KR100346084B1

KR100346084B1 - 검증기에의해적어도하나의프로버를검증하는방법

Info

Publication number: KR100346084B1
Application number: KR1019940037173A
Authority: KR
Inventors: 스테른 자끄
Original assignee: 스테른 자끄
Priority date: 1993-12-30
Filing date: 1994-12-27
Publication date: 2002-11-30
Also published as: DE69428769T2; EP0661846B1; US5581615A; BR9405297A; ES2164694T3; KR950022375A; EP0661846A1; FR2714780B1; DE69428769D1; MY118736A; FR2714780A1; CN1120209A; JP3966912B2; CN1065055C; JPH07235922A

Abstract

본 발명은 검공기에 의해 적어도 한 프로버를 검증하는 새로운 방법에 관한 것으로서 상기 검증은 공공 및 비밀키이 크립토그라픽 기술과 제로-인식 프로토콜의 이용에 따른 것이다.

추가로 이러한 프로토콜은 강제 선형 방정식의 문제를 이용하여 이루어진다.

본 발명은 크립토그라픽에 응용된다.

Description

검증기에 의해 적어도 하나의 프로버를 검증하는 방법

본 발명은 검증 장치에 의해 적어도 하나의 식별장치를 검증하기 위한 새로운 방법에 관한 것으로서, 이러한 방법은 제약 선형 방정식(CLE)에 따른 제로-인식 프로토콜(zero-knowledge protocol)을 이용한다.

CLE는 소수(素數)(d)를 기본으로 하여 임의의 수의 선형 방정식을 만족시킬뿐만 아니라, 예정된 셋트(X)의 멤버가 되는 값을 찾는 단계를 포함한다.

본 발명은 두개의 장치, 즉 식별 장치(통상 프로버(prover)라 칭함)와 검증 장치(통상적으로 검증기(verifier)라 칭함)가 보안성이 보장되지 않은 채널을 통해 데이타를 교환하는 소위 "보호" 또는 "보안" 통신에 이용된다. 이러한 상황에서, 상호 인식수단은 꼭 필요한 데, 상기 상호 인식 수단은 사용자가 데이타나 서비스에 액세스하기 전에 사용자의 신원을 검증하는 검증 수단이다. 이런 보호 통신 수단을 요구하는 여러 상황이 있다. 그 좋은 예는 금융 거래 정보를 전송하는 은행컴퓨터, 자동 지폐 배급기, 페이-퍼-뷰(pay-per-view) 텔레비젼 디코더 및 공중전화 등이다.

이러한 응용에 대하여, 일반적으로 이용된 검증 방법은 비밀 키의 암호화 방법들이다. 현재까지 이러한 방법들은 가장 간단한 기술로서 이용되어왔다. 이러한 경우에, 일반적으로 스마트 카드인 프로버와 카드 판독기, 디코더 또는 공중전화와 같은 검증기는 동일한 비밀 키를 공유한다. 식별은 대칭 알고리즘 또는 단 방향성 동작 함수에 의해 수행된다.

이러한 방법의 단점은 상기 두 부분(프로버와 검증기)이 보안을 유지한 채로 상호 동작하여야만 한다는 것이다. 이러한 조건은 항상 안전한 것은 아니다. 예컨대, 비밀 키가 통신라인의 양 단부, 즉 프로버와 검증기에 존재하기 때문에, 위조자는 내부 동작을 이해하기 위하여 검증 장치를 구입하여 분석한 후, 고 성능 장치를 제조할 수 있다.

상기 공지된 방법의 단점을 극복하기 위하여 사용된 방법 중에, 현재까지 제로-인식 프로토콜이 가장 높은 보안 등급을 제공하는 것으로 알려져 있다. 이러한 제로-인식 프로토콜은 검증기와 무제한의 트랜잭션(transaction) 및 이러한 검증기의 완벽한 분석시에도 상기 장치를 복제할 수 없다는 사실을 기술적 특징으로 한다. 제로-인식 검증 방법에 대한 설명은 Fiat 등의 이름으로 출원한 미합중국 특허 제 4,748,668 호와 Shamir 등의 이름으로 출원한 미합중국 특허 제 4,932,056 호에 기재되어 있다. 후자의 특허는 소위 순열화된 커널 문제(permuted kernel problem), 즉 "PKP" 라는 이름으로 공지된 검증 방법을 기술한다.

