WO2000042734A1 - Procede cryptographique a cles publique et privee - Google Patents
Procede cryptographique a cles publique et privee Download PDFInfo
- Publication number
- WO2000042734A1 WO2000042734A1 PCT/FR1999/002918 FR9902918W WO0042734A1 WO 2000042734 A1 WO2000042734 A1 WO 2000042734A1 FR 9902918 W FR9902918 W FR 9902918W WO 0042734 A1 WO0042734 A1 WO 0042734A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- mod
- log
- following
- calculation
- cryptogram
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 126
- IWYDHOAUDWTVEP-UHFFFAOYSA-N mandelic acid Chemical compound OC(=O)C(O)C1=CC=CC=C1 IWYDHOAUDWTVEP-UHFFFAOYSA-N 0.000 claims abstract description 7
- 238000004364 calculation method Methods 0.000 claims description 58
- 238000004891 communication Methods 0.000 claims description 28
- 238000012545 processing Methods 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 7
- 230000015654 memory Effects 0.000 description 16
- 238000012795 verification Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 4
- 230000003936 working memory Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Definitions
- the present invention relates to a cryptographic method with public and private keys. It can be used in all applications in which it is necessary to ensure the confidentiality of messages transmitted on any channel and / or to identify with certainty a device with which messages are exchanged.
- the confidentiality of messages transmitted between two devices A and B on any communication channel is obtained by encrypting the information transmitted to make it unintelligible to people for whom it is not intended.
- the certain identification of a device is based on the calculation of the digital signature of a message.
- two types of cryptographic process can be used, the so-called symmetric, with secret keys, of which a well-known example is DES ... the so-called asymmetric, using a pair of public and private keys and described in "New directions in Cryptography IEEE Transactions on Information Theory, Nov. 1976, by MM Diffie and Hellman.
- a well-known example of an asymmetric process is the RSA, named after its inventors Ronald Rivest, Adi Shamir and Léonard Adleman. A description of this RSA process can be found in US Patent 4,405,829.
- An asymmetric cryptographic process is usually used for signature generation / verification.
- a user who wants to prove his identity uses a private key, known only to him, to produce a digital signature s of a message m, signature which he transmits to the recipient device.
- the latter implements signature verification using the user's public key.
- Any device thus has the capacity to verify the signature of a user, by taking cognizance of the public key of this user and by applying it in the verification algorithm. But only the user concerned has the capacity generate the correct signature using their private key.
- This process is for example widely used in access control or banking transaction systems. It is generally coupled with the use of an encryption method, to encrypt the signature before transmitting it.
- DSA Digital Signature Algorithm
- the RSA comprises a step of generating the public K and private K 'keys for a given device in which the procedure is as follows:
- This signature s is transmitted to a recipient B.
- a hash function is previously applied to the number m before calculating the signature, which may consist of bit permutations and / or compression.
- a cryptography process like the RSA is such that it allows any number between 0 and n-1 to be encrypted with the public key (n, e).
- n public key
- e public key
- the encryption process is then applied to each of these numbers.
- m may be equal to M, or be only a part of it.
- the message or a number representative of the message is then denoted indifferently by m.
- An object of the invention is an asymmetric cryptography method different from those based on RSA.
- An object of the invention is a method based on other properties, which can be applied both in encryption of messages and in generation of signatures.
- An object of the invention is a method of cryptography which allows, in certain configurations, a faster processing time.
- the invention relates to a cryptographic method according to claim 1.
- FIG. 1 is a functional diagram of a cryptographic communication system of asymmetrical type
- FIG. 2 is a block diagram of a communicating device used in a cryptographic communication system according to the invention
- FIG. 3 is a flowchart of a message encryption / decryption session using the cryptographic method according to the invention.
- FIG. 4 is a flowchart of a signature generation / verification session using the cryptographic method according to the invention.
- a mod b (a modulo b) is the modular residue of a relatively to b and designates the unique integer strictly less than b such that b divides (a - a mod b).
- PPCM (a, b) denotes the smallest common multiple of a and b.
- PGCD (a, b) denotes the greatest common divisor of a and b.
- V xeUn, V ye Un, log n (xy mod n 2 ) log n (x) + log n (y) mod n.
- FIG. 1 represents a cryptographic communication system, using an asymmetric cryptographic method. It includes communicating devices, in example A and B, on a communication channel 1. In the example, a bidirectional channel is shown. Each device contains a pair of public K and private K 'keys.
- the public keys are for example published in a public file 2 such as a directory, which each device can consult. In this public file, we will thus find the public key K A of device A and that K B of device B.
- the private key K 'of each device is kept secretly by him, typically in a secure area of non-volatile memory.
- the device A thus contains in secret memory its private key K ' A and the device B thus contains in secret memory its private key K' B. They also keep their public key, but in a memory area without special access protection.
- the device A can encrypt a message m into a cryptogram c A using the public key K B of the device B; the latter can decrypt c A using his private key K ' B , which he secretly keeps.
- the device B can encrypt a message m in a cryptogram C ⁇ using the public key K A of the device A; the latter can decrypt C ⁇ using his private key K ' A , which he secretly keeps.
- each device comprises at least, as shown in FIG. 2, processing means 10, that is to say a central processing unit (CPU), comprising in particular different registers R for the calculation, a communication interface 11 with the communication channel, and storage means.
- processing means generally include a program memory 12 (ROM, EPROM, EEPROM) and a working memory (RAM) 13.
- ROM read-only memory
- EPROM erasable programmable read-only memory
- RAM working memory
- each device keeps its secret data in a secure access area 120 provided in program memory and its public data in a normal access area of this memory.
- the working memory makes it possible to temporarily store the time necessary for calculations, messages to be encrypted, cryptograms to be deciphered, or even intermediate calculation results.
- the processing and storage means thus make it possible to execute programs linked to the application, and in particular to carry out the calculations corresponding to the implementation of the method of cryptography for the encryption / decryption of messages and / or the generation / verification of signatures according to the invention.
- These calculations include in particular, as will be seen in detail below, power elevations, modular residues and inversions.
- the devices can also include a generator 14 of random or pseudo-random number r, which can intervene in the abovementioned calculations, in certain variant embodiments.
- This generator is framed in dotted lines in FIG. 2, to indicate that it is not necessary for the production of all the variant embodiments according to the invention.
- Such devices used in the invention are well known, and correspond for example to those which are used in the cryptographic communication systems of the state of the art, implementing the RSA. They will therefore not be detailed further.
- a practical example of a cryptographic communication system is the system formed by bank servers and smart cards for managing financial transactions. But there are many other applications, such as applications related to electronic commerce.
- This flow diagram represents a communication sequence between a device A and a device B on a communication channel 20.
- These devices include at least the processing, storage and communication means described in relation to FIG. 2.
- the cryptographic method according to the invention comprises a method for generating the public K and private K 'keys. According to the invention, this method of generating the public and private keys of a device comprises the following steps:
- This condition b) indicates that the order of the number g in the set (Z / n 2 Z) * of whole numbers from 0 to n 2 is a non-zero multiple of the number n, according to the notations defined above.
- the public key K is then formed by the number n and the number g.
- the private key is formed by the numbers p, q and ⁇ (n) or only by the numbers p and q, ⁇ (n) which can be recalculated each time the secret key is used.
- the public and private keys of each device are generated. This generation may be carried out, depending on the devices considered and the applications, by the devices themselves or by an external organ.
- the public keys are put in a file accessible to the public.
- the encryption method according to a first embodiment of the invention therefore consists in taking the parameter g of the public key, raising it to the power m, and calculating the modular residue relative to n 'On note that in the RSA, it is the message m which is raised to the power whereas in the invention, the message m is used as an exponent.
- the device B which receives the encrypted message, that is to say the cryptogram c, then implements a decryption method according to the invention with the parameters of its private key.
- This decryption process includes the following calculation:
- the device must then keep these quantities as secret data.
- a second embodiment of the invention comprises the use of a random number, provided by a random (or pseudo-random) number generator, in the encryption method, so that for the same message m to be transmitted, the calculated cryptogram c will be different each time.
- the security of the communication system is therefore greater.
- the decryption process is unchanged.
- This second embodiment of the invention comprises two variants.
- This second variant in practice requires a longer processing time than the first, but it offers greater security.
