KR100715738B1

KR100715738B1 - 식별 정보를 노출하지 않고 신용을 수립하기 위한 시스템및 방법

Info

Publication number: KR100715738B1
Application number: KR1020057009543A
Authority: KR
Inventors: 어니 브릭켈
Original assignee: 인텔 코오퍼레이션
Priority date: 2002-11-27
Filing date: 2003-11-06
Publication date: 2007-05-09
Also published as: US7165181B2; CN1717895A; JP2006508608A; CN1717895B; WO2004051923A1; AU2003287567A1; EP1566011A1; US20070113077A1; US20040103281A1; KR20050088085A; US7454611B2

Abstract

본 발명의 실시예의 일 양상은 챌린저에게 서명을 노출하지 않고, 프루버 디바이스가 디바이스 제작자로부터의 서명을 구비한다는 것을 챌린저에게 입증하기 위한 방법, 시스템, 및 디바이스를 제공한다. 일 구현에 따르면, 챌린저에게는 프루버 디바이스에 의해 보유된 기밀(secret)의 단방향 함수의 결과가 제공된다. 프루버 디바이스와 챌린저 사이에서 양방향성 증명이 사용되어, 단방향 함수에서 사용된 기밀은 기밀 또는 디바이스 서명이나 프루버 디바이스의 식별 정보를 챌린저에게 노출하지 않고, 단방향 함수에서 사용된 기밀이 디바이스 서명에 의해 서명되었음을 챌린저에게 입증하는 것이다.

챌린저, 서명, 프루버 디바이스, 기밀(secret), 단방향 함수, 양방향성 증명

Description

식별 정보를 노출하지 않고 신용을 수립하기 위한 시스템 및 방법{SYSTEM AND METHOD FOR ESTABLISHING TRUST WITHOUT REVEALING IDENTITY}

본 발명의 다양한 실시예는 일반적으로 통신을 안전하게 하는 것과 관련되어 있다. 특히, 본 발명의 적어도 하나의 실시예는, 제1 디바이스가, 유효 서명(valid signature)을 노출하지 않고, 그 유효 서명을 가지고 있다는 것을 제2 디바이스에게 입증하게 하는 것과 관련되어 있다.

컴퓨터 네트워크를 포함하는 현대의 많은 통신 시스템에 있어서, 교환 중인 정보의 신뢰도 및 보안이 상당히 염려되고 있다.

예를 들어, TCPA(Trusted Computing Platform Alliance) 모델에 있어서, 각 컴퓨터(PC)는 TPM(Trusted Platform Module)이라 불리는 믿을만한 하드웨어 디바이스를 구비한다. 일 구현으로서, TPM은 PC의 소프트웨어 및 하드웨어에 관한 정보를 기록할 수 있다. 각 TPM은 고유의 EK(unique endorsement key)를 구비한다. EK에는, TPM 및 플랫폼에 관한 정보를 포함하는 발행된 인증서가 존재한다. 이후, 챌린저(challenger)라 불리는 외측 파티(outside party)가 PC의 소프트웨어 및/또는 하드웨어 환경을 알고 싶어하는 경우에, 챌린저는 TPM에게 리포트를 줄 것을 요구할 수 있다. 챌린저는 리포트가 실제로 유효 TPM으로부터 온 것인지를 확인하고 싶어한다. PC의 소유자는 가능한 한 충분히 프라이버시를 유지하기를 원한다. 특히, PC의 소유자는, 리포트가 동일한 TPM으로부터 오고 있다는 것을 판정할 수 있는 챌린저들이 없는 상태로, 둘의 서로 다른 챌린저에게 리포트를 줄 수 있기를 원한다.

TCPA에 의해 제안된 하나의 해결책은 TTP(Trusted Third Parties)를 설치하는 것이다. TPM은 AIK(Attestation Identify Key)를 작성하고, EK에 의해 서명된 인증서 요구 중 키의 공개 부분을 TTP에게 전송한다. TTP는 EK가 유효하고, 서명이 맞는지(okay)를 체크하고, AIK를 위해 인증서를 발행한다. 그 다음, TPM이 챌린저로부터 요구를 수신했을 때, TPM은 AIK 및 TTP의 인증서를 사용한다. 이들은 EK에 관련되지 않으므로, 챌린저는 AIK에 대한 어떠한 정보도 얻지 못한다. 이러한 접근법이 갖는 문제점은 TTP의 설치를 필요로 한다는 것이다. 사실, TTP 및 이러한 접근법을 위한 실행 가능한 업무 모델(feasible business model)로서 역할을 할 수 있는 식별 파티(identifying parties)는 상당한 장애물임이 입증되었다.

따라서, TCPA 아키텍처에 있어서 TTP에 대한 필요성은 문제가 되었다. 그러나 TTP를 사용하지 않고 익명 및 보안 요구 조건들을 달성하는 암호 프로토콜을 제안하는 사람은 아무도 없었다.

본 발명의 다양한 실시예에 대한 다음의 상세한 설명에 있어서, 여러 특정한 상세는 본 발명의 하나 이상의 실시예의 다양한 양상에 대한 완전한 이해를 제공하기 위해 설명되는 것이다. 그러나 본 발명의 하나 이상의 실시예는 이러한 특정 상세없이 실행될 수 있다. 그 외의 예에서, 공지된 방법, 절차, 및/또는 컴포넌트는 본 발명의 실시예의 양상들을 불필요하게 모호하게 만들지 않기 위해 상세히 설명되지는 않는다.