본 발명자는 신드롬 디코딩에 따른 새로운 검증 방법을 개발하였다. 이것은, CRYPTO 93 협회지("컴퓨터 싸이언스의 강연노트"에 기재된 방법)에 기재된 Jacques Stern 에 의한 "신드롬 디코딩에 따른 새로운 식별 방법"이라는 논문에 기술되어 있다. 상기 논문에 기재된 여러 방법의 단점은 프로버와 검증기 사이의 정보 교환이 비교적 느리다는 것이다. 더욱이, 이러한 방법에 사용된 공개 키 또는 비밀 키는 일반적으로 현저한 처리 능력과 메모리 용량을 필요로하는 상당 수의 비트를 이용하여 코딩된다.

본 발명의 목적은, 검증기에 의해 프로버를 빨리 검증할 수 있고 알맞은 크기의 공개 키 및 비밀 키를 이용할 수 있는 새로운 검증 방법에 의해 상술한 방법의 단점을 극복하고자 하는 것이다.

본 발명의 목적은, 비밀 키 및 공개 키를 이용하는 암호화(cryptographic) 기술을 바탕으로 검증기에 의해 적어도 하나의 프로버를 검증하는 것이고, 이러한 검증은 제로 인식 프로토콜에 의해 이루어지며 상기 공개 키는 제약 선형 방정식을 이용함으로써 얻어진다. 이러한 방법은 다음의 단계를 포함한다. 즉,

- 비밀 키와 공개 키를 구현하여 프로버와 검증기 사이에서 다이알로그가 가능하도록 하는 단계를 포함하는데, 상기 비밀 키는 좌표가 고정된 셋트(X)로부터 선택된 디멘션(n)의 적어도 하나의 벡터(S)로 구성되고, 공개 키는 계수가 0 내지 d-1의 정수값으로부터 임의로 선택된 디멘션(m×n)의 메트릭스(M)와 p=g(M(S))인 적어도 하나의 벡터(P)로 구성되고, 상기 d는 수 C의 자승에 근접한 소수이고, g는 x가 유일하게 X의 엘리먼트 k(x)와 g(x)곱으로 표현되도록 벡터(P)의 각각의좌표(x)에 G의 엘리먼트 g(x)를 연관시키고, 정수(1, 2,...d-1) 셋트의 서브그룹(G)과 셋트(X)에 의해 정의되는 함수이고,

- 프로버는 검증기에 의해 만들어진 하나 이상의 임의의 수를 수신한 후, 암호화 해시(hash) 함수를 S, M 및 임의의 수의 함수인 파라미터에 인가하여 얻어진 커미트먼트(commitment)를 검증기로 리턴하는 단계;

- 검증기에 의해 선택된 임의의 수에 따라 커미트먼트가 정확한 지를 공개 키와 수신된 값을 이용하여 검사하는 단계;

- 요구된 보안 등급에 따라, 이전의 동작을 여러 번 반복하는 단계를 포함한다.

상기 검증 방법에서, 모든 사용자에게 공통이며 임의적으로 구성된 m×n 메트릭스(M)가 이용된다. 각각의 사용자들은 좌표가 고정된 셋트(X)로부터 선택되는 n 비트 워드인 비밀 키(S)를 수신한다. 이러한 셋트(X)는, C 엘리먼트를 포함하며, 그 결과 1 내지 d-1의 모든 정수는 유일하게 G 엘리먼트와 X 엘리먼트의 곱으로 표현된다. 이러한 경우에, 상기 시스템은 p=g(M(S))가 되도록 공개 키(P)를 계산한다.

