JP2003513480A - エンティティの真正性および/またはメッセージの完全性を証明するための方法 - Google Patents

エンティティの真正性および/またはメッセージの完全性を証明するための方法

Info

Publication number
JP2003513480A
JP2003513480A JP2000596696A JP2000596696A JP2003513480A JP 2003513480 A JP2003513480 A JP 2003513480A JP 2000596696 A JP2000596696 A JP 2000596696A JP 2000596696 A JP2000596696 A JP 2000596696A JP 2003513480 A JP2003513480 A JP 2003513480A
Authority
JP
Japan
Prior art keywords
commitment
controller
challenge
demonstrator
mod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000596696A
Other languages
English (en)
Other versions
JP2003513480A5 (ja
JP4772965B2 (ja
Inventor
ギユ,ルイ
キスクワテル,ジャン‐ジャック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR9901065A external-priority patent/FR2788910A1/fr
Priority claimed from FR9903770A external-priority patent/FR2788911A1/fr
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of JP2003513480A publication Critical patent/JP2003513480A/ja
Publication of JP2003513480A5 publication Critical patent/JP2003513480A5/ja
Application granted granted Critical
Publication of JP4772965B2 publication Critical patent/JP4772965B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Complex Calculations (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Peptides Or Proteins (AREA)
  • Error Detection And Correction (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Agricultural Chemicals And Associated Chemicals (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 証明は、以下のパラメータによって確立される。つまり、m>1であるm組の秘密値Qiおよび公開値Giと、f>2であるf個の第1因数pjの積から作られる公開係数nと、以下のタイプの関係によって互いにリンクされる公開指数vとにより、Gi.Qi v=1mod nまたはGi=Qi vmod nである。前記指数vは、v=2kであり、ここで、k>1は、機密保護パラメータである。公開値Giは、2つの等式、x2=gimod nおよびx2=−gimod nが、モジュロnの整数環のxについて解を有さず、等式xv=gi 2mod nが、モジュロnの整数環のxについて解を有するようなf個の第1因数pjより低い基数giの平方gi 2である。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】
本発明は、エンティティの真正性(authenticity)、および/またはメッセージ
の完全性(integrity)および/または真正性を証明するように設計される方法、
システムおよびデバイスに関する。
【0002】
【従来の技術】
その発明者がLouis GuillouおよびJean−Jacques Quisquaterである欧州特
許第0311470B1公報がこのような方法を説明する。これ以降、彼らの研
究は用語「GQ特許」または「GQ方法」によって参照されるものとする。これ
以降、表現「GQ2」、あるいは「GQ2発明」または「GQ2技術」は、本発
明を説明するために使用されるものとする。
【0003】 GQ方法に従って、「信頼される当局(trusted authority)」として知られ
ているエンティティが、「証人(witness)」と呼ばれているそれぞれのエンテ
ィティにアイデンティティを割り当てる。顧客イズ化プロセスにおいて、信頼さ
れる当局は、証人にアイデンティティ(identity)およびシグナチャ(signature)
を与える。それ以降、証人は以下を宣言する。つまり「ここに私のアイデンティ
ティがある。私はそのRSAシグナチャを知っている。」証人は、このシグナチ
ャを明らかにせずに、自分が自分のアイデンティティのRSAシグナチャを知っ
ていることを証明する。RSA公開識別鍵(RSA Public identification key)
は、信頼される当局によって配布されるが、「コントローラ(controller)」とし
て知られているエンティティが、その知識を得ずに、RSAシグナチャが宣言さ
れたアイデンティティに一致することを確認する。GQ方法を使用する機構は、
「知識の移管(transfer of knowledge)」を行わずに実行する。GQ方法に従っ
て、証人は、信頼される当局が大多数のアイデンティティに署名をするRSA秘
密鍵を知らない。
【0004】
【発明が解決しようとする課題】
ここに前述されるGQ技術は、RSA技術を利用する。しかしながら、RSA
技術は、真に係数nの因数分解に依存する一方で、この依存は、いわゆるRSA
技術を実行するデジタル署名の多様な規格に対する倍増的に増加する攻撃に見ら
れるように同等ではなく、実際にはそれはかなり異なっている。
【0005】
【課題を解決するための手段】
GQ2技術の目標は2つの部分を有する。つまり、第1に、RSA技術の性能
特徴を改善すること、第2にRSA技術に固有の問題を回避することである。G
Q2秘密鍵を知っていることは、係数nの因数分解を知っていることに等価であ
る。三つ組のGQ2に対する攻撃は、係数nの因数分解につながる。このときに
は等価である。GQ2技術を用いると、署名をする、あるいは自己認証するエン
ティティにとっての、および監査するエンティティにとっての作業量は削減され
る。機密保護と性能の両方の点での因数分解の問題をさらにうまく使用すること
により、GQ2技術はRSA技術の欠点を回避する。
【0006】 GQ方法は、512ビット以上を備える数のモジュロ計算を実行する。これら
の計算は、約216+1乗まで累乗されたのと実質的に同じ大きさを有する数に関
する。現在では、特にバンクカードの分野における既存のマイクロエレクトロニ
クスインフラストラクチャは、演算コプロセッサを使用しないでモノリシックな
自己プログラム可能マイクロプロセッサを利用する。GQ方法などの方法に関係
する複数の演算アプリケーションに関する作業量は、一定の場合では、顧客が購
入物を支払うためにバンクカードを使用するには不利であることが判明する計算
時間につながっている。ここでは、支払カードの安全を高めることを求めて、銀
行当局が、特に解決が困難である問題を引き起こしたことを想起することができ
る。実際、2つの明らかに矛盾する問題が解決されなければならない。つまり、
一方では、各カードのますます冗長かつ明瞭なキーを使用することにより安全性
を高めつつ、他方では、作業量がユーザにとっての過剰な計算時間につながるこ
とを妨げるのである。この問題は、既存のインフラストラクチャおよび既存のマ
イクロプロセッサ構成要素を考慮に入れることも必要となるため、特に激しくな
る。
【0007】 GQ2技術は、安全性を高めつつ、この問題に対する解決策を提供する。
【0008】 (方法) さらに特に、本発明は、コントローラエンティティに対し、あるエンティティ
の真正性、および/または、このエンティティに関連付けられたメッセージMの
完全性とを証明するように設計された方法に関する。
【0009】 この証明は、以下のパラメータまたはこれらのパラメータのすべてまたは一部
によって確立される。ここで、パラメータは、 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
と、 f個の素因数p1,p2,…pf(fは2以上)の積によって構成される公開
係数nと、 公開指数vとである。 前記係数、前記指数および前記値は、次のタイプの関係 Gi.Qi v≡1.mod n または Gi≡Qi vmod n. によって関連付けられ、 前記指数vは、 v=2k であり、ここで、kは1より大きい機密保護パラメータである。
【0010】 前記公開値Giは、f個の素因数p1,p2,…pfより小さい基数giの平方gi 2 である。基数giは、 2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、等式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができる。 前記方法は、以下のステップにおいて、証人と呼ばれるエンティティを実行す
る。前記証人エンティティは、f個の素因数piおよび/または素因数のチャイ
ニーズ剰余の、および公開係数nおよび/またはm個の秘密値Qiのパラメータ
、および/または秘密値Qiのおよび公開指数vのf.m個の構成要素Qi,j(Q i,j ≡Qimod pj)を有する。
【0011】 証人は、モジュロnの整数環のコミットメントRを計算する。各コミットメン
トを、 ・次のタイプの演算を実行すること R≡rvmod n ここで、rは0<r<nとなるようにランダム値であり、 ・または、 ・・以下のタイプの演算を実行し、 Ri(ri vmod pi ここで、riは、0<ri<piとなるように素数piと関連付けられたラン
ダム値であり、各riは、ランダム値{r1,r2,…rf}の集合体に属し、 ・・そして、チャイニーズ剰余法を適用すること のどちらかによって計算する。
【0012】 証人は、1以上のチャレンジdを受け取る。各チャレンジdは、これ以降初歩
チャレンジと呼ばれるm個の整数diを備える。証人は、各チャレンジdに基づ
き、応答Dを、 ・以下のタイプの演算を実行すること D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、 ・・以下のタイプの演算を実行し Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi そして、チャイニーズ剰余法を適用すること のどちらかによって計算する。 該方法は、コミットメントRがあるため、チャレンジdがあるのと同じくらい
多くの応答Dがあり、数R,d,Dの各群は{R,d,D}と参照される三つ組
を形成する。
【0013】 (エンティティの真正性の証明の場合) 第1代替実施態様においては、本発明に従った方法は、デモンストレータとし
て知られているエンティティの真正性をコントローラとして知られているエンテ
ィティに対し証明するように設計される。前記デモンストレータエンティティは
、証人を備える。前記デモンストレータエンティティおよびコントローラエンテ
ィティは、以下のステップを実行する。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人は、ここに前記に明記されたプロセスを適用することに
よって各コミットメントRを計算する。デモンストレータは、コントローラに、
各コミットメントRのすべてまたは一部を送信する。 ・ステップ2のチャレンジdという行為 コントローラは、各コミットメントRのすべてまたは一部を受け取った後、そ
の数がコミットメントRの数に等しいチャレンジdを作成し、チャレンジdをデ
モンストレータに送信する。 ・ステップ3の応答Dという行為 証人は、前記に明記されたプロセスを適用することによって、チャレンジdか
ら応答Dを計算する。 ・ステップ4のチェック行為 証人は、コントローラに各応答Dを送信する。 (第1の場合:デモンストレータが各コミットメントRの一部を送信) デモンストレータが各コミットメントRの一部を送信した場合には、m個の公
開値G1,G2,...,Gmを有するコントローラは、各チャレンジdおよび各
応答Dから再構築されたコミットメントR’を計算し、この再構築されたコミッ
トメントR’が次のタイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラは、各再構築されたコミットメントR’が、それに送信された各
コミットメントRのすべてまたは一部を再現することを確認する。 (第2の場合:デモンストレータが各コミットメントRの全体性を送信) デモンストレータが各コミットメントRの全体性を送信した場合、m個の公開
値G1,G2,...,Gmを有するコントローラは、各コミットメントRが、次
のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0014】 (メッセージの完全性の証明の場合) 第1代替実施態様と組み合わせることができる第2代替実施態様では、本発明
の方法は、コントローラエンティティとして知られているエンティティに対し、
デモンストレータエンティティと呼ばれているエンティティに関連付けられたメ
ッセージMの完全性の証拠を提供するように設計される。前記デモンストレータ
エンティティは、証人を含む。前記デモンストレータエンティティおよびコント
ローラエンティティは、以下のステップを実行する。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人は、ここに前記に明記されたプロセスを適用することに
より、各コミットメントRを計算する。 ・ステップ2のチャレンジdという行為 証人は、その引数がメッセージMおよび各コミットメントRのすべてまたは一
部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算する。デ
モンストレータは、トークンTをコントローラに送信する。コントローラは、ト
ークンTを受け取った後に、コミットメントRに数で等しいチャレンジdを作成
し、チャレンジdをデモンストレータに送信する。 ・ステップ3の応答Dという行為 証人は、前記に明記されたプロセスを適用することによりチャレンジdから応
答Dを計算する。 ・ステップ4のチェック行為 証人は、各応答Dをコントローラに送信する。m個の公開値G1,G2,...
,Gmを有するコントローラは、各チャレンジdおよび各応答Dから再構築され
たコミットメントR’を計算し、この再構築されたコミットメントR’が、次の
タイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 そして、コントローラは、その引数がメッセージMおよび再構築されたR’の
すべてまたは一部であるハッシュ関数hを適用し、トークンT’を再構築する。
そして、コントローラは、トークンT’が送信されたトークンTと同一であるこ
とを確認する。
【0015】 (メッセージのデジタル署名およびその真正性の証明) 前記2つと組み合わせることができる第3代替実施態様においては、本発明1
に従った方法が、署名するエンティティとして知られているエンティティによっ
てメッセージMのデジタル署名を作成するように設計される。前記署名エンティ
ティは証人を含む。
【0016】 (署名動作) 前記署名エンティティは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む署名済みのメッセージを得るために、署名動作を実行する。 前記署名エンティティは、以下のステップを実行することにより署名動作を実
行する。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人は、ここに前記に明記されるプロセスを適用することに
よって各コミットメントRを計算する。 ・ステップ2のチャレンジdという行為 署名関係者は、その引数がメッセージMおよび各コミットメントRであるハッ
シュ関数hを適用し、バイナリトレインを得る。このバイナリトレインから、署
名関係者は、その数がコミットメントRの数に等しいチャレンジdを抽出する。 ・ステップ3の応答Dという行為 証人は、前記に明記されたプロセスを適用することによりチャレンジdから応
答Dを計算する。
【0017】 (チェック動作) メッセージMの真正性を証明するため、コントローラと呼ばれるエンティティ
が、署名済みのメッセージをチェックする。証明済みのメッセージを有する前記
コントローラエンティティは、以下のように進むことによってチェック動作を実
行する。 ・コントローラがコミットメントR、チャレンジd、応答Dを有する場合 コントローラがコミットメントR、チャレンジd、応答Dを有する場合には、
コントローラは、コミットメントR、チャレンジdおよび応答Dが、以下のタイ
プの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。 そして、コントローラは、メッセージM、チャレンジdおよびコミットメント
Rがハッシュ関数を満たすことを確認する。 d=h(message,R) ・コントローラがチャレンジdおよび応答Dを有する場合 コントローラがチャレンジdおよび応答Dを有する場合には、コントローラは
、各チャレンジdおよび各応答Dに基づき、コミットメントR'を再構築し、以
下のタイプの関係性 R'≡G1 d1.G2 d2....Gm dm.Dvmod n または以下のタイプの関係性: R'≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 そして、コントローラは、メッセージMおよびチャレンジdがハッシュ関数を
満たすことを確認する。 d=h(message,R') ・コントローラが、コミットメントRおよび応答Dを有する場合 コントローラが、コミットメントRおよび応答Dを有する場合には、コントロ
ーラは、ハッシュ関数を適用し、d'を再構築する。 d’=h(message,R) そして、コントローラ装置が、コミットメントR、チャレンジd'よび応答D
が、以下のタイプの関係性である R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係性である R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0018】 (システム) 本発明は、コントローラサーバに対して、エンティティの真正性、および/ま
たは、このエンティティに関連付けられたメッセージMの完全性を証明するよう
に設計されるシステムにも関する。 この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべtま
たは一部によって確立される。ここで、パラメータは、 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
と、 前記f個の素因数p1,p2,…pf(fは2以上)の積によって構成される
公開係数nと、 公開指数vとである。 前記係数、前記指数および前記値は、以下のタイプの関係 Gi.Qi v≡1.mod n または Gi≡Qi vmod n. によってリンクされる。 前記指数vは、 v=2k であり、ここで、kは、1より大きい機密保護パラメータである。 前記公開値Giは、f個の素因数p1,p2,…pf.より小さい基数giの平方
i 2である。基数giは、2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、等式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができる。
【0019】 前記システムは、特に、例えば、マイクロプセッサベースのバンクカードの形
を取るノマッドオブジェクトに含まれる証人装置を含む。証人装置は、f個の素
因数piおよび/または素因数のチャイニーズ剰余の、および/または公開係数
nおよび/またはm個の秘密値Qiのパラメータ、および/または秘密値Qiおよ
び公開指数vのf.m個の構成要素Qi,j(Qi,j≡Qimodpj)を含むメモリ
ゾーンを含む。また、証人装置は、 証人装置のこれ以降ランダム値生成手段と呼ばれるランダム値生成手段と、 これ以降証人装置のコミットメントRの計算用手段と呼ばれる計算手段、 を含む。 計算手段は、モジュロnの整数環でコミットメントRを計算する。各コミット
メントを、 ・以下のタイプの演算を実行することによって、 R≡rvmod n ここで、rは、ランダム値生成手段によって作成されるランダム値であり、r
は0<r<nである。 ・または、以下のタイプの演算を実行し、 Ri≡ri vmod pi ここで、riは、0<ri<piとなるように素数piに関連付けられたランダム
値であり、各riはランダム値{r1,r2,…rf}の集合体に属し、そしてチャ
イニーズ剰余法を適用することのどちらかによって、 計算する。
【0020】 証人装置は、 証人装置のチャレンジdの受信用装置と呼ばれる1以上のチャレンジdを受け
取るための受信手段であって、各チャレンジdが、初歩チャレンジと呼ばれるm
個の整数diを備える受信手段と、 ・以下のタイプの演算を実行することによって、 D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、以下のタイプの演算を実行し、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmodpi そして、チャイニーズ剰余法を適用することのどちらかによって、 応答Dの各チャレンジdに基づき、計算用の証人装置の応答Dの計算用手段
と呼ばれる計算手段と を含む。 証人装置は、1以上のコミットメントRおよび1以上の応答Dを送信するための
送信手段も含む。コミットメントRがあるので、チャレンジdと同じくらい多く
の応答Dがあり、R,d,Dの各群が{R,d,D}と参照される三つ組を形成
する。
【0021】 (エンティティの真正性の証明の場合) 第1実施態様では、デモンストレータと呼ばれているエンティティの真正性を
コントローラと呼ばれているエンティティに証明するように、本発明に従ったシ
ステムを設計する。 前記システムは、それがデモンストレータエンティティと関連付けられたデモ
ンストレータ装置を含んでいる。前記デモンストレータ装置は、相互接続手段に
よってデモンストレータ装置と相互接続される。それは、特に、例えば、マイク
ロプロセッサベースのバンクカード内のマイクロプロセッサの形式などのノマッ
ドオブジェクトの論理マイクロ回路の形を取る。 前記システムは、コントローラエンティティに関連付けられたコントローラ装
置も含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。
前記コントローラ装置は、特にデータ処理通信網を通して、デモンストレータ装
置へのその電気的、電磁的、光学的、または音響的な接続のための接続手段を含
む。
【0022】 前記システムは、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算の手段が、ここに前記に
明記されたプロセスを適用することによって、各コミットメントRを計算する。
証人装置は、各コミットメントRのすべてまたは一部を相互接続手段を通してデ
モンストレータ装置に送信するために、証人装置の送信手段と呼ばれる送信の手
段を有する。デモンストレータ装置は、各コミットメントRのすべてまたは一部
を接続手段を通してコントローラ装置に送信するために、デモンストレータの送
信手段と呼ばれる送信手段も有する。 ・ステップ2のチャレンジdという行為 コントローラ装置は、コミットメントRのすべてまたは一部を受け取った後、
コミットメントRの数に数で等しいチャレンジdの生成のためのチャレンジ生成
手段を含む。コントローラ装置は、接続手段を通してデモンストレータにチャレ
ンジdを送信するために、コントローラの送信手段として知られている送信手段
も有する。 ・ステップ3の応答Dという行為 証人装置のチャレンジdの受信手段は、相互接続手段を通してデモンストレー
タ装置から着信する各チャレンジdを受信する。証人装置の応答Dの計算手段は
、ここに前記に明記されたプロセスを適用することによってチャレンジdから応
答Dを計算する。 ・ステップ4のチェックという行為 デモンストレータの送信手段は、各応答Dをコントローラに送信する。コント
ローラは、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む。
【0023】 (第1の場合:デモンストレータが各コミットメントRの一部を送信) デモンストレータの送信手段が、各コミットメントRの一部を送信した場合に
は、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段
は、各チャレンジdおよび各応答Dから再構築されたコミットメントR’を計算
し、この再構築されたコミットメントR’が、以下のタイプの関係 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラ装置の比較手段は、それぞれの再構築されたコミットメントR’
を受信された各コミットメントRのすべてまたは一部と比較する。
【0024】 (第2の場合:デモンストレータが、各コミットメントRの全体性を送信) デモンストレータの送信手段が各コミットメントRの全体性を送信した場合に
は、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段
および比較手段が、各コミットメントRが次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0025】 (メッセージの完全性の証明の場合) 第1代替実施態様と組み合わせることができる第2代替実施態様においては、
本発明に従ったシステムは、コントローラとして知られているエンティティに対
し、デモンストレータとして知られているエンティティに関連付けられたメッセ
ージMの完全性の証明を与えるように設計される。前記システムは、それがデモ
ンストレータエンティティに関連付けられたデモンストレータ装置を含んでいる
。前記デモンストレータ装置は相互接続手段によって証人装置と相互接続される
。前記デモンストレータ装置は、特に、マイクロプロセッサベースのバンクカー
ド内のマイクロプロセッサの形などのノマッドオブジェクト内の論理マイクロ回
路の形を取りうる。前記システムは、コントローラエンティティに関連付けられ
たコントローラ装置も含む。前記コントローラ装置は、特に、端末または遠隔サ
ーバの形を取る。前記コントローラ装置は、特にデータ処理通信網を通して、デ
モンストレータ装置へのその電気的、電磁的、光学的、または音響的な接続のた
めの接続手段を含む。
【0026】 前記システムは、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明
記されたプロセスを適用することによって各コミットメントRを計算する。証人
装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRのす
べてまたは一部を送信するために、証人装置の送信手段と呼ばれる送信手段を有
する。 ・ステップ2のチャレンジdという行為 デモンストレータ装置は、デモンストレータの計算手段と呼ばれる計算手段を
含み、その引数がメッセージMおよびコミットメントRのすべてまたは一部であ
るハッシュ関数hを適用し、少なくとも1つのトークンTを計算する。デモンス
トレータ装置は、接続手段を通してコントローラ装置へ各トークンTを送信する
ために、デモンストレータ装置の送信手段として知られる送信手段も含む。コン
トローラ装置は、トークンTを受信した後、コミットメントRの数に数で等しい
チャレンジdの生成のためのチャレンジ生成手段も有する。コントローラ装置は
、接続手段を通してデモンストレータにチャレンジdを送信するために、これ以
降、コントローラの送信手段と呼ばれる送信手段も有する。 ・ステップ3の応答Dという行為 証人装置のチャレンジdの受信手段は、相互接続手段を通してデモンストレー
タ装置から着信する各チャレンジdを受信する。証人装置の応答Dの計算手段は
、ここに前記に明記されたプロセスを適用することによって、チャレンジdから
応答Dを計算する。 ・ステップ4のチェックという行為 デモンストレータの送信手段は、コントローラに各応答Dを送信する。コント
ローラ装置は、第1に、各チャレンジdおよび各応答Dから再構築されたコミッ
トメントR’を計算するために、第2に、引数として、メッセージMおよび各再
