
    載の方法。
  3. 【請求項3】─各カードが、信用状の冗長度(J=Red(Cr
    c)) により得られる代表値(Jc)によって定義され、資格
    を与えられたオーソリティは、代表値(Jc)を mod* n で
    -s乗し、その結果は信用供与(Bc)(JcBcv mod * n =
    1)であり、 ─セキュリティ・モデュールが、信用状のレターの冗長
    度 (Jm=Red(Crm)) により得られる代表値(Jc)によって
    定義され、資格を与えられたオーソリティは、代表値(J
    m)を mod* n'で -s'乗し、その結果は信用供与(Bm)(Jm
    Bmv mod * n'=1)であることを特徴とする請求項1に記
    載の方法。
  4. 【請求項4】カードのマイクロコンピュータにより実行
    される第1計算段階では、 a) カードのマイクロコンピュータは、選ばれた有限
    集合での自分自身の冪指数(X) を選定し、計算すること
    と、 b) カードのマイクロコンピュータは、値X及びセキ
    ュリティ・モデュールのマイクロコンピュータに送達す
    るべきメッセージMに署名し、これを実行するために、
    mod* n の整数の集合から1つの元rを選定し、この元
    のv乗を mod* nで計算し、その結果は初期証拠Tb
    (Tb =rv mod* n )とすることと、 c) カードのマイクロコンピュータは、冪指数(X) と
    オプショナル・メッセージ(M) と初期証拠 (Tb)とを含
    むビット列に、圧縮関数("Hash")を適用することと、 d) その結果から、カードのマイクロコンピュータ
    は、圧縮の結果のビットを選択することにより0から v
    −1 までの間の値を持つ初期疑似チャレンジdb(Hash
    (X,M,Tb),db=select(Hash(X,M,Tb)))を造り出すこと
    と、 e) カードのマイクロコンピュータは、元rに信用供
    与(Bc)のdb乗を掛けた積を mod* n で計算し、その結果
    は答D(D=rBcdb mod* n )とすることと、及びカー
    ドとセキュリティ・モデュールとの間の第1のデータ転
    送では、送達された第1の証明は、カードの信用状(Cr
    c),冪指数値(X),オプショナル・メッセージ(M),初期疑
    似チャレンジ(db)及び答(D) を含むビット列であり、デ
    ータ(db)及び答(D) の2つの元は (X)と(M) にサインし
    て成ることを特徴とする請求項2又は3に記載の方法。
  5. 【請求項5】セキュリティ・モデュールのマイクロコン
    ピュータにより実行される第2計算段階では、 a) セキュリティ・モデュールのマイクロコンピュー
    タは、答(D) のv乗に代表値(Jc)のdb乗を掛けた積を m
    od* n で計算し、その結果は最終証拠Tf (Tf=Dv J
    cdb mod* n )とすることと、 b) セキュリティ・モデュールのマイクロコンピュー
    タは、冪指数(X) とオプショナル・メッセージ(M) と最
    終証拠 (Tf)とを含むビット列に圧縮関数("Hash")を適
    用し、またマイクロコンピュータは、カードが為したの
    と同じやり方で最終疑似チャレンジ(df)(df=select(H
    ash(X,M,Tf))を得るためにビットを選定することと、 c) セキュリティ・モデュールのマイクロコンピュー
    タは、カードのマイクロコンピュータが冪指数(X) とメ
    ッセージ(M) とに正しくサインしたこと及びそれが受け
    取った第1の証明が正確であることを示すところの、最
    終疑似チャレンジ(df)と初期疑似チャレンジ(db)とが等
    しい場合には、そしてその場合に限り、処理動作の継続
    を容認することと、 d) セキュリティ・モデュールのマイクロコンピュー
    タは、選ばれた有限集合での自分自身の冪指数(Y) を計
    算することと、 e) セキュリティ・モデュールのマイクロコンピュー
    タは、共通過渡的キイ(K) を得るために、冪指数(Y) の
    指数を計算することと、 f) セキュリティ・モデュールのマイクロコンピュー
    タは、共通過渡的キイ(K) とシークレット(S) との援け
    を借りてクリプトグラム(C) を計算することと、 g) セキュリティ・モデュールのマイクロコンピュー
    タは、冪指数(Y) とカードに転送されるべきもう一つの
    オプショナル・メッセージ(M')とクリプトグラム(C) と
    にサインし、これを実行するために、 mod* n'の整数の
    集合から1つの元(r')を無作為に選定し、この元のv'乗
    を mod* n'で計算し、その結果は初期証拠Tb'(Tb'=
    r' v'mod * n' )とすることと、 h) セキュリティ・モデュールのマイクロコンピュー
    タは、冪指数(Y) とオプショナル・メッセージ(M')とク
    リプトグラム(C) と初期証拠 (Tb') とを含むビット列
    に、圧縮関数("Hash")を適用する(Hash(X,M',C,Tb))こ
    とと、 i) この圧縮の結果から、セキュリティ・モデュール
    のマイクロコンピュータは、0から v'-1 までの間の値
    を持つ初期疑似チャレンジ(db') (db' =select(Hash
    (X,M',C,Tb')))を造り出すことと、 j) セキュリティ・モデュールのマイクロコンピュー
    タは、元(r')にモデュールの信用供与(Bm)のdb' 乗を掛
    けた積を mod* n'で計算し、その結果は答D'(D' =
    r'Bm db'mod* n')とすることと、及び、 セキュリティ・モデュールとカードとの間の第2のデー
    タの流れでは、セキュリティ・モデュールのマイクロコ
    ンピュータは、カードのマイクロコンピュータに向かっ
    て、モデュールの信用状(Crm),自身の冪指数(Y),オプシ
    ョナル・メッセージ(M'), クリプトグラム(C),初期疑似
    チャレンジ(db') 及び答(D')を含むビット列により構成
    される第2の証明を送達し、2つのデータ元(db') 及び
    答(D')は(Y)と(M')と(C) にサインして成ることを特徴
    とする請求項4に記載の方法。
  6. 【請求項6】カードのマイクロコンピュータにより実行
    される第3計算段階では、 a) カードのマイクロコンピュータは、答(D')のv'乗
    とモデュールの信用状(Crm) に対応するモデュールの代
    表値(Jm)のdb' 乗とを掛けた積を mod* n'で計算し、そ
    の結果は最終証拠Tf'(Tf'=D' v' Jmdb'mod * n')と
    することと、 b) カードのマイクロコンピュータは、値(Y,M',C)と
    最終証拠 (Tf') とを含むビット列に圧縮関数"Hash"を
    適用し、またマイクロコンピュータは、セキュリティ・
    モデュールが為したのと同じやり方でビットを選定し、
    こうして最終疑似チャレンジ(df') (df' =(Hash(Y,
    M',C,Tf'))を得ることと、 c) カードのマイクロコンピュータは、セキュリティ
    ・モデュールのマイクロコンピュータが(Y,M',C)に有効
    にサインしたこと及びそれが送達した証明が正確である
    ことを示すところの、最終疑似チャレンジ(df') と初期
    疑似チャレンジ(db') とが等しい場合には、そしてその
    場合に限り、処理動作の継続を容認することと、 d) カードのマイクロコンピュータは、共通過渡的シ
    ークレット・キイ(K) を得るために、冪指数(Y) の指数