더욱이, 검증 방법은 주로 커미트먼트의 기술적 개념에 따른다. U가 연속한 2진 엘리먼트라면, U에 대한 커미트먼트는 주어진 암호화 해시함수를 통해 발생하는 U의 이미지이다. 상기 커미트먼트는 단 방향 함수로 이용될 것이다. 즉, 상기 커미트먼트는 커미트먼트가 형성되도록 하는 오리지날 시퀀스를 표시함으로써 표현된다. 상기 해시함수는 R. Rivest 에 의한 CRYPTO 90 협회지 ("컴퓨터 사이언스의강의노트" p.p. 303-311의 CRYPTO 90방법)에 기재된 "MD4"방법을 이용하여 얻어질 수 있다. 우리는 "MD5"와 미국 표준 SHA의 이름으로 도입된 방법의 변형을 이용할 수 있다. 마지막으로, 해시함수 대신, 해시될 메시지가 키 역할이나 코딩될 평문 역할을 수행하는 DES(데이타 암호화 표준)와 같은 암호화 알고리즘을 이용하는 것이 가능하다. 그러나, 이러한 해시는 해시의 압축 결과가 바람직하게는 128비트가 되도록 되풀이될 것을 추천한다.

프로버는 또한 2진 벡터를 순열로 배치하는데 이용되는 임의 순열(permutation) 생성기를 이용한다. 이러한 생성기는 소위 "엘보우" 영역에서 반전 편향 다이오드인 디지털 화이트 노이즈원으로부터 만들어질 수 있거나 Aragon에 의한 미합중국 특허 제 4,649,419 호나 Gunter에 의한 미합중국 특허 제 4,817,147 호에 기재된 소프트웨어 방법을 이용하여 만들어질 수 있다.

본 발명에 따른 검증 방법의 제 1실시예에 따르면, 여러 가지 방법 모두에 대해 공통적인 제 1단계에서, 프로버는 검증기에 서명 공개 키 및/또는 식별 키를 제공한다. 그 다음,

- 디멘션이 m, n이고, 0 내지 d-1의 정수로 구성된 두 개의 벡터(U 및 V), 및 각각 m 및 n 엘리먼트의 두 순열(p 및 q)을 임의로 선택한 후, 프로버는 해시함수(H)를 통해 생성된 커미트먼트(h1, h2, 및 h3)를 계산하여 검증기에 전송한다.

여기서 P*V는 d를 바탕으로 하는 벡터(P 및 V) 성분(component)의 항별 곱(term-by-term product)을 나타내며, T는 프로버에 의해 함수(S)로서 계산되거나 장치의 메모리의 물리적으로 액세스 불가능한 부분에 저장될 수 있는 벡터(K(M(S)))이다.

- 검증기는 0<b<4가 되도록 수 "b"를 임의로 선택하고 이를 프로버에 전송한다.

- 그후 프로버는 다음과 같이 정의된 응답을(r)을 리턴한다.

- b=1 이라면, r은 값 p, q, U 및 V로 이루어지며,

- b=2 이라면, r은 p, q 및 벡터(U'=(U+S) 및 V'=(V-T))로 이루어지며,

- b=3 이라면, r은 벡터(U.p, V.q, U"=(U+S).p 및 V"=(V-T).q)로 이루어진다.

- 검증기는 응답(r)을 수신하고 다음과 같이 처리한다.

·b=1 이라면, 검증기는 수신된 엘리먼트(p, q, U 및 V)로부터 MU+P*V, U.p및 V.q의 값을 계산하고, 상기 값은 응답이 옳을 때 다음과 같은 식을 만족시킨다.

- b=2 라면, 검증기는 수신된 엘리먼트(p, q 및 벡터(U' 및 V'))로부터 MU+P*V, U.p 및 V.q의 값을 계산하고, 상기 값은 응답이 옳을 때 다음과 같은 식을 만족시킨다.

b=3 이라면, 검증기는 다음이 사실임을 검증한다.

그리고 검증기는 또한 두개의 벡터(U"-U.p 및 V"-V.q)를 계산하고 상기 두 개의 벡터가 X 엘리먼트만으로 이루어졌는 지를 검사한다.

