TWI525466B - 在一群組中的一元件上碎扯一串列隨意有限長度之方法和裝置 - Google Patents
在一群組中的一元件上碎扯一串列隨意有限長度之方法和裝置 Download PDFInfo
- Publication number
- TWI525466B TWI525466B TW099103414A TW99103414A TWI525466B TW I525466 B TWI525466 B TW I525466B TW 099103414 A TW099103414 A TW 099103414A TW 99103414 A TW99103414 A TW 99103414A TW I525466 B TWI525466 B TW I525466B
- Authority
- TW
- Taiwan
- Prior art keywords
- group
- component
- value
- fragmentation
- obtaining
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- Computing Systems (AREA)
- Algebra (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Complex Calculations (AREA)
Description
本發明一般關於密碼術,尤指在橢圓形曲線上諸點之碎扯。
本節旨在對讀者介紹技術之各層面,與本發明下述和/或所請求之諸要旨相關。此項論述相信有助於對讀者提供背景資訊,以便利更加明瞭本發明之諸要旨。因此,須知此等陳述是就此點來閱讀,而非納入先前技術。
碎扯函數以訊息(通常以串列呈現)為輸入,產生固定長度之碎扯值(亦稱為「訊息摘要」或「數位指紋」)。具體言之,碎扯函數h把隨意有限長度的位元串列映射在固定長度(例如位元)的位元串列上;h:{0,1}*→{0,1} l ;m h(m)。碎扯值h(m)是輸入串列m的精簡表現。
就密碼術應用而言,碎扯函數需額外性能:
-前形象阻力:係計算上不可行,賦予輸出v,找出輸入u,碎扯成v(即,使得h(u)=v)。
-第二形象阻力:係計算上不可行,賦予一對u和v=h(u),找出第二輸入u’≠u,碎扯成v(即,使得h(u’)=v=h(u))。
-衝撞阻力:係計算上不可能找出任何二個不同輸入u和u’,碎扯成同值(即,使得h(u)=h(u’),其u≠u’)。
-隨機宣告:若干安全性保障假設,碎扯函數的輸出行為有如隨機宣告。此即所謂隨機宣告模式,見M. Bellare和P. Rogaway在〈隨機宣告實務:設計有效規約之典範〉所述,見第一屆ACM電腦和通訊安全性會議錄,第62-73頁,ACM出版,1993年。
碎扯函數用在許多密碼術的應用上,包含數位訊徵,是現代編密碼演算設計上的基本任務,可供構建訊息驗證碼(MAC)。MAC是祕鍵K所編指數的函數hK家族。MAC載於例如FIPS 198和FIPS 198-1,二者稱為〈鍵入碎扯訊息驗證碼(HMAC)〉(聯邦資訊處理標準出版品),前者出版於2002年3月,後者(為草案,尚未批准)則為2007年6月。
若干密碼術的應用需要碎扯在橢圓形曲線的諸點上。此包含同等基礎的編密碼計劃,諸如D. Boneh和M. Franklin在〈由Weil配對之同等基礎編密碼〉(SIAM計算會誌32(3):586-615,2003年),其特點是遠比傳統證件基礎密碼術更簡單之公用鍵基本設施。此等計劃可在橢圓形曲線諸點上,使用雙線性配對。尤其是所謂「摘取」程序,需要碎扯函數,對指定橢圓形曲線諸點映射隨意有限串列。
若G代表橢圓形曲線諸點之一群組(或副群組),問題是如何設計碎扯函數,採取串列m為輸入,產生碎扯值,代表橢圓形曲線之一點。
由N. Koblitz著《數理論和密碼術論述》第6.2節(數學畢業生文論第114卷,Springer出版社,1994年第二版)所述之技術,可得一種此類方法。設κ指相當於「試用」最大數之大整數,則此法失敗機率大約2-κ,試用的成功機率約0.5。令E指橢圓形曲線,跨Weierstrass方程式賦予的有限場Fq,則
E:y2+a1xy+a3y=x3+a2x2+a4x+a6
其中曲線參數。
橢圓形曲線E諸點集合,是由成對(x,y)賦予,滿足Weierstrass方程式連同「特殊」點O,稱為同等點。對輸入賦予訊息m,先計算v=h(m),其中h:{0,1}*→{0,1} l 是任何適當的碎扯函數(例如安全碎扯標準(SHA)家族者),而v在[0,2 l -1]範圍內視為整數。對各j=1,2,...,κ而言,界定m’j=vκ+j。若q>2 l κ,使用多項式表現方式,在所界定整數m’j和Fq的諸元件集合之後,有一對一之相對應。xj指元件Fq,相當於m’j。則就j=1,2,...,κ而言,座標x=xj,嘗試為y解Weierstrass方程式。若有解答,即指明yj。若指找到解答{1,...,κ}的最小的j,此界定。
此法之問題是,透過側通道分析和障礙分析,遺漏有關輸入的資訊。此舉會與基本應用之安全性相抵。又會在輸出分佈中引進一些偏值,會使基於隨機宣告模式之安全性保證失效或減弱。此外,此法之迭代性質造成一些無效率。
所以,須知亟需有對橢圓形曲線諸點之碎扯方法,以克服先前技術之至少一些問題。本發明即提供如此解決方案。