構築されたコミットメントR’のすべてまたは一部を有するハッシュ関数hを適
用することによって、トークンT’を計算するために、m個の公開値G1,G2
,...,Gmを有する、これ以降、コントローラ装置の計算手段と呼ばれる計
算手段も備え、この再構築されたコミットメントR’が、次のタイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラ装置は、計算されたトークンT’を受信されたトークンTと比較
するために、これ以降、コントローラ装置の比較手段として知られる比較手段も
有する。
【0027】 (メッセージのデジタル署名およびその真正性の証明) 第1の2つの実施態様のどちらかまたは両方と組み合わせることができる第3
代替実施態様においては、本発明に従ったシステムは、署名エンティティと呼ば
れているエンティティによって、これ以降、署名済みのメッセージとして知られ
ているメッセージMのデジタル署名を証明するように設計される。署名済みメッ
セージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む。
【0028】 (署名動作) 前記システムは、それが署名エンティティと関連付けられた署名デバイスを含
んでいる。前記署名デバイスは、相互接続手段によって証人装置と相互接続され
る。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイ
クロプロセッサの形などのノマッドオブジェクト内の論理マイクロ回路の形を取
りうる。
【0029】 前記システムは、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明
記されたプロセスを適用することによって各コミットメントRを計算する。証人
装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRのす
べてまたは一部を送信するために、これ以降、証人装置の送信手段と呼ばれる送
信手段を有する。 ・ステップ2のチャレンジdという行為 署名デバイスは、これ以降、署名デバイスの計算手段と呼ばれる計算手段を含
み、その引数がメッセージMおよびコミットメントRのすべてまたは一部である
ハッシュ関数hを適用し、バイナリトレインを計算し、このバイナリトレインか
ら、その数がコミットメントRの数に等しいチャレンジdを抽出する。 ・ステップ3の応答Dという行為 証人装置のチャレンジdの受信手段は、相互接続手段を通して署名デバイスか
ら着信する各チャレンジdを受信する。証人装置の応答Dを計算するための手段
は、ここに前記に明記されたプロセスを適用することによって、チャレンジdか
ら応答Dを計算する。 証人装置は、相互接続手段を通して署名デバイスに応答Dを送信するために、
これ以降、証人装置の送信の手段と呼ばれる送信手段を含む。
【0030】 (チェック動作) メッセージMの真正性を証明するために、コントローラとして知られているエ
ンティティは、署名済みメッセージをチェックする。 システムは、コントローラエンティティと関連付けられたコントローラ装置を
含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。前記
コントローラ装置は、特に、データ処理通信網を通して署名デバイスへのその電
気的、電磁的、光学的、または音響の接続のための接続手段を含む。
【0031】 署名エンティティと関連付けられた署名デバイスは、接続手段を通した署名済
みメッセージの、コントローラ装置への送信のための、署名デバイスの送信手段
として知られている送信手段を含む。このようにして、コントローラ装置は、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む署名済みのメッセージを有する。
【0032】 コントローラ装置は、 −これ以降、コントローラ装置の計算手段と呼ばれる計算手段と、 −これ以降、コントローラ装置の比較手段と呼ばれる比較手段と を含む。
【0033】 ・コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合 コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合に
は、コントローラ装置の計算手段および比較手段は、コミットメントR、チャレ
ンジdおよび応答Dが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。 そして、コントローラ装置の計算手段および比較手段は、メッセージM、チャ
レンジdおよびコミットメントRが、ハッシュ関数 d=h(message,R) を満たすことを確認する。
【0034】 ・コントローラ装置が、チャレンジdおよび応答Dを有する場合 コントローラがチャレンジdおよび応答Dを有する場合には、コントローラは
、各チャレンジdおよび各応答Dに基づき次のタイプの関係性 R'≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R'≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすコミットメントR'を再構築する。 そして、コントローラが、メッセージMおよびチャレンジdが以下のハッシュ
関数 d=h(message,R') を満たすことを確認する。
【0035】 ・コントローラがコミットメントRおよび応答Dを有する場合 コントローラが、コミットメントRおよび応答Dを有する場合には、コントロ
ーラ装置の計算手段は、ハッシュ関数を適用し d’=h(message,R) となるようにd'を計算する。 そして、コントローラ装置の計算手段および比較手段は、コミットメントR、
チャレンジd'および応答Dが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0036】 (端末装置) 本発明は、エンティティに関連付けられた端末装置にも関する。端末装置は、
特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロプロセッ
サの形など、ノマッドオブジェクトの形を取る。端末装置は、コントローラサー
バに対し、あるエンティティの真正性、および/または、このエンティティに関
連付けられたメッセージMの完全性を証明するように設計される。 この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべてま
たは一部によって確立される。 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
と、 前記f個の素因数p1,p2,…pf(fは2以上)によって構成される公開
係数nと、 公開指数vとであり、 前記係数、前記指数、および前記値は、次のタイプの関係 Gi.Qi v≡1.mod nまたはGi≡Qi vmod n. によって関係付けられる。 前記指数vは、 v=2k であり、ここで、kは、1より大きい機密保護パラメータである。 前記公開値Giは、f個の素因数p1,p2,…pf.より小さい基数giの平方
i 2である。基数giは、 2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、等式 xv≡gi 2mod n が、モジュロnの整数環のxの中で解くことができる。 前記端末装置は、f個の素因数piおよび/または素因数のチャイニーズ剰余
の、および/または公開係数nおよび/またはm個の秘密値Qiのパラメータ、
および/または秘密値Qiの、および公開指数vのf.m個の構成要素Qi,j(Q i,j ≡Qimodpj)を含むメモリゾーンを備える証人装置を含む。
【0037】 証人装置は、 証人装置のランダム値生成手段と呼ばれるランダム値生成手段と、 モジュロnの整数環のコミットメントRを計算するために、これ以降、証人
装置のコミットメントRを計算するために、これ以降、証人装置のコミットメン
トRのための計算手段と呼ばれる計算手段と を含む。各コミットメントが、 ・以下のタイプの演算を実行することによって、 R≡rvmod n ここで、rは、ランダム値生成手段によって作成されるランダム値であり、r
は0<r<nとなる。 ・または、以下のタイプの演算を実行することによって、 Ri≡ri vmod pi ここで、riは、0<ri<piとなるように、素数piと関連付けられたランダ
ム値であって、各riは、ランダム値生成手段によって生じるランダム{r1,r 2 ,…rf}の集合体に属し、そして、チャイニーズ剰余を適用することのどちら
かによって、計算される。
【0038】 証人装置は、 1以上のチャレンジdを受信するために、これ以降、証人装置のチャレンジ
dの受信のための主だと呼ばれる受信手段であって、各チャレンジdが、これ以
降初歩チャレンジと呼ばれるm個の整数diを備える受信手段と、 ・以下のタイプの演算を実行すること、 D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、以下のタイプの演算を実行し、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi そして、チャイニーズ剰余法を適用すること のどちらかによって、 応答Dの各チャレンジdに基づく、計算のための証人装置の応答Dの計算のた
めの手段と呼ばれる計算手段と も含む。 前記証人装置は、1以上のコミットメントRおよび1以上の応答Dを送信するた
めに送信手段も含む。コミットメントRがあるため、チャレンジdと同じくらい
多くの応答Dがある。数R,d,Dの各群は、{R,d,D}と参照される三つ
組を形成する。
【0039】 (エンティティの真正性の証明の場合) 第1代替実施態様においては、本発明に従った端末装置は、デモンストレータ
と呼ばれているエンティティの真正性をコントローラと呼ばれているエンティテ
ィに証明するように設計される。 前記端末装置は、それがデモンストレータエンティティに関連付けられたデモ
ンストレータ装置を含んでいる。前記デモンストレータ装置は、相互接続手段に
よってデモンストレータ装置と相互接続している。それは、特に、例えば、マイ
クロプロセッサベースのバンクカード内のマイクロプロセッサという形などのノ
マッドオブジェクト内の論理マイクロ回路という形を取りうる。 前記デモンストレータ装置は、特にデータ処理通信網を通して、コントローラ
エンティティに関連付けられたコントローラ装置へのその電気的、電磁的、光学
的または音響の接続のための接続手段も含む。
【0040】 前記コントローラ装置は、特に端末または遠隔サーバの形を取る。 前記コントローラ装置は、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明
記されたプロセスを適用することによって各コミットメントRを計算する。 証人装置は、各コミットメントRのすべてまたは一部を相互接続手段を通して
デモンストレータ装置に送信するために、これ以降、証人装置の送信手段と呼ば
れる送信手段を有する。デモンストレータ装置は、各コミットメントRのすべて
または一部をコントローラ装置に送信するために、これ以降、デモンストレータ
の送信手段と呼ばれる送信手段も有する。 ・ステップ2および3のチャレンジdという行為および応答Dという行為 証人装置のチャレンジdの受信手段は、コントローラ装置とデモンストレータ
装置の間の接続手段を通して、およびデモンストレータ装置と証人装置の間の相
互接続手段を通して、コントローラ装置から着信する各チャレンジdを受信する
。証人装置の応答Dの計算手段は、ここに前記に明記されるプロセスを適用する
ことにより、チャレンジdから応答Dを計算する。 ・ステップ4のチェックという行為 デモンストレータの送信手段は、各応答Dをチェックを実行するコントローラ
に送信する。
【0041】 (メッセージの完全性の証明の場合) 第1代替実施態様と組み合わせることのできる第2代替実施態様においては、
本発明に従った端末装置は、コントローラとして知られるエンティティに対し、
デモンストレータとして知られるエンティティに関連付けられたメッセージMの
完全性の証明を与えるように設計される。前記端末装置は、それがデモンストレ
ータエンティティに関連付けられたデモンストレータ装置を含んでいる。前記デ
モンストレータ装置は、相互接続手段によって証人装置と相互接続されている。
それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロ
プロセッサの形などの、ノマッドオブジェクト内の論理マイクロ回路の形を取り
うる。前記デモンストレータ装置は、特に、データ処理通信網を通したコントロ
ーラエンティティに関連付けられたコントローラ装置へのその電気的、電磁的、
光学的または音響の接続のための接続手段を含む。前記コントローラ装置は、特
に、端末または遠隔サーバの形を取る。
【0042】 前記端末装置は、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明
記されたプロセスを適用することによって、各コミットメントRを計算する。証
人装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRの
すべてまたは一部を送信するために、これ以降、証人装置の送信手段と呼ばれる
送信の手段を有する。 ・ステップ2および3のチャレンジdという行為および応答Dという行為 デモンストレータ装置は、これ以降、デモンストレータの計算手段と呼ばれる
計算手段を含み、その引数が、メッセージMおよび各コミットメントRのすべて
または一部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算
する。デモンストレータ装置は、コントローラ装置に、接続手段を通して、各ト
ークンTを送信するために、これ以降、デモンストレータ装置の送信手段として
知られている送信手段も有する。 前記コントローラは、トークンTを受信した後、コミットメントRの数に等し
い数のチャレンジdを作成する。 証人装置のチャレンジdの受信手段は、コントローラ装置とデモンストレータ
装置の間の接続手段を通して、およびデモンストレータ装置と証人装置の間の相
互接続手段を通して、コントローラ装置から着信する各チャレンジdを受信する
。証人装置の応答Dの計算の手段は、ここに前記に明記されたプロセスを適用す
ることによって、チャレンジdから応答Dを計算する。 ・ステップ4のチェックという行為 デモンストレータの送信手段は、各応答Dを、チェックを実行するコントロー
ラ装置に送信する。
【0043】 (メッセージのデジタル署名およびその真正性の証明) 第1の2つの実施態様のどちらかまたは両方と組み合わせることのできる第3
代替実施態様においては、本発明に従った端末装置が、署名エンティティと呼ば
れるエンティティによる、これ以降、署名済みメッセージとして知られるメッセ
ージMのデジタル署名を作成するように設計される。署名済みメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む。 前記端末装置は、それが署名エンティティと関連付けられた署名デバイスを含
んでいる。前記署名デバイスは、相互接続手段によって証人装置と相互接続され
る。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイ
クロプロセッサの形などの、ノマッドオブジェクト内の論理マイクロ回路の形を
取りうる。前記デモンストレータ装置は、データ処理通信網を通したコントロー
ラエンティティと関連付けられたコントローラ装置への、その電気的、電磁的、
光学的、または音響の接続のための接続手段を含む。前記コントローラ装置は、
特に、端末または遠隔サーバの形を取る。
【0044】 (署名動作) 前記端末装置は、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算の手段が、ここに前記に
明記されたプロセスを適用することによって、各コミットメントRを計算する。
証人装置は、相互接続手段を通して署名デバイスに各コミットメントRのすべて
または一部を送信するために、これ以降、証人装置の送信手段と呼ばれる送信の
手段を有する。 ・ステップ2のチャレンジdという行為 署名デバイスは、これ以降、署名デバイスの計算手段と呼ばれる計算手段を含
み、その引数がメッセージMおよび各コミットメントRのすべてまたは一部であ
るハッシュ関数hを適用し、バイナリトレインを計算し、このバイナリトレイン
から、その数がコミットメントRの数に等しいチャレンジdを抽出する。 ・ステップ3の応答Dという行為 証人装置のチャレンジdの受信のための手段は、相互接続手段を通して署名デ
バイスから着信する各チャレンジdを受信する。証人装置の応答Dを計算するた
めの手段は、ここに前記に明記されたプロセスを適用することによって、チャレ
ンジdから応答Dを計算する。証人装置は、相互接続手段を通して、署名デバイ
スに応答Dを送信するために、これ以降、証人装置の送信の手段と呼ばれる送信
手段を含む。
【0045】 (コントローラ装置) 本発明は、コントローラ装置にも関する。コントローラ装置は、特に、コント
ローラエンティティに関連付けられた端末または遠隔サーバの形を取る。コント
ローラ装置は、エンティティの真正性、および/または、このエンティティに関
連付けられたメッセージMの完全性をチェックするように設計される。 この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべてま
たは一部によって確立される。 m組の公開値G1,G2,…Gm(mは1以上)と、 コントローラ装置にとって、および関連付けられたコントローラエンティテ
ィにとって未知である前記f個の素因数p1,p2,…pf(fは2以上)の積に
よって構成される公開係数nと、 公開指数vと 前記係数、前記指数、および前記値は、次のタイプの関係 Gi.Qi v≡1.mod n または Gi≡Qi vmod n. によって関連付けられ、ここで、Qiは、公開値GIに関連付けられたコントロ
ーラ装置にとって未知の秘密値を指定する。 指数vは、 v=2k であり、ここで、kは、1より大きい機密保護パラメータである。 前記公開値Giは、f個の素因数p1,p2,…pfより小さい基数giの平方gi 2 である。基数giは、 2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、 等式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができる。
【0046】 (エンティティの真正性の証明の場合) 第1代替実施態様においては、本発明に従ったコントローラ装置は、デモンス
トレータと呼ばれるエンティティおよびコントローラと呼ばれるエンティティの
真正性を証明するように設計される。 前記コントローラ装置は、デモンストレータエンティティと関連付けられたデ
モンストレータ装置への、特にデータ処理通信網を通した、その電気的、電磁的
、光学的、または音響の接続のための接続手段を含む。 前記コントローラ装置は、以下のステップを実行するために使用される。 ・ステップ1および2のコミットメントRという行為およびチャレンジdとい
う行為 前記コントローラ装置は、接続手段を通して、デモンストレータ装置から着信
するコミットメントRのすべてまたは一部の受信のための手段も有する。 コントローラ装置は、各コミットメントRのすべてまたは一部を受信した後、
コミットメントRの数に等しい数のチャレンジdの生成のためのチャレンジ生成
手段を有し、各チャレンジdは、初歩チャレンジと呼ばれるm個の整数diを備
える。 コントローラ装置は、接続手段を通してデモンストレータにチャレンジdを送
信するために、コントローラの送信手段と呼ばれる送信手段も有する。 ・ステップ3および4の応答Dという行為およびチェック行為 コントローラ装置は、 接続手段を通して、デモンストレータ装置から着信する応答Dの受信のため
の手段と、 これ以降、コントローラ装置の計算手段と呼ばれる計算手段と、 これ以降、コントローラ装置の比較手段と呼ばれる比較手段と を含む。 (第1の場合:デモンストレータが各コミットメントRの一部を送信) デモンストレータの受信手段が各コミットメントRの一部を受信すると、m個
の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段が、各チ
ャレンジdおよび各応答Dから、再構築されたコミットメントR’を計算し、 この再構築されたコミットメントは、次のタイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラ装置の比較手段は、受信された各コミットメントRのすべてまた
は一部と、各再構築されたコミットメントR’を比較する。 (第2の場合:デモンストレータが各コミットメントRの全体性を送信) デモンストレータの送信手段が、各コミットメントRの全体性を送信した場合
には、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手
段および比較手段が、各コミットメントRが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0047】 (メッセージの完全性の証明の場合) 第1代替実施態様と結び付けることができる第2代替実施態様においては、本
発明に従ったコントローラ装置が、コントローラとして知られるエンティティに
対し、デモンストレータとして知られているエンティティと関連付けられたメッ
セージMの完全性の証明を与えるように設計される。 前記コントローラ装置は、特にデータ処理通信網を通した、デモンストレータ
エンティティと関連付けられたデモンストレータ装置へのその電気的、電磁的、
光学的、または音響の接続のための接続手段を含む。 前記システムは、以下のステップを実行するために使用される。 ・ステップ1および2のコミットメントRという行為およびチャレンジdとい
う行為 前記コントローラ装置は、接続手段を通してデモンストレータ装置から着信す
るトークンTの受信のための手段も有する。コントローラ装置は、トークンTを
受信した後、コミットメントRの数に数で等しいチャレンジdの生成のためのチ
ャレンジ生成手段を有し、各チャレンジdは、呼び出された初歩チャレンジの後
にここにm個の整数diを備える。コントローラ装置は、接続手段を通してデモ
ンストレータへチャレンジdを送信するために、これ以降、コントローラの送信
手段と呼ばれる送信手段も有する。 ・ステップ3および4の応答Dという行為およびチェック行為 コントローラ装置は、接続手段を通してデモンストレータ装置から着信する応
答Dの受信のための手段も含む。前記コントローラ装置は、第1に、各チャレン
ジdおよび各応答Dから再構築されたコミットメントR’を計算するために、お
よび第2に、メッセージMおよび各再構築されたコミットメントR’のすべてお
よび一部として有するハッシュ関数hを適用することによってトークンT’を計
算するために、m個の公開値G1,G2,...,Gmを有する、これ以降、コン
トローラ装置の計算手段と呼ばれる計算手段も含み、この再構築されたコミット
メントR’は、次のタイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラ装置は、計算されたトークンT’を受信されたトークンTと比較
するために、これ以降、コントローラ装置の比較手段と呼ばれる比較手段も有す
る。
【0048】 (メッセージのデジタル署名およびその真正性の証明) 第1の2つの実施態様のどちらか、または両方と組み合わせることのできる第
3代替実施態様のいては、本発明に従ったコントローラ装置は、コントローラと
呼ばれるエンティティによって署名済みのメッセージをチェックすることによっ
て、メッセージMの真正性を証明するように設計される。 ハッシュ関数h(メッセージ,R)を有する署名エンティティに関連付けられ
た署名デバイスによって送信される署名済みメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む。
【0049】 (チェック動作) 前記コントローラ装置は、署名エンティティに関連付けられた署名デバイスへ
の、特にデータ処理通網を通した、その電気的、電磁的、光学的または音響の接
続のための接続手段を備える。前記コントローラ装置は、接続手段を通して、署
名済みメッセージを、署名されたデバイスから受信する。 コントローラ装置は、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む。 ・コントローラ装置が、コミットメントR、チャレンジd、応答Dを有する場
合 コントローラがコミットメントR、チャレンジd、応答Dを有する場合、コン
トローラ装置の計算手段および比較手段は、コミットメントR、チャレンジdお
よび応答Dが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。 そして、監査デバイスの計算手段および比較手段は、メッセージM、チャレン
ジdおよびコミットメントRが、ハッシュ関数 d’=h(message,R) を満たすことを確認する。 ・コントローラ装置がチャレンジdおよび応答Dを有する場合 コントローラ装置が、チャレンジdおよび応答Dを有する場合には、コントロ
ーラの計算手段は、各チャレンジdおよび各応答Dに基づいて、次のタイプの関
係性 R'≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R'≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすコミットメントR'を計算する。 そして、コントローラ装置の計算手段および比較手段は、メッセージMおよび
チャレンジdが、ハッシュ関数 d=h(message,R') を満たすのを確認する。 ・コントローラ装置がコミットメントRおよび応答Dを有する場合 コントローラ装置が、コミットメントRおよび応答Dを有する場合、コントロ
ーラ装置の計算手段は、ハッシュ関数を適用し、 d=h(message,R) となるように、d'を計算する。 そして、コントローラ装置の計算手段および比較手段は、コミットメントR、
チャレンジd'および応答Dが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすのを確認する。
【0050】 (説明) GQ技術の目標を想起することができる。つまり、それはメッセージのデジタ
ル署名だけではなくエンティティおよび関連付けられたメッセージの動的認証で
ある。
【0051】 GQ技術の標準バージョンは、RSA技術を利用する。しかしながら、RSA
技術は、真に因数分解に依存するが、この依存は、RSA技術を実行しているデ
ジタル署名の多様な規格に対するいわゆる倍数的に増加する攻撃に見られるよう
に、同等ではなく、実際にはかなりそれと異なっている。
【0052】 GQ2技術という文脈では、本発明のこの部分は、さらに明確には動的認証お
よびデジタル署名という文脈でのGQ2鍵の集合の使用に関する。GQ2技術は
RSA技術を使用しない。目標は2つの部分を有する。つまり、第1に、RSA
技術に関して性能を改善し、第2にRSA技術に固有の問題を妨げることである
。GQ2秘密鍵は、係数nの因数分解である。GQ2三つ組に対する攻撃は、係
数nの因数分解に相当する。このときには同等がある。GQ2技術を使用すると
、署名をするエンティティまたは認証されるエンティティ、およびチェックを行
うエンティティの両方にとっての作業量が削減される。機密保護およぎ性能とい
う点での、因数分解の問題の改善された使用を通して、GQ2技術はRSA技術
に匹敵する。
【0053】 GQ2技術は、1より大きい1以上の小さな整数、例えば、基数と呼ばれ、gi と参照されるm個の小さい整数(m≧1)を使用する。基数はm>1でgiから
mで固定されるため、公開検鍵<v,n>が、以下のように選択される。公開
認証指数vは2kであり、ここで、kは1(k≧2)を上回る小さい整数である
。公開係数nは、基数より大きい少なくとも2つの素因数、例えばpjによって
1…pfから参照されるf個の素因数(f≧2)の積である。f個の素因数は、
公開係数nが、g1からgmm個の基数のそれぞれに関して以下の特性を有するよ
うに選択される。 第1に、等式(数1)および(数2)は、モジュロnの整数環のxについて解
くことができない。つまり、giおよび−giは2つの非平方剰余(mod n)
である。
【数1】
【数2】 第2に、等式(数3)は、モジュロnの整数環のxについて解くことができる
【数3】
【0054】 公開認証鍵<v,n>は、m≧1でg1からgmの基数に従って固定されている
ため、各基数giが公開値Giと秘密値QIを備える値GQ2の組を決定する。m
組の参照されたG11からGmmを指定する。公開値Giは、基数gIの平方であ
る。つまり、Gi=gi 2を指定する。秘密値Qiは、等式(数3)に対する解の1
つであるか、さもなければこのような解の逆数(mod n)である。
【0055】 ちょうど係数nがf個の素数に分解されるように、モジュロnの整数環はCG
(p1)からCG(pf)というf個のガロア体(Galois field)に分解される。