다음 설명에서, 본 발명의 하나 이상의 실시예에 대한 임의의 특징을 설명하기 위해 임의의 용어가 사용된다. 예컨대, "플랫폼(platform)"은 임의의 유형의 디바이스, 컴퓨터, 처리장치 등을 포함한다. "챌린저(challenger)"라는 용어는 요구된 정보를 요구자에게 노출하거나 제공하기 전에, 요구자로부터 신빙성 혹은 권한에 대한 소정의 검증을 요구하는 임의의 사람, 플랫폼, 시스템, 소프트웨어, 및/또는 디바이스를 칭한다. "프루버(prover)"(예컨대, 프루버 디바이스)라는 용어는 권한(authority), 유효성(validity), 및/또는 식별 정보(identity)에 대한 소정의 증명을 제공하도록 요구받은 임의의 사람, 플랫폼, 시스템, 소프트웨어, 및/또는 디바이스를 칭한다. "디바이스 제작자(device manufacturer)"라는 용어는 디바이스 혹은 플랫폼을 제조 혹은 구성하는 임의의 사람, 플랫폼, 시스템, 엔티티, 소프트웨어 및/또는 디바이스(예컨대, TPM(Trusted Platform Module))를 칭한다. "디바이스 제작자"라는 용어는 "인증 제작자(certifying manufacturer)"라는 용어와 교환하여 사용될 수 있다. "해시(HASH)"라는 용어는 임의의 해싱 함수(hashing function) 혹은 알고리즘이나 그것의 등가물을 칭한다.

여기서 논의된 본 발명의 여러 실시예에 대한 설명 및 기재 전체에 걸쳐, 계수(coefficients), 변수(variables), 및 그 외의 심벌들(symbols)은 동일한 라벨 혹은 명칭으로 표기된다. 따라서, 설명의 서로 다른 부분에서 심벌(예컨대, h)이 등장하는 경우에도, 동일한 심벌이 전체에 걸쳐 표기되는 것이다.

본 발명의 실시예의 일 양상은, TTP(Trusted Third Party)를 사용하지 않고 디바이스에 대해 익명으로 인증 시스템을 제공하는 방법을 제시한다.

본 발명의 실시예의 일 양상은, 챌린저에게 서명을 노출하지 않고, 프루버 플랫폼 혹은 디바이스가 디바이스 제작자로부터의 서명을 가지고 있다는 것을 챌린저에게 입증하는 방법, 시스템, 및 디바이스를 제공한다.

본 발명의 실시예의 또 다른 양상은, 프루버 디바이스(예컨대, 요구 디바이스(requesting device))에 의해 유지된 기밀(secret)의 단방향 함수의 결과를 챌린저에게 제공하고, 챌린저에게 기밀 혹은 서명을 노출하지 않고, 단방향 함수에 사용된 기밀이 디바이스 서명에 의해 서명되었음을 챌린저에게 입증하는 방법, 시스템, 및 디바이스를 제공한다.

여기서 사용된 바와 같이, 챌린저에게 공개된 정보 및 증명에 기초하여, 프루버가 서명 혹은 기밀 수단들을 구비하거나 알고 있다는 것을 챌린저에게 "입증(prove)"하거나 "납득(convince)"시킨다면, 개연적으로 프루버가 서명 혹은 기밀을 가지고 있음직하다. 챌린저 수단에 서명이나 기밀을 "노출(revealing)" 혹은 "공개(disclosing)"하지 않고 챌린저에게 노출된 정보에 기초하여, 챌린저에게 이를 입증한다면, 서명이나 기밀을 판정하는 것은 계산적으로 실행 불가능할 것이다.

그러한 증명은 이후에 직접 증명으로 불린다. "직접 증명(direct proof)"이라는 용어는 양방향성 증명(interactive proofs) 및/또는 영-지식 증명(zero-knowledge proofs)으로 칭하고, 이러한 증명의 유형은 본 분야에서 일반적으로 알려져 있다.

도 1은 본 발명의 실시예에 따라 직접 증명 방식(direct proof scheme)이 구현될 수 있는 시스템을 도시한다.

도 2는 본 발명의 일 실시예에 따라 TPM(Trusted Platform Module)을 포함하는 플랫폼의 일 실시예를 도시하는 블록도이다.

도 3은 본 발명의 일 실시예에 따라 제조하는 동안 TPM을 셋업하는 절차를 도시한다.

도 4는 본 발명의 일 실시예에 따라 제작된 각 플랫폼에 대해 수행된 셋업을 도시한다.

도 5는 본 발명의 일 실시예에 따라 정보를 노출하지 않고 플랫폼(프루버(prover))이 인증 정보를 알고 있다는 것을 챌린저에게 입증하기 위한 양방향성 증명 방법을 도시한다.

도 6은 도 5에 있어 챌린저와 플랫폼 간의 양방향성 증명(interactive proof; IP1)을 구현하기 위한 방법을 도시하는 순서도이다.

도 7은 도 5에 있어 챌린저와 플랫폼 간의 양방향성 증명(IP2)을 구현하기 위한 방법을 도시하는 순서도.

도 8은 제한된 수의 라운드 내에 본 발명의 일 실시예에 따라 인증 프로세스를 진척시키기 위해 직접 증명이 어떻게 구현될 수 있는지를 도시한다.

도 1은 본 발명의 실시예에 따른 직접 증명 방식이 구현될 수 있는 시스템을 도시한다. 플랫폼 A(102)(챌린저)는 플랫폼 B(104)(프루버)에게 그에 관한 소정의 정보를 제공할 것으로 요구하고, 플랫폼 B(104)는 상기 요구된 정보를 제공한다. 그러나 플랫폼 A(102)는 요구된 정보가 디바이스 제작자 C에 의해 제조된 디바이스로부터 온 것임을 확인하기를 원한다. 따라서, 플랫폼 A(102)는 플랫폼 B(104)가 디바이스 제작자 C에 의해 생성된 서명을 가지고 있다는 것을 확인하기 위해 대답을 요구한다(challenge). 플랫폼 B(104)는, 서명을 노출하지 않고, 플랫폼 B(104)가 디바이스 제작자 C에 의해 생성된 서명을 가지고 있다는 것에 대해 플랫폼 A(102)를 납득시키는 정보를 제공함으로써 그러한 요구에 응한다.

