SE515778C2 - Metod för nyckeldistribution med inbyggd möjlighet till autenticering och certifiering i ett hierarktiskt träd - Google Patents

Metod för nyckeldistribution med inbyggd möjlighet till autenticering och certifiering i ett hierarktiskt träd

Info

Publication number
SE515778C2
SE515778C2 SE9901358A SE9901358A SE515778C2 SE 515778 C2 SE515778 C2 SE 515778C2 SE 9901358 A SE9901358 A SE 9901358A SE 9901358 A SE9901358 A SE 9901358A SE 515778 C2 SE515778 C2 SE 515778C2
Authority
SE
Sweden
Prior art keywords
administrator
administrators
secret
subordinate
actors
Prior art date
Application number
SE9901358A
Other languages
English (en)
Other versions
SE9901358L (sv
SE9901358D0 (sv
Inventor
Alf Bengtsson
Original Assignee
Totalfoersvarets Forskningsins
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Totalfoersvarets Forskningsins filed Critical Totalfoersvarets Forskningsins
Priority to SE9901358A priority Critical patent/SE515778C2/sv
Publication of SE9901358D0 publication Critical patent/SE9901358D0/sv
Priority to PCT/SE2000/000721 priority patent/WO2000064098A1/en
Publication of SE9901358L publication Critical patent/SE9901358L/sv
Publication of SE515778C2 publication Critical patent/SE515778C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Description

