CZ9904106A3 - Autoobnovitelné a autoověřitelné kryptosystémy - Google Patents

Description

Oblastí tohoto vynálezu je kryptografie. Vynález se týká kryptosystámů, žehnána uloženi a obnoveni kryptografických klíčů a dat Šifrovaných kryptografickými klid. Proces uloženi a obnoveni umožňuje, aby oprávněné subjekty, např. zákonné orgány, vládni instituce, uživatelé a organizace, mohly v připadá získán! povoleni Či v případě potřeby čist Šifrovaná data. Vynález se týká kryptosystámů používaných v softwaru, lze jej vSak táž aplikovat na kryptosystémy využívaná v hardwaru.

Dosavadní ^tovtophnikY

Kryptosystémy s veřejným klíčem (zkratka PKC = Rubíc Key Cryptosystems) unažňujf bezpečnou komunkad mezi dváma stranami, která se drive nesetkaly. Definice PKC byly stanovena v práci W. Diffieeho a M. Hetnana New cfirections in cryptography” - Nová směry v kTyptografí*, IEEE Transactions on Information Theory, 22, strany 644 - 654, 1976. Komunícace zde může probíhat pres nezabezpečený kanál. V PKC vlastni každý uživatel veřejný klič E a soukromý klič D. Klič E je veřejná zpřístupněn střediskem pro distribuci klíčů, které se taká nazývá certífikačnl úřad (CA), po ověřeni oprávněností uživatele (jeho identifikace atd.) registračním orgánem ován Regstračnl úřad je součástí ceitífikačnfho úřadu. Kflč D si uživatel uchovává v soukromí. Klíč E se používá ke Šifrováni zpráv, zatímco k dešifrováni zpráv lze požit pouze D. Klič D nelze odvodft výpočtem z klíče E. V PKC získá strana A veřejný klíč E od strany B ze střediska • ·

-2• · · * < 9 9 9 9 9 * * · · · 9 9 9 9

99·9 9·· 99 »«9 99 ·9 pro cBstribud klíčů. Strana A zakóduje zprávu pomoct E a odešle výsledek straně B. Strana B zprávu obnoví dešifrováním pomoci klíče D. Středisko pro dstribud klíčů má důvěru obou stran v tom, že uvede na požádáni správné veřejné kflče. PKC zataženě na obtížném výpočtu dbkrétnlch logaritmů byly pubíkovány v prácí T. El Gamala, A Publc-Key Cryptosystem as a Signatuře Scheme Based on Dacrete Logarithms’ - Kryptosystém s veřejným klíčem jako podpisové schéma na základě diskrétních logaritmů, CRYPTO '84, strany 10-18, Springer-Veriag, 1985.

Používáni PKC je vehnl pohodlné, přičemž umožňují uživatelům soukromou komunikaci po nezabezpečených kanálech. Lze je využívat k iniciaci systémů se symetrickým klíčem, jako je DES (Data Encryption Standard). PKC však mají své nedostatky. PKC mohou být zneužívány nezákonným způsobem, protože neexistuji žádná opatřeni, jak zabezpečit dodržováni zákona potřebnými dešifrovacími klíči, což může mft za následek nepostižitelnou nezákonnou komunkaci. Proto je žádoucí povolit soukromou komunkad výlučně občanům, dodržujícím zákon. Obecné řešeni tohoto problému spočívá v povinností každého uživatele předto&t svůj soukromý kflč pověřeným úřadům pro uloženi klíče institucím či pověřeným zástupcům. V případě oficiálně povoleného odposlechu jsou podíly z utaženého Mlče vyknuty. Jinak nabídne úřad pro uloženi kflče způsob, jak obnoví ztracené soukromé klíče v organizaci nebo klíče v systému souborů.

Uvedtne přehled některých systémů uloženi kflče a ukažme, že u nich nepostačuje samotný PKC. Patenty Spojených států 5,276,737 a 5,315,658 (MtaaN, 1994) ukazi# tzv. Fair Publc Key Cryptosystems (FPKC) (viz také S. MicaK, Fair Public Key Cryptosystems” - Kryptosystémy s veřejným klíčem typu Fair, CRYPTO '92, strany 113-138, Springer-Veriag, 1992), které splňi# potřeby občanů dodržujících regule zákona a prováděni zákona (a jsou založeny na P. Fektnan, 28th Annuai FOCS). MIcaRho preferované provedeni ukazuje, jak převádět Diffie-Helmanúv PKC a RSA PKC na PKC typu Fair. V preferovaném provedeni Diffie-Heknanova PKC typu Fair předlož! každý uživatel pět podílů pěti ústředním povéřencům (známým také pod názvem pověřené třetí strany) k « · • ·

-3* registraci veřejného kHče. Toto řeienl tedy není přflB výhodné, protože vyžadqe užiti malého počtu pověřených orgánů, a Je tedy velmi centralizované. Ve vynálezu uživatel vytváří pár klíčů ta, 2e soukromý kHč je uložen automaticky a lze jej ověřit Pak nejsou potřebné žádné třetí strany. Uložené informace lze odeslat do jednoho z mnoha decentrafeovaných certifikačnlch úřadů (CA). V Mfcalho systému verifikuje každý povéřenec jednottvé podíly. Je-fi podlí platný, je uložen do databáze. Každý povéřenec pak podepfáe hodnoty, které obdržel a předá Je do středska pro správu klíčů. Těchto pět úředních orgánů má za povinnost zabezpečit a spravovat pět soukromých databázi podílů. V prezentovaném provedeni jsou Míčové informace ověřovány CA. MaJH správnou formu, Je kHč podepsán a okamžitě umístěn do databáze, veřejných kHčů. Postač! zde Jen jedna soukromá databáze. Protože v tomto provedeni je ke správě uživatetekých Míčů potřebná pouze CA lze tak dosáhnout neýneněl možně mhy komunftačnf nadbytečnosti. V PKC typu Fair mohou pouze pověřend verifikovat, že Mlč Je správně uložen. Ověřeni je nutně, protože bez něho může uživatel snadno vytvářet klíče, které nejsou obnovitelné. Ve vynálezu Je může ověřovat každý. To Je zvláště užitečně v případě, když má občan např. pochybnosti o tom, zda CA dokáže řádně zabezpečit uloženi kHče.

Bylo uvedeno, že RSA PKC typu Fak nesplňuji určité zákonné požadavky (J. KBan, F. Leighton, Fair Cryptosystems Revřsiteď - Kryptosystémy typu Fair znovu”, CRYPTO ’95, strany 208-221, Springer-Veriag, 1995), protože do nich lze zabudovat stínový kryptosystém s veřejným Míčem. Stínový systém veřejného Mlče je systém, který lze zabudovat do systému uloženi Mlče, a umožňuje nelegálním uživatelům neodposlouchávatelnou komunikaci.

Nedostatek RSA FPKC spočívá v tom, že de předpokladů budou osoby porušuPcf zákon používat stejné tajné Mlče, jaké byly poskytnuty úřadům pro uloženi Mlče. Stínové kryptosystémy využívají toho, co je v oboru známo jako neregistrované kanály, existujíc! ve veřejných klíčích PKC. Dokument KMana a Leřghtona popisuje, jak převádét PKC na systémy typu Fai-safe Key Escrow (FKE), Ukazuji konkrétně to, jak sestavit systémy FKE pro PKC na bázi diskrétních logaritmů podobně jako Dřffie-Hefimanův systém a DSS. V jejich

-4· .* I • · • ·· · ·«· rozsáhlém protokolu se do protokolu ptihlásl uživatel a pověřené úřady, které generel veřejný a soukromý klič. Přitom jsou úřady přesvědčeny, že ve výsledném veřejném MIS nejsou obsaženy žádné neregistrované informace. Uživatel je také přesvědčen, že klíče jsou správně uloženy. Tento systém se podobá systému PKC Diffieho-Hefcnana typu Fair s vjjmkou přidané režfnl nadbytečnosti v tomto protokolu. Má tedy stejné nedostatky jako PKC Diffie-Hefenanův typu Fair. Ve vynálezu si uživatel vybírá svůj klič nezávisle. S ohledem na nebezpečí stínových PKC se vynález spoléhá na fakt, že neexistuje známý způsob, jak do konečného pole nenápadně vložit signifikantní množství bitů v modulární exponendacL Výužívání stínových kryptosystémú v PKC s dskrétnirrtí logaritmy se tedy jeví jako málo pravděpodobné.

De Santis et al. vysvětlíme, že systém uloženi Mlče, kde pověfend mohou otevřít pouze zprávy v relaci, a nfcofi otevřít kHČ strany podezřelé z nezákonné Činnosti. Tlm je zdokonalena myšlenka kryptosystémú typu Fair. Mezi daUf technfcy, které ukazuji, jak otevřít klič relace uživatelů místo stálého veřejného Mlče, je metoda Walrera a Wlnstona (TIS) a dokument IBM SecureWay. U těchto postupů obnoveni Mlče je třeba, aby uživatelé znal a aplflcoval kHče skupiny pověfenců při zahájeni každé relace. Tyto postupy však mohou být pro uživatele přIK zatěžující, protože vyžaduji nová rozšířeni protokolu používaná v každé komumkačnl relaci, a dále je nutno, aby uživatelé ukládal v PKI vefcé množství klíčů.

V prád E. Verheula a H. van Ttoorge Blnrfing EIGamal: A FraudDetecteble Alternativě to Key-Escrow Proposate - Alternativa k návrhům uloženi kHče schopná detekce zneužiti na bázi El Gamatova systému, Euiocrypt ’97, strany 119-1-33, Springer-Veriag, 1997, byla popsána alternativa k návrhům uloženi kfiče schopná detekovat své zneužiti na základě El Gamatova systému. Tento systém umožňuje uživatelům posílat šifrované informace spolu se stručnou kontrolou, že šifrované informace může obnovit skupina pověřencú. Tento systém tedy má výhodu, že nezávisí na pověřených třetích stranách. Systém však vyžaduje již extetuflcl infrastrukturu veřejného Mlče (Public Key Infrastructure PKI). A zde spočívá nedostatek v postupu Bintfing EtGamaT: nenf-i PKI uložena,

-5·« · * ··« ·· « · · • · · * pak může uživatel A Šifrovat veřejný kRC zprávy užitím veřejného kfiče uživatele B a následné odeslat výslednou Šifrovanou zprávu užitím metody Blndng EIGamaT. V tomto případě slouží kontrola prosté k tomu, aby ukázala, že pověřenec může tento text obnovit, a bráni tedy sledovat zákonnými prostředky komunkaci uživatelů podezřelých z nezákonné činnosti. Pit zneužití tohoto typu není podvod detekovatelný. Takovéto zneužití je možné, protože soukromý kfiČ uživatele B nenf utažen. Software, který zneužívá schéma Bincfing EIGamaT, lze bez problémů šifít a mohl by siné narušovat snahy o dodržování zákona v Širokém rozsahu. Vynález popisuje postup zavedeni uložené PKI, a proto tímto nedostatkem netrpí. Podobné jako při metodě *BincSng EIGamaT, využívá vynález obecné technky neinteraktivních kontrol nulové znalostní hodnoty, avšak kontroly pode vynálezu obsahuji novou technflcu. Postup, jak tyto kontroly tvořivě generovat, byl popsán v práci autorů A Fiate a A Sharrara, How to Prove Yoursetf: Prectícal Solutions to Identification and Signatuře Problems - “Jak potvrdit svou identitu: praktická řešeni problémů s identifikací a ροφ®/, CRYPTO ’86, strany 186-194, SpringerVertag, 1987.