- the method for generating public and private keys is then as follows: - secret selection of an integer u and two large prime numbers p and q distinct and of similar size such that u divides (p-1) and divides (q-1).
- the public key K is then formed by the number n and the number g.
- the private key consists of the integers (p, q, u) kept secretly in the device.
- u PGCD (p- 1, q- 1)
- u will be chosen first, to improve the security of the process, and of small size, typically 160 bits.
- the Chinese Rest Theorem is implemented, using the log p and log q functions already seen to perform the decryption calculation.
- the encryption method and the decryption method are such that they have the particularity of being permutations on the group of integers modulo n.
- the cryptogram c obtained by applying the encryption method on m and the signature s obtained by applying the decryption method on m are also on k bits.
- This characteristic gives the cryptographic process the additional property of being able be used for encryption / decryption as well as generation / verification of signatures.
- the decryption method is used as the signature generation method and the encryption method as the signature verification method.
- This decryption method consists in performing the following calculations:
- m 1 log n (c ⁇ (n) mod n 2 ) .log n (g ⁇ (n) mod n 2 ) _1 mod n.
- variants of the decryption method according to this fourth embodiment of the invention are applicable, which make it possible to reduce the processing time necessary to decrypt a given message. They are useful when the device has a large number of cryptograms to decrypt.
- the device B only has to perform the following calculations:
- m 1 log n (c ⁇ (n) mod n 2 ) ⁇ n, g mod n.
- the device which wants to decipher a cryptogram c according to this second variant then performs the following successive calculations:
- the fourth embodiment of the i has just been described makes it possible to signature verification.
- the invention which has just been described is applicable in all systems where it is desired to be able to encrypt and / or sign messages. It widens the possibilities of adaptation to different applications, depending on whether one is looking for more security, or an increased processing speed.
- the third embodiment of the invention the computation complexity of which is only quadratic (function of the square of the size of n) offers a real advantage in terms of speed, insofar as all the State of the art methods have a higher order of complexity (function of the cube of the size of n).
- Such an advantage is of particular interest to all applications using portable devices, such as smart cards and more particularly low cost devices.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Un procédé cryptographique comprend un procédé de génération de clés publique (K) et privée (K') comprenant la sélection de deux nombres premiers p et q distincts, de taille voisine et le calcul du nombre n égal au produit p.q; le calcul du plus petit commun multiple des nombres (p-1) et (q-1): lambda (n)=PPCM(p-1, q-1); la détermination d'un nombre g, 0</=g < n<2> qui vérifie les deux conditions suivantes: a) g est inversible modulo n<2> et b) ord(g,n<2>) = 0 mod n. La clé publique est formée par les paramètres n et g et sa clé privée est formée par les paramètres p, q et lambda (n) ou par les paramètres p et q. Un procédé de chiffrement d'un nombre m représentatif d'un message, 0</= < n consiste à calculer le cryptogramme c=g<m> mod n<2>.
Description
PROCEDE CRYPTOGRAPHIQUE A CLES PUBLIQUE ET PRIVEE
La présente invention concerne un procédé cryptographique à clés publique et privée. Il est utilisable dans toutes les applications dans lesquelles il est nécessaire d'assurer la confidentialité des messages transmis sur un canal quelconque et/ou d'identifier avec certitude un disυositif avec lequel on échange des messages.
La confidentialité de messages transmis entre deux dispositifs A et B sur un canal de communication quelconque est obtenue en chiffrant l'information transmise pour la rendre inintelligible aux personnes à qui elle n'est pas destinée. L'identification certaine d'un dispositif est lui basé le calcul de la signature numérique d' un message. En pratique, deux types de procédé cryptographique peuvent être utilisés celui dit symétrique, à clés secrètes, dont un exemple bien connu est le DES...celui dit asymétrique, utilisant une paire de clés publique et privée et décrit dans « New directions in Cryptography » IEEE Transactions on Information Theory, nov. 1976, par MM Diffie et Hellman. Un exemple bien connu de procédé asymétrique est le RSA, du nom de ses inventeurs Ronald Rivest, Adi Shamir et Léonard Adleman. On peut trouver une description de ce procédé RSA dans le brevet américain US 4, 405, 829.
Dans l'invention, on s'intéresse plus particulièrement à un procédé cryptographique asymétrique.
Un procédé de chiffrement selon un procédé cryptographique asymétrique consiste principalement, pour un émetteur A qui veut envoyer confidentiellement un message à un destinataire B à prendre connaissance, par exemple dans un annuaire, de la clé publique KB du destinataire B, à appliquer le procédé de chiffrement E sur le message m à transmettre en utilisant cette clé publique, et à envoyer au destinataire B, le cryptogramme c résultant: c= EKB(m). Ce procédé consiste principalement pour le destinataire B, à recevoir le cryptogramme c, et à le déchiffrer pour obtenir le message d'origine m, en appliquant le procédé de déchiffrement D sur le cryptogramme c en utilisant la clé privée K'b qu'il est le seul à connaître: m=Dk'b(c).
Selon ce procédé n'importe qui peut envoyer un message chiffré au destinataire B, mais seul ce dernier est capable de le déchiffrer.
On utilise habituellement un procédé cryptographique asymétrique pour la génération/vérification de signature. Dans ce contexte, un utilisateur qui veut prouver son identité utilise une clé privée, connue de lui seul, pour produire une signature numérique s d'un message m, signature qu'il transmet au dispositif destinataire. Ce dernier met en oeuvre la vérification de la signature en utilisant la clé publique de l'utilisateur. Tout dispositif a ainsi la capacité de vérifier la signature d'un utilisateur, en prenant connaissance de la clé publique de cet utilisateur et en l'appliquant dans l'algorithme de vérification. Mais seul l'utilisateur concerné a la capacité
de générer la bonne signature utilisant sa clé privée. Ce procédé est par exemple beaucoup utilisé dans les systèmes de contrôle d'accès ou de transactions bancaires. Il est en général couplé à l'utilisation d'un procédé de chiffrement, pour chiffrer la signature avant de la transmettre.
Pour cette génération/vérification de signatures numériques, on peut utiliser en pratique des procédés cryptographiques asymétriques dédiés à cette application, tel le DSA (Digital Signature Algorithm) , qui correspond à un standard américain proposé par le US National Institute of Standards and Technology. On peut en outre utiliser le RSA qui a la propriété de pouvoir être utilisé aussi bien en chiffrement qu'en génération de signature.
Dans l'invention, on s'intéresse à un procédé cryptographique qui peut être utilisé pour le chiffrement des messages et pour la génération de signature numérique. Dans l'état actuel de la technique, seul le RSA, dont il existe de nombreuses variantes de mise en oeuvre, offre cette double fonctionnalité. Le RSA comprend une étape de génération des clés publique K et privée K' pour un dispositif donné dans laquelle on procède de la façon suivante :
- on choisit deux grands nombres premiers p et q, distincts. - on calcule leur produit n=p.q.
- on choisit un nombre e premier avec le plus petit commun multiple de (p-l)(q-l). En pratique, e est souvent pris égal à 3.
La clé publique K est alors formée par le couple de paramètres (n,e) et la clé secrète K' est formée par le couple de paramètres (p,q).
En choisissant p et q de grande taille, leur produit n est aussi de grande taille. N est donc très difficile à factoriser : on est assuré que l'on ne pourra pas retrouver la clé secrète K'=(p,q) à partir de la connaissance de n .
Le procédé de chiffrement d'un nombre m représentant un message M, 0<m<n consiste alors, à effectuer le calcul suivant : c= EB(m)= memod n au moyen de la clé publique K=(n,e).
Le procédé de déchiffrement consiste lui dans le calcul inverse suivant : m = cdmod(n) au moyen de la clé privée K'=(p,q), gardée secrète, ou
1 d = mod (p-l)(q-l).
On a vu que le RSA a la particularité d'être utilisable pour la vérification de signature. Le procédé correspondant de génération de signature par un utilisateur A consiste à utiliser le procédé de déchiffrement avec la clé secrète pour produire la signature s d'un nombre m représentatif d'un message. On a ainsi : s = mdmod n.
Cette signature s est transmise à un destinataire B. Ce dernier, qui connaît m (par exemple, A transmet s et m), vérifie la signature en effectuant l'opération inverse, c'est à dire en utilisant le procédé de chiffrement avec la clé
publique de l'émetteur A. C'est à dire qu'il calcule v=semod n, et vérifie v=m.