본 발명의 일 실시예에 있어서, 플랫폼 B(104)는 TPM(Trusted Platform Module; 106)를 포함할 수 있다. 이는 디바이스 제작자에 의해 제조되어, 본 발명을 위해 필요한 함수들을 수행하고, 여기 설명된 프로토콜의 연산들을 따른다. 일반적으로, TPM은 여기 설명된 보안 특성을 유지하도록 제조되어야 한다. 예를 들어, 아래 설명되고, 도 6에 도시된 프로토콜 IP1에서, TPM은 지정된 값을 사용하여 지정된 기능을 수행한다. TPM은 프로토콜 내에 보안 결함(security flaw)을 생성하지 않는 (예컨대, 디바이스의 식별 정보가 결정될 수 있게 할 만한) 값들(예컨대, 아래 지정된 값들)을 사용하도록 제조되거나 구성되어야 한다.

도 2는 본 발명의 일 실시예에 따른 TPM(Trusted Platform Module; 204)을 갖는 디바이스 혹은 플랫폼(200)(예컨대, 플랫폼 B(104))의 일 실시예를 도시하는 블록도이다. 디바이스(200)는 TPM(204)에 결합된 처리장치(202)를 포함할 수 있 다. 일 구현에 있어서, 기억장치(206)는 디바이스(200)에 대한 정보의 기억을 허용하도록 디바이스(200)에 포함될 수도 있다. 본 발명의 다양한 실시예에 있어서, 플랫폼 혹은 디바이스(200)는 컴퓨터, 이동 디바이스 등의 전자적 디바이스일 수 있다.

도 3은 본 발명의 일 실시예에 따라 각 플랫폼 클래스(platform class)에 대해 수행된 셋업을 도시한다. 플랫폼 클래스는 하나 이상의 유형의 플랫폼 혹은 디바이스를 포함하도록 디바이스 제작자에 의해 정의될 수 있다. 예로서, 플랫폼 클래스는 모든 플랫폼이 동일한 보안 관련 정보를 갖는 세트일 수 있다. 각 플랫폼은 플랫폼에 관한 보안 관련 정보 세트를 갖는다. 이러한 정보는 TCPA 모델에서 EK 혹은 AIK 인증서에 포함되는 정보 중 일부를 포함할 수 있다. 또한, 특정 플랫폼 혹은 디바이스의 제작자 및 모델 번호를 포함할 수 있다.

각 플랫폼 클래스에 대해, 디바이스 제작자는 그 플랫폼 클래스에 대해 제작자가 사용하는 암호 파라미터를 작성한다. 디바이스 제작자는 그가 제조하는 디바이스(예컨대, 디바이스(200))에 대한 기밀들을 서명하는데 사용하는 서명 키를 작성한다.

본 발명의 일 실시예에서, 디바이스 제작자는 RSA 알고리즘(로날드 리베스트, 아디 샤미르, 및 레오날드 아델만에 의해 정의된 공개-키 암호 체계)을 사용하여, 공개 모듈러스(public modulus) n, 공개 지수(public exponent) d, 및 비밀 지수(private exponent) e를 갖는 RSA 공개, 비밀 키 쌍(RSA public, private key pair)을 생성한다(320). 이는, 존 윌리 & 손스사의 브루스 슈네이어에 의해, Applied Cryptography(2판, 1995년 10월 18일); ISBN: 0471117099에 기술된 바와 같은, 공지된 방법을 사용하여 작성될 수 있다. 모듈러스 n은 너무 크게 선택되므로 n을 인수분해하는 것은 계산적으로 실행 불가능하다.

디바이스 제작자는 파라미터 Z를 지정하는데, 이는 제로(0)와 n 사이의 정수이다(304).

디바이스 제작자는 보안 파라미터 W를 지정하는데, 이는 제로(0)와 n 사이의 정수이다(306). 그러나 W를 너무 작거나 너무 크게 지정하면 보안 오류(security failure)를 야기할 수 있다. 일 구현에서, W는 2¹⁶⁰ 및 n/2¹⁶⁰ 사이에서 선택되도록 추천될 수 있다. 따라서, 대략

이 되도록 W를 선택하는 것은 합리적인 선택일 수 있다.

본 발명의 일 실시예에서, 디바이스 제작자는 소수(prime number) P = u*n+1을 계산한다(308). u*n+1이 소수라는 것 이외에, u의 값에 관한 특별한 것은 아무것도 없다. 예를 들어, 가장 작은 값의 u가 사용될 수 있다. 일반적으로, P 값은 너무 크기 때문에 불연속 대수 mod P(discrete logarithms mod P)는 계산적으로 실행 불가능하다.

디바이스 제작자는 암호 파라미터 e, n, u, P, Z, W, 플랫폼 클래스의 보안 관련 정보, 및 디바이스 제작자의 명칭을 포함하는 플랫폼 클래스 인증서(Platform Class Certificate)를 생성한다(310). 일 실시예에서, 파라미터 u 및 P는 둘 다 포함되지는 않을 것이다. 왜냐하면, n과 이들 파라미터들 중 하나가 주어지면 나 머지 하나는 P = u*n+1에 의해 계산될 수 있기 때문이다.

본 발명의 일 실시예에서, 디바이스 제작자는 여러 개의 서로 다른 플랫폼 클래스에 대해 동일한 e, n, u, P, W를 사용하고, 서로 다른 플랫폼에 대해 Z 값만을 변경한다. 이러한 경우에, Z 값은 적어도 4W씩 다르도록 선택되어야 한다.

플랫폼 클래스 인증서가 생성되면, 디바이스 제작자는 특정 플랫폼 클래스에 속하는 그가 제조한 디바이스들에게 클래스 인증서를 제공한다(312).

프루버 디바이스 혹은 플랫폼(예컨대, 도 1에서의 플랫폼 A)으로부터 챌린저로의 플랫폼 클래스 인증서의 분배는 본 발명의 하나 이상의 실시예로부터 벗어나지 않는 한 많은 방식으로 달성될 수 있다. 이러한 암호 파라미터, 즉, 플랫폼 클래스 인증서는, 클래스 인증서가 디바이스 제작자에 의해 생성되었다는 것을 챌린저에게 납득시키는 방식으로 챌린저에게 분배되어야 한다. 이를 실시하기 위한 용인된 표준 방법, 즉, 챌린저에게 직접 파라미터를 분배하는 방법, 또는 인증 기관(certifying authority)에 의해 서명된 플랫폼 클래스 인증서를 갖는 방법이 있다. 후자 경우에, 인증 기관의 공개 키는 챌린저에게 분배될 것이고, 서명된 플랫폼 클래스 인증서는 플랫폼 클래스 내의 각 디바이스나 플랫폼(예컨대, 프루버 디바이스)에 주어질 수 있다. 그때, 디바이스는 서명된 플랫폼 클래스 인증서를 챌린저에게 줄 수 있다.