Přehled schémat uloženi Mlče se objevuje v práci D. Denninga a D.

Branstada Ά Taxonomy tor Key Escrow Encryption Systems’ - Taxonomie šifrovacích systémů uložení ktfče’, Communications on the ACM, r. 39, č. 3,1996. Práce N. Jefferiese, C. Mitchela, M. Waflcera A Praposed ArchKecture tor Trusted Third Party Services* - Návrh struktury služeb pověřených třetích stran, Cryptography: Poflcy and Algortthms, LNCS 1029, Springer, 1996, a R. Andersona The GCHQ Protocol and Its Problems” - Protokol GCHQ a jeho problémy, Eurocrypt '97, strany 134-148, Springer-Vertag, 1997, popisuji přistup pověřené třetí strany k uloženi v případě, kdy jsou třetí strany zúčastněných uživatelů přítomny ve všech fázích zavedeni relace Mlče.

Všechna dosud známá řešeni pro uloženi Mlče trpí některým z následujících nevýhod, případně i většinou z nich:

a) Vyžaduji prostředky pro zabráněni úmyslného narušování či určitou hardwarovou aplkad. Zvyšuji se tak náklady na použiti a zpomaluje se zaváděni v praxi.

• ·

-6b) Vyžaduji využiti Masiftkovaných nebo jinak autorizovaných algoritmů. To může být nepř|atelné pro uživatele, kteří nedůvěřt# bezpečnosti zařízení nebo jeho obsluhy.

c) Používají se v softwaru a proto podéhajf změnám, majfdm za následek nesprávné fungováni a případně i nesledovateteou komunkad. To je však vnitřním problémem každého softwarového řešeni (v tomto případě lze požadovat pouze to, aby otevřené texty či kHče uživatelé byly obnovitelné, použhraH softwarové proaffecky k zabezpečeni svého soukromí).

d) vyžaduji rozsáhlou interakci v protokolu pří generováni Mlče a (nebo) obecném použiti. Kromě toho lze tuto interakci uskutečňovat s malým souborem centraizovaných entit, čímž vznká potenciální nebezpečí provozního a komunkačnfho zpožděni. Někdy je třeba, aby uživatel vlastnil Mlče pověřencú a používal je pil každém zahájeni relace, a dále je nutné provádět modifikace každého komunikačního protokolu.

e) Vyžaduji veky počet pověřených třetích stran (TTP), které se budou účastnit fungováni systému. Rozšíření důvěry mezi přkš mnoho stran zvyšuje riziko porušeni bezpečnosti a snižuje adaptabMtu.

f) Vyžaduji generováni kryptografických klíčů pověřenými třetími stranami. Zkorumpovaná nebo jinak zkompromitovaná třetí strana může ohrozit bezpečnost uživatele záměrným narušením nebo prozrazením kUčů uživatele.

g) Vyžaduji zabezpečeni a správu databáze (databázi) tajných Idlčů nebo tajných podílů uživatelů.

h) Lze je využit k zavedeni stínové infrastruktury veřejného klíče, což zcela popírá účel systému uloženi klíče.

Autoobnovitelné a autoověřiteiné kryptosystémy

V důsledku výše uvedených nedostatků je třeba najit nový mechanismus, majlcf následující výhody:

-7• ·· a a·· « v ·

a) Systém utažení klíče, který lze dtetrbuovat ve zdrojovém kódu bez ztráty bezpečnosti a vytváří tedy systém, jenž lze veřejně prozkoumat, aby se zjtetita, zda správně funguje. Dále to, že jeBcaŽ je systém utažení klíče k dfepoztai v softwarové formě, lze jej apHrovat v Širokém měřítku a zefektivnit náklady. To podporuje rychlou dbtribud systému.

b) V případě, že softwarové řeéenl je považováno za nepřgatelné v důsledku možnosti modifikace vynálezu, lze jej apHrovat přímo v hardwaru chráněném proti narušení. To vSak nepříznivě ovlivni výhody plynoucí z bodu (a) (např. snadnou cfistrbuci).

c) Systém uloženi vyžaduje nejmenšl objem interakce protokolů mezi úřady pro utaženi kfiče, CA a uživatelem, který je teoreticky možný. K registraci klíče postačí pouze zaslat zprávu jednomu z mnoha CA. Tento mechanismus se nazývá systém utaženi na základě registrace klíče. Pro porovnání, v preferovaném provedeni PKC typu Fair odesílá uživatel pověřencům pět zpráv, a dalších pět zpráv je pak odesláno do střediska správy klíče.

d) K apfikad systému uloženi postačuje pouze jediná soukromá databáze. Tato databáze musí mtt pouze oprávněni a musí být zachováno její soukromí, aby se zabránilo založeni stínového PKC. Soukromé kflče uživatele nebudou vystaveny, je-fi vystavena databáze. To je opačné než u PKC typu Fak, v němž musí být udržováno někoic databázi a jsou-i narušeny, jsou narušeny i klfče uživatele. Diky tomuto požadavku stačí, aby nový systém při zaváděni a certifikaci kflčů uživatelů spoléhal pouze na CA, jako je tomu v obvyklých systémech veřejného Mlče.

e) Systém utaženi umožňuje, aby kdokoi ověřoval soukromý klíč uživatele. Ověřeni spočívá v tom, že soukromý klič je obnovitelný úřady pro utaženi klíče při zadaném odpovfdajlcim veřejném Míči uživatele, certifikátu a veřejných parametrech. V porovnáni s tím u PKC typu Fair provádějí toto ověřeni pouze pověřena. Tento požadavek nového systému se nazývá univerzální ověřitelnost

f) Systém utaženi lze zabezpečit proti stínovému veřejnému kflči. Ukázalo se, že systémy PKC typu Fair nejsou odolné proti stínovému veřejnému kfiči, a a

-8*«·« konkrétně je lze zneužit v rámci zveřejněni schémat jiných PKC (J. Klen, F. Leighton, Fair Cryptosystems Revisiteď -Kryptosystémy typu Fair znovu, CRYPTO ’95, strany 208-221).

Vynález je dostatečné všestranný na to, aby bylo možno použit buď a), nebo b) (konkrétně softwarovou, nebo hardwarovou apBraci). V obou případech jsou splněny požadavky c) až f).

Podstata vynálezu

Aby byty splněny výše uvedené a další čile a vlastnosti popsané níže, zavádí vynález do kryptografie nové paradfcpna. Vynález popisuje postup ověřeni, že uživatelem vytvořený soukromý klič je obsažen v šifrováni pod veřejným klíčem úřadů pro uloženi klíče bez potřeby nadměrné režie. Toto ověřeni může navíc provést kdokol, kdo vlastni veřejný Mlč úřadů pro uloženi klíče. Vynález zahrnuje proces nastaveni a tři funkce, zpracovávající různým způsobem signál. Těmito funkcemi je generováni kflče, ověřeni kflče a obnoveni klíče. V procesu nastaveni se účastnici v preferovaném provedeni domluví na skupině počátečních veřejných parametrů a úřady generuji utažený veřejný klič a ockrovfdajlcl soukromě klfče. PočáteCnf parametry a utažený veřejný klič jsou veřejnými parametry systému. Úřady pro utaženi klíče, Certifikačni úřad (CA) a uživatelé systému mají všichni přistup k veřejným parametrům. V procesu generováni kflče se vytvoř! dvojtae klíčů uživatele, skládající se z veřejného klíče a ze soukromého klfče, a certifikát obnoviteinosti, což je informační řetězec, který obsahuje impldtnl zašifrování soukromého klfče uživatele uloženým veřejným kfičem. Informace o signálu, obsahujíc! veřejný klíč uživatele a certifikát o obnoviteinosti může být vysílán do lbovolné entity. V procesu ověřeni vysílá uživatel teto signál směrem k ověřovatel. V procesu ověření se přebírá vstupní signál, zpracovává a na výstupu se projev! jako pravdivý či nepravdivý. Výsledek pravdivý znamená, že úřad pro utaženi klíče může soukromý MIC uživatele z certifikátu obnoviteinosti obnovit Výsledek nepravdivý znamená, že soukromý MIC nenf obnovitelný. Vynález je navržen tak,

-9·*·· *«· aby uživatel nemohl generovat veřejný kfič ani certifikát obnovitelnosti, když kH£ není utažen a přitom absohMe proces ověřeni s výsledkem pravda. V preferovaném provedeni certifikujl uživatelé své veřejné kfiče u registračního úřadu certifikačniho úřadu (CA), který po úspěšném ověřeni podepSe jepch veřejný klič. Veřejný klič společné s podpisem CA na řetězci, který obsahuje veřejný Míč, tvoři certifikovaný veřejný klič. Řečeno podrobněji při př|eti veřejného Mlče uživatele a certifikátu obnovitelnosti ověří CA, že odpovídající soukromý kRč je obnovitelný. Pokud tomu tak je (konkrétně je výsledkem procesu ověřováni pravdivá hodnota), je veřejný klič certifikován a (nebo) jej CA veřejně zpřístupni. Je pouze třeba, aby si uživatel udržoval svůj veřejný kRč a měl přistup k databází veřejného kfiče, obsahi^ld veřejné kRče ostatních uživatelů jako v typickém PKI. V procesu obnoveni používají úřady pro uloženi kfiče certifikát obnovitelnosti uživatele, získaný od CA, jako vstupní signál. Úřady pro uloženi klíče zpracují certifikát obnovitelnosti a výsledným výstupním signálem bude odpovídající soukromý kRč uživatele nebo data zašifrovaná užitím otyovfdajiclho veřejného kfiče.

Vynález je užitečný v fcovdném prostředí, v němž je třeba obnovovat soukromé kfiče nebo kfiče zašifrované těmito klíči Či Informace zašifrované těmito kfiči. Tato prostředí lze se nacházej! v národních a mezinárodních Institucích kontrolujících dodržování zákona, v obchodním sektoru, v zabezpečovacích systémech atp. Ze správného uloženi soukromých klíčů vyplývá správné uloženi Informaci zašifrovaných pomoci veřejného kfiče, a vynález má tudíž mnoho využiti.