En général, pour améliorer la sécurité d'un tel procédé de vérification de signature, on applique préalablement une fonction de hachage sur le nombre m avant de calculer la signature, qui peut consister en des permutations de bits et/ou une compression.
Quand on parle de message M à chiffrer ou à signer, il s'agit bien sûr de messages numériques, qui peuvent résulter d'un codage numérique préalable. Ce sont en pratique des chaînes de bits, dont la taille binaire (nombre de bits) peut être variable.
Or un procédé de cryptographie comme le RSA est tel qu'il permet de chiffrer avec la clé publique (n,e) n'importe quel nombre entre 0 et n-1. Pour l'appliquer à un message M de taille quelconque, il faut donc en pratique couper ce message en une suite de nombres m qui vérifieront chacun la condition 0<m<n. On applique alors le procédé de chiffrement sur chacun de ces nombres. Dans la suite, on s'intéresse donc à l'application du procédé cryptographique sur un nombre m représentatif du message M. m peut-être égal à M, ou en n'être qu'une partie. On désigne alors indifféremment dans la suite par m le message ou un nombre représentatif du message. Un objet de l'invention, est un procédé de cryptographie asymétrique différent de ceux basés sur le RSA.
Un objet de l'invention, est un procédé reposant sur d'autres propriétés, qui puisse s'appliquer aussi bien en chiffrement de messages qu'en génération de signatures.
Un objet de l'invention, est un procédé de cryptographie qui permette, dans certaines configurations, un temps de traitement plus rapide.
Telle que caractérisée, l'invention concerne un procédé cryptographique selon la revendication 1.
L'invention sera mieux comprise à la lecture de la description suivante , faite à titre indicatif et nullement limitatif de l'invention et en référence aux dessins annexés dans lesquels : - la figure 1 est un schéma fonctionnel d'un système de communication cryptographique de type asymétrique;
- la figure 2 est un schéma fonctionnel d'un dispositif communiquant utilisé dans un système de communication cryptographique selon l'invention; - la figure 3 est un organigramme d'une session de chiffrement/déchiffrement de messages utilisant le procédé cryptographique selon l'invention; et
- la figure 4 est un organigramme d'une session de génération/vérification de signature utilisant le procédé cryptographique selon l'invention.
Pour bien comprendre l'invention, il est nécessaire de faire quelques préliminaires mathématiques.
Dans la description, on utilise les notations mathématiques suivantes : (1) Si a est un entier relatif et b un entier strictement positif, a mod b (a modulo b) est le résidu modulaire de a relativement à b et désigne l'unique entier strictement inférieur à b tel que b divise (a - a mod b).
(2) (Z/bZ) désigne l'ensemble des résidus modulo b et forme un groupe pour l'addition modulaire .
(3) (Z/bZ) désigne l'ensemble des entiers inversibles modulo b et forme un groupe pour la multiplication modulaire.
(4) L'ordre d'un élément a de (Z/bZ) est le plus petit entier naturel ord(a,b) tel que aord a' )=1 mod b.
(5) PPCM (a,b) désigne le plus petit commun multiple de a et b.
(6)PGCD(a,b) désigne le plus grand commun diviseur de a et b. (7) λ(a)désigne la fonction de Carmichael de a. Si a≈p.q, λ(a)=PPCM(p-l, q-1).
(8) On note x = TRC(a, , ... ak, bι,...bk) l'unique solution, obtenue par la mise en oeuvre du Théorème du Reste Chinois bien connu, du système d'équations modulaires suivant :
x= a2 mod b2
x= at mod bk. où les entiers a; et b; sont donnés et où, Vi avec i≠j,
PGCD(bi, bj)≈l.
(9) On rappelle que la taille binaire d'un nombre a est le nombre de bits sur lesquels a s'écrit.
Soit maintenant un nombre n, entier, de taille arbitraire. L'ensemble Un={x<n2 /x=l mod n} est un sous- groupe multiplicatif de (Z/n2Z) .
Soit alors logn la fonction définie sur l'ensemble Un par :
x-1 logn(x) =
Cette fonction a la propriété suivante :
V xeUn, V ye Un, logn(xy mod n2) = logn(x) + logn(y) mod n.
Par conséquent, si g est un nombre entier arbitraire appartenant à Un, on a pour tout nombre m, 0<m<n : logn(gm mod n2) = m.logn(g) mod n.
Cette propriété mathématique est à la base du procédé de cryptographie mis en oeuvre dans l'invention qui va maintenant être décrite.
La figure 1 représente un système de communication cryptographique, utilisant un procédé cryptographique asymétrique. Il comprend des dispositifs communiquants, dans l'exemple A et B, sur un canal de communication 1. Dans l'exemple, on a représenté un canal bidirectionnel. Chaque dispositif contient une paire de clés publique K et privée K' .
Les clés publiques sont par exemple publiées dans un fichier public 2 tel qu'un annuaire, que chaque dispositif peut consulter. Dans ce fichier public, on trouvera ainsi la clé publique KA du dispositif A et celle KB du dispositif B.
La clé privée K' de chaque dispositif est conservée par lui de façon secrète, typiquement dans une zone sécurisée de mémoire non volatile. Le dispositif A contient ainsi en mémoire secrète sa clé privée K'A et le dispositif B contient ainsi en mémoire secrète sa clé privée K'B. Ils
conservent aussi leur clé publique, mais dans une zone mémoire sans protection d'accès particulière.
Dans un tel système, le dispositif A peut chiffrer un message m en un cryptogramme cA en utilisant la clé publique KB du dispositif B; ce dernier peut déchiffrer cA en utilisant sa clé privée K'B, qu'il conserve secrètement. Inversement, , le dispositif B peut chiffrer un message m en un cryptogramme Cβ en utilisant la clé publique KA du dispositif A; ce dernier peut déchiffrer Cβ en utilisant sa clé privée K'A, qu'il conserve secrètement.
Typiquement, chaque dispositif comprend au moins, comme représenté sur la figure 2, des moyens de traitement 10, c'est à dire une unité centrale de traitement (CPU), comprenant notamment différents registres R pour le calcul, une interface de communication 11 avec le canal de communication, et des moyens de mémorisation. Ces moyens de mémorisation comprennent généralement une mémoire programme 12 (ROM, EPROM, EEPROM) et une mémoire de travail (RAM) 13 . En pratique, chaque dispositif conserve ses données secrètes dans une zone d'accès sécurisée 120 prévue en mémoire programme et ses données publiques dans une zone d'accès normal de cette mémoire. La mémoire de travail permet de conserver momentanément, le temps nécessaire aux calculs, des messages à chiffrer, des cryptogrammes à déchiffrer, ou encore des résultats de calculs intermédiaires.
Les moyens de traitement et de mémorisation permettent ainsi d'exécuter des programmes liés à l'application, et notamment d'effectuer les calculs correspondant à la mise en oeuvre du procédé de
cryptographie pour le chiffrement /déchiffrement de messages et/ou la génération/vérification de signatures selon l'invention. Ces calculs comprennent notamment, comme on le verra de façon détaillée dans la suite, des élévations à la puissance, des résidus et inversions modulaires .
Les dispositifs peuvent encore comprendre un générateur 14 de nombre aléatoire ou pseudo-aléatoire r , qui peut intervenir dans les calculs précités, dans certaines variantes de réalisation. Ce générateur est encadré en pointillé sur la figure 2, pour indiquer qu'il n'est pas nécessaire à la réalisation de toutes les variantes de réalisation selon l'invention.
Tous ces moyens du dispositif sont connectés à un bus d'adresses et de données 15.
De tels dispositifs utilisés dans l'invention sont bien connus, et correspondent par exemple à ceux qui sont utilisés dans les systèmes de communication cryptographique de l'état de la technique, mettant en oeuvre le RSA. Ils ne seront donc pas détaillés plus avant. Un exemple pratique de système de communication cryptographique, est le système formé des serveurs bancaires et des cartes à puce, pour la gestion de transactions financières. Mais il existe de nombreuses autres applications, telle les applications liées au commerce électronique .
Un premier mode de réalisation de l'invention va maintenant être détaillé, au regard de l'organigramme représenté sur la figure 3.