도 4는 본 발명의 일 실시예에 따라 제조된 프루버 플랫폼 혹은 디바이스에 대해 수행된 셋업을 도시한다. 프루버 디바이스는 0 < m-Z < W인 난수(random number) m을 선택한다(402). 프루버 디바이스는, 서명을 위해 인증 제작자에게 전달하기 전에 이 난수 m을 숨길 수 있다. 이러한 경우에, 프루버 디바이스는 1과 n-1 사이에서 난수 B를 선택하고(406), A = B^e mod n을 계산한다(408). 프루버 디바이스는 m' = m*A mod n을 계산한다(410).

디바이스가 m을 가리지 못한다면, 디바이스는 m' = m 및 A = 1을 사용한다(412).

프루버 디바이스는 m'을 인증 제작자에게 전송한다(414). 인증 제작자는 c' = m'^d mod n을 계산하고(416), c'를 디바이스에게 준다(418). 디바이스는 c = c'*B^-1 mod n을 계산한다(420). 이는 c = m^d mod n임을 함축한다는 것에 주목한다. 수 c 및 m은 TPM에 기억된다(422). c와 m 쌍은 디바이스 제작자의 서명으로 불린다.

도 5는 본 발명의 일 실시예에 따라 서명을 노출하지 않고, 프루버 디바이스가 인증 제작자로부터의 서명을 가지고 있다는 것을 챌린저에게 입증하기 위한 방법을 도시한다. 챌린저(예컨대, 플랫폼 A(102))는 TPM를 갖는 프루버 디바이스(예컨대, 디바이스 B(104))로부터 유효성을 탐색하는 메시지(예컨대, 디바이스의 유효성을 조사함)를 전송할 수 있다(502). 이 메시지는 챌린저의 명칭을 포함할 수 있다. 프루버 디바이스는 수 n을 포함하는 챌린저에게 디바이스 인증서(예컨대, 플랫폼 클래스 인증서)를 전송한다(504). 프루버 디바이스 내의 TPM은 AIK 비밀-공개 키 쌍을 작성한다(506). 비밀-공개 키 쌍은 공개 키 및 비밀 키를 포함한다. 일 실시예에서, TPM은 더 일찍 AIK 비밀-공개 키 쌍을 작성할 수 있다. TPM은 값 h를 작성 혹은 생성한다(508). 값 h는, 다수의 방법, 즉, h 값을 랜덤하게 생성하는 방법 및 h 값을 결정론적 방식으로 생성하는 방법으로 결정될 수 있다. h 값은 hⁿ = 1 mod P이고, TPM은 각 챌린저에 대해 서로 다른 h 값을 사용한다는 속성을 갖는다.

본 발명의 일 실시예에서, 값 h는 랜덤 혹의 의사-랜덤 방식으로 생성될 수 있다. 예를 들어, TPM은 1과 n-1 사이에서 난수 j를 선택하고, h = j^u mod P를 계산할 수 있다.

TPM은 k 값, k = h^m mod P를 계산한다(510). 프루버 디바이스는 챌린저에게 계산된 값 h 및 k와 AIK 공개 키를 보낸다(512).

본 발명의 또 다른 실시예에서, 값 h는 결정론적 방식으로 생성될 수 있다. 예를 들어, TPM은 챌린저의 명칭으로부터 결정론적 방식으로 h를 계산할 수 있다. 이를 실시하기 위한 하나의 방법으로서, 여러 값에 대해, H_i = HASH(i, 챌린저의 명칭)를 계산하는 것이 있는데, 예컨대, i = 1, 2, 3 ..., 10 중 i=10이라 가정하면, 그때, j = H₁ || H₂ || H₃ ... || H₁₀의 연속인 것으로 한다. 그때, 상술한 바와 같이, TPM은 h = j^u mod P를 계산하는데, 여기서, 이전에 정의된 바와 같이, u = (P-1)/n이다. TPM은 k 값, k = h^m mod P를 계산한다. 프루버 디바이스는 챌린저에게 계산된 값 k와 AIK 공개 키를 보낸다. TPM 사용자는 하나의 h가 다수의 파티에서 사용되지 않는다는 것을 확인하기를 원하는데, 이들 다수의 파티에서 사용되면 이 TPM의 익명이 깨지기 때문이다. 따라서, TPM 혹은 프루버 디바이스는 사용된 h 값의 전체 리스트를 유지하여, 반복적인 사용을 금하고, 또한 적어도 사용자에게 반복적으로 사용되었는지를 알릴 수 있다. 본 발명의 일 구현에 있어서, 프루버 디바이스는 챌린저의 명칭을 표시할 수도 있어, 프루버 디바이스는 명칭을 알고 있을 것이다. 이러한 실시예에서, 챌린저는 모든 TPM 키마다, 증명에 있어서 TPM이 가질 수 있는 k는 단지 k = h^m mod P 하나라는 것을 확인한다. 챌린저가 AIK와 함께 k를 기억한다면, 그 챌린저는 하나의 TPM이 하나 이상의 AIK를 작성하지 않았다는 것을 확인할 수 있다. 이러한 방법은 챌린저 당 단일 h 방법으로 불릴 수 있다.

단일 서비스 제공자는 각각 그 자신의 명칭, 요컨대, 그 자신의 h를 갖는 다수의 챌린저를 구축할 수 있다. 서로 다른 챌린저는 단일 TPM으로부터 AIK를 상관시킬 수 없을 것이다. 그의 비즈니스 내에 다수의 챌린저를 허가할 것인지 여부에 대한 서비스 제공자의 결정을 이행한다.