Vynález je nenáročný na souvisejíc! technfcu, může tedy být reafizován v hardwaru i v softwaru. Při využiti v softwaru jej lze snadno přizpůsobit tak, aby byly zástěny potřebné funkce, i to, aby neohroz! bezpečnost uživatelů. Softwarové využití umožňuje rychlou a snadnou dbtribud vynálezu, jelikož jej lze Siřit ve zdrojovém kódu na deketách nebo přes počítačovou sff. Vynález je také v maximální možné míře komunikačně nezávislý. Jediná potřeba komunikace je zde vlastni akt distribuce softwaru (nebo hardwarového zařízeni) a jednorázový přenos veřejného kfiče uživatele, certifikátu obnovitelnosti a dodatkových informaci. Signály lze zpracovat rychle a signály samy o sobě tvoři malé množství informaci. Vynález nevyžaduje změny v komunkačnlch protokolech používaných v » «

-10typických PKI bez uloženi kfiče (např. ρΠ zavedeni kHCe relace, Síření klíče, zabezpečeni přenosu zprávy aíp.). Vynález je proto kompatfcfinl s typickými PKI. Vynález tak umožňije vekni efektivní způsob uloženi a obnovováni kryptografických klíčů.

RfcfíM 4?růjfiků na výkraech

Vynález bude popsán s odkazy na doprovodné obrázky 1 až 7.

Na obrázku 1 je vývojový ďagram dat v procesu zavedení postupu podle vynálezu pro použiti s m“ úřady pro uloženi kfiče.

Obrázek 2 je vývojový dtegram základních kroků procesu generování dvojice veřejnéhoZsoukromého klíče a certifikátu abnovitelnosti s využitím vynálezu.

Na obrázku 3 je vývojový diagram dat v procesu ověření abnovitelnosti soukromého kfiče.

Na obrázku 4 je vývojový tSagram dat v procesu re^strace kfiče užitfm vynálezu.

Na obrázku 5 je vývojový cfiagram dat v procesu obnoveni soukromého klíče úlády pro uložení klíče.

Obrázek 6 popisuje generický systém veřejného klíče a jeho hlavni složky a operace.

Obrázek 7 popisuje systém uloženi veřejného kfiče, který vznikne po aplikaci vynálezu a jeho hlavních složek a operaci.

Příklady provedeni vynálezu

Následuje popis prvního preferovaného provedeni vynálezu. Tam, kde to apfikace umožňuje, budou popis preferovaného provedeni doprovázet variace na preferované provedeni. Pro snadnější prezentaci je použit transformační • «

-114 ♦ ··· algoritmus SHA (Schneier, 2. vydáni, strany 442-445), ačkol na jeho místě mohou být toovolné transformační algoritmy Šifrováni. V preferovaném provedeni se parametry voH z příslušných množin jednotně a náhodně. Alternativy provedeni zahrnuji změny pravděpodobnostního rozděleni, z něhož se tyto hodnoty voň.

Kryptosystém začíná systémovým nastavením preferovaného provedeni znázorněným na obrázku 1. V preferovaném provedeni se účastnici domluví na vefcém prvočísle r tak, že q = 2r + 1 je prvočíslo a p = 2g + 1 je prvočíslo. PffWady hodnot pro r, které vyhovuji tomuto vztahu, je 5a 11, jedná se však o malé hodnoty. Následuje 1024-bitová hodnoto r v hexadecimálním tvaru: fd90e33af0306c8b1a9551ba0e536G23b4d2965d3aa813587ccf1aeb1ba2da824 89b8945e8899bc546dřded24c861742d2578764a9e70b88a11e9953469c7b5b8 9b1b15b1f3d775947a85e709fe97054722c78e31ba20237e1e116362baa4a66c 6da0a58b654223fdo4844963478441albbfad7879864feld5df0a4c4b646591.

Číslo r o velikosti 1024 bito je pro použití v kryptografických systémech dostatečně velké. Nalezeni hodnot r, q a p nenf tok snadné jako nalezeni pouhého prvočísla, není to však neprovecMeiné. Je třeba mft velmi efektivní algoritmus, který tze apftovat například s využitím multjirechnl knihovny. Mezi takovéto algoritmy patři Karatsubovo násobeni, Montgomeryho metoda omezeni, sčftacf řetězce a Rabin-Mierovy pravděpodobnostní testy (J. Lacy, D. Mftchel, W. Schel, CryptoLb: Cryptoyaphy in Software* - OryptoUb: Kryptoyafie v softwaru*, AT& T Bel Laboratories, cryptoB>Qresearch.attcom).

K efektivnímu hledáni vekých hodnot r, q a p be použit následující postup. Je však třeba, aby se r moduto 3 rovnalo 2. Nemůže to být 0, protože pak by r nebylo prvočíslo. Může to být 1, jeHcož pak by q bylo dělitelné 3. Také r mod 5 musí být 1 nebo 4. Nemůže to být 0, protože pak by r bylo déltelné 5. Nemůže to být 2, protože pak by q bylo déltelné 5. Nemůže to být 3, protože pak by p bylo déltelné 5 atd. Tento postup nazýváme pokusně určováni zbytku*. Metodou pokusného Nedáni zbytku můžeme rychle vyloučit hodnoty pro r, q a p před prováděním pokusného děleni a testů statistického hledáni prvočísla. Jakmle provedeme zkušební Nedáni zbytku např. do 251, provedeme s r, q a p zkušební děleni. Nejsou-í r, q a p vyřazeny, provedeme s r, pak s, pak s p, pak s r, pak s q

-12*«·· «·· «·· *· otp. stfídavě se všemi třemi Cisty Rabin-MHerův prvočíselný test Je-1 některé z r, q a p čisto stolené, stanovíme r tak, aby se rovnalo r + 2 x 3 x 5 x... x 251 a vše opaktjeme, přičemž začneme s pokusným dělením a se stejným souborem potenciálních svěcků. Takto nemusíme provádět znovu pokusné určováni zbytku, protože jsou zjfttěny předcházející poAninky pro r. Jakmile nalezneme r, q a p, provedeme další prvočíselné testy s využitím možných svědků, které se naleznou užitím silného generátoru náhodných čísel. Projdou-í r, q a p těmito testy, jsou považována za prvočísla a jsou prohlášena za systémové parametry.

Účastnici se domluví na hodnotě g nebo CA zvon tu hodnotu g, která generuje prvky v množině {1, 2, 3,...,p-1}, a lichou hodnotu g1, která generuje všechny hodnoty menší než 2q, jež jsou vzhledem k 2q relativním prvočíslem. Uvědomme si, že 2q je množina násobků a má svůj generátor. Hodnoty g a s jsou v preferovaném provedeni Schó čísla. Hodnoty r, q, p, g a g1 jsou počáteční systémové parametry a jsou veřejně přístupné, aniž by došlo k narušeni bezpečnosti. Mohou je zvolt přímo příslušné úřady a (nebo) kdokoli jiný. Jakmile jsou g1 a q specifikovány, m úřadů (m je větší než 1 nebo rovno 1) přistoupl ke kolektivnímu výpočtu veřejného klíče úřadu pro uloženi kNče (V, g1,2q), který se též nazývá uložený veřejný klič, a soukromých klíčů úřadu pro uloženi klíče. Aby to bylo možno provést, úřad i, kde i je v rozsahu od 1 do m, zvol! náhodně hodnotu zj ze množiny {1. 2,...,2r-1}, a pak nastaví Y_i, aby bylo rovno g1 umocněné na tuto hodnotu mod 2q. Alespoň jeden úřad pak získá veškeré informace o Y_i od m - 1 zbývajících úřadů pro uloženi. V preferovaném provedeni úřad i, kde i je v rozsahu od 2 do m, odešle Y_i úřadu 1. Odesláni Y_i je popsáno v kroku 11 na obrázku 1. Y se vypočítá tsric, aby bylo výsledrem Y J mod 2q od alespoň jednoho z úřadů. Úřad 1 pak ověřuje, že (g1/Y) je generátorem všech hodnot menších než 2q a je relativním prvočíslem vzhledem ke 2q. NenHI tomu tak, provede se krok 12. V kroku 12 se požádá dalších m -1 úřadů, aby zvoSy pro z nové hodnoty, a postup od začátku kroku 11 započne znovu. V preferovaném provedeni zvolí úřad 1 také znovu z_1. V jiném provedeni generuje nové hodnoty pro z alespoň 1 a méně než m úřadů. Tento postup se opakuje toftrát, koHcrát je třeba, dokud nebude (g1/Y) generátorem všech hodnot menších

-13• 4 ·«·· 44· «· • 4 ·· než 2q, které jsou relativními prvočísly vzhledem k 2q. Jeden nebo větší počet úřadů pro utaženi pak Y zveřejni nebo jej jinde zpřístupni uživatelům a CA. To je popsáno v kroku 13 na obrázku 1.

Na obrázku 2 je vývojový cfiagram, znázorňující postup, jimž uživatelský systém genenje dvojfct veřejnéhofeoukromého klíče a certifikát obnoviteteosti. Po obdrženi signálu Y, který je zpřístupněn uživatelům úřady pro uloženi klíče, pokračtje uživatelský systém v generováni klíče pro uživatele El Gamakxvým postupem (y, g, p). Signál Y může být ve vynálezu již a priori zahrnut Vynález dále vybírá náhodnou vobou hodnoty k z množiny {1, 2,...,2r - 1}. To je popsáno v kroku 2004 na obrázku 2. V kroku 2005 počítá vynález C = (g1 umocněno na k) mod 2q. V kroku 2006 počítá vynález soukromý kflč uživatele x jako ((g1/Y) umocněno na k) mod 2q. Vynález také počítá y jako (g umocněno na x) mod p.

Systém pak přejde ke kroku 2007 a počítá certifikát, který může využit jakákoli zúčastněná strana k ověřeni, že soukromý klič uživatele je správně v C zašifrován. Certifikát obsahuje hodnotu v, již systém vypočítá jako g umocněno na w mod p, kde w je ((1/Y) umocněné na k) mod 2q. Parametr veřejného kKče y fee obnovit z g a v výpočtem v umocněným na C mod p. Systém také zpracovává tři neinteraktivní kontroly takzvané nulové znalostní hodnoty a zahrne je do certifikátu. Nechť n označuje počet opakováni v každé neinteraktivním kontrole. V preferovaném provedeni je n rovno 40. První kontrola je navižena tak, aby si uživatel mohl ověfit, že zná k v C. Druhá kontrola je navržena tak, aby si uživatel mohl ověřit, že zná k ve v. Poslední kontrola je navržena tak, aby si uživatel mohl ověfit, že zná k ve v umocněné na C mod p. Tvrzením 'uživatel zná hodnotu x” míníme, Že systém má ve svém stavu hodnotu x.