Cet organigramme représente une séquence de communication entre un dispositif A et un dispositif B sur un canal de communication 20. Ces dispositifs comprennent au moins les moyens de traitement, de mémorisation et de communication décrits en relation avec la figure 2.
Le procédé de cryptographie selon l'invention comprend un procédé de générations des clés publique K et privée K' . Selon l'invention, ce procédé de génération des clés publique et privée d'un dispositif comprend les étapes suivantes :
- sélection de deux grands nombres premiers p et q distincts et de taille voisine; - calcul du nombre n égal au produit p.q;
- calcul du nombre λ(n)=PPCM(p- 1 , q-1), c'est à dire de la fonction de Carmichael du nombre n;
- détermination d'un nombre g, 0<g < n2, qui remplisse les deux conditions suivantes : a) g est inversible modulo n2 et b) ord(g,n )=0 mod n.
Cette condition b) indique que l'ordre du nombre g dans l'ensemble (Z/n2Z)* des nombres entiers de 0 à n2 est un multiple non nul du nombre n, selon les notations définies plus haut.
La clé publique K est alors formée par le nombre n et le nombre g. La clé privée est formée par les nombres p,q et λ(n) ou seulement par les nombres p et q, λ(n) pouvant être recalculé à chaque utilisation de la clé secrète.
On génère selon ce procédé les clés publique et privée de chaque dispositif. Cette génération peut-être effectuée, selon les dispositifs considérés et les applications, par les dispositifs eux-mêmes ou par un organe externe.
Chaque dispositif, par exemple le dispositif A, contient donc en mémoire sa clé publique KA =(nA,gA) et, de façon secrète, sa clé privée K'A=(pA,qA).
En outre, les clés publiques sont mises dans un fichier accessible au public.
On verra ci-dessous qu'il est avantageux de choisir g=2, lorsque c'est possible, c'est à dire, lorsque g=2 remplit les conditions a) et b) du procédé de génération de signature selon l'invention. Un procédé de chiffrement selon un premier mode de réalisation du procédé cryptographique de l'invention mis en oeuvre dans le dispositif A consiste alors, pour l'envoi d'un message au dispositif B, dans la réalisation des étapes suivantes, avec 0<m<n: - renseignement des paramètres n et g du procédé de chiffrement mis en oeuvre par le dispositif A par la clé publique KB du deuxième dispositif B : n =nB, g=g B .
- calcul du cryptogramme c =gmmod n , et
- transmission du cryptogramme c sur le canal de communication.
Le procédé de chiffrement selon un premier mode de réalisation de l'invention consiste donc à prendre le paramètre g de la clé publique, à l'élever à la puissance m, et à calculer le résidu modulaire relativement à n' On
notera que dans le RSA, c'est le message m qui est élevé à la puissance alors que dans l'invention, le message m est utilisé comme exposant.
Le dispositif B qui reçoit le message chiffré, c'est à dire le cryptogramme c, met alors en oeuvre un procédé de déchiffrement selon l'invention avec les paramètres de sa clé privée. Ce procédé de déchiffrement comprend le calcul suivant :
- calcul du nombre m tel que logn(cλ(n)mod n2 ) m: mod n logn(gλ n)mod n2 ) ou x-1 logn(x) n Si g=2, on voit que le calcul d'élévation de g à la puissance est facilité. On prendra donc de préférence g=2, toutes les fois où ce sera possible. En d'autres termes, le procédé de génération des clés commencera par essayer si g=2 remplit les conditions a) et b).
Différentes variantes de calcul du procédé de déchiffrement peuvent être mises en oeuvre, qui permettent, lorsque le dispositif doit déchiffrer un grand nombre de cryptogrammes, de précalculer certaines quantités et de les conserver de façon secrète dans le dispositif. Une contrepartie est que la zone mémoire secrète (zone 120 sur la figure 2) du dispositif doit être plus étendue, puisqu'elle doit alors contenir des paramètres supplémentaires en plus des paramètres p et q. Ceci n'est pas sans influencer le choix de mise en oeuvre d'une variante ou d'une autre. En effet, la réalisation
d'une zone de mémoire sécurisée est coûteuse, et donc de capacité (mémoire) généralement limitée, notamment dans les dispositifs dits à bas côuts (par exemple, certains types de cartes à puce).
Dans une première variante de mise en oeuvre du procédé de déchiffrement, on prévoit que le dispositif, B en l'occurrence, précalcule une fois pour toutes la quantité : α„ιg= logn(gλ(n)mod n2 )"' mod n et la conserve secrète en mémoire.
Ainsi, on réduit d'autant le temps nécessaire au déchiffrement de chacun des messages reçus par le dispositif. En effet, lorsque que le dispositif B exécute une instance de cette variante du procédé de déchiffrement, il ne lui reste plus qu'à calculer : m= logn(cλ(n)mod n2 ) αn „ mod n.
Dans une deuxième variante de mise en oeuvre du procédé de déchiffrement selon l'invention, on prévoit d'utiliser le Théorème du Reste Chinois, pour une meilleure efficacité (rapidité du calcul).
Dans une instance de cette deuxième variante du procédé de déchiffrement, le dispositif effectue les calculs (de déchiffrement) suivants : 1 mp=iogp(cp"1 mod p2)logp(gp"1 mod p2)"1 mod p
2 mq = logq(c "1 mod q2)logp(gq"1 mod q2)"1 mod q
3 m = TRC(mp,mq,p,q), où x-1 logp ) et
x-1 lθgq(x)
Dans ce cas, on peut en outre prévoir, dans les cas où le dispositif est amené à déchiffrer un très grand nombre de messages, que le dispositif précalcule une fois pour toutes les quantités suivantes :
≈.p,g = logp(gp"1mod p2 )_1 mod p et α q.g = logq(gq"1mod q )"' mod q.
Le dispositif doit alors conserver ces quantités comme données secrètes.
Le calcul effectué lors d'une instance du procédé de déchiffrement devient :
1. mp=Togp(cp"1 mod p2) αP;g mod p
2. mq=logq(cq"1 mod q2) αq_g mod q
3. m = TRC(mp,mq,ρ,q).
Comme déjà précisé, toutes ses variantes de calcul de déchiffrement sont intéressantes lorsque le dispositif est amené à déchiffrer un très grand nombre de messages, et que le gain en temps de traitement compense la plus grande capacité mémoire de la zone sécurisée pour conserver toutes les données secrètes. Le choix de l'une ou l'autre variante dépend en pratique de l'application considérée et des contraintes de coûts et de temps de traitement à concilier.
Un deuxième mode de réalisation de l'invention comprend l'utilisation d'un nombre aléatoire, fournit par un générateur de nombre aléatoire (ou pseudo-aléatoire), dans le procédé de chiffrement, en sorte que pour un même message m à transmettre, le cryptogramme calculé c sera
différent à chaque fois. La sécurité du système de communication est donc plus grande. Le procédé de déchiffrement est inchangé.
Ce deuxième mode de réalisation de l'invention comprend deux variantes.
Dans une première variante, le cryptogramme c est obtenu par le calcul suivant : c = gm+nr mod n2
Dans une deuxième variante, le cryptogramme c est obtenu par le calcul suivant : c = gmrn mod n2.
Cette deuxième variante nécessite en pratique un temps de traitement plus long que la première, mais elle offre une plus grande sécurité.
Dans un troisième mode de réalisation de l'invention, on impose que l'ordre de g dans (Z/nZ) soit un entier de petite taille, ceci étant obtenu par une mise en oeuvre du procédé de génération des clés différente.
Avec une telle condition sur l'ordre du paramètre g, on réduit la complexité du calcul du procédé de déchiffrement qui devient en pratique quadratique (c'est à dire en x2) par rapport à la taille du nombre n.
Dans ce troisième mode de réalisation de l'invention, le procédé de génération des clés publique et privée est alors le suivant : - sélection en secret, d'un entier u et de deux grands nombres premiers p et q distincts et de taille voisine tels que u divise (p-1) et divise (q-1).
- calcul du nombre n égal au produit p.q;
- calcul du nombre λ(n) = PPCM(p- 1 , q-1), c'est à dire de la fonction de Carmichael du nombre n;
- détermination d'un nombre h, 0<h< n , qui remplisse les deux conditions suivantes : a) h est inversible modulo n et b) ord(h,n2 )=0mod n. - calcul du nombre g= hλ(n) u mod n2.