20 25 30 35 (fl så (31 ~l§ i -4 (ß 2 Det sätt som står till buds när det gäller att säkert knyta en öppen nyckel till rätt identitet är i princip detsamma som vi använder i det dagliga livet, vi styrker varand- ras uppgifter (kreditivbrev, lD-handling, certifikat,..) och kombinerar dessa i en kedja av tilltro (chain of trust). l den digitala världen används beteckningen certifikat för ett sådant meddelande som bl a skall knyta en nyckel till en identitet. En vedertagen standard för innehåll och utseende i certifikat är X.509, se [1].
Om de båda parterna X och Y har en gemensam vän, V, som båda litar på och vars öppna verifikationsnyckel g de båda på ett säkert sätt fått kännedom om, kan V fungera som gemensam ”certifikatutfärdare” (CA, Certfication Authority). V kan träffa X (helst öga mot öga för att vara säker på att det verkligen är X) och till X överlämna certifikatet certX som i princip lyder ”Jag V försäkrar att jag ååmmdd mötte X som då för mig visade upp š +plusX.509+". V överlämnar också sign(certX, g ), där sign(certX, g ) står för V:s digitala signatur och +plusX.509+ står för de ytterligare uppgifter som enligt X.509 skall finnas i certifikatet, tex uppgift om hur länge certifikatet är giltigt. Motsvarande för certY. När sedan X och Y träffas kan de utväxla certifikat med tillhörande signaturer och båda kan verifiera att de är autentiska. Därmed får de en pålitlig hopknytning av motpartens identitet med hans öppna nyckel. Den baseras på att de båda har tilltro till V, en gemensam CA (jfr också beträffande radionät nedan).
Mer komplicerat blir det om X och Y inte har den gemensamma vännen V. Ansat- sen blir då att olika CA utfärdar certifikat åt varandra, de certifierar varandras nyck- lar. Om CA för X heter CAX gäller det för Y att kunna presentera för X en certifikat- kedja där CAX styrker CA1, som styrker CA2, som styrker, , som styrker CAY som styrker Y. X måste för Y presentera en kedja som går åt andra hållet. Om man inte förutsätter att olika CA har någon speciell relation till varandra (PGP-modellen, se [1]) blir det, åtminstone i system med många aktörer, svårt att bilda kedjorna. Man måste hitta gemensamma ”bekantas bekanta” som kan knyta ihop delkedjor och bilda en sammanhållen kedja X-Y. Dessutom kan de resulterande kedjorna bli långa, vilketi hög grad minskar tilltron till dem.
Något mer hanterligt blir det om CA finns i en fader-son-relation, i en hierarki enligt figuren. Många system, inte minst militära, är hierarkiska. l figuren finns A2 som gemensam anfader till X och Y. A2 knyter ihop kedjorna A2 - A22 -A223 -X och A2 - A22 - Y. lllr» 10 15 20 25 30 35 UI -ø en w »a co I ett hierarkiskt system räcker det i princip att alla aktörer på ett säkert sätt fått veta stamfaderns identitet A och hans verifieringsnyckel g. Sedan kan alla aktörer knytas ihop med certifikatkedjor. Dock är hela systemet beroende av Ars signe- ringsnyckel g. Röjs denna rasar hela trädet.
Metoden att med hjälp av certifikat och certifikatkedjor säkert binda ihop en identitet med rätt öppen nyckel har varit känd länge. Likaså är problem kända som ger sig tillkänna när certifikatsystem skall implementeras i praktiken. 1. Öga-öga.
När två parter skall styrka varandras identiteter, utfärda certifikat åt varann, måste de i princip träffas ”öga mot öga”. Detta är inte lätt i större nät, speciellt inte om vissa aktörer inte är mänskliga varelser utan radioapparater, datorprogram etc. 2. Svart lista.
Ett certifikats giltighet baseras på att utfärdarens signeringsnyckel inte röjts. Förr eller senare inträffar detta (eller kanske att någon finner grund att misstänka att en nyckel röjts varvid tilltron till certifikatet minskar). Då måste nya certifikat skapas (problem 1 ovan) samt samtliga aktöreri nätet måste meddelas att certifikatet är ogiltigt. Alla måste hålla en aktuell svart lista med certifikat som inte får ingå i certifi- katkedjor. l stora nät är det mycket svårt att säkerställa att alla har aktuell svart lista.
Meddelandet ”addera certZ till svarta listan” äri sig självt ett mycket känsligt med- delande som måste kontrolleras extra noga. 3. Stora nät.