Řečeno podrobné?, bude systém pfi konstrukci neinteraktivních kontrol postupovat následovně. Náhodně zvolí hodnoty e_1,1, e_1,2, ...e_1,n, e_2,1, e_2,3,...,e_2,n a e_3,1, e_3,2, e_3,n z množiny {1,2,...,2r-1}. Pro i v rozsahu 1 až n stanoví systém l_1,i jako g1 umocněno na e_1,i mod 2q. Pro i v rozsahu od 1 až n stanoví vynález l_2,i jako v umocněno na dj mod p, kde se dj rovná Y umocněno na - e_2,i mod 2q. Pro i v rozsahu 1 až n stanoví systém l_3,i jako y mocněno na tj mod p, kde tj je (g1/Y) umocněno na e_3,í mod 2q. Vynález pak o

-14 · · « t ···· ··« ·· «·· • · * »« *· počítá hodnotu md jako transformaci SHA množiny vytvořené zřetézenfm dvojic l_2,i, l_3,i) pro i v rozsahu od 1 do n. Uvědomme sl, že md je funkci všech hodnot I s využitím adekvátně siné kiyptopalické transformační funkce. V alternativních provedeních může mft transformační funkce efektivní rozsah hodnot odKný od 160 bitů. Větší rozsah transformační funkce umožňuje podstatně věftl hodnoty n. Systém nastav! každou z bitových hodnot b_1,1, b_1,2,..., b_1,n, b_2,1, b_2,2,..., b_2,n, b_3,1, b_3,2..... b_3,n tak, aby byty příslušnými 3n n^iěně významnými bRy z md. Existuje mnoho způsobů, jkniž může vynález bezpečně přiřadit bity md hodnotám příslušejícím b. Hodnoty b jsou bily výzvy, přičemž tato metoda hledáni je znána jako Fiat-Shamirova heuristika. Systém pak pokraČLje výpočtem reakce na tyto bily výzvy. Pro i v rozsahu 1 až 3 a pro j v rozsahu od 1 do n stanov! systém zj j jako ej,j + (b_i,j)k mod 2r. Tfcn konči popis kroku 2007 na oblázku 2.

Systém přistoupl ke kroku 2008.V kroku 2008 má vynález na výstupu parametry C, v, y, (l„1,i, l_2,i, i_3,i) a (z_1,i, z_2,i, z_3,i) pro i v rozsahu od 1 do n. V alternativním provedeni získá uživatel na výstupu z vynálezu hodnotu k. Uživatel má možnost votoy později interaktivně zkontrolovat, že jeho soukromý klič je obnovitelný úřady pro uloženi Mlče. To bude dále ukázáno podrobněji Část certifikátu mohou tvořit také hodnoty b. Tento krok však není nutný, protože hodnoty b lze odvodt přímo z hodnot I.

Popis provedeni tak obsáhle vysvětil, jak je systém sestaven pro použiti CA a úřady a jak je systém aplikován uživatel (potenciálními přfiemci) při generováni dvojic veřejného/soukromého klíče a certifikátu obnovitelnosti. Tyto certifikáty jsou řetězce ukazujíc! každému, komu jsou předloženy, že vytvořený Mlč má veřejně specifikované vlastnosti. Následuje popis, jak vynález apHnje uživatel, aby dokázal ověřovatel, že x je obnovitelné z C. Tento proces je popsán na obrázku 3. Ověřovatelem může být CA, úřad pro uloženi Mlče nebo kdokoli jiný, kdo je součástí systému.

Následuje proces ověřeni podle obrázku 3. V kroku 3009 genenqe uživatel dvojici veřejného/soukromého Mlče, šifrováni x a certifikát užitkn vynálezu, jak je popsáno výše. V kroku 3010 vysílá uživatel signál s těmito parametry ověřovatel.

• ·

-15• · · · ·*«·«· • · · · · ««*· ···· ·»· »· ₄«* «. *,

V kroku 3011 použije ověřovatel tento signál ke ajBWnt, zda úřady pro utaženi kfiče mohou, Či nemohou soukromý klfč uživatele obnovit Aby to bylo možno provést, používá ověřovatel veřejný kfič uživatele, šifrováni C, o^ovldajlcí certifikát a utažený veřejný klíč Y.

Nyní bude podrobně popsán způsob, jimž se zpracovává signál uživatelů. Na výstupu z ověřovacího systému je 0, je-fi veřejný klíč a (nebo) certifikát neplatný, jinak je to 1. Vynález může přejít k daBfmu kroku a ukázat ověřovatel, Že v případě obdrženi 0 je veřejný klič neplatný. Ověřovací systém může analogicky informovat ověřovatele o vafidad, která úspěšně proběhne.

Při prováděni ověřeni kontroluje neferve ověřovací systém, že y je rovno v umocněno na C mod p. Nenl-i y rovno v umocněno na C mod p, uvádí ověřovací systém 0. Ověřovací systém pak ověřuje til neinteraktivní kontroly obsažené v certifikátu uživatele. Vynález počítá (b_1 ,i, b_2,i, b_3,i,) pro i v rozsahu od 1 do n stejným způsobem jako v průběhu generováni certifikátu. Vzpomeňte si, že tento postup byl popsán v souvislosti s obrázkem 2.

Pfl první neinteraktivní kontrole ověřovací systém kontroluje, zda se gl umocněno na z_1,i rovná C(l_1,i) mod 2q, je-fi b_1,i, = 1 pro i v rozsahu od 1 do n. Ověřovací systém také kontrole, zda g1 umocněno na z_1 ,í je rovno l_1,i mod 2q, je-fi b_1,i = 0, pro i v rozsahu od 1 do n. NeptatH některá z těchto rovnosti, uvádí ověřovací systém hodnotu 0. Tkn konči ověřeni první neinteraktivní kontroly.

Při druhé neinteraktivní kontrole ověřovací systém kontroluje, zda se g umocněno na wj rovná l_2,i mod p, je-fi b_2,i, = 1 pro i v rozsahu od 1 do n. Zde je wj rovno 1/Y umocněno na z__2,i mod 2q. Ověřovací systém také kontrolce, zda v (mocněno na v_i je rovno l_2,i mod p, je-fi b_2,i = 0, pro i v rozsahu od 1 do n. Pokud některá z těchto rovnosti neplatí, uvádí ověřovací systém hodnotu 0. Tkn konči ověření druhé neinteraktivní kontroly.

Pfl třetí neinteraktivní kontrole ověřovací systém kontroluje, zda se g umocněno na wj rovná l_3,i mod p, je-li b_3,i = 1 pro i v rozsahu od 1 do m. Zde je w_i rovno (g1/Y) umocněno na z_3,i mod 2q. Vynález také kontroluje, zda y unocněno na vj je rovno l_3,i, je-fi b_3,i = 0, pro i v rozsahu od 1 do m. Zde je vj rovno (g1/Y) umocněno na z_3,i mod 2q. Pokud některá z těchto rovnosti

-16• o

neplatí, uvádí ověřovací systém hodnotu 0, Pokud úspěšně proběhnou všechna ověFenf, uvádí ověřovací systém na výstipu hodnotu 1.

Na obrázku 4 certifikuje uživatel veřejný kflč s CA. V kroku 4012 tohoto postupu uživatel generuje svůj veřejný Mlč a certifikije obnovitelnost jak je uvedeno <fffve. Uživatel vysílá signál do CA. To odpovídá kroku 4013 na obrázku

4. V kroku 4014 se CA chová jako ověřovatel a verifikuje, že soukromý kHČ uživatele je obnovitelný úřady pro uloženi klíče. Dosud byty kroky 4012 až 4014 stejné jako kroky 3009 až 3011 v procesu ověřováni Mlče na obrázku 3. CA však kromě toho zpřístupni Idlče, které úspěšně projdou ovětenkn, na požádáni ostatním a (nebo) je bude certifikovat Pokud veřejný kflč uživatele neprojde ověřovacím procesem, je pokus o certifikaci bud ignorován, nebo je uživatel upozorněn na to, že pokus o certifikaci neuspěl.

V závislosti na požadavcích prostředí, v němž se vynález používá, mohou mít uživatelé za povinnost přecfložit další informace za účelem registrace veřejného klíče a potvrzeni, že znají soukromou část klíče, aniž by byla prozrazena. Touto informaci by mohlo být heslo, číslo sociálního zabezpečeni, dříve používaný soukromý klič atp. V případě, že CA je pověřená entita, může CA jednoduše tfgttákiě podepsat veřejný kflč uživatele a na požádáni zpřístupnit kflč spolu s podpisem CA. Nenf-fl CA pověřená entita, měl by být certifikát uložen ve veřejném souboru. Certifikát spolu s certifikátem obnovitelnosti by měl být předán úřadům pro uloženi klíče, které naopak mohou zajistit obnovitelnost Tkn konči popis procesu certifikace veřejného klíče.

Jako poslední bude popsán proces obnoveni soukromého klíče. Tento proces je popsán na obrázku 5. V tomto procesu používá vynález n úřadů pro utaženi klíče k obnoveni soukromého klíče uživatele na základě C. V tomto procesu obdrž! C všech m úíadů pro uloženi klíče, jak je popsáno v kroku 5015 na obrázku 5. V jiném provedeni vysílá CA parametr C a (nebo) jiné parametry k jednomu nebo většímu počtu úřadů. Budou tedy vlastnit C. V tomto okamžiku vypočítá úřad pro uloženi klíče hodnotu t i jako C umocněno na zj mod 2q. Uvědomte si, že zj je soukromý kflč Ftého úřadu pro uloženi klíče. To se provede pro i v rozsahu od 1 do m. Úřady 2 až m pak odešlou jednottivé hodnoty t do

-17**·» *·· ** a·· ·· úřadu 1, jak je popsáno v kroku 5016. Úřad 1 pak vypočítá Y umocněno na k mod 2q jako výsledek hodnot pro tj, kde i je v rozsahu 1 až m. Úřad 1 pak zfská soukromý Mlč uživatele výpočtem x - (C/(Y umocněno na k)) mod 2q. V oboru ex»fa^ dattf postupy pro výpočet x tak, Že x bude dbtribuováno mezi úřady. Tyto postupy také umožňuji úřadům dešifrovat zprávy šifrované veřejným kHčem odpovídajícím x, aniž by x samo o sobě bylo zjfttěno.

Byl popsán autoobnovrtelný a autocertifikovatetný (ARC) kryptosystém. Uživatelé tohoto kryptosystému pracuji se systémem veřejného kttče způsobem stejným jako typické PKI při bezpečné komunkacL To je schematicky ukázáno na obrázcích 6 a 7. Obrázek 6 je typický kryptosystém s veleným klíčem v prostředí PKI. Následuji kroky, které provádějí uživatelé. (1) Uživatel nejdříve čte infoímace a adresu CA (2) Uživatel generuje dvojici veřejnéhofeoukromého klíče a odesílá veřejný klič do CA Registrace úřadu v CA ověřuje identitu uživatele a pubBaje veřejný klič společně s certifikátem CA na tento Mlč, přičemž identifikuje uživatele jako vlastníka tohoto Mlče. (3) Aby tomuto uživatel mohl poslat zprávu jjný uživatel, je veřejný klič přečten z databáze CA a certifikát je ověřen. (4) Pak je zpráva šikována novým veřejným klíčem a odeslána. Obrázek 7 schematicky popisije kryptosystém ARC. Následuji tyto operace: (0) Úřad generuje uložený veřejný klič a předá jej CA Kroky 1 a 2 jsou analogické s výjhnkou toho kromě toho, že spolu s veřejným klíčem je odeslána i kontrola. Kroky 3 a 4 jsou obsluhou systému a jsou identické. Kroky 5 a 6 popisijl případ, v němž jsou klíče obnovovány z uloženi. (5} Úřad pro uloženi klíče získává informace od CA (6) Úřad pro uloženi Mlče obnovuje soukromý klič uživatele.

