NO321409B1 - Fremgangsmate for kryptografisk kommunikasjon - Google Patents
Fremgangsmate for kryptografisk kommunikasjon Download PDFInfo
- Publication number
- NO321409B1 NO321409B1 NO19963141A NO963141A NO321409B1 NO 321409 B1 NO321409 B1 NO 321409B1 NO 19963141 A NO19963141 A NO 19963141A NO 963141 A NO963141 A NO 963141A NO 321409 B1 NO321409 B1 NO 321409B1
- Authority
- NO
- Norway
- Prior art keywords
- image
- elements
- value
- degree
- transformation
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 32
- 238000004891 communication Methods 0.000 title claims description 14
- 230000009466 transformation Effects 0.000 claims description 45
- 238000000844 transformation Methods 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 238000006049 ring expansion reaction Methods 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 39
- PXFBZOLANLWPMH-UHFFFAOYSA-N 16-Epiaffinine Natural products C1C(C2=CC=CC=C2N2)=C2C(=O)CC2C(=CC)CN(C)C1C2CO PXFBZOLANLWPMH-UHFFFAOYSA-N 0.000 description 5
- 238000012887 quadratic function Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000007480 spreading Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000008571 general function Effects 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04K—SECRET COMMUNICATION; JAMMING OF COMMUNICATION
- H04K1/00—Secret communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Analysis (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- Storage Device Security (AREA)
- Facsimile Transmission Control (AREA)
- Mobile Radio Communication Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Compression, Expansion, Code Conversion, And Decoders (AREA)
- Error Detection And Correction (AREA)
- Complex Calculations (AREA)
Abstract
Et hittil ukjent asymmetrisk kryptografisk skjema som kan anvendes for koding, signering og autentifikasjon. Skjemaet er basert på lavere grads offentlige polynomlikninger med verdier i en endelig ring (K).Mekanismen er ikke nødvendigvis bijektiv. Den hemmelige nøkkelen gjør det mulig å skjule polynomlikninger med verdier i utvidelser av ringen (K). Løsningen av disse likningene gjør det mulig, hvis en har den hemmelige nøkkelen, å utføre operasjoner som ikke er mulig å utføre med den offentlige nøkkelen alene.
Description
Oppfinnelsen angår en asymmetrisk kryptografisk kornmunikasjonsfremgangsmåte for å prosessere meldinger og beskytte kommunikasjon mellom deltakerne. Den kan anvendes til å kode meldinger asymmetrisk eller signere dem, også dette asymmetrisk. Den kan også anvendes til asymmetrisk autentifikasjon.
En velkjent første løsning ble utviklet i 1977. Denne løsningen var gjenstand for patent 4,405,829 i USA, innlevert av oppfinnerne Rivest, Shamir og Adleman 14. desember, 1977. Denne løsningen, ofte kalt RSA etter navnene til oppfinnerne, anvender to typer nøkler. Den første nøkkelen (Kp) tillater koding av meldinger, og den andre (Ks) tillater dekoding av disse. Denne prosessen, som er verdenskjent, danner grunnlaget for asymmetrisk kryptografi, og kalles dette fordi forskjellige nøkler anvendes for koding og dekoding. I det samme nettverket innehar hvert medlem (i) et slikt par av nøkler. Den første (Kps) er offentlig og kan derfor være kjent av alle; den andre (Ksj) er hemmelig og må aldri kommuniseres.
Kodet kommunikasjon mellom to kommunikatorer (1) og (2) i det samme nettverket utføres på følgende måte: (1) og (2) utveksler først de offentlige nøklene (Kpi) og (Kp2); når (1) ønsker å sende en melding (M) til (2), koder han så meldingen med nøkkelen (Kp2), og straks (2) mottar denne meldingen kan den dekodes med hjelp av den hemmelige nøkkelen (Ks2) som (2) innehar:
Koding: M'= RSA (M, Kp2)
Dekoding M = RSA(M',Ks2)
Når (2) ønsker å sende en melding til (1), koder han den med den offentlige nøkkelen som tilhører (1): (Kpi) som igjen dekoder den med sin egen hemmelige nøkkel (Ksi).
RSA-prosessen kan også anvendes for signatur: meldingen kodes da med avsenderens individuelle hemmelige nøkkel, og den kodede meldingen, kalt signaturen, overføres så sammen med meldingen i ukodet form; mottakeren av meldingen ber da om tilgang til avsenderens offentlige nøkkel og bruker den til å dekode signaturen; hvis den dekodede teksten samsvarer med den ukodede meldingen er signaturen autentisk.
Denne kryptografiske kommunikasjonsfremgangsmåten har mange ulemper. Tallene som skal manipuleres er store (typisk 512 bits i dag), noe som krever at det utføres mange regneoperasjoner og leder til signaturer som er veldig lange. Dessuten vil sikkerheten til RSA bringes i fare dersom det oppnås nye gjennombrudd i faktorisering.
Andre asymmetriske kryptografiske kommunikasjonsfremgangsmåter har vært foreslått for å utføre funksjonene for asymmetrisk koding eller signering av meldinger, for eksempel de som anvender "ryggsekk"-baserte algoritmer eller MATSUMOTO-1MAI algoritmen. Disse to eksemplene har vist seg å ha en grad av sikkerhet som er helt utilstrekkelig.
Foreliggende oppfinnelse foreslår en løsning som ikke har ulempene til disse tp eksemplene, men som beholder et visst antall av fordelene deres. Foreliggende oppfinnelse anvender en ny algoritme kalt en " Hidden Fields Algorithm " eller HFE (Hidden Fields Equation) som, i likhet med RSA, kan anvendes til funksjonene autentifisering, koding og signering. Dessuten, mens RSA hovedsakelig er basert på problemet med å faktorisere store tall, er HFE-algoritmen basert på et helt annet problem: å løse flervariable, laveregrads-likninger (typisk av 2. eller 3. grad). Det må nevnes at MATSUMOTO-IMAI algoritmen også har denne egenskapen, men den har som allerede indikert, en utilstrekkelig sikkerhetsgrad, noe som gjør den uegnet for anvendelse i en kryptografisk kornmunikasjonsfremgangsmåte. Forfatteren av foreliggende oppfinnelse er også personen som oppdaget at MATSUMOTO-IMAI algoritmen ikke var kryptografisk fullkommen.
Blant de nye elementene som kan bidra til sikkerhet for HFE-algoritmen, er det faktum at denne algoritmen ikke nødvendigvis er bijektiv, og det faktum at den kan anvende veldig generelle polynom-likninger.