La clé publique K est alors formée par le nombre n et le nombre g. La clé privée est constituée par les entiers (p,q,u) conservés secrètement dans le dispositif.
De préférence, on choisit h = 2, lorsque c'est possible (c'est à dire si h=2 remplit les conditions a) et b), pour faciliter le calcul de g.
On notera que si u =PGCD(p- 1 ,q- 1 ), il n'est pas nécessaire de conserver ce nombre qui peut-être retrouvé par le dispositif à partir de p et q. De préférence, on choisira u premier, pour améliorer la sécurité du procédé, et de petite taille, typiquement 160 bits. En choisissant une petite taille pour u, on verra que l'on facilite le calcul de déchiffrement.
Dans ce troisième mode de réalisation, la mise en oeuvre du procédé de chiffrement pour chiffrer un message m est identique à celle précédemment décrite dans le premier mode de réalisation de l'invention, le cryptogramme étant égal à c = g mod n2.
On peut aussi calculer le cryptogramme c en utilisant une variable aléatoire r selon la première variante du deuxième mode de réalisation de l'invention précédemment décrit, r est alors un entier aléatoire, de même taille que u et le cryptogramme est obtenu par le calcul suivant : c = g mm + nnrr mod n .
Le cryptogramme c calculé selon l'une ou l'autre mise en oeuvre précédente du procédé de chiffrement est envoyé au dispositif B qui doit le déchiffrer. La mise en oeuvre du procédé de déchiffrement par le dispositif B qui reçoit le message est un peu différente.
En effet, le calcul effectué dans le dispositif dans une instance de déchiffrement, pour retrouver le nombre m à partir du cryptogramme c devient le suivant : logn(cu mod n2) m: mod n. logn(gu mod n2) On peut appliquer comme précédemment des variantes de calcul qui permettent d'accélérer le temps de traitement nécessaire.
Dans une première variante, on va ainsi précalculer une fois pour toutes la quantité : βn,g = logn(gu mod n2) _1 mod n et la conserver secrètement en mémoire. Lors d'une instance de déchiffrement d'un cryptogramme c reçu, le dispositif n'a plus qu'à effectuer le calcul suivant : m = logn(cu mod n2) βn g mod n.
Dans une deuxième variante, on met en oeuvre le Théorème du Reste Chinois, en utilisant les fonctions logp et logq déjà vues pour effectuer le calcul de déchiffrement. Lors d'une instance de cette variante du procédé de déchiffrement du cryptogramme c reçu, le dispositif effectue alors les calculs suivants :
1. mp = logp(cu mod p2)logp(gu mod p2)"1 mod p
2. mq=logq(cu mod q )logq(gu mod q2) "'mod q
3. m =TRC(mp,mq,p,q).
Dans une troisième variante, on accélère encore le temps de traitement nécessaire au déchiffrement du cryptogramme c selon la deuxième variante, en précalculant les quantités suivantes : βp,g = logp(gu mod p2) "' mod p βq, =logq(gu mod q2)"1 mod q et en les conservant de façon secrète dans le dispositif.
Lors d'une instance de calcul de cette troisième variante du procédé de déchiffrement du cryptogramme c reçu, le dispositif n'a alors plus qu'à effectuer les calculs suivants :
1. mp = logp(cu mod p2) βPjg mod p
2. mq=logq(cu mod q2) βq>g mod q
3. m =TRC(mp,mq,p,q).
Dans un quatrième mode de réalisation de l'invention, le procédé de chiffrement et le procédé de déchiffrement sont tels qu'ils présentent la particularité d'être des permutations sur le groupe des entiers modulo n . En d'autres termes, si le message m s'exprime sur k bits, le cryptogramme c obtenu en appliquant le procédé de chiffrement sur m et la signature s obtenue en appliquant le procédé de déchiffrement sur m sont aussi sur k bits.
Cette particularité confère au procédé cryptographique la propriété supplémentaire de pouvoir
être utilisé aussi bien en chiffrement/déchiffrement qu'en génération/vérification de signature. Dans ce cas, le procédé de déchiffrement est employé comme procédé de génération de signature et le procédé de chiffrement comme procédé de vérification de signature.
Dans ce quatrième mode de réalisation, le procédé de génération des clés publique et privée est le même que celui du premier mode de réalisation de l'invention : K = (n,g) et K' = (p,q,λ(n)) ou K' = (p,q). Si le dispositif A veut envoyer un message m chiffré au dispositif B, il se procure la clé publique (n,g) de ce dernier, puis dans une instance du procédé de chiffrement, effectue alors les calculs suivants, appliqué au nombre m, 0< m<n2 : 1. mι = m mod n
2. m2 = (m-ml )/n (division euclidienne)
3. c = gmI m2 n mod n2.
C'est ce cryptogramme c qui est envoyé au dispositif B.
Ce dernier doit donc lui appliquer le procédé de déchiffrement correspondant, pour retrouver mi, m2 et finalement m. Ce procédé de déchiffrement selon le quatrième mode de réalisation de l'invention consiste à effectuer les calculs suivants :
1. m1 = logn(cλ(n) mod n2 ).logn(gλ(n) mod n2 )_1 mod n.
2. w=cg"ml mod n .
5 1. ™ m2 — — ,.,1/n mod λ(n) _ m_o „d j _ n .
Comme précédemment, des variantes du procédé de déchiffrement selon ce quatrième mode de réalisation de l'invention sont applicables, qui permettent de réduire le temps de traitement nécessaire pour déchiffrer un message donné. Elles sont intéressantes lorsque le dispositif a un grand nombre de cryptogrammes à déchiffrer.
Une première variante consiste à précalculer les quantités suivantes : αn,g = l°gn( λ(n) mod n2)"1 mod n et γn= 1/n mod λ(n) que le dispositif B calcule une fois pour toutes et conserve secrètes en mémoire.
A chaque nouvelle instance de déchiffrement d'un cryptogramme c reçu selon cette première variante, le dispositif B n'a plus qu'à effectuer les calculs suivants :
1. m1 = logn(cλ(n) mod n2 ) αn,g mod n.
2. =cg"ml mod n .
3. m2 = wγn mod n.
4. m = m i + nm2
Dans une deuxième variante de la mise en oeuvre du procédé de déchiffrement selon le quatrième mode de réalisation, on utilise le Théorème du Reste Chinois.
Le dispositif qui veut déchiffrer un cryptogramme c selon cette deuxième variante effectue alors les calculs successifs suivants :
1. m1)P = logp(cp"1 mod p2)logp(gp"' mod p2)"1 mod p
2. wp=cg-ml'p mod p
3. m2,p = wp 1 q mod p-' mod p 4. mi =logq(cq"1 mod q2)logq(gq"' mod q2)"1 mod q
5. wq = cg"ml,q mod q
6. m2,q=wq 1 p mod q"' mod q
7. m,=TRC(m1)P,m2>p,p,q).
8. m2 = TRC(m,ιq>m2,q,p,q).
9. m = ιri| + pqm2
Dans une troisième variante, pour améliorer encore temps de traitement du déchiffrement de cette deuxπ variante, le dispositif B peut précalculer une fois t toutes les quantités suivantes : αp,g = logp(gp"1 mod p2)"1 mod p αq,g = logq(gq"1 mod q2)"1 mod q γp= 1/q mod p-1 γq= 1/p mod q-1 et les conserver secrètes en mémoire.
Le dispositif qui veut déchiffrer un cryptogra selon cette troisième variante n'a plus qu'à effect calculs suivants:
1. ralιP = lcgp(cF"1 mod p2) αp>g mod p 2. wp = cg"ml'p mod p
3. m2 p = wp γp mod p
4. mι q=logq(cq"1 mod q2) αq g mod q
5. q=cg"ml'q mod q
6. m2>q=wq γq mod q 7. mι = TRC(mι>p,m2ιP,p,q).
8. m2 = TRC(mliq,m2>q,p,q).
9. m = m, + pqm2
Le quatrième mode de réalisation de l'i vient d'être décrit permet de faire de la
vérification de signature. Comme représenté sur l'organigramme de la figure 4, si le dispositif B doit générer une signature s d'un nombre m représentatif d'un message vers le dispositif A, il applique comme procédé de génération de la signature, le procédé de déchiffrement avec sa clé privée : s = DK'B(m).