V alternativě k prvnímu provedeni může každá dostatečně velká podnnožina úřadů obnovit soukromý Mlč x nebo zprávy zašifrované veřejným Míčem odpovídajícím x, aniž by bylo x samo o sobě odhaleno. To se provádí nezávisle tak, že další úřady obdrž! příslušné hodnoty pro t To zvyšije silu systému v případě, že některé nebo všechny úřady nemají úplnou důvěru nebo jsou jmak nedostupné. Úřady také mohou požadovat, aby spolu s veřejným klíčem byl odeslán certifikát obnovitelnosti, a zašifrováni, aby mohly být nejdříve · * 4

-189 4 ··»· 444 • 4 *· ·« • 4 4 4

4 4 «

99 ověřovacím procesem potvrzeny parametry uživatele. Tim konči popis postupu obnoveni soukromého klíče.

Následije někotik dalších alternativ prvního provedeni vynálezu. Alternativní provedeni vynálezu zahrnuje užiti veřejného kffče úřadu ve formě (Y, g, 2 (q umocněno na t)), kde t je celé číslo větší než 1. V preferovaném provedeni jsme zvoHi t rovno 1, ačkofi lze použit i jiné hodnoty, které s prvočísly funguji. Další alternativa spočívá v tom, že se jako část veřejných parametrů použije výsledek dvou nebo většího počtu velkých pivočlsel. Je samozřejmé, že se přesná struktura použitého modulu může podstatně tišit, aniž by došlo k překročeni rozsahu vynálezu. V jiném provedeni lze použit Interaktivní verze tři neinteraktivních kontrol. V tomto provedeni je třeba, aby systém na výstupu během generováni kffče poskytl uživatefi hodnotu k. Tato hodnota k se používá v průběhu interaktivního protokolu, aby se ověřovatel přesvědčí, že úřady pro uloženi klíče mohou obnovit soukromý kňč uživatele. Uvědomte si však, že výsledtem výstupu k může být stínový kryptosystém s veřejným klíčem. To vyplývá z faktu, že ((g1, C, 2q), k) bude platná El Gamatova dvojice veřejnéhofeoukromého ktiče mod 2q.

V jtoém provedeni vynálezu se další aktivity zakryti veřejných klíčů uživatele ujímá CA nebo jiná důvěryhodná entita. CA voli k, s.t g' = (g umocněno na k) mod p bude generátor a odesílá uživatele (g', y umocněno na k) mod p). Hodnota g' je El Gamatóv generátor uživatele a y' = (y umocněno na k) mod p je část finálního kffče uživatele (g', y', p). To bráni uživatelům používat v y neregistrované kanály.

V >né variantě uživatelé publikuji veřejné klíče, které se aptikují pro výměnu kňčú v Dtffie-Hetimanově systému jako *výměna klíčů. Lze použit např. následující poshp. Nechť je a soukromý klič uživatele A a b je soukromý klič uživatele B. Nechť je y_a = (g umocněno na a) mod p veřejný klič uživatele A a nechť je y_b (g umocněno na b) mod p veřejný kflč uživatele B. K zavedeni klíče náhodné relace sl uživatel B zvol) náhodný řetězec s. Uživatel A pak odešle m - (y_b umocněno na a) mod p uživateli B. Uživatel B obnoví výpočtem m/(y_a umocněno na b) mod p. Uživatelé A a B odvod! klíč relace z užitím známé veřejné funkce (např. aptikacl

-19• a·· ·« ««« jednosměrné transformační funkce). Pozdíš, když je třeba vyknout z uloženi kfič relace, mohou pověřend použit k obnoveni s klíče a nebo b, a poté klič relace.

Násiedtje popis druhého předního provedeni vynálezu. Zválený transformační algoritmus je SHA (Schneier 2. vydáni, strany 442 - 445), ačkofi na tomto místě může být jakýkoi transformační algoritmus. Pro pohodlnost použjeme nejméně významné body transformačních výsledků, možná je však jakúkoí podmnožina bitů. V preferovaném provedeni se parametry zvolí jednotně náhodné ze svých skupin nebo domén. Alternativy provedeni zahrnují změny pravděpodobnostního rozděleni, z něhož se tyto hodnoty voli. Tyto voby závislé na generátorech náhodných čísel nebo generátorech pseudonáhodných čísel jsou v oboru k dispozicí.

V této alternativě provedeni znázorněné na obrázku 1 zahajuje kryptosystém nastaveni systému. V preferovaném provedeni úřad pro uloženi klíče i generuje pro 1 <= i <= m soukromý podlí DJ a odpovídající veřejný podlí EJ. Soukromé podíly DJ tvoři sdílený soukromý kffč D. Úřady pro uloženi kHče 2 až m odesílají své EJ úřadu pro utaženi kHče 1. To je popsáno v kroku 11. Úřad pro utaženi klíče 1 kombinuje všechny veřejné podíly EJ a vypočítá sdílený veřejný kHČ E. Hodnota E je úřady pro utaženi kHče 1 zveřejněna, jak je popsáno v kroku 13. Každý úřad i uchovává DJ v tajnosti. Jako konkrétní přiklad může úřad pro uloženi klíče generovat siné prvočíslo p a hodnotu g generující množinu {1, 2,..., p-1}. Podlí DJ ke zvolit jednotně náhodně z množiny {1,2,...,p-1} a EJ = (g umocněno na DJ) mod p. E je výsledkem všech hodnot EJ mod p. Obměny spojeného generováni klíčů jsou možné stejně jako reafeace s jediným úřadem pro utaženi kHče.

Postup podobný postupu na obrázku 2 lustruje, jak uživatelský systém generuje dvojici veřejného/soukromého kHče a certifikát obnovítelnosti. Po získání (a maximálním ověřeni) signálu E, který je zpřístupněn uživatelům úřady pro utaženi kHče, pokračuje uživatelský systém generováním El Gamalova veřejného klíče (y, g, p) uživatel (T. EIGamal, Ά PubSc-Key Cryptosystem and a Signatuře Scheme Based on Discrete Logarithms* - Kryptosystém s veřejným klíčem a podpisové schéma na základě diskrétních logaritmů, CRYPTO '84, strany 10-18,

-20• · • ·· · *1 • · · · · · · · ·♦· ·· ··

Springer-Veriag, 1985). Uživatelský systém voti soukromý kfiC x jednotně a náhodně ze množiny {1,2,..,,p-1} a počítá y jako (g umocněno na x) mod p. Tento postup generováni klíče odpovídá kroku 2006.

Systém pak přistoupl ke kroku 2007 a počítá certifikát, který může využit jakákoli zúčastněná strana, zejména CA, k ověřeni, že soukromý kfič uživatele x lze obnovit z certifikátu obnovitelnosti P. Nechť ENC (a, s, E) označuje šifrováni zprávy veřejným Míčem, konkrétně veřejným klíčem E s využitím náhodného jevu s. Zde je ENC sémanticky bezpečné pravděpodobnostní šifrováni veřejným klíčem, kde se v pravděpodobnostním šifrováni používá pro náhodný jev řetězec s. ENC může být napf. El Gamatovo šifrováni nebo optimální asymetrické šifrováni (Belare-Rogaway, Optima! Asymetrie Encryption’ - Optimální asymetrické šifrování’, Eurocrypt '94). Nechť je DEC odpovídajíc! funkce dešifrováni veřejným klíčem, která se provádí sdíleným způsobem. DEC(ENC(a, s, E), D_1, D_2,...,D_m] = a. Pak získáme P pode algoritmu:

1. P = 0

2. Proi= 1 ažm

3. zvolte náhodně r_i z množiny {1,2,...,p -1}

4. zvolte dva náhodné řetězce sj,1 a s_i,2 pro použiti v ENC

5. QJ = (g umocněno na r_i) mod p

6. CJ,1 = ENC(rJ, s_i,1, E)

7. CJ,2 = ENC (rj - xmod p-1, s_i,2, E)

8. pfičtéte na konec P(QJ, CJ,1, CJ,2)

9. val = H(P)

10. stanovte b_1, b_2,...,b_M tak, aby byly M nejméně významnými bity val, kdebJjev{0,1)

11. pro 1=1 až M proveďte

12. wj = r_i - (b_i)x

13. ZJ = ((wj),sj„j) kde j = 1 + bj

14. přičtěte Z_i na konec P

-21• ···· *«·<·· * * · · a · · a · ···· *·· «· «<< 9»

Pak P “ ((Q_1, CJ,1, C_1,2),...,(Q_M, C_M,1, C_M,2)₍ Z_1,...,Z_M). H je vhodná veřejná jednosměrná transformační funkce (např. SHA), takže z P lze obnovit b_i. Hodnoty b jsou bity výzvy a postup jejfch vyhledáváni a používáni je analogický Fiat-Shamirově heuristice. Z uživatelského systému vychází na výstupu v kroku 2008 (y,x,P)· Uvědomte si, že uživatel může interaktivně dokázat, že jeho soukromý klič x je obnovitelný úřady pro uloženi klfče. Toto bude podrobněji popsáno dále. M je dostatečně veky parametr bezpečnosti (např. M = 50).

V popisu provedeni tak bylo obsáhle vysvětleno, jak je systém nastaven pro využiti CA a úřady a jak se systémem pracuji uživatelé (potenciální pnjemci) při generováni dvojte veřejných&oukromých kfičů a certifikátů obnoviteinosti. Tyto cerfifkáty jsou řetězce ukazujíc! každému, komu jsou prezentovány, že soukromý klič octaovfdajfcf generovanému veřejnému klíči mohou úřady pro uloženi klfče obnovit užitím P. Následije popis, jak vynález aplikuje uživatel při dokazováni ověřovatel, že x je obnovitelné z P. Tento postup je popsán na obrázku 3. Ověřovatelem může být CA, úřad pro uloženi klfče nebo kdokol |ný, kdo zná parametry systému.

Následuje proces ověřeni popsaný na obrázku 3. V kroku 3009 generuje uživatel dvojici vefcjnéhofeoukromého kíče a certifikát užftfcn vynálezu, jak je popsáno výše. V kroku 3010 vysílá uživatel sipiál obsahující tyto parametry směrem k ověřovatel. V kroku 3011 ověřovatel tento signál použje k ověřeni, zda úřady pro uloženi klíče mohou soukromý klič uživatele obnovit V tomto procesu přebírá ověřovací systém y, odpovídajíc! certifikát P a uložený veřejný kfič E. Ověřovací systém nejdříve kontroluje, že y < p. Ověřovací systém zkontroluje, že všechny hodnoty v P leží ve správných množinách. Ověřovací systém těž zkontroluje, že hodnoty C_i,j pro všechna i a j neobsahuji žádná opakováni. Ověřovací systém zkontroluje, že se neopakuji žádná Q_i pro žádná i. Je-li některé z těchto ověřeni neúspěšné, pak je výsleckem nepravda”. Ověřovací systém pak počítá b_1, b_2,...,b_M stejným způsobem jako v procesu generováni certifikátu. Pro i=1 až M ověřuje ověřovací systém následujíc! prvky:

·22· • * * » · ·«·* • es* ·»· Η *· ·· ♦ ·

1. ENC(w_i, sJJ, E) = C_i, j, kde j = 1 + bj

2. (Q_^(y umocněno na b_i)) mod p = (g umocněno na wj) mod p

Ověřovací systém uvádí hodnotu “pravda*, pokud úspěšně projdou všechna ověřeni a pokud výše uvedená 1 a 2 platí pro 1 <= i <= M. Vynález může přejit k další Činnosti a v případě, že uvede hodnotu nepravda¹, označit ověřovatel, že veřejný Mlč je neplatný. Ověřovací systém může obdobně informovat ověřovatele o vašdaci, která úspěšně proběhne (ověřovací systém uvádí hodnotu pravda).