ここにCG(pj)での等式(数1)、(数2)、および(数3)の投射がある
【数4】
【数5】
【数6】
【0056】 各秘密値Qiは、素因数あたり1個づつf個の秘密構成要素によって一意に表
すことができる。Qi,j≡Qi(mod pj).各秘密構成要素Qi,jは等式(数
6)に対する解であるか、またはさもなければこのような解の逆数(mod pj )である。各等式(数6)に対するすべての考えられる解が計算された後に、チ
ャイニーズ剰余技法が、等式(数3)に対するすべての考えられる解を得るため
にQi,1からQi,f:Qiというf個の構成要素=チャイニーズ剰余(Qi,1,Qi, 2 ,…Qi,f)に基づき、秘密値Qiごとにすべての考えられる値をセットアップ
する。
【0057】 以下は、チャイニーズ剰余技法である。0<a<bとなるように相互に素数a
とbである2つの正の整数、および0からa−1のXaおよび0からb−1のXb という2つの構成要素があるとする。Xa≡X(mod a)およびXb≡X(m
od b)となるように、X=チャイニーズ剰余(Xa,Xb)、つまり0からa
.b−1の一意のXを決定することが必要とされる。以下は、チャイニーズ剰余
パラメータである。つまり、(≡{b(mod a)}−1(mod a)。以下は
チャイニーズ剰余演算である。つまり、( ≡ Xb(mod a)、( = Xa−(、
(が負である場合には、(を(+aと、(≡(.((mod a)と、X=(.b+Xb
とに置換する。
【0058】 素因数が最小のp1から大きい方のpfへと昇順で並べられるとき、チャイニー
ズ剰余パラメータは以下となることがある(それらのf−1がある、つまり素因
数より1少ない)。第1チャイニーズ剰余パラメータは、(≡{p2(mod p1 )}−1(mod p1)である。第2チャイニーズ剰余パラメータは(≡{p1
2(mod p3)}−1(mod p3)である。i番目のチャイニーズ剰余パラ
メータは、(({p1.p2.…pi1(mod pi)}−1(mod pi)である
。等々。最後に、f−1個のチャイニーズ剰余演算で第1結果(mod p2にp 1 をかける)が第1パラメータで得られてから、第2結果(modp1.p2にp3 をかける)が第2パラメータで得られ、結果(mod p1.…pf(1にpfをかけ
る)、すなわち(mod n)が得られまで等々である。
【0059】 秘密鍵GQ2の多様な性質を表す、秘密鍵GQ2のいくつかの考えられる描写
がある。多様な描写は同等であることが判明する。つまり、それらはすべて、真
の秘密GQ2件である係数nの因数分解の知識に相当する。描写が真に署名エン
ティティまたは自己認証エンティティの動きに影響を及ぼすのであれば、それは
コントローラエンティティの動きには影響を及ぼさない。 ここに、GQ2秘密鍵の考えられる3つの主要な描写がある。 1)GQ技術での標準表記は、m個の秘密値Qiと公開認証鍵<v,n>の記
憶から成り立つ。GQ2においては、この描写には、以下の2つが匹敵する。2
)作業量という点での最適表記は、公開指数v、f個の素因数pj、m.f個の
秘密構成要素Qijおよびチャイニーズ剰余のf−1個のパラメータを記憶するこ
とにある。3)秘密鍵サイズという点での最適表記は、公開指数v、m個の基数
iおよびf個の素因数pjを記憶すること、そして、m個の秘密値Qiおよび係
数nをセットアップして、第1描写に戻るか、またはさもなければm.f個の秘
密構成要素Qi,jおよびチャイニーズ剰余のf−1個のパラメータをセットアッ
プして第2描写に戻るかのどちらかによって各使用を開始することにある。
【0060】 署名または自己認証エンティティは、すべて同じ基数を使用できる。それ以外
に示されていない限り、g1からgmのm個の基数は、有利なことにm個の第1素
数となることがある。
【0061】 動的認証機構またはデジタル署名機構の機密保護は係数の分解の知識に同等で
あるため、GQ2技術は同じ係数を使用する2つのエンティティを単に区別する
ために使用することはできない。一般的に、それ自体を認証するまたは署名する
各エンティティは専用のGQ2係数を有する。しかしながら、4つの素因数でG
Q2係数を指定することは可能であり、その内の2つはあるエンティティによっ
て知られており、他の2つは別のエンティティによって知られている。
【0062】 ここでは、k=6がv=64を示し、m=3が3つの基数、g1=3,g2=5
および、g3=7を示し、f=3、つまり2つが3(mod 4)に一致し、1つ
が5(mod 8)に一致する3つの素因数を含む係数であるGQ2鍵の第1集
合がある。g=2が、5(mod 8)に一致する素因数と相容れないことを注
意しなければならない。 p1=03CD2F4F21E0EAD60266D5CFCEBB69546
83493E2E833 p2=0583B097E8D8D777BAB3874F2E76659BB
614F985EC1B p3=0C363CD93D6B3FEC78EE13D7BE9D84354
B8FDD6DA1FD n=p1.p2.p3=FFFF81CEA149DCF2F72EB449C5
724742FE2A3630D9 02CC00EAFEE1B957F3BDC49BE9CBD4D94467
B72AF28CFBB26144 CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD Q1,1=0279C60D216696CD6F7526E23512DAE0
90CFF879FDDE Q2,1=7C977FC38F8413A284E9CE4EDEF4AEF3
5BF7793B89 Q3,1=6FB3B9CO5A03D7CADA9A3425571EF5EC
C54D7A7B6F Q1,2=0388EC6AA1E87613D832E2B80E5AE8C1
DF2E74BFF502 Q2,2=04792CE70284D16E9A158C688A7B3FEA
F9C40056469E Q3,2=FDC4A8E53E185A4BA793E93BEE5C636D
A731BDCA4E Q1,3=07BC1AB048A2EAFDAB59BD40CCF2F657
AD8A6B573BDE Q2,3=0AE8551E116A3AC089566DFDB3AE003C
F174FC4E4877 Q3,3=01682D490041913A4EA5B80D16B685E4
A6DD88070501 Q1=D7E1CAF28192CED6549FF457708D50A74
81572DD5F2C335D8 C69E22521B510B64454FB7A19AEC8D069855
58E764C6991B05FC2A C74D9743435AB4D7CF0FF6557 Q2=CB1ED6B1DD649B89B9638DC33876C98AC
7AF689E9D1359E4 DB17563B9B3DC582D5271949F3DBA5A70C10
8F561A274405A5CB8 82288273ADE67353A5BC316C093 Q3=09AA6F4930E51A70CCDFA77442B10770D
D1CD77490E3398A AD9DC50249C34312915E55917A1ED4D83AA3
D607E3EB5C8B197 697238537FE7A0195C5E8373EB74D
【0063】 以下は、k=9、すなわちv=512、m=2、すなわち2つの基数、g1
2とg2=3、およびf=3が3(mod 4)に一致する3つの素因数を含む係
数を示すGQ2鍵の第2集合である。 p1=03852103E40CD4F06FA7BAA9CC8D5BCE9
6E3984570CB p2=062AC9EC42AA3E688DC2BC871C8315CB9
39089B61DD7 p3=0BCADEC219F1DFBB8AB5FE808A0FFCB53
458284ED8E3 n=p1.p2.p3=FFFF5401ECD9E537F167A80C0A
9111986F7A8EBA4D 6698AD68FF670DE5D9D77DFF00716DC7539F
7CBBCF969E73A0C49 761B276A8E6B6977A21D51669D039F1D7 Q1,1=0260BC7243C22450D566B5C6EF74AA29
F2B927AF68E1 Q2,1=0326C12FC7991ECDC9BB8D7C1C4501BE
1BAE9485300E Q1,2=02D0B4CC95A2DD435D0E22BFBB29C594
18306F6CD00A Q2,2=O45ECB881387582E7C556887784D2671
CA118E22FCF2 Q1,3=B0C2B1F808D24F6376E3A534EB555EF5
4E6AEF5982 Q2,3=0AB9F81DF462F58A52D937E6D81F48FF
A4A87A9935AB Q1=27F7B9FC82C19ACAE47F3FE9560C3536A
7E90F8C3C51E13C 35F32FD8C6823DF753685DD63555D2146FCD
B9B28DA367327DD6 EDDA092D0CF108D0AB708405DA46 Q2=230D0B9595E5AD388F1F447A69918905E
BFB05910582E5BA64 9C94B0B2661E49DF3C9B42FEF1F37A7909B1
C2DD54113ACF87C6 F11F19874DE7DC5D1DF2A9252D
【0064】 (動的認証) 動的認証機構は、コントローラとして知られているエンティティに対し、考え
られる関連付けられたメッセージMの真正性だけではなく、デモンストレータと
して知られているエンティティの真正性も証明し、その結果、コントローラは、
それが真にデモンストレータであり、場合によっては唯一のデモンストレータで
ある旨、およびデモンストレータが真に同じメッセージMを話している旨を確信
できる。関連付けられたメッセージMはオプションである。つまり、それは空で
ある可能性がある。
【0065】 動的認証機構は、4つの行動のシーケンスである。つまり、コミットメントと
いう行為と、チャレンジという行為と、応答という行為と、チェックという行為
とである。デモンストレータは、コミットメントおよび応答という行為を達成す
る。コントローラは、チャレンジおよび管理という行為を達成する。
【0066】 デモンストレータの中では、デモンストレータの最も要注意なパラメータおよ
び機能、つまりコミットメントおよび応答の作成を隔離するために、証人を隔離
することが可能である。証人はパラメータkおよび秘密鍵GQ2、つまりここに
前記に参照された3つの描写の内の1つに従った係数nの因数分解を有する。つ
まり、・f個の素因数およびm個の基数と、・m.f個の秘密構成要素と、f個
の素因数およびチャイニーズ剰余のf−1個のパラメータと、・m個の秘密値お
よび係数nとである。
【0067】 証人は、例えば、・デモンストレータ全体を形成するPCに接続されているチ
ップカード、または再び、・PC内で特別に保護されているプログラム、または
再び、・スマートカード内で特別に保護されているプログラムなどの部分的な実
施態様に対応することができる。そして、このようにして隔離された証人は、署
名関係者内でここに以下に定義される証人に類似している。機構の実行のたびに
、証人は、1以上のコミットメントRを作成してから、チャレンジdと同じくら
い多くの応答Dを作成する。各集合(R,d,D(は、GQ2三つ組である。
【0068】 証人を備えることとは別に、デモンストレータは、必要な場合、ハッシュ関数
およびメッセージMも有する。
【0069】 コントローラは、係数nおよびパラメータkとmを有する。必要な場合には、
それは同じハッシュ関数およびメッセージM’も有する。コントローラは、任意
のチャレンジdおよび任意の応答DからコミットメントR’を再構築することが
できる。パラメータkおよびmがコントローラに知らせる。逆に表示できない場
合には、g1からgmのm個の基数がm個の第1素因数である。各チャレンジdは
、基数ごとに1つ、d1からdmと参照されるm個の初歩チャレンジを有さなけれ
ばならない。d1からdmと参照されるこの初歩チャレンジは、0から2k-1−1
(v/2からv−1の値は使用されていない)という値を取りうる。典タイプ的
には、各チャレンジは、mかけるk−1ビットで(mかけるkビットではなく)
で符号化される。例えば、k=6およびm=3ならびに基数3,5、および7で
は、各チャレンジが2バイトで15ビットを送信させる。k=9,m=2および
基数2と3では、各チャレンジは2バイトで16ビットを送信させる。(k−1
).m個の考えられるチャレンジも可能であるとき、値(k−1).mが、各G
Q2三つ組によって提供される機密保護を決定する。つまり、定義により、係数
nの因数分解を知らない詐称者は、まさに2(k-1).mに1回の成功の確率を有す
る。(k−1).mが15から20に等しいとき、動的認証に妥当に備えるため
には1つの三つ組で十分である。任意の機密保護レベルを達成するには、三つ組
を平行して作成することができる。また、連続して作成する、つまり機構の実行
を繰り返すことも可能である。
【0070】 1)コミットメントという行為は、以下の動作を備える。 証人がQ1からQmのm個の秘密値、および係数nを有するとき、それは1以上
のランダム値r(0<r<n)をランダムにかつ秘密裏に引き出す。それからk
回の連続二乗(modn)演算により、それは各ランダム値rをコミットメント
Rに変換する。 R≡r((mod n) ここに、k=6での鍵の第1集合の例がある。 r=B8AD426C1A10165E94B894AC2437C1B179
7EF562CFA53A4AF8 43131FF1C89CFDA131207194710EF9C010E8
F09C60D9815121981260 919967C3E2FB4B4566088E R=FFDD736B666F41FB771776D9D50DB7CDF0
3F3D976471B25C56 D3AF07BE692CB1FE4EE70FA77032BECD8411
B813B4C21210C6B04 49CC4292E5DD2BDB00828AF18
【0071】 証人が、p1からpfまでf個の素因数、およびm.f個の秘密構成要素Qij
有するとき、それはランダムに、および秘密裏に、f個のランダム値の1以上の
集合体を引き出す。各集合体は、素因数pi(0<ri<pi)ごとに1つのラン
ダム値riを有する。それから、(modpi)を二乗するk回の連続演算によっ
て、それは各ランダム値riをコミットメントRiの構成要素に変換する。 Ri≡ri((mod pi) ここに、k=9での鍵の第2集合の例がある。 r1=B0418EABEBADF0553A28903F74472CD49
DD8C82D86 R1=022B365F0BEA8E157E94A9DEB0512827F
FD5149880F1 r2=75A8DA8FE0E60BD55D28A218E31347732
339F1D667 R2=057E43A242C485FC20DEEF291C774CF1B3
0F0163DEC2 r3=0D74D2BDA5302CF8BE2F6D406249D148C
6960A7D27 R3=06E14C8FC4DD312BA3B475F1F40CF01ACE
2A88D5BB3C
【0072】 f個のコミットメント構成要素の集合体ごとに、証人は、チャイニーズ剰余の
儀容に従ってコミットメントをセットアップする。ランダム値の集合体と同じく
らい多くのコミットメントがある。 R=チャイニーズ剰余(R1,R2,...,Rj) R=28AA7F12259BFBA81368EB49C93EEAB3F3
EC6BF73B0EBD7 D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46F
B4C3458D1E37C9 9123B56446F6C928736B17B4BA4A529
【0073】 両方の場合で、デモンストレータは、コントローラに各コミットメントRのす
べてまたは一部、あるいは各コミットメントRをハッシュ化することによって得
られる少なくとも1つのハッシュコードHおよび1つのメッセージMを送信する
【0074】 2)チャレンジという行為は、ランダムに、それぞれが、m個の初歩チャレン
ジd1(d2(…(dmから成り立つ1以上のチャレンジdを引き出すことにある。各
初歩チャレンジdiは、0からv/2−1の値の1つを取る。 d=d1(d2(...(dm ここに、k=6およびm=3である鍵の第1集合の例がある。 d1=10110=22=’16’;d2=00111=7;d3=0001 0=2 d=0(’d1(’d2(’d3=0101100011100010=58 E2 ここに、k=9およびm=2である鍵の第2集合の例がある。 d=d1(’d2=58E2、すなわち、小数点表記88および226である コントローラは、デモンストレータに各チャレンジdを送信する。
【0075】 3)応答という行為は、以下の演算を有する。 証人は、Q1からQmのm個の秘密値および係数nを有するとき、それはコミッ
トメントという行為の各ランダム値rおよび初歩チャレンジに従った秘密値を使
用して、1以上の応答Dを計算する。 X≡Q1 d1.Q2 d2…Qm dm(mod n) D≡r.X(mod n) ここに、鍵の第1集合の例がある。 D=FF257422ECD3C7A03706B9A7B28EE3FC3A
4E974AEDCDF386 5EEF38760B859FDB5333E904BBDD37B097A9
89F69085FE8EF6480 A2C6A290273479FEC9171990A17
【0076】 証人は、piからpfのf個の素因数およびm.f個の秘密構成要素Qi,jを有
するとき、それはコミットメントという行為のランダム値の各集合体を使用して
f個の応答構成要素を計算する。応答構成要素の各集合体は、素因数ごとに1つ
の構成要素を備える Xi≡Q1 d1.Q2 d2…Qm dmi(mod pi) Di≡ri.Xi(mod p1) ここに鍵の第2集合の例がある。 D1=r1.Q1.1 d1.Q2.1 d2(mod p1)= O2660ADF3C73B6DC15E196152322DDE8EB5B
35775E38 D2=r2.Q1.2 d1.Q2.2 d2(mod p2)= 04C15028E5FD1175724376C11BE77052205F
7C62AE3B D3=r3.Q1.3 d1.Q2.3 d2(mod p3)= 0903D20D0C306C8EDA9D8FB5B3BEB55E061A
B39CCF52
【0077】 応答構成要素の集合体ごとに、証人は、チャイニーズ剰余技法に従った応答を
作成する。チャレンジと同じくらい多くの応答がある。 D=チャイニーズ剰余(D1,D2,...,Df) D=85C3B00296426E97897F73C7DC6341FB8F
FE6E879AE12EF1F36 4CBB55BC44DEC437208CF530F8402BD9C511
F5FB3B3A309257A00 195A7305C6FF3323F72DC1AB 両方の場合で、デモンストレータは各応答Dをコントローラに送信する。
【0078】 4)チェック行為は、各三つ組(R,d,D(が、非零値に関して以下のタイプ
の等式を検証することを確認することにあるか、
【数7】 または、さもなければ、各コミットメントをセットアップすることにある。何も
ゼロであってはならない。
【数8】
【0079】 必要な場合、コントローラは、それぞれの再確立されたコミットメントR’お
よびメッセージM’をハッシュ化する際にハッシュコードH’を計算する。動的
認証は、コントローラが、このようにして、それがコミットメントの最初の行為
の最後に受信したもの、つまり各コミットメントRのすべてまたは一部、あるい
はさもなければハッシュコードHを検索するときに成功する。
【0080】 例えば、初歩動作のシーケンスが、応答DをコミットメントR’に変換する。
シーケンスは、k−1回の除算によって、あるいは基数による乗算(mod n
)によって分離されるk個の平方(mod n)を有する。i番目の平方とi+
1番目の平方の間で実行されるi番目の除算または乗算の場合には、初歩チャレ
ンジdiのi番目のビットはgiを使用する必要があることを示し、初歩チャレン
ジd2のi番目のビットは、g2を使用するのが必要かどうかを示し、初歩チャレ
ンジdmのi番目のビットまで、gmを使用することが必要であるかどうかを示す
。 ここに、鍵の第1集合の例がある。
【表1】
【表2】
【表3】
【表4】 私達は、コミットメントRを発見する。認証は無事に終了した。
【0081】 (デジタル署名) デジタル署名機構によって、署名関係者と呼ばれるエンティティは、署名済み
のメッセージを作成し、コントローラと呼ばれるエンティティは署名済みのメッ
セージを確認することができるようになる。メッセージMは、任意のバイナリシ
ーケンスである。それは空である場合がある。メッセージMは、それにシグナチ
ャ付録を追加することによって署名される。このシグナチャ付録は、対応する応
答だけではなく、1以上のコミットメントおよび/またはチャレンジも備える。
【0082】 コントローラは同じハッシュ関数、パラメータkとm、および係数nを有する
。パラメータkおよびmは、コントローラに対し情報を提供する。第1に、d1
からdmの各初歩チャレンジは、0から2k-1−1(v/2からv−1という値は
使用されない)の値を取らなければならない。第2に、各チャレンジdは、d1
からdmと参照されるm個の初歩チャレンジ、つまり基数と同じくらい多くの初
歩チャレンジを含まなければならない。さらに、逆に表示することができないと
、g1からgmのm個の基数はm個の第1素数である。(k−1).mが15から
20に等しいので、平行して作成された4個の三つ組GQ2で署名することが可
能である。(k−1).mが60以上に等しい場合、単一の三つ組GQ2で署名
することが可能である。例えばk=9およびm=8の場合には、単一の三つ組G
Q2で十分である。各チャレンジは8バイトであり、基数は2、3、5、7、1
1、13、17および19である。
【0083】 署名動作は、3つの行為、つまりコミットメントという行為と、チャレンジと
いう行為と、応答という行為とのシーケンスである。それぞれの行為から、コミ
ットメントR(≠0)、d1,d2,...,dmと参照されるm個の初歩チャレ
ンジから成り立つチャレンジd、および応答D(≠0)をそれぞれ含む1以上の
GQ2三つ組が生じる。
【0084】 署名関係者は、ハッシュ関数、パラメータkおよびGQ2秘密鍵、つまりここ
に前記に参照された3つの描写の内の1つに従った係数nの因数分解を有する。
署名関係者内で、デモンストレータにとって最も要注意である関数およびパラメ
ータを隔離するために、コミットメントおよび応答という行為を実行する証人を
隔離することが可能である。コミットメントおよび応答を計算するために、証人
はパラメータkおよびGQ2秘密鍵、つまりここに前記に参照された3つの描写
の内の1つに従った係数nの因数分解を有する。このようにして隔離された証人
は、デモンストレータ内で定義された証人に類似する。それは、ある特定の実施
態様、例えば、・署名関係者全体を形成するPCに接続されているチップカード
、または再び、・PC内で特に保護されているプログラム、または再び、・チッ
プカード内で特に保護されているプログラムに対応することができる。
【0085】 1)コミットメントという行為は、以下の演算を含む。 証人がQ1からQmというm個の秘密値、および係数nを有するとき、それはラ
ンダムにおよび秘密裏に1以上のランダム値r(0<r<n)を引き出す。それ
から、k回の無事終了した二乗(mod n)演算によって、それは各ランダム
値rをコミットメントRに変換する。 R≡r((mod n)
【0086】 証人がp1からpfのf個の素因数およびm.f個の秘密構成要素Qijを有する
とき、それは、秘密裏にかつランダムにf個ののランダム値の1以上の集合体を
引き出す。各集合体は、素因数pi(0<ri<pi)ごとに1つのランダム値を
有する。それから、k回の無事終了した二乗(modpi)演算によって、それ
は各ランダム値riをコミットメントRiの構成要素に変換する。 Ri≡ri((mod pi
【0087】 f個のコミットメント構成要素ごとに、証人は、チャイニーズ剰余技法にした
がってコミットメントをセットアップする。ランダム値の集合体と同じくらい多
くのコミットメントがある。 R=チャイニーズ剰余(R1,R2,...,Rf
【0088】 2)チャレンジという行為は、すべてのコミットメントRおよび署名関係者が
、それぞれがm個の初歩チャレンジを含む1以上のチャレンジを形成するハッシ
ュコードを得るためにMと署名されるメッセージをハッシュ化することにある。
各初歩チャレンジは、例えば、k=9およびm=8で0からv/2−1から任意
の値を取る。各チャレンジは8バイトを有する。コミットメントと同じくらい多
くのチャレンジがある。 d=d1(d2(...(dm,結果ハッシュ(M,R)から抽出
【0089】 3)応答という行為は、以下の動作を含む。 証人は、Q1からQmのm個の秘密値および係数nを有するとき、それは、コミ
ットメントという行為の各ランダム値rおよび初歩チャレンジに従った秘密値を
使用して、1以上の応答Dを計算する。 X./≡Q1 d1.Q2 d2…Qm dm(mod n) D/≡r./X./(mod n)
【0090】 証人は、p1からpfのf個の素因数、およびm.f個の秘密構成要素Qijを有
するとき、それはコミットメントという行為のランダム値の書く集合体を使用す
る際にf個の応答構成要素を計算する。応答構成要素の各集合体は、素因数ごと
に1つの構成要素を含む。 Xi≡Q1 d1i.Q2 d2i…Qm dmi(mod pi) Di≡ri.Xi(mod pi
【0091】 応答構成要素の集合体ごとに、証人は、チャイニーズ剰余技法に従って応答を
セットアップする。チャレンジと同じくらい多くの応答がある。 D=チャイニーズ剰余(D1,D2,...,Df
【0092】 署名関係者はそれに以下を含むシグナチャ付録を追加する際に、メッセージM
に署名する。 各GQ2三つ組、つまり各コミットメントR、各チャレンジdおよび各応答
Dと、 または、さもなければ、各コミットメントRおよび各対応する応答Dか、 または、さもなければ、各チャレンジdおよび各対応する応答D
【0093】 検証動作の実行は、シグナチャ付録の内容に依存する。3つの考えられる場合
がある。
【0094】 付録が1以上の三つ組を含む場合には、チェック動作は、年代順配列が重要で
はない2つの独立したプロセスを有する。コントローラは、以下の2つの条件が
満たされる場合および満たされる場合にだけ署名済みのメッセージを受け入れる
【0095】 第1に、各三つ組は、一貫(以下のタイプに関する適切な関係性が検証されな
ければならない)し、許容(非零値で比較が実行されなければならない)できな
ければならない。
【数9】
【0096】 例えば、応答Dは、初歩動作のシーケンスによって変換される。つまり、基数
によるk−1回の乗算または除算演算によって分離されるk個の平方済み(mo
d n)。i番目の平方とi+1番目の平方の間で実行されるi番目の乗算また
は除算の場合には、初歩チャレンジd1のi番目のビットは、g1を使用すること
が必要であるかどうかを示し、初歩チャレンジd2のi番目のビットは、g2を使
用するのが必要かどうかを示し、初歩チャレンジdmのi番目のビットまで、gm を使用することが必要であるかどうかを示す。このようにして、シグナチャ付録
に存在する各コミットメントRを検索することが必要である。
【0097】 さらに、1以上の三つ組は、メッセージMにリンクされなければならない。す
べてのコミットメントRおよびメッセージMをハッシュ化することによって、各
チャレンジdが回復されなければならないハッシュコードが得られる。 d=d1/d2/.../dm,結果ハッシュ(M,R)から抽出されるものと同一
【0098】 付録にチャレンジがない場合には、チェック動作が、すべてのコミットメント
RおよびメッセージMをハッシュ化することによって、1以上のチャレンジd’
の再構築で開始する。 D’=af1/d’2/.../d’m,結果ハッシュ(M,R)から抽出
【0099】 そして、コントローラは、各三つ組が一貫(以下のタイプの適切な関係性が検
証される)し、許容(非零値で比較が実行される)できる場合に、および場合に
だけ署名済みメッセージを受け入れる。
【数10】
【0100】 付録がコミットメントを備えない場合には、チェック動作は、以下の2つの公
式の一方、つまり適切である公式に従って、1以上のコミットメントR’を再構
築することによって開始する。確立し直されたコミットメントはゼロであっては
ならない。
【数11】
【0101】 そして、コントローラは、各チャレンジdを再構成するために、すべてのコミ
ットメントR’およびメッセージMをハッシュ化しなければならない。 d=d1/d2/.../dm,結果ハッシュ(M,R)から抽出されたものと同一
【0102】 コントローラは、各再構築されたチャレンジが付録内の対応するチャレンジに