Problem 2 accentueras när de två parterna, X och Y, ligger långt från varandra i trädet, i helt olika grenar. När X och Y träffas första gången är tilltron till varandras certifikatkedjor relativt låg. Ett tänkbart sätt att höja tilltron är att X frågar sina ”närmsta vänner' om de innehar certifikatkedjor som stämmer med den Y presen- terar. Men detta är en ad hoc ansats som är svår att kvantifiera och som kan med- föra mycket meddelandetrafik. Grundproblemet är att det i stora nät kan vara svårt att bygga certifikatkedjor med tillräckligt mått av tilltro.
En speciell öppen-nyckel tillämpning beskrivs i ref. [2] Bengtsson, Alf, ”Autenticering av mobila noderi paketradionät”, FOA-R-97-00415-503-SE, Januari 1997, till vilken 10 15 20 25 30 35 (H v-Û (Vi ~4 -: CO 4 härmed hänvisas. Där diskuteras metoder för två radionoder, X och Y, i ett paket- radionät att autenticera varandra. Noden X måste vara absolut säker på att Y verk- ligen är Y och att datapaket med uppgiven avsändare Y verkligen kommer från Y och vice versa. l [2] föreslås en öppen-nyckel metod efter Diffie-Hellman som gör att X och Y och ingen annan kan bilda en gemensam hemlighet kxy som de sedan utnyttjar för ömsesidig autenticering. Bindningen av öppen-nyckel till rätt identitet förutsätts ske genom att nyckelparen Ä, š skapas i en gemensam nyckel- laddnings-central, NLC. Man har alltså den enklaste situationen ovan med NLC som den gemensamma vännen V.
I [2] nämns som en olöst fråga hur man skall göra när X och Y inte har samma NLC, dvs. de inte har gemensam CA. Den konventionella lösningen är att bygga certifi- katkedjor. Men dels nämns ovan en del kända problem, dels är det tveksamt om automatisk hantering av certifikatkedjor är lämplig att implementera i noder av typen radioapparater.
Dessa problem ledde fram till föreliggande uppfinning som innebär att X och Y kan bilda en gemensam hemlighet och att identiteter i en CA-hierarki kan ersätta certifi- katkedjoma och medföra en implicit certifiering av öppna nycklar. Detta sker genom att uppfinningen får den utformning som framgår av det efterföljande självständiga patentkravet. Lämpliga utföringsformer av uppfinningen framgår av övriga patent- krav.
Uppfinningen kommeri det följande att beskrivas närmare under hänvisning till bifogade ritning, där figuren visar ett hierarklskt träd med administratörer och slutliga aktörer som kan utnyttja uppfinningen.
Ett hierakiskt träd utgår från en rot, i figuren kallad A. Roten kan betraktas som hela systemets (trädets) huvudadministratör. Uppfinningen baseras på att roten väljer, och hemlighåller, en grundhemlighet som uppfyller specificerade villkor.
Huvudadministratören A väljer en eller flera nya aktörer som A bedömer uppfylla de krav som ställs för att de skall kunna tjäna som underadministratörer. A skapar utgående från sin grundhemlighet nya underhemligheter enligt en uppfinningsenlig, noga specificerad algoritm. Varje underadministratör får sig tilldelad, och skall sedan hemlighålla, en sådan underhemlighet. Varje underadministratör väljer enligt 10 15 20 25 30 5 samma principer sina underadministratörer. Via ett rekursivt förfarande byggs det hierarkiska trädet upp.
Uppfinningen bygger på att algoritmen är villkorad av olika krav som måste vara uppfyllda, så att inte en administratör kan räkna ut en hemlighet som tillhör någon annan, bortsett från dem som finns i den gren av trädet som utgår från administra- tören själv. Om en administratör röjs blir alltså enbart denna gren av trädet röjd.
Likaså finns det villkor som skall vara uppfyllda, så att inte en grupp av administra- töreri samverkan skall kunna räkna ut någon annans hemlighet.
De nämnda underhemlighetema skapas med hjälp av ett öppet primtal som enn/digt är knutet till administratörens plats i trädet. Detta primtal kan betraktas som en adress eller en identitet. En underhemlighet används på tre sätt: 1. För att skapa nya underhemligheteri nämnda rekursiva förfarande. 2. För att signera ett meddelande. I och med att adressen ingåri signeringen kan andra aktörer vara säkra på att meddelandet signerats av rätt instans (inbyggd certifiering). 3. För att skapa ett nyckelpar för ett öppen-nyckel-system enligt Diffie-Hellman som medför att ett par av aktörer kan skapa en gemensam hemlighet. I och med att alla hemligheter i trädet bygger på samma grundhemlighet kan aktörsparen veri- fiera att motpartens öppna nyckel är skapad av någon i samma träd, ett sätt att “skilja vän från fiende” (inbyggd autenticering av grupptillhörighet).