本發明第一要旨,針對一群組中的一元件碎扯一串列隨意有限長度之方法。得第一碎扯演算結果之第一碎扯值,把串列映射於一純量。純量之至少第一部份乘以群組中預定第一元件,得群組中之第二元件,即輸出。
在第一較佳具體例中,群組包括橢圓形曲線之諸點。
在第二較佳具體例中,由計算而得串列用之第一碎扯值,以獲得純量。
在第三較佳具體例中,群組之第一元件是最大階元件。
在第四具體例中,此方法又包括進行第一碎扯值的第二部份和群組的預定第三元件間之純量乘法,而得群組之第四元件;並將群組的第二元件和群組的第四元件相加,而得群組之第五元件。
本發明第二要旨,針對在一群組中的一元件上碎扯一串列隨意有限長度之裝置。此裝置包括獲得裝置,獲得第一碎扯演算結果之第一碎扯值,以映射串列於純量;進行裝置,進行第一碎扯值和群組的預定第一元件間之純量乘法,以獲得群組之第二元件;和輸出裝置,以輸出群組之第二元件。
在第一較佳具體例中,群組包括橢圓形曲線之諸點。
在第二較佳具體例中,獲得第一碎扯值之裝置,適於計
算第一碎扯值。
在第三較佳具體例中,群組之第一元件是最大階元件。
本發明第三要旨,針對電腦程式產品,包括儲存之指令,由處理器執行時,進行第一要旨任一具體例之方法。
茲參照附圖所示非限制實施例,說明本發明之較佳特點。
與迭代性先前技術解決方案比較,本發明對橢圓形曲線諸點採取極為不同的碎扯措施。此方法以橢圓形曲線上的預定點開始,有賴群組之特性:群組的一元件與純量間相乘,自動賦予往往不同的群組之元件。為碎扯橢圓形曲線上之諸點,採取正規碎扯演算之輸出,為純量,而以橢圓形曲線上之一點,做為群組之元件。精於此道之士均知宜用最大階的元件,為預定點,由此擴大可能輸出之集合。
更具體而言,令h:{0,1}*→{0,1} l ,指正規碎扯函數,把隨意有限長度的位元串列映射在長度l之位元串列。此等碎扯函數之例有訊息摘要5(MD5)和SHA-1。又令E指橢圓形曲線,G為其副群組,而P為至少2 l 階的一點。本發明較佳具體例之碎扯方法即界定為:H:{0,1}*→G:m α H(m):=[h(m)] P
此碎扯函數容易實施,並映射在指定橢圓形曲線上之諸點。又,對任何二不同的輸入訊息m和m’,遵循H(m)=H(m’),如果而且只有如果h(m)=h(m’),因為ord(P)2 l 。結果,碎扯函數H的安全性,和基本碎扯函數h相同。須知對碎扯函數和橢圓形曲線之一般攻擊,是平方根攻擊,則所擬構造最適當。
凡精於此道之士均知,方法可能有許多變化例。例如,群組之一或以上預定元件可在乘法後相加。另一可能性是在碎扯值和群組內的複數元件間之分開純量乘法,然後添加結
果(雖然此量乘以純量與諸元件相加結果是同一回事,因為此項加法產生又一元件)。
又一可能性是得純量碎扯值,分成n組份,宜截然有別,進行組件與群組內n個不同元件間之純量相乘,再添加結果。易言之(表示n=2之變化例):h(m)=h1 ∥ h2和H(m)=[h1]P1+[h2]P2,其中P1和P2為群組內之元件。
第1圖表示本發明較佳具體例之裝置。此裝置100包括至少一界面單元110,適於與其他裝置(圖上未示)通訊;至少一處理器120;和至少一記憶器130,適於儲存資料,諸如中間計算結果。處理器120適於進行前述方法,可能利用計算,獲得輸入串列之碎扯值,使用碎扯值為純量,與一群組中之一元件(宜為橢圓形曲線之一點)相乘,把結果輸出。電腦程式產品140,諸如CD-ROM或DVD,包括儲存指令,利用處理器120執行時,進行本發明任一具體例之方法。
本發明方法可用於輸入值必須映射在橢圓形曲線之諸點者。此方法全然概括性,可配合任何已知(正規)碎扯函數,包含密碼術標準,諸如MD5、SHA和HAMC內所推薦者。更重要的是,方法之安全性與基本(正規)碎扯函數相同。
凡精於此道之士均知,本發明較佳具體例之方法不限於橢圓形曲線;可輕易應用於任何群組,諸如雙橢圓形曲線,或有限場或有限環之乘式群組,或其副群組。
說明書(和適當處)申請專利範圍及附圖所揭示之各特點,可單獨或以任何適當組合方式提供。在硬體內實施之所述特點,亦可以軟體實施,或反是。視適用情形,可以無線或有線連接,不一定要直接或專屬連接。
申請專利範圍中出現的參考符號,僅供說明之用,對申請專利範圍無限制之意。
100‧‧‧裝置
110‧‧‧界面單元
120‧‧‧處理器
130‧‧‧記憶器
140‧‧‧電腦程式產品
第1圖為本發明較佳具體例之裝置。
100‧‧‧裝置
110‧‧‧界面單元
120‧‧‧處理器
130‧‧‧記憶器
140‧‧‧電腦程式產品
Claims (10)
- 一種在一群組中的一元件上碎扯一隨意有限長度的串列之方法,在裝置內包括:從第一碎扯演算的結果,獲得第一碎扯值,把串列映射於純量;在第一碎扯值之至少第一部份之純量,和群組的預定第一元件之間,進行乘法,得群組之第二元件;和輸出群組之第二元件者。
- 如申請專利範圍第1項之方法,其中群組包括橢圓形曲線之諸點者。
- 如申請專利範圍第1項之方法,其中獲得第一碎扯值之步驟包括:獲得串列,並計算串列用的第一碎扯值,而得純量者。
- 如申請專利範圍第1項之方法,其中群組之第一元件係最高階之元件者。
- 如申請專利範圍第1項之方法,又包括步驟為:在第一碎扯值的第二部份,和群組之預定第三元件之間,進行純量乘法,得群組之第四元件;和相加群組之第二元件和群組之第四元件,得群組之第五元件者。
- 一種在一群組中的一元件上碎扯一隨意有限長度的串列之裝置(100),裝置(100)包括:獲得裝置(110;120),從第一碎扯演算,獲得第一碎扯值,把串列映射於純量;進行裝置(120),在第一碎扯值至少第一部份之純量,和群組的預定第一元件之間,進行乘法,得群組之第二元件;和輸出裝置(110;120),把群組之第二元件輸出者。