본 발명에 따른 검증 방법의 다른 바람직한 실시예에서, 여러 가지 방법 모두에 대해 공통적인 제 1단계에서 프로버는 검증기에 서명 공개 키 및/또는 식별 키를 제공한 후;

- 각각 디멘션이 m, n이고, 0 내지 d-1의 정수로 구성된 두개의 벡터(U 및 V), 및 m 및 n 엘리먼트의 두 순열(p 및 q)을 임의로 선택한 후, 프로버는 해시 함수(H)를 통해 만들어진 커미트먼트(h1, h2)를 계산하여 검증기에 전송한다.

여기서 P*V는 d를 바탕으로 하는 벡터(P 및 V) 성분의 항별 곱을 나타낸다.

- 검증기는 0 내지 d-1의 수 "a"를 임의로 선택하고 이를 프로버에 전송한다.

- 그 후 프로버는 상기 벡터를 계산하여 검증기에 전송하다.

여기서 T는 프로버에 의해 함수 (S)로서 계산되거나 장치 메모리의 물리적으로 액세스 불가능한 부분에 저장될 수 있는 벡터K(M(S))이다.

- 검증기는 임의로 비트 "b"(=0 또는 1)를 선택한 후 프로버에 전송한다.

- 프로버는 그후 다음과 같이 정의된 응답(r)을 리턴한다.

ㆍb=0 이라면, r은 갑 p, q로 구성되며

ㆍb=1 이라면, r은 벡터(U'=S.p 및 V'=T.q)로 구성된다.

- 검증기는 응답(r)을 수신하여 다음과 같이 처리한다.

ㆍb=0 이라면, 검증기는 수신된 엘리먼트(p, q)로부터 (Y').p=Y 및 (Z').q=Z이도록 벡터(Y' 및 Z')를 계산한 후, 벡터(M(Y')-P*Z')을 계산하고, 상기 벡터들은 응답이 옳을 때 다음과 같은 식을 만족시킨다.

h1=H(p, q, M(Y')-P*Z')

ㆍb=1 이라면, 검증기는 벡터(Y-aU' 및 aV'-Z)를 계산하고, 상기 벡터는 응답이 옳을 때 다음과 같은 식을 만족시킨다.

h2=H(Y-aU, aV'-Z)

그리고 검증기는 벡터(U' 및 V')가 X의 엘리먼트만을 포함하는 지를 검사한다.

본 발명은 제로 인식 프로토콜을 이용한 새로운 검증 방법에 관한 것이다. 이러한 경우에 상기 방법의 보안성은 제약 선형 방정식(CLE)을 바탕으로 한다. CLE는 소수(素數)(d)를 바탕으로 임의의 수의 선형 방정식을 만족시킬뿐만 아니라, 미리 기술된 셋트(X)의 멤버인 값(n)을 찾는 단계를 포함한다. 변수가 많으면 공지된 계산 수단을 이용하여 해결하기에는 매우 어렵다. 사실 이러한 시스템은 m=n=20일때 n+m 변수를 가진 m 방정식의 경우에 해당하며, 이 경우는 현재의 컴퓨터 능력을 훨씬 초월하는 것이다.

본 발명에 따른 검증 방법을 실행하기 위하여, 검증 방법은 바람직하게 m=n인 경우 디멘션(m×n)의 메트릭스(M)를 선택한다. 이러한 메트릭스는 0 내지 d-1의 정수로부터 임의로 선택한 계수를 포함하고, 여기서 d는 수 c의 자승과 근접하는 소수이다. 바람직하게 d=257은 (16×16)+1과 동일하다. 상기 검증 방법은 좌표가 셋트(X)로부터 임의로 선택되는 디멘션(n)의 벡터(S)의 셋트를 선택한다. 셋트(X)는 d를 바탕으로 하는 일련의 연속적인 멱급수로부터 형성된 곱셈의 그룹으로서 공지된 셋트(G)의 함수로서 결정되고, 이러한 셋트는 셋트(G)의 엘리먼트의 수가 C가 되도록 선택된다. 이러한 경우에, C 엘리먼트로부터 형성된 셋트(X)가 존재하며, 그 결과 1 내지 d-1간의 모든 정수는 셋트(G)의 엘리먼트와 셋트(X)의 엘리먼트의 곱으로 유일하게 정의된다. 따라서, 1 및 d-1 간의 정수(U)의 단일 분해(unique decomposition)에 포함된 G의 엘리먼트는 g(u)로 표시되고 X의 대응 엘리먼트는 k(u)로 표시된다. U가 1 내지 d-1의 정수 벡터라면, g(u)는 G를 통해 U의 좌표의 이미지에 의해 구성되며, k(u)는 유사하게 정의된다.