同一である場合および場合にだけ署名済みのメッセージを受け入れる。
【0103】 本出願においては、それぞれ、エンティティの真正性、および/またはメッセ
ージの完全性および/または真正性を証明するように設計される本発明に従って
方法、システムおよびデバイスを実行するために使用される秘密値と公開値Qと
Gの組がある。
【0104】 その発明者がLouis GuillouおよびJean-Jacques Quisquaterであるフランス
テレコム、TDF、およびMath RiZK社によって本出願と同日に提出された係属
出願において、GQ2鍵の集合、つまり指数vが2kに等しいときに、それぞれ
係数nおよび公開値と秘密値GとQの組を生成するための方法が説明されている
。これらを引用することにより本明細書の一部をなすものとする。
【手続補正書】
【提出日】平成13年11月12日(2001.11.12)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【発明の名称】 エンティティの真正性および/またはメッセージの完全性を証
明するための方法
【特許請求の範囲】
【発明の詳細な説明】
【0001】
【発明の属する技術分野】 本発明は、エンティティの真正性(authenticity)、および/またはメッセージ
の完全性(integrity)および/または真正性を証明するように設計される方法、
システムおよびデバイスに関する。
【0002】
【従来の技術】 その発明者がLouis GuillouおよびJean−Jacques Quisquaterである欧州特
許第0311470B1公報がこのような方法を説明する。これ以降、彼らの研
究は用語「GQ特許」または「GQ方法」によって参照されるものとする。これ
以降、表現「GQ2」、あるいは「GQ2発明」または「GQ2技術」は、本発
明を説明するために使用されるものとする。
【0003】 GQ方法に従って、「信頼される当局(trusted authority)」として知られ
ているエンティティが、「証人(witness)」と呼ばれているそれぞれのエンテ
ィティにアイデンティティを割り当てる。顧客イズ化プロセスにおいて、信頼さ
れる当局は、証人にアイデンティティ(identity)およびシグナチャ(signature)
を与える。それ以降、証人は以下を宣言する。つまり「ここに私のアイデンティ
ティがある。私はそのRSAシグナチャを知っている。」証人は、このシグナチ
ャを明らかにせずに、自分が自分のアイデンティティのRSAシグナチャを知っ
ていることを証明する。RSA公開識別鍵(RSA Public identification key)
は、信頼される当局によって配布されるが、「コントローラ(controller)」とし
て知られているエンティティが、その知識を得ずに、RSAシグナチャが宣言さ
れたアイデンティティに一致することを確認する。GQ方法を使用する機構は、
「知識の移管(transfer of knowledge)」を行わずに実行する。GQ方法に従っ
て、証人は、信頼される当局が大多数のアイデンティティに署名をするRSA秘
密鍵を知らない。
【0004】
【発明が解決しようとする課題】 ここに前述されるGQ技術は、RSA技術を利用する。しかしながら、RSA
技術は、真に係数nの因数分解に依存する一方で、この依存は、いわゆるRSA
技術を実行するデジタル署名の多様な規格に対する倍増的に増加する攻撃に見ら
れるように同等ではなく、実際にはそれはかなり異なっている。
【0005】
【課題を解決するための手段】 GQ2技術の目標は2つの部分を有する。つまり、第1に、RSA技術の性能
特徴を改善すること、第2にRSA技術に固有の問題を回避することである。G
Q2秘密鍵を知っていることは、係数nの因数分解を知っていることに等価であ
る。三つ組のGQ2に対する攻撃は、係数nの因数分解につながる。このときに
は等価である。GQ2技術を用いると、署名をする、あるいは自己認証するエン
ティティにとっての、および監査するエンティティにとっての作業量は削減され
る。機密保護と性能の両方の点での因数分解の問題をさらにうまく使用すること
により、GQ2技術はRSA技術の欠点を回避する。
【0006】 GQ方法は、512ビット以上を備える数のモジュロ計算を実行する。これら
の計算は、約216+1乗まで累乗されたのと実質的に同じ大きさを有する数に関
する。現在では、特にバンクカードの分野における既存のマイクロエレクトロニ
クスインフラストラクチャは、演算コプロセッサを使用しないでモノリシックな
自己プログラム可能マイクロプロセッサを利用する。GQ方法などの方法に関係
する複数の演算アプリケーションに関する作業量は、一定の場合では、顧客が購
入物を支払うためにバンクカードを使用するには不利であることが判明する計算
時間につながっている。ここでは、支払カードの安全を高めることを求めて、銀
行当局が、特に解決が困難である問題を引き起こしたことを想起することができ
る。実際、2つの明らかに矛盾する問題が解決されなければならない。つまり、
一方では、各カードのますます冗長かつ明瞭なキーを使用することにより安全性
を高めつつ、他方では、作業量がユーザにとっての過剰な計算時間につながるこ
とを妨げるのである。この問題は、既存のインフラストラクチャおよび既存のマ
イクロプロセッサ構成要素を考慮に入れることも必要となるため、特に激しくな
る。
【0007】 GQ2技術は、安全性を高めつつ、この問題に対する解決策を提供する。
【0008】 (方法) さらに特に、本発明は、コントローラエンティティに対し、あるエンティティ
の真正性、および/または、このエンティティに関連付けられたメッセージMの
完全性とを証明するように設計された方法に関する。
【0009】 この証明は、以下のパラメータまたはこれらのパラメータのすべてまたは一部
によって確立される。ここで、パラメータは、 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
と、 f個の素因数p1,p2,…pf(fは2以上)の積によって構成される公開
係数nと、 公開指数vとである。 前記係数、前記指数および前記値は、次のタイプの関係 Gi.Qi v≡1.mod n または Gi≡Qi vmod n. によって関連付けられ、 前記指数vは、 v=2k であり、ここで、kは1より大きい機密保護パラメータである。
【0010】 前記公開値Giは、f個の素因数p1,p2,…pfより小さい基数giの平方gi 2 である。基数giは、 2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、等式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができる。 前記方法は、以下のステップにおいて、証人と呼ばれるエンティティを実行す
る。前記証人エンティティは、f個の素因数piおよび/または素因数のチャイ
ニーズ剰余の、および公開係数nおよび/またはm個の秘密値Qiのパラメータ
、および/または秘密値Qiのおよび公開指数vのf.m個の構成要素Qi,j(Q i,j ≡Qimod pj)を有する。
【0011】 証人は、モジュロnの整数環のコミットメントRを計算する。各コミットメン
トを、 ・次のタイプの演算を実行すること R≡rvmod n ここで、rは0<r<nとなるようにランダム値であり、 ・または、 ・・以下のタイプの演算を実行し、 Ri≡ri vmod pi ここで、riは、0<ri<piとなるように素数piと関連付けられたラン
ダム値であり、各riは、ランダム値{r1,r2,…rf}の集合体に属し、 ・・そして、チャイニーズ剰余法を適用すること のどちらかによって計算する。
【0012】 証人は、1以上のチャレンジdを受け取る。各チャレンジdは、これ以降初歩
チャレンジと呼ばれるm個の整数diを備える。証人は、各チャレンジdに基づ
き、応答Dを、 ・以下のタイプの演算を実行すること D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、 ・・以下のタイプの演算を実行し Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi そして、チャイニーズ剰余法を適用すること のどちらかによって計算する。 該方法は、コミットメントRがあるため、チャレンジdがあるのと同じくらい
多くの応答Dがあり、数R,d,Dの各群は{R,d,D}と参照される三つ組
を形成する。
【0013】 (エンティティの真正性の証明の場合) 第1代替実施態様においては、本発明に従った方法は、デモンストレータとし
て知られているエンティティの真正性をコントローラとして知られているエンテ
ィティに対し証明するように設計される。前記デモンストレータエンティティは
、証人を備える。前記デモンストレータエンティティおよびコントローラエンテ
ィティは、以下のステップを実行する。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人は、ここに前記に明記されたプロセスを適用することに
よって各コミットメントRを計算する。デモンストレータは、コントローラに、
各コミットメントRのすべてまたは一部を送信する。 ・ステップ2のチャレンジdという行為 コントローラは、各コミットメントRのすべてまたは一部を受け取った後、そ
の数がコミットメントRの数に等しいチャレンジdを作成し、チャレンジdをデ
モンストレータに送信する。 ・ステップ3の応答Dという行為 証人は、前記に明記されたプロセスを適用することによって、チャレンジdか
ら応答Dを計算する。 ・ステップ4のチェック行為 証人は、コントローラに各応答Dを送信する。 (第1の場合:デモンストレータが各コミットメントRの一部を送信) デモンストレータが各コミットメントRの一部を送信した場合には、m個の公
開値G1,G2,...,Gmを有するコントローラは、各チャレンジdおよび各
応答Dから再構築されたコミットメントR’を計算し、この再構築されたコミッ
トメントR’が次のタイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラは、各再構築されたコミットメントR’が、それに送信された各
コミットメントRのすべてまたは一部を再現することを確認する。 (第2の場合:デモンストレータが各コミットメントRの全体性を送信) デモンストレータが各コミットメントRの全体性を送信した場合、m個の公開
値G1,G2,...,Gmを有するコントローラは、各コミットメントRが、次
のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0014】 (メッセージの完全性の証明の場合) 第1代替実施態様と組み合わせることができる第2代替実施態様では、本発明
の方法は、コントローラエンティティとして知られているエンティティに対し、
デモンストレータエンティティと呼ばれているエンティティに関連付けられたメ
ッセージMの完全性の証拠を提供するように設計される。前記デモンストレータ
エンティティは、証人を含む。前記デモンストレータエンティティおよびコント
ローラエンティティは、以下のステップを実行する。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人は、ここに前記に明記されたプロセスを適用することに
より、各コミットメントRを計算する。 ・ステップ2のチャレンジdという行為 証人は、その引数がメッセージMおよび各コミットメントRのすべてまたは一
部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算する。デ
モンストレータは、トークンTをコントローラに送信する。コントローラは、ト
ークンTを受け取った後に、コミットメントRに数で等しいチャレンジdを作成
し、チャレンジdをデモンストレータに送信する。 ・ステップ3の応答Dという行為 証人は、前記に明記されたプロセスを適用することによりチャレンジdから応
答Dを計算する。 ・ステップ4のチェック行為 証人は、各応答Dをコントローラに送信する。m個の公開値G1,G2,...
,Gmを有するコントローラは、各チャレンジdおよび各応答Dから再構築され
たコミットメントR’を計算し、この再構築されたコミットメントR’が、次の
タイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 そして、コントローラは、その引数がメッセージMおよび再構築されたR’の
すべてまたは一部であるハッシュ関数hを適用し、トークンT’を再構築する。
そして、コントローラは、トークンT’が送信されたトークンTと同一であるこ
とを確認する。
【0015】 (メッセージのデジタル署名およびその真正性の証明) 前記2つと組み合わせることができる第3代替実施態様においては、本発明1
に従った方法が、署名するエンティティとして知られているエンティティによっ
てメッセージMのデジタル署名を作成するように設計される。前記署名エンティ
ティは証人を含む。
【0016】 (署名動作) 前記署名エンティティは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む署名済みのメッセージを得るために、署名動作を実行する。 前記署名エンティティは、以下のステップを実行することにより署名動作を実
行する。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人は、ここに前記に明記されるプロセスを適用することに
よって各コミットメントRを計算する。 ・ステップ2のチャレンジdという行為 署名関係者は、その引数がメッセージMおよび各コミットメントRであるハッ
シュ関数hを適用し、バイナリトレインを得る。このバイナリトレインから、署
名関係者は、その数がコミットメントRの数に等しいチャレンジdを抽出する。 ・ステップ3の応答Dという行為 証人は、前記に明記されたプロセスを適用することによりチャレンジdから応
答Dを計算する。
【0017】 (チェック動作) メッセージMの真正性を証明するため、コントローラと呼ばれるエンティティ
が、署名済みのメッセージをチェックする。証明済みのメッセージを有する前記
コントローラエンティティは、以下のように進むことによってチェック動作を実
行する。 ・コントローラがコミットメントR、チャレンジd、応答Dを有する場合 コントローラがコミットメントR、チャレンジd、応答Dを有する場合には、
コントローラは、コミットメントR、チャレンジdおよび応答Dが、以下のタイ
プの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。 そして、コントローラは、メッセージM、チャレンジdおよびコミットメント
Rがハッシュ関数を満たすことを確認する。 d=h(message,R) ・コントローラがチャレンジdおよび応答Dを有する場合 コントローラがチャレンジdおよび応答Dを有する場合には、コントローラは
、各チャレンジdおよび各応答Dに基づき、コミットメントR'を再構築し、以
下のタイプの関係性 R'≡G1 d1.G2 d2....Gm dm.Dvmod n または以下のタイプの関係性: R'≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 そして、コントローラは、メッセージMおよびチャレンジdがハッシュ関数を
満たすことを確認する。 d=h(message,R') ・コントローラが、コミットメントRおよび応答Dを有する場合 コントローラが、コミットメントRおよび応答Dを有する場合には、コントロ
ーラは、ハッシュ関数を適用し、d'を再構築する。 d’=h(message,R) そして、コントローラ装置が、コミットメントR、チャレンジd'よび応答D
が、以下のタイプの関係性である R≡G1 d'1.G2 d'2....Gm d'm.Dvmod n または、以下のタイプの関係性である R≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n を満たすことを確認する。
【0018】 (システム) 本発明は、コントローラサーバに対して、エンティティの真正性、および/ま
たは、このエンティティに関連付けられたメッセージMの完全性を証明するよう
に設計されるシステムにも関する。 この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべtま
たは一部によって確立される。ここで、パラメータは、 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
と、 前記f個の素因数p1,p2,…pf(fは2以上)の積によって構成される
公開係数nと、 公開指数vとである。 前記係数、前記指数および前記値は、以下のタイプの関係 Gi.Qi v≡1.mod n または Gi≡Qi vmod n. によってリンクされる。 前記指数vは、 v=2k であり、ここで、kは、1より大きい機密保護パラメータである。 前記公開値Giは、f個の素因数p1,p2,…pf.より小さい基数giの平方
i 2である。基数giは、2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、等式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができる。
【0019】 前記システムは、特に、例えば、マイクロプセッサベースのバンクカードの形
を取るノマッドオブジェクトに含まれる証人装置を含む。証人装置は、f個の素
因数piおよび/または素因数のチャイニーズ剰余の、および/または公開係数
nおよび/またはm個の秘密値Qiのパラメータ、および/または秘密値Qiおよ
び公開指数vのf.m個の構成要素Qi,j(Qi,j≡Qimodpj)を含むメモリ
ゾーンを含む。また、証人装置は、 証人装置のこれ以降ランダム値生成手段と呼ばれるランダム値生成手段と、 これ以降証人装置のコミットメントRの計算用手段と呼ばれる計算手段、 を含む。 計算手段は、モジュロnの整数環でコミットメントRを計算する。各コミット
メントを、 ・以下のタイプの演算を実行することによって、 R≡rvmod n ここで、rは、ランダム値生成手段によって作成されるランダム値であり、r
は0<r<nである。 ・または、以下のタイプの演算を実行し、 Ri≡ri vmod pi ここで、riは、0<ri<piとなるように素数piに関連付けられたランダム
値であり、各riはランダム値{r1,r2,…rf}の集合体に属し、そしてチャ
イニーズ剰余法を適用することのどちらかによって、 計算する。
【0020】 証人装置は、 証人装置のチャレンジdの受信用装置と呼ばれる1以上のチャレンジdを受け
取るための受信手段であって、各チャレンジdが、初歩チャレンジと呼ばれるm
個の整数diを備える受信手段と、 ・以下のタイプの演算を実行することによって、 D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、以下のタイプの演算を実行し、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmodpi そして、チャイニーズ剰余法を適用することのどちらかによって、 応答Dの各チャレンジdに基づき、計算用の証人装置の応答Dの計算用手段
と呼ばれる計算手段と を含む。 証人装置は、1以上のコミットメントRおよび1以上の応答Dを送信するための
送信手段も含む。コミットメントRがあるので、チャレンジdと同じくらい多く
の応答Dがあり、R,d,Dの各群が{R,d,D}と参照される三つ組を形成
する。
【0021】 (エンティティの真正性の証明の場合) 第1実施態様では、デモンストレータと呼ばれているエンティティの真正性を
コントローラと呼ばれているエンティティに証明するように、本発明に従ったシ
ステムを設計する。 前記システムは、それがデモンストレータエンティティと関連付けられたデモ
ンストレータ装置を含んでいる。前記デモンストレータ装置は、相互接続手段に
よってデモンストレータ装置と相互接続される。それは、特に、例えば、マイク
ロプロセッサベースのバンクカード内のマイクロプロセッサの形式などのノマッ
ドオブジェクトの論理マイクロ回路の形を取る。 前記システムは、コントローラエンティティに関連付けられたコントローラ装
置も含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。
前記コントローラ装置は、特にデータ処理通信網を通して、デモンストレータ装
置へのその電気的、電磁的、光学的、または音響的な接続のための接続手段を含
む。
【0022】 前記システムは、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算の手段が、ここに前記に
明記されたプロセスを適用することによって、各コミットメントRを計算する。
証人装置は、各コミットメントRのすべてまたは一部を相互接続手段を通してデ
モンストレータ装置に送信するために、証人装置の送信手段と呼ばれる送信の手
段を有する。デモンストレータ装置は、各コミットメントRのすべてまたは一部
を接続手段を通してコントローラ装置に送信するために、デモンストレータの送
信手段と呼ばれる送信手段も有する。 ・ステップ2のチャレンジdという行為 コントローラ装置は、コミットメントRのすべてまたは一部を受け取った後、
コミットメントRの数に数で等しいチャレンジdの生成のためのチャレンジ生成
手段を含む。コントローラ装置は、接続手段を通してデモンストレータにチャレ
ンジdを送信するために、コントローラの送信手段として知られている送信手段
も有する。 ・ステップ3の応答Dという行為 証人装置のチャレンジdの受信手段は、相互接続手段を通してデモンストレー
タ装置から着信する各チャレンジdを受信する。証人装置の応答Dの計算手段は
、ここに前記に明記されたプロセスを適用することによってチャレンジdから応
答Dを計算する。 ・ステップ4のチェックという行為 デモンストレータの送信手段は、各応答Dをコントローラに送信する。コント
ローラは、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む。
【0023】 (第1の場合:デモンストレータが各コミットメントRの一部を送信) デモンストレータの送信手段が、各コミットメントRの一部を送信した場合に
は、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段
は、各チャレンジdおよび各応答Dから再構築されたコミットメントR’を計算
し、この再構築されたコミットメントR’が、以下のタイプの関係 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラ装置の比較手段は、それぞれの再構築されたコミットメントR’
を受信された各コミットメントRのすべてまたは一部と比較する。
【0024】 (第2の場合:デモンストレータが、各コミットメントRの全体性を送信) デモンストレータの送信手段が各コミットメントRの全体性を送信した場合に
は、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段
および比較手段が、各コミットメントRが次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0025】 (メッセージの完全性の証明の場合) 第1代替実施態様と組み合わせることができる第2代替実施態様においては、
本発明に従ったシステムは、コントローラとして知られているエンティティに対
し、デモンストレータとして知られているエンティティに関連付けられたメッセ
ージMの完全性の証明を与えるように設計される。前記システムは、それがデモ
ンストレータエンティティに関連付けられたデモンストレータ装置を含んでいる
。前記デモンストレータ装置は相互接続手段によって証人装置と相互接続される
。前記デモンストレータ装置は、特に、マイクロプロセッサベースのバンクカー
ド内のマイクロプロセッサの形などのノマッドオブジェクト内の論理マイクロ回
路の形を取りうる。前記システムは、コントローラエンティティに関連付けられ
たコントローラ装置も含む。前記コントローラ装置は、特に、端末または遠隔サ
ーバの形を取る。前記コントローラ装置は、特にデータ処理通信網を通して、デ
モンストレータ装置へのその電気的、電磁的、光学的、または音響的な接続のた
めの接続手段を含む。
【0026】 前記システムは、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明
記されたプロセスを適用することによって各コミットメントRを計算する。証人
装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRのす
べてまたは一部を送信するために、証人装置の送信手段と呼ばれる送信手段を有
する。 ・ステップ2のチャレンジdという行為 デモンストレータ装置は、デモンストレータの計算手段と呼ばれる計算手段を
含み、その引数がメッセージMおよびコミットメントRのすべてまたは一部であ
るハッシュ関数hを適用し、少なくとも1つのトークンTを計算する。デモンス
トレータ装置は、接続手段を通してコントローラ装置へ各トークンTを送信する
ために、デモンストレータ装置の送信手段として知られる送信手段も含む。コン
トローラ装置は、トークンTを受信した後、コミットメントRの数に数で等しい
チャレンジdの生成のためのチャレンジ生成手段も有する。コントローラ装置は
、接続手段を通してデモンストレータにチャレンジdを送信するために、これ以
降、コントローラの送信手段と呼ばれる送信手段も有する。 ・ステップ3の応答Dという行為 証人装置のチャレンジdの受信手段は、相互接続手段を通してデモンストレー
タ装置から着信する各チャレンジdを受信する。証人装置の応答Dの計算手段は
、ここに前記に明記されたプロセスを適用することによって、チャレンジdから
応答Dを計算する。 ・ステップ4のチェックという行為 デモンストレータの送信手段は、コントローラに各応答Dを送信する。コント
ローラ装置は、第1に、各チャレンジdおよび各応答Dから再構築されたコミッ
トメントR’を計算するために、第2に、引数として、メッセージMおよび各再
構築されたコミットメントR’のすべてまたは一部を有するハッシュ関数hを適
用することによって、トークンT’を計算するために、m個の公開値G1,G2
...,Gmを有する、これ以降、コントローラ装置の計算手段と呼ばれる計算
手段も備え、この再構築されたコミットメントR’が、次のタイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラ装置は、計算されたトークンT’を受信されたトークンTと比較
するために、これ以降、コントローラ装置の比較手段として知られる比較手段も
有する。
【0027】 (メッセージのデジタル署名およびその真正性の証明) 第1の2つの実施態様のどちらかまたは両方と組み合わせることができる第3
代替実施態様においては、本発明に従ったシステムは、署名エンティティと呼ば
れているエンティティによって、これ以降、署名済みのメッセージとして知られ
ているメッセージMのデジタル署名を証明するように設計される。署名済みメッ
セージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む。
【0028】 (署名動作) 前記システムは、それが署名エンティティと関連付けられた署名デバイスを含
んでいる。前記署名デバイスは、相互接続手段によって証人装置と相互接続され
る。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイ
クロプロセッサの形などのノマッドオブジェクト内の論理マイクロ回路の形を取
りうる。
【0029】 前記システムは、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明
記されたプロセスを適用することによって各コミットメントRを計算する。証人
装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRのす
べてまたは一部を送信するために、これ以降、証人装置の送信手段と呼ばれる送
信手段を有する。 ・ステップ2のチャレンジdという行為 署名デバイスは、これ以降、署名デバイスの計算手段と呼ばれる計算手段を含
み、その引数がメッセージMおよびコミットメントRのすべてまたは一部である
ハッシュ関数hを適用し、バイナリトレインを計算し、このバイナリトレインか
ら、その数がコミットメントRの数に等しいチャレンジdを抽出する。 ・ステップ3の応答Dという行為 証人装置のチャレンジdの受信手段は、相互接続手段を通して署名デバイスか
ら着信する各チャレンジdを受信する。証人装置の応答Dを計算するための手段
は、ここに前記に明記されたプロセスを適用することによって、チャレンジdか
ら応答Dを計算する。 証人装置は、相互接続手段を通して署名デバイスに応答Dを送信するために、
これ以降、証人装置の送信の手段と呼ばれる送信手段を含む。