- 如申請專利範圍第6項之裝置,其中群組包括橢圓形曲線之諸點者。
- 如申請專利範圍第6項之裝置,其中獲得第一碎扯值之裝置,適於計算第一碎扯值者。
- 如申請專利範圍第6項之裝置,其中群組之第一元件係最高階之元件者。
- 一種電腦可讀取儲存媒體,包括儲存之指令,利用處理器執行時,進行申請專利範圍第1-5項之任一方法者。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09305164A EP2222015A1 (en) | 2009-02-19 | 2009-02-19 | Method and device for hashing onto points of an elliptic curve |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201032086A TW201032086A (en) | 2010-09-01 |
| TWI525466B true TWI525466B (zh) | 2016-03-11 |
Family
ID=40935745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099103414A TWI525466B (zh) | 2009-02-19 | 2010-02-05 | 在一群組中的一元件上碎扯一串列隨意有限長度之方法和裝置 |
Country Status (5)
| Country | Link |
|---|---|
| EP (2) | EP2222015A1 (zh) |
| JP (1) | JP5528842B2 (zh) |
| KR (1) | KR101699893B1 (zh) |
| CN (1) | CN101814989B (zh) |
| TW (1) | TWI525466B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2941115B1 (fr) * | 2009-01-14 | 2011-02-25 | Sagem Securite | Codage de points d'une courbe elliptique |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1256463A (zh) * | 1999-11-25 | 2000-06-14 | 赵风光 | 一种新型数字签名体制和装置 |
| WO2003017559A2 (en) * | 2001-08-13 | 2003-02-27 | Board Of Trustees Of The Leland Stanford Junior University | Systems and methods for identity-based encryption and related cryptographic techniques |
| ATE546909T1 (de) * | 2004-11-11 | 2012-03-15 | Certicom Corp | Neue falltür-einwegefunktion auf elliptischen kurven und ihre anwendung für asymmetrische verschlüsselung und kürzere signaturen |
| DE602006006454D1 (de) * | 2006-10-10 | 2009-06-04 | Ntt Docomo Inc | Verfahren und Vorrichtung zur Authentifizierung |
| JP4928412B2 (ja) * | 2006-10-31 | 2012-05-09 | 日本電信電話株式会社 | 署名生成装置、署名検証装置、それらの方法及びプログラム |
| KR101527867B1 (ko) * | 2007-07-11 | 2015-06-10 | 삼성전자주식회사 | 타원 곡선 암호 시스템에 대한 부채널 공격에 대응하는방법 |
| FR2941115B1 (fr) * | 2009-01-14 | 2011-02-25 | Sagem Securite | Codage de points d'une courbe elliptique |
-
2009
- 2009-02-19 EP EP09305164A patent/EP2222015A1/en not_active Withdrawn
-
2010
- 2010-02-05 TW TW099103414A patent/TWI525466B/zh not_active IP Right Cessation
- 2010-02-05 KR KR1020100011009A patent/KR101699893B1/ko active IP Right Grant
- 2010-02-09 JP JP2010026558A patent/JP5528842B2/ja not_active Expired - Fee Related