DH-metoden (efter Diffie-Hellman) för två parter att skapa en gemensam hemlighet är inte ny. Nytt är däremot att basera beräkningama på en grundhemlighet vilket ger en ny metod att autenticera grupptillhörighet. Likaså är det nytt att låta identi- teter ingå i beräkningama på ett sätt som innebär implicit certifiering.
Inför den fortsatta beskrivningen införs följande benämningar: Versaler A, X, etc. identiteter (namn, adresser) enkelt understrukna gemener _a_, gg , etc. hemfiga nYCk|af fÖf Å. X etc- dubbelt understrukna gemenerâ, š , etc. Öppna nY0k|af för A. X G10- gemener n, p etc. heltal (p och q betecknar primtal) genomstruken gemen a inverst heltal, aa mod n = 1 10 15 20 25 30 CA Certification Authority. En aktör som är betrodd att styrka, certifiera, identiteter och nycklar indexerad id A123 barn nr. 3 till förälder A12 Roten i trädet har identiteten A. Antalet indecis anger nivån i trädet.
Metoden innebär ett nytt sätt att utnyttja DH-metoden att bilda hemligheter för användning som kryptonycklar. DH-metoden beskrivs i det amerikanska patentet 4,200,770, till vilket härmed hänvisas som ref. [3].
DH-metoden bygger på att det finns envägsfunktioner z = f(g, x), dvs. även med kännedom om g och z är det praktiskt ogörligt att beräkna x (däremot kan den som känner g och x beräkna z). Dessutom kräver DH-metoden att funktionen f skall kunna appliceras i två steg med indata x resp y där man får samma resultat oberoende av ordningen på x och y. Man har alltså att z = f(f(g, x) ,y) = f(f(g, y), x), vilket i denna patentansökan kallas sekvensoberoende.
Två sådana funktioner som kan användas i DH-metoden är exponentialfunktionen i ändlig heltalsaritmetik samt multiplikation på elliptisk kurva. I dessa båda fall får man z = f(g, x) = g* modulo n, där n är ett heltal, respektive Z = f(G, x)= G x, där G (och Z) är punkter på en elliptisk kurva E och x ett heltal modulo n, där n är antalet punkter på E. För närmare beskrivning, bl a krav på talen x och n, hänvisas till ref. [1] och ref. [4], Menezes A., Elliptic Curve Public Key Cryptosystems, Kluwer Academic Publishers, 1993, till vilket härmed hänvisas.
Den här föreslagna metoden bygger på att det finns funktioner som är envägsfunk- tioner med avseende på båda sina variabler. Dvs. under vissa villkor gäller både att om man känner z där z = f (g, x) så ger inte kännedom om g möjlighet att beräkna x (enligt ovan) och inte heller ger kännedom om x möjlighet att beräkna g. Då utgör g en grundhemlighet som huvudadministratören kan välja och som ger möjlighet att autenticera grupptillhörighet. De två ovan nämnda funktionerna, exponentiering samt multiplikation på elliptisk kurva, kan båda användas.
I det följande ges, i anslutning till figuren, en noggrann beskrivning av en utförings- form av uppfinningen som utnyttjar exponentialfunktionen i ändlig heltalsaritmetik. 10 15 20 25 30 35 Huvudadministratören A väljer primtal enligt n = 2-p-q (A kan i och för sig välja en produkt av flera primtal). Produkten är till för att förhindra beräkning av invers, jfr avsnitten l och IV nedan. g är ettjämnt tal och har en faktor gemensam med n. I annat fall får två bam en möjlighet att i samarbete beräkna sin faders hemlighet, jfr IV. n görs känt för alla medan p, q och g hemlighålls.
Administratörerna i trädet tilldelas var sitt primtal som identitet (adress). A1 är alltså ett första primtal, A2 nästföljande primtal, A3 det dämäst etc. Hur man gör denna tilldelning är godtyckligt. Man kan exempelvis använda b'“ stycken primtal för nivå m i trädet, där b är det maximal antalet barn per förälder. Detta resulterari ”hål” i form av oanvända primtal. Om man i stället vill ”spara” primtal kan man använda b stycken primtal per nivå i trädet. Primtal kommer då att ”återanvändas” på flera ställen i trädet och risken ökar att administratöreri samverkan kan beräkna annans hemlighet (se nedan).
Huvudsaken med tilldelningen av identiteter är att den görs så att alla entydigt vet vilket primtal som tillhör en viss position i trädet. Om man i någon tillämpning inte behöver implicit certifiering bortfaller detta krav. Det största för adresser reserve- rade primtalet betecknas L.
A tilldelar sina närmast underordnade Aj var sin hemlighet h, genom att exponenti- era sin egen hemlighet modulo n med den underordnades identitet, d v s h, = g* mod n. De underordnade kan inte räkna ut g (jfr avsnitten I och IV nedan).
Detta upprepas rekursivt. A1 tilldelar t.ex. sina underordnade A1; hemligheter h” = (g^' f" mod n. De underordnade kan inte räkna ut g* .
Administratörerna i trädet kan beräkna alla hemligheteri hela sin underlydande gren av trädet. I och med att identiteterna är primtal kan en administratör inte själv beräkna en hemligheti någon annan gren. Om man dessutom kräver att inte två eller flera administratörer tillsammans skall kunna räkna ut en hemlighet måste man kräva att inga identiteter skall kunna skrivas som summan av två eller flera andra. I annat fall kan en hemlighet bildas genom multiplikation av två andra. Detta ställer 10 15 20 25 30 H1 :Å (fl w w GQ 8 krav på primtalen som inte utreds här. Det är t.ex. lämpligt att använda primtalen ”baklänges”, dvs att primtalen i nivå 1 är större än i nivå 2 osv.
De slutliga aktörema, X, Y etc., tilldelas ett nyckelpar av sin administratör, tex Y av A23 i figuren. Den hemliga nyckeln y skall vara >L för att inte Y skall kunna maske- ra sig som administratör. Den öppna nyckeln y beräknar administratören genom att exponentiera sin hemlighet med y modulo n, dvs. y = (g^=^” f' mod n.
Man kan också göra omvänt, låta y vara hemlig och y öppen. Då får man samma struktur som för administratörernas hemligheter och identiteter. Detta minskar fri- heten i val av nycklar. I gengäld kan man knyta även de slutliga aktörerna till posi- tion i trädet vilket gör att behovet av certifikat bortfaller.
De båda aktörerna X och Y bildar vid behov en gemensam hemlighet kx, Den beräknas genom att aktören tar sin motparts öppna nyckel och exponentierar den modulo n med produkten av sin egen hemliga nyckel och identiteterna för alla sina överordnade administratörer. X resp Y beräknar alltså km resp km , där ÅzÅnÅz-za- = (QMM) X mod n och kxyz = (9 ÅzÅuAmšyzÅnxmod n. Överens- k xy1 stämmelse k,.,1=k,,2=k,., gäller enbart (se dock avsnittet Vl nedan) om samma grundhemlighet g använts i beräkningarna. Detta är ett kriterium för autenticering av grupptillhörighet. Enbart X och Y och deras närmast överordnade administratörer kan beräkna kw De slutliga aktörerna (t ex X) tilldelas ett certifikat (kalla det c,.), utformat t.ex. enligt standarden X.509, av sin respektive administratör. I certifikatet anges bl.a. att den öppna nyckeln å tillhör aktören med identitet X och att den skapats av administra- tören med identitet A223 . Certlfikatet ges som indata till en allmänt känd hash- funktion (t.ex. MD5 eller enhetsfunktionen h(m)=m), utdata blir ett heltal tx.
Administratören beräknar en digital signatur s, genom att modulo n exponentiera sin egen hemlighet med tx, dvs. s, = (g AMA” )t' mod n _ Certlfikatet c, och den digitala signaturen s, tilldelas X. 10 15 20 25 30 35 9 En annan aktör (t ex Y) kan verifiera att ett certifikat är äkta och att det måste ha signerats av en administratör på en viss position i trädet. Därmed bortfaller behovet att bilda kedjor av certifikat där administratörerna mellan X och Y styrker varandras äkthet. Verifieringen sker enligt följande.
Y har från X fått ett certifikat c och en signatur s. I certifikatet skall bla. stå vilken administratör som beräknat s. Det är detta som Y vill verifiera. Han kan då multipli- cera ihop identiteterna fram till den position i trädet som påstår sig ha signerat certifikatet, med beteckningar enl ovan bildar han B = AzAzzAm. Han bildar mot- svarande produkt för sin egen position D = A2A23 . Vidare bildar han med hjälp av den allmänt kända hashfunktionen t = h(c).
Y kan nu utgående från sin egen öppna nyckel bilda ya' = (g Bly' = (g B' fr, allt räknat modulo n. Han kan också utifrån den mottagna signaturen bilda so! mod n .
Om han nu får samma värde kan han (se avsnittet VI nedan) dra slutsatsen att certifikatet signerats av identiteten Am och att innehållet är pålitligt.
Något av den matematik som utnyttjas vid denna utföringsform av uppfinningen anges i det följande utan kommentarer eller härledningar. I övrigt hänvisas till [1] och speciallitteratur.
I i-te roten är ”omöjlig” om n inte är primtal (t ex n =p q), den är lika svår som att bestämma faktorerna i n. Dvs även om jag känner n, b och i och vet att b = g' mod n, så kan man inte räkna ut g om man inte vet faktorema i n Detta utnyttjas i RSA-kryptering varför det är väl studerat vilka krav som gäller för att i-te roten skall vara "omöjlig". ll Diskreta logaritmen är ”omöjlig”. Med samma beteckningar som i I ovan kan man inte räkna uti även om man känner n, b och g. Även detta utnyttjas i RSA-kryptering. lll Omm (om och endast om) a och n relativt prima (de har inga gemen- samma faktorer >1), så existerar en entydig invers a så att aa mod n = 1 I metoden utnyttjas omvändningen - om a och n har någon gemensam faktor existerar ingen invers a _ 10 15 20 25 30 (H så (fl ~4 ~a co m- .- 10 Under vissa förutsättningar är roten i avsnitt I ”lätt” att räkna ut utan att faktoruppdela n utgående från två uttryck beräknade med samma modulus.
Förutsättningarna är att man vet n (men alltså inte p och q) samt b, i, c, j, där b = gi mod n och c = gi mod n. Dessutom skall i och j vara relativt prima och likaså g och n relativt prima.
Detta kan härledas med hjälp av Eulers fi-funktion tp se [1], som är n - 1 om n är ett primtal. Annars är tp en produkt där faktorerna i n ingår, tex q> = (p - 1) (q - 1) om n = p q. Omm inversen till g existerar (dvs om g och n relativt prima) kan den skrivas med hjälp av (p, g” mod n = 1, dvs. a=9W Om i och j är relativt prima (och >0) kan man med Euklides algoritm [1] bestämma heltalskoefficienterna r och s iekvationen r i + sj = 1. En av koefficientema (säg r) måste vara negativ.
Om g och n relativt prima vet man att det finns invers b till b (till c också för den delen). Med Euklides algoritm kan man räkna ut b. Man kan nu bilda b"cs mod n = b(°**1)<'°cs mod n = gmrmfigsi mod n = gi°g°°°°gsi mod n = g('°('° gsj mod n = gmsj mod n = g.
Under förutsättningarna ovan får man alltså utan faktoruppdelning g = b"cs mod n .
DH-metoden, ref. [3].
Baserat på ll ovan får man en metod för två parter, X och Y att konstruera en gemensam hemlighet som ingen annan kan beräkna. Båda parter känner heltalen g och n. X bildar ett nyckelpar >_<, š ur š = g* mod n . X måste hålla Ä hemlig medan š öppet delges Y (som enligt avsnitt ll inte kan beräkna Ä ). Analogt förfarande för Y. Nu kan X och Y och bara de två, beräkna kw genom att ta motpartens öppna nyckel och exponentiera den med sin egen hemliga nyckel, kxy = g!! mod n. 10 15 20 VI l [3] förutsätts g vara öppet känt. I föreliggande uppfinning utnyttjas att g kan hållas hemlig (se avsnitten l och IV ovan), vilket ger en ny metod att autenticera grupptillhörighet. l [3] anges att n skall vara ett primtal. I föreliggande uppfinning används n = p q vilket också går bra (en grundsten för RSA-kryptering). i-te roten är inte säkert entydig. Uppfinningen bygger på att en storhet k har räknats ut på två sätt via exponentiering med samma i, man har k = gi mod n = hi mod n. Men härav kan man inte generellt dra slutsatsen att g = h. Detta gäller bara om i och = 1). Men entydighet är inget villkor för metoden, utan det som ståri I skulle kunna omformuleras: ”Det skall vara ”tillräckligt liten sannolikhet” att man skall kunna räkna ut något g som uppfyller b = gi mod n, även om man känner n, b och i men inte vet faktorerna i n”.
När det gäller generella krav av kryptografiskt slag finns det publicerat i bl.a. [1] vilka modulus n som är olämpliga. Likaså måste man t ex vara observant på att man inte väljer faktorer som medför att utfallsrummet vid exponentieringar blir för litet, vilket skulle kunna göra uttömmande sökning realistiskt.