Le dispositif A qui reçoit la signature s et qui connaît le message m, vérifie que la signature est bonne en calculant la quantité v obtenue en appliquant le procédé de chiffrement sur la signature s avec la clé publique v=EKB(s). Si la signature est bonne, on a v = m.
Toutes les variantes de mise en oeuvre du procédé de déchiffrement de ce quatrième mode de réalisation qui permettent d'accélérer le temps de traitement sont aussi bien applicable en génération/vérification de signature.
L'invention qui vient d'être décrite est applicable dans tous les systèmes où l'on veut pouvoir chiffrer et/ou signer des messages. Elle permet d'élargir les possibilités d'adaptation aux différentes applications, selon que l'on recherche plus de sécurité, ou une vitesse de traitement accrue. A cet égard, on notera que le troisième mode de réalisation de l'invention, dont la complexité de calcul est seulement quadratique (fonction du carré de la taille de n) offre un réel avantage en terme de vitesse, dans la mesure où tous les procédés de l'état de la technique ont un ordre de complexité supérieur (fonction du cube de la taille de n). Un tel avantage intéresse plus particulièrement toutes les applications utilisant des dispositifs portables, tels les
cartes à puces et plus particulièrement les dispositifs à bas coûts.
Enfin, toute personne expérimentée dans la technique concernée par l'invention comprendra que des modifications dans la forme et/ou des détails peuvent être effectués sans sortir de l'esprit de l'invention. En particulier on peut chiffrer la signature, ou encore appliquer une fonction de hachage au message m avant de calculer sa signature.
Claims
1. Procédé cryptographique comprenant un procédé de génération de clés publique (K) et privée (K') dans un dispositif apte à échanger des messages sur au moins un canal de communication, la clé privée devant être conservée de façon secrète dans ledit dispositif et la clé publique devant être diffusée publiquement, le procédé de génération comprenant les étapes suivantes :
- sélection de deux nombres premiers p et q distincts, de taille voisine; - calcul du nombre n égal au produit p.q; caractérisé en ce que ledit procédé comprend en outre les étapes suivantes :
- calcul du plus petit commun multiple des nombres (p-1) et (q-1) : λ(n) = PPCM(p- 1 , q-1) - détermination d'un nombre g , 0<g<n2 qui vérifie les deux conditions suivantes : a) g est inversible modulo n et b) ord(g,n2) = 0 mod n, la clé publique dudit dispositif étant formée par les paramètres n et g et sa clé privée étant formée par les paramètres p,q et λ(n) ou par les paramètres p et q.
2. Procédé de génération selon la revendication 1, caractérisé en ce qu'il consiste à prendre g = 2, si g vérifie les dites conditions a) et b).
3. Système de communication cryptographique à clés publique et privée générées selon la revendication 1 ou 2, comprenant un canal de communication (20) et des dispositifs communiquant (A, B), chaque dispositif comprenant au moins une interface de communication (11), des moyens de traitement de données (10) et des moyens de mémorisation (12, 13), caractérisé en ce qu'un procédé de chiffrement est mis en oeuvre dans un premier dispositif (A) pour envoyer un nombre m représentatif d'un message, 0<m<n, à un deuxième dispositif (B), ledit procédé de chiffrement comprenant les étapes suivantes :
- utilisation des paramètres de la clé publique (nB,gB) du deuxième dispositif (B) pour renseigner les paramètres n et g du procédé de chiffrement,
- calcul du cryptogramme c = g mod n , ledit cryptogramme c étant ensuite transmis sur le canal de communication vers le deuxième dispositif.
4. Système selon la revendication 3 , caractérisé en ce que le dispositif mettant en oeuvre le procédé de chiffrement comprend en outre un générateur (15) d'un nombre entier aléatoire r, et en ce que ledit dispositif :
-effectue le tirage d'un nombre entier aléatoire r, puis -calcule le cryptogramme c en effectuant le calcul de chiffrement suivant: c=g +nrmod(n2).
5. Système selon la revendication 3, caractérisé en ce que le dispositif mettant en oeuvre le procédé de
chiffrement comprend en outre un générateur (15) d'un nombre entier aléatoire r, et en ce que ledit dispositif :
-effectue le tirage d'un nombre entier aléatoire r, puis -calcule le cryptogramme c en effectuant le calcul de chiffrement suivant: c = gmrπmod(n2).
6. Système selon l'une des revendications 3 à 5, caractérisé en ce que le deuxième dispositif (B) met en oeuvre un procédé de déchiffrement, pour déchiffrer ledit cryptogramme c, et qui comprend la réalisation du calcul m= logn(cλ(n)mod n2).logn(gλ(n)mod n2)"1 mod n x-1 où logn(x)= . n
7. Système selon la revendication 6, caractérisé en ce qu'un dispositif (B) mettant en oeuvre ledit procédé de déchiffrement, précalcule la quantité : α-n.g^ logn(gλ n)mod n2)"1 modn et la conserve secrètement.
8. Système selon la revendication 6, caractérisé en ce que dans une instance dudit procédé de déchiffrement un dispositif effectue les étapes de calcul suivantes, utilisant le Théorème du Reste Chinois TRC : mp = logp(cp"1mod p2).logp(gp"1mod p2)"1mod p. m, Togq(cq"Imod q2).logq(gq"'mod q2)"'mod q. m = TRC(mp,mq,p,q) , où logp et logq sont tels que x-1 log1(x)= .
9. Système selon la revendication 8, caractérisé en ce qu'un dispositif mettant en oeuvre ledit procédé de déchiffrement précalcule les quantités suivantes αp>g= logp(gp"'mod p2 )"' mod p et α ι,g = logq(gq"1mod q 2 )"' mod q. et les conserve secrètement.
10. Système de communication cryptographique à clés publique et privée générées selon la revendication 1 ou 2, comprenant un canal de communication (20) et des dispositifs communiquant (A,B), chaque dispositif comprenant une interface de communication (11), des moyens de traitement de données (10) et des moyens de mémorisation (12, 13), caractérisé en ce qu'un procédé de chiffrement est mis en oeuvre dans un premier dispositif (A) pour envoyer un nombre m représentatif d'un message, 0<m< n , à un deuxième dispositif (B), ledit procédé de chiffrement comprenant les étapes suivantes : utilisation des paramètres de la clé publique KB = (nB,gB) du deuxième dispositif (B) pour renseigner les paramètres n et g du procédé de déchiffrement, - et réalisation des calculs suivants :
1. m] = m mod n
2. m2 = (m-m 1 )/n 3. c = gml m2 n mod n2. ledit cryptogramme c étant transmis sur le canal de communication.
11. Système selon la revendication 10, caractérisé en ce que en ce que le deuxième dispositif (B) reçoit le cryptogramme c et met en oeuvre un procédé de déchiffrement, pour déchiffrer ledit cryptogramme qui comprend la réalisation des étapes suivantes de calcul :
1. m,=logn(cλ(n) mod n2 ).logn(gλ(n) mod n2 )'! mod n.
2. w=cg"ml mod n . i . m — w mod n .
4. m = m] + nm2.
12. Système selon la revendication 11, caractérisé en ce qu'un dispositif mettant en oeuvre ledit procédé de déchiffrement, précalcule les quantités suivantes : αn>g=Togn(gλ(n) mod n2)"1 mod n et γn= 1/n mod λ(n) et les conserve secrètement.
13. Système selon la revendication 11, caractérisé en ce que dans une instance dudit procédé de déchiffrement, un dispositif effectue les étapes de calcul suivant, en utilisant le Théorème du Reste Chinois :
1. mljP-logp(cp"1 mod p ).logp(gp"1 mod p2)"1 mod p
2. wp = cg"ml'p mod p
3. m2jP=wp 4 F mod p.
4. m1)q=logq(cq"1 mod q2).logq(gq"1 mod q2)"1 mod q w. -m 1 , q
:cg mod q
6. m2,q=wq 1/p mod q-' mod q
7. mι = TRC(m1>p,m2 p,p,q).
8. m2 = TRC(m1)q,m2jq,p,q).