    を計算し、またそれはクリプトグラム(C) からそれが含
    むシークレット(S) を抽出することとを特徴とする請求
    項5に記載の方法。
  7. 【請求項7】セキュリティ モデュールに属する第2マ
    イクロコンピュータより、多数のカードが属している第
    1マイクロコンピュータ内にシークレットを非インタア
    クト転送する方法において、 請求項1ないし6に記載の第1証明を予めディレクトリ
    内に書込み、従ってこのディレクトリは各カードのすべ
    ての証明を有する如くし、セキュリティ モデュールの
    マイクロコンピュータはこのディレクトリ内の証明を読
    出し、次で請求項1ないし6に記載の計算段C)並び
    に、ディレクトリ内に証明を入力したカードに向けての
    計算段D)を遂行し、次でカードは計算段E)を行って
    このカードに対するシークレット(S)を見出すことを
    特徴とする非インタアクト シークレット転送方法。
  8. 【請求項8】1群のカードに対し有効な集合的証明の形
    のセキュリティ モデュールを支配する当局によって行
    われるカードのディレクトリ内への書込み動作におい
    て、当局は、 各カードに群内のランクの割当、 共通指数xの割当、 ある群の指数として指数xが前もって固定されている証
    明を行うに適した補助マイクロコンピュータによって集
    合的証明を計算するの各工程を含んでなる請求項7記載
    の方法。
  9. 【請求項9】2つのマイクロコンピュータによって利用
    される最終セットの指数が、フィールドの原点(primit
    ive )素子をベースとする第1数(p)によって特徴づ
    けられる一定のフィールドの指数であり、次でカードの
    マイクロコンピュータが第1計算段(A)内で、pより
    小なる正の指数(x)をランダムに選択し、対応する指
    数(X=ax mod p)を計算し、セキュリティ モデュ
    ールのマイクロコンピュータが、第2計算段(C)内
    で、pより小なる正の整数(y)を選択し、対応する指
    数(y=ay mod p)を計算し、指数(x)に羃数
    (y)を乗じて、(ax y mod pを求め、これにより
    共通の過渡的キィを形成し、次でカードのマイクロコン
    ピュータは、第3計算段(E)で、指数(Y)に羃数
    (x)を乗じ、すなわち(ay x mod pを求め、これ
    を共通キィとする請求項1ないし8のいずれか1項に記
    載の方法。
  10. 【請求項10】セキュリティ モデュールのマイクロコ
    ンピュータが、共通の過渡的キィ(K)及びシークレッ
    ト(S)より、(S)と(K)との排他的オア演算によ
    って暗号(C)を計算し、 カードのマイクロコンピュータが、共通過渡的キィ
    (K)より受信したこの暗号(C)を用い、(C)と
    (K)との同一の排他的オア演算を行って、シークレッ
    ト(S)を抽出することを特徴とする請求項1ないし9
    のいずれか1項に記載の方法。
JP16523491A 1990-06-11 1991-06-11 反復認証を行う2個のマイクロコンピュータ間に2つの証明を交換するシークレットの転送方法 Expired - Lifetime JP3704162B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9007228A FR2663141B1 (fr) 1990-06-11 1990-06-11 Procede de transfert de secret, par echange de deux certificats entre deux microcalculateurs s'authentifiant reciproquement.
FR9007228 1990-06-11