이러한 방법으로 결정된 비밀 키는 여러 프로버에게 분배된다. 추가로, 벡터(P=g(M(S))에 의해 구성된 모든 공개 키가 공지된 바와 같이 만들어진다. 본 발명에 따르면, 이러한 공개 키는 G와 X의 엘리먼트의 테이블을 이용하여 비밀 키로서 아주 작은 수의 바이트를 이용하여 코딩될 수 있다. 따라서, d=257이고 m=n=20이라면, 10 바이트의 키를 얻을 수 있는데, 이것은 다른 공지된 제로 인식 프로토콜 이상의 본 발명 방법의 장점이 된다.

본 발명에 따른 검증 방법에 대한 두가지 실시예를 기술한다.

제 1 방법은 검증을 수행하기 위하여 프로버와 검증기 사이에 이용된 통신 프로토콜을 개략적으로 도시한 제 1도를 참조하여 설명한다. 스마트 카드나 전자 키의 형태일 수 있는 프로버는 물리적으로 액세스하기 어렵다. 예컨데, 스마트 카드의 경우에, 그 내부 메모리를 판독하는 것은 불가능하다. 다른 한편으로, 검증기가 동작하는 환경에 대한 요구 조건은 없다. 더욱이, 프로버는 디멘션(n)의 벡터(S)와 디멘션(m×n)의 메트릭스(M)인 비밀 키(S)를 비휘발성 메모리에 저장하는 반면, 검증기는 서명 키(P)가 승인된 사람에 의해 제시되었다는 것을 검증하기 위해 충분한 데이타 또는 벡터(P)에 의해 구성된 모든 공개 키를 비휘발성 메모리에 저장한다. 프로버가 검증기와 통신하기를 원할 때, 두 장치는 다음 프로토콜을 실행한다;

- 우선, 프로버는 검증기에 서명 키 및/또는 식별 키를 제시하고, 검증기는 식별 키가 P에 대응하는 지를 검증한다.

- 다음 프로버는 디멘션이 각각 m, n인 두개의 벡터(U 및 V)를 임의로 선택하고, 여기서 상기 디멘션 m 및 n은 m=n이고, m 및 n 엘리먼트 각각의 두 개의 임의 순열(p 및 q) 뿐만 아니라, 0 내지 d-1의 정수로 구성된다. 프로버는 다음의 커미트먼트를 계산하여 검증기에 전송한다.

여기서 P*V는 d를 바탕으로 하는 벡터(P 및 V) 성분의 항별 곱을 나타내며 T는 벡터(K(M(S))이다.

- 검증기는 0<b<4가 되도록 임의의 수 "b"를 선택하고 이를 프로버에 전송하다.

- 프로버는 다음과 같이 정의된 응답(r)을 검증기로 리턴한다.

ㆍb=1 이라면, r은 갑 p, q, U 및 V로 이루어지며

ㆍb=2 이라면, r은 p, q와 벡터(U'=(U+S) 및 V'=(V-T))로 이루어지며

ㆍb=3 이라면, r은 U.p, V.q, U"=(U+S).p 및 V"=(V-T).q로 이루어진다.

- 검증기는 응답(r)을 수신하고 다음과 같이 처리한다.

ㆍb=1 이라면, 검증기는 수신된 엘리먼트(p, q, U 및 V)로부터 MU+P*V, U.p 및 V.q의 값을 계산하고, 상기 값은 응답이 옳을 때 다음과 같은 식을 만족시켜야한다.

ㆍb=2 라면, 검증기는 수신된 엘리먼트(p, q) 및 벡터(U' 및 V')로부터 MU'+P*V', U'.p 및 V'.q의 값을 계산하고, 상기 값은 응답이 옳을 때 다음과 같은 식을 만족시켜야 한다.