그 다음, 프루버 디바이스는 m = c^e mod n 및 k = h^m mod P가 되는 c와 m 쌍의 값을 알고 있다는 챌린저와의 양방향성 증명(IP1)에 착수한다(514). 프루버 디바이스는 h를 밑으로 하는 k의 이산 로그가 Z와 Z+W 사이임을 나타내는 제2 양방향성 증명(IP2)으로 챌린저와의 양방향성 증명에 착수한다(516). 도 6 및 7은 2개의 양방향성 증명 IP1 및 IP2의 예시적인 실시예를 제공한다.

도 6은 본 발명의 일 실시예에 따라 챌린저와 프루버 디바이스 사이에서 도 5의 양방향성 증명 IP1을 구현하는 방법을 도시하는 순서도이다. c 혹은 m을 노출하는 TPM(프루버 디바이스의 일부)없이, TPM이 값 c 및 m, m = c^e mod n 및 k = h^m mod P임을 알고 있다는 것을 입증하기 위해 IP1을 사용할 수 있다. 챌린저는 AP(Assurance Parameter), 예컨대, 10과 40 사이의 값을 프루버 디바이스에 공급한다(602). TPM은 값 x mod n을 랜덤으로 선택한다(604). TPM은 y값, x*y = c mod n을 계산하고, v값,

를 계산한다(608). TPM은 v 값을 챌린저에게 보낸다(610). TPM은 HASH(AIK 공개 키, x) 및 HASH(AIK 공개 키, y) 값을 계산한다(611). 챌린저는 x 혹은 y 중 수신할 것을 선출한다(612). 챌린저가 x를 수신하기 위해 선택한다면, TPM은 x를 챌린저에게 전송한다(614). 챌린저는

인지와, HASH(AKI 공개 키, x)가 정확하게 전송되었는지를 검증한다. 한편, 챌린저가 y를 수신하기 위해 선출한다면(618), TPM은 y를 챌린저에게 전송하고, 챌린저는

인지와, HASH(AIK 공개 키, y)가 정확하게 전송되었는지를 검증한다(620). 본 발명의 일 실시예에서, 이러한 검증 방식은 AP회(times) 수행된다(622).

도 7은 본 발명의 일 실시예에 따라 챌린저와 프루버 디바이스 사이에서 도 5의 양방향성 증명 IP2를 구현하는 방법을 도시하는 순서도이다. m을 노출하는 TPM없이 TPM이 m 값, Z-W < m < Z+2*W 및 k=h^m mod P를 알고 있다는 것을 입증하기 위해 IP2가 사용될 수 있다.

챌린저는 AP(Assurance Parameter), 예컨대, 10과 40 사이의 값을 프루버 디바이스에 제공한다(701). TPM(프루버 디바이스의 일부)은 0 < t < W인 수(number) t를 랜덤으로 선택한다(702). TPM은 g₀ = h^t mod P(704)와 g₁=g₀*h^(-W) mod P(706)를 계산한다. TPM은 2개의 랜덤 160-비트 값, R₀, R₁을 생성하고(708), H₀=HASH(AIK 공개 키, g₀, R₀) 및 H₁=HASH(AIK 공개 키, g₁, R₁)을 계산하며(710), H₀와 H₁을 랜덤한 순서로 챌린저에게 보낸다(712).

챌린저는 두 가지 초이스로부터, 예컨대, 초이스 0 혹은 1 중 하나를 선택한다.

챌린저가 초이스 0을 선택한다면, TPM은 t, R₀, R₁ 및 H₀과 H₁의 순서화(ordering)를 챌린저에게 전송한다(716). 챌린저는 g₀=h^t mod P 및 g₁=h^(t-W) mod P를 계산한다(718). 챌린저는 0 < t < W인지 체크한다(720). 또한, 챌린저는 H₀=HASH(AIK 공개 키, g₀, R₀) 및 H₁=HASH(AIK 공개 키, g₁, R₁)인지를 체크한다(722). 이러한 체크들을 모두 통과하면 챌린저는 수락한다(724).

챌린저가 초이스 1을 선택한다면, m+t는 Z와 Z+W 사이 간격에 있고(726), TPM은 m'=m+t, g₀ 및 R₀를 전송하고(728), H₀를 사용한다는 것을 챌린저에게 알린다. 챌린저는 H₀=HASH(AIK 공개 키, g₀, R₀)인지, m'이 Z와 Z+W 사이 간격에 있는 지, g₀*k=h^m' mod P인지를 체크한다(730). m+t>Z+W라면, TPM은 m'=m-W+t, g₁ 및 R₁을 전송하고(732), H₁을 사용한다는 것을 챌린저에게 알린다. 챌린저는 H₁=HASH(AIK 공개 키, g₁, R₁), Z < m' < Z+W, 및 g₁*k=h^m' mod P인지를 체크한다(734). 상기 체크들을 통과하면 챌린저는 수락한다(724).

IP2의 일 실시예에서, 상기 절차는 AP회 반복된다(723). 도 6의 참조 번호 622에 도시된 바와 같이, IP1에 대해 절차를 반복하는 것 및/또는 도 7의 참조 번호 723에 도시된 바와 같이, IP2에 대해 절차를 반복하는 것은 인증받지 못한 프루버나 사기 프루버가 챌린저에게 적절한 증명을 성공적으로 제공할 가능성을 적게 만든다. 즉, 증명(예컨대, IP1 또는 IP2)을 AP회 반복할 경우, 프루버는 2^AP 중 1의 찬스인 각 라운드에서 성공해야 한다.

TPM이 상술한 바와 같이 IP1과 IP2 프로세스를 성공적으로 완료한 이후에, 챌린저는, 프루버 디바이스/TPM이 값 m과 c, 결국, Z-W < m < Z+2*W와 c=m^d mod n을 알고 있다는 것을 납득한다. 다시 말해, c는 m의 서명이다. 간격 내에 주어진 값에 대해 m의 서명을 계산하는 것은 RSA를 분해하는 것과 등가이다. 모듈러스 n의 인수 분해를 모르고서 간격 내의 임의의 값의 서명을 계산하는 것은 난해한 계산 문제이다.

