RU2325767C1 - Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ - Google Patents

Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ Download PDF

Info

Publication number
RU2325767C1
RU2325767C1 RU2006138751/09A RU2006138751A RU2325767C1 RU 2325767 C1 RU2325767 C1 RU 2325767C1 RU 2006138751/09 A RU2006138751/09 A RU 2006138751/09A RU 2006138751 A RU2006138751 A RU 2006138751A RU 2325767 C1 RU2325767 C1 RU 2325767C1
Authority
RU
Russia
Prior art keywords
bit binary
binary number
mdc
formula
mod
Prior art date
Application number
RU2006138751/09A
Other languages
English (en)
Inventor
н Николай Андреевич Молдов (RU)
Николай Андреевич Молдовян
н Александр Андреевич Молдов (RU)
Александр Андреевич Молдовян
Original Assignee
Николай Андреевич Молдовян
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Николай Андреевич Молдовян filed Critical Николай Андреевич Молдовян
Priority to RU2006138751/09A priority Critical patent/RU2325767C1/ru
Application granted granted Critical
Publication of RU2325767C1 publication Critical patent/RU2325767C1/ru

Links

Abstract

Изобретение относится к области электросвязи, а именно к области криптографических устройств и способов проверки электронной цифровой подписи (ЭЦП). Техническим результатом является уменьшение размера ЭЦП без снижения ее уровня стойкости. В способе формируют секретный ключ (СК), включающий три многоразрядных двоичных числа (МДЧ) р, q и γ, где р, q простые числа и γ составное число. Формируют открытый ключ (ОК) в виде двух многоразрядных двоичных чисел n и α, где n=pq и α - число, относящееся к показателю q по модулю n. Принимают электронный документ (ЭД) в виде многоразрядного двоичного числа Н. Формируют электронную цифровую подпись (ЭЦП) Q в зависимости от значений СК, ОК и многоразрядного двоичного числа Н. Формируют первое проверочное многоразрядное двоичное число А в зависимости от Q. Генерируют промежуточное многоразрядное двоичное число W в зависимости от ОК и многоразрядного двоичного числа Н. Формируют второе проверочное многоразрядное двоичное число В в зависимости от W и сравнивают числа А и В. При совпадении параметров чисел А и В делают вывод о подлинности электронной цифровой подписи. 9 з.п. ф-лы.