ㆍb=3 이라면, 검증기는 다음이 사실이라는 것을 검증한다.

그리고 검증기는 또한 두개의 벡터(U"-U.p 및 V.q-S")를 계산하고 상기 벡터들이 X 엘리먼트만으로 이루어지는 지를 검사한다.

상기 모든 검사가 성공적이라면 검증기는 검증 프로토콜이 성공적으로 종결되었고, 트랜잭션할 수 있도록 제어 신호를 보호 시스템의 입/출력 인터페이스로 전송하는 것을 고려하며, 그렇지 않으면 프로버는 거절된다.

검증기는 높은 보안 등급이 요구된다면 상술한 단계를 t번 반복할 수 있다.

상술한 동작이 제 1도에 요약되어 있고, 여기서, 좌측은 프로버에 의해 수행되는 동작이며 우측은 검증기에 의해 수행되는 동작이다.

본 발명에 따른 검증 방법의 다른 실시예는 제 2도를 참조하여 설명될 것이다.

제 2실시예는 이전보다 더 많은 계산을 필요로 하지만, 보호 시스템의 불법적인 침투 가능성을 빠르게 감소시킨다. 이러한 실시예는 제 1도의 방법과 유사한 제 2도에 요약된 다음 단계를 포함한다.

- 먼저 프로버는 제 1실시예에서와 같이 검증기에 서명 키 및/또는 식별 키를 제공한다 ;

- 다음으로, 프로버는 각각의 m 및 n 엘리먼트의 두 개의 임의의 순열(p 및 q)뿐만 아니라, 0 내지 d-1의 정수로 구성된 m 및 n(m은 n과 동일할 수 있다)의 두 개의 벡터(U 및 V)를 임의로 선택한다. 프로버는 다음의 커미트먼트를 계산하여 검증기에 전송한다.

여기서 P*V는 d를 바탕으로 하는 벡터(P 및 V) 성분의 항별 곱을 나타내고 H는 암호화 해시 함수이다.

- 검증기는 0 내지 d-1 사이의 임의의 수 "a"를 선택하고 이를 프로버에 전송한다.

- 그후 프로버는 상기 벡터를 계산하여 검증기에 전송한다.

Y=(aS+U).P

Z=(aT-V).q

여기서 T는 프로버에 의해 함수(S)로서 계산되거나 장치 메모리의 물리적으로 액세스 불가능한 부분에 저장될 수 있는 벡터(K(M(S))이다.

- 검증기는 임의로 비트 "b"(=0, 1)를 선택한 후 프로버에 전송한다.

- 프로버는 그후 다음과 같이 정의된 응답(r)을 리턴한다.

ㆍb=0 이라면, r은 값 p 및 q로 구성되며

ㆍb=1 이라면, r은 벡터(U'=S.p 및 V'=T.q)로 구성된다.

- 검증기는 응답(r)을 수신하여 다음과 같이 처리한다.

ㆍb=0 이라면, 검증기는 수신된 엘리먼트(p, q)로부터 (Y').p=Y 및 (Z').q=Z이도록 벡터(Y' 및 Z')를 계산한 후, 벡터(M(Y')-P*Z')를 계산하고, 상기 벡터들은 응답이 옳을때 다음과 같은 식을 만족시킨다.

h1=H(p, q, M(Y')-P*Z')

ㆍb=1 이라면, 검증기는 벡터(Y-aU' 및 aV'-Z)를 계산하고, 상기 벡터는 응답이 옳을 때 다음과 같은 식을 만족시켜야 한다.

h2=H(Y-aU,aV'-Z)

b에 대한 검사가 성공적이라면, 검증기는 검증 프로토콜이 성공적으로 종결되었고 트랜잭션할 수 있도록 제어 신호를 보호 시스템의 입/출력 인터페이스로 전송하는 것을 고려하며, 그렇지 않으면 프로버는 거절된다.