Claims (10)

10 15 20 25 30 35 12 Patentkrav:
1. l en kryptografisk metod för datakommunikation i ett kommunikationsnät, som omfattar administratörer och slutliga aktörer, ingående förfarande för distribution av kryptonycklar med användning av öppen-nyckel-hantering, kännetecknat av att förfarandet ger möjlighet till autenticering av och certifiering genom att administratörema och de slutliga aktörema ingår i en hierarkisk struktur inne- fattande en huvudadministratör, ingen, en eller flera hierarkiska nivåer om- fattande underadministratörer, vardera underadministratör knuten till en sig överordnad administratör och med ingen, en eller flera sig underordnade administratörer, samt nämnda slutliga aktörer, vardera slutlig aktör knuten till en sig överordnad administratör, att huvudadministratören väljer och hemlighåller en grundhemlighet, huvud- administratörens egen hemlighet, att huvudadministratören väljer en eller flera direkt underordnade administratörer, att till varje administratör, huvudadministratör såväl som underadministratör, knyts en identitet i form av ett unikt primtal som är känt för alla administratörer och slutliga aktörer, att huvudadministratören skapar, med hjälp av en funktion av två variabler, som är envägs med avseende på båda variablema och sekvensoberoende med avseende på en variabel och där huvudadministratörens egen hemlighet och respektive direkt underordnade administratörs identitet utgör variablema, en underhemlighet åt varje direkt underordnade administratör, vilken under- hemlighet tilldelas respektive underordnade administratör och som denne hemlighåller, att underordnade administratörer väljer i sin tur, på motsvarande sätt i ett rekur- sivt förfarande, sig underordnade administratörer och skapar underhemlig- heter till dessa utgående från de senares identiteter och den i resp. fall över- ordnade administratörens underhemlighet och att de slutliga aktörema tilldelas ett nyckelpar av sina respektive administratörer, bestående av en hemlig nyckel, vald på liknande sätt som identiteten väljs för underordnade administratörer och en öppen nyckel skapad på motsvarande sätt som en underhemlighet skapas för en underordnad administratör eller vice versa. 10 15 20 25 30 35 1,515 vvs 13
2. Förfarande enligt patentkravet 1, k ä n n e t e c k n a t av att vid behov två aktörer kontrollerar varandras autenticitet genom att kombinera ihop motpartens öppna nyckel med sin egen hemliga nyckel samt en produkt av identiteter.
3. Förfarande enligt patentkravet 1 eller 2, k ä n n e t e c k n at av att inga identiteter utgör summan av andra identiteter.
4. Förfarande enligt något av de tidigare patentkraven, k ä n n e t e c k n a t av att pnmtalen som utgör administratöremas identiteter väljs så att det största prim- talet återfinns hos huvudadministratören och att primtalen gradvis är allt lägre, nivå för nivå i hierarkien.
5. Förfarande enligt något av de tidigare patentkraven, k ä n n e t e c k n a t av att, i det i patentkravet 1 angivna fallet, där de slutliga aktöremas hemliga nyckel väljs på liknande sätt som underordnade administratörers identitet, denna hemliga nyckel, i form av ett primtal, väljs större än var och en av administratöremas identi- teter.
6. Förfarande enligt något av patentkraven 1-5, k ä n n e t e c k n a t av att underhemligheter skapas som funktioner av klassen multiplikation på en elliptisk kurva.
7. Förfarande enligt något av patentkraven 1-5, k ä n n e t e c k n a t av att underhemligheter skapas som funktioner av klassen exponentialfunktioner.
8. Förfarande enligt patentkravet 7, k ä n n e t e c k n at av att en administratör tilldelar sina underordnade administratörer A, var sin hemlighet h, genom att exponentiera sin egen hemlighet g modulo n med den underordnades identitet, dvs. h, = g^' mod n, där n väljs som produkten av minst två primtal p och q, g är ett jämnt tal med en faktor gemensam med n och A, är de underordnade administratöremas identiteter i form av primtal och där n och A, är kända för alla medan p, q och g hemlighålls.
9. Förfarande enligt patentkravet 8, k ä n n e t e c k n at av att, i det i patent- kravet 1 angivna fallet, där de slutliga aktöremas hemliga nyckel väljs på liknande sätt som underordnade administratörers identiteter, två aktörer vid behov kontrolle- 10 15 20 25 -säs 772 14 rar varandras autenticitet genom att exponentiera varandras öppna nycklar modulo n med produkten av sin hemliga nyckel och identitetema för alla sina överordnade administratörer, varvid överensstämmelse av resultaten anger att båda är auten- tiska aktörer och att, i det i patentkravet 1 angivna ”vice versa”-fallet, där de slutliga aktöremas öppna nyckel väljs på liknande sätt som underordnade administratörers identiteter, två aktörer vid behov kontrollerar varandras autenticitet genom att expo- nentiera sin hemliga nyckel modulo n med produkten av motpartens öppna nyckel och identitetema för alla motpartens överordnade administratörer, varvid överens- stämmelse av resultaten anger att båda är autentiska aktörer.
10. Förfarande enligt patentkravet 8, k ä n n e t e c k n at av att, i det i patent- kravet 1 angivna fallet, där de slutliga aktöremas hemliga nyckel väljs på liknande sätt som underordnade administratörers identiteter, en administratör utfärdar ett certifikat av innebörden att en viss öppen nyckel tillhör en viss aktuell aktör och att certifikatet skapats av en viss administratör med viss känd identitet, administratören beräknar också en digital signatur genom att modulo n exponentiera sin egen hemlighet med certifikatet eller resultatet av någon känd hash-funktions utdata när indata är certifikatet, varefter certifikatets äkthet kan verifieras av en administratör eller aktör genom att han exponentierar modulo n sin öppna nyckel med produkten av identitetema fram till och med den som utger sig ha skrivit certifikatet och certifi- katet eller resultatet av någon känd hash-funktions utdata när indata är certifikatet och jämför detta resultat med signaturen exponentierad modulo n med produkten av sin och sina överordnades identiteter och sin hemliga nyckel, van/id överens- stämmelse av resultaten anger att certifikatet är äkta och signerat av den som utgivit sig ha gjort det.
SE9901358A 1999-04-16 1999-04-16 Metod för nyckeldistribution med inbyggd möjlighet till autenticering och certifiering i ett hierarktiskt träd SE515778C2 (sv)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SE9901358A SE515778C2 (sv) 1999-04-16 1999-04-16 Metod för nyckeldistribution med inbyggd möjlighet till autenticering och certifiering i ett hierarktiskt träd
PCT/SE2000/000721 WO2000064098A1 (en) 1999-04-16 2000-04-14 Method for distribution of cryptographic keys in a communication network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE9901358A SE515778C2 (sv) 1999-04-16 1999-04-16 Metod för nyckeldistribution med inbyggd möjlighet till autenticering och certifiering i ett hierarktiskt träd