Description

Изобретение относится к области электросвязи и вычислительной техники, а конкретнее к области криптографических способов аутентификации электронных сообщений, передаваемых по телекоммуникационным сетям и сетям ЭВМ, и может быть использовано в системах передачи электронных сообщений (документов), заверенных электронной цифровой подписью (ЭЦП), представленной в виде многоразрядного двоичного числа (МДЧ). Здесь и далее под МДЧ понимается электромагнитный сигнал в двоичной цифровой форме, параметрами которого являются: число битов и порядок следования их единичных и нулевых значений (толкование используемых в описании терминов приведено в Приложении 1.)
Известен способ формирования и проверки ЭЦП, описанный в книгах [1. М.А.Иванов. Криптография. М., КУДИЦ-ОБРАЗ, 2001; 2. А.Г.Ростовцев, Е.Б.Маховенко. Введение в криптографию с открытым ключом. С-Петербург, Мир и семья, 2001. - с.43]. Известный способ заключается в следующей последовательности действий:
формируют секретный ключ в виде трех простых МДЧ p, q и d, формируют открытый ключ (n, е) в виде пары МДЧ n и e, где n - число, представляющее собой произведение двух простых МДЧ p и e, и e - МДЧ, удовлетворяющее условию ed=1 mod(р-1)(q-1), принимают электронный документ,
представленный МДЧ H, в зависимости от значения H и значения секретного ключа формируют ЭЦП в виде МДЧ Q=S=Hd mod n.
формируют первое проверочное МДЧ A=H;
формируют второе проверочное МДЧ B, для чего МДЧ S возводят в целочисленную степень е по модулю n: B=Se mod n;
сравнивают сформированные проверочные МДЧ A и B;
при совпадении параметров сравниваемых МДЧ A и B делают вывод о подлинности ЭЦП.
Недостатком известного способа является относительно большой размер подписи и необходимость увеличения размера подписи при разработке новых более эффективных алгоритмов разложения числа n на множители или при росте производительности современных вычислительных устройств. Это объясняется тем, что значение элемента подписи S вычисляется путем выполнения арифметических операций по модулю n, а стойкость ЭЦП определяется сложностью разложения модуля n на множители p и q.
Известен также способ формирования и проверки подлинности ЭЦП Эль-Гамаля, описанный в книге [Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. - СПб, Лань, 2000. - с.156-159], который включает следующие действия:
формируют простое МДЧ p и двоичное число G, являющееся первообразным корнем по модулю p, генерируют секретный ключ в виде МДЧ x, в зависимости от секретного ключа формируют открытый ключ в виде МДЧ Y=Gx mod p, принимают электронный документ (ЭД), представленный в виде МДЧ H, в зависимости от H и секретного ключа формируют ЭЦП Q в виде двух МДЧ S и R, то есть Q=(S, R);
осуществляют процедуру проверки подлинности ЭЦП, включающую вычисление двух контрольных параметров с использованием исходных МДЧ p, G, Y, H и S путем возведения МДЧ G, Y, R в дискретную степень по модулю p и сравнение вычисленных контрольных параметров;
при совпадении значений контрольных параметров делают вывод о подлинности ЭЦП.
Недостатком данного способа также является относительно большой размер ЭЦП. Это объясняется тем, что значения элементов подписи S и R вычисляются путем выполнения арифметических операций по модулю р-1 и по модулю p, соответственно.
Наиболее близким по своей технической сущности к заявленному является известный способ формирования и проверки подлинности ЭЦП, описанный в статье [Костин А.А., Молдовян Д.Н., Молдовян Н.А. Новая криптосистема с открытым ключом на основе RSA-модуля // Вопросы защиты информации. 2005 (68). №1. С.8-12]. Ближайший аналог (прототип) заключается в выполнении следующей последовательности действий:
формируют секретный ключ в виде трех МДЧ p, q и γ, где p, q - простые числа и γ - составное число, формируют открытый ключ (n, α) в виде пары МДЧ n и α, где n - число, представляющее собой произведение двух простых МДЧ р и q, и α - число, относящееся к МДЧ γ как к показателю по модулю n, принимают электронный документ, представленный МДЧ H, в зависимости от значения H и значения секретного ключа формируют ЭЦП Q в виде МДЧ S, то есть Q=S;
формируют первое проверочное МДЧ A, для чего МДЧ S возводят в степень H по модулю n;
формируют второе проверочное МДЧ B, для чего МДЧ α возводят в целочисленную степень u>1 по модулю n: B=αu mod n;
сравнивают сформированные проверочные МДЧ A и B;
при совпадении параметров сравниваемых МДЧ A и B делают вывод о подлинности ЭЦП.
Недостатком ближайшего аналога также является относительно большой размер подписи, что обусловлено необходимостью вычисление значения S путем выполнения арифметических операций по модулю n, размер которого для обеспечения требуемого уровня стойкости ЭЦП составляет 1024 бит и более.
Целью изобретения является разработка способа формирования и проверки подлинности ЭЦП, заверяющей ЭД, обеспечивающего уменьшение размера подписи без снижения уровня стойкости ЭЦП.
Поставленная цель достигается тем, что в известном способе формирования и проверки подлинности ЭЦП, заверяющей ЭД, заключающемся в том, формируют секретный ключ, включающий три МДЧ p, q и γ, где p, q - простые числа и γ - составное число, формируют открытый ключ, включающий два МДЧ n и α, где α - число, относящееся к показателю γ по модулю n и n=pq, принимают ЭД, представленный МДЧ H, в зависимости от значения H и значения секретного ключа формируют ЭЦП Q, формируют первое и второе проверочные МДЧ A и B, сравнивают их и при совпадении их параметров делают вывод о подлинности ЭЦП, новым в заявленном способе является то, что ЭЦП Q формируют в виде двух МДЧ R и S, то есть Q=(R, S), формируют первое проверочное МДЧ A в зависимости от ЭЦП, генерируют промежуточное МДЧ W в зависимости от значения МДЧ R, S, H, n и α и формируют второе проверочное МДЧ B путем сжимающего преобразования промежуточного МДЧ W.
Новым является также то, что первое проверочное МДЧ A формируют путем вычитания значения S из значения R.
Новым является также то, что первое проверочное МДЧ A формируют путем деления значения R на значение S.
Новым также является то, что первое проверочное МДЧ A формируют путем перемножения значений S и R.
Новым также является то, что первое проверочное МДЧ A формируют путем сложения значений S и R.
Новым является также то, что промежуточное МДЧ W генерируют путем выполнения операции возведения числа α в степень U по модулю n, где U - МДЧ, которое вычисляют по формуле U=RS или по формуле U=RSH.
Новым также является то, что промежуточное МДЧ W генерируют путем выполнения операции возведения числа α в степень U по модулю n, где U - МДЧ, которое вычисляют по формуле U=RS или по формуле U=RSH, после чего полученное промежуточное МДЧ W дополнительно преобразуют по формуле W←WH mod n или по формуле W←(W+H)mod n, где знак ← обозначает операцию присваивания.