【0030】 (チェック動作) メッセージMの真正性を証明するために、コントローラとして知られているエ
ンティティは、署名済みメッセージをチェックする。 システムは、コントローラエンティティと関連付けられたコントローラ装置を
含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。前記
コントローラ装置は、特に、データ処理通信網を通して署名デバイスへのその電
気的、電磁的、光学的、または音響の接続のための接続手段を含む。
【0031】 署名エンティティと関連付けられた署名デバイスは、接続手段を通した署名済
みメッセージの、コントローラ装置への送信のための、署名デバイスの送信手段
として知られている送信手段を含む。このようにして、コントローラ装置は、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む署名済みのメッセージを有する。
【0032】 コントローラ装置は、 −これ以降、コントローラ装置の計算手段と呼ばれる計算手段と、 −これ以降、コントローラ装置の比較手段と呼ばれる比較手段と を含む。
【0033】 ・コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合 コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合に
は、コントローラ装置の計算手段および比較手段は、コミットメントR、チャレ
ンジdおよび応答Dが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。 そして、コントローラ装置の計算手段および比較手段は、メッセージM、チャ
レンジdおよびコミットメントRが、ハッシュ関数 d=h(message,R) を満たすことを確認する。
【0034】 ・コントローラ装置が、チャレンジdおよび応答Dを有する場合 コントローラがチャレンジdおよび応答Dを有する場合には、コントローラは
、各チャレンジdおよび各応答Dに基づき次のタイプの関係性 R'≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R'≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすコミットメントR'を再構築する。 そして、コントローラが、メッセージMおよびチャレンジdが以下のハッシュ
関数 d=h(message,R') を満たすことを確認する。
【0035】 ・コントローラがコミットメントRおよび応答Dを有する場合 コントローラが、コミットメントRおよび応答Dを有する場合には、コントロ
ーラ装置の計算手段は、ハッシュ関数を適用し d’=h(message,R) となるようにd'を計算する。 そして、コントローラ装置の計算手段および比較手段は、コミットメントR、
チャレンジd'および応答Dが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0036】 (端末装置) 本発明は、エンティティに関連付けられた端末装置にも関する。端末装置は、
特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロプロセッ
サの形など、ノマッドオブジェクトの形を取る。端末装置は、コントローラサー
バに対し、あるエンティティの真正性、および/または、このエンティティに関
連付けられたメッセージMの完全性を証明するように設計される。 この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべてま
たは一部によって確立される。 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
と、 前記f個の素因数p1,p2,…pf(fは2以上)によって構成される公開
係数nと、 公開指数vとであり、 前記係数、前記指数、および前記値は、次のタイプの関係 Gi.Qi v≡1.mod nまたはGi≡Qi vmod n. によって関係付けられる。 前記指数vは、 v=2k であり、ここで、kは、1より大きい機密保護パラメータである。 前記公開値Giは、f個の素因数p1,p2,…pf.より小さい基数giの平方
i 2である。基数giは、 2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、等式 xv≡gi 2mod n が、モジュロnの整数環のxの中で解くことができる。 前記端末装置は、f個の素因数piおよび/または素因数のチャイニーズ剰余
の、および/または公開係数nおよび/またはm個の秘密値Qiのパラメータ、
および/または秘密値Qiの、および公開指数vのf.m個の構成要素Qi,j(Q i,j ≡Qimodpj)を含むメモリゾーンを備える証人装置を含む。
【0037】 証人装置は、 証人装置のランダム値生成手段と呼ばれるランダム値生成手段と、 モジュロnの整数環のコミットメントRを計算するために、これ以降、証人
装置のコミットメントRを計算するために、これ以降、証人装置のコミットメン
トRのための計算手段と呼ばれる計算手段と を含む。各コミットメントが、 ・以下のタイプの演算を実行することによって、 R≡rvmod n ここで、rは、ランダム値生成手段によって作成されるランダム値であり、r
は0<r<nとなる。 ・または、以下のタイプの演算を実行することによって、 Ri≡ri vmod pi ここで、riは、0<ri<piとなるように、素数piと関連付けられたランダ
ム値であって、各riは、ランダム値生成手段によって生じるランダム{r1,r 2 ,…rf}の集合体に属し、そして、チャイニーズ剰余を適用することのどちら
かによって、計算される。
【0038】 証人装置は、 1以上のチャレンジdを受信するために、これ以降、証人装置のチャレンジ
dの受信のための主だと呼ばれる受信手段であって、各チャレンジdが、これ以
降初歩チャレンジと呼ばれるm個の整数diを備える受信手段と、 ・以下のタイプの演算を実行すること、 D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、以下のタイプの演算を実行し、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi そして、チャイニーズ剰余法を適用すること のどちらかによって、 応答Dの各チャレンジdに基づく、計算のための証人装置の応答Dの計算のた
めの手段と呼ばれる計算手段と も含む。 前記証人装置は、1以上のコミットメントRおよび1以上の応答Dを送信するた
めに送信手段も含む。コミットメントRがあるため、チャレンジdと同じくらい
多くの応答Dがある。数R,d,Dの各群は、{R,d,D}と参照される三つ
組を形成する。
【0039】 (エンティティの真正性の証明の場合) 第1代替実施態様においては、本発明に従った端末装置は、デモンストレータ
と呼ばれているエンティティの真正性をコントローラと呼ばれているエンティテ
ィに証明するように設計される。 前記端末装置は、それがデモンストレータエンティティに関連付けられたデモ
ンストレータ装置を含んでいる。前記デモンストレータ装置は、相互接続手段に
よってデモンストレータ装置と相互接続している。それは、特に、例えば、マイ
クロプロセッサベースのバンクカード内のマイクロプロセッサという形などのノ
マッドオブジェクト内の論理マイクロ回路という形を取りうる。 前記デモンストレータ装置は、特にデータ処理通信網を通して、コントローラ
エンティティに関連付けられたコントローラ装置へのその電気的、電磁的、光学
的または音響の接続のための接続手段も含む。
【0040】 前記コントローラ装置は、特に端末または遠隔サーバの形を取る。 前記コントローラ装置は、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明
記されたプロセスを適用することによって各コミットメントRを計算する。 証人装置は、各コミットメントRのすべてまたは一部を相互接続手段を通して
デモンストレータ装置に送信するために、これ以降、証人装置の送信手段と呼ば
れる送信手段を有する。デモンストレータ装置は、各コミットメントRのすべて
または一部をコントローラ装置に送信するために、これ以降、デモンストレータ
の送信手段と呼ばれる送信手段も有する。 ・ステップ2および3のチャレンジdという行為および応答Dという行為 証人装置のチャレンジdの受信手段は、コントローラ装置とデモンストレータ
装置の間の接続手段を通して、およびデモンストレータ装置と証人装置の間の相
互接続手段を通して、コントローラ装置から着信する各チャレンジdを受信する
。証人装置の応答Dの計算手段は、ここに前記に明記されるプロセスを適用する
ことにより、チャレンジdから応答Dを計算する。 ・ステップ4のチェックという行為 デモンストレータの送信手段は、各応答Dをチェックを実行するコントローラ
に送信する。
【0041】 (メッセージの完全性の証明の場合) 第1代替実施態様と組み合わせることのできる第2代替実施態様においては、
本発明に従った端末装置は、コントローラとして知られるエンティティに対し、
デモンストレータとして知られるエンティティに関連付けられたメッセージMの
完全性の証明を与えるように設計される。前記端末装置は、それがデモンストレ
ータエンティティに関連付けられたデモンストレータ装置を含んでいる。前記デ
モンストレータ装置は、相互接続手段によって証人装置と相互接続されている。
それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロ
プロセッサの形などの、ノマッドオブジェクト内の論理マイクロ回路の形を取り
うる。前記デモンストレータ装置は、特に、データ処理通信網を通したコントロ
ーラエンティティに関連付けられたコントローラ装置へのその電気的、電磁的、
光学的または音響の接続のための接続手段を含む。前記コントローラ装置は、特
に、端末または遠隔サーバの形を取る。
【0042】 前記端末装置は、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明
記されたプロセスを適用することによって、各コミットメントRを計算する。証
人装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRの
すべてまたは一部を送信するために、これ以降、証人装置の送信手段と呼ばれる
送信の手段を有する。 ・ステップ2および3のチャレンジdという行為および応答Dという行為 デモンストレータ装置は、これ以降、デモンストレータの計算手段と呼ばれる
計算手段を含み、その引数が、メッセージMおよび各コミットメントRのすべて
または一部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算
する。デモンストレータ装置は、コントローラ装置に、接続手段を通して、各ト
ークンTを送信するために、これ以降、デモンストレータ装置の送信手段として
知られている送信手段も有する。 前記コントローラは、トークンTを受信した後、コミットメントRの数に等し
い数のチャレンジdを作成する。 証人装置のチャレンジdの受信手段は、コントローラ装置とデモンストレータ
装置の間の接続手段を通して、およびデモンストレータ装置と証人装置の間の相
互接続手段を通して、コントローラ装置から着信する各チャレンジdを受信する
。証人装置の応答Dの計算の手段は、ここに前記に明記されたプロセスを適用す
ることによって、チャレンジdから応答Dを計算する。 ・ステップ4のチェックという行為 デモンストレータの送信手段は、各応答Dを、チェックを実行するコントロー
ラ装置に送信する。
【0043】 (メッセージのデジタル署名およびその真正性の証明) 第1の2つの実施態様のどちらかまたは両方と組み合わせることのできる第3
代替実施態様においては、本発明に従った端末装置が、署名エンティティと呼ば
れるエンティティによる、これ以降、署名済みメッセージとして知られるメッセ
ージMのデジタル署名を作成するように設計される。署名済みメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む。 前記端末装置は、それが署名エンティティと関連付けられた署名デバイスを含
んでいる。前記署名デバイスは、相互接続手段によって証人装置と相互接続され
る。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイ
クロプロセッサの形などの、ノマッドオブジェクト内の論理マイクロ回路の形を
取りうる。前記デモンストレータ装置は、データ処理通信網を通したコントロー
ラエンティティと関連付けられたコントローラ装置への、その電気的、電磁的、
光学的、または音響の接続のための接続手段を含む。前記コントローラ装置は、
特に、端末または遠隔サーバの形を取る。
【0044】 (署名動作) 前記端末装置は、以下のステップを実行するために使用される。 ・ステップ1のコミットメントRという行為 各呼び出しでは、証人装置のコミットメントRの計算の手段が、ここに前記に
明記されたプロセスを適用することによって、各コミットメントRを計算する。
証人装置は、相互接続手段を通して署名デバイスに各コミットメントRのすべて
または一部を送信するために、これ以降、証人装置の送信手段と呼ばれる送信の
手段を有する。 ・ステップ2のチャレンジdという行為 署名デバイスは、これ以降、署名デバイスの計算手段と呼ばれる計算手段を含
み、その引数がメッセージMおよび各コミットメントRのすべてまたは一部であ
るハッシュ関数hを適用し、バイナリトレインを計算し、このバイナリトレイン
から、その数がコミットメントRの数に等しいチャレンジdを抽出する。 ・ステップ3の応答Dという行為 証人装置のチャレンジdの受信のための手段は、相互接続手段を通して署名デ
バイスから着信する各チャレンジdを受信する。証人装置の応答Dを計算するた
めの手段は、ここに前記に明記されたプロセスを適用することによって、チャレ
ンジdから応答Dを計算する。証人装置は、相互接続手段を通して、署名デバイ
スに応答Dを送信するために、これ以降、証人装置の送信の手段と呼ばれる送信
手段を含む。
【0045】 (コントローラ装置) 本発明は、コントローラ装置にも関する。コントローラ装置は、特に、コント
ローラエンティティに関連付けられた端末または遠隔サーバの形を取る。コント
ローラ装置は、エンティティの真正性、および/または、このエンティティに関
連付けられたメッセージMの完全性をチェックするように設計される。 この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべてま
たは一部によって確立される。 m組の公開値G1,G2,…Gm(mは1以上)と、 コントローラ装置にとって、および関連付けられたコントローラエンティテ
ィにとって未知である前記f個の素因数p1,p2,…pf(fは2以上)の積に
よって構成される公開係数nと、 公開指数vと 前記係数、前記指数、および前記値は、次のタイプの関係 Gi.Qi v≡1.mod n または Gi≡Qi vmod n. によって関連付けられ、ここで、Qiは、公開値GIに関連付けられたコントロ
ーラ装置にとって未知の秘密値を指定する。 指数vは、 v=2k であり、ここで、kは、1より大きい機密保護パラメータである。 前記公開値Giは、f個の素因数p1,p2,…pfより小さい基数giの平方gi 2 である。基数giは、 2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、 等式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができる。
【0046】 (エンティティの真正性の証明の場合) 第1代替実施態様においては、本発明に従ったコントローラ装置は、デモンス
トレータと呼ばれるエンティティおよびコントローラと呼ばれるエンティティの
真正性を証明するように設計される。 前記コントローラ装置は、デモンストレータエンティティと関連付けられたデ
モンストレータ装置への、特にデータ処理通信網を通した、その電気的、電磁的
、光学的、または音響の接続のための接続手段を含む。 前記コントローラ装置は、以下のステップを実行するために使用される。 ・ステップ1および2のコミットメントRという行為およびチャレンジdとい
う行為 前記コントローラ装置は、接続手段を通して、デモンストレータ装置から着信
するコミットメントRのすべてまたは一部の受信のための手段も有する。 コントローラ装置は、各コミットメントRのすべてまたは一部を受信した後、
コミットメントRの数に等しい数のチャレンジdの生成のためのチャレンジ生成
手段を有し、各チャレンジdは、初歩チャレンジと呼ばれるm個の整数diを備
える。 コントローラ装置は、接続手段を通してデモンストレータにチャレンジdを送
信するために、コントローラの送信手段と呼ばれる送信手段も有する。 ・ステップ3および4の応答Dという行為およびチェック行為 コントローラ装置は、 接続手段を通して、デモンストレータ装置から着信する応答Dの受信のため
の手段と、 これ以降、コントローラ装置の計算手段と呼ばれる計算手段と、 これ以降、コントローラ装置の比較手段と呼ばれる比較手段と を含む。 (第1の場合:デモンストレータが各コミットメントRの一部を送信) デモンストレータの受信手段が各コミットメントRの一部を受信すると、m個
の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段が、各チ
ャレンジdおよび各応答Dから、再構築されたコミットメントR’を計算し、こ
の再構築されたコミットメントは、次のタイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラ装置の比較手段は、受信された各コミットメントRのすべてまた
は一部と、各再構築されたコミットメントR’を比較する。 (第2の場合:デモンストレータが各コミットメントRの全体性を送信) デモンストレータの送信手段が、各コミットメントRの全体性を送信した場合
には、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手
段および比較手段が、各コミットメントRが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。
【0047】 (メッセージの完全性の証明の場合) 第1代替実施態様と結び付けることができる第2代替実施態様においては、本
発明に従ったコントローラ装置が、コントローラとして知られるエンティティに
対し、デモンストレータとして知られているエンティティと関連付けられたメッ
セージMの完全性の証明を与えるように設計される。 前記コントローラ装置は、特にデータ処理通信網を通した、デモンストレータ
エンティティと関連付けられたデモンストレータ装置へのその電気的、電磁的、
光学的、または音響の接続のための接続手段を含む。 前記システムは、以下のステップを実行するために使用される。 ・ステップ1および2のコミットメントRという行為およびチャレンジdとい
う行為 前記コントローラ装置は、接続手段を通してデモンストレータ装置から着信す
るトークンTの受信のための手段も有する。コントローラ装置は、トークンTを
受信した後、コミットメントRの数に数で等しいチャレンジdの生成のためのチ
ャレンジ生成手段を有し、各チャレンジdは、呼び出された初歩チャレンジの後
にここにm個の整数diを備える。コントローラ装置は、接続手段を通してデモ
ンストレータへチャレンジdを送信するために、これ以降、コントローラの送信
手段と呼ばれる送信手段も有する。 ・ステップ3および4の応答Dという行為およびチェック行為 コントローラ装置は、接続手段を通してデモンストレータ装置から着信する応
答Dの受信のための手段も含む。前記コントローラ装置は、第1に、各チャレン
ジdおよび各応答Dから再構築されたコミットメントR’を計算するために、お
よび第2に、メッセージMおよび各再構築されたコミットメントR’のすべてお
よび一部として有するハッシュ関数hを適用することによってトークンT’を計
算するために、m個の公開値G1,G2,...,Gmを有する、これ以降、コン
トローラ装置の計算手段と呼ばれる計算手段も含み、この再構築されたコミット
メントR’は、次のタイプの関係性 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす。 コントローラ装置は、計算されたトークンT’を受信されたトークンTと比較
するために、これ以降、コントローラ装置の比較手段と呼ばれる比較手段も有す
る。
【0048】 (メッセージのデジタル署名およびその真正性の証明) 第1の2つの実施態様のどちらか、または両方と組み合わせることのできる第
3代替実施態様のいては、本発明に従ったコントローラ装置は、コントローラと
呼ばれるエンティティによって署名済みのメッセージをチェックすることによっ
て、メッセージMの真正性を証明するように設計される。 ハッシュ関数h(メッセージ,R)を有する署名エンティティに関連付けられ
た署名デバイスによって送信される署名済みメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む。
【0049】 (チェック動作) 前記コントローラ装置は、署名エンティティに関連付けられた署名デバイスへ
の、特にデータ処理通網を通した、その電気的、電磁的、光学的または音響の接
続のための接続手段を備える。前記コントローラ装置は、接続手段を通して、署
名済みメッセージを、署名されたデバイスから受信する。 コントローラ装置は、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む。 ・コントローラ装置が、コミットメントR、チャレンジd、応答Dを有する場
合 コントローラがコミットメントR、チャレンジd、応答Dを有する場合、コン
トローラ装置の計算手段および比較手段は、コミットメントR、チャレンジdお
よび応答Dが、次のタイプの関係性 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを確認する。 そして、監査デバイスの計算手段および比較手段は、メッセージM、チャレン
ジdおよびコミットメントRが、ハッシュ関数 d’=h(message,R) を満たすことを確認する。 ・コントローラ装置がチャレンジdおよび応答Dを有する場合 コントローラ装置が、チャレンジdおよび応答Dを有する場合には、コントロ
ーラの計算手段は、各チャレンジdおよび各応答Dに基づいて、次のタイプの関
係性 R'≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係性 R'≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすコミットメントR'を計算する。 そして、コントローラ装置の計算手段および比較手段は、メッセージMおよび
チャレンジdが、ハッシュ関数 d=h(message,R') を満たすのを確認する。 ・コントローラ装置がコミットメントRおよび応答Dを有する場合 コントローラ装置が、コミットメントRおよび応答Dを有する場合、コントロ
ーラ装置の計算手段は、ハッシュ関数を適用し、 d=h(message,R) となるように、d'を計算する。 そして、コントローラ装置の計算手段および比較手段は、コミットメントR、
チャレンジd'および応答Dが、次のタイプの関係性 R≡G1 d'1.G2 d'2....Gm d'm.Dvmod n または、次のタイプの関係性 R≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n を満たすのを確認する。
【0050】 (説明) GQ技術の目標を想起することができる。つまり、それはメッセージのデジタ
ル署名だけではなくエンティティおよび関連付けられたメッセージの動的認証で
ある。
【0051】 GQ技術の標準バージョンは、RSA技術を利用する。しかしながら、RSA
技術は、真に因数分解に依存するが、この依存は、RSA技術を実行しているデ
ジタル署名の多様な規格に対するいわゆる倍数的に増加する攻撃に見られるよう
に、同等ではなく、実際にはかなりそれと異なっている。
【0052】 GQ2技術という文脈では、本発明のこの部分は、さらに明確には動的認証お
よびデジタル署名という文脈でのGQ2鍵の集合の使用に関する。GQ2技術は
RSA技術を使用しない。目標は2つの部分を有する。つまり、第1に、RSA
技術に関して性能を改善し、第2にRSA技術に固有の問題を妨げることである
。GQ2秘密鍵は、係数nの因数分解である。GQ2三つ組に対する攻撃は、係
数nの因数分解に相当する。このときには同等がある。GQ2技術を使用すると
、署名をするエンティティまたは認証されるエンティティ、およびチェックを行
うエンティティの両方にとっての作業量が削減される。機密保護およぎ性能とい
う点での、因数分解の問題の改善された使用を通して、GQ2技術はRSA技術
に匹敵する。
【0053】 GQ2技術は、1より大きい1以上の小さな整数、例えば、基数と呼ばれ、gi と参照されるm個の小さい整数(m≧1)を使用する。基数はm>1でgiから
mで固定されるため、公開検鍵<v,n>が、以下のように選択される。公開
認証指数vは2kであり、ここで、kは1(k≧2)を上回る小さい整数である
。公開係数nは、基数より大きい少なくとも2つの素因数、例えばpjによって
1…pfから参照されるf個の素因数(f≧2)の積である。f個の素因数は、
公開係数nが、g1からgmm個の基数のそれぞれに関して以下の特性を有するよ
うに選択される。 第1に、等式(数1)および(数2)は、モジュロnの整数環のxについて解
くことができない。つまり、giおよび?giは2つの非平方剰余(mod n)
である。
【数1】
【数2】 第2に、等式(数3)は、モジュロnの整数環のxについて解くことができる
【数3】
【0054】 公開認証鍵<v,n>は、m≧1でg1からgmの基数に従って固定されている
ため、各基数giが公開値Giと秘密値QIを備える値GQ2の組を決定する。m
組の参照されたG11からGmmを指定する。公開値Giは、基数gIの平方であ
る。つまり、Gi=gi 2を指定する。秘密値Qiは、等式(数3)に対する解の1
つであるか、さもなければこのような解の逆数(mod n)である。
【0055】 ちょうど係数nがf個の素数に分解されるように、モジュロnの整数環はCG
(p1)からCG(pf)というf個のガロア体(Galois field)に分解される。
ここにCG(pj)での等式(数1)、(数2)、および(数3)の投射がある
【数4】
【数5】
【数6】
【0056】 各秘密値Qiは、素因数あたり1個づつf個の秘密構成要素によって一意に表
すことができる。Qi,j≡Qi(mod pj).各秘密構成要素Qi,jは等式(数
6)に対する解であるか、またはさもなければこのような解の逆数(mod pj )である。各等式(数6)に対するすべての考えられる解が計算された後に、チ
ャイニーズ剰余技法が、等式(数3)に対するすべての考えられる解を得るため
にQi,1からQi,f:Qiというf個の構成要素=チャイニーズ剰余(Qi,1,Qi, 2 ,…Qi,f)に基づき、秘密値Qiごとにすべての考えられる値をセットアップ
する。
【0057】 以下は、チャイニーズ剰余技法である。0<a<bとなるように相互に素数a
とbである2つの正の整数、および0からa−1のXaおよび0からb−1のXb という2つの構成要素があるとする。Xa≡X(mod a)およびXb≡X(m
od b)となるように、X=チャイニーズ剰余(Xa,Xb)、つまり0からa
.b−1の一意のXを決定することが必要とされる。以下は、チャイニーズ剰余
パラメータである。つまり、α≡{b(mod a)}-1(mod a)。以下は
チャイニーズ剰余演算である。つまり、ε≡ Xb(mod a)、δ= Xa-ε、
δが負である場合には、δをδ+aと、γ≡α.δ(mod a)と、X=γ.
b+Xbとに置換する。
【0058】 素因数が最小のp1から大きい方のpfへと昇順で並べられるとき、チャイニー
ズ剰余パラメータは以下となることがある(それらのf−1がある、つまり素因
数より1少ない)。第1チャイニーズ剰余パラメータは、α≡{p2(mod p 1 )}-1(mod p1)である。第2チャイニーズ剰余パラメータはβ≡{p1
2(mod p3)}-1(mod p3)である。i番目のチャイニーズ剰余パラ
メータは、λ≡{p1.p2.…pi-1(mod pi)}-1(mod pi)である
。等々。最後に、f−1個のチャイニーズ剰余演算で第1結果(mod p2にp 1 をかける)が第1パラメータで得られてから、第2結果(modp1.p2にp3 をかける)が第2パラメータで得られ、結果(mod p1.…pf-1にpfをかけ
る)、すなわち(mod n)が得られまで等々である。
【0059】 秘密鍵GQ2の多様な性質を表す、秘密鍵GQ2のいくつかの考えられる描写
がある。多様な描写は同等であることが判明する。つまり、それらはすべて、真
の秘密GQ2件である係数nの因数分解の知識に相当する。描写が真に署名エン