Publications (2)

Publication Number Publication Date
JPH0684026A true JPH0684026A (ja) 1994-03-25
JP3704162B2 JP3704162B2 (ja) 2005-10-05

Family

ID=9397470

Family Applications (1)

Application Number Title Priority Date Filing Date
JP16523491A Expired - Lifetime JP3704162B2 (ja) 1990-06-11 1991-06-11 反復認証を行う2個のマイクロコンピュータ間に2つの証明を交換するシークレットの転送方法

Country Status (4)

Country Link
EP (1) EP0461983B1 (ja)
JP (1) JP3704162B2 (ja)
DE (1) DE69108786T2 (ja)
FR (1) FR2663141B1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5396558A (en) * 1992-09-18 1995-03-07 Nippon Telegraph And Telephone Corporation Method and apparatus for settlement of accounts by IC cards
US5539828A (en) * 1994-05-31 1996-07-23 Intel Corporation Apparatus and method for providing secured communications
DE19702049C1 (de) * 1997-01-22 1998-05-14 Ibm Zertifizierung kryptografischer Schlüssel für Chipkarten
GB9709135D0 (en) * 1997-05-02 1997-06-25 Certicom Corp Two way authentication protocol
US6272475B1 (en) * 1998-03-23 2001-08-07 Siemens Nixdorf Informationssysteme Aktiengesellschaft Apparatus and method for the secure dispensing of bank papers
US8423788B2 (en) 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8321686B2 (en) 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US7748031B2 (en) 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
US8966284B2 (en) 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
US7934049B2 (en) 2005-09-14 2011-04-26 Sandisk Corporation Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory
US8423794B2 (en) 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4424414A (en) * 1978-05-01 1984-01-03 Board Of Trustees Of The Leland Stanford Junior University Exponentiation cryptographic apparatus and method
US4797920A (en) * 1987-05-01 1989-01-10 Mastercard International, Inc. Electronic funds transfer system with means for verifying a personal identification number without pre-established secret keys
FR2615638B1 (fr) * 1987-05-20 1989-07-21 Dassault Electronique Dispositif et procede d'habilitation informatique ou telematique
FR2620248B1 (fr) * 1987-09-07 1989-11-24 France Etat Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de messages
US4933970A (en) * 1988-01-19 1990-06-12 Yeda Research And Development Company Limited Variants of the fiat-shamir identification and signature scheme

Also Published As

Publication number Publication date
DE69108786D1 (de) 1995-05-18
EP0461983A1 (fr) 1991-12-18
EP0461983B1 (fr) 1995-04-12
JP3704162B2 (ja) 2005-10-05
FR2663141A1 (fr) 1991-12-13
FR2663141B1 (fr) 1992-08-21
DE69108786T2 (de) 1995-11-16

Similar Documents

Publication Publication Date Title
US5218637A (en) Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization
US9990796B2 (en) Data card verification system
US5606617A (en) Secret-key certificates
EP1873960B1 (en) Method for session key derivation in a IC card
EP0439847B1 (en) Optionally moderated transaction systems
US7093133B2 (en) Group signature generation system using multiple primes
DK1636680T3 (en) Systems and methods for carrying out secure payment transactions using a formatted data structure
US9882890B2 (en) Reissue of cryptographic credentials
EP0252499A2 (en) Method, apparatus and article for identification and signature
CN109672537A (zh) 基于公钥池的抗量子证书获取系统及获取方法
US7000110B1 (en) One-way function generation method, one-way function value generation device, proving device, authentication method, and authentication device
Jacobson et al. Mix-based electronic payments
JP3704162B2 (ja) 反復認証を行う2個のマイクロコンピュータ間に2つの証明を交換するシークレットの転送方法
CN109918888A (zh) 基于公钥池的抗量子证书颁发方法及颁发系统
US20050102523A1 (en) Smartcard with cryptographic functionality and method and system for using such cards
Wang Public key cryptography standards: PKCS
CN105187213B (zh) 一种计算机信息安全的方法
Okada et al. Optimistic fair exchange protocol for E-Commerce
CN101065924B (zh) 具有加密功能的智能卡和使用这种卡的方法和系统
Peng et al. The Application of Digital Signature Technology in PKI
Hsu A group digital signature technique for authentication
Roijakkers Security in signalling and digital signatures
De Decker et al. Advances in Network and Distributed Systems Security: IFIP TC11 WG11. 4 First Annual Working Conference on Network Security November 26–27, 2001, Leuven, Belgium
Fan et al. Research Article Date Attachable Offline Electronic Cash Scheme
AL-Matari Anonymous and Non-Repudiation E-Cash Scheme Based on Partially Blind Signature

Legal Events

Date Code Title Description
A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20040830

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20040903

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041130

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050616

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050722

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080729

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090729

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090729

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100729

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110729

Year of fee payment: 6

EXPY Cancellation because of completion of term