Na obrázku 4 uživatel certffikije veřejný klič u CA. V kroku 4012 tohoto procesu uživatel generuje svůj veřejný klíč a certifikát obnovitefnosti, jak bylo popsáno dříve. Uživatel vysílá signál do CA. To οφονΜά kroku 4013 na obrázku

4. V kroku 4014 se CA chová jako ověřovatel a ověřuje obnovitelnost soukromého klíče uživatele úřady pro uloženi klíče.

Až doposud byty kroky 4012 až 014 stejné jako kroky 3009 až 3011 v procesu ověřeni klíče na obrázku 3. CA však bude kromě toho na požádáni zpřístupňovat a (nebo) certifikovat Mlče, které úspěšně projdou ověřením. Pokud veřejný Mlč uživatele neprojde ověřovacím procesem, je pokus o certifikaci bud ignorován, nebo je uživatel upozorněn na to, že pokus o certifikaci neuspěl.

V závislosti na požadavcích prostředí, v němž se vynález používá, mohou mít uživatelé za povinnost pfedtožít další informace za účelem regstrace veřejného klíče a potvrzeni, že znají soukromou část kHče, aniž by byla prozrazena. Touto informací by mohlo být heslo, číslo sociálního zabezpečeni, dříve používaný soukromý kHč atp. V případě, že CA je pověřená entita, může CA jednoduše dgitálně podepsat veřejný Mlč uživatele a na požádáni zpřístupnit kHč spolu s porobem CA NenHI CA pověřená entito (což není v PKI typickým přet^okladem), měl by být certifBrát uložen ve veřejném souboru. Certifikát spolu s certifikátem obnovitelnosti by měl být předán úřadům pro uloženi Mlče, které naopak mohou zajbtit obnovitelnost Tkn konči pope procesu certifikace veřejného Mlče. Uvědomujeme si, že CA udržuje certifikát obnovitelnosti, pokud možno v zašifrované formě, pod svým vlastním Míčem spolu a informacemi o autenticitě tok, aby tvořily celek.

-23ι««· ··· « A AS 9 A « «·

Jako poslední bude popsán proces obnoveni soukromého klíče. Tento proces je popsán na obrázku 5. V tomto procesu používá vynález m úřadů pro uloženi kflče k obnoveni soukromého klfče uživatele na základě P. V tomto procesu obdrží y a P všech m úřadů pro uloženi klfče, jak je popsáno v kroku 5015 na obrázku 5. V jiném provedeni vysílá CA parametry y a P a (nebo) jiné parametry jednomu nebo většímu počtu úřadů. Budou tedy vlastnit y a P. V tomto okamžiku vypočítají úřady pro uloženi klfče podmnožinu podílů svých podílů D_1, D_2,...,D_m k dešifrováni P a otevřeni všech neotevřených CJ„j např. s využitím DEC. To se provede tak, Že úřad pro uloženi klíče i obnov! Hé podíly soukromého klíče uživatele. V tamto procesu úřad pro uloženi klfče i vyjne hodnoty M pro neotevřené C_i„j z P a dešifruje je užitím D_i. Výsledné hodnoty jsou spojeny s hodnotami od jiných úřadů pro uloženi kflče, jak je popsáno v kroku 5016 na obrázku 5. Toto spojeni pak použfvaji úřady k dešifrováni všech neotevřených hodnot CJ„j z P. Úřady pro uloženi kflče tak znají všechny otevřené texty odpovídající všem CJj. V oboru existuji i daBI postupy, jak obnovit otevřený text or^ovldajld neotevřenému C_i,j tak, že nerazšifrovaný otevřený text je mezi úřady reprezentován distribučně. Úřady pro uloženi kflče kontroluji otevřený text každé dvojce CJ,1 a CJ,2 pro dvojka hodnot, které se pak po odečteni mod p-1 rovnají exponentu x v y = (g umocněno na x) mod p. K zajištěni bezpečnosti lze také veHcost (g umocněno na x) mod p porovnat s veřejným y. Jakmie je nalezena takováto dvojtae, byl nalezen soukromý klič uživatele.

Nyní popíšeme třetí přední provedeni vynálezu. V tomto provedeni uživatelé systému generuji složené veřejné klíče. Uživatelský systém generrje n a s stejným způsobem, jak je popsáno v patentově přihlášce v probíhajícím řízeni Patent Spojených států 08/920,504 (Young a Yung). Uvědomte sí, Že n je výsledkem dvou (přednostně siných) prvočísel p a q a s je řetězec, který lze použit ve spojeni s veřejnou jednosměrnou funkci k odvozeni horního řádu bitů n. Nechť e a d označuji veřejný a soukromý exponent (např. RSA). Následuje způsob konstrukce P:

-249 9 9

9999 ··· 9«

999

1. P = O

2. zvolte náhodně řetězec t_0 mod n

3. pňčtěte t_0 na konec P

4. pro i = 1 až m

5. zvolte náhodně aj z množiny {1,2,...,(p-í Xq-1) -1}

6. vypočftejte aj,2 - d - a_i,1 mod (p-1Xq-1)

7. zvolte dva náhodné řetězce s_i,1 a s_i,2 pro použiti v ENC

8. t_i = H(t_(i-1))

9. vj,1 = (tj umocněno na aj,1) mod n

10. v_i,2 = (tj umocněno na aj,2) mod n

11. QJ^S (t_i, v_i,1, v_i,2j

12. C_i,1 = ENC(a_i, aj.1, E)

13. C_i,2 = ENC (a_l,2, sj,2, E)

14. přičtěte (Q_i, C_i,1, CJ,2) na konec P

15. val = H(P)

16. stanovte b_1, b_2,...,b_M tak,, aby byty nejméně významnými bity val, kde bj je z {0,1}

17. pro ř=1 až M proveďte

18. Z_i = (aJ,j, s_i„j), kdej = 1+ b_i

19. přpojte Z_i na konec P

20. připojte s na konec P

Proto P = (LO, (Q_1, C_1,1, C_1,2).....(Q_M, C_M,1, C_M,2),

Z_1,...,Z_M, s). Při generováni tj přiměřené velkosfi může být výše uvedené H založeno na SHA nebo na zřetězeni někoHca apBcacl SHA. Nepravděpodobnější je, že tj bude množina prvků menších než n, která budou relativními prvočísly vzhledem kn.

Ověřovací systém se poněkud liší od předchozích. Ověřovací systém nejdříve kontroluje, že n bylo zvoleno ze správně množiny hodnot Nechť u označuje celé číslo odpovídající k/2 hornímu pořadí bitů n. Ověřovací systém zaj&ťuje, aby buď H(s) - u, nebo H(s) = u + 1, jak je popsáno v patentově

-25• ·· · ·♦· ·«· přihlášce Spojených států 08/920, 504 v probihajtelm řízeni. Ověřovací systém kontrohje, zda všechny hodnoty v P leží ve správných množinách. Ověřovací systém napřfldad kontroluje, zde tj leží v rozsahu H a zda aj, j < n (nebo určitá funkce n), kde j je 1 nebo 2. Ověřovací systém také kontroluje, zda se prvky Q_i pro žádné i neopakuji a zda se neopakuji prvky ve dvajrci ZJ pro žádné I. Je-fi některé z těchto ověření neúspěšné, pak je výsledkem 'nepravda'. Ověřovací systém pak počítá b_1, b_2,...,b_M stejným způsobem jako v procesu generováni certifikátu. Pro i v rozsahu od 1 do M kontroluje ověřovací systém následující:

1. ((vj,1 vynásobeno v_i,2) umocněno na e) mod n= tj

2. (IJ umocněno na aj, j) mod n ^s vj, j, kde j = 1 + bj

Ověřovací systém uvádí hodnotu pravda*, pokud proběhne úspěšně celé ověřeni a jsou splněna obě kritéria pro 1 <= i <= M.

Úřady pro uloženi klíče obnoví soukromý kNč uživatele následovně. Pro i v rozsahu od 1 do M vypočítají úřady wj jako součet otevřených textů otfcovfdajicfch C_i,1 a C_i,2. Je-fi nalezena taková hodnota wj, že (tj umocněno na e(wj) mod n je rovno tj, pak wj tvoři platný soukromý klič RSA odpovídajíc! e. V oboru je dobře známo, jak rozložit n pil takovéto hodnotě wj. Uvědomte si, že funkce RSA je homomorfnl funkce a výše uvedené provedeni je apěkovatelné na homomorfnl funkce analo^cké RSA. Poznamenejme, že z výše uvedeného provedeni je zřefrné, že tuto technku kontroly sloužící k prokázáni, Že hodnota je obnovitelná úřady pro uloženi klíče, lze zobecnit na jakoukol homomorfnl funkci.

Průmyslová využitelnost

ApHtacI tohoto vynálezu je systém vícenásobného uloženi, kde každý úřad pro uloženi klíče má své vlastni CA a uživatele. Když uživatelé ze dvou různých úřadů pro uloženi klíče prováděj! bezpečnostní operaci, oba úřady pro uloženi klíče mohou vyvolat zprávy uživatele nebo klíče a vyměňovat je v rámci oboustranné dohody. To lze aplikovat i na mezinárodni aktivity mezi několika státy.

-26···· ··«

Další apUcaci systémů úřadů pro uloženi Mlče je systém zabezpečeni souborů nebo systém úschovy souborů s obnovitelnými Mlčí. Takovýto systém lze reafaovat na základě předcházejících provedeni, zeýnéna posledního odstavce. Vlastníkem souboru může být např. uživatel A, uživatelem B může být server souboru a pověřenci mohou být zástupci pro obnoveni souboru. Příkladem souboru může být heslo, přičemž v tomto případě budou zástupci pro obnoveni souboru totožni se zástupci pro obnoveni hesla.