Новым также является то, что промежуточное МДЧ W генерируют путем выполнения операции возведения числа α в степень U по модулю n, где U - МДЧ, которое вычисляют по формуле U=RS или по формуле U=RSH, после чего дополнительно преобразуют полученное промежуточное МДЧ W по формуле W≥WyS mod n или по формуле W←WyRH mod n, где знак ← обозначает операцию присваивания, y=αx mod n и х - дополнительное случайное МДЧ.
Новым также является то, что сжимающее преобразование промежуточного МДЧ W выполняют с помощью хэш-функции.
Новым также является то, что сжимающее преобразование промежуточного МДЧ W выполняют с помощью операции взятия остатка от деления промежуточного МДЧ W на простое число δ, длина которого лежит в пределах от 64 до 256 бит.
Благодаря новой совокупности существенных признаков путем изменения процедуры формирования проверочных МДЧ достигается уменьшение размера подписи, а выбором фиксированного размера секретного МДЧ γ обеспечивается неизменность размера подписи при увеличении размера секретного МДЧ p и q, чем и обеспечивается поддержание стойкости ЭЦП, т.е. реализуется сформулированный технический результат.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют в известных источниках информации, что указывает на соответствие заявленного изобретения условию патентоспособности «новизна».
Результаты поиска известных решений в данной и смежных областях с целью выявления признаков, совпадающих с отличительными от ближайшего аналога признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники, что указывает на соответствие заявленного изобретения условию «изобретательский уровень».
Возможность реализации заявленного способа объясняется следующим образом. Известно, что сложность задачи разложения целого числа на два больших простых множителя зависит от длины последних, поэтому при появлении новых методов разложения увеличивают длину его простых множителей. Открытый ключ формируют в виде составного числа n=pq в зависимости от секретных простых чисел n и q, выбираемых такими, чтобы число q - 1 делилось на простое число ε и не делилось на простое число λ, а число p - 1 делилось на простое число λ и не делилось на простое число ε. Причем числа ε и λ выбирают длиной примерно равной 80-256 бит, что предотвращает возможность угадывания или подбора их значений. Выбирая в качестве α некоторое число, относящееся по модулю n к показателю γ=ελ, мы можем воспользоваться следующими выражениями для формирования первого и второго проверочных МДЧ A и B, соответственно: A=F(αk mod n) и B=F(αRSH mod n), где F есть некоторая сжимающая функция, вычисляемая путем выполнения сжимающего преобразования числа, являющегося ее аргументом, а элемент подписи R вычисляется по предварительно выбираемому случайному числу k по формуле R=F(αk mod n). Например, в качестве сжимающей функции можно использовать операцию взятия остатка от деления на МДЧ δ, имеющее заданную длину и определяющее размер значения функции F. В качестве сжимающей функции можно также использовать хэш-функции, описанные, например, в книге [Молдовян А.А., Молдовян Н.А. Введение в криптосистемы с открытым ключом. - СПб. БХВ-Петербург, 2005. - 286 с.; см. с.184-204].
С учетом выбора числа α равенство A=B выполняется, когда выполняется сравнение k=RSH mod γ, откуда получаем формулу для вычисления подписи:
Figure 00000001
Владелец секретного числа γ может легко вычислить правильное значение элемента подписи S, которое будет зависеть от предварительно сформированного значения R и значения H. При этом разрядность элемента подписи S не будет превышать разрядности секретного числа γ, так как число S вычисляется по модулю γ. Сформированная таким образом подпись (R, S) будет удовлетворять процедуре проверки подлинности ЭЦП. Стойкость ЭЦП определяется сложностью разложения модуля n на множители и сложностью логарифмирования по модулю n при основании α. Поскольку число α относится к достаточно большому показателю γ, то сложность логарифмирования не ниже сложности разложения n на множители. Эта задача при разрядности n равной 1024 бит и более являются практически не реализуемой. При появлении новых методов дискретного логарифмирования или новых методов разложения числа n на множители разрядность и может быть выбрана равной 2048 бит и более при сохранении разрядности значения сжимающей функции и разрядности секретного числа γ. Разрядность сжимающей функции равная 80-256 бит делает пренебрежимой вероятность нахождения правильного значения подписи без использования секретного ключа. Разрядность сжимающей функции определяет разрядность элемента подписи R. Поскольку γ=ελ, то разрядность γ равна примерно сумме разрядности ε и разрядности λ, что составляет 160-512 бит. С учетом этого замечания получаем, что размер подписи (R, S) составляет от 240 до 768 бит. При этом в заявляемом способе формирования и проверки подлинности подписи имеется механизм, обеспечивающий сохранность размера подписи при увеличении размера чисел, задающих сложность задачи разложения на множители или дискретного логарифмирования. Сжимающую функцию F(W) можно определить через операцию взятия остатка от деления на некоторое простое число δ, имеющее требуемую разрядность: F(W)=W mod δ, где δ≠ε, δ≠λ и разрядность числа δ равна от 80 до 256 бит.
Рассмотрим примеры реализации заявленного технического решения с искусственно уменьшенной разрядностью используемых чисел.
Пример 1. Реализации заявляемого способа с иллюстрацией конкретных численных значений.
Приводимые в примере МДЧ записаны для краткости в виде десятичных чисел, которые в вычислительных устройствах представляются и преобразуются в двоичном виде, т.е. в виде последовательности сигналов высокого и низкого потенциала. При проверке подлинности ЭЦП выполняют следующую последовательность действий.
1. Формируют секретный ключ в виде тройки чисел (р, q, γ), где
МДЧ γ=ελ, где λ=1721, ε=48463 и γ=83404823;
МДЧ p=572λ+1=984413 и МДЧ q=12ε+1=581557.
2. Формируют открытый ключ в виде пары чисел (n, α), где
МДЧ n=pq=572492271041;
МДЧ α=286266028236.
3. Принимают открытый ключ подписывающего (n, α), рассылаемый, например, удостоверяющим центром по телекоммуникационным сетям.
4. Принимают ЭД, представленный, например, следующим МДЧ H (в качестве которого может быть взята, в частности, хэш-функция от ЭД):
H=37975637.
5. Формируют ЭЦП Q в виде пары чисел (R, S), для чего выполняют следующие действия:
5.1. Задают случайное число k=4757231.
5.2. Формируют элемент подписи R путем выполнения операций, задаваемых формулой R=(αk mod n) mod δ, где δ=84713:
S=77530.
5.3. Формируют элемент подписи S путем выполнения операций, задаваемых формулой
Figure 00000002
:
S=1371543.
6. Формируют первое проверочное МДЧ A в зависимости от ЭЦП: A=R=77530.
7. Генерируют промежуточное МДЧ W в зависимости от H в соответствии с формулой W=αU mod n, где U=RSH=4038167036659489230:
W=179477867971.
8. Формируют второе проверочное МДЧ В путем сжимающего преобразования промежуточного МДЧ W, причем в качестве сжимающего преобразования используют операцию взятия остатка от деления на число δ=84713:
B=W mod δ=179477867971 mod 84713=77530.
9. Сравнивают (например, поразрядно) параметры первого и второго проверочных МДЧ A и B. Сравнение показывает, что параметры МДЧ A и B совпадают, что указывает на подлинность ЭЦП, т.е. принятая ЭЦП относится к принятому ЭД, представленному МДЧ H, и сформирована подписывающим, которому соответствует принятый открытый ключ (n, α, β).
Рассмотренные в примере реализации заявленного способа действия обеспечивают корректность работы заявляемого способа, поскольку в общем случае для произвольной длины чисел n, α, p, q, γ, H, R и S, сформированных в соответствии с заявляемым способом. Это доказывается теоретически следующим образом:
Figure 00000003
Правильное значение ЭЦП можно вычислить только при знании секретного МДЧ γ. В тоже время проверка правильности подписи осуществляется с использованием открытого ключа (n, α). Для несанкционированного формирования ЭЦП необходимо разложить число n на множители p и q, затем разложить числа p - 1 и q - 1 и найти значение γ. Однако при большой разрядности числа n эта задача вычислительно нереализуема. При появлении новых методов решения задачи разложения можно увеличить длину чисел p и q, а следовательно увеличить и длину числа n, сохраняя прежний размер числа γ и прежнюю сжимающую функции. Это обеспечит сохранение размера подписи при задании требуемого значения сложности задачи разложения числа n на множители. При этом увеличение размера числа n также приведет и к увеличению сложности задачи дискретного логарифмирования, связанную с попытками вычисления значения k по значению R и последующего определения секретного значения γ как одного из делителей числа RSH - k.
В приводимых ниже дополнительных примерах реализации заявляемого способа не указывается конкретное значение численных значений. Корректность работы способа доказывается математическим способом для произвольных значений параметров, выбранных в соответствии с описанием изобретения и конкретизацией вариантов реализации в отдельных примерах.
Пример 2. Реализация заявляемого способа для выработки ЭЦП длиной 240 бит.
В качестве γ и δ используются числа длиной 160 бит и 80 бит, соответственно, благодаря чему размер подписи сокращается до длины 240 бит при сохранении высокой криптостойкости. В данном примере выполняется следующая последовательность действий.
1. Формируют секретный ключ в виде тройки чисел (p, q, γ), где МДЧ γ=ελ, ε делит нацело число q - 1 и λ делит число p - 1, МДЧ p и q есть простые числа. Длина чисел ε и λ выбирается равной 80 бит, что задает длину числа γ, равной примерно 160 бит.
2. Формируют открытый ключ в виде пары чисел (n, α), где МДЧ n=pq и α есть число, относящееся к показателю γ по модулю n.
3. Принимают открытый ключ подписывающего (n, α), рассылаемый, например, удостоверяющим центром по телекоммуникационным сетям.
4. Принимают ЭД, представленный, например, следующим МДЧ H (в качестве которого может быть взята, в частности, хэш-функция от ЭД).
5. Формируют ЭЦП в виде двух чисел R и S, для чего выполняют следующие действия:
5.1. Задают случайное число k.
5.2. Формируют элемент подписи R путем выполнения операций, задаваемых формулой R=F(HαkH mod n)=(HαkH mod n) mod δ, где δ - дополнительное простое число длиной 80 бит. Поскольку последняя формула задает вычисления по модулю длины 80 бит, то значение R также имеет длину 80.
5.3. Формируют элемент подписи S путем выполнения операций, задаваемых формулой
Figure 00000004
. Эта формула задает вычисления по модулю длины 160 бит, поэтому значение S также имеет длину 160 бит, а ЭЦП - длину 240 бит.
6. Формируют первое проверочное МДЧ A в зависимости от ЭЦП: A=R.
7. Генерируют промежуточное МДЧ W в соответствии с формулой W=αU mod n, где U=RSH.
8. Преобразуют промежуточное МДЧ W в соответствии с формулой W←HW mod n, где знак ← обозначает операцию присваивания. В результате этого преобразования получаем: W=HαRSH mod n.
9. Формируют второе проверочное МДЧ В путем сжимающего преобразования промежуточного МДЧ W, используя в качестве сжимающего преобразования операцию взятия остатка от деления на простое число δ:
B=W mod δ=(HαU mod n)mod δ=(HαRSH mod n)mod δ.
10. Сравнивают (например, поразрядно) параметры первого и второго проверочных чисел A и B.
Совпадение значений A и B означает, что ЭЦП является подлиной, т.е. она относится к принятому ЭД, представленному МДЧ H, и сформирована подписывающим, которому соответствует принятый открытый ключ (n, α).
Это доказывается теоретически следующим образом. Мы имеем B=(HαHRS mod n)mod δ. Поскольку α есть число, относящееся к показателю γ по модулю n, то:
Figure 00000005
Пример 3. Реализация заявляемого способа для выработки ЭЦП длиной 320 бит.
В данном примере в качестве γ и δ используются числа длиной 160 бит, благодаря чему размер подписи равен 320 бит при сохранении высокой криптостойкости. В данном примере выполняется следующая последовательность действий.
1. Формируют секретный ключ в виде тройки чисел (р, q, γ), где длина числа γ выбирается равной 160 бит.
2. Формируют открытый ключ в виде пары чисел (n, α), где МДЧ n=pq и α есть число, относящееся к показателю γ по модулю n.
3. Принимают открытый ключ подписывающего (n, α), рассылаемый, например, удостоверяющим центром по телекоммуникационным сетям.
4. Принимают ЭД, представленный, например, следующим МДЧ H (в качестве которого может быть взята, в частности, хэш-функция от ЭД).
5. Формируют ЭЦП в виде двух чисел R и S, для чего выполняют следующие действия:
5.1. Задают случайное число k.
5.2. Задают первое дополнительное МДЧ δ длиной 160 бит.
5.3. Вычисляют второе дополнительное МДЧ G по формуле
G=F(Hαk mod n)=(Hαk mod n)mod δ.
Формула для формирования G задает вычисления по модулю длины 160 бит, поэтому значение G имеет длину 160 бит.
5.4. Формируют ЭЦП в виде следующих двух чисел:
Figure 00000006
и R=S+G. Формула для формирования S задает вычисления по модулю длины 160 бит, поэтому значение S имеет длину 160 бит. Элемент подписи R имеет также длину примерно 160 бит, поскольку он является суммой двух чисел длины 160 бит. Длина ЭЦП равна сумме длин ее элементов R и S, т.е. ЭЦП имеет длину 320 бит.