9. m = m, + pqm2 , où logp et logq sont tels que x-1
14. Système selon la revendication 13, caractérisé en ce que dans une instance dudit procédé de déchiffrement, un dispositif précalcule les quantités suivantes : αP,g = logp(gp"1 mod p2)"1 mod p αq)g=Togq(gq"1 mod q2)"1 mod q γp= 1/q mod p- 1 γq= 1/p mod q-1 et les conserve secrètement.
15. Système selon l'une quelconque des revendications 11 à 14, dans lequel le procédé de déchiffrement est utilisé pour calculer la signature s d'un message m et le procédé de chiffrement est utilisé pour vérifier ladite signature.
16. Procédé cryptographique comprenant un procédé de génération de clés publique (K) et privée (K') dans un dispositif apte à échanger des messages sur au moins un canal de communication (20), la clé privée devant être conservée de façon secrète dans ledit dispositif et la clé publique devant être diffusée publiquement, procédé de génération caractérisé en ce qu'il comprend les étapes suivantes : sélection d'un nombre u et de deux nombres premiers p et q distincts, de taille voisine, tels que u divise (p-1) et divise (q-1);
- calcul du nombre n égal au produit p.q;
- calcul du plus petit commun multiple des nombres (p-1) et (q-1) : λ(n) = PPCM(p- 1 , q-1)
- détermination d'un nombre h , 0<h<n2 qui vérifie les deux conditions suivantes : a) h est inversible modulo n2 et b) ord(h,n2) = 0 mod n,
- calcul du nombre g=hλ n) u mod n2, la clé publique dudit dispositif étant formée par les paramètres n et g et sa clé privée étant formée par les paramètres p,q et u.
17. Procédé selon la revendication 16, caractérisé en ce qu'il consiste à choisir h = 2, si les conditions a) et b) sont remplies.
18. Procédé selon la revendication 16, caractérisé en ce que u est le plus grand commun diviseur de (p-1), (q-1).
19. Procédé selon la revendication 16, caractérisé en ce que u est un nombre premier.
20. Système de communication cryptographique à clés publique et privée générées selon l'une des revendications 16 à 19, comprenant un canal de communication (20) et des dispositifs communiquant (A, B), chaque dispositif comprenant une interface de communication (11), des moyens de traitement de données (10) et des moyens de mémorisation (12, 13), caractérisé en ce qu'un procédé de chiffrement est mis en oeuvre dans
un premier dispositif (A) pour envoyer un nombre m représentatif d'un message, 0<m<n, à un deuxième dispositif (B), ledit procédé de chiffrement comprenant les étapes suivantes :
- utilisation des paramètres de la clé publique (n,g) B du deuxième dispositif (B) pour renseigner les paramètres n et g du procédé de chiffrement,
- calcul du cryptogramme c =gmmod n2, ledit cryptogramme c étant ensuite transmis sur le canal de communication vers le deuxième dispositif.
21. Système selon la revendication 20, caractérisé en ce que le dispositif mettant en oeuvre le procédé de chiffrement comprend en outre un générateur (15) d'un nombre entier aléatoire r, et en ce que ledit dispositif :
-effectue le tirage d'un nombre entier aléatoire r, puis
-calcule le cryptogramme c en effectuant le calcul de chiffrement suivant: c = gm+nrmod(n2).
22. Système selon la revendication 20 ou 21, caractérisé en ce que le deuxième dispositif met en oeuvre un procédé de déchiffrement du cryptogramme reçu c, comprenant la réalisation du calcul suivant : m= logn(cumod n2).logn(gumod n2)"1 mod n.
23. Procédé selon la revendication 22, caractérisé en ce qu'un dispositif mettant en oeuvre ledit procédé de déchiffrement précalcule la quantité : βn,g = logn(gumodn2)"1 mod n
et la conserve secrètement .
24. Système selon la revendication 22, caractérisé en ce que dans une instance dudit procédé de déchiffrement, un dispositif effectue les étapes de calcul suivantes, en utilisant le Théorème du reste chinois :
1. mp=logp(cu mod p2).logp(gu mod p2)"1 mod p.
2. mq=Togq(cu mod q2).logq(gu mod q2) "'mod q.
3. m =TRC(mp,mq,p,q), où logp et logq sont tels que x-1
25. Système selon la revendication 24, caractérisé en ce qu'un dispositif mettant en oeuvre ledit procédé de déchiffrement précalcule les quantités suivantes : βP>g =:logn(gu mod p2) "' mod p βq g=logn(gu mod q2)"1 mod q et les conserve Se-çpètement.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP99973617A EP1151576B1 (fr) | 1999-01-14 | 1999-11-25 | Procede cryptographique a cles publique et privee |
| US09/889,362 US7054444B1 (en) | 1999-01-14 | 1999-11-25 | Public and private key cryptographic method |
| AU13902/00A AU1390200A (en) | 1999-01-14 | 1999-11-25 | Public and private key cryptographic method |
| JP2000594220A JP4137385B2 (ja) | 1999-01-14 | 1999-11-25 | 公開鍵および秘密鍵による暗号化方法 |
| DE69935455T DE69935455T2 (de) | 1999-01-14 | 1999-11-25 | Kryptographisches verfahren unter verwendung eines öffentlichen und eines privaten schlüssels |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9900341A FR2788650B1 (fr) | 1999-01-14 | 1999-01-14 | Procede cryptographique a cles publique et privee |
| FR99/00341 | 1999-01-14 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2000042734A1 true WO2000042734A1 (fr) | 2000-07-20 |
Family
ID=9540854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/FR1999/002918 WO2000042734A1 (fr) | 1999-01-14 | 1999-11-25 | Procede cryptographique a cles publique et privee |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7054444B1 (fr) |
| EP (1) | EP1151576B1 (fr) |
| JP (1) | JP4137385B2 (fr) |
| CN (1) | CN1338166A (fr) |
| AU (1) | AU1390200A (fr) |
| DE (1) | DE69935455T2 (fr) |
| ES (1) | ES2286910T3 (fr) |
| FR (1) | FR2788650B1 (fr) |
| WO (1) | WO2000042734A1 (fr) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2391772A (en) * | 2002-08-10 | 2004-02-11 | Clive Neil Galley | Public-key cryptosystem |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10061697A1 (de) * | 2000-12-12 | 2002-06-27 | Infineon Technologies Ag | Verfahren und Vorrichtung zum Ermitteln eines Schlüsselpaars und zum Erzeugen von RSA-Schlüsseln |
| US7141822B2 (en) * | 2001-02-09 | 2006-11-28 | Semiconductor Energy Laboratory Co., Ltd. | Semiconductor device and method for manufacturing the same |
| ITTO20010694A1 (it) * | 2001-07-13 | 2003-01-13 | Univ Roma | Metodo di crittografia. |
| US20050157872A1 (en) * | 2003-11-12 | 2005-07-21 | Takatoshi Ono | RSA public key generation apparatus, RSA decryption apparatus, and RSA signature apparatus |
| WO2006050605A1 (fr) | 2004-11-11 | 2006-05-18 | Certicom Corp. | Nouvelle fonction a sens unique avec trappe sur des courbes elliptiques, et leurs applications pour permettre le cryptage asymetrique avec des signatures plus courtes |
| FR2879866B1 (fr) * | 2004-12-22 | 2007-07-20 | Sagem | Procede et dispositif d'execution d'un calcul cryptographique |
| JP4758110B2 (ja) * | 2005-02-18 | 2011-08-24 | 株式会社エヌ・ティ・ティ・ドコモ | 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法 |
| US7774607B2 (en) * | 2006-12-18 | 2010-08-10 | Microsoft Corporation | Fast RSA signature verification |
| US8903090B2 (en) * | 2008-04-29 | 2014-12-02 | International Business Machines Corporation | Securely classifying data |
| US8170216B2 (en) * | 2008-06-18 | 2012-05-01 | Apple Inc. | Techniques for validating and sharing secrets |
| US8630422B2 (en) * | 2009-11-10 | 2014-01-14 | International Business Machines Corporation | Fully homomorphic encryption method based on a bootstrappable encryption scheme, computer program and apparatus |
| US8861716B2 (en) | 2010-03-30 | 2014-10-14 | International Business Machines Corporation | Efficient homomorphic encryption scheme for bilinear forms |
| US8903083B2 (en) | 2010-08-16 | 2014-12-02 | International Business Machines Corporation | Fast evaluation of many polynomials with small coefficients on the same point |
| WO2012149395A1 (fr) | 2011-04-29 | 2012-11-01 | International Business Machines Corporation | Chiffrement complètement homomorphique |
| US9281941B2 (en) | 2012-02-17 | 2016-03-08 | International Business Machines Corporation | Homomorphic evaluation including key switching, modulus switching, and dynamic noise management |
| JP5965873B2 (ja) * | 2013-08-29 | 2016-08-10 | 日本電信電話株式会社 | 暗号文生成装置、暗号文生成方法およびプログラム |
| CN103701586A (zh) * | 2013-11-07 | 2014-04-02 | 金硕澳门离岸商业服务有限公司 | 获取密钥的方法和装置 |
| US10333696B2 (en) | 2015-01-12 | 2019-06-25 | X-Prime, Inc. | Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency |
| US10690904B2 (en) | 2016-04-12 | 2020-06-23 | Stryker Corporation | Multiple imaging modality light source |
| US20190318118A1 (en) * | 2018-04-16 | 2019-10-17 | International Business Machines Corporation | Secure encrypted document retrieval |
| US10289816B1 (en) | 2018-06-08 | 2019-05-14 | Gsfm Llc | Methods, systems, and devices for an encrypted and obfuscated algorithm in a computing environment |
| JP7276423B2 (ja) | 2019-02-25 | 2023-05-18 | 日本電気株式会社 | 暗号システム、鍵生成装置、鍵生成方法、鍵生成プログラム、および準同型演算装置 |
| CN111683071B (zh) | 2020-05-29 | 2023-02-28 | 百度在线网络技术(北京)有限公司 | 区块链的隐私数据处理方法、装置、设备以及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5199070A (en) * | 1990-12-18 | 1993-03-30 | Matsushita Electric Industrial Co., Ltd. | Method for generating a public key |
| JPH10301491A (ja) * | 1997-04-28 | 1998-11-13 | Ibm Japan Ltd | 暗号通信方法とシステム |
| CA2256179C (fr) * | 1997-12-17 | 2002-05-07 | Shigenori Uchiyama | Appareils de cryptage et de decryptage pour systemes cryptographiques a cle publique et support d'enregistrement avec programmes de traitement enregistres |
| US6345098B1 (en) * | 1998-07-02 | 2002-02-05 | International Business Machines Corporation | Method, system and apparatus for improved reliability in generating secret cryptographic variables |
-
1999
- 1999-01-14 FR FR9900341A patent/FR2788650B1/fr not_active Expired - Fee Related
- 1999-11-25 EP EP99973617A patent/EP1151576B1/fr not_active Expired - Lifetime
- 1999-11-25 AU AU13902/00A patent/AU1390200A/en not_active Abandoned
- 1999-11-25 JP JP2000594220A patent/JP4137385B2/ja not_active Expired - Lifetime
- 1999-11-25 CN CN99816477.1A patent/CN1338166A/zh active Pending
- 1999-11-25 US US09/889,362 patent/US7054444B1/en not_active Expired - Lifetime
- 1999-11-25 WO PCT/FR1999/002918 patent/WO2000042734A1/fr active IP Right Grant
- 1999-11-25 DE DE69935455T patent/DE69935455T2/de not_active Expired - Lifetime
- 1999-11-25 ES ES99973617T patent/ES2286910T3/es not_active Expired - Lifetime
Non-Patent Citations (1)
| Title |
|---|
| YASUKO GOTOH ET AL: "A METHOD FOR RAPID RSA KEY GENERATION", SYSTEMS & COMPUTERS IN JAPAN, vol. 21, no. 8, 1 January 1990 (1990-01-01), pages 11 - 20, XP000177817, ISSN: 0882-1666 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2391772A (en) * | 2002-08-10 | 2004-02-11 | Clive Neil Galley | Public-key cryptosystem |
| GB2391772B (en) * | 2002-08-10 | 2005-05-11 | Clive Neil Galley | Public-key cryptosystem |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1151576A1 (fr) | 2001-11-07 |
| JP4137385B2 (ja) | 2008-08-20 |
| AU1390200A (en) | 2000-08-01 |
| JP2002535878A (ja) | 2002-10-22 |
| US7054444B1 (en) | 2006-05-30 |
| FR2788650A1 (fr) | 2000-07-21 |
| CN1338166A (zh) | 2002-02-27 |
| FR2788650B1 (fr) | 2001-02-16 |
| DE69935455D1 (de) | 2007-04-19 |
| ES2286910T3 (es) | 2007-12-01 |
| EP1151576B1 (fr) | 2007-03-07 |
| DE69935455T2 (de) | 2007-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1151576B1 (fr) | Procede cryptographique a cles publique et privee | |
| CN106161034B (zh) | 使用乘法秘密共享的rsa解密 | |
| EP2256987B1 (fr) | Protection d'une génération de nombres premiers pour algorithme RSA | |
| EP3010177A1 (fr) | Procédé d'authentification d'un dispositif client auprès d'un serveur à l'aide d'un élément secret | |
| FR2759226A1 (fr) | Protocole de verification d'une signature numerique | |
| EP2296086B1 (fr) | Protection d'une génération de nombres premiers contre des attaques par canaux cachés | |
| WO2001056222A1 (fr) | Procede de communication avec sequestre et recuperation de cle de chiffrement | |
| EP0963638B1 (fr) | Procede de signature numerique | |
| EP0666664B1 (fr) | Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret avec un nombre réduit de multiplications modulaires | |
| CN109361506B (zh) | 信息处理方法 | |
| EP1829279A2 (fr) | Procede et dispositif d'execution d'un calcul cryptographique | |
| EP0962069B1 (fr) | Systeme cryptographique comprenant un systeme de chiffrement et de dechiffrement et un systeme de sequestre de cles | |
| WO1998051038A1 (fr) | Generateur pseudo-aleatoire base sur une fonction de hachage pour systemes cryptographiques necessitant le tirage d'aleas | |
| EP1520370A1 (fr) | Procede et dispositifs cryptographiques permettant d alleger les calculs au cours de transactions | |
| FR2899750A1 (fr) | Procede et terminal pour securiser la generation d'une cle de chiffrement | |
| EP1642413B1 (fr) | Procede de chiffrement/dechiffrement d un message et disposi tif associe | |
| EP4070502A1 (fr) | Procédé de cogénération d'un matériel cryptographique partagé, dispositifs, système et programme d'ordinateur correspondant | |
| JP3820555B2 (ja) | 鍵生成情報作成装置及び鍵生成情報作成プログラム | |
| FR3143243A1 (fr) | Signature et dechiffrement de message securises par double rsa-crt | |
| FR3070517A1 (fr) | Systeme et procede d'authentification et de signature numerique | |
| WO2008034971A2 (fr) | Procede de cryptage de messages a destination d'au moins deux recepteurs, dispositif de cryptage et dispositif de decryptage associes | |
| WO2006045660A2 (fr) | Procede de generation de signature a la volee avec preuve de securite | |
| WO2006064112A2 (fr) | Procédé de traitement de données utilisant une fonction de couplage et dispositif associé |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 99816477.1 Country of ref document: CN |
|
| ENP | Entry into the national phase |
Ref document number: 2000 13902 Country of ref document: AU Kind code of ref document: A |
|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): AL AM AT AU AZ BA BB BG BR BY CA CH CN CU CZ DE DK EE ES FI GB GE GH GM HU ID IL IN IS JP KE KG KP LT LU LV MD MG MK MN MW MX NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT UA UG US UZ VN YU ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): GH GM KE LS MW SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| DFPE | Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101) | ||
| WWE | Wipo information: entry into national phase |
Ref document number: 1999973617 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: PA/a/2001/007143 Country of ref document: MX |
|
| ENP | Entry into the national phase |
Ref document number: 2000 594220 Country of ref document: JP Kind code of ref document: A |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 09889362 Country of ref document: US |
|
| WWP | Wipo information: published in national office |
Ref document number: 1999973617 Country of ref document: EP |
|
| REG | Reference to national code |
Ref country code: DE Ref legal event code: 8642 |
|
| WWG | Wipo information: grant in national office |
Ref document number: 1999973617 Country of ref document: EP |