En annen fordel som oppnås ved oppfinnelsen er HFE-algoritmens kapabilitet til å beregne ultrakorte signaturer (mindre enn 200 bits), mens de korteste asymmetriske signaturene kjent i dag er av orden 220 eller 320 bits (oppnådd ved hjelp av SCHNORR-algoritmen eller DSS-algoritmen, som kun kan anvendes til signering eller autentifisering, ikke til koding/dekoding). Det er fordelaktig å bruke minst 512 bits ved anvendelse av RSA.
Definisjoner:
1. En "utvidelse" med grad N av en ring A er en hvilken som helst isomorf algebraisk struktur med A[X]/g(X), der A[X] er ringen av polynomer med en indeterminant på A, og g(X) er et polynom av n-te grad.
Et spesielt fordelaktig tilfelle er det der A er et endelig felt Fq og g er et irreduktibelt polynom av n-te grad på Fq. I dette tilfellet er A[X]/g(X) et endelig isomorft felt med Fqn. 2. En "basis" for en utvidelse L„ av A med grad n er en familie med n elementer på L„
(ei, e2,..., en), slik at hvert element e i L„ kan uttrykkes entydig på formen
Foreliggende oppfinnelse angår således en kryptografisk kornmunikasjonsfremgangsmåte som transformerer en verdi (X), representert av (n) elementer i en endelig ring (K), til en billedverdi (Y) representert ved (n<1>) elementer i ringen (K), som kjennetegnes ved at a) hvert element (n') av billedverdien (Y) er i form av en offentlig polynomlikning av lav grad (D) større enn eller lik 2 sammensatt av elementene (n) fra verdien (X); b) billedverdien (Y) også kan fås fra verdien (X) ved hjelp av en transformasjon omfattende følgende trinn, der minst noen av dem krever kjennskap til en kryptografisk
hemmelighet:
bl) det anvendes på verdien (X) en første hemmelig polynom- transformasjon (s) av grad 1 sammensatt av de (n) elementene til verdien (X) for å frembringe et første bilde (II) med (n) elementer;
b2) de (n) elementene i det første bildet (II) tenkes å representere en variabel eller et lite antall (k) variabler (x, x', x",xk) tilhørende en utvidelse (Lw) med graden W av ringen (K) med W<*>k = n, ved å anvende på det første bildet (II) en transformasjon definert som følger:
f: Lyv ►Lw
(x, x', x" xk)_-»(y,y*,y" y<*>)
hvor (y, /, y",/) er bildet av (x, x', x",x<k>) fra transformasjonen f, der f verifiserer følgende to egenskaper: -b2.1) i en basis (B) av ringutvidelsen (Lw) er hver komponent av bildet (y, y\ y" y*) uttrykt i form av et polynom sammensatt av komponentene til (x, x', x",xk) i denne basisen, hvilket polynom har total grad mindre enn eller lik graden (D) på den offentlige polynomlikningen; -b2.2) uttrykt ved ringutvidelsen (Lw) er transformasjonen (f) slik at det er mulig å beregne forleddene til (f) når de eksisterer, kanskje bortsett fra spesielle biter, der antallet slike er neglisjerbart relativt til det totale antallet biter;
b3) det første bildet (II) som er således transformert, utgjør et andre bilde (12);
b4) det anvendes på det andre bildet (12) en andre hemmelig polynomtransformasjon (t) av grad 1 sammensatt av elementer i det andre bildet (12) for å frembringe et tredje bilde (13) som har et bestemt antall elementer; og
b5) det velges ut (n<1>) elementer fra settet av elementer i det tredje bildet (13) for å danne den nevnte billedverdien (Y).
Oppfinnelsen vedrører også en kryptografisk kornmunikasjonsfremgangsmåte som transformerer en verdi (X), representert av (n) elementer i en endelig ring (K), til en billedverdi (Y) representert ved (n<1>) elementer i ringen (K). Fremgangsmåten kjennetegnes ved at a) hvert element (n<1>) av billedverdien (Y) er i form av en offentlig polynomlikning av lav grad (D) større enn eller lik 2 sammensatt av elementene (n) fra verdien (X); b) billedverdien (Y) også kan frembringes fra verdien (X) ved å anvende en transformasjon omfattende følgende trinn, der noen av disse krever kjennskap til en
kryptografisk hemmelighet:
bl) det anvendes på verdien (X) en første hemmelig polynom- transformasjon (s) av grad 1 sammensatt av de (n) elementene til verdien (X) for å frembringe et første bilde (II) med (n) elementer; b2) det dannes én eller flere grener, der hver av disse grenene er sammensatt av elementer fra det første bildet (II) og, • i minst én (e) av grenene er de (rie) elementene i grenen tenkt å representere en variabel, eller et lite antall (k) variabler (x, x', x",xk) som tilhører en utvidelse (Lw) med grad W av ringen (K) med W<*>k = ne, og det anvendes på minst denne grenen (e) en transformasjon som følger:
fe'. Lw ►Lw
(x, x', x", ....xV-Ky.y-,/1 y")
hvor (y, y<1>, y",.... y<*>) er bildet av (x, x<1>, x",x<k>) fra transformasjonen fé, der fe verifiserer følgende to egenskaper:
-b2.1) i en basis (B) av utvidelsen (Lw) av ringen er hver komponent av bildet (y, y<1>, y", fy uttrykt i form av et polynom sammensatt av komponentene til (x, x', x",xk) i denne basisen, hvilket polynom har en total grad mindre enn eller lik den nevnte graden (D) på den offentlige polynomlikningen; -b2.2) uttrykt ved utvidelsen (Lw) av ringen er transformasjonen (fe) slik at det er mulig å beregne forleddene til (fe) når de eksisterer, kanskje bortsett fra spesielle biter, idet antallet slike er neglisjerbart i forhold til det totale antallet biter. • og ved å anvende på de andre mulige grenene polynomtransformasjoner med grad mindre enn eller lik den nevnte graden (D) dannet av komponentene med verdi i ringen (K);
b3) grenen som er således transformert, eller mangfoldet av grener som er således transformert, så sammenkjedet, utgjør et andre bilde (12);
b4) det anvendes på det andre bildet (12) en andre hemmelig polynomtransformasjon (t) av grad 1 sammensatt av elementer i det andre bildet (12) for å frembringe et tredje bilde (13) som har et bestemt antall elementer; og
b5) det velges ut (n') elementer blant settet av elementer i det tredje bildet (13) for å danne billedverdien (Y).
Oppfinnelsen angår også en asymmetrisk signaturverifikasjonsfremgangsmåte og en asymmetrisk autentifikasjonsfremgangsmåte som kjennetegnes ved at signaturen er frembrakt ved å anvende på en melding, eller på en offentlig transformasjon av en melding, en transformasjon som samsvarer med den inverse transformasjon av den som er angitt ovenfor, og ved at verifikasjonen består av å kontrollere at et resultat (Y) er oppnådd som samsvarer med forutbestemte relasjoner knyttet til meldingen som skal signeres.