ティティまたは自己認証エンティティの動きに影響を及ぼすのであれば、それは
コントローラエンティティの動きには影響を及ぼさない。 ここに、GQ2秘密鍵の考えられる3つの主要な描写がある。 1)GQ技術での標準表記は、m個の秘密値Qiと公開認証鍵<v,n>の記
憶から成り立つ。GQ2においては、この描写には、以下の2つが匹敵する。2
)作業量という点での最適表記は、公開指数v、f個の素因数pj、m.f個の
秘密構成要素Qijおよびチャイニーズ剰余のf−1個のパラメータを記憶するこ
とにある。3)秘密鍵サイズという点での最適表記は、公開指数v、m個の基数
iおよびf個の素因数pjを記憶すること、そして、m個の秘密値Qiおよび係
数nをセットアップして、第1描写に戻るか、またはさもなければm.f個の秘
密構成要素Qi,jおよびチャイニーズ剰余のf−1個のパラメータをセットアッ
プして第2描写に戻るかのどちらかによって各使用を開始することにある。
【0060】 署名または自己認証エンティティは、すべて同じ基数を使用できる。それ以外
に示されていない限り、g1からgmのm個の基数は、有利なことにm個の第1素
数となることがある。
【0061】 動的認証機構またはデジタル署名機構の機密保護は係数の分解の知識に同等で
あるため、GQ2技術は同じ係数を使用する2つのエンティティを単に区別する
ために使用することはできない。一般的に、それ自体を認証するまたは署名する
各エンティティは専用のGQ2係数を有する。しかしながら、4つの素因数でG
Q2係数を指定することは可能であり、その内の2つはあるエンティティによっ
て知られており、他の2つは別のエンティティによって知られている。
【0062】 ここでは、k=6がv=64を示し、m=3が3つの基数、g1=3,g2=5
および、g3=7を示し、f=3、つまり2つが3(mod 4)に一致し、1つ
が5(mod 8)に一致する3つの素因数を含む係数であるGQ2鍵の第1集
合がある。g=2が、5(mod 8)に一致する素因数と相容れないことを注
意しなければならない。 p1=03CD2F4F21E0EAD60266D5CFCEBB69546
83493E2E833 p2=0583B097E8D8D777BAB3874F2E76659BB
614F985EC1B p3=0C363CD93D6B3FEC78EE13D7BE9D84354
B8FDD6DA1FD n=p1.p2.p3=FFFF81CEA149DCF2F72EB449C5
724742FE2A3630D9 02CC00EAFEE1B957F3BDC49BE9CBD4D94467
B72AF28CFBB26144 CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD Q1,1=0279C60D216696CD6F7526E23512DAE0
90CFF879FDDE Q2,1=7C977FC38F8413A284E9CE4EDEF4AEF3
5BF7793B89 Q3,1=6FB3B9CO5A03D7CADA9A3425571EF5EC
C54D7A7B6F Q1,2=0388EC6AA1E87613D832E2B80E5AE8C1
DF2E74BFF502 Q2,2=04792CE70284D16E9A158C688A7B3FEA
F9C40056469E Q3,2=FDC4A8E53E185A4BA793E93BEE5C636D
A731BDCA4E Q1,3=07BC1AB048A2EAFDAB59BD40CCF2F657
AD8A6B573BDE Q2,3=0AE8551E116A3AC089566DFDB3AE003C
F174FC4E4877 Q3,3=01682D490041913A4EA5B80D16B685E4
A6DD88070501 Q1=D7E1CAF28192CED6549FF457708D50A74
81572DD5F2C335D8 C69E22521B510B64454FB7A19AEC8D069855
58E764C6991B05FC2A C74D9743435AB4D7CF0FF6557 Q2=CB1ED6B1DD649B89B9638DC33876C98AC
7AF689E9D1359E4 DB17563B9B3DC582D5271949F3DBA5A70C10
8F561A274405A5CB8 82288273ADE67353A5BC316C093 Q3=09AA6F4930E51A70CCDFA77442B10770D
D1CD77490E3398A AD9DC50249C34312915E55917A1ED4D83AA3
D607E3EB5C8B197 697238537FE7A0195C5E8373EB74D
【0063】 以下は、k=9、すなわちv=512、m=2、すなわち2つの基数、g1
2とg2=3、およびf=3が3(mod 4)に一致する3つの素因数を含む係
数を示すGQ2鍵の第2集合である。 p1=03852103E40CD4F06FA7BAA9CC8D5BCE9
6E3984570CB p2=062AC9EC42AA3E688DC2BC871C8315CB9
39089B61DD7 p3=0BCADEC219F1DFBB8AB5FE808A0FFCB53
458284ED8E3 n=p1.p2.p3=FFFF5401ECD9E537F167A80C0A
9111986F7A8EBA4D 6698AD68FF670DE5D9D77DFF00716DC7539F
7CBBCF969E73A0C49 761B276A8E6B6977A21D51669D039F1D7 Q1,1=0260BC7243C22450D566B5C6EF74AA29
F2B927AF68E1 Q2,1=0326C12FC7991ECDC9BB8D7C1C4501BE
1BAE9485300E Q1,2=02D0B4CC95A2DD435D0E22BFBB29C594
18306F6CD00A Q2,2=O45ECB881387582E7C556887784D2671
CA118E22FCF2 Q1,3=B0C2B1F808D24F6376E3A534EB555EF5
4E6AEF5982 Q2,3=0AB9F81DF462F58A52D937E6D81F48FF
A4A87A9935AB Q1=27F7B9FC82C19ACAE47F3FE9560C3536A
7E90F8C3C51E13C 35F32FD8C6823DF753685DD63555D2146FCD
B9B28DA367327DD6 EDDA092D0CF108D0AB708405DA46 Q2=230D0B9595E5AD388F1F447A69918905E
BFB05910582E5BA64 9C94B0B2661E49DF3C9B42FEF1F37A7909B1
C2DD54113ACF87C6 F11F19874DE7DC5D1DF2A9252D
【0064】 (動的認証) 動的認証機構は、コントローラとして知られているエンティティに対し、考え
られる関連付けられたメッセージMの真正性だけではなく、デモンストレータと
して知られているエンティティの真正性も証明し、その結果、コントローラは、
それが真にデモンストレータであり、場合によっては唯一のデモンストレータで
ある旨、およびデモンストレータが真に同じメッセージMを話している旨を確信
できる。関連付けられたメッセージMはオプションである。つまり、それは空で
ある可能性がある。
【0065】 動的認証機構は、4つの行動のシーケンスである。つまり、コミットメントと
いう行為と、チャレンジという行為と、応答という行為と、チェックという行為
とである。デモンストレータは、コミットメントおよび応答という行為を達成す
る。コントローラは、チャレンジおよび管理という行為を達成する。
【0066】 デモンストレータの中では、デモンストレータの最も要注意なパラメータおよ
び機能、つまりコミットメントおよび応答の作成を隔離するために、証人を隔離
することが可能である。証人はパラメータkおよび秘密鍵GQ2、つまりここに
前記に参照された3つの描写の内の1つに従った係数nの因数分解を有する。つ
まり、・f個の素因数およびm個の基数と、・m.f個の秘密構成要素と、f個
の素因数およびチャイニーズ剰余のf−1個のパラメータと、・m個の秘密値お
よび係数nとである。
【0067】 証人は、例えば、・デモンストレータ全体を形成するPCに接続されているチ
ップカード、または再び、・PC内で特別に保護されているプログラム、または
再び、・スマートカード内で特別に保護されているプログラムなどの部分的な実
施態様に対応することができる。そして、このようにして隔離された証人は、署
名関係者内でここに以下に定義される証人に類似している。機構の実行のたびに
、証人は、1以上のコミットメントRを作成してから、チャレンジdと同じくら
い多くの応答Dを作成する。各集合{R,d,D}は、GQ2三つ組である。
【0068】 証人を備えることとは別に、デモンストレータは、必要な場合、ハッシュ関数
およびメッセージMも有する。
【0069】 コントローラは、係数nおよびパラメータkとmを有する。必要な場合には、
それは同じハッシュ関数およびメッセージM’も有する。コントローラは、任意
のチャレンジdおよび任意の応答DからコミットメントR’を再構築することが
できる。パラメータkおよびmがコントローラに知らせる。逆に表示できない場
合には、g1からgmのm個の基数がm個の第1素因数である。各チャレンジdは
、基数ごとに1つ、d1からdmと参照されるm個の初歩チャレンジを有さなけれ
ばならない。d1からdmと参照されるこの初歩チャレンジは、0から2k-1−1
(v/2からv−1の値は使用されていない)という値を取りうる。典タイプ的
には、各チャレンジは、mかけるk−1ビットで(mかけるkビットではなく)
で符号化される。例えば、k=6およびm=3ならびに基数3,5、および7で
は、各チャレンジが2バイトで15ビットを送信させる。k=9,m=2および
基数2と3では、各チャレンジは2バイトで16ビットを送信させる。(k−1
).m個の考えられるチャレンジも可能であるとき、値(k−1).mが、各G
Q2三つ組によって提供される機密保護を決定する。つまり、定義により、係数
nの因数分解を知らない詐称者は、まさに2(k-1).mに1回の成功の確率を有す
る。(k−1).mが15から20に等しいとき、動的認証に妥当に備えるため
には1つの三つ組で十分である。任意の機密保護レベルを達成するには、三つ組
を平行して作成することができる。また、連続して作成する、つまり機構の実行
を繰り返すことも可能である。
【0070】 1)コミットメントという行為は、以下の動作を備える。 証人がQ1からQmのm個の秘密値、および係数nを有するとき、それは1以上
のランダム値r(0<r<n)をランダムにかつ秘密裏に引き出す。それからk
回の連続二乗(modn)演算により、それは各ランダム値rをコミットメント
Rに変換する。 R≡rv(mod n) ここに、k=6での鍵の第1集合の例がある。 r=B8AD426C1A10165E94B894AC2437C1B179
7EF562CFA53A4AF8 43131FF1C89CFDA131207194710EF9C010E8
F09C60D9815121981260 919967C3E2FB4B4566088E R=FFDD736B666F41FB771776D9D50DB7CDF0
3F3D976471B25C56 D3AF07BE692CB1FE4EE70FA77032BECD8411
B813B4C21210C6B04 49CC4292E5DD2BDB00828AF18
【0071】 証人が、p1からpfまでf個の素因数、およびm.f個の秘密構成要素Qij
有するとき、それはランダムに、および秘密裏に、f個のランダム値の1以上の
集合体を引き出す。各集合体は、素因数pi(0<ri<pi)ごとに1つのラン
ダム値riを有する。それから、(modpi)を二乗するk回の連続演算によっ
て、それは各ランダム値riをコミットメントRiの構成要素に変換する。 Ri≡ri v(mod pi) ここに、k=9での鍵の第2集合の例がある。 r1=B0418EABEBADF0553A28903F74472CD49
DD8C82D86 R1=022B365F0BEA8E157E94A9DEB0512827F
FD5149880F1 r2=75A8DA8FE0E60BD55D28A218E31347732
339F1D667 R2=057E43A242C485FC20DEEF291C774CF1B3
0F0163DEC2 r3=0D74D2BDA5302CF8BE2F6D406249D148C
6960A7D27 R3=06E14C8FC4DD312BA3B475F1F40CF01ACE
2A88D5BB3C
【0072】 f個のコミットメント構成要素の集合体ごとに、証人は、チャイニーズ剰余の
儀容に従ってコミットメントをセットアップする。ランダム値の集合体と同じく
らい多くのコミットメントがある。 R=チャイニーズ剰余(R1,R2,...,Rj) R=28AA7F12259BFBA81368EB49C93EEAB3F3
EC6BF73B0EBD7 D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46F
B4C3458D1E37C9 9123B56446F6C928736B17B4BA4A529
【0073】 両方の場合で、デモンストレータは、コントローラに各コミットメントRのす
べてまたは一部、あるいは各コミットメントRをハッシュ化することによって得
られる少なくとも1つのハッシュコードHおよび1つのメッセージMを送信する
【0074】 2)チャレンジという行為は、ランダムに、それぞれが、m個の初歩チャレン
ジd1|d2|…|dmから成り立つ1以上のチャレンジdを引き出すことにある。
各初歩チャレンジdiは、0からv/2−1の値の1つを取る。 d=d1|d2|...|dm ここに、k=6およびm=3である鍵の第1集合の例がある。 d1=10110=22=’16’;d2=00111=7;d3=0001 0=2 d=0||d1||d2||d3=0101100011100010=58E
2 ここに、k=9およびm=2である鍵の第2集合の例がある。 d=d1||d2=58E2、すなわち、小数点表記88および226である コントローラは、デモンストレータに各チャレンジdを送信する。
【0075】 3)応答という行為は、以下の演算を有する。 証人は、Q1からQmのm個の秘密値および係数nを有するとき、それはコミッ
トメントという行為の各ランダム値rおよび初歩チャレンジに従った秘密値を使
用して、1以上の応答Dを計算する。 X≡Q1 d1.Q2 d2…Qm dm(mod n) D≡r.X(mod n) ここに、鍵の第1集合の例がある。 D=FF257422ECD3C7A03706B9A7B28EE3FC3A
4E974AEDCDF386 5EEF38760B859FDB5333E904BBDD37B097A9
89F69085FE8EF6480 A2C6A290273479FEC9171990A17
【0076】 証人は、piからpfのf個の素因数およびm.f個の秘密構成要素Qi,jを有
するとき、それはコミットメントという行為のランダム値の各集合体を使用して
f個の応答構成要素を計算する。応答構成要素の各集合体は、素因数ごとに1つ
の構成要素を備える Xi≡Q1 d1.Q2 d2…Qm dmi(mod pi) Di≡ri.Xi(mod p1) ここに鍵の第2集合の例がある。 D1=r1.Q1.1 d1.Q2.1 d2(mod p1)= O2660ADF3C73B6DC15E196152322DDE8EB5B
35775E38 D2=r2.Q1.2 d1.Q2.2 d2(mod p2)= 04C15028E5FD1175724376C11BE77052205F
7C62AE3B D3=r3.Q1.3 d1.Q2.3 d2(mod p3)= 0903D20D0C306C8EDA9D8FB5B3BEB55E061A
B39CCF52
【0077】 応答構成要素の集合体ごとに、証人は、チャイニーズ剰余技法に従った応答を
作成する。チャレンジと同じくらい多くの応答がある。 D=チャイニーズ剰余(D1,D2,...,Df) D=85C3B00296426E97897F73C7DC6341FB8F
FE6E879AE12EF1F36 4CBB55BC44DEC437208CF530F8402BD9C511
F5FB3B3A309257A00 195A7305C6FF3323F72DC1AB 両方の場合で、デモンストレータは各応答Dをコントローラに送信する。
【0078】 4)チェック行為は、各三つ組{R,d,D}が、非零値に関して以下のタイ
プの等式を検証することを確認することにあるか、
【数7】 または、さもなければ、各コミットメントをセットアップすることにある。何も
ゼロであってはならない。
【数8】
【0079】 必要な場合、コントローラは、それぞれの再確立されたコミットメントR’お
よびメッセージM’をハッシュ化する際にハッシュコードH’を計算する。動的
認証は、コントローラが、このようにして、それがコミットメントの最初の行為
の最後に受信したもの、つまり各コミットメントRのすべてまたは一部、あるい
はさもなければハッシュコードHを検索するときに成功する。
【0080】 例えば、初歩動作のシーケンスが、応答DをコミットメントR’に変換する。
シーケンスは、k−1回の除算によって、あるいは基数による乗算(mod n
)によって分離されるk個の平方(mod n)を有する。i番目の平方とi+
1番目の平方の間で実行されるi番目の除算または乗算の場合には、初歩チャレ
ンジdiのi番目のビットはgiを使用する必要があることを示し、初歩チャレン
ジd2のi番目のビットは、g2を使用するのが必要かどうかを示し、初歩チャレ
ンジdmのi番目のビットまで、gmを使用することが必要であるかどうかを示す
。 ここに、鍵の第1集合の例がある。
【表1】
【表2】
【表3】
【表4】 私達は、コミットメントRを発見する。認証は無事に終了した。
【0081】 (デジタル署名) デジタル署名機構によって、署名関係者と呼ばれるエンティティは、署名済み
のメッセージを作成し、コントローラと呼ばれるエンティティは署名済みのメッ
セージを確認することができるようになる。メッセージMは、任意のバイナリシ
ーケンスである。それは空である場合がある。メッセージMは、それにシグナチ
ャ付録を追加することによって署名される。このシグナチャ付録は、対応する応
答だけではなく、1以上のコミットメントおよび/またはチャレンジも備える。
【0082】 コントローラは同じハッシュ関数、パラメータkとm、および係数nを有する
。パラメータkおよびmは、コントローラに対し情報を提供する。第1に、d1
からdmの各初歩チャレンジは、0から2k-1−1(v/2からv−1という値は
使用されない)の値を取らなければならない。第2に、各チャレンジdは、d1
からdmと参照されるm個の初歩チャレンジ、つまり基数と同じくらい多くの初
歩チャレンジを含まなければならない。さらに、逆に表示することができないと
、g1からgmのm個の基数はm個の第1素数である。(k−1).mが15から
20に等しいので、平行して作成された4個の三つ組GQ2で署名することが可
能である。(k−1).mが60以上に等しい場合、単一の三つ組GQ2で署名
することが可能である。例えばk=9およびm=8の場合には、単一の三つ組G
Q2で十分である。各チャレンジは8バイトであり、基数は2、3、5、7、1
1、13、17および19である。
【0083】 署名動作は、3つの行為、つまりコミットメントという行為と、チャレンジと
いう行為と、応答という行為とのシーケンスである。それぞれの行為から、コミ
ットメントR(≠0)、d1,d2,...,dmと参照されるm個の初歩チャレ
ンジから成り立つチャレンジd、および応答D(≠0)をそれぞれ含む1以上の
GQ2三つ組が生じる。
【0084】 署名関係者は、ハッシュ関数、パラメータkおよびGQ2秘密鍵、つまりここ
に前記に参照された3つの描写の内の1つに従った係数nの因数分解を有する。
署名関係者内で、デモンストレータにとって最も要注意である関数およびパラメ
ータを隔離するために、コミットメントおよび応答という行為を実行する証人を
隔離することが可能である。コミットメントおよび応答を計算するために、証人
はパラメータkおよびGQ2秘密鍵、つまりここに前記に参照された3つの描写
の内の1つに従った係数nの因数分解を有する。このようにして隔離された証人
は、デモンストレータ内で定義された証人に類似する。それは、ある特定の実施
態様、例えば、・署名関係者全体を形成するPCに接続されているチップカード
、または再び、・PC内で特に保護されているプログラム、または再び、・チッ
プカード内で特に保護されているプログラムに対応することができる。
【0085】 1)コミットメントという行為は、以下の演算を含む。 証人がQ1からQmというm個の秘密値、および係数nを有するとき、それはラ
ンダムにおよび秘密裏に1以上のランダム値r(0<r<n)を引き出す。それ
から、k回の無事終了した二乗(mod n)演算によって、それは各ランダム
値rをコミットメントRに変換する。 R≡rv(mod n)
【0086】 証人がp1からpfのf個の素因数およびm.f個の秘密構成要素Qijを有する
とき、それは、秘密裏にかつランダムにf個ののランダム値の1以上の集合体を
引き出す。各集合体は、素因数pi(0<ri<pi)ごとに1つのランダム値を
有する。それから、k回の無事終了した二乗(modpi)演算によって、それ
は各ランダム値riをコミットメントRiの構成要素に変換する。 Ri≡ri v(mod pi
【0087】 f個のコミットメント構成要素ごとに、証人は、チャイニーズ剰余技法にした
がってコミットメントをセットアップする。ランダム値の集合体と同じくらい多
くのコミットメントがある。 R=チャイニーズ剰余(R1,R2,...,Rf
【0088】 2)チャレンジという行為は、すべてのコミットメントRおよび署名関係者が
、それぞれがm個の初歩チャレンジを含む1以上のチャレンジを形成するハッシ
ュコードを得るためにMと署名されるメッセージをハッシュ化することにある。
各初歩チャレンジは、例えば、k=9およびm=8で0からv/2−1から任意
の値を取る。各チャレンジは8バイトを有する。コミットメントと同じくらい多
くのチャレンジがある。 d=d1/d2/.../dm,結果ハッシュ(M,R)から抽出
【0089】 3)応答という行為は、以下の動作を含む。 証人は、Q1からQmのm個の秘密値および係数nを有するとき、それは、コミ
ットメントという行為の各ランダム値rおよび初歩チャレンジに従った秘密値を
使用して、1以上の応答Dを計算する。 X./≡Q1 d1.Q2 d2…Qm dm(mod n) D/≡r./X./(mod n)
【0090】 証人は、p1からpfのf個の素因数、およびm.f個の秘密構成要素Qijを有
するとき、それはコミットメントという行為のランダム値の書く集合体を使用す
る際にf個の応答構成要素を計算する。応答構成要素の各集合体は、素因数ごと
に1つの構成要素を含む。 Xi≡Q1 d1i.Q2 d2i…Qm dmi(mod pi) Di≡ri.Xi(mod pi
【0091】 応答構成要素の集合体ごとに、証人は、チャイニーズ剰余技法に従って応答を
セットアップする。チャレンジと同じくらい多くの応答がある。 D=チャイニーズ剰余(D1,D2,...,Df
【0092】 署名関係者はそれに以下を含むシグナチャ付録を追加する際に、メッセージM
に署名する。 各GQ2三つ組、つまり各コミットメントR、各チャレンジdおよび各応答
Dと、 または、さもなければ、各コミットメントRおよび各対応する応答Dか、 または、さもなければ、各チャレンジdおよび各対応する応答D
【0093】 検証動作の実行は、シグナチャ付録の内容に依存する。3つの考えられる場合
がある。
【0094】 付録が1以上の三つ組を含む場合には、チェック動作は、年代順配列が重要で
はない2つの独立したプロセスを有する。コントローラは、以下の2つの条件が
満たされる場合および満たされる場合にだけ署名済みのメッセージを受け入れる
【0095】 第1に、各三つ組は、一貫(以下のタイプに関する適切な関係性が検証されな
ければならない)し、許容(非零値で比較が実行されなければならない)できな
ければならない。
【数9】
【0096】 例えば、応答Dは、初歩動作のシーケンスによって変換される。つまり、基数
によるk−1回の乗算または除算演算によって分離されるk個の平方済み(mo
d n)。i番目の平方とi+1番目の平方の間で実行されるi番目の乗算また
は除算の場合には、初歩チャレンジd1のi番目のビットは、g1を使用すること
が必要であるかどうかを示し、初歩チャレンジd2のi番目のビットは、g2を使
用するのが必要かどうかを示し、初歩チャレンジdmのi番目のビットまで、gm を使用することが必要であるかどうかを示す。このようにして、シグナチャ付録
に存在する各コミットメントRを検索することが必要である。
【0097】 さらに、1以上の三つ組は、メッセージMにリンクされなければならない。す
べてのコミットメントRおよびメッセージMをハッシュ化することによって、各
チャレンジdが回復されなければならないハッシュコードが得られる。 d=d1/d2/.../dm,結果ハッシュ(M,R)から抽出されるものと同一
【0098】 付録にチャレンジがない場合には、チェック動作が、すべてのコミットメント
RおよびメッセージMをハッシュ化することによって、1以上のチャレンジd’
の再構築で開始する。 D’=d’1/d’2/.../d’m,結果ハッシュ(M,R)から抽出
【0099】 そして、コントローラは、各三つ組が一貫(以下のタイプの適切な関係性が検
証される)し、許容(非零値で比較が実行される)できる場合に、および場合に
だけ署名済みメッセージを受け入れる。
【数10】
【0100】 付録がコミットメントを備えない場合には、チェック動作は、以下の2つの公
式の一方、つまり適切である公式に従って、1以上のコミットメントR’を再構
築することによって開始する。確立し直されたコミットメントはゼロであっては
ならない。
【数11】
【0101】 そして、コントローラは、各チャレンジdを再構成するために、すべてのコミ
ットメントR’およびメッセージMをハッシュ化しなければならない。 d=d1/d2/.../dm,結果ハッシュ(M,R)から抽出されたものと同一
【0102】 コントローラは、各再構築されたチャレンジが付録内の対応するチャレンジに
同一である場合および場合にだけ署名済みのメッセージを受け入れる。
【0103】 本出願においては、それぞれ、エンティティの真正性、および/またはメッセ
ージの完全性および/または真正性を証明するように設計される本発明に従って
方法、システムおよびデバイスを実行するために使用される秘密値と公開値Qと
Gの組がある。
【0104】 その発明者がLouis GuillouおよびJean-Jacques Quisquaterであるフランス
テレコム、TDF、およびMath RiZK社によって本出願と同日に提出された係属
出願において、GQ2鍵の集合、つまり指数vが2kに等しいときに、それぞれ
係数nおよび公開値と秘密値GとQの組を生成するための方法が説明されている
。これらを引用することにより本明細書の一部をなすものとする。
───────────────────────────────────────────────────── フロントページの続き (31)優先権主張番号 99/12465 (32)優先日 平成11年10月1日(1999.10.1) (33)優先権主張国 フランス(FR) (31)優先権主張番号 99/12467 (32)優先日 平成11年10月1日(1999.10.1) (33)優先権主張国 フランス(FR) (31)優先権主張番号 99/12468 (32)優先日 平成11年10月1日(1999.10.1) (33)優先権主張国 フランス(FR) (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,TZ,UG,ZW ),EA(AM,AZ,BY,KG,KZ,MD,RU, TJ,TM),AE,AL,AM,AT,AU,AZ, BA,BB,BG,BR,BY,CA,CH,CN,C R,CU,CZ,DE,DK,DM,EE,ES,FI ,GB,GD,GE,GH,GM,HR,HU,ID, IL,IN,IS,JP,KE,KG,KP,KR,K Z,LC,LK,LR,LS,LT,LU,LV,MA ,MD,MG,MK,MN,MW,MX,NO,NZ, PL,PT,RO,RU,SD,SE,SG,SI,S K,SL,TJ,TM,TR,TT,TZ,UA,UG ,US,UZ,VN,YU,ZA,ZW (72)発明者 ギユ,ルイ フランス国、35230 ブルバル、リュ・ド ゥ・リズ 16 (72)発明者 キスクワテル,ジャン‐ジャック ベルギー国、1640 ロード・サン・ジェネ ス、アヴニュ・デ・カナール 3 Fターム(参考) 5J104 AA07 AA08 AA21 EA32 JA23 JA27 KA05 KA08 LA03 NA02 NA17