6. Формируют первое проверочное МДЧ A в зависимости от ЭЦП:
A=R-S.
7. Генерируют промежуточное МДЧ W в соответствии с формулой W=αU mod n, где U=RSH.
8. Преобразуют промежуточное МДЧ W в соответствии с формулой W←HW mod n, где знак ← обозначает операцию присваивания. В результате этого преобразования получаем: W=HαRSH mod n.
9. Формируют второе проверочное МДЧ B:
B=F(W)=W mod δ=(HαU mod n)mod δ=(HαRSH mod n)mod δ.
10. Сравнивают (например, поразрядно) параметры первого и второго проверочных чисел A и B.
Совпадение значений A и B означает, что ЭЦП является подлинной, т.е. она относится к принятому ЭД, представленному МДЧ H, и сформирована подписывающим, которому соответствует принятый открытый ключ (n, α). Это доказывается теоретически следующим образом. Мы имеем В=(HαRSH mod n)mod δ. Вычислим значение
Figure 00000007
. Далее имеем:
Figure 00000008
Поскольку A=R-S=(G+S)-S=G, то A=B.
Пример 4. Реализация заявляемого способа для выработки ЭЦП длиной 400 бит.
В данном примере качестве γ и δ используются числа длиной 160 бит и 80 бит, соответственно, и выполняется следующая последовательность действий.
1. Формируют секретный ключ в виде тройки чисел (р, q, γ). Длина числа γ выбирается равной 160 бит.
2. Формируют открытый ключ в виде тройки чисел (n, α), где МДЧ n=pq и α есть число, относящееся к показателю γ по модулю n.
3. Принимают открытый ключ подписывающего (n, α), рассылаемый, например, удостоверяющим центром по телекоммуникационным сетям.
4. Принимают ЭД, представленный, например, следующим МДЧ H (в качестве которого может быть взята, в частности, хэш-функция от ЭД).
5. Формируют ЭЦП в виде двух чисел R и S, для чего выполняют следующие действия:
5.1. Задают случайное число k.
5.2. Задают первое дополнительное МДЧ δ длиной 80 бит.
5.3. Вычисляют второе дополнительное МДЧ G по формуле
Figure 00000009
Формула для формирования G задает вычисления по модулю длины 80 бит, поэтому значение G имеет длину 80 бит.
5.4. Формируют ЭЦП в виде следующих двух чисел:
Figure 00000010
и R=S·G. Формула для формирования S задает вычисления по модулю длины 160 бит, поэтому значение S имеет длину 160 бит. Элемент подписи R имеет длину примерно 240 бит, поскольку он является произведением чисел длины 160 бит и 80 бит. Длина ЭЦП равна сумме длин ее элементов R и S, т.е. ЭЦП имеет длину 400 бит.
6. Формируют первое проверочное МДЧ A в зависимости от ЭЦП:
Figure 00000011
7. Генерируют промежуточное МДЧ W в соответствии с формулой W=αU mod n, где U=RSH.
8. Преобразуют промежуточное МДЧ W в соответствии с формулой W←HW mod n, где знак ← обозначает операцию присваивания. В результате этого преобразования получаем: W=HαRSH mod n.
9. Формируют второе проверочное МДЧ B:
B=F(W)=W mod δ=(HαU mod n)mod δ=(HαRSH mod n)mod δ.
10. Сравнивают (например, поразрядно) параметры первого и второго проверочных чисел A и B.
Совпадение значений A и B означает, что ЭЦП является подлинной, т.е. ЭЦП относится к принятому ЭД, представленному МДЧ H, и была сформирована подписывающим, которому соответствует принятый открытый ключ (n, α). Это доказывается теоретически следующим образом. Для ЭЦП, сформированной по секретному ключу, мы имеем:
Figure 00000012
Figure 00000013
Поскольку
Figure 00000014
, то A=B.
Пример 5. Реализация заявляемого способа для выработки ЭЦП длиной 240 бит.
В данном примере качестве γ и β используются числа длиной 160 бит и 80 бит, соответственно. Этот пример отличается от приведенных выше тем, что после формирования открытого ключа генерируют первое вспомогательное случайное МДЧ x и второе вспомогательное МДЧ y, которое зависит от х по формуле y=αx mod n. В данном примере выполняется следующая последовательность действий.
1. Формируют секретный ключ в виде тройки чисел (р, q, γ), где длина числа γ выбирается равной 160 бит.
2. Формируют открытый ключ в виде пары чисел (n, α).
3. Генерируют первое вспомогательное случайное МДЧ x.
4. Генерируют второе вспомогательное МДЧ y=αx mod n.
5. Принимают открытый ключ подписывающего (n, α) и второе вспомогательное МДЧ y, рассылаемые, например, удостоверяющим центром по телекоммуникационным сетям.
6. Принимают ЭД, представленный, например, следующим МДЧ H (в качестве которого может быть взята, в частности, хэш-функция от ЭД).
7. Формируют ЭЦП в виде двух чисел R и S, для чего выполняют следующие действия:
7.1. Задают случайное число k.
7.2. Задают первое дополнительное МДЧ δ длиной 80 бит.
7.3. Вычисляют второе дополнительное МДЧ G по формуле
Figure 00000015
Формула для формирования G задает вычисления по модулю длины 80 бит, поэтому значение G имеет длину 80 бит.
7.4. Формируют ЭЦП в виде следующих двух чисел:
R=G и
Figure 00000016
Формула для формирования S задает вычисления по модулю длины 160 бит, поэтому значение S имеет длину 160 бит. Элемент подписи R имеет длину 80 бит, поскольку МДЧ G имеет длину 80 бит. Длина ЭЦП равна сумме длин ее элементов R и S, т.е. ЭЦП имеет длину 240 бит.
8. Формируют первое проверочное МДЧ A в зависимости от ЭЦП:
A=R.
9. Генерируют промежуточное МДЧ W в соответствии с формулой W=αU mod n, где U=RH.
10. Преобразуют промежуточное МДЧ W в соответствии с формулой W←HWyS mod n, где знак ← обозначает операцию присваивания. В результате этого преобразования получаем: W=HαRHyS mod n.
11. Формируют второе проверочное МДЧ B:
B=F(W)=W mod δ=(HαRHyS mod n)mod δ.
12. Сравнивают (например, поразрядно) параметры первого и второго проверочных чисел A и B.
Совпадение значений A и B означает, что ЭЦП является подлинной, т.е. относящейся к принятому ЭД, представленному МДЧ H, и сформирована подписывающим, которому соответствует принятый открытый ключ. Это доказывается теоретически следующим образом. Мы имеем:
Figure 00000017
Поскольку A=G, то A=B.
Пример 6. Реализация заявляемого способа для выработки ЭЦП длиной 400 бит.
В данном примере качестве γ и δ используются числа длиной 160 бит и 80 бит, соответственно. Этот пример (также как и пример 5) раскрывает реализацию заявляемого способа в соответствии с п.8 формулы изобретения, согласно которому после формирования открытого ключа генерируют первое вспомогательное случайное МДЧ x и второе вспомогательное МДЧ y, которое зависит от x по формуле y=αx mod n. В примере 6 выполняется следующая последовательность действий.
1. Формируют секретный ключ в виде тройки чисел (p, q, γ), где длина числа γ выбирается равной 160 бит.
2. Формируют открытый ключ в виде пары чисел (n, α).
3. Генерируют первое вспомогательное случайное МДЧ x.
4. Генерируют второе вспомогательное МДЧ y=αx mod n.
5. Принимают открытый ключ подписывающего (n, α) и второе вспомогательное МДЧ y, рассылаемые, например, удостоверяющим центром по телекоммуникационным сетям.
6. Принимают ЭД, представленный, например, следующим МДЧ H (в качестве которого может быть взята, в частности, хэш-функция от ЭД).
7. Формируют ЭЦП в виде двух чисел R и S, для чего выполняют следующие действия:
7.1. Задают случайное число k.
7.2. Задают первое дополнительное МДЧ δ длиной 80 бит.
7.3. Вычисляют второе дополнительное МДЧ G по формуле
Figure 00000018
Формула для формирования G задает вычисления по модулю длины 80 бит, поэтому значение G имеет длину 80 бит.
7.4. Формируют ЭЦП в виде следующих двух чисел:
Figure 00000019
и R=GS.
Формула для формирования S задает вычисления по модулю длины 160 бит, поэтому значение S имеет длину 160 бит. Элемент подписи R имеет длину примерно 240 бит, поскольку он является произведением чисел длины 160 бит и 80 бит. Длина ЭЦП равна сумме длин ее элементов R и S, т.е. ЭЦП имеет длину 400 бит.
8. Формируют первое проверочное МДЧ A в зависимости от ЭЦП:
Figure 00000020
9. Генерируют промежуточное МДЧ W в соответствии с формулой W=αU mod n, где U=SH.
10. Преобразуют промежуточное МДЧ W в соответствии с формулой W←WyR mod n, где знак ← обозначает операцию присваивания. В результате этого преобразования получаем: W=αSHyR mod n.
11. Путем сжимающего преобразования промежуточного МДЧ W формируют второе проверочное МДЧ B:
B=F(W)=W mod δ=(αSHyR mod n)mod δ.
12. Сравнивают (например, поразрядно) параметры первого и второго проверочных чисел A и B.
Совпадение значений A и B означает, что ЭЦП является подлиной, т.е. относится к принятому ЭД, представленному МДЧ H, и сформирована подписывающим, которому соответствует принятый открытый ключ. Это доказывается теоретически следующим образом. Для ЭЦП, сформированной с использованием правильного значения секретного ключа, мы имеем:
Figure 00000021
Поскольку A=С, то A=B.
Таким образом, показано, что заявляемый способ может быть положен в основу стойких систем ЭЦП, обеспечивающих уменьшение размера подписи по сравнению с известными решениями и сохранение размера подписи при появлении новых более эффективных алгоритмов решения задачи разложения чисел на множители и задачи дискретного логарифмирования, т.е. низкую вероятность несанкционированного формирования ЭЦП («ложного» подтверждения подлинности ЭЦП).
Приведенный пример и математическое обоснование показывают, что предлагаемый способ формирования и проверки подлинности электронной цифровой подписи работает корректно, технически реализуем и позволяет решить поставленную задачу.
Приложение 1
Толкование терминов, используемых в описании заявки
1. Двоичный цифровой электромагнитный сигнал - последовательность битов в виде нулей и единиц.
2. Параметры двоичного цифрового электромагнитного сигнала: разрядность и порядок следования единичных и нулевых битов.
3. Разрядность двоичного цифрового электромагнитного сигнала - общее число его единичных и нулевых битов, например, число 10011 является 5-разрядным.
4. Электронная цифровая подпись (ЭЦП) - двоичный цифровой электромагнитный сигнал, параметры которого зависят от подписанного электронного документа и от секретного ключа. Проверка подлинности ЭЦП осуществляют с помощью открытого ключа, который зависит от секретного ключа.
5. Электронный документ (ЭД) - двоичный цифровой электромагнитный сигнал, параметры которого зависят от исходного документа и способа его преобразования к электронному виду.
6. Секретный ключ - двоичный цифровой электромагнитный сигнал, используемый для формирования подписи к заданному электронному документу. Секретный ключ представляется, например, в двоичном виде как последовательность цифр «0» и «1».
7. Открытый ключ - двоичный цифровой электромагнитный сигнал, параметры которого зависят от секретного ключа и который предназначен для проверки подлинности цифровой электронной подписи.
8. Хэш-функция от электронного документа - двоичный цифровой электромагнитный сигнал, параметры которого зависят от электронного документа и выбранного метода ее вычисления.
9. Многоразрядное двоичное число - двоичный цифровой электромагнитный сигнал, интерпретируемый как двоичное число и представляемый в виде последовательности цифр «0» и «1».
10. Операция возведения числа S в дискретную степень A по модулю n - это операция, выполняемая над конечным множеством натуральных чисел {0, 1, 2, ..., n-1}, включающем n чисел, являющихся остатками от деления всевозможных целых чисел на число n; результат выполнения операций сложения, вычитания и умножения по модулю n представляет собой число из этого же множества [Виноградов И.М. Основы теории чисел. - М.: Наука, 1972. - 167 с.]; операция возведения числа S в дискретную степень Z по модулю n определяется как Z-кратное последовательное умножение по модулю n числа S на себя, т.е. в результате этой операции также получается число W, которое меньше или равно числу n-1; даже для очень больших чисел S, Z и n существуют эффективные алгоритмы выполнения операции возведения в дискретную степень по модулю [см. Молдовян А.А., Молдовян Н.А., Гуц Н.Д., Изотов Б.В. Криптография: скоростные шифры. - СПб, БХВ-Петербург, 2002. - с.58-61 или Б.Шнайер. Прикладная криптография. - М., изд-во «Триумф», 2002. - с.278-280] и электронные устройства, осуществляющие эту операцию с большой скоростью [У.Диффи. Первые десять лет криптографии с открытым ключом // ТИИЭР. 1988. т.76. №5. с.67-68]; выполнение операции возведения числа S в дискретную степень Z по модулю n обозначается как W=SZ mod n, где W - число, являющееся результатом выполнения данной операции.
11. Функция Эйлера от натурального числа n - это число чисел, являющихся взаимно простыми с n и не превосходящими n [Виноградов И.М. Основы теории чисел. - М.: Наука, 1972. - 167 с.; Бухштаб А.А. Теория чисел. - М.: Просвещение, 1966. - 384 с].
12. Показатель q по модулю n числа a, являющегося взаимно простым с n - это минимальное из чисел γ, для которых выполняется условие αγ mod n=1, т.е. q=min {γ1, γ2, ...} [Виноградов И.М. Основы теории чисел. - М.: Наука, 1972. - 167 с.].
13. Первообразный корень - это число относящееся к показателю, который равен функции Эйлера от модуля.
14. Обратный элемент по модулю n к числу α, являющемуся взаимно простым с n, есть натуральное число, обозначаемое как α-1, для которого выполняется условие α-1α=1; для любого числа, являющегося взаимно простым с модулем, существует элемент, обратный этому числу. Известны эффективные алгоритмы вычисления обратных элементов [Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М., Радио и связь. - с.308 - 310].
15. Операция деления целого числа А на целое число В по модулю n выполняется как операция умножения по модулю n числа А на целое число В-1, которое является обратным к В по модулю n.

Claims (10)

1. Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ, заключающийся в том, что формируют секретный ключ, включающий три многоразрядных двоичных числа р, q и γ, где р, q простые числа и γ составное число, формируют открытый ключ, включающий два многоразрядных двоичных числа n и α, где α число, относящееся к показателю γ по модулю n и n=pq, принимают электронный документ, представленный многоразрядным двоичным числом Н, в зависимости от значения Н и значения секретного ключа формируют электронную цифровую подпись Q, формируют первое и второе проверочные многоразрядные двоичные числа А и В, сравнивают их и при совпадении их параметров делают вывод о подлинности электронной цифровой подписи, отличающийся тем, что электронную цифровую подпись Q формируют в виде двух многоразрядных двоичных чисел R и S, то есть Q=(R,S), формируют первое проверочное многоразрядное двоичное число А в зависимости от электронной цифровой подписи, генерируют промежуточное многоразрядное двоичное число W в зависимости от значения многоразрядных двоичных чисел R, S, Н, n и α и формируют второе проверочное многоразрядное двоичное число В путем сжимающего преобразования промежуточного многоразрядного двоичного числа W.
2. Способ по п.1, отличающийся тем, что первое проверочное многоразрядное двоичное число А формируют путем вычитания значения из значения R.
3. Способ по п.1, отличающийся тем, что первое проверочное многоразрядное двоичное число А формируют путем деления значения R на значение S.
4. Способ по п.1, отличающийся тем, что первое проверочное многоразрядное двоичное число А формируют путем перемножения значений S и R.
5. Способ по п.1, отличающийся тем, что первое проверочное многоразрядное двоичное число А формируют путем сложения значений S и R.
6. Способ по п.1, отличающийся тем, что промежуточное многоразрядное двоичное число W генерируют путем выполнения операции возведения числа α в степень U по модулю n, где U - многоразрядное двоичное число, которое вычисляют по формуле U=RS или по формуле U=RSH.
7. Способ по п.1, отличающийся тем, что промежуточное многоразрядное двоичное число W генерируют путем выполнения операции возведения числа α в степень U по модулю n, где U - многоразрядное двоичное число, которое вычисляют по формуле U=RS или по формуле U=RSH, после чего полученное промежуточное многоразрядное двоичное число W дополнительно преобразуют по формуле W←WH mod n или по формуле W←(W+H)mod n, где знак ← обозначает операцию присваивания.
8. Способ по п.1, отличающийся тем, что промежуточное многоразрядное двоичное число W генерируют путем выполнения операции возведения числа α в степень U по модулю n, где U - многоразрядное двоичное число, которое вычисляют по формуле U=RS или по формуле U=RSH, после чего дополнительно преобразуют полученное промежуточное многоразрядное двоичное число W по формуле W←WyS mod n или по формуле W←WyRH mod n, где знак ← обозначает операцию присваивания, y=αx mod n и х - дополнительное случайное многоразрядное двоичное число.
9. Способ по п.1, отличающийся тем, что сжимающее преобразование промежуточного многоразрядного двоичного числа W выполняют с помощью хэш-функции.
10. Способ по п.1, отличающийся тем, что сжимающее преобразование промежуточного многоразрядного двоичного числа W выполняют с помощью операции взятия остатка от деления промежуточного многоразрядного двоичного числа W на простое число δ, длина которого лежит в пределах от 64 до 256 бит.
RU2006138751/09A 2006-11-02 2006-11-02 Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ RU2325767C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2006138751/09A RU2325767C1 (ru) 2006-11-02 2006-11-02 Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2006138751/09A RU2325767C1 (ru) 2006-11-02 2006-11-02 Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ

Publications (1)

Publication Number Publication Date
RU2325767C1 true RU2325767C1 (ru) 2008-05-27

Family

ID=39586725

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2006138751/09A RU2325767C1 (ru) 2006-11-02 2006-11-02 Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ

Country Status (1)

Country Link
RU (1) RU2325767C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2699830C2 (ru) * 2017-09-21 2019-09-11 Общество с ограниченной ответственностью "СМ" Способ электронной подписи

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2699830C2 (ru) * 2017-09-21 2019-09-11 Общество с ограниченной ответственностью "СМ" Способ электронной подписи

Similar Documents

Publication Publication Date Title
CA2329590C (en) Method of public key generation
KR101040588B1 (ko) 익명성을 제공하는 효율적인 신원기반 환서명 방법과 그 시스템
Sander Efficient accumulators without trapdoor extended abstract
KR101089121B1 (ko) 빠른 집합 검증 방법 및 그 장치
JP4137385B2 (ja) 公開鍵および秘密鍵による暗号化方法
CN110311776B (zh) 范围证明方法、装置、计算机设备和存储介质
CN107911217B (zh) 基于ecdsa算法协同生成签名的方法、装置和数据处理系统
CN112187469B (zh) 一种基于密钥因子的sm2多方协同数字签名方法和系统
US20080320557A1 (en) Batch verification device, program and batch verification method
Chande et al. An improvement of a elliptic curve digital signature algorithm
US20080002825A1 (en) Method and a system for a quick verification rabin signature scheme
KR102070061B1 (ko) 묶음 검증 방법 및 장치
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
RU2325767C1 (ru) Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
RU2325768C1 (ru) Способ генерации и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
Hieu et al. New blind signature protocols based on a new hard problem.
RU2409903C2 (ru) Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
JP2005513564A (ja) 負荷を複数のエンティティおよびそのデバイスに分散させるための暗号法
RU2280896C1 (ru) Способ проверки подлинности электронной цифровой подписи, заверяющей электронный документ
Tripathi et al. An efficient digital signature scheme by using integer factorization and discrete logaríthm problem
US9252941B2 (en) Enhanced digital signatures algorithm method and system utilitzing a secret generator
RU2412548C1 (ru) Способ формирования общего секретного ключа двух удаленных абонентов телекоммуникационной системы
RU2356172C1 (ru) Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
RU2809528C2 (ru) Постквантовый способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ
RU2369974C1 (ru) Способ формирования и проверки подлинности электронной цифровой подписи, заверяющей электронный документ

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20081103