Andre detaljer og fordeler med oppfinnelsen fremgår fra den følgende beskrivelse av flere foretrukne men ikke begrensende utforminger, med referanse til de vedføyde tegningene, hvor
Figur 1 viser sammenkjedingen av transformasjonene anvendt for å prosessere en melding; Figur 2 viser en kommunikasjonsanordning anvendt for å utføre koding/dekoding av en melding; og Figur 3 viser den samme anordningen anvendt for utføring av signatur for en melding og dens verifikasjon.
Først, før oppfinnelsen presenteres, vil det bli gitt et kort matematisk tilbakeblikk spesielt med hensyn på egenskapene til endelige felter.
Beskrivelse av egenskaper ved endelige felter.
1) Funksjon f:
La K være et endelig felt med kardinal q og karakteristikk p (typisk, men ikke nødvendigvis, så er q = p = 2). La Ln være en utvidelse av K med grad N, la Pi, j, ajj og po være elementer i Ln, la Øjj, <pij og ^ være heltall, og la f være den følgende applikasjonen f Ln > Ln
x> ----- ►Zij P,,j<*>x<Q+p> + Iiai<*>x<s> + no
derQ = q<eiJ>,P= q<l>i<j>ogS = q<*i>
der f er et polynom bestående av x og (<*>) betegner multiplikasjon. Det nevnes at Q, P og S muligens kan betegne mange verdier i denne kryptografen siden det kan være mange 9; j »<Pi j og 4i •
Dessuten, for ethvert heltall X, er x) ------- > x<qX> en lineær applikasjon på
LN ------- > LN. fer derfor en kvadratisk funksjon.
Hvis B er en basis for Ln, er uttrykket for f i basisen B:
f(xi, xN) = (Pi (xi xN) PN (xi, xN))
der Pi, , Pn er polynomer med total grad 2 sammensatt av N variabler xi xn.
Polynomene Pi, , Pn beregnes ved anvende en representasjon av Ln. En representasjon av Ln er typisk fikspunktet til et irreduktibelt polynom in (X) på K, med grad N, som gjør det mulig å identifisere Ln med K[X]/(iN(X)). Det er da enkelt å beregne polynomene Pi, , Pn.
Inversjon av f
La \ x være graden i x for polynomet f. f er ikke nødvendigvis en bijeksjon av Ln ------>Ln; likevel: 1) med "a" som et element i Ln finnes det kjente algoritmer som gjør det relativt enkelt å finne alle verdiene til x i Ln (hvis det eksisterer noen) slik at f(x) = a når ikke er for stor (for eksempel for \ i > 1,000).
2) Dessuten, for hver "a" i Ln er det maksimalt "n" løsninger for x slik at
f(x) = a.
3) I noen tilfeller kan f være bijektive.
Grunnleggende HFE-algoritme for kodings-/dekodingssystemet
En første versjon av den nye HFE-algoritmen vil nå bli beskrevet. Denne versjonen er ikke begrensende, og mer generelle versjoner presenteres i påfølgende seksjoner.
Et felt K omfattende q = pm elementer er offentlig. Hver melding er sammensatt av n elementer i K. For eksempel, hvis p = 2 har hver melding n<*>m bits. n er også offentlig og er separert i d heltall: n = ni +.... +rid.
Hvert av disse heltallene ne (1 <= e <= d) assosieres med en utvidelse Liie av feltet K med grad rie (symbolet <= betyr mindre enn eller lik).
La "ord" være en verdi representert av komponenter fra K. For eksempel kan et element fra Lrie (1 <= e <= d) representeres som et ord med lengde n«. I kodingsmekanismen som beskrives her vil kvadratiske funksjoner fi , fd, som er analoge med funksjonen f beskrevet over, bli anvendt med N = ni for fi, N = n2 for f2 osv. Disse funksjonene vil generere d ord. Disse d ordene vil så kombineres til ett ord med lengden n.
De hemmelige objektene er:
1) to affine bijektive transformasjoner s og t fra K" ------- > K". Disse affine bijeksjonene kan representeres i en basis med polynomer av grad 1 og med koeffisienter i K.
2) separasjonen av n i d heltall: n = ni + .... + rid.
3) Representasjonen av feltene Lni, Lnj. Disse "representasjonene" er resultatet av et valg av d irreduktible polynomer. <*>ftie betegnes som isomorfismen fra Kne til Lrie beskrevet av denne representasjonen med e slik at 1<= e <= d. 4) De kvadratiske funksjonene fi , fd er av den samme typen som funksjonen f beskrevet i avsnittet med tittelen "funksjonen f (ved å bruke N = rie og 1 <= e <=d).
Første anmerkning: alle disse objektene er hemmelige a priori, men objektene i punktene 2), 3) og 4) over kan også være offentlig a priori. I realiteten ligger sikkerheten i algoritmen hovedsakelig i de hemmelige transformasjonene s og t.
Andre anmerkning: s og t er bijektive applikasjoner, men de kan også være kvasi-bijektive i betydningen at de kan være applikasjoner som ikke har mer enn noen få forledd.
Kodingsmekanismen er beskrevet i figur 1. Sekvensen av operasjoner løper fra topp til bunn. Den affine bijektive transformasjonen s av K" ----- > K" opptrer først.
Funksjonene ^i u d er projeksjonsfunksjoner av K<n> K<nc>
(der 1 <= e <= d), og \ i er den inverse sammenkjedningsfunksjonen. På en måte separerer funksjonene u<j de n elementene i d "grener".
Isomorfismen ^ne anvendes fira de forskjellige feltene Kne til de forskjellige feltrepresentasjonene Lni , Lna, så anvendes de respektive kvadratiske funksjonene fi, , fd fra hhv. Lni, , Lna til Lni, Lna. Deretter anvendes den inverse isomorfismen OPiie)"<1> fra de forskjellige feltrepresentasj onene Ln] , Lna til de forskjellige feltene K<nc>.
Deretter anvendes den inverse sanmenkjedningsfunksjonen n fra Kne til K". Til slutt opptrer den affine bijektive transformasjonen t, som har en generell form lik transformasjonen s,fraKn,—-->K".
F2 er en funksjon av grad mindre enn eller lik (D) som avhenger av variablene i blokken lengst til venstre.
Mer generelt er Fi (2 <= i <= d) en funksjon av grad mindre enn eller lik (D) som avhenger av variablene i blokkene 1,2 i-l.
MERK: Disse funksjonene F2, , F<j produserer et Feisteldiagram i blokker. Ofte anvendes de ikke i HFE-algoritmen, og i det tilfellet er F2 = =Fd =0.