보안 등급을 증가시키기 위하여 프로버 및 검증기는 상술한 단계를 t번 반복하고, 이러한 경우에 검증 프로토콜은 모든 경우의 검사가 성공적일 때만 성공적이라고 판단하게 된다. t는 바람직하게는 0 < t < 60이 되도록 선택될 것이다. 제 1 및 제 2실시예에 대하여, t=35 와 t=20의 각각의 값은 많은 응용에서 만족스런 보안 등급을 제공한다.

상술한 두 실시예는 제한되는 것이 아니며 본 발명의 범위를 벗어나지 않는 한 여러 가지 변형예가 가능하다.

제 1도는 본 발명에 따른 검증 방법의 제 1실시예를 나타낸 도면.

제 2도는 본 발명에 따른 검증 방법의 제 2실시예를 나타낸 도면.

Claims

비밀 키 및 공개 키를 사용하는 암호화 기술을 바탕으로 검증기에 의해 적어도 하나의 프로버를 검증하는 방법에 있어서,

상기 검증 방법은 제로 인식 프로토콜에 의해 수행되고,

상기 공개 키는 제약 선형 방정식을 이용하여 설정되는 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

(a) 상기 비밀 키와 상기 공개 키를 구형하여 상기 프로버와 상기 검증기 사이에서 다이알로그가 가능하도록 하는 단계를 포함하는데, 상기 비밀 키는 좌표가 고정된 셋트(X)로부터 선택된 디멘션(n)의 적어도 하나의 벡터(S)로 구성되고, 상기 공개 키는 계수가 0 내지 d-1의 정수값으로부터 임의로 선택된 디멘션(m×n)의 메트릭스(M)와 p=g(M(S))인 적어도 하나의 벡터(P)를 포함하고, 상기 d는 수 C의 자승에 근접한 소수이고, 상기 g는 x가 유일하게 X의 엘리먼트 k(x)와 g(x)의 곱으로 표현되도록 벡터(P)의 각각의 좌표(x)에 G의 엘리먼트 g(x)를 연관시키고 정수(1,2,...d-1)의 셋트의 서브그룹(G)과 셋트(X)에 의해 정의되는 함수이고,

(b) 상기 프로버가 상기 검증기에 의해 만들어진 하나 이상의 임의의 수를 수신한 후, 암호화 해시함수를 S, M 및 임의의 수의 함수인 파라미터에 인가함으로써 얻어진 커미트먼트를 검증기로 리턴하는 단계;

(c) 상기 검증기에 의해 선택된 임의의 수에 따라 커미트먼트가 정확한 지를 공개 키와 수신된 값을 이용하여 검사하는 단계를 포함하는 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

- 상기 단계들은 높은 보안 등급을 제공하기 위해, 여러 번 반복되는 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

상기 셋트(X)는 C 엘리먼트로 이루어지므로 1 내지 d-1의 모든 정수는 G 엘리먼트와 X 엘리먼트의 곱과 같은 유일한 방법으로 정의될 수 있는 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

임의의 엘리먼트는 0 내지 d-1의 정수로 이루어진 디멘션(m, n)의 두 벡터(U 및 V) 및 m, n 엘리먼트의 두 순열(p, q)로 구성되는 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

m=n 인 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

d=257이고 n=20인 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

각각의 검증 다이알로그의 시작시, 상기 프로버는 검증기에 식별 키 및/또는 서명 공개 키를 제공하는 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

상기 프로버와 검증기 사이에서 다이알로그가 수행되고 임의의 엘리먼트가 선택될 때;

(a) 프로버는 하기와 같은 해시 함수(H)를 통해 생성된 커미트먼트(h1, h2)를 계산하여 검증기에 전송하며,

h1=H(p, q, MU+P*V)

h2=H(U.p, V.q)