Výše uvedený popis našeho prvního provedeni kryptosystému zakládá nová využiti teorie čísel v kryptografii. Ukazuje, jak konstruovat kryptosystém na základě tří prvočísel s přímými aritmetickými vztahy mezi všemi z nich. To znamená, že r, q ap jsou prvočísla tak, že q = 2r+1 a p = 2q +1. Využitím tři nebo většího počtu prvočísel s jejích vzájemnými vztahy lze vytvořit různé kryptosystémy podobné povahy, jako je některý z kTyptosystémů popsaných výše. Některé z nich jsou popsány ve variacích preferovaných provedeni. Dalším vztahem může být p = 2q + 1 a q = 2rs + 1, kde p, q, r a s jsou prvočísla a r má défcu 160 bitů. Jiným příkladem je p = 2q + 1, q « 2r + 1 a r * 2s + 1, kde p, q, r a s jsou všechna prvočísla. Dalším novým využitím teorie čišel je dále provedeni kryptografických operaci v exponentu, kde operace jsou např. modulární exponenciace. Např. druhá kontrola nulové znalostní hodnoty v kroku 2007 prvního provedeni zahrnuje důkaz znalosti k ve v, kde v je rovno g umocněno na w mod p, kde w je (Y umocněno na -k) mod 2q. Při využití tn nebo většího počtu domén v následujících exponendacfch jsou kryptosystémy pružnější a výkonnější. ApBcace tohoto faktu v intencích vynálezu jsou odborníkům v oboru pRmo dostupné.

Vynález se apiofc v hierarchickém systému uloženi veřejného Mlče. Hierarchický systém uloženi Miče je systém uložení, který má formu stromové struktury dat Úřady pro uloženi ktíče v kořeni stromu mohou dešifrovat komunkad všech entit odpovídajících uzlům zbytku stromu. A naopak úřady pro uloženi klíče v každém daném uzlu označeném i ve stromové struktuře mohou dešifrovat komunikaci všech entit odpovídajících uzlům ve zbytku dílčího stromu, v němž je uzel označený i kořenem. V každém okamžiku může list stromu vytvořit další dílčí strom a chovat se jako zástupce (zástupci) pro uloženi Miče. Na základě

-27··« · β· · správného vytvořeni veitosfi modulu je možné mít více zástupců pro uložen) Mlče pro jakýkol uzel stromu. Stač) předat o<ft>ovědnost na úrovni kořenů začínajících neýnenšfm modulem a končících největším modulem.

Obdobné platí, že se uživatel nemusí rozhodovat na základě fixního stromu, určtjiciho uspořádáni, může se však rozhodnout z podmnožiny zástupců pro uloženi Mlče a generovat svůj vlastni preferovaný strom, který je zvolenou podnnožinou zástupců pro uložení kíče uspořádaných pode relativní velkosti veřejných klíčů v řadě, kde je n^většlm klíčem kořen. To posluje strukturu pověření a zajftťuje, aby podmnožina pracovala společně za účelem obnoveni klíče nebo informaci zašifrovaných klíčem.

Další apSkaci systému je certifikovaný systém elektronické pošty. Když se uživatel zaregstruje v systému, zaregstruje v CA autoabnovitelný veřejný šifrovací klič a certifikát obnovitelnosti a zaregistruje také ροφίβ veřejného ktlče. Při odesláni certffikované pošty se provedou následijicf úkony. Odesilatel pošle paket, obsahující zašifrováni ktlče elektronické pošty pod svým autoověfitelným veřejným klíčem, jméno příjemce, zašifrováni zprávy posílané elektronickou poštou pod klíčem elektronické pošty, záhlaví označující certifikovanou zprávu z elektronické pošty, vlastni certifikovaný vetejný klič a dalši informace. Paket je podepsán užitím soukromého klíče pocpisu odesilatelů. Paket i ροφίΒ na paketu je odeslán pfljemci. Příjemce vytvoř! zpáteční prknový paket, skládajíc! se ze stálého zpátečního pěnového záhlaví, přjaté zprávy (nebo transformace prýaté zprávy) a dalších informaci. Paket je podepsán užitím soukromého klíče podpisu pnjemce a je odeslán původnímu odesflateR. Původní odesilatel ověří ροφί5 na zpátečním plenovém paketu. Je-β popis platný, odešle původní odesílatel příjemci elektronickou poštu zašifrovanou certifikovaným veřejným klíčem příjemce. Tato zpráva je odeslána spolu s podpisem užitím soukromého podpisového klíče původního uživatele. Příjemce ověří podpis na zašifrovaném Idfčt elektronické pošty. Je-I podpis platný, přfemce dešifruje klič elektronické pošty užitím svého soukromého dešifrovacího klíče. Příjemce pak dekóduje výsledek užitím certifikovaného veřejného Mlče původního odesilatele. Odpovldá-6 výsledek šifrovaného textu v prvním paketu, který odeslal původní odesilatel, je elektronická

-28»«·· «»· ·· · pošta považován za autentickou. Tento klič se pak používá k dešifrováni a získání autentických informaci od odesilatele. NenHI příjemce z nějakého důvodu schopen po pf|eti prvního paketu kontaktovat původního odesilatele, odešle př|emce zpáteční příjmovou zprávu a první paket úřadům pro uloženi Mlče. Úřady pro uloženi Idiče obnoví kflč elekronické pošty za přecfcoMadu, že paket a přfrnové zpáteční potvrzeni jsou autentické a paket obsahuje správné jméno přfemce. Úřady pro uloženi ktlče si uchovají zpáteční příjmovou zprávu a paket Za ρΓβφοΜβύυ, že kontrola proběhne úspěšné, je Mlč elektronické pošly odeslán ptyemd. Tak vznkne certifikovaný systém elektronické pošty na základě autoobnovitelných klíčů a podpisových klíčů, přičemž registrace uživatele je analogická registraci uživatele v typickém systému veřejného Mlče s CA. V oboru je též známo, jak využívat certifikovatelné systémy elektronické pošty typu uvedeného výše pro podpisy dohod mezi dvěma stranami. Takto lze využit i výše uvedenou apBcad.

Tak zde byl popsán nový a zdokonalený systém uloženi Mlče, jeho varianty a apíkace. Preferované provedeni by mělo být chápáno jako pouhý pilklad některých z mnoha specifických provedeni, která představuji apíkace principů a paradigmat prezentovaného vynálezu. Je samazřeýné, že odbornici v oboru dokáži bezprostředně navrhnout mnohá další a alternativní provedeni, aniž by došlo k překročeni rozsahu vynálezu.

Claims (2)

PATENTOVÉ NÁROKY

1. Způsob generování , ověřování a obnovení kryptografických klíčů v počítačové síti, zahrnujícím alespoň čtyři strany, agenty, úřady, registrující se strany a jiné strany, vyznačující se tím, že a) vytvoří se sada systémových parametrů zúčastněných stran uzavřením smlouvy a jejím zaznamenáním do paměti lokálního procesoru, kde uzavření smlouvy obsahuje rozhodnutí o velikosti a typech základních kryptografických nástrojů, typech a adresách veřejných databází, typech komunikačních mechanismů, při vytvoření se publikují adresy v počítačové síti pro doručování zpráv jednotlivým stranám a adresy veřejných vývěsek, na kterých se umísťují veřejné zprávy,

b) generují se parametry agentů, při čemž se vytvoří agentova adresa v síti, a pomocí softwaru a hardwaru se generuje jak agentův soukromý kryptografický klíč, který se uloží do soukromé paměti agentova procesoru, tak i odpovídajíc! agentův veřejný klíč, dále se agenty zveřejní alespoň jeden z parametrů prostřednictvím komunikačního síťového zařízení,

c) generuje se sada úředních parametrů, které určují umístění v síti, zvolený úřední veřejný klíč a parametry agentů, přičemž se pomocí síťového komunikačního zařízení zveřejní alespoň jeden z úředních parametrů,

d) generuje se soukromý klíč registrující se strany pomocí softwaru a hardwaru, soukromý klíč se uloží do soukromé paměti procesoru registrující se strany, a generuje se její odpovídající veřejný klíč pomocí specifikovaného veřejného postupu, používajícího alespoň jeden z agentových parametrů, a úředních parametrů pomocí softwaru a hardwaru,

e) registrující se stranou se pomocí softwaru a hardwaru generuje potvrzení o platnosti, který sestává z alespoň jednoho bitového řetězce, potvrzujícím , že soukromý klíč registrující se strany byl vytvořen pomocí specifikovaného veřejného postupu,

f) pošle se veřejný klíč registrující se strany a potvrzení o platnosti úřadům pomocí síťového komunikačního zařízení,

g) na úřadě se ověří správnost registrace veřejného klíče spolu s potvrzením o platnosti, přičemž ověřeni správnosti zahrnuje použití počítačového programu, který jako vstup má alespoň jednu přijatou zprávu včetně veřejného klíče řetězec bitů, potvrzující platnost a odpovídající danému veřejnému klíči, a jehož výstupem je indikace o schválení ověřování anebo o neúspěchu ověření,

2. verze

-30• · · B · · » φ φ φ φ φ φ φ φ φ φ φ φ φ φ · ·Φ· «φ φφ φφ

h) pouze a jedině v případě, že bylo ověřování schváleno, úřad provede zveřejnění veřejného klíče registrující strany, přičemž změní registrující se stranu v registrovanou stranu, kde zveřejnění veřejného klíče registrující se strany se provede alespoň jedním zařízením pro zapisování databází a pro zveřejnění v komunikační síti,

i) po zveřejnění obdrží ostatní strany veřejný klíč registrované strany a mohou jej začít používat, přičemž klíč se obdrží jeho z vyvoláním z databáze a klíče se použije jako vstupu do kryptografického algoritmu.

2. Způsob podle nároku 1, vyznačující se tím, že zahrnuje další krok ve kterém se v odezvě na událost alespoň jedním z agentů nebo úřadů obnoví data otevřeného textu, šifrovaná veřejným klíčem registrované strany, přičemž touto událostí se určují podmínky v kryptografického systému a těmito podmínkami se, zpětně, ukládá potřeba pro obnovení dat čistého textu, událost dále obsahuje informování o této potřebě nejméně jednoho z agentů a úřadů, kde se pomoci komunikačního protokolu a počítačového programu obnoví otevřený text.

3. Způsob podle nároku 1, vyznačující se tím, že zahrnuje další krok ve kterém se v odezvě na událost alespoň jedním z agentů nebo úřadů obnoví soukromý klíč registrované strany, kde touto událostí se určují podmínky v kryptografickém systému a těmito podmínkami se, zpětně, ukládá potřeba pro obnovení soukromého klíče registrované strany, událost dále informuje o této potřebě nejméně jednoho agenta a jeden úřad, spojený s komunikačním protokolem a počítačovým programem pro obnovení soukromého klíče registrované strany.

4. Způsob podle nároku 1, vyznačující se tím, že potvrzení o platnosti sestává alespoň z jednoho řetězce neinteraktivní kontroly nulové znalostní hodnoty, který se generuje počítačovým programem s přístupem k soukromému klíči i k veřejnému klíči registrovaného uživatele, kde se úřady ověří potvrzení o platnosti ověřením tohoto alespoň jednoho řetězce neinteraktivní kontroly nulové znalostní hodnoty pomocí počítačového programu s přístupem k veřejnému klíči a alespoň jednomu řetězci neinteraktivní kontroly nulové znalostní hodnoty.