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】 コントローラエンティティに対し、エンティティの真正性、
    および/または、このエンティティに関連付けられたメッセージMの完全性と を、 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
    と、 f個の素因数p1,p2,…pf(fは2以上)の積によって構成される公開
    係数nと、 公開指数vと のパラメータまたはこれらのパラメータのすべてまたは一部によって証明するよ
    うに設計された方法であって、 前記係数、前記指数および前記値は、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n のタイプに関係によって関連付けられ、 前記指数vは、 v=2k であり、ここで、kは1より大きい機密保護パラメータであり、 前記公開値Giは、f個の素因数p1,p2,…pfより小さい基数giの平方gi 2 であり、基数giは、 2つの等式x2≡gimod n および x2≡−gimod nが、モジュロnの
    整数環のxについて解くことができず、 等式xv≡gi 2mod nが、モジュロnの整数環のxについて解くことができ
    、 前記方法が、以下のステップにおいて、f個の素因数piおよび/または素因
    数のチャイニーズ剰余の、および公開係数nおよび/またはm個の秘密値Qi
    パラメータ、および/または秘密値Qiのおよび公開指数vのf.m個の構成要
    素Qi,j(Qi,j≡Qimodpj)を有する証人と呼ばれるエンティティを実行し
    、 証人は、モジュロnの整数環のコミットメントRを計算し、各コミットメン
    トを、 ・以下のタイプの演算を実行すること、 R≡rvmod n ここで、rは0<r<nとなるようにランダム値であり、 ・または、 ・・以下のタイプの演算を実行し、 Ri≡ri vmod pi ここで、riは、0<ri<piとなるように素数piと関連付けられたラ
    ンダム値であり、各riは、ランダム値{r1,r2,…rf},の集合体に属し、 ・・そして、チャイニーズ剰余法を適用すること のどちらかによって計算し、 証人は、1以上のチャレンジdを受け取り、各チャレンジdは、これ以降、
    初歩チャレンジと呼ばれるm個の整数diを備え、証人は、各チャレンジdに基
    づき、応答Dを、 ・以下のタイプの演算を実行すること、 D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、 ・・以下のタイプの演算を実行し、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi ・・そして、チャイニーズ剰余法を適用すること のどちらかによって計算し、 前記方法が、コミットメントRがあり、チャレンジdがあるのと同じくらい多
    くの応答Dがあり、数R,d,Dの各群が{R,d,D}と参照される三つ組を
    形成する方法。
  2. 【請求項2】 デモンストレータエンティティが証人を備え、 前記デモンストレータエンティティおよびコントローラエンティティは、以下
    のステップである ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人は、請求項1に記載されたプロセスを適用することに
    よって各コミットメントRを計算し、 デモンストレータは、コントローラに、各コミットメントRのすべてまたは
    一部を送信し、 ・ステップ2のチャレンジdという行為において、 コントローラは、各コミットメントRのすべてまたは一部を受け取った後、
    その数がコミットメントRの数に等しいチャレンジdを作成し、チャレンジdを
    デモンストレータに送信し、 ・ステップ3の応答Dという行為において、 証人は、請求項1記載されたプロセスを適用することによって、チャレンジ
    dから応答Dを計算し、 ・ステップ4のチェック行為において、 証人は、コントローラに各応答Dを送信し、 を実行し、 デモンストレータが各コミットメントRの一部を送信した場合において、 デモンストレータが各コミットメントRの一部を送信した場合には、m個の公
    開値G1,G2,...,Gmを有するコントローラは、各チャレンジdおよび各
    応答Dから再構築されたコミットメントR’を計算し、この再構築されたコミ ットメントR’が、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たし、 コントローラは、各再構築されたコミットメントR’が、それに送信された各
    コミットメントRのすべてまたは一部を再現することを確認し、 デモンストレータが各コミットメントRの全体性を送信した場合において、 デモンストレータが各コミットメントRの全体性を送信した場合には、m個の
    公開値G1,G2,...,Gmを有するコントローラは、各コミットメントRが
    、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たすことを確認し、 デモンストレータとして知られているエンティティの真正性をコントローラと
    して知られているエンティティに対し証明するように設計される請求項1に記載
    される方法。
  3. 【請求項3】 前記デモンストレータエンティティは、証人を備え、前記デ
    モンストレータエンティティおよびコントローラエンティティは、以下のステッ
    プを実行し、 ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人は、請求項1に記載されるプロセスを適用することに
    より、各コミットメントRを計算し、 ・ステップ2のチャレンジdという行為において、 証人は、その引数がメッセージMおよび各コミットメントRのすべてまたは
    一部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算し、 デモンストレータはトークンTをコントローラに送信し、 コントローラは、トークンTを受け取った後に、コミットメントRに数で等
    しいチャレンジdを作成し、チャレンジdをデモンストレータに送信し、 ・ステップ3の応答Dという行為において、 証人は、請求項1に記載されるプロセスを適用することによりチャレンジd
    から応答Dを計算し、 ・ステップ4のチェック行為において、 証人は、各応答Dをコントローラに送信し、 m個の公開値G1,G2,...,Gmを有するコントローラは、各チャレン
    ジdおよび各応答Dから再構築されたコミットメントR’を計算し、この再構 築されたコミットメントR’が、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たし、 そして、コントローラは、その引数がメッセージMおよび再構築されたR’
    のすべてまたは一部であるハッシュ関数hを適用して、トークンT’を再構築し
    、 そして、コントローラは、トークンT’が送信されたトークンTと同一であ
    ることを確認し、 コントローラエンティティとして知られているエンティティに対し、デモンス
    トレータエンティティと呼ばれているエンティティに関連付けられたメッセージ
    Mの完全性の証拠を提供するように設計される請求項1に記載の方法。
  4. 【請求項4】 署名エンティティが証人を含み、 署名動作において、 前記署名エンティティは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと、 を含む署名済みのメッセージを得るために、署名動作を実行し、 前記署名エンティティは、以下のステップを実行することにより署名動作を実
    行し、 ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人は、請求項1に記載されるプロセスを適用することに
    よって各コミットメントRを計算し、 ・ステップ2のチャレンジdという行為において、 署名関係者は、バイナリトレインを得るために、その引数がメッセージMお
    よび各コミットメントRであるハッシュ関数hを適用し、 このバイナリトレインから、署名関係者は、その数がコミットメントRの数
    に等しいチャレンジdを抽出し、 ・ステップ3の応答Dという行為において、 証人は、請求項1に記載されたプロセスを適用することによりチャレンジd
    から応答Dを計算する 署名するエンティティとして知られているエンティティによってメッセージM
    のデジタル署名を作成するように設計される請求項1に記載の方法。
  5. 【請求項5】 チェック動作において、 署名済みのメッセージを有する前記コントローラエンティティは、以下のよ
    うに進むことによってチェック動作を実行し、 ・コントローラがコミットメントR、チャレンジd、応答Dを有する場合にお
    いて、 コントローラがコミットメントR、チャレンジd、応答Dを有する場合には、 ・・コントローラは、コミットメントR、チャレンジdおよび応答Dが、以下
    のタイプの関係性である R≡G1 d1.G2 d2....Gm dm.Dvmodn または、以下のタイプの関係性である R≡Dv/G1 d1.G2 d2....Gm dm.modn を満たすことを確認し、 ・・コントローラは、メッセージM、チャレンジdおよびコミットメントRが
    ハッシュ関数を満たすことを確認し、 d=h(message,R) ・コントローラがチャレンジdおよび応答Dを有する場合において、 コントローラがチャレンジdおよび応答Dを有する場合には、 ・・コントローラは、各チャレンジdおよび各応答Dに基づき、コミットメン
    トR'を再構築し、 R'≡G1 d1.G2 d2....Gm dm.Dvmodn のタイプの関係、または、 R'≡Dv/G1 d1.G2 d2....Gm dm.modn のタイプの関係を満たし、 ・・コントローラは、メッセージMおよびチャレンジdがハッシュ関数を満た
    すことを確認し、 d=h(message,R') ・コントローラが、コミットメントRおよび応答Dを有する場合において、 コントローラが、コミットメントRおよび応答Dを有する場合には、 ・・コントローラは、ハッシュ関数を適用し、d'を再構築し、 d’=h(message,R) ・・コントローラ装置が、コミットメントR、チャレンジd'よび応答Dが、 R≡G1 d1.G2 d2....Gm dm.Dvmodn のタイプの関係、または、 R≡Dv/G1 d1.G2 d2....Gm dm.modn のタイプの関係を満たすことを確認し、 コントローラと呼ばれるエンティティを通して、署名済みのメッセージをチェ
    ックすることによって、メッセージMの真正性を証明するように設計される請求
    項4に記載の方法。
  6. 【請求項6】 コントローラサーバに、エンティティの真正性、および/ま
    たは、このエンティティに関連付けられたメッセージMの完全性を、以下のパラ
    メータまたはこれらのパラメータの派生物のすべてまたは一部によって証明する
    ように設計されるシステムであって、ここで、パラメータは、 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
    と、 前記f個の素因数p1,p2,…pf(fは2以上)の積によって構成される
    公開係数nと、 公開指数vとであり、 前記係数、前記指数および前記値は、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n. のタイプの関係によってリンクされ、 前記指数vは、 v=2k であり、ここで、kは、1より大きい機密保護パラメータであり、 前記公開値Giは、f個の素因数p1,p2,…pf.より小さい基数giの平方
    i 2であり、基数giは、 2つの等式x2≡gimod n および x2≡−gimod nが、モジュロn
    の整数環のxについて解くことができず、 等式xv≡gi 2mod nが、モジュロnの整数環のxについて解くことができ
    、 前記システムは、特に、例えば、マイクロプセッサベースのバンクカードの形
    を取るノマッドオブジェクトに含まれる証人装置を備え、 証人装置は、 f個の素因数piおよび/または素因数のチャイニーズ剰余の、および/ま
    たは公開係数nおよび/またはm個の秘密値Qiのパラメータ、および/または
    秘密値Qiの、および公開指数vのf.m個の構成要素Qi,j(Qi,j≡Qimod
    j)を含むメモリゾーンを備え、 また、証人装置は、 証人装置のランダム値生成手段と呼ばれるランダム値生成手段と、 モジュロnの整数環でコミットメントRを計算するために、これ以降証人装
    置のコミットメントRの計算用手段と呼ばれる計算手段と を含み、各コミットメントを、 ・以下のタイプの演算を実行することによって、 R≡rvmod n ここで、rは、ランダム値生成手段によって作成されるランダム値であり、r
    は0<r<nであり、 ・または、以下のタイプの演算を実行し、 Ri≡ri vmodpi ここで、riは、0<ri<piとなるように素数piに関連付けられたランダム
    値であり、各riはランダム値{r1,r2,…rf}の集合体に属し、そして、チ
    ャイニーズ剰余法を適用することのどちらかによって計算し、 前記証人装置は、 証人装置のチャレンジdの受信用装置と呼ばれる1以上のチャレンジdを受け
    取るための受信手段であって、各チャレンジdが、これ以降初歩チャレンジと呼
    ばれるm個の整数diを備える受信手段と、 ・以下のタイプの演算を実行することによって、 D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、以下のタイプの演算を実行することによって、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmodpi そして、チャイニーズ剰余法を適用することにより、 応答Dの各チャレンジdに基づき、計算用の証人装置の応答Dの計算用手段と
    呼ばれる計算手段と、 1以上のコミットメントRおよび1以上の応答Dを送信するための送信手段と を含んでなり、 コミットメントRがあるので、チャレンジdと同じくらい多くの応答Dがあり
    、R,d,Dの各群が{R,d,D}と参照される三つ組を形成するシステム。
  7. 【請求項7】 前記システムは、それが デモンストレータエンティティと関連付けられたデモンストレータ装置であ
    って、相互接続手段によって証人装置と相互接続され、例えば、マイクロプロセ
    ッサベースのバンクカード内のマイクロプロセッサの形式といったノマッドオブ
    ジェクトの論理マイクロ回路の形を特に取るデモンストレータ装置と、 コントローラエンティティに関連付けられたコントローラ装置であって、前
    記コントローラ装置は、特に、端末または遠隔サーバの形を取り、特にデータ処
    理通信網を通して、デモンストレータ装置へのその電気的、電磁的、光学的、ま
    たは音響的な接続のための接続手段を備える前記コントローラ装置と を含み、 前記システムが、 ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人装置のコミットメントRの計算の手段が、請求項1に記
    載されるプロセスを適用することによって、各コミットメントRを計算し、証人
    装置は、各コミットメントRのすべてまたは一部を相互接続手段を通してデモン
    ストレータ装置に送信するために、証人装置の送信手段と呼ばれる送信の手段も
    有し、 デモンストレータ装置は、各コミットメントRのすべてまたは一部を接続手段
    を通してコントローラ装置に送信するために、デモンストレータの送信手段と呼
    ばれる送信手段も有し、 ・ステップ2のチャレンジdという行為において、 コントローラ装置は、コミットメントRのすべてまたは一部を受け取った後、
    コミットメントRの数に数で等しいチャレンジdの生成のためのチャレンジ生成
    手段を含み、 コントローラ装置は、接続手段を通してデモンストレータにチャレンジdを送
    信するために、コントローラの送信手段として知られている送信手段も有し、 ・ステップ3の応答Dという行為において、 証人装置のチャレンジdの受信手段は、相互接続手段を通してデモンストレー
    タ装置から着信する各チャレンジdを受信し、 証人装置の応答Dの計算手段は、ここに前記に明記されたプロセスを適用する
    ことによってチャレンジdから応答Dを計算し、 ・ステップ4のチェックという行為において、 デモンストレータの送信手段は、各応答Dをコントローラに送信し、 コントローラは、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と も含み、 デモンストレータが各コミットメントRの一部を送信した場合において、 デモンストレータの送信手段が、各コミットメントRの一部を送信した場合に
    は、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段
    は、各チャレンジdおよび各応答Dから再構築されたコミットメントR’を計 算し、この再構築されたコミットメントR’が、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たし、 コントローラ装置の比較手段は、それぞれの再構築されたコミットメントR’
    を受信された各コミットメントRのすべてまたは一部と比較し、 デモンストレータが、各コミットメントRの全体性を送信した場合において、 デモンストレータの送信手段が各コミットメントRの全体性を送信した場合に
    は、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段
    および比較手段が、各コミットメントRが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たすことを確認する、 ことからなる、各ステップを実行することができる、デモンストレータと呼ば
    れているエンティティの真正性を、コントローラと呼ばれているエンティティに
    対して証明するように設計される請求項6に記載のシステム。
  8. 【請求項8】 前記システムは、 デモンストレータエンティティに関連付けられたデモンストレータ装置であ
    って、相互接続手段によって証人装置と相互接続され、おそらく特に、マイクロ
    プロセッサベースのバンクカード内のマイクロプロセッサの形などのノマッドオ
    ブジェクト内の論理マイクロ回路の形を取る前記デモンストレータ装置と、 コントローラエンティティに関連付けられたコントローラ装置であって、前
    記コントローラ装置は、特に、端末または遠隔サーバの形を取り、特にデータ処
    理通信網を通して、デモンストレータ装置へのその電気的、電磁的、光学的、ま
    たは音響的な接続のための接続手段を備える前記コントローラ装置と を含み、 前記システムが、以下のステップである ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人装置のコミットメントRの計算手段が、請求項1に記載
    されたプロセスを適用することによって各コミットメントRを計算し、 証人装置は、相互接続手段を通してデモンストレータ装置に各コミットメント
    Rのすべてまたは一部を送信するために、証人装置の送信手段と呼ばれる送信手
    段を有し、 ・ステップ2のチャレンジdという行為において、 デモンストレータ装置は、デモンストレータの計算手段と呼ばれる計算手段を
    含み、その引数がメッセージMおよびコミットメントRのすべてまたは一部であ
    るハッシュ関数hを適用し、少なくとも1つのトークンTを計算し、 デモンストレータ装置は、接続手段を通してコントローラ装置へ各トークンT
    を送信するために、デモンストレータ装置の送信手段として知られる送信手段も
    有し、 コントローラ装置は、トークンTを受信した後、コミットメントRの数に数で
    等しいチャレンジdの生成のためのチャレンジ生成手段も有し、 コントローラ装置は、接続手段を通してデモンストレータにチャレンジdを送
    信するために、コントローラの送信手段と呼ばれる送信手段も有し、 ・ステップ3の応答Dという行為において、 証人装置のチャレンジdの受信手段は、相互接続手段を通してデモンストレー
    タ装置から着信する各チャレンジdを受信し、 証人装置の応答Dの計算手段は、請求項1に記載されたプロセスを適用するこ
    とによって、チャレンジdから応答Dを計算し、 ・ステップ4のチェックという行為において、 デモンストレータの送信手段は、コントローラに各応答Dを送信する、 という各ステップを実行することができ、 ここで、コントローラ装置は、第1に、各チャレンジdおよび各応答Dから再
    構築されたコミットメントR’を計算するために、第2に、引数として、メッセ
    ージMおよび各再構築されたコミットメントR’のすべてまたは一部を有するハ
    ッシュ関数hを適用することによって、トークンT’を計算するために、m個の
    公開値G1,G2,...,Gmを有し、コントローラ装置の計算手段と呼ばれる
    計算手段も備え、この再構築されたコミットメントR’が、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たし、 コントローラ装置は、計算されたトークンT’を受信されたトークンTと比較
    するために、コントローラ装置の比較手段として知られる比較手段も有し、 を実行できるようにする、コントローラとして知られているエンティティに対し
    、デモンストレータとして知られているエンティティに関連付けられたメッセー
    ジMの完全性の証明を与えるように設計される請求項6に記載されるシステム。
  9. 【請求項9】 署名エンティティと呼ばれるエンティティにより、これ以降
    、署名済みメッセージとして知られるメッセージMのデジタル署名を作成するよ
    うに設計される請求項6に記載されるシステムであって、 前記署名済みメッセージが、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含んでなり、 署名動作において、 前記システムは、それが署名エンティティと関連付けられた署名デバイスを含
    み、相互接続手段によって証人装置と相互接続され、おそらく、特に、例えば、
    マイクロプロセッサベースのバンクカード内のマイクロプロセッサの形などのノ
    マッドオブジェクト内の論理マイクロ回路の形を取り、 前記システムは、 ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人装置のコミットメントRの計算手段が、請求項1に記載
    されたプロセスを適用することによって各コミットメントRを計算し、 証人装置は、相互接続手段を通してデモンストレータ装置に各コミットメント
    Rのすべてまたは一部を送信するために、証人装置の送信手段と呼ばれる送信手
    段を有し、 ・ステップ2のチャレンジdという行為において、 署名デバイスは、署名デバイスの計算手段と呼ばれる計算手段を備え、その引
    数がメッセージMおよびコミットメントRのすべてまたは一部であるハッシュ関
    数hを適用し、バイナリトレインを計算し、このバイナリトレインから、その数
    がコミットメントRの数に等しいチャレンジdを抽出し、 ・ステップ3の応答Dという行為において、 証人装置のチャレンジdの受信手段は、相互接続手段を通して署名デバイスか
    ら着信する各チャレンジdを受信し、 証人装置の応答Dを計算するための手段は、請求項1に記載されたプロセスを
    適用することによって、チャレンジdから応答Dを計算し、 証人装置は、相互接続手段を通して署名デバイスに応答Dを送信するために、
    証人装置の送信の手段と呼ばれる送信手段を含む という各ステップの実行を可能にするシステム。
  10. 【請求項10】 チェック動作において、 前記システムは、それがコントローラエンティティと関連付けられたコントロ
    ーラ装置を含み、前記コントローラ装置は、特に、端末または遠隔サーバの形を
    取り、前記コントローラ装置は、特に、データ処理通信網を通して署名デバイス
    へのその電気的、電磁的、光学的、または音響の接続のための接続手段を含み、 署名エンティティと関連付けられた署名デバイスは、接続手段を通した署名済
    みメッセージの、コントローラ装置への送信のための、署名デバイスの送信手段
    として知られている送信手段を含み、このようにして、コントローラ装置は、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む署名済みのメッセージを有し、 コントローラ装置は、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含み、 ・コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合
    において、 コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合に
    は、 ・・コントローラ装置の計算手段および比較手段は、コミットメントR、チャ
    レンジdおよび応答Dが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たすことを確認し、 ・・コントローラ装置の計算手段および比較手段は、メッセージM、チャレン
    ジdおよびコミットメントRが、ハッシュ関数 d=h(message,R) を満たすことを確認し、 ・コントローラ装置が、チャレンジdおよび応答Dを有する場合において、 コントローラがチャレンジdおよび応答Dを有する場合には、 ・・コントローラの計算手段は、各チャレンジdおよび各応答Dに基づき、 R'≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R'≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たすコミットメントR'を計算し、 ・・コントローラ装置の計算手段および比較手段が、メッセージMおよびチャ
    レンジdがハッシュ関数 d=h(message,R') を満たすことを確認し、 ・コントローラ装置がコミットメントRおよび応答Dを有する場合において、 コントローラ装置が、コミットメントRおよび応答Dを有する場合には、 ・・コントローラ装置の計算手段は、ハッシュ関数を適用し d’=h(message,R) となるようにd'を計算し、 ・・コントローラ装置の計算手段および比較手段は、コミットメントR、チャ
    レンジd'および応答Dが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たすのを確認する コントローラと呼ばれるエンティティによって署名済みメッセージをチェック
    することにより、メッセージMの真正性を証明するように設計された請求項9に
    記載されるシステム。
  11. 【請求項11】 エンティティに関連付けられ、例えば、マイクロプロセッ
    サのバンクカード内のマイクロプロセッサの形など、特にノマッドオブジェクト
    の形を取り、コントローラサーバに対し、エンティティの真正性、および/また
    は、このエンティティに関連付けられたメッセージMの完全性を、以下のパラメ
    ータまたはこれらのパラメータの派生物のすべてまたは一部によって証明するよ
    うに設計される端末装置であって、ここで、パラメータは、 m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)
    と、 前記f個の素因数p1,p2,…pf(fは2以上)によって構成される公開
    係数nと、 公開指数vとであり、 前記係数、前記指数、および前記値は、以下のタイプの関係である Gi.Qi v≡1.mod n または Gi≡Qi vmod n. によって関係付けられ、 前記指数vは、 v=2k であり、ここで、kは、1より大きい機密保護パラメータであり、 前記公開値Giは、f個の素因数p1,p2,…pf.より小さい基数giの平方
    i 2であり、基数giは、 2つの等式である x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、 等式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができ、 前記端末装置が、 f個の素因数piおよび/または素因数のチャイニーズ剰余の、および/ま
    たは公開係数nおよび/またはm個の秘密値Qiのパラメータ、および/または
    秘密値Qiの、および公開指数vのf.m個の構成要素Qi,j(Qi,j≡Qimod
    j)を含むメモリゾーンを備える証人装置を含み、 前記証人装置は、 証人装置のランダム値生成手段と呼ばれるランダム値生成手段と、 モジュロnの整数環のコミットメントRを計算するために、これ以降、証人
    装置のコミットメントRのための計算手段と呼ばれる計算手段と を含み、各コミットメントを、 ・以下のタイプの演算を実行すること、 R≡rvmod n ここで、rは、ランダム値生成手段によって作成されるランダム値であり、r
    は0<r<nとなるほどであり ・または、以下のタイプの演算を実行し、 Ri≡ri vmodpi ここで、riは、0<ri<piとなるように素数piと関連付けられたランダム
    値であって、各riは、ランダム値生成手段によって生じるランダム{r1,r2
    ,…rf}の集合体に属し、それからチャイニーズ剰余を適用すること のどちらかによって、計算し、 証人装置は、 1以上のチャレンジdを受信するために、これ以降、証人装置のチャレンジ
    dの受信のための手段と呼ばれる受信手段であって、各チャレンジdが、これ以
    降初歩チャレンジと呼ばれるm個の整数diを備える受信手段と、 ・以下のタイプの演算を実行することによって、 D≡r.Q1 d1.Q2 d2.…Qm dmmod n ・または、以下のタイプの演算を実行し、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi そして、チャイニーズ剰余法を適用することによって、 応答Dの各チャレンジdに基づく、これ以降、計算のための証人装置の応答
    Dの計算のための手段と呼ばれる計算手段と、 1以上のコミットメントRおよび1以上の応答Dを送信するために送信手段と を含む、 コミットメントRがあるため、チャレンジdと同じくらい多くの応答Dがあり
    、 数R,d,Dの各群が、{R,d,D}と参照される三つ組を形成する端末
    装置。
  12. 【請求項12】 前記端末装置は、それがデモンストレータエンティティに
    関連付けられたデモンストレータ装置を含んでおり、前記デモンストレータ装置
    は、相互接続手段によってデモンストレータ装置と相互接続し、特に、例えば、
    マイクロプロセッサベースのバンクカード内のマイクロプロセッサという形など
    のノマッドオブジェクト内の論理マイクロ回路という形を取ることができ、 前記デモンストレータ装置は、特にデータ処理通信網を通して、コントローラ
    エンティティに関連付けられたコントローラ装置へのその電気的、電磁的、光学
    的または音響の接続のための接続手段も含み、 前記コントローラ装置は、特に端末または遠隔サーバの形を取り、 前記コントローラ装置は、 ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人装置のコミットメントRの計算手段が、請求項1に記載
    されたプロセスを適用することによって各コミットメントRを計算し、 証人装置は、各コミットメントRのすべてまたは一部を相互接続手段を通して
    デモンストレータ装置に送信するために、これ以降、証人装置の送信手段と呼ば
    れる送信手段を有し、 デモンストレータ装置は、各コミットメントRのすべてまたは一部を接続手段
    を通してコントローラ装置に送信するために、これ以降、デモンストレータの送
    信手段と呼ばれる、送信手段も有し、 ・ステップ2および3のチャレンジdという行為および応答Dという行為にお
    いて、 証人装置のチャレンジdの受信手段は、コントローラ装置とデモンストレータ
    装置の間の接続手段を通して、および、デモンストレータ装置と証人装置の間の
    相互接続手段を通して、コントローラ装置から着信する各チャレンジdを受信し
    、 証人装置の応答Dの計算手段は、請求項1に記載されるプロセスを適用するこ
    とにより、チャレンジdから応答Dを計算し、 ・ステップ4のチェックという行為において、 デモンストレータの送信手段は、各応答Dをチェックを実行するコントローラ
    に送信する という各ステップを実行することを可能にする、デモンストレータと呼ばれてい
    るエンティティの真正性をコントローラと呼ばれているエンティティに証明する
    ように設計される請求項11に記載される端末装置。
  13. 【請求項13】 前記端末装置は、それがデモンストレータエンティティに
    関連付けられたデモンストレータ装置を含んでおり、前記デモンストレータ装置
    は、相互接続手段によって証人装置と相互接続し、例えば、マイクロプロセッサ
    ベースのバンクカード内のマイクロプロセッサの形などの、ノマッドオブジェク
    ト内の論理マイクロ回路の形を特に取ることができ、 前記デモンストレータ装置は、特に、データ処理通信網を通したコントローラ
    エンティティに関連付けられたコントローラ装置へのその電気的、電磁的、光学
    的または音響の接続のための接続手段を含み、 前記コントローラ装置は、特に、端末または遠隔サーバの形を取り、 前記端末装置は、 ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人装置のコミットメントRの計算手段が、請求項1に記載
    されるプロセスを適用することによって、各コミットメントRを計算し、 証人装置は、相互接続手段を通してデモンストレータ装置に各コミットメント
    Rのすべてまたは一部を送信するために、これ以降、証人装置の送信手段と呼ば
    れる送信の手段を有し、 ・ステップ2および3のチャレンジdという行為および応答Dという行為にお
    いて、 デモンストレータ装置は、これ以降、デモンストレータの計算手段と呼ばれる
    計算手段を含み、その引数が、メッセージMおよび各コミットメントRのすべて
    または一部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算
    し、 デモンストレータ装置は、コントローラ装置に、接続手段を通して、各トーク
    ンTを送信するために、これ以降、デモンストレータ装置の送信手段として知ら
    れている送信手段も有し、 (前記コントローラは、トークンTを受信した後、コミットメントRの数に等
    しい数のチャレンジdを作成する。) 証人装置のチャレンジdの受信手段は、それぞれ、コントローラ装置とデモン
    ストレータ装置の間の接続手段を通して、およびデモンストレータ装置と証人装
    置の間の相互接続手段を通して、コントローラ装置から着信する各チャレンジd
    を受信し、 証人装置の応答Dの計算の手段は、請求項1に記載されるプロセスを適用する
    ことによって、チャレンジdから応答Dを計算し、 ・ステップ4のチェックという行為において、 デモンストレータの送信手段は、各応答Dを、チェックを実行するコントロー
    ラ装置に送信する という各ステップを実行するために使用され、 コントローラとして知られるエンティティに対し、デモンストレータとして知
    られるエンティティに関連付けられたメッセージMの完全性の証明を与えるよう
    に設計される請求項11に記載される端末装置。
  14. 【請求項14】 前記署名済みメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含み、 前記端末装置は、それが署名エンティティと関連付けられた署名デバイスを含
    んでおり、前記署名デバイスは、相互接続手段によって証人装置と相互接続され
    、おそらく、特に、マイクロプロセッサベースのバンクカード内のマイクロプロ
    セッサの形などの、ノマッドオブジェクト内の論理マイクロ回路の形を取り、 前記デモンストレータ装置は、データ処理通信網を通したコントローラエンテ
    ィティと関連付けられたコントローラ装置への、その電気的、電磁的、光学的、
    または音響の接続のための接続手段を含み、 前記コントローラ装置は、特に、端末または遠隔サーバの形を取り、 署名動作において、 前記端末装置を、 ・ステップ1のコミットメントRという行為において、 各呼び出しでは、証人装置のコミットメントRの計算の手段が、請求項1に記
    載されるプロセスを適用することによって、各コミットメントRを計算し、 証人装置は、相互接続手段を通して署名デバイスに各コミットメントRのすべ
    てまたは一部を送信するために、これ以降、証人装置の送信手段と呼ばれる送信
    の手段を有し、 ・ステップ2のチャレンジdという行為において、 署名デバイスは、これ以降、署名デバイスの計算手段と呼ばれる計算手段を備
    え、その引数がメッセージMおよび各コミットメントRのすべてまたは一部であ
    るハッシュ関数hを適用し、バイナリトレインを計算し、このバイナリトレイン
    から、その数がコミットメントRの数に等しいチャレンジdを抽出し、 ・ステップ3の応答Dという行為において、 証人装置のチャレンジdの受信のための手段は、相互接続手段を通して署名デ
    バイスから着信する各チャレンジdを受信し、 証人装置の応答Dを計算するための手段は、請求項1に記載されるプロセスを
    適用することによって、チャレンジdから応答Dを計算する、 という各ステップを実行するために使用し、ここで、 証人装置は、相互接続手段を通して、署名デバイスに応答Dを送信するために
    、 これ以降、証人装置の送信の手段と呼ばれる送信手段を含み、 署名エンティティと呼ばれるエンティティによる、これ以降、署名済みメッセ
    ージとして知られるメッセージMのデジタル署名を作成するように設計される請
    求項11に記載される端末装置。
  15. 【請求項15】 特に、コントローラエンティティに関連付けられた端末ま
    たは遠隔サーバの形を取り、 エンティティの真正性、および/または、 このエンティティに関連付けられたメッセージMの完全性 を、以下のパラメータまたはこれらのパラメータの派生物のすべてまたは一部
    である m組の公開値G1,G2,…Gm(mは1以上)と、 コントローラ装置にとって、および関連付けられたコントローラエンティテ
    ィにとって未知である前記f個の素因数p1,p2,…pf(fは2以上)の積に
    よって構成される公開係数nと、 公開指数vと によってチェックするように設計されるコントローラ装置であって、 前記係数、前記指数、および前記値は、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n. のタイプの関係によって関連付けられ、 ここで、Qiは、公開値GIに関連付けられたコントローラ装置にとって未知の
    秘密値を指定し、 指数vは、 v=2k であり、 ここで、kは、1より大きい機密保護パラメータであり、 前記公開値Giは、f個の素因数p1,p2,…pfより小さい基数giの平方gi 2 であり、基数giは、 2つの等式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、 等式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができる コントローラ装置。
  16. 【請求項16】 前記コントローラ装置は、デモンストレータエンティティ
    と関連付けられたデモンストレータ装置への、特にデータ処理通信網を通した、
    その電気的、電磁的、光学的、または音響の接続のための接続手段を含み、 前記コントローラ装置を、 ・ステップ1および2のコミットメントRという行為およびチャレンジdとい
    う行為において、 前記コントローラ装置は、接続手段を通して、デモンストレータ装置から着信
    するコミットメントRのすべてまたは一部の受信のための手段も有し、 コントローラ装置は、各コミットメントRのすべてまたは一部を受信した後、
    コミットメントRの数に等しい数のチャレンジdの生成のためのチャレンジ生成
    手段を有し、各チャレンジdは、これ以降、初歩チャレンジと呼ばれるm個の整
    数diを含み、 コントローラ装置は、接続手段を通してデモンストレータにチャレンジdを送
    信するために、これ以降、コントローラの送信手段と呼ばれる送信手段も有し、 ・ステップ3および4の応答Dという行為およびチェック行為において、 前記コントローラ装置は、 接続手段を通して、デモンストレータ装置から着信する応答Dの受信のため
    の手段と、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含み、 デモンストレータが各コミットメントRの一部を送信した場合において、 デモンストレータの受信手段が各コミットメントRの一部を受信すると、m個
    の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段が、各チ
    ャレンジdおよび各応答Dから、再構築されたコミットメントR’を計算し、 この再構築されたコミットメントR’は、 R’≡G1 d1.G2 d2....Gm dm.Dvmodn のタイプの関係、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.modn のタイプの関係を満たし、 コントローラ装置の比較手段は、受信された各コミットメントRのすべてまた
    は一部と、各再構築されたコミットメントR’を比較し、 デモンストレータが各コミットメントRの全体性を送信した場合において、 デモンストレータの送信手段が、各コミットメントRの全体性を送信した場合
    には、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手
    段および比較手段が、各コミットメントRが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R≡Dv/G1 d1.G2 d2....Gm dm.modn のタイプの関係を満たすことを確認する という各ステップを実行するために使用する、デモンストレータと呼ばれるエン
    ティティの真正性を、コントローラと呼ばれるエンティティに対し証明するよう
    に設計される請求項15に記載されるコントローラ装置。
  17. 【請求項17】 前記コントローラ装置は、特にデータ処理通信網を通した
    、デモンストレータエンティティと関連付けられたデモンストレータ装置へのそ
    の電気的、電磁的、光学的、または音響の接続のための接続手段を含み、 前記システムは、 ・ステップ1および2のコミットメントRという行為およびチャレンジdとい
    う行為において、 前記コントローラ装置は、接続手段を通してデモンストレータ装置から着信す
    るトークンTの受信のための手段も有し、 コントローラ装置は、トークンTを受信した後、コミットメントRの数に数で
    等しいチャレンジdの生成のためのチャレンジ生成手段を有し、各チャレンジd
    は、呼び出された初歩チャレンジの後にここにm個の整数diを含み、 コントローラ装置は、接続手段を通してデモンストレータへチャレンジdを送
    信するために、コントローラの送信手段と呼ばれる送信手段も有し、 ・ステップ3および4の応答Dという行為およびチェック行為において、 コントローラ装置は、 接続手段を通してデモンストレータ装置から着信する応答Dの受信のための
    手段と、 第1に、各チャレンジdおよび各応答Dから再構築されたコミットメントR
    ’を計算するために、および第2に、メッセージMおよび各再構築されたコミッ
    トメントR’のすべておよび一部として有するハッシュ関数hを適用することに
    よってトークンTを計算するために、m個の公開値G1,G2,...,Gmを有
    する、コントローラ装置の計算手段と呼ばれる計算手段を含み、この再構築され
    たコミットメントR’は、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たし、 計算されたトークンT’を受信されたトークンTと比較するために、これ以
    降、コントローラ装置の比較手段と呼ばれる比較手段と を含む という各ステップの実行を可能にする、コントローラとして知られるエンティテ
    ィに対し、デモンストレータとして知られているエンティティと関連付けられた
    メッセージMの完全性の証明を与えるように設計される請求項15に記載される
    コントローラ装置コントローラ装置。
  18. 【請求項18】 ハッシュ関数h(メッセージ,R)を有する署名エンティ
    ティに関連付けられた署名デバイスによって送信される署名済みメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含み、 チェック動作において、 前記コントローラ装置は、署名エンティティに関連付けられた署名デバイスへ
    の、特にデータ処理通網を通した、その電気的、電磁的、光学的または音響の接
    続のための接続手段を含み、 前記コントローラ装置は、接続手段を通して、署名済みメッセージを、署名さ
    れたデバイスから受信し、 コントローラ装置は、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含み、 ・コントローラ装置が、コミットメントR、チャレンジd、応答Dを有する場
    合において、 コントローラがコミットメントR、チャレンジd、応答Dを有する場合には、 ・・コントローラ装置の計算手段および比較手段は、コミットメントR、チャ
    レンジdおよび応答Dが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たすことを確認し、 ・・監査デバイスの計算手段および比較手段は、メッセージM、チャレンジd
    およびコミットメントRが、ハッシュ関数 d’=h(message,R) を満たすことを確認し、 ・コントローラ装置がチャレンジdおよび応答Dを有する場合において、 コントローラ装置が、チャレンジdおよび応答Dを有する場合には、 ・・コントローラの計算手段は、各チャレンジdおよび各応答Dに基づいて、 R'≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R'≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たすコミットメントR'を計算し、 ・・コントローラ装置の計算手段および比較手段は、メッセージMおよびチャ
    レンジdが、ハッシュ関数 d=h(message,R') を満たすのを確認し、 ・コントローラ装置がコミットメントRおよび応答Dを有する場合において、 コントローラ装置が、コミットメントRおよび応答Dを有する場合には、 ・・コントローラ装置の計算手段は、ハッシュ関数を適用し、 d=h(message,R) となるように、d'を計算し、 ・・コントローラ装置の計算手段および比較手段は、コミットメントR、チャ
    レンジd'および応答Dが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係を満たすのを確認し、 コントローラと呼ばれるエンティティによって署名済みのメッセージをチェッ
    クすることによって、メッセージMの真正性を証明するように設計される請求項
    15に記載されるコントローラ装置。
JP2000596696A 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性を証明するための方法 Expired - Lifetime JP4772965B2 (ja)