여기서 P*V는 d를 바탕으로 하는 벡터(P 및 V) 성분의 항별 곱을 나타내고,

(b) 검증기는 0 내지 d-1 사이의 임의의 수 "a"를 선택하여 이를 프로버에 전송하고,

(c) 프로버는 하기와 같은 벡터를 계산하여 검증기에 전송하고,

Y=(aS+U).p

Z=(aT-V).q

여기서 T는 벡터(K(M(S)))이고,

(d) 검증기는 임의로 비트 "b"(=0 또는 1)를 선택한 후 프로버에 전송하고,

(e) 프로버는 다음과 같이 정의된 응답(r)을 리턴하고,

ㆍb=0 이라면, r은 p 및 q의 값으로 구성되며,

ㆍb=1 이라면, r은 벡터(U'=S.p 및 V'=T.q)로 구성되고,

(f) 검증기는 응답(r)을 수신하여 다음과 같이 처리하고,

ㆍb=0 이라면, 검증기는 수신된 엘리먼트(p, q)로부터 (Y').p=Y 및 (Z').q=Z이도록 벡터(Y' 및 Z')를 계산한 후, 벡터(M(Y')-P*Z')를 계산하고, 상기 벡터들은 응답이 옳을 때 다음과 같은 식을 만족시키고,

h1=H(p, q, M(Y')-P*Z')

ㆍb=1 이라면, 검증기는 수신된 엘리먼트로부터 벡터(Y-aU' 및 aV'-Z)를 계산하고, 상기 벡터는 응답이 옳을 때 다음과 같은 식을 만족시키고,

h2=H(Y=aU, aV'-Z)

그리고 검증기는 벡터(U' 및 V')가 X의 엘리먼트만을 포함하는 지를 검사하는 것을 특징으로 하는 검증 방법.
제 1항에 있어서,

상기 프로버와 검증기 사이에서 다이알로그가 수행되고 임의의 엘리먼트가 선택될 때,

(a) 프로버는 하기와 같은 해시 함수(H)를 통해 형성된 커미트먼트(h1, h2, 및 h3)를 계산하여 검증기에 전송하고,

h1=H(p, q, MU + P*V)

h2=H(U.p, V.q)

h3=H((U+s).P, (V-T).q)

여기서 P*V는 d를 바탕으로 하는 벡터(P 및 V) 성분의 항별 곱을 나타내며, T는 프로버에 의해 함수(S)로서 계산되거나 장치의 메모리의 물리적으로 액세스 불가능한 부분에 저장될 수 있는 벡터(K(M(S)))이고

(b) 검증기는 0<b<4가 되도록 임의의 수 "b"를 선택하고 이를 프로버에 전송하고,

(C) 프로버는 다음과 같이 정의된 응답(r)을 리턴하고,

ㆍb=1 이라면, r은 p, q, U 및 V로 이루어지며,

ㆍb=2 이라면, r은 p, q, 및 벡터(U'=(U+s) 및 V'=(V-T))로 이루어지며,

ㆍb=3 이라면, r은 U.p, V.q, U"=(u+s).p 및 V"=(V-T).q로 이루어지고,

(d) 검증기는 응답(r)을 수신하여 다음과 같이 처리하고,

ㆍb=1 이라면, 수신된 엘리먼트(p, q, U 및 V)로부터 MU+p*V, U.p 및 V.q의값을 계산하고, 상기 값들은 응답이 옳을때 다음과 같은 식을 만족시키고,

ㆍb=2 라면, 검증기는 수신된 엘리먼트(p, q) 및 벡터(U' 와 V')로부터 MU'+P*V', U'.p 및 V'.q의 값을 계산하고, 상기 값들은 응답이 옳을 때 다음과 같은 식을 만족시키고,

ㆍb=3 이라면, 다음이 사실이라는 것을 검증하고,

그리고 검증기는 두개의 벡터(U"-U.p 및 V"-V.q)를 계산하고 상기 벡터들이 X 엘리먼트만으로 이루어지는 지를 검사하는 것을 특징으로 하는 검증 방법.
제 9항에 있어서,

상기 검증 동작 단계는 t번 반복되고, 여기서 t는 요구되는 보안 등급에 따라 증가되고, 상기 검증기는 모든 단계의 검사가 성공적일때만 프로버를 인증하는 것을 특징으로 하는 검증 방법.
제 9항에 있어서,

상기 벡터(K(M(S)))는 프로버에 의해 함수(S)로서 계산 되거나, 프로버 메모리의 물리적으로 액세스 불가능한 부분에 저장되는 것을 특징으로 하는 검증 방법.