Publications (3)

Publication Number Publication Date
SE9901358D0 SE9901358D0 (sv) 1999-04-16
SE9901358L SE9901358L (sv) 2000-10-17
SE515778C2 true SE515778C2 (sv) 2001-10-08

Family

ID=20415233

Family Applications (1)

Application Number Title Priority Date Filing Date
SE9901358A SE515778C2 (sv) 1999-04-16 1999-04-16 Metod för nyckeldistribution med inbyggd möjlighet till autenticering och certifiering i ett hierarktiskt träd

Country Status (2)

Country Link
SE (1) SE515778C2 (sv)
WO (1) WO2000064098A1 (sv)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI109253B (sv) * 2000-08-22 2002-06-14 Smarttrust Systems Oy Certifierad identitetskedja

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4200770A (en) * 1977-09-06 1980-04-29 Stanford University Cryptographic apparatus and method
US5651066A (en) * 1994-04-28 1997-07-22 Nippon Telegraph And Telephone Corporation Cipher key distribution system effectively preventing illegitimate use and charging of enciphered information
US5745574A (en) * 1995-12-15 1998-04-28 Entegrity Solutions Corporation Security infrastructure for electronic transactions
JPH09238132A (ja) * 1996-02-29 1997-09-09 Oki Electric Ind Co Ltd 携帯用端末通信システム及びその通信方法
NL1005912C2 (nl) * 1997-04-25 1998-10-27 Koninkl Kpn Nv Sleuteldistributiesysteem.

Also Published As

Publication number Publication date
SE9901358L (sv) 2000-10-17
SE9901358D0 (sv) 1999-04-16
WO2000064098A1 (en) 2000-10-26

Similar Documents

Publication Publication Date Title
JP4547158B2 (ja) バイリニアマッピングを使用する署名スキーム
Wang et al. Security analysis of some proxy signatures
US8285996B2 (en) Verification of identity based signatures
JPH08328472A (ja) 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法
JPH10133576A (ja) 公開鍵暗号方法および装置
Naresh et al. Provable secure lightweight hyper elliptic curve‐based communication system for wireless sensor networks
JP2004208263A (ja) バイリニアペアリングを用いた個人識別情報に基づくブラインド署名装置及び方法
US11658827B2 (en) Selective disclosure of attributes and data entries of a record
Tonien et al. Multi-party concurrent signatures
Lin et al. A structured multisignature scheme from the Gap Diffie-Hellman Group
Crutchfield et al. Generic on-line/off-line threshold signatures
SE515778C2 (sv) Metod för nyckeldistribution med inbyggd möjlighet till autenticering och certifiering i ett hierarktiskt träd
EP1730881B1 (en) Verification of identity based signatures
WO2008127444A9 (en) Fast rsa signature verification
Nakanishi et al. A group signature scheme with efficient membership revocation for reasonable groups
Li et al. Attribute-based anonymous credential: Delegation, traceability, and revocation
Kaliski Jr On hash function firewalls in signature schemes
Lal et al. A scheme for obtaining a warrant message from the digital proxy signatures
Kim et al. Identity-based registry for secure interdomain routing
CN102821095A (zh) 以内容为中心的网络中删除内容的方法
Wang et al. Security remarks on a group signature scheme with member deletion
Sun et al. A new efficient ID-based strong designated verifier signature scheme
JPH11249560A (ja) 合同多項式認証方法及び認証プログラムを記録した記録媒体及び鍵寄託暗号方法及び暗号プログラムを記録した記録媒体
JPH0643809A (ja) 楕円曲線に基づくデイジタル署名方式とその署名者装置及び検証者装置
WO2023052609A1 (en) Digital signatures with key-derivation

Legal Events

Date Code Title Description
NUG Patent has lapsed