도 6 및 7에 도시된 프로토콜은 TPM(프루버 디바이스) 및 챌린저 사이에 다수의 통신 라운드를 요구하는 단점을 갖는다. 그러나, 본 발명의 다른 실시예에서, 이러한 프로토콜은 한정된 라운드 프로토콜로 전환될 수 있다.

도 8은 본 발명의 실시예에 따라 인증 프로세스를 촉진하기 위해, 한정된 수의 통신에서 직접 증명이 어떻게 구현될 수 있는지를 도시한다. TPM은 AIK 비밀-공개 키 쌍을 생성하고, 이는 AIK 공개 키 및 AIK 비밀 키를 포함하며, AIK 공개 키(혹은 AIK 공개 키의 HASH만)를 챌린저에게 전송한다(802). 챌린저는 AP(assurance parameter)를 선택하고(804), 랜덤 비트의 2*AP 세트(CHOICES)를 선택하고(806), 320 랜덤 비트의 추가 랜덤 필러(Random Filler)를 선택한다(808). 챌린저는 RAND = CHOICES || 랜덤 필러를 설정하고(810), 커미트먼트 = (공개 AIK 키 || RAND)를 계산하고, TPM이 기억하는 커미트먼트의 HASH를 TPM에 전송(812)한다.

TPM은 상술한 방법, 즉, 랜덤 방법을 사용하여 h를 생성하는 방법이나 챌린저당 단일 h 내의 챌린저 명칭으로부터 h를 생성하는 방법 중 하나를 사용하여 이 챌린저에서 사용한 h 값을 결정한다(818).

도 6 및 7에 도시된 바와 같이, 한 번에 1루프씩 값들을 연속적으로 계산하는 대신 TPM은 양방향성 증명(IP1 및 IP2) 양측에 대한 방법의 모든 라운드(루프들)에 대한 계산값들 전부를 생성하고, 모든 라운드에서 계산된 값들 전체를 챌린저에게 전송한다(820). 계산된 값들의 세트는 IP1, v, HASH(AIK 공개 키, x), 및 HASH(AKI 공개 키, y)의 각 라운드로부터; 그리고 IP2, H₀ 및 H₁의 각 라운드로부터 k, h를 포함한다. 챌린저는 RAND의 값을 TPM으로 전송한다(822). TPM은 커미트먼트의 제1 비트가 공개 AIK 키의 해시임을 검증하고, 프로토콜동안 RAND의 제1 2*AD 비트를 챌린저를 위한 초이스로서 사용한다. TPM은 이러한 초이스들에 기초하여 모든 라운드에 대한 응답을 준비하고, 이들 응답 전체를 챌린저에게 되전송한다.

한정된 통신 버전의 일 실시예에 있어서, HASH(AIK 공개 키, x) 및 HASH(AIK 공개 키, y)는 챌린저에게 전송되지 않는다. 유사하게, H₀의 값은 HASH(AIK 공개 키, g₀, R₀) 대신 HASH(g₀, R₀)이고, H₁은 HASH(AIK 공개 키, g₁, R₁) 대신 HASH(g₁, R₁)이다.

임의의 구현에서, TPM 혹은 그것의 키(들)가 타협된(compromised) 것으로 판정되거나 짐작된다면 챌린저로 하여금 TPM를 철회하도록 허용하는 것이 바람직할 수도 있다.

프루버 디바이스의 TMP가 타협된 것으로 챌린저가 판정할 수 있는 일례로서, 타협된 TPM에 대한 키(c 및 m)가 웹 상에 게시되는 것과 같이, 널리 유포되어 있을 수 있다. 이러한 예에서, 챌린저는 그 TPM을 철회할 수 있다. 예를 들어, c₀ 및 m₀는 게시되어 있는 타협된 TPM의 키들인 것으로 가정한다. 챌린저가 h 값을 볼 때마다, 챌린저는

를 계산한다. 이것이 프루버에 의해 주어진 값 k와 매치한다면, 챌린저는 프루버에 의해 사용된 m이 타협된 TPM의 m₀에 매치한다는 것을 알게 되고, 따라서 챌린저는 그것을 수락하지 않을 것이다.

철회의 또 다른 실시예로서, 챌린저가 항상 AIK 값과 함께 h 및 k 값을 기억하는 것으로 가정한다. 챌린저가 타협된 키 c₀ 및 m₀를 수신하는 경우에, 챌린저는 수신된 h 및 k 중 임의의 값이 타협된 키 c₀ 및 m₀를 사용하여 계산되었는지를 확인하기 위해 체크할 수 있다. 이는,

를 계산하고, 그것이 TPM으로부터 수신된 k 값에 매치하는지를 확인하기 위해 체크함으로써 실시된다. 그렇다면, 대응 AIK 값을 철회한다. 챌린저 당 단일 h 방법이 사용되고 있다면, 챌린저는 k₀를 계산하고 이것이 챌린저에 의해 수신된 k들 중 임의의 것과 매치하는지를 확인하기만 하면 되기 때문에, 챌린저에 의한 계산은 보다 쉬워진다.

키가 알려졌다는 것을 챌린저가 판정할 수 있는 또 다른 예로서, 챌린저는 알려졌다는 것을 나타내는 TPM에 대한 사용 패턴을 검출할 수 있다. 예를 들어, 서로 다른 프루버 디바이스로부터 챌린저에 대한 동시 두 개의 접속은 타협된 키를 나타낼 수 있다. 챌린저 당 단일 h 방법이 사용된다면, 동일한 k=h^m mod P가 양 접속과 연관될 것이므로, 챌린저는 두 개의 접속이 동일한 m을 사용했다는 것을 알 것이다. 챌린저는 기밀 값(secret values)이 알려졌음을 판정할 수 있으므로, 챌린저는 그 k를 사용하는 직접 증명들을 더 이상 수락하지 않을 것이다. 그때, TPM로부터의 기밀 값들은 더이상 그 챌린저에서 사용되지 않을 수 있다. 그러나 이 챌린저는 m의 값을 모르기 때문에, 이 챌린저는 다른 챌린저에게 해당 TPM으로부터 오는 기밀 값을 사용하지 않도록 알려 줄 수 없다.

본 발명의 또 다른 실시예에서, 그룹 내의 챌린저 중 하나가 이들 기밀 값들이 알려져 있을 수 있음을 판정한다면, 챌린저 그룹은 TPM의 기밀 값을 그들이 모두 철회할 수 있길 원하는 것으로 판정할 수 있다. 이러한 특징을 가능하게 하면, 상술된 바와 같은 본 발명의 실시예로의 변경을 요구한다. 변경은 h 값이 판정되는 방법을 포함한다. TRA(Trusted Revocation Authority)이 형성된다. TRA는 표준 RSA 키 쌍과 같은, 공개 검증, 비밀 서명 키 쌍을 구비한다. TRA 공개 키는, 제조하는 동안 제작자가 TPM으로 키를 끼워 넣는 것과 같은, 임의의 안전한 분배 방법을 사용하여 TPM에게 주어진다.

TRA는 g 값, gⁿ=1 mod P를 생성한다. TRA는 1과 P 사이의 랜덤 g' 값을 생성하고, g=g'^u mod P를 계산함으로써 이를 실시할 수 있다. 그룹 내의 각 챌린저에 대해, TRA는 1과 n 사이에서 랜덤으로 EXP(exponent)를 선택하여, h=g^EXP mod P를 계산한다. TRA는 챌린저의 명칭과 인증서 내에 h 값을 갖는 인증서에 서명한다. TRA는 각 챌린저에 대해 h를 작성하기 위해 사용된 EXP를 안전하게 기억한다.

TPM가 그룹 내의 챌린저와 함께 직접 증명을 공개하는 경우에, 챌린저는 h 값에 대한 이 인증서를 전송한다. TPM은 TRA의 서명을 체크함으로써 이 인증서를 검증한다. 유효하다면, TPM은 보다 앞선 실시예에서 설명된 바와 같이 h 값을 생성하는 대신, 이 h 값을 사용한다. 직접 증명의 그 외의 양상들도 동일하게 유지된다.

h 값으로서 h₁을 갖는 챌린저₁(Challenger₁)가 k₁=h₁ ^m mod P를 생성한 TPM을 철회하기를 원한다고 알리는 경우에, TRA는 EXP₁, 즉,

을 계산하기 위해 사용된 EXP 값을 검색한다. 어떠한 챌린저₁ 및 TRA도 TPM에서 챌린저₁이 철회하기를 원하는 m의 값을 알 수 없음을 주목해야 한다. 챌린저_i에게 철회할 k 값을 얘기한다면, TRA는 b₁=EXP₁ ^(-1) mod n을 계산하고,

를 계산한다. k_i=h_i ^m mod P임을 주목한다. TRA는 이러한 계산동안 m을 계산하지 않고, k_i는 챌린저_i에게 전송되며, 챌린저_i는 만약 원한다면 k_i를 철회할 수 있다.

본 발명의 임의의 예시적인 실시예가 설명되고 첨부 도면에 도시되었지만, 그러한 실시예들은 단지 예시적인 것으로서, 본 발명의 여러 실시예들의 폭넓은 양상에 대한 제한을 의미하는 것이 아니고, 이들 실시예들은 도시되고 상술된 특정 구조 및 배치에 한정되는 것이 아니며, 다양한 그 외의 변경이 가능하다. 본 발명의 실시예 혹은 그들의 소정의 특징은 하드웨어, 프로그램가능 디바이스, 팜웨어, 소프트웨어 혹은 그들의 조합으로 구현될 수 있다.

Claims

프루버가 공지된 엔티티의 유효 서명을 알고 있다는 것을 챌린저에게 납득시키는 방법으로서,

상기 프루버가 상기 유효 서명을 알고 있다는 것을 상기 챌린저에게 납득시키기 위해서 상기 프루버로부터 양방향성 증명(interactive proof) 내의 제1 값을 수신하는 단계 - 상기 양방향성 증명은 상기 챌린저에게 상기 유효 서명을 노출하지 않음 -;

타협된 것으로 간주되는 하나 이상의 프루버에 대응하는 정보의 철회 리스트를 유지하는 단계;

상기 철회 리스트로부터의 정보 및 상기 제1 값을 사용하여 제2 값을 계산하는 단계; 및

상기 서명을 노출하지 않고 상기 프루버에 의해 공지된 서명이 타협된 서명들로 이루어진 철회 리스트 상에 있지 않음을 상기 챌린저에게 납득시키기 위해서 상기 프루버의 양방향성 증명으로부터의 상기 제1 값과 상기 제2 값을 비교하는 단계

를 포함하는 방법.
제1항에 있어서, 상기 챌린저는 상기 프루버를 위한 디바이스 인증서를 더 수신하는 방법.
제1항 또는 제2항에 있어서,

상기 프루버로부터 공개 키 및 k 값을 수신하는 단계

를 더 포함하며, 상기 k 값은 단방향 함수(one-way function)에 기초하여 상기 프루버 내에서 생성되고, 상기 공개 키는 상기 프루버 내에서 생성된 비밀-공개 키 쌍의 일부인 방법.
제3항에 있어서,

상기 k 값은 k=h^m mod P로 정의되고, h는 상기 프루버에 의해 생성된 고유의 수이고, m은 랜덤으로 생성된 수이며, P는 큰 소수(prime number)인 방법.
제1항 또는 제2항에 있어서,

상기 양방향성 증명은 상기 프루버의 식별 정보(identity)를 상기 챌린저에게 노출하지 않는 방법.
제1항 또는 제2항에 있어서,

상기 프루버가 상기 유효 서명을 알고 있다는 것을 상기 챌린저에게 납득시키기 위해서 상기 프루버로부터 제2 양방향성 증명 내의 제3 값을 수신하는 단계

를 더 포함하며,

상기 챌린저는 상기 제1 및 제3 값을 생성하기 위해서 동일한 서명이 사용되었는지를 판정할 수 없는 방법.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
통신 포트; 및

상기 통신 포트와 결합된 처리 유닛

을 포함하며, 상기 처리 유닛은,

상기 통신 포트에서 프루버 디바이스로부터 양방향성 증명 내의 제1 값을 수신하고 - 상기 제1 값은 상기 프루버 디바이스가 유효 서명을 알고 있다는 것을 챌린저 디바이스에게 납득시키며, 상기 양방향성 증명은 상기 챌린저 디바이스에게 상기 유효 서명을 노출하지 않음 -,

타협된 것으로 간주되는 하나 이상의 프루버에 대응하는 정보의 철회 리스트를 유지하며,

상기 철회 리스트로부터의 정보 및 상기 제1 값을 사용하여 제2 값을 계산하고, 그리고

상기 서명을 노출하지 않고 상기 프루버에 의해 공지된 서명이 타협된 서명들로 이루어진 철회 리스트 상에 있지 않음을 상기 챌린저 디바이스에게 납득시키기 위해서 상기 프루버 디바이스의 양방향성 증명으로부터의 상기 제1 값과 상기 제2 값을 비교하도록 구성되는 챌린저 디바이스.
제28항에 있어서, 상기 처리 유닛은 상기 통신 포트에서 상기 프루버 디바이스를 위한 디바이스 인증서를 수신하도록 더 구성된 챌린저 디바이스.
제28항 또는 제29항에 있어서, 상기 처리 유닛은,

상기 통신 포트에서 상기 프루버 디바이스로부터 공개 키 및 k 값을 수신하도록 더 구성되며,

상기 k 값은 단방향 함수에 기초하여 상기 프루버 디바이스 내에서 생성되고, 상기 공개 키는 상기 프루버 내에서 생성된 비밀-공개 키 쌍의 일부인 챌린저 디바이스.
삭제
삭제
삭제
삭제
제30항에 있어서,

상기 k 값은 k=h^m mod P로 정의되고, h는 상기 프루버 디바이스에 의해 생성된 고유의 수이고, m은 랜덤으로 생성된 수이며, P는 큰 소수인 챌린저 디바이스.
제28항 또는 제29항에 있어서,

상기 양방향성 증명은 상기 프루버 디바이스의 식별 정보를 상기 챌린저 디바이스에게 노출하지 않는 챌린저 디바이스.
제28항 또는 제29항에 있어서,

상기 통신 포트에서 상기 프루버 디바이스로부터 제2 양방향성 증명 내의 제3 값을 수신하도록 더 구성되며,

상기 제3 값은 상기 프루버 디바이스가 상기 유효 서명을 알고 있다는 것을 상기 챌린저 디바이스에게 납득시키며, 상기 챌린저 디바이스는 상기 제1 및 제3 값을 생성하기 위해서 동일한 서명이 사용되었는지를 판정할 수 없는 챌린저 디바이스.
제3항에 있어서,

상기 양방향성 증명은 상기 프루버의 식별 정보를 상기 챌린저에게 노출하지 않는 방법.
제4항에 있어서,

상기 양방향성 증명은 상기 프루버의 식별 정보를 상기 챌린저에게 노출하지 않는 방법.
제3항에 있어서,

상기 프루버가 상기 유효 서명을 알고 있다는 것을 상기 챌린저에게 납득시키기 위해서 상기 프루버로부터 제2 양방향성 증명 내의 제3 값을 수신하는 단계

를 더 포함하며,

상기 챌린저는 상기 제1 및 제3 값을 생성하기 위해서 동일한 서명이 사용되었는지를 판정할 수 없는 방법.
제4항에 있어서,

상기 프루버가 상기 유효 서명을 알고 있다는 것을 상기 챌린저에게 납득시키기 위해서 상기 프루버로부터 제2 양방향성 증명 내의 제3 값을 수신하는 단계

를 더 포함하며,

상기 챌린저는 상기 제1 및 제3 값을 생성하기 위해서 동일한 서명이 사용되었는지를 판정할 수 없는 방법.
제5항에 있어서,

상기 프루버가 상기 유효 서명을 알고 있다는 것을 상기 챌린저에게 납득시키기 위해서 상기 프루버로부터 제2 양방향성 증명 내의 제3 값을 수신하는 단계

를 더 포함하며,

상기 챌린저는 상기 제1 및 제3 값을 생성하기 위해서 동일한 서명이 사용되었는지를 판정할 수 없는 방법.
제30항에 있어서,

상기 양방향성 증명은 상기 프루버 디바이스의 식별 정보를 상기 챌린저 디바이스에게 노출하지 않는 챌린저 디바이스.
제35항에 있어서,

상기 양방향성 증명은 상기 프루버 디바이스의 식별 정보를 상기 챌린저 디바이스에게 노출하지 않는 챌린저 디바이스.
제30항에 있어서,

상기 통신 포트에서 상기 프루버 디바이스로부터 제2 양방향성 증명 내의 제3 값을 수신하도록 더 구성되며,

상기 제3 값은 상기 프루버 디바이스가 상기 유효 서명을 알고 있다는 것을 상기 챌린저 디바이스에게 납득시키며, 상기 챌린저 디바이스는 상기 제1 및 제3 값을 생성하기 위해서 동일한 서명이 사용되었는지를 판정할 수 없는 챌린저 디바이스.
제35항에 있어서,

상기 통신 포트에서 상기 프루버 디바이스로부터 제2 양방향성 증명 내의 제3 값을 수신하도록 더 구성되며,

상기 제3 값은 상기 프루버 디바이스가 상기 유효 서명을 알고 있다는 것을 상기 챌린저 디바이스에게 납득시키며, 상기 챌린저 디바이스는 상기 제1 및 제3 값을 생성하기 위해서 동일한 서명이 사용되었는지를 판정할 수 없는 챌린저 디바이스.
제36항에 있어서,

상기 통신 포트에서 상기 프루버 디바이스로부터 제2 양방향성 증명 내의 제3 값을 수신하도록 더 구성되며,

상기 제3 값은 상기 프루버 디바이스가 상기 유효 서명을 알고 있다는 것을 상기 챌린저 디바이스에게 납득시키며, 상기 챌린저 디바이스는 상기 제1 및 제3 값을 생성하기 위해서 동일한 서명이 사용되었는지를 판정할 수 없는 챌린저 디바이스.