2. verze • 4« 4 4 • 4« « · · « * 4 · 4 4 4 4

444 44 4· ·♦

-31

5. Způsob podle nároku 1, vyznačující se tím, že při generování, odeslání a ověření potvrzení o platnosti v krocích (f) a (g) se provede protokol řetězce neinteraktivní kontroly nulové znalostní hodnoty, ve kterém je registrující se uživatel prokazujícím a úřady jsou ověřovatelem, přičemž při protokolu se vyměňují zprávy, přijaté ověřovatelem a zkoušejí se, zda obsahují předem stanovené podmínky, které musejí mít vzhledem k předešlým výměnám informací a k veřejnému klíči registrujícího se uživatele a kde další zprávy odesílané prokazujícím se připraví na základě dříve vyměněných zpráv a soukromého klíče registrujícího se uživatele a veřejného klíče registrujícího se uživatele, přičemž na konci protokolu se vydá ověřovatelem rozhodnutí, zda výměna informací byla úspěšná či chybná.

6. Způsob podle nároku 1, vyznačující se tím, že zveřejnění zahrnuje generováni certifikátu veřejného klíče ve prospěch registrující se strany, kde tento certifikát zahrnuje digitální podpis úřadů na veřejném klíči registrující se strany a další informace s využitím soukromého klíče úřadů, kde uvedený certifikát je ověřitelný užitím alespoň jednoho ze zveřejněných parametrů uvedeného úřadu, pňčemž podpis se provede zařízením s podpisovým počítačovým programem na základě obdržení soukromého klíče úřadů a veřejného klíče registrující se strany a dalších informací.

7. Způsob podle nároku 1, vyznačující se tím, že pří zveřejnění se generuje certifikát veřejného klíče ve prospěch uvedené registrující se strany, kde certifikát zahrnuje digitální podpis úřadů na modifikaci veřejného klíče registrující se strany a další informace s využitím soukromého klíče úřadů a je ověřitelný užitím alespoň jednoho ze zveřejněných parametrů úřadu, přičemž modifikace se provede zařízením, využívajícím nové hodnoty pro modifikaci representace veřejného klíče registrující se strany a podpis se provede zařízením s podpisovým počítačovým programem na základě obdržení soukromého klíče úřadů a veřejného klíče registrující se strany a dalších informací.

8. Způsob podle nároku 1, vyznačující se tím, že při zveřejnění se označí veřejný klíč registrující se strany jako platný klíč v souboru zařízením pro zveřejňování ve

2. verze ·«· · * • · t ··· ·· · ♦ · a · · « · ·*· ·· «v ··

-32veřejné databázi v souladu se souhlasem, který se obdržel při sestavování systémových parametrů..

9. Způsob podle nároku 1, vyznačující se tím, že při využití veřejného klíče registrující se strany se provede alespoň jedna z následujících činností: šifruje se veřejný klíč, dešifruje se veřejný klíč, vytvoří se digitální podpis, ověří se digitální podpis, vymění se klíč a identifikuje se, přičemž tyto činnosti se provedou příslušným hardwarovým zařízením se softwarovým počítačovým programem, využitím veřejného klíče registrující se strany na data.

10. Způsob podle nároku 2, vyznačující se tím, že události je řádná autorizace uděíená agentům jménem vládní agentury nebo skupiny vlád, kde tato autorizace se signalizuje zúčastněným stranám pro aktivaci obnovovací procedury.

11. Způsob podle nároku 2, vyznačující se tím, že se provede obnova otevřených dat za účelem sledování komunikace registrovaných stran podezřelých z nezákonné činnosti při ochraně soukromí ostatních, kde sledování se provede dešifrováním zpráv, vyúsťujícím v odpovídající zprávy, které se signalizují komunikačním zařízením příslušným právo vykonávajícím jednotkám.

12. Způsob podle nároku 2, vyznačující se tím, že se prohlásí činnost registrované strany za nezákonnou, jestliže agentury nejsou schopny sledovat komunikaci registrovaných stran, kde toto prohlášení se provede ve vytvářecí fázi a zaznamená se jako systémové pravidlo příslušnými stranami.

13. Způsob podle nároku 1, vyznačující se tím, že výpočetní operace alespoň jednoho zástupce, registrované strany a úřadu se provede alespoň v jednom kroku v příslušném hardwarovém zařízení.

14. Způsob podle nároku 1, vyznačující se tím, že se využije veřejný klíč registrované strany pro Šifrování souborů, které jsou organizovány v souborovém systému, přičemž šifrování je součástí zařízení pro řízení a údržbu souborového systému.

φφφφ ·

2. verze « * • · • φ • ΦΦ φφ

-3315. Způsob podle nároku 1, vyznačující se tím, že další strany zahrnují registrovanou stranu.

16. Způsob podle nároku 2, vyznačující se tím, že se dále obnoví informace z otevřeného textu posílaných mezi dvěma stranami, uživatelem 1 a uživatelem 2, kde se vyskytne alespoň jeden z následujících dvou kroků:

v jedné podmnožině agentur se využije zařízeni komunikačního protokolu a obnoví se soukromý klíč uživatele 1 nebo informace zašifrované veřejným klíčem odpovídajícím soukromému klíči uživatele 1, v jiné podmnožině se využije zařízení komunikačního protokolu a obnoví se soukromý klíč uživatele 2 nebo informace šifrované veřejným klíčem odpovídajícím soukromému klíči uživatele 2.

17. Způsob podle nároku 2, vyznačující se tím, že událost se generuje následováním řádného procesu v rámci organizace registrované strany, kde tento proces určuje potřebu pro obnovení čistého textu, zašifrovaného registrovanou stranou, a potom signalizuje potřebu pro aktivaci obnovení.

18. Způsob podle nároku 1, vyznačující se tím, že se použije pro generování, užití, ověření a obnovení kryptografických klíčů, kde množina systémových parametrů zahrnuje alespoň tři domény F1, F2, F3, pňčemž F1 je vysvětlující doména F2 a F2 je vysvětlující doména F3, a systémové parametry se využijí pro vybrání náhodné hodnoty pro kryptokrafický klíč v programu pro generování rozdílných kryptografických klíčů.

19. Způsob podle nároku 1, vyznačující se tím, že se použije pro generování, užití, ověření a obnovení kryptografických klíčů, kde množina systémových parametrů zahrnuje alespoň tři domény založené na r, q a p takovém, že p = 2q + 1 = 4r + 3, kde p, q a r jsou prvočísla, přičemž systémové parametry se využijí pro vybrání náhodné hodnoty pro kryptokrafický klíč v programu pro generování rozdílných kryptografických klíčů.

20. Způsob podle nároku 1, vyznačující se tím, že klíč registrující se strany má hodnotu y, kde y je rovno g umocněnému na x modulo p, kde g je generátor modulo

2. verze - 34 prvočísla p, přičemž x je náhodně vybraný soukromý klíč registrující se strany, vybraný počítačovým programem využívajícím zdroj náhodných bitů.

21. Způsob podle nároku 1, vyznačující se tím, že veřejný klíč registrující se strany je založen na číslu n, kde jen registrující se strana zná rozklad n na prvočísla, kde dělitelé se náhodně vyberou počítačovým programem na procesoru registrující se strany a umístí se v soukromé paměti, přičemž počítačový program dále násobí prvky pří rozkladu pro vytvoření čísla n, které je částí veřejného klíče registrujícího se uživatele.

22. podle nároku 1, vyznačující se tím, že klíč registrujících se stran se založí na homomorfní funkci, která se použije pro vytvoření kryptograficky modifikovaných dat.

23. Způsob podle nároku 1, vyznačující se tím, že veřejné klíče registrující se strany se založí na bázi klíčů RSA a použijí se pro vytvoření kryptograficky modifikovaných dat.

24. Způsob podle nároku 1, vyznačující se tím, že veřejné klíče registrující se strany se založí na El Gamalově systému ve specifikované doméně a použijí se pro vytvoření kryptograficky modifikovaných dat.

25. Způsob podle nároku 1, vyznačující se tím, že potvrzení o platnosti zahrnuje šifrování užitím zveřejněných parametrů autorizovaných agentů, kde šifrování je částí bitových řetězců.

26. Postup podle nároku 1, vyznačující se tím, že potvrzení o platnosti zahrnuje Šifrování jednosměrnými propadlovými funkcemi, kde šifrování je částí bitových řetězců.

27. Způsob podle nároku 1, vyznačující se tím, že potvrzením o platnosti při úspěchu zkoumání platnosti se naznačuje schopnost agentů v budoucnu provést obnovu pomocí komunikačního a výpočetního zařízení, a že dokáži obnovit soukromý

2. verze *··· · • · · · » a · · • * * · * v · · · • t » · · · ♦ «·« ·· ·· ··

-35klíč uvedené registrující se strany nebo informace zašifrované uvedeným veřejným klíčem registrující se strany.

28. Způsob podle nároku 1, vyznačující se tím, že se posílá registrující straně nejprve veřejný klíč registrujícím se veřejným uživatelem pomocí první komunikační procedurální instance nejprve veřejný klíč a později se posílá potvrzení o platnosti pomocí druhé komunikační procedurální instance.

29. Způsob podle nároku 1, vyznačující se tím, že se registrující stranou generuje dvojice soukromého/verejného klíče zařízeními pro generování soukromého a veřejného podpisového klíče, kde soukromý klíč vytváří podpisový klíč a veřejný klíč vytváří podpisový ověřovací klíč, přičemž tato dvojice se liší od dvojice veřejného/soukromého klíče z kroku (4), a úřad ověří uvedený veřejný klíč tohoto podpisového klíče.

30. Způsob podle nároku 31, vyznačující se tím, že se využívá pro elektronickou poštu se zajištěným doručením, kde obnova dat čistého textu se provede komunikačním a výpočetním zařízením úřadů a nejméně jednoho agenta k zajištění doručení, jestliže doručení nebylo vykonáno registrovanou stranou a nejméně jednou další stranou.

31. Způsob podle nároku 1, vyznačující se tím, že parametry zveřejněné agenty a veřejné klíče generované registrujícími se stranami jsou z různých domén klíče a generují se různými algoritmy pro generování klíče..

32. Způsob podle nároku 1, vyznačující se tím, že agenti jsou větší počet prvků a registrující se strana v kroku (e) generuje při úspěchu potvrzovací operace potvrzení o platnosti indikující, že otevřená data uvedené registrující se strany šifrovaná veřejným klíčem registrující se strany jsou obnovitelná podmnožinou zástupců při použití obnovovacího zařízení.

33. Způsob podle nároku 2, vyznačující se tím, že agenti jsou větší počet hierarchicky organizovaných prvků, kde se u každého prvku mohou obnovit otevřená data šifrovaná klíči v jeho podřízené hierarchii obnovovacím zařízením, spojeným s příslušnou úrovní hierarchie, přičemž hierarchie se určí jako část systémových parametrů.

· · ········ · ···«··*· · ··♦ ·· ·· ··

2. verze - 36 34. Způsob podle nároku 33, vyznačující se tim, že se registrující stranou v kroku (e) generuje kontrola platnosti deklarující, že otevřená data registrující se strany šifrovaná veřejným klíčem registrující se strany jsou obnovitelná podmnožinou zástupců.