Det må nevnes, og dette er et viktig poeng, at sammensetningen av alle disse operasjonene genererer en kvadratisk funksjon når denne funksjonen uttrykkes med hensyn på sine komponenter i en basis. Denne funksjonen kan derfor bli gitt av n polynomer (Pi,..., P„) med koeffisienter i K, og disse polynomene gjør det mulig å beregne den kodede teksten (y) som funksjon av den ukodede teksten x.
De offentlige objektene er:
1) Feltet K av 1= pm elementer, og lengden n av meldingene.
2) De n polynomene (Pi,..., Pn) sammensatt av n variabler i K. Hvem som helst kan derfor kode en melding (kodingsalgoritmen er offentlig i overensstemmelse med karakteristikken av den krevde oppfinnelsen).
Videre er dekoding mulig hvis de hemmelige objektene er kjent. I realiteten er det da mulig å invertere alle operasjonene beskrevet i figur 1. Inversjonen av funksjonene & består derfor i å løse en polynomlikning med en ukjent i feltet Lrie som indikert for f i avsnittet med tittelen "inversjon av f". Det må imidlertid nevnes at fe ikke nødvendigvis er bijektiv. Det er da mulig å få mange forledd. I dette tilfellet vil valget av ukodet tekst bli bestemt ved hjelp av en overflødighet lagt inn i den ukodede teksten, og den dekodede teksten vil være den som inneholder denne overflødigheten. Hvis funksjonene ikke er bijektive vil det være nødvendig å tenke på å legge denne overflødigheten systematisk inn i den ukodede meldingen.
Eksempel på anvendelse av algoritmen for signatur.
To tilfeller må tas i betraktning
• Funksjonene er bijektive.
Dersom H er resultatet av spredningsfunksjonen
("the hash-function") anvendt på en melding som skal signeres (for eksempel har H et format på 128 bits), så er signaturen S = HFE"<1> (H).
Ved det faktum at HFE-kodingsfunksjonen er offentlig kan derfor hvem som helst verifisere signaturen ved å utføre: H' = HFE (S) og ved å verifisere at H1 = H. Avsenderen av signaturen må selvfølgelig kjenne hemmeligheten for å beregne S.
• Funksjonene er ikke bijektive.
I dette tilfellet er det mulig å velge et antall bits ved innsendingen til HFE som er større enn antallet bits ved utsendingen for å være nesten sikker på å kunne beregne forleddene ved å anvende HFE-algoritmen.
Eksempelvis kan H uttrykkes i 128 bits og S i 128+20 = 148 bits.
Spesifikke tilfeller av implementasjon
Det finnes mange måter å utføre HFE-algoritmen på som alle gir store fordeler angående den praktiske utføring og implementasjon.
• Tilfellet med algoritmen med kun én gren (dvs. d = 1).
Denne versjonen har bare én (stor) gren, og i hver likning er derfor alle variablene - dvs. alle bitser i meldingen - involvert. Tatt i betraktning denne grenens store størrelse har ikke denne utførelsen den potensielle svakheten som grener av liten størrelse.
• Tilfellet med små grener med den samme funksjonen f.
Dette spesielle tilfellet involverer små grener, eksempelvis med verdier på 12 bits, og med den samme funksjonen f. Denne versjonen er spesielt fordelaktig fordi den enkelt kan implementeres i små sentralprosessorer for eksempel inneholdt i chip-kort, og implementasjonen av denne er mulig ved hjelp av et program eller en matematisk koprosessor.
Første variant av HFE-algoritmen
Funksjonen f anvendt i hver gren, som allerede nevnt i dette dokumentet, er en polynomlikning med en enkelt variabel x i et endelig felt. Uttrykt i en basis er denne funksjonen f uttrykt som en likning med total grad lik to.
Faktisk kan det anvendes en annen type funksjon f som avviker litt fra den vanlige
modellen tidligere definert. Denne nye, ukjente typen består av å velge for f en funksjon som avhenger av flere endelig-felt-variabler, for eksempel to variabler xi og x2 slik at, i en basis, beholder uttrykket som funksjon av koordinatene, en total grad lik to og at det alltid er mulig å tilbakeberegne forleddene for en gitt verdi av f når de eksisterer.
Denne varianten vil bli bedre forstått gjennom det numeriske eksempelet under. Betrakt en gren av algoritmen med verdier på 64 bits og med p=2.1 denne varianten, la f avhenge av to variabler x og x' på 32 bits hver, med f(x, x<1>) = (y,y<*>) slik at :
(det skal bemerkes at anvendelsen av denne eksakte funksjonen ikke nødvendigvis er å anbefale og kun er gitt som et eksempel).
For å bestemme paret (x, x<1>) fra (y, y') et det for eksempel mulig å gå frem på følgende måte:
Fra likningen (2) has derfor:
Merk at (4) er en polynomlikning med en enkelt variabel x. Som indikert over kjenner matematikerne allerede til noen generelle metoder for å løse denne typen likninger, og det er derfor mulig å løse (4), noe som gjør det mulig å finne verdiene for x som løser likningen; x' kan deretter finnes ved å substituere disse verdiene for x i likning (3).
MERK: Dagens kjente teknikker for å løse likninger med flere variabler i endelige felt gjør det mulig å korrekt løse andre typer likninger enn den som er illustrert i dette eksempelet. Spesielt likninger der det ikke er nødvendig å uttrykke en variabel som funksjon av de andre for så å substituere for den.
Andre variant av HFE-algoritmen
Naturligvis begrenser ikke beskrivelsen av HFE-algoritmen og dens varianter oppfinnelsen som kreves til anvendelse av polynomlikninger av kun én grad: graden 2. Det er fullt mulig å anvende 3. grad; i dette tilfellet er det en offentlig form av 3. grad.
Likeledes er graden 4 eller til og med 5 mulig. Det er imidlertid nødvendig at graden er lav nok til at de offentlige likningene som resulterer fra den holder seg enkle for en computer å lagre og beregne.
Valget av parametrene er også viktig for å sikre maksimal sikkerhet og for å unngå, i
størst mulig grad, forsøk på kodeanalyse. Det er derfor av sikkerhetsgrunner fordelaktig at:
1) det i hver gren er minst én variabel på 32bits, og fortrinnsvis minst 64bits,
2) det ikke er likninger på formen: Eyij Xjyj + £ocj xj ZPjyj <+> 8o= 0, hvor minst én av koeffisientene yy, ai, Pj eller 8o er forskjellig fra null, og som alltid verifiseres dersom yj-koeffisientene er komponentene i den kodede teksten og Xj-koeffisientene er komponentene i den ukodede teksten. MERK: det var blant annet på grunn av at en slik betingelse ikke var verifisert at Matsumoto-Imai-algoritmen nevnt over ble avslørt ikke å være fullstendig sikker.
3) det ikke er likninger på formen
2>ijk Xi<y>j<y>k<+>Xoijj xj<y>j <+> Ep^ <+> E|iiXj +£viyi+80 = 0
det vil si totalt av 3. grad og av første grad i x,
4) mer generelt er det av sikkerhetsgrunner foretrukket at det ikke finnes noen likning av "lav" grad som alltid er verifisert mellom koordinatene i de ukodede og kodede meldingene, bortsett fra de lineære kombinasjonene av produktene i de offentlige likningene i små polynomer.
Tredje variant av HFE-algoritmen
Det er blitt indikert at for å anvende HFE-algoritmen når funksjonen ikke er
bijektiv, er det mulig å introdusere overflødigheter i den ukodede teksten.
Det er en annen mulighet: i realiteten er det mulig at størrelsen på den kodede verdien Y er større enn størrelsen på den ukodede verdien X hvis nye elementer fra K settes inn i den kodede verdien. Disse nye elementene er også de som resulterer fra likninger av andre grad dannet av komponentene til X. Mer generelt, med bruk av notasjonen i figur 1, kunne det samme elementet til s(x) bli overført til flere grener. Det er også mulig å legge til en eller flere grener sammensatt av vilkårlige likninger av andre grad i en basis, hvor i dette tilfellet disse ytterligere grenene blir anvendt for å skille ut det riktige forleddet for de andre grenene.
Fjerde variant av HFE-algoritmen
I stedet for å gjøre offentlige alle likningene som resulterer i den siste funksjonen i figur 1, kan én eller flere av dem holdes hemmelige. Dette betyr at isteden for å gjøre (Pi, Pn) offentlige, er det mulig å gjøre kun deler av disse likningene offentlige, og i dette tilfellet utføres kodingen ved å beregne kun de offentlige av de (Pi, ....,P„) polynomene.
I dekoding forsøkes alle de mulige verdier for de ikke-offentlige polynomene Pj, noe som a priori gir flere mulige dekodede meldinger, og den korrekte meldingen er merket som før: enten ved å introdusere overflødigheter i den ukodede meldingen, eller ved anvendelse av metoden indikert i den tredje varianten.
MERK: det faktum at én eller flere offentlige likninger derfor elimineres kan i noen tilfeller gjøre det enda vanskeligere å oppdage strukturen i feltene skjult av HFE-algoritmen.
Forklaring på figur 2
Figur 2 illustrerer skjematisk et eksempel på kodings/dekodingssystemet ved å anvende HFE-algoritmen beskrevet over.
Anta at det er to enheter A og B som tilhører det samme kommunikasjonsnettverket, og som hver har sitt respektive sender-/mottakerutstyr for meldinger 1,2. Dette utstyret inkluderer beregningsanordninger, f.eks. en datamaskin, designet for å utføre koding/dekoding av meldinger, og lagringsanordninger. I det minste deler av disse beregnings- og lagringsanordningene kan legges til et portabelt objekt som inkorporerer en mikroprosessor eller logiske kretser med mikroledninger, som definerer områder til hvilke tilgang blir kontrollert, og kan derfor inneholde hemmelig informasjon så som kryptografiske nøkler (se for eksempel det portable objektet beskrevet i det franske patentet Nr. 2.401.459).
Hver anordning inkorporerer HFE-algoritmen som beskrevet over, spesielt i form av et program, i tillegg til den inverse algoritmen HFE"<1>.
De to anordningene forbindes med en kommunikasjonslinje 3.
Både A og B innehar et nøkkelpar, hhv. en offentlig nøkkel Cp<A> og CpB og en hemmelig nøkkel CsA og Cs<B> innbyrdes forbundet med den samsvarende offentlige nøkkelen Cp<A> eller CpB. Hvis A og B ikke har anordningene for å beregne nøkkelparene, kan denne beregningen utføres av nettverket ved å gi det en gitt myndighet med hensyn på hvert medlem i nettverket. Hvis disse to enhetene ønsker å føre dialog med hverandre i en beskyttet modus, dvs. uten at noen skal kunne forstå dataene som utveksles, vil de implementere følgende prosedyre: A sender B sin offentlige nøkkel Cp<A>, og B sender A sin offentlige nøkkel CpB. I en variant kan nettverket ha de offentlige nøklene til alle medlemmene i primærlageret og kommunisere dem til medlemmene på anmodning. Med en gang A har mottatt den offentlige nøkkelen CpB, vil A anvende denne til å kode, ved hjelp av den kryptografiske algoritmen HFE, en melding M som den ønsker å overføre til B, og en melding M<1>. Denne meldingen blir med en gang den mottas av B dekodet ved hjelp av den kryptografiske algoritmen HFE"<1> og den hemmelige nøkkelen Cs<B>. Kun B kan dekode meldingen siden den er det eneste medlemmet av nettverket som innehar denne nøkkelen. For overføring av meldinger fra B til A er fremgangsmåten helt analog.
Forklaring av figur 3
Figur 3 illustrerer skjematisk et eksempel på anvendelsen av systemet i figur 2 for å implementere en beregnings- og signaturverifikasjonsprosedyre som anvender den kryptografiske algoritmen beskrevet over.
I dette tilfellet er det nødvendig at overføringen av meldinger gjøres med autentifikasjon, dvs. at mottakeren av meldingen M har mulighet å forsikre seg om at meldingen kommer fra en spesiell person. Anta for eksempel at A ønsker å sende B en autentifisert melding. De to kommunikatorene vil implementere følgende prosedyre: A vil først sende B sin offentlige nøkkel Cp<A>, eller i en variant kan B også be om nøkkelen fra nettverket.
A vil deretter kode meldingen med sin egen hemmelige nøkkel CsA og den kryptografiske algoritmen HFE"<1>. Det oppnådde resultatet kalles signaturen S til meldingen. Deretter sendes meldingen (som i dette tilfellet går ukodet) og dennes signatur til B. B dekoder signaturen ved hjelp av den kryptografiske algoritmen HFE og den offentlige nøkkelen Cp<A> som han tidligere har fått. Resultatet oppnådd av dette, betegnet M", må være det samme som den mottatte meldingen M. Dersom dette faktisk er tilfelle beviser det at signaturen ble beregnet ved hjelp av den hemmelige nøkkelen CsA og derfor at meldingen faktisk kommer fra A, det eneste medlemmet av nettverket som innehar denne nøkkelen.
En kjent forbedring av dette systemet består av å beregne ikke bare signaturen til meldingen, men signaturen til en konsentrasjon av meldingen. Ved å anvende en spredmngs-funksjon kan derfor en relativt stor melding bli komprimert til et fikspunkt H som er karakteristisk for meldingen. Denne spredmngsfunksjonen kan implementeres ved å anvende standard spredmngsfunksjoner (som f.eks. MDS eller SHA).
Kortfattet resulterer oppfinnelsen i følgende:
1. Oppfinneren har vist (jfr. document Crypto '95, s.248 - 261) at den initielle algoritmen til Matsumoto og Imai ikke var kryptografisk fullkommen. Denne algoritmen besto av å "gjemme" en bijeksjon f på formen f(b) = a<1->KJ der Q <=><qe> ved to affine transformasjoner s og t. 2. Oppfinneren har vist at det er mulig å anvende mye mer generelle funksjoner for f.
Oppfinneren har faktisk vist, på den ene siden, at det var mulig å anvende ikke-bijektive funksjoner f, og på den andre siden at det var mulig å anvende det faktum at det er kjent hvordan en beregner forleddene for veldig forskjellige familier av polynomer, for eksempel ved å anvende PGCD-beregninger av polynomer eller resultanter av polynomer, eller ved å anvende GROBNER basiser. 3. Det er nødvendig at minst en av grenene ikke er for liten. Oppfinneren oppdaget at små grener leder til svake HFE-algoritmer. 4. Oppfinneren merket dessuten at det noen ganger er mulig å velge ut bare noen av elementene som utgjør det tredje bildet (13) som resulterer fra transformasjon av det andre bildet (12) ved hjelp av den andre hemmelige polynom-transformasjonen.
Claims (12)
1. En kryptografisk kommunikasjonsfremgangsmåte som transformerer en verdi (X), representert av (n) elementer i en endelig ring (K), til en billedverdi (Y) representert ved (n<1>) elementer i ringen (K),
karakterisert ved at a) hvert element (n') av billedverdien (Y) er i form av en offentlig polynomlikning av lav grad (D) større enn eller lik 2 sammensatt av elementene (n) fra verdien (X); b) billedverdien (Y) også kan fås fra verdien (X) ved hjelp av en transformasjon omfattende følgende trinn, der minst noen av dem krever kjennskap til en kryptografisk hemmelighet: bl) det anvendes på verdien (X) en første hemmelig polynom- transformasjon (s) av grad 1 sammensatt av de (n) elementene til verdien (X) for å frembringe et første bilde (II) med (n) elementer; b2) de (n) elementene i det første bildet (II) tenkes å representere en variabel eller et lite antall (k) variabler (x, x', x" x<k>) tilhørende en utvidelse (Lw) med graden W av ringen (K) med W<*>k = n, ved å anvende på det første bildet (II) en transformasjon definert som følger:
hvor (y, y<*>, y", fy er bildet av (x, x', x" x<k>) fra transformasjonen f, der f verifiserer følgende to egenskaper: -b2.1) i en basis (B) av ringutvidelsen (Lw) er hver komponent av bildet (y, y\ y", ..., fy uttrykt i form av et polynom sammensatt av komponentene til (x, x<1>, x",xk) i denne basisen, hvilket polynom har total grad mindre enn eller lik graden (D) på den offentlige polynomlikningen; -b2.2) uttrykt ved ringutvidelsen (Lw) er transformasjonen (f) slik at det er mulig å beregne forleddene til (f) når de eksisterer, kanskje bortsett fra spesielle biter, der antallet slike er neglisjerbart relativt til det totale antallet biter;
b3) det første bildet (II) som er således transformert, utgjør et andre bilde (12);
b4) det anvendes på det andre bildet (12) en andre hemmelig polynomtransformasjon (t) av grad 1 sammensatt av elementer i det andre bildet (12) for å frembringe et tredje bilde (13) som har et bestemt antall elementer; og
b5) det velges ut (n') elementer fra settet av elementer i det tredje bildet (13) for å danne den nevnte billedverdien (Y).
2. Fremgangsmåte i følge krav 1
karakterisert ved at den nevnte lave graden (D) på den offentlige polynomlikningen er liki.
3. Fremgangsmåte i følge krav 1
karakterisert ved at antallet k variabler er lik 1.
4. Fremgangsmåte i følge krav 3,
karakterisert ved at den nevnte lave graden (D) på den offentlige polynomlikningen er lik 2, (K) er et endelig felt, og den nevnte transformasjonen (F) har følgende form:
der q er kardinalen til feltet (K); Q = q<e>,,<i>, P = qtpi'i og S = q<?1>, Pi j, a,i og uo er elementer i Lw, og 0'"', <p,<j> og er heltall, og hvor graden i x av polynomet f er mindre enn eller lik 1,000.
5. Fremgangsmåte i følge krav 1,
karakterisert ved at det ikke er polynomlikninger av lav total grad sammensatt av komponentene (x, x<1>, x",xk) og (y, y<1>, y",y<*>) andre enn lineære kombinasjoner av produktene til de offentlige likingene i små polynomer.
6. Fremgangsmåte ifølge krav 1,
karakterisert ved at det ikke er polynomlikninger på formen: ^Yij XjVj + Zoti x; EPj<y>j <+> 8o= 0 med minst én av koeffisientene Vy, ai, Pj eller 8o forskjellig fra null, som alltid verifiseres dersom koeffisientene yj er komponentene i den kodede meldingen og koeffisientene Xj er komponentene i den ukodede meldingen.
7. Fremgangsmåte ifølge krav 1,
karakterisert ved at ringen (K) er et endelig felt og utvidelsen (Lw) av ringen er en utvidelse med graden W av ringen (K), som betyr at (Lw) er isomorf med K[X]/g(X), der g er et irreduktibelt polynom av grad W på K.
8. Fremgangsmåte for asymmetrisk autentifikasjon, ved en første person kalt kontrollør, av en annen person kalt en bevisfører,
karakterisert ved at -kontrolløren sender bevisføreren en første verdi (Y); -bevisføreren returnerer til kontrolløren en andre verdi (X) oppnådd ved å anvende en transformasjon på den første verdien (Y) som samsvarer med den inverse transformasjonen ifølge krav 1; -kontrolløren anvender transformasjonen ifølge krav 1 på den andre verdien (X) og verifiserer at resultatet samsvarer med en forutbestemt relasjon knyttet til den første verdien (Y).
9. Kryptografisk kornmunikasjonsfremgangsmåte som transformerer en verdi (X), representert av (n) elementer i en endelig ring (K), til en billedverdi (Y) representert ved (n') elementer i ringen (K),
karakterisert ved at a) hvert element (n<1>) av billedverdien (Y) er i form av en offentlig polynomlikning av lav grad (D) større enn eller lik 2 sammensatt av elementene (n) fra verdien (X); b) billedverdien (Y) også kan frembringes fra verdien (X) ved å anvende en transformasjon omfattende følgende trinn, der noen av disse krever kjennskap til en kryptografisk hemmelighet: bl) det anvendes på verdien (X) en første hemmelig polynom- transformasjon (s) av grad 1 sammensatt av de (n) elementene til verdien (X) for å frembringe et første bilde (II) med (n) elementer; b2) det dannes én eller flere grener, der hver av disse grenene er sammensatt av elementer fra det første bildet (II) og, • i minst én (e) av grenene er de (rie) elementene i grenen tenkt å representere en variabel, eller et lite antall (k) variabler (x, x', x",x<k>) som tilhører en utvidelse (Lw) med grad W av ringen (K) med W<*>k = n^ og det anvendes på minst denne grenen (e) en transformasjon som følger: hvor (y, y<1>, y" fy er bildet av (x, x', x",xk) fra transformasjonen fe, der fé verifiserer følgende to egenskaper: -b2.1) i en basis (B) av utvidelsen (Lw) av ringen er hver komponent av bildet (y, y", y" fy uttrykt i form av et polynom sammensatt av komponentene til (x, x', x",x<k>) i denne basisen, hvilket polynom har en total grad mindre enn eller lik den nevnte graden (D) på den offentlige polynomlikningen; -b2.2) uttrykt ved utvidelsen (Lw) av ringen er transformasjonen (fe) slik at det er mulig å beregne forleddene til (fe) når de eksisterer, kanskje bortsett fra spesielle biter, idet antallet slike er neglisjerbart i forhold til det totale antallet biter. • og ved å anvende på de andre mulige grenene polynomtransformasjoner med grad mindre enn eller lik den nevnte graden (D) dannet av komponentene med verdi i ringen (K); b3) grenen som er således transformert, eller mangfoldet av grener som er således transformert, så sammenkjedet, utgjør et andre bilde (12); b4) det anvendes på det andre bildet (12) en andre hemmelig polynomtransformasjon (t) av grad 1 sammensatt av elementer i det andre bildet (12) for å frembringe et tredje bilde (13) som har et bestemt antall elementer; og b5) det velges ut (n<1>) elementer blant settet av elementer i det tredje bildet (13) for å danne billedverdien (Y).
10. Fremgangsmåte ifølge krav 9,
karakterisert ved at et polynom med grad mindre enn eller lik (D) legges til utsendingsdataene fra grenen således transformert eller andre grener hvilket polynom avhenger kun av variablene i grenene anbrakt rett før denne grenen.
11. Fremgangsmåte ifølge krav 9,
karakterisert ved at det første bildet (II) har flere grener, hvor en av disse grenene manipulerer verdier på minst 32 bits.
12. Fremgangsmåte for asymmetrisk signaturverifikasjon og autentifikasjon av en melding (X),
karakterisert ved at signaturen er frembrakt ved å anvende på en melding, eller på en offentlig transformasjon av en melding, en transformasjon som samsvarer med den inverse transformasjon av den som er angitt i fremgangsmåten ifølge krav 1 eller krav 9, og ved at verifikasjonen består av å kontrollere at et resultat (Y) er oppnådd som samsvarer med forutbestemte relasjoner knyttet til meldingen som skal signeres.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9509179A FR2737370B1 (fr) | 1995-07-27 | 1995-07-27 | Procede de communication cryptographique |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| NO963141D0 NO963141D0 (no) | 1996-07-26 |
| NO963141L NO963141L (no) | 1997-01-28 |
| NO321409B1 true NO321409B1 (no) | 2006-05-08 |
Family
ID=9481469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO19963141A NO321409B1 (no) | 1995-07-27 | 1996-07-26 | Fremgangsmate for kryptografisk kommunikasjon |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US5790675A (no) |
| EP (1) | EP0756399A3 (no) |
| JP (1) | JP3583555B2 (no) |
| KR (1) | KR100259179B1 (no) |
| CN (1) | CN1185821C (no) |
| AR (1) | AR003051A1 (no) |
| AU (1) | AU6075596A (no) |
| BR (1) | BR9603150A (no) |
| CA (1) | CA2181299C (no) |
| FR (1) | FR2737370B1 (no) |
| IL (1) | IL118857A (no) |
| NO (1) | NO321409B1 (no) |
| SG (1) | SG50745A1 (no) |
| TW (1) | TW367684B (no) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2744309B1 (fr) * | 1996-01-26 | 1998-03-06 | Bull Cp8 | Procede de communicatin cryptographique asymetrique, et objet portatif associe |
| AU716797B2 (en) * | 1996-08-19 | 2000-03-09 | Ntru Cryptosystems, Inc. | Public key cryptosystem method and apparatus |
| CN1062591C (zh) * | 1998-01-08 | 2001-02-28 | 北京市朝阳区高科应用技术研究所 | 无铅汽油抗爆添加剂及制备方法 |
| RU2153191C2 (ru) | 1998-09-29 | 2000-07-20 | Закрытое акционерное общество "Алкорсофт" | Способ изготовления вслепую цифровой rsa-подписи и устройство для его реализации (варианты) |
| RU2157001C2 (ru) | 1998-11-25 | 2000-09-27 | Закрытое акционерное общество "Алкорсофт" | Способ проведения платежей (варианты) |
| EP1049289B1 (en) * | 1999-04-29 | 2004-10-06 | Bull Cp8 | Public-key signature methods and systems |
| US6959085B1 (en) | 1999-05-03 | 2005-10-25 | Ntru Cryptosystems, Inc. | Secure user identification based on ring homomorphisms |
| IL146350A0 (en) * | 1999-05-03 | 2002-07-25 | Ntru Cryptosystems Inc | Secure user identification based on ring homomorphisms |
| US6304657B1 (en) * | 1999-05-26 | 2001-10-16 | Matsushita Electric Industrial Co., Ltd. | Data encryption apparatus using odd number of shift-rotations and method |
| US6708049B1 (en) * | 1999-09-28 | 2004-03-16 | Nellcor Puritan Bennett Incorporated | Sensor with signature of data relating to sensor |
| US20020136401A1 (en) * | 2000-07-25 | 2002-09-26 | Jeffrey Hoffstein | Digital signature and authentication method and apparatus |
| KR20020050680A (ko) * | 2000-12-21 | 2002-06-27 | 배기봉 | 행열 다항식 환 과 체를 기반으로 한 공개키 암호시스템 |
| US7308097B2 (en) * | 2001-12-07 | 2007-12-11 | Ntru Cryptosystems, Inc. | Digital signature and authentication method and apparatus |
| FR2859585A1 (fr) * | 2003-09-04 | 2005-03-11 | Gemplus Card Int | Reduction modulaire pour un procede cryptographique, et coprocesseur pour la realisation d'une telle reduction modulaire |
| CN1870499B (zh) * | 2005-01-11 | 2012-01-04 | 丁津泰 | 产生新的多变量公钥密码系统的方法 |
| US7961876B2 (en) * | 2005-01-11 | 2011-06-14 | Jintai Ding | Method to produce new multivariate public key cryptosystems |
| US8139764B2 (en) * | 2008-05-06 | 2012-03-20 | Harris Corporation | Closed galois field cryptographic system |
| EP2351287B1 (en) * | 2008-10-20 | 2014-02-12 | Philips Intellectual Property & Standards GmbH | Method of generating a cryptographic key, network and computer program therefor |
| JP2011107528A (ja) * | 2009-11-19 | 2011-06-02 | Sony Corp | 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム |
| JP5594034B2 (ja) | 2010-07-30 | 2014-09-24 | ソニー株式会社 | 認証装置、認証方法、及びプログラム |
| JP5790319B2 (ja) * | 2011-08-29 | 2015-10-07 | ソニー株式会社 | 署名検証装置、署名検証方法、プログラム、及び記録媒体 |
| CN103490897B (zh) * | 2013-09-17 | 2017-04-05 | 华南理工大学 | 一种多变量公钥签名/验证系统及签名/验证方法 |
| US9336092B1 (en) * | 2015-01-01 | 2016-05-10 | Emc Corporation | Secure data deduplication |
| WO2016155565A1 (en) | 2015-03-30 | 2016-10-06 | Jintai Ding | Improvements on multivariate digital signature schemes based on hfev- and new applications of multivariate digital signature schemes for white-box encryption |
| CN112560091B (zh) * | 2020-12-17 | 2021-07-13 | 北京百度网讯科技有限公司 | 数字签名方法、签名信息的验证方法、相关装置及电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69327238T2 (de) * | 1993-08-17 | 2000-09-07 | Entrust Technologies ( Switzerland) Ltd. Liab. Co., Glattzentrum | Verfahren zur digitalen Unterschrift und Verfahren zur Schlüsselübereinkunft |
| US5537475A (en) * | 1994-02-01 | 1996-07-16 | Micali; Silvio | Efficient digital signature algorithm and use thereof technical field |
| US5577124A (en) * | 1995-03-09 | 1996-11-19 | Arithmetica, Inc. | Multi-purpose high speed cryptographically secure sequence generator based on zeta-one-way functions |
-
1995
- 1995-07-27 FR FR9509179A patent/FR2737370B1/fr not_active Expired - Fee Related
- 1995-08-03 TW TW084108091A patent/TW367684B/zh not_active IP Right Cessation
-
1996
- 1996-07-01 EP EP96401446A patent/EP0756399A3/fr not_active Withdrawn
- 1996-07-15 IL IL11885796A patent/IL118857A/xx not_active IP Right Cessation
- 1996-07-16 CA CA002181299A patent/CA2181299C/fr not_active Expired - Fee Related
- 1996-07-22 SG SG1996010292A patent/SG50745A1/en unknown
- 1996-07-24 BR BR9603150A patent/BR9603150A/pt not_active Application Discontinuation
- 1996-07-24 US US08/685,856 patent/US5790675A/en not_active Expired - Lifetime
- 1996-07-25 JP JP19654896A patent/JP3583555B2/ja not_active Expired - Fee Related
- 1996-07-26 NO NO19963141A patent/NO321409B1/no not_active IP Right Cessation
- 1996-07-26 CN CNB961108606A patent/CN1185821C/zh not_active Expired - Fee Related
- 1996-07-26 AU AU60755/96A patent/AU6075596A/en not_active Abandoned
- 1996-07-26 AR ARP960103763A patent/AR003051A1/es unknown
- 1996-07-26 KR KR1019960031711A patent/KR100259179B1/ko not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| CN1146676A (zh) | 1997-04-02 |
| FR2737370A1 (fr) | 1997-01-31 |
| JPH0946333A (ja) | 1997-02-14 |
| EP0756399A2 (fr) | 1997-01-29 |
| JP3583555B2 (ja) | 2004-11-04 |
| CA2181299A1 (fr) | 1997-01-28 |
| KR970009022A (ko) | 1997-02-24 |
| AU6075596A (en) | 1997-01-30 |
| AR003051A1 (es) | 1998-05-27 |
| BR9603150A (pt) | 1998-04-22 |
| NO963141D0 (no) | 1996-07-26 |
| CA2181299C (fr) | 2007-02-13 |
| IL118857A (en) | 1999-08-17 |
| CN1185821C (zh) | 2005-01-19 |
| US5790675A (en) | 1998-08-04 |
| TW367684B (en) | 1999-08-21 |
| FR2737370B1 (fr) | 1997-08-22 |
| KR100259179B1 (ko) | 2000-06-15 |
| SG50745A1 (en) | 1998-07-20 |
| IL118857A0 (en) | 1996-10-31 |
| EP0756399A3 (fr) | 1997-02-05 |
| NO963141L (no) | 1997-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| NO321409B1 (no) | Fremgangsmate for kryptografisk kommunikasjon | |
| Todo et al. | Nonlinear invariant attack: Practical attack on full scream, i scream, and midori 64 | |
| Hellman | An overview of public key cryptography | |
| US20100166174A1 (en) | Hash functions using elliptic curve cryptography | |
| Baumslag et al. | A course in mathematical cryptography | |
| MXPA04010155A (es) | Uso de isogenias para el diseno de criptosistemas. | |
| CN110663216A (zh) | 密码设备和方法 | |
| US6111952A (en) | Asymmetrical cryptographic communication method and portable object therefore | |
| Simmons | Secure communications and asymmetric cryptosystems | |
| Alamélou et al. | A practical group signature scheme based on rank metric | |
| Landau | Polynomials in the nation's service: Using algebra to design the advanced encryption standard | |
| Longo et al. | Threshold multi-signature with an offline recovery party | |
| Díaz et al. | Chor-rivest knapsack cryptosystem in a post-quantum world | |
| Nakahara Jr | Lai-Massey Cipher Designs: History, Design Criteria and Cryptanalysis | |
| Lin et al. | New tag-based signatures and their applications on linearly homomorphic signatures | |
| Song | Optimization and guess-then-solve attacks in cryptanalysis | |
| Hwu | The interpolating random spline cryptosystem and the chaotic-map public-key cryptosystem | |
| Aragona et al. | Several proofs of security for a tokenization algorithm | |
| Williams | Computationally “Hard” Problems as a Source for Cryptosystems | |
| Oguntunde et al. | A comparative study of some traditional and modern cryptographic techniques | |
| AU743461B2 (en) | Cryptographic communication process | |
| Demircioğlu | Efficient multivariate-based ring signature schemes | |
| Jauch | Quantumania: Three Quantum Attacks on AES-OTR’s Confidentiality and a Quantum Key-Recovery Attack on OPP | |
| Al-Muhammed | Bit-sensitive chaos-based encryption technique with nonparametric memory loss-based key hiding code generation | |
| Safavi-Naini et al. | Fail-stop signature for long messages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM1K | Lapsed by not paying the annual fees |