Applications Claiming Priority (11)

Application Number Priority Date Filing Date Title
FR9901065A FR2788910A1 (fr) 1999-01-27 1999-01-27 Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
FR99/01065 1999-01-27
FR9903770A FR2788911A1 (fr) 1999-01-27 1999-03-23 Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
FR99/03770 1999-03-23
FR9912467A FR2788912B1 (fr) 1999-01-27 1999-10-01 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message aux moyens de facteurs premiers particuliers
FR9912468A FR2824974B1 (fr) 1999-01-27 1999-10-01 Procede destine a prouver l'authenticite d'une entite ou l'integrite d'un message au moyen d'un exposant public egal a une puissance de deux.
FR9912465A FR2788908B1 (fr) 1999-01-27 1999-10-01 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message
FR99/12465 1999-10-01
FR99/12468 1999-10-01
FR99/12467 1999-10-01
PCT/FR2000/000190 WO2000045550A2 (fr) 1999-01-27 2000-01-27 Procede destine a prouver l'authenticite d'une entite ou l'integrite d'un message au moyen d'un exposant public egal a une puissance de deux

Publications (3)

Publication Number Publication Date
JP2003513480A true JP2003513480A (ja) 2003-04-08
JP2003513480A5 JP2003513480A5 (ja) 2007-03-15
JP4772965B2 JP4772965B2 (ja) 2011-09-14

Family

ID=27515634

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2000597914A Withdrawn JP2003519447A (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置
JP2000596696A Expired - Lifetime JP4772965B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性を証明するための方法
JP2000597915A Expired - Lifetime JP4772189B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/または特殊素因子を使用するメッセ−ジの完全性および/または真正性を証明するための方法、システム、及び装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2000597914A Withdrawn JP2003519447A (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2000597915A Expired - Lifetime JP4772189B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/または特殊素因子を使用するメッセ−ジの完全性および/または真正性を証明するための方法、システム、及び装置

Country Status (7)

Country Link
US (2) US7386122B1 (ja)
EP (3) EP1145482B1 (ja)
JP (3) JP2003519447A (ja)
CN (3) CN1408154A (ja)
AU (3) AU769444B2 (ja)
CA (3) CA2361627A1 (ja)
WO (3) WO2000046946A2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2822002B1 (fr) * 2001-03-12 2003-06-06 France Telecom Authentification cryptographique par modules ephemeres
FR2841411B1 (fr) * 2002-06-19 2004-10-29 Gemplus Card Int Procede de generation de cles electroniques pour procede de crytographie a cle publique et objet portatif securise mettant en oeuvre le procede
FR2865590A1 (fr) * 2004-01-23 2005-07-29 France Telecom Procede pour etablir, a partir d'un jeu de grands nombres premiers, un jeu de cles destine a prouver l'authenticite d'une entite ou l'integrite d'un message
DE602006007237D1 (de) 2005-08-23 2009-07-23 Koninkl Philips Electronics Nv Authentifizierung von informationsträgern über eine physische einwegfunktion
JP4968622B2 (ja) * 2006-11-02 2012-07-04 日本電気株式会社 グループメンバー確認システム、及びグループメンバー確認方法、及びプログラム
TWI405481B (zh) * 2007-05-18 2013-08-11 Innovative Sonic Ltd 無線通訊系統比較狀態變數或封包序號的方法及其相關裝置
US8832110B2 (en) 2012-05-22 2014-09-09 Bank Of America Corporation Management of class of service
US9961059B2 (en) * 2014-07-10 2018-05-01 Red Hat Israel, Ltd. Authenticator plugin interface
EP2966803A1 (en) * 2014-07-11 2016-01-13 Thomson Licensing Method and device for cryptographic key generation

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0518365A2 (en) * 1991-06-14 1992-12-16 Nippon Telegraph And Telephone Corporation method of implementing use of electronic cash
JPH0520344A (ja) * 1991-07-10 1993-01-29 Nippon Telegr & Teleph Corp <Ntt> 電子現金方式

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2620248B1 (fr) * 1987-09-07 1989-11-24 France Etat Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de messages
US5140634A (en) * 1987-09-07 1992-08-18 U.S Philips Corporation Method and apparatus for authenticating accreditations and for authenticating and signing messages
US5218637A (en) * 1987-09-07 1993-06-08 L'etat Francais Represente Par Le Ministre Des Postes, Des Telecommunications Et De L'espace Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization
JP3102692B2 (ja) * 1988-05-19 2000-10-23 エヌ・シー・アール・インターナショナル・インコーポレイテッド カードの真性を証明する方法
EP0381523A3 (en) * 1989-02-02 1993-03-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
US5046094A (en) * 1989-02-02 1991-09-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
US5299262A (en) * 1992-08-13 1994-03-29 The United States Of America As Represented By The United States Department Of Energy Method for exponentiating in cryptographic systems
US5442707A (en) * 1992-09-28 1995-08-15 Matsushita Electric Industrial Co., Ltd. Method for generating and verifying electronic signatures and privacy communication using elliptic curves
US5414772A (en) * 1993-06-23 1995-05-09 Gemplus Development System for improving the digital signature algorithm
US5604805A (en) * 1994-02-28 1997-02-18 Brands; Stefanus A. Privacy-protected transfer of electronic information
FR2733379B1 (fr) 1995-04-20 1997-06-20 Gemplus Card Int Procede de generation de signatures electroniques, notamment pour cartes a puces
DE69704684T2 (de) 1996-02-23 2004-07-15 Fuji Xerox Co., Ltd. Vorrichtung und Verfahren zur Authentifizierung von Zugangsrechten eines Benutzers zu Betriebsmitteln nach dem Challenge-Response-Prinzip
IL120303A0 (en) * 1996-03-27 1997-06-10 Pfizer Use of alpha1-adrenoreceptor antagonists in the prevention and treatment of cancer
DE69738931D1 (de) * 1997-01-28 2008-10-02 Matsushita Electric Ind Co Ltd Vorrrichtung zum digitalen unterschreiben mit rückgewinnung der botschaft
US6389136B1 (en) * 1997-05-28 2002-05-14 Adam Lucas Young Auto-Recoverable and Auto-certifiable cryptosystems with RSA or factoring based keys
ATE246820T1 (de) * 1997-05-29 2003-08-15 Sun Microsystems Inc Verfahren und vorrichtung zur versiegelung und unterschrift von objekten
US7246098B1 (en) * 1997-07-15 2007-07-17 Silverbrook Research Pty Ltd Consumable authentication protocol and system
JP3671611B2 (ja) * 1997-08-05 2005-07-13 富士ゼロックス株式会社 アクセス資格認証装置および方法
JP3562262B2 (ja) * 1997-10-17 2004-09-08 富士ゼロックス株式会社 認証方法および装置
CA2253009C (en) * 1997-11-04 2002-06-25 Nippon Telegraph And Telephone Corporation Method and apparatus for modular inversion for information security and recording medium with a program for implementing the method
US7280663B1 (en) * 2000-05-22 2007-10-09 University Of Southern California Encryption system based on crossed inverse quasigroups

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0518365A2 (en) * 1991-06-14 1992-12-16 Nippon Telegraph And Telephone Corporation method of implementing use of electronic cash
JPH0520344A (ja) * 1991-07-10 1993-01-29 Nippon Telegr & Teleph Corp <Ntt> 電子現金方式

Also Published As

Publication number Publication date
AU769444B2 (en) 2004-01-29
JP2003519447A (ja) 2003-06-17
EP1145473A2 (fr) 2001-10-17
JP4772189B2 (ja) 2011-09-14
AU769446C (en) 2007-09-20
EP1145472A3 (fr) 2002-11-27
EP1145482A3 (fr) 2002-06-26
CA2360887C (fr) 2009-03-24
JP2002540653A (ja) 2002-11-26
WO2000046947A3 (fr) 2002-04-04
US7266197B1 (en) 2007-09-04
EP1145482A2 (fr) 2001-10-17
CN1408154A (zh) 2003-04-02
CA2361627A1 (en) 2000-08-10
EP1145473B1 (fr) 2019-04-17
CN1322700C (zh) 2007-06-20
AU2298400A (en) 2000-08-25
EP1145473A3 (fr) 2002-05-29
EP1145472A2 (fr) 2001-10-17
AU2298600A (en) 2000-08-18
CN1372739A (zh) 2002-10-02
AU769464B2 (en) 2004-01-29
AU769446B2 (en) 2004-01-29
WO2000045550A2 (fr) 2000-08-03
WO2000045550A3 (fr) 2002-04-25
WO2000046947A2 (fr) 2000-08-10
CN100377520C (zh) 2008-03-26
CA2360954A1 (en) 2000-08-03
WO2000046946A3 (fr) 2002-10-10
CN1468479A (zh) 2004-01-14
AU2298500A (en) 2000-08-25
EP1145482B1 (fr) 2019-01-02
US7386122B1 (en) 2008-06-10
JP4772965B2 (ja) 2011-09-14
CA2360887A1 (fr) 2000-08-10
WO2000046946A2 (fr) 2000-08-10

Similar Documents

Publication Publication Date Title
US20240078541A1 (en) Computer-implemented system and method for exchange of data
US11979507B2 (en) Computer implemented method and system for transferring access to a digital asset
CN109257182B (zh) 基于同态密码学承诺与零知识范围证明的隐私保护方法
Noether et al. Ring confidential transactions
US5966445A (en) Identification scheme single or multi-digital signature scheme giving message recovery single or multi-digital signature scheme with appendix key exchange scheme and blind digital signature scheme
US9385872B2 (en) Reissue of cryptographic credentials
CN111819817A (zh) 针对基于双线性映射累加器的授权的区块链实现的方法和***
CN113360943A (zh) 一种区块链隐私数据的保护方法及装置
CN116349203A (zh) 识别拒绝服务攻击
CN118160275A (zh) 阈值签名方案
CN113609499B (zh) 基于去中心化多方安全计算和多重签名的电子公证文书签署方法及***
JP2003513480A (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
CN111353780B (zh) 授权验证方法、装置及存储介质
CN112184245A (zh) 一种跨区块链的交易身份确认方法及装置
US6978372B1 (en) Verification of correct exponentiation or other operations in cryptographic applications
KR100676460B1 (ko) 2의 거듭제곱과 동등한 공개 지수를 이용한 엔티티 인증성및/또는 메시지의 무결성 검증방법
JP2005508514A (ja) 公開鍵を用いた暗号化タスク実行方法
KR20010017358A (ko) 공정한 은닉 서명 방법
Yum et al. Efficient fair exchange from identity-based signature
CN115795557A (zh) 基于去中心化门限多方签名的电子公证文书签署方法及***
Zhang et al. Subliminalfree Variant of Schnorr Signature with Provable Security
CN117201041A (zh) 基于区块链的链下协同门限签名方法及装置
CN117081752A (zh) 一种基于区块链的数据安全共享方法和***
Nakanishi et al. An Unlinkable Divisible Electronic Cash Using Secure Proxy Computation for DL One-way Function

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070123

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100506

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100806

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20100806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101014

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110525

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110614

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140701

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4772965

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term