- 2010-02-10 CN CN201010118103.XA patent/CN101814989B/zh not_active Expired - Fee Related
- 2010-02-15 EP EP10153614A patent/EP2222016A1/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| JP5528842B2 (ja) | 2014-06-25 |
| KR101699893B1 (ko) | 2017-02-13 |
| TW201032086A (en) | 2010-09-01 |
| CN101814989B (zh) | 2014-10-15 |
| EP2222015A1 (en) | 2010-08-25 |
| CN101814989A (zh) | 2010-08-25 |
| KR20100094939A (ko) | 2010-08-27 |
| JP2010191419A (ja) | 2010-09-02 |
| EP2222016A1 (en) | 2010-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5001176B2 (ja) | 署名生成装置、署名生成方法及び署名生成プログラム | |
| US8165287B2 (en) | Cryptographic hash functions using elliptic polynomial cryptography | |
| US10374797B2 (en) | Public-key encryption system | |
| JP4664850B2 (ja) | 鍵生成装置、プログラム及び方法 | |
| KR101602361B1 (ko) | 타원 곡선상의 점의 부호화 | |
| US8139765B2 (en) | Elliptical polynomial-based message authentication code | |
| US8170203B2 (en) | Message authentication code with elliptic polynomial hopping | |
| US20100177890A1 (en) | Hash functions with elliptic polynomial hopping | |
| US6898284B2 (en) | Cryptographic identification and digital signature method using efficient elliptic curve | |
| JP2010049213A (ja) | 暗号化装置、復号装置、暗号通信システム、方法及びプログラム | |
| JPWO2006114948A1 (ja) | 署名生成装置および署名検証装置 | |
| TWI525466B (zh) | 在一群組中的一元件上碎扯一串列隨意有限長度之方法和裝置 | |
| CN110990896B (zh) | 基于sm2白盒的数字签名装置、方法、存储介质及设备 | |
| RU2533087C2 (ru) | Криптография с параметризацией на эллиптической кривой | |
| US20100208884A1 (en) | Method and device for hashing onto points of an elliptic curve | |
| CN116132050A (zh) | 一种消息处理方法、系统、设备及计算机可读存储介质 | |
| US20210226791A1 (en) | Encryption system, encryption apparatus, decryption apparatus, encryption method, decryption method, and program | |
| US11616994B2 (en) | Embedding information in elliptic curve base point | |
| JP5300373B2 (ja) | 代数的トーラスを用いたデータ圧縮処理を行う装置およびプログラム | |
| JP5354994B2 (ja) | 代数的トーラスを用いたデータ圧縮処理を行う装置およびプログラム | |
| TWI701931B (zh) | 具分級機制的數位簽章方法及適用該方法的硬體錢包裝置 | |
| JP4914377B2 (ja) | 署名生成装置、署名検証装置、署名生成検証システム、それらの方法及びプログラム | |
| CN114868175A (zh) | 最终幂计算装置、配对运算装置、加密处理装置、最终幂计算方法和最终幂计算程序 | |
| JP4502817B2 (ja) | 楕円曲線スカラー倍計算方法および装置 | |
| US8750499B2 (en) | Cryptographic method using a non-supersingular elliptic curve E in characteristic 3 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |