JP2003519447A - エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置 - Google Patents

エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置

Info

Publication number
JP2003519447A
JP2003519447A JP2000597914A JP2000597914A JP2003519447A JP 2003519447 A JP2003519447 A JP 2003519447A JP 2000597914 A JP2000597914 A JP 2000597914A JP 2000597914 A JP2000597914 A JP 2000597914A JP 2003519447 A JP2003519447 A JP 2003519447A
Authority
JP
Japan
Prior art keywords
commitment
controller
challenge
demonstrator
mod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2000597914A
Other languages
English (en)
Inventor
ギユ,ルイ
キスクワテル,ジャン‐ジャック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR9901065A external-priority patent/FR2788910A1/fr
Priority claimed from FR9903770A external-priority patent/FR2788911A1/fr
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of JP2003519447A publication Critical patent/JP2003519447A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Complex Calculations (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Peptides Or Proteins (AREA)
  • Error Detection And Correction (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Agricultural Chemicals And Associated Chemicals (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 証明は、Gi.i V=1 mod nまたはGi=Qi V mod nのタイプの関係式によって結び付けられた、以下のパラメータである秘密値Q1および公開値Pi、m>1のm個の対と、f個の素因数Pi,f>2の積によって構成される公開係数nと、公開指数vとを用いて行なわれる。

Description

【発明の詳細な説明】
【0001】 本発明は、エンティティ(entity)の真正性および/またはメッセージの完全
性および/または真正性を証明するための方法、システムおよび装置に関するも
のである。
【0002】 発明者がLouis GuillouおよびJean-Jacques Quisquaterである欧州特許03
11470B1号公報は、そのような方法について述べている。以下、その方法
を「GQ特許」または「GQ方法」という言葉で表わす。続いて、本発明を場合
によっては「GQ2」、「GQ2発明」または「GQ2技術」と呼ぶものとする
【0003】 GQ方法によれば、「信頼される当局(trusted authority)」と呼ばれるエ
ンティティは、「証人(witness)」と呼ばれる各エンティティにアイデンティ
ティ(identity)を割当て、そのRSA署名を計算する。個別化プロセスの間、信
頼される当局は、証人にアイデンティティと署名を与える。続いて、証人は、「
ここに私のアイデンティティがある。私はそのRSA署名を知っている。」と表
明する。証人は、それを明らかにはしないが、そのアイデンティティのRSA署
名を知っていることを証明する。信頼される当局によって付与されるRSA公開
認証鍵(RSA public identification key)によって、「コントローラ(controll
er)」と呼ばれるエンティティは、その内容を知ることなく、RSA署名が表明
されたアイデンティティに対応することを認証する。GQ方法を使用するメカニ
ズムは、「知識の移送なく(without transfer of knowledge)」実行される。G
Q方法によれば、証人は、信頼される当局が多数のアイデンティティに署名する
のに用いるRSA秘密鍵を知らない。
【0004】 GQ方法は、512ビットまたはそれ以上の数のモジュロ計算を利用する。こ
れらの計算は、およそ216+1のオーダーの累乗と実質的に同じサイズの数に関
するものである。ところで、特にバンクカードの分野における既存のマイクロエ
レクトロニクスのインフラストラクチャは、演算コプロセッサを持たないモノリ
シックの自動プログラミング可能なマイクロプロセッサを使用する。GQ方法の
ような方法によって組み込まれた多様な算術演算に結びついた作業量は、特定の
場合には、購入代金を支払うためにバンクカードを使用する消費者によって不利
益となるような計算時間を引き起こす。ここでは、支払い用カードの機密保護を
増大させようとしながら、銀行当局は、とりわけ解決が難しい問題を抱えている
ことが想起される。というのも、一見矛盾した2つの問題、すなわち、作業量が
ユーザにとって途方もない演算時間となることを防ぎながらも、各カードに対し
て区別され、ますます長くなる鍵を使用しながら機密保護を増大させるという問
題を扱わなければならない。この問題は、さらに現在のインフラストラクチャと
、既存のマイクロプロセッサコンポーネントを考慮に入れる必要があることから
も、特別に困難なものとなる。
【0005】 上述のGQ技術は、RSA技術に頼っている。しかし、RSA技術が、まさし
く係数nの因数分解に依存しているとしても、その依存は、RSA技術を利用す
るデジタル署名のさまざまな規格に対する「乗法的アタック(攻撃)」と呼ばれ
るものに見られるように等価ではなく、むしろ全く反対のものである。
【0006】 GQ2技術の目的は二つある。一方では、RSA技術に対する性能を改善する
ことであり、他方では、RSA技術に固有の問題を防ぐことである。秘密鍵GQ
2の知識は、係数nの因数分解の知識と等価である。3組からなるGQ2に対す
るアタックは、係数nの因数分解に帰着する。この場合には等価である。GQ2
技術によれば、サインするまたは自己認証するエンティティについても、コント
ローラ・エンティティについても作業量は小さくなる。機密保護と同様に性能に
おいても因数分解の問題を最良に解決することによって、GQ2技術は、RSA
技術が有する欠点を防ぐことができる。
【0007】 (方法) GQ系列に適用されるチャイニーズ剰余法(Chinese remainders method、ま
たは孫氏剰余法ともいわれる。) とりわけ、本発明は、コントローラ・エンティティに対して、エンティティの
真正性および/または、そのエンティティに結びついたメッセージMの完全性(
integrity)を証明するための方法に関するものである。
【0008】 この証明は、以下のパラメータの全体またはその一部、またはそれらの導関数
を用いて行なわれる。すなわち、パラメータとは、 秘密値Q1、Q2、…Qmおよび公開値G1、G2、…Gm(mは1以上)のm個の
対と、 f個の素因数P1、P2、…Pr(fは2以上)の積によって構成される公開係
数nと、 公開指数vとである。
【0009】 前記係数、前記指数および前記の値は、以下のタイプの関係式によって結び付
けられる。 Gi.Qi v≡1.mod n または Gi≡Qi vmod n 前記の方法は、以下に規定したステップにしたがって、f個の素因数piおよ
び/または素因数のチャイニーズ剰余のパラメータおよび/または公開係数nお
よび/またはm個の秘密値Qiおよび/または秘密値と公開指数vのf.m個の
成分Qi.j(Qi.j=Qimod pi)を有する証人と呼ばれるエンティティを利
用する。
【0010】 証人は、モジュロnを法とする整数環においてコミットメントRを演算する。 各コミットメントは、以下のタイプの演算を行うことによって、さらにチャイ
ニーズ剰余法を適用することによって計算される。 Ri≡ri vmod pi ここで、riは、0<ri<piのような素数に結びついたランダム値であり、各
iは、ランダム値{ri、r2、…rf}の集まりに属する。
【0011】 このようにして、piの各々についてのコミットメントRiの各々を計算するた
めに行なわれるモジュロ算術演算(arithmetic operations modulo)の数pi
、演算がモジュロnで行なわれる場合に対して小さくなる。
【0012】 証人は、1以上のチャレンジdを受取る。各チャレンジdは、以下、基本的チ
ャレンジと呼ぶm個の整数diを有する。証人は、以下のタイプの演算を行うこ
とによって、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi そして、チャイニーズ剰余法を適用することによって、各チャレンジdから応
答Dを計算する。
【0013】 このようにして、piの各々について各応答Diを計算するために行なわれるモ
ジュロpi算術演算の数は、演算がモジュロnで行なわれる場合よりも小さくな
る。
【0014】 この方法は、チャレンジdやコミットメントRと同じ数だけ応答Dが存在し、
各グループの数R、d、Dは、{R、d、D}と記される3項のセットを構成す
る。
【0015】 (エンティティの真正性の証明の場合) 第一の実施形態においては、本発明による方法は、コントローラと呼ばれるエ
ンティティに対して、デモンストレータと呼ばれるエンティティの真正性を証明
するためのものである。前記のデモンストレータ・エンティティは、証人を含む
。前記のデモンストレータおよびコントローラ・エンティティは、以下のステッ
プを実行する。
【0016】 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人は、以上に特定したプロセスを適用することによって
、各コミットメントRを計算する。デモンストレータは、コントローラに対して
、各コミットメントRの全体または一部を伝達する。
【0017】 ・ステップ2のチャレンジ行為dにおいて コントローラは、各コミットメントRの全体または一部を受取った後に、コミ
ットメントRと同じ数のチャレンジdを生じ、デモンストレータにチャレンジd
を伝達する。
【0018】 ・ステップ3の応答行為Dにおいて 証人は、以上に特定したプロセスを適用することによって、チャレンジdから
応答Dを計算する。
【0019】 ・ステップ4のチェック行為において デモンストレータはコントローラに対して各応答Dを伝達する。
【0020】 (第一の場合:デモンストレータが、各コミットメントRの一部を伝達した場
合) デモンストレータが、各コミットメントRの一部を伝達した場合には、コント
ローラは、m個の公開値G1、G2、…Gmを有することによって、各チャレンジ
dおよび各応答Dから、以下のタイプの関係式 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす再構築されたコミットメントR’を計算する。 コントローラは、再構築された各コミットメントR’が、自らに伝達された各コ
ミットメントRの全体または一部を再生することを認証する。
【0021】 (第二の場合:デモンストレータが、各コミットメントRの完全性を伝達した
場合) デモンストレータが、各コミットメントRの完全性を伝達した場合には、コン
トローラは、m個の公開値G1、G2、…Gmを有することによって、各コミット
メントRが、以下のタイプの関係式 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式を R≡Dv/G1 d1.G2 d2....Gm dm.mod n 満たすことを認証する。
【0022】 (メッセージの完全性の証明の場合) 第一の実施形態と組み合わせることができる第二の変形実施形態においては、
本発明による方法は、コントローラと呼ばれるエンティティに、デモンストレー
タと呼ばれるエンティティに結びついたメッセージMの完全性を証明するための
ものである。前記のデモンストレータ・エンティティは証人を含む。
【0023】 前記のデモンストレータおよびコントローラ・エンティティは、以下のステッ
プを実行する。 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人は、以上に特定したプロセスを適用することによって
各コミットメントRを計算する。
【0024】 ・ステップ2のチャレンジ行為dにおいて デモンストレータは、少なくとも1つのトークンTを計算するために、引数と
してメッセージMと各コミットメントの全体または一部を有するハッシュ関数h
を適用する。デモンストレータは、コントローラにトークンTを伝達する。コン
トローラは、トークンTを受取った後に、コミットメントRと同数のチャレンジ
dを生じ、チャレンジdをデモンストレータに伝達する。
【0025】 ・ステップ3の応答行為Dにおいて 証人は、以上に特定したプロセスを適用することによって、チャレンジdから
応答Dを計算する。
【0026】 ・ステップ4のチェック行為において デモンストレータは、コントローラに対して各応答Dを伝達する。コントロー
ラは、m個の公開値G1、G2、…Gmを有することによって、各チャレンジdお
よび各応答Dから、以下のタイプの関係式を、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式を、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n 満たす再構築されたコミットメントR’を計算する。
【0027】 そして、コントローラは、トークンT’を再構築するために、引数としてメッ
セージMと再構築された各コミットメントR’の全体または一部を有するハッシ
ュ関数hを適用する。さらに、コントローラは、トークンT’が、伝達されたト
ークンTと同じであることを認証する。
【0028】 (メッセージのデジタル署名およびその真正性の証明) 署名オペレーション 変形実施形態の両方またはいずれかと組み合わせることができる第三の変形実
施形態においては、本発明による方法は、署名エンティティと呼ばれるエンティ
ティによってメッセージMのデジタル署名を発生するためのものである。前記の
署名エンティティは証人を含む。
【0029】 前記の署名エンティティは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dとを 含む署名されたメッセージを得るために、署名オペレーションを実行する。
【0030】 前記の署名エンティティは、以下のステップを実施しながら署名オペレーショ
ンを実行する。 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人は、以上に特定したプロセスを適用することによって
各コミットメントRを計算する。
【0031】 ・ステップ2のチャレンジ行為dにおいて 署名は、バイナリトレインを得るために、引数として、メッセージMと各コミ
ットメントを有するハッシュ関数を適用する。署名は、このバイナリトレインか
ら、コミットメントRと同じ数のチャレンジdを抽出する。
【0032】 ・ステップ3の応答行為Dにおいて 証人は、以上に特定されたプロセスを適用することによって、チャレンジdか
ら応答Dを計算する。
【0033】 (チェックオペレーション) メッセージMの真正性のために、コントローラと呼ばれるエンティティが、署
名されたメッセージをチェックする。署名されたメッセージを自由に使用した前
記のコントローラ・エンティティは、以下に説明するように、チェックオペレー
ションを実行する。
【0034】 ・コントローラが、コミットメントR、チャレンジd、応答Dを有する場合 コントローラがコミットメントR、チャレンジd、応答Dを有する場合には、
コントローラは、コミットメントR、チャレンジd、応答Dが、以下のタイプの
関係式を、 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式を R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを認証する。 そして、コントローラは、メッセージM,チャレンジd、コミットメントRが
、ハッシュ関数を満たすことを認証する。 d = h(M,R)
【0035】 ・コントローラが、チャレンジdおよび応答Dを有する場合 コントローラが、チャレンジdおよび応答Dを有する場合には、コントローラ
は、各チャレンジdおよび各応答Dから、以下の関係式を、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下の関係式を R’≡Dv/G1 d1.G2 d2....Gm dm.mod n 満たすコミットメントR’を再構築する。 そして、コントローラは、メッセージMおよびチャレンジdが、ハッシュ関数
を満たすことを認証する。 d = h(M,R’)
【0036】 ・コントローラがコミットメントRおよび応答Dを有する場合 コントローラが、コミットメントRと応答Dを有する場合には、コントローラ
はハッシュ関数を適用し、d’を再構築する。 d’ = h(M,R) そして、コントローラは、コミットメントR、チャレンジd’、応答Dが、以
下のタイプの関係式 R≡G1 d'1.G2 d'2....Gm d'm.Dvmod n または、以下のタイプの関係式 R≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n を満たすことを認証する。
【0037】 (最初に秘密値Qが選択され、秘密値Qから公開値Gが推論される場合) 場合によっては、秘密値Qと公開値Gの対の発生を容易にするために、最初に
秘密値Qを選択し、その秘密値Qから公開値Gが推論される。とりわけその場合
、本発明による方法は、秘密値Q1の成分Qi,1、Qi,1、…Qi,fが、前記の素因
数pjの各々について1つの成分Qi,j(Qi,j=Q1mod pj)の割合で、ラ
ンダムに引出された数である。前記の秘密値Q1は、チャイニーズ剰余法によっ
て、前記成分Qi,1、Qi,1、…Qi,fから計算することができる。前記の公開値
1は、以下のタイプの演算を行うことによって、 Gi, j≡Qi, j v mod pj さらに、以下のようなG1を確立するためのチャイニーズ剰余法を適用すること
によって、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n 計算される。 このようにして、piの各々についてのGi,jの各々を計算するために実行され
るモジュロpi算術演算数は、演算がモジュロnで実行される場合に比べると小
さくなる。 その場合、有利にも、本発明による方法は、認証の公開指数vが素数であるよ
うなものである。機密保護は、秘密値Qiの知識と等価である。
【0038】 (最初に公開値Gを選択し、その公開値Gから秘密値Qが推論される場合) その場合、好ましくは、前記の指数vは、以下のようになる。 v=2k ここで、kは1より大きな機密保護パラメータである。 前記の公開値Giは、f個の素因数p1、p2、…pfより小さな基数giの平方
i 2である。基数giは、以下の2つの方程式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、さらに、方程式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができるようなものである。
【0039】 (システム) 本発明はまた、コントローラ・サーバに対して、エンティティの真正性および
/または、このエンティティに結びついたメッセージMの完全性を証明するため
のシステムに関するものである。
【0040】 この証明は、以下のパラメータ全体または一部、あるいはそれらの導関数を用
いて行なわれる。 秘密値Q1、Q2、…Qmと公開値G1、G2、…Gmのm個の対(mは1以上であ
る)と、 f個の素因数p1、p2、…pfの積によって構成される公開係数n(fは2以
上である)と、 公開指数vとであり、 前記係数、前記指数および前記の値は、以下のタイプの関係式によって結び付け
られる。 Gi.Qi v≡1.mod n または Gi≡Qi vmod n
【0041】 前記システムは、たとえばマイクロプロセッサ用のバンクカードの形状を有す
る、特にノマッドオブジェクトの中に含まれる証人装置を有する。証人装置は、
f個の素因数pfおよび/または素因数のチャイニーズ剰余のパラメータおよび
/または公開係数nおよび/またはm個の秘密値Qiおよび/または秘密値Qi
よび公開指数vのf.m個の成分Qi,j(Qi,j=Q1mod pj)を含むメモリ
ゾーンを有する。証人装置はまた、以下の 証人装置のランダム値発生手段と呼ばれる、ランダム値発生手段と、 モジュロnの(nを法とする)整数環の中でコミットメントRを計算するため
の証人装置のコミットメントR計算手段とを有し、 各コミットメントは、以下のタイプの演算 Ri ≡ri v mod pi を行い、そして、チャイニーズ剰余法を適用することによって、計算される。 ここで、riは、0<ri<piのような素数に結びつくランダムな値であり、
各riは、ランダム値発生手段によって発生したランダムな値{r1、r2、…rf }の集まりに属する。 このように、piの各々のためにのコミットメントRiの各々を計算するために
実行されるモジュロpi算術演算の数は、演算がモジュロnで行われる場合に比
べると小さくなる。
【0042】 証人装置はまた、以下を有する。 1以上のチャレンジdを受取るために、以下、証人装置のチャレンジdの受取
り手段と呼ばれる受取り手段であって、各チャレンジdは、以下、基本的チャレ
ンジdと呼ばれるm個の整数diを含み、 次のタイプ Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi の演算を行い、そして、チャイニーズ剰余法を適用することによって、各チャレ
ンジdから応答Dを計算するために、証人装置の応答Dの計算手段と呼ばれる計
算手段と を含む。 このようにして、piの各々のための応答Diの各々を計算するために実行され
るモジュロdi算術演算数は、モジュロnで演算が行われる場合に比べて小さく
なる。
【0043】 前記の証人装置はまた、1以上のコミットメントRおよび1以上の応答Dを伝達
するための伝達手段を有する。チャレンジdやコミットメントRと同じ数の応答
Dが存在する。各グループの数R、d、Dは、{R、d、D}と記される3つ組
を構成する。
【0044】 (エンティティの真正性の証明の場合) 第一の変形実施形態においては、本発明によるシステムは、コントローラと呼
ばれるエンティティに対して、デモンストレータと呼ばれるエンティティの真正
性を証明するためのものである。
【0045】 前記システムは、デモンストレータ・エンティティに結びついたデモンストレ
ータ装置を含んでいる。前記のデモンストレータ装置は、相互接続手段によって
証人装置に相互接続される。それは、たとえば、マイクロプロセッサタイプバン
クカード内でマイクロプロセッサの形を有するノマッドオブジェクト内で論理マ
イクロ回路の形を有することができる。
【0046】 前記のシステムはまた、コントローラ・エンティティに結びついたコントロー
ラ装置を含む。前記のコントローラ装置は、特に、遠隔サーバまたは端末の形を
有する。前記のコントローラ装置は、特に、電気的に、電磁気的に、光学的にま
たは音声として、情報処理通信網を介して、デモンストレータ装置に接続するた
めの接続手段を含む。
【0047】 前記システムは以下のステップを実行することを可能にする。 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人装置のコミットメントRの計算手段は、以上に特定し
たプロセスを適用することによって、各コミットメントRを計算する。証人装置
は、相互接続手段を介して、デモンストレータ装置に、各コミットメントRの全
体または一部を伝達するために、以下、証人装置の伝達手段と呼ばれる伝達手段
を有する。デモンストレータ装置はまた、接続手段を介して、コントローラ装置
に各コミットメントRの全体または一部を伝達するために、以下、デモンストレ
ータ装置の伝達手段と呼ばれる伝達手段を有する。
【0048】 ・ステップ2のチャレンジ行為dにおいて コントローラ装置は、各コミットメントRの全体または一部を受取った後に、
コミットメントRと同じ数のチャレンジdを生じるために、チャレンジの発生手
段を有する。コントローラ装置はまた、接続手段を介して、デモンストレータに
チャレンジdを伝達するために、以下、コントローラの伝達手段と呼ばれる、伝
達手段を有する。
【0049】 ・ステップ3の応答行為Dにおいて 証人装置のチャレンジdの受取り手段は、相互接続手段を介して、デモンスト
レータ装置から生じる各チャレンジdを受取る。証人装置の応答Dの計算手段は
、以上に特定したプロセスを適用することによって、チャレンジdから応答Dを
計算する。
【0050】 ・ステップ4のチェック行為において デモンストレータの伝達手段は、コントローラに各応答Dを伝達する。コント
ローラ装置はまた、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む。
【0051】 (デモンストレータが各コミットメントRの一部を伝達した場合) デモンストレータの伝達手段が、各コミットメントRの一部を伝達した場合に
は、m個の公開値G1、G2、…Gmを有するコントローラ装置の計算手段が、各
チャレンジdおよび各応答Dから、以下のタイプの関係式 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または以下のタイプの関係式 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす再構築されたコミットメントR’を計算する。 コントローラ装置の比較手段は、再構築された各コミットメントR’と、受取
られた各コミットメントRの全体または一部とを比較する。
【0052】 デモンストレータが各コミットメントRの完全性を伝達した場合 デモンストレータの伝達手段が、各コミットメントRの完全性を伝達した場合
には、m個の公開値G1、G2、…Gmを有する、コントローラの計算手段および
比較手段が、各コミットメントRが次のタイプの関係式を、 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、次のタイプの関係式を R≡Dv/G1 d1.G2 d2....Gm dm.mod n 満たすことを認証する。
【0053】 (メッセージの完全性の証明の場合) 第一の変形形態と組み合わせることができる第二の変形実施形態においては、
本発明によるシステムは、コントローラと呼ばれるエンティティに対して、デモ
ンストレータと呼ばれるエンティティに関連したメッセージMの完全性を証明す
るためのものである。前記のシステムは、デモンストレータ・エンティティに結
びついたデモンストレータ装置を有するようなものである。前記のデモンストレ
ータ装置は、相互接続手段によって証人装置に相互接続される。それは、たとえ
ばマイクロプロセッサ型バンクカード内でマイクロプロセッサの形を有するノマ
ッドオブジェクトの中で論理マイクロ回路の形を含むことができる。前記のシス
テムはまた、コントローラ・エンティティに関連したコントローラ装置を含む。
前記のコントローラ装置は特に、遠隔サーバまたは端末の形を有する。前記のコ
ントローラ装置は、特に、情報処理通信網を介して、電気的、電磁的、光学的に
、または音声として、デモンストレータ装置に接続するための接続手段を有する
。前記のシステムは以下のステップを実行する。
【0054】 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人装置のコミットメントRの計算手段は、以上に特定し
たプロセスを適用することによって、各コミットメントRを計算する。証人装置
は、相互接続手段を介して、デモンストレータ装置に対して各コミットメントR
の全体または一部を伝達するために、以下、証人装置の伝達手段と呼ばれる伝達
手段を有する。
【0055】 ・ステップ2のチャレンジ行為dにおいて デモンストレータ装置は、少なくとも1つのトークンTを計算するために、引
数としてメッセージMと各コミットメントRの全体または一部とを有するハッシ
ュ関数を適用する、以下、デモンストレータ装置の計算手段と呼ばれる計算手段
を含む。デモンストレータ装置はまた、接続手段を介して、コントローラ装置に
対して、各トークンTを伝達するために、以下、デモンストレータの伝達手段と
呼ばれる伝達手段を有する。コントローラ装置はまた、トークンTを受取った後
に、コミットメントRと同じ数のチャレンジdを生じるためのチャレンジ発生手
段を有する。コントローラ装置はまた、接続手段を介して、デモンストレータに
チャレンジdを伝達するために、以下、コントローラ装置の伝達手段と呼ばれる
伝達手段を有する。
【0056】 ・ステップ3の応答行為Dにおいて 証人装置のチャレンジdの受取り手段は、相互接続手段を介して、デモンスト
レータ装置から生じる各チャレンジdを受取る。証人装置の応答Dの計算手段は
、以上に特定したプロセスを適用することによって、チャレンジdから応答Dを
計算する。
【0057】 ・ステップ4のチェック行為において デモンストレータの伝達手段は、コントローラに対して各応答Dを伝達する。
コントローラ装置はまた、まず、各チャレンジdおよび各応答Dから、以下のタ
イプの関係式 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす再構築されたコミットメントR’を計算し、 そして、次に、引数としてメッセージMと再構築された各コミットメントR’
の全体または一部を有するハッシュ関数hを適用しながら、トークンT’を計算
するために、m個の公開値G1、G2、…Gmを有する、以下、コントローラ装置
の計算手段と呼ばれる計算手段を有する。
【0058】 コントローラ装置はまた、トークンT’を受取られたトークンTと比較するた
めに、以下、コントローラ装置の比較手段と呼ばれる、比較手段を有する。
【0059】 (メッセージのデジタル署名およびその真正性の証明) [署名オペレーション] 他の2つの変形形態のいずれかまたは両方と組み合わせることができる第三の
実施変形形態においては、本発明によるシステムは、署名エンティティと呼ばれ
るエンティティによって、以下、署名されたメッセージと呼ばれる、メッセージ
Mのデジタル署名を生じるためのものである。 署名されたメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む。
【0060】 前記システムは、署名エンティティに結びつく署名装置を有するようなもので
ある。前記署名装置は、相互接続手段によって証人装置に相互接続され、特に、
たとえば、マイクロプロセッサ型バンクカード内でマイクロプロセッサの形状を
有するノマッドオブジェクトの中で論理マイクロ回路の形状を有することができ
る。
【0061】 前記システムは以下のステップを実行することができる。 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人装置のコミットメントRの計算手段が、以上に特定さ
れたプロセスを適用することによって、各コミットメントRを計算する。 証人装置は、相互接続手段を介して、各コミットメントRの全体または一部を
署名装置に伝達するために、以下、証人装置の伝達手段と呼ばれる伝達手段を有
する。
【0062】 ・ステップ2のチャレンジ行為dにおいて 署名装置は、バイナリトレインを計算し、そのトレインから、コミットメント
Rと同じ数のチャレンジdを抽出するために、引数としてメッセージMと各コミ
ットメントRの全体または一部を有するハッシュ関数hを適用する、以下、署名
装置の計算手段と呼ばれる計算手段を有する。
【0063】 ・ステップ3の応答行為Dにおいて 証人装置のチャレンジdの受取り手段は、相互接続手段を介して、署名装置か
ら生じる各チャレンジdを受取る。証人装置の応答Dの計算手段は、以上に特定
したプロセスを適用しながら、チャレンジdから応答Dを計算する。証人装置は
、相互接続手段を介して、署名装置に応答Dを伝達するために、以下、証人装置
の伝達手段と呼ばれる伝達装置を有する。
【0064】 (チェックオペレーション) コントローラと呼ばれるエンティティによって、メッセージMの真正性を証明
するために、署名されたメッセージがコントロールされる。 システムは、コントローラ・エンティティに結びついたコントローラ装置を有
する。前記のコントローラ装置は、特に端末または遠隔サーバの形を有すること
ができる。前記のコントローラ装置は、情報処理通信網を介して、デモンストレ
ータ装置に、電気的、電磁的、光学的に、または音声として、接続するための接
続手段を有する。署名エンティティに結びついた前記署名装置は、接続手段を通
して、署名されたメッセージをコントローラ装置に伝達するために、以下、署名
装置の伝達手段と呼ばれる、伝達手段を有する。このようにして、署名されたメ
ッセージを有するコントローラ装置は、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含み、 コントローラ装置は、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む。
【0065】 ・コントローラが、コミットメントR、チャレンジd、応答Dを有する場合 コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合に
は、コントローラ装置の計算および比較手段は、コミットメントR、チャレンジ
d、応答Dが、以下のタイプの関係式を、 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式を R≡Dv/G1 d1.G2 d2....Gm dm.mod n 満たすことを認証する。 そして、コントローラ装置の計算および比較手段は、メッセージM、チャレン
ジd、コミットメントRが、以下のハッシュ関数 d = h(M,R) を満たすことを認証する。
【0066】 ・コントローラが、チャレンジdおよび応答Dを有する場合 コントローラ装置がチャレンジdおよび応答Dを有する場合には、コントロー
ラ装置の計算手段は、各チャレンジdおよび各応答Dから、以下のタイプの関係
式を、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式を R’≡Dv/G1 d1.G2 d2....Gm dm.mod n 満たすコミットメントR’を計算する。 そして、コントローラ装置の計算および比較手段は、メッセージMとチャレン
ジdが、以下のハッシュ関数を満たすことを認証する。 d = h(M,R’)
【0067】 ・コントローラがコミットメントRと応答Dを有する場合 コントローラ装置がコミットメントRと応答Dを有する場合には、コントロー
ラ装置の計算手段は、ハッシュ関数を適用し、以下の d’= h(M,R) ようなd’を計算する。 そして、コントローラ装置の計算および比較手段は、コミットメントR、チャ
レンジd’、応答Dが、以下のタイプの関係式 R’≡G1 d'1.G2 d'2....Gm d'm.Dvmod n または以下のタイプの関係式 R’≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n を満たすことを認証する。
【0068】 (最初に秘密値Qが選択され、秘密値Qから公開値Gが推論される場合) 場合によっては、秘密値Qと公開値Gの対の発生を容易にするために、最初に
秘密値Qを選択し、その秘密値Qから公開値Gが推論される。とりわけその場合
には、本発明による方法は、秘密値Q1の成分Qi,1、Qi,1、…Qi,fが、前記の
素因数piの各々について1つの成分Qi,j(Qi,j=Q1mod pj)の割合で
、ランダムに引出された数である。前記の秘密値Q1は、チャイニーズ剰余法に
よって、前記成分Qi,1、Qi,1、…Qi,fから計算することができる。前記の公
開値Giは、以下のタイプの演算を行うことによって、 Gi, j≡Qi, j v mod pj さらに、以下の Gi.Qi v≡1.mod n または Gi≡Qi vmod n ようなGiを確立するためのチャイニーズ剰余法を適用することによって、 計算される。
【0069】 このようにして、piの各々についてのGi,jの各々を計算するために実行され
るモジュロpi算術演算数は、演算がnモジュロで実行される場合に比べると小
さくなる。 その場合、有利にも、本発明による方法は、認証の公開指数vが素数であるよ
うなものである。機密保護は、秘密値Qiの知識と等価であることが証明される
【0070】 (最初に公開値Gを選択し、その公開値Gから秘密値Qが推論される場合) その場合、好ましくは、前記の指数vは、以下のようになる。 v=2k ここで、kは1より大きな機密保護パラメータである。前記の公開値Giは、
f個の素因数p1、p2、…pfより小さな基数giの平方gi 2である。基数gi
、以下の2つの方程式、 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、以下の方程式が xv≡gi 2mod n が、モジュロnの(nを法として)整数環のxについて解くことができるような
ものである。
【0071】 (端末装置) GQ系列に適用されるチャイニーズ剰余法 本発明はまた、エンティティに結びついた端末装置に関するものである。端末
装置は、たとえばマイクロプロセッサ型バンクカードの形でノマッドオブジェク
トの形を有する。端末装置は、コントローラ装置に対して、 エンティティの真正性および/または、 そのエンティティに結びついたメッセージMの完全性 を証明するためのものである。
【0072】 この証明は、以下のパラメータのすべてまたは一部、あるいはその導関数によ
って確立される。 秘密値Q1、Q2、…Qmおよび公開値G1、G2、…Gmのm個の対(mは1以上
である)と、 f個の素因数p1、p2、…pfの積によって構成される公開係数n(fは2以
上である)と、 公開指数vとであり、 前記係数、前記指数および前記の値は、以下のタイプの関係式 Gi.Qi v≡1.mod n または Gi≡Qi vmod n によって結び付けられる。
【0073】 前記端末装置は、証人装置を有し、その証人装置は、f個の素因数piおよび
/または素因数のチャイニーズ剰余および/または公開係数nのパラメータおよ
び/またはm個の秘密値Qiおよび/または秘密値Qiおよび公開指数vのf.m
個の成分Qi,j(Qi,j=Q1mod pj)を含むメモリゾーンを有する。証人装
置はまた、 証人装置のランダム値発生手段と呼ばれるランダム値発生手段と、 証人装置のコミットメントRの計算手段と呼ばれる計算手段と を有し、 これら計算手段は、モジュロnの整数環の中でコミットメントRを計算すること
を可能にする。各コミットメントは、以下のタイプの演算 Ri ≡ri v mod pi を行い、そして、チャイニーズ剰余法を適用することによって、計算される。 ここで、riは、0<ri<piのような素数に結びつくランダムな値であり、各
iは、ランダム値発生手段によって発生したランダムな値{r1、r2、…rf
の集まりに属する。
【0074】 証人装置はまた、 1以上のチャレンジdを受取るために、以下、証人装置のチャレンジdの受取
り手段と呼ばれる受取り手段、各チャレンジdは、以下、基本的チャレンジdと
呼ばれる、m個の整数diを有する。 次のタイプの演算 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi を行い、そして、チャイニーズ剰余法を適用することによって、各チャレンジd
から応答Dを計算するために、証人装置の応答Dの計算手段と呼ばれる計算手段
と を含む。
【0075】 このようにして、piの各々について応答Diの各々を計算するために実行され
るモジュロpi算術演算数は、モジュロnで演算が行われる場合に比べて小さく
なる。
【0076】 証人装置はまた、1以上のコミットメントRおよび1以上の応答Dを伝達するた
めの伝達手段を有する。チャレンジdやコミットメントRと同じ数の応答Dが存
在する。各グループの数R、d、Dは、{R、d、D}と記される3つ組を構成
する。
【0077】 (エンティティの真正性の証明の場合) 第一の変形実施形態においては、本発明による端末装置は、コントローラと呼
ばれるエンティティに対して、デモンストレータと呼ばれるエンティティの真正
性を証明するためのものである。
【0078】 前記端末装置は、デモンストレータ・エンティティに結びついたデモンストレ
ータ装置を有するようなものである。前記のデモンストレータ装置は、相互接続
手段によって証人装置に相互接続される。それは、たとえば、マイクロプロセッ
サ型バンクカード内でマイクロプロセッサの形を有するノマッドオブジェクトの
中で論理マイクロ回路の形を有することができる。
【0079】 前記デモンストレータ装置はまた、情報処理通信網を介して、特に、電気的に
、電磁気的に、光学的に、または音声として、コントローラ・エンティティに結
びついたコントローラ装置に、接続するための接続手段を有する。前記コントロ
ーラ装置は、特に端末または遠隔サーバの形を有する。
【0080】 前記端末装置は、以下のステップを実行することを可能にする。 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人装置のコミットメントRの計算手段は、以上に特定し
たプロセスを適用することによって、各コミットメントRを計算する。 証人装置は、相互接続手段を介して、デモンストレータ装置に、各コミットメ
ントRの全体または一部を伝達するために、以下、証人装置の伝達手段と呼ばれ
る、伝達手段を有する。デモンストレータ装置はまた、接続手段を介して、コン
トローラ装置に各コミットメントRの全体または一部を伝達するために、以下、
デモンストレータ装置の伝達手段と呼ばれる伝達手段を有する。
【0081】 ・ステップ2および3のチャレンジ行為dおよび応答行為D 証人装置のチャレンジdの受取り装置は、コントローラ装置とデモンストレー
タ装置との間の接続手段を介して、さらにデモンストレータ装置と証人装置との
間の相互接続手段を介して、コントローラ装置から生じた各チャレンジdを受取
る。証人装置の応答Dの計算手段は、以上に特定したプロセスを適用しながら、
チャレンジdから応答Dを計算する。
【0082】 ・ステップ4のチェック行為において デモンストレータの伝達装置は、チェックを行うコントローラ装置に各応答D
を伝達する。
【0083】 (メッセージの完全性の証明の場合) 他の変形形態と組み合わせることができる第二の変形実施形態においては、本
発明による端末装置は、コントローラと呼ばれるエンティティに対して、デモン
ストレータと呼ばれるエンティティに結びついたメッセージMの完全性を証明す
るためのものである。端末装置は、デモンストレータ・エンティティに結びつい
たデモンストレータ装置を有するようなものである。前記のデモンストレータ装
置は、相互接続手段によって証人装置に相互接続される。それは、たとえばマイ
クロプロセッサ型バンクカード内でマイクロプロセッサの形を有するノマッドオ
ブジェクトの中で論理マイクロ回路の形を有することができる。前記のデモンス
トレータ装置は、特に、情報処理通信網を介して、電気的、電磁的、光学的に、
または音声として、コントローラ・エンティティに結びついたコントローラ装置
に接続するための接続手段を有する。前記のコントローラ装置は特に、遠隔サー
バまたは端末の形を有する。
【0084】 前記の端末装置は以下のステップを実行することができる。 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人装置のコミットメントRの計算手段は、上記に特定し
たプロセスを適用することによって、各コミットメントRを計算する。証人装置
は、相互接続手段を介して、デモンストレータ装置に対して各コミットメントR
の全体または一部を伝達するために、以下、証人装置の伝達手段と呼ばれる伝達
手段を有する。
【0085】 ・ステップ2および3のチャレンジ行為dおよび応答行為 デモンストレータ装置は、少なくとも1つのトークンTを計算するために、引
数としてメッセージMと各コミットメントRの全体または一部を有するハッシュ
関数を適用する、以下、デモンストレータ装置の計算手段と呼ばれる計算手段を
有する。デモンストレータ装置はまた、接続手段を介して、コントローラ装置に
対して、各トークンTを伝達するために、以下、デモンストレータの伝達手段と
呼ばれる伝達手段を有する。
【0086】 前記のコントローラ装置はまた、トークンTを受取った後に、コミットメント
Rと同じ数のチャレンジdを発生する。 証人装置のチャレンジdの受取り手段は、デモンストレータ装置と証人装置と
の間の相互接続手段を介して、デモンストレータ装置から生じる各チャレンジを
受取る。証人装置の応答Dの計算手段は、上記に特定したプロセスを適用するこ
とによって、チャレンジdから応答Dを計算する。
【0087】 ・ステップ4のチェック行為において デモンストレータの伝達装置は、チェックを行うコントローラ装置に各応答D
を伝達する。
【0088】 (メッセージのデジタル署名およびその真正性の証明) 署名オペレーション 他の変形形態と組み合わせることができる第三の実施変形形態においては、本
発明による端末装置は、署名エンティティと呼ばれるエンティティによって、以
下、署名されたメッセージと呼ばれるメッセージMのデジタル署名を生じるため
のものである。 署名されたメッセージは、 メッセージMと、 チャレンジdおよびまたはコミットメントRと、 応答Dと を含む。
【0089】 前記の端末装置は、署名エンティティに結びつく署名装置を有するようなもの
である。前記署名装置は、相互接続手段によって証人装置に相互接続される。特
に、たとえば、マイクロプロセッサ型バンクカード内のマイクロプロセッサの形
状を有するノマッドオブジェクトの中で論理マイクロ回路の形状を有することが
できる。前記の署名装置は、特に、情報処理通信網を介して、電気的、電磁的、
光学的にまたは音声として、コントローラ・エンティティに結びついたコントロ
ーラ装置に接続するための接続手段を有する。前記のコントローラ装置は特に、
遠隔サーバまたは端末の形を有する。
【0090】 前記の端末装置は、以下のステップを実行することができる。 ・ステップ1のコミットメント行為Rにおいて 呼び出しのたびに、証人装置のコミットメントRの計算手段は、以上に特定さ
れたプロセスを適用することによって、各コミットメントRを計算する。証人装
置は、相互接続手段を介して、各コミットメントRの全体または一部を署名装置
に伝達するために、以下、証人装置の伝達手段と呼ばれる伝達手段を有する。
【0091】 ・ステップ2のチャレンジ行為dにおいて 署名装置は、バイナリトレインを計算し、そのトレインから、コミットメント
Rと同じ数のチャレンジdを抽出するために、引数としてメッセージMと各コミ
ットメントRの全体または一部を有するハッシュ関数hを適用する、以下、署名
装置の計算手段と呼ばれる計算手段を有する。
【0092】 ・ステップ3の応答行為Dにおいて チャレンジdの受取り手段は、相互接続手段を介して、署名装置から生じる各
チャレンジdを受取る。証人装置の応答Dの計算手段は、以上に特定したプロセ
スを適用しながら、チャレンジdから応答Dを計算する。証人装置は、相互接続
手段を介して、署名装置に応答Dを伝達するために、以下、証人装置の伝達手段
と呼ばれる伝達装置を有する。
【0093】 (コントローラ装置) GQ系列全体に適用されるチャイニーズ剰余法 本発明はまた、コントローラ装置に関するものである。コントローラ装置は、
特に、コントローラ・エンティティに結びついた端末または遠隔サーバの形を有
することができる。コントローラ装置は、コントローラ・サーバに対して、エン
ティティの真正性および/または、そのエンティティに結びついたメッセージM
の完全性を証明するためのものである。
【0094】 この証明は、以下のパラメータ全体または一部、あるいはその導関数を用いて
行なわれる。 秘密値Q1、Q2、…Qmおよび公開値G1、G2、…Gmのm個の対(mは1以上
である)と、 f個の素因数p1、p2、…pfの積によって構成される公開係数n(fは2以
上である)と、 公開指数vとである。
【0095】 前記係数、前記指数、前記の値は、以下のタイプの関係式によって結び付けら
れる。 Gi.Qi v≡1.mod n または Gi≡Qi vmod n ここにおいて、Q1は、公開値Giに結びついた、コントローラ装置の未知の秘
密値を示している。
【0096】 (エンティティの真正性の証明の場合) 他の実施形態と組み合わせることができる、第一の変形実施形態においては、
本発明によるコントローラ装置は、コントローラと呼ばれるエンティティに対し
て、デモンストレータと呼ばれるエンティティの真正性を証明するためのもので
ある。
【0097】 前記のコントローラ装置は、情報処理通信網を介して、特に、電気的に、電磁
気的に、光学的にまたは音声として、デモンストレータ・エンティティに結びつ
いたデモンストレータ装置に接続するための接続手段を有する。
【0098】 前記コントローラ装置は以下のステップを実行することを可能にする。 ・ステップ1および2のコミットメント行為Rおよびチャレンジ行為 前記のコントローラ装置はまた、接続手段を介して、デモンストレータ装置か
ら生じるコミットメントRの全体または一部の受取り手段を有する。 コントローラ装置は、各コミットメントRの全体または一部を受取った後に、
コミットメントRと同じ数のチャレンジdを生じるための発生手段を有し、各チ
ャレンジdは、基本的チャレンジdと呼ばれる、m個の整数diを有する。 コントローラ装置はまた、接続手段を介して、デモンストレータにチャレンジ
dを伝達するために、以下、コントローラ装置の伝達手段と呼ばれる伝達手段を
有する。
【0099】 ・ステップ3および4の応答行為およびチェック行為 コントローラ装置はまた、 接続手段を介して、デモンストレータ装置から発生する応答Dを受取る手段と
、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む。
【0100】 (第一の場合:デモンストレータが、各コミットメントRの一部を伝達した場
合) コントローラ装置の受取り手段が、各コミットメントRの一部を受取った場合
には、コントローラ装置の計算手段は、m個の公開値G1、G2、…Gmを有する
ことによって、各チャレンジdおよび各応答Dから、以下のタイプの関係式 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす再構築されたコミットメントR’を計算する。 コントローラ装置の比較手段は、受取った各コミットメントRの全体または一
部と再構築された各コミットメントR’を比較する。
【0101】 (第二の場合:デモンストレータが、各コミットメントRの完全性を伝達した
場合) コントローラ装置の受取り手段が、各コミットメントRの完全性を受取った場
合には、コントローラ装置の計算手段および比較手段は、m個の公開値G1、G2 、…Gmを有することによって、各コミットメントRが、以下のタイプの関係式 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを認証する。
【0102】 (メッセージの完全性の証明の場合) 他の実施形態と組み合わせることができる第二の変形実施形態においては、本
発明によるコントローラ装置は、デモンストレータと呼ばれるエンティティに結
びついたメッセージMの完全性を証明するためのものである。 前記のコントローラ装置は、特に情報処理通信網を介して、デモンストレータ
・エンティティに結びついたデモンストレータ装置に、電気的、電磁的、光学的
にまたは音声として、接続するための接続手段を有する。
【0103】 前記のコントローラ装置は、以下のステップを実行することができる。 ・ステップ1および2のコミットメント行為Rおよびチャレンジ行為 前記のコントローラ装置はまた、接続手段を介して、デモンストレータ装置か
ら発生するトークンTの受取り手段を有する。コントローラ装置はまた、トーク
ンTを受取った後に、コミットメントRと同じ数のチャレンジを発生するための
チャレンジ発生手段を有し、各チャレンジdは、以下、基本的チャレンジdと呼
ばれる、m個の整数を有する。コントローラ装置はまた、接続手段を介して、デ
モンストレータにチャレンジdを伝達するために、以下、コントローラ装置の伝
達手段と呼ばれる、伝達手段を有する。
【0104】 ・ステップ3および4の応答行為Dおよびチェック行為 コントローラ装置は、接続手段を介して、デモンストレータ装置から発生する
応答Dの受取り手段を有する。コントローラ装置はまた、m個の公開値G1、G2 、…Gmを自由に使用し、まず、各チャレンジdおよび各応答Dから、以下のタ
イプの関係式 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たす再構築されたコミットメントR’を計算し、 そして、次に、引数としてメッセージMと再構築された各コミットメントR’と
を有するハッシュ関数hを適用することによって、トークンT’を計算するため
の、以下、コントローラ装置の計算手段と呼ばれる計算手段を有する。 コントローラ装置はまた、トークンT’と受取ったトークンTとを比較するた
めに、以下、コントローラ装置の比較手段と呼ばれる比較手段を有する。
【0105】 (メッセージのデジタル署名およびその真正性の証明) 他の変形形態と組み合わせることができる第三の実施変形形態においては、本
発明によるコントローラ装置は、以下、コントローラ・エンティティと呼ばれる
エンティティによって、署名されたメッセージをチェックすることによって、メ
ッセージMの真正性を証明するためのものである。
【0106】 ハッシュ関数h(M、R)を有する、署名エンティティに結びついた署名装置
によって発生した署名されたメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む。
【0107】 前記コントローラ装置は、電気的、電磁的、光学的にまたは音声として、特に
情報処理通信網を介して、署名エンティティに結びつく署名装置に接続するため
の接続手段を有する。前記コントローラ装置は、接続手段を介して、署名装置の
署名されたメッセージを受取る。 コントローラ装置は、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む。
【0108】 ・コントローラが、コミットメントR、チャレンジd、応答Dを有する場合 コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合に
は、コントローラ装置の計算および比較手段は、コミットメントR、チャレンジ
d、応答Dが、以下のタイプの関係式 R≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式 R≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすことを認証する。 そして、コントローラ装置の計算および比較手段は、メッセージM、チャレン
ジd、コミットメントRが、以下のハッシュ関数を満たすことを認証する。 d = h(M,R)
【0109】 ・コントローラが、チャレンジdおよび応答Dを有する場合 コントローラ装置がチャレンジdおよび応答Dを有する場合には、コントロー
ラ装置の計算手段は、各チャレンジdおよび各応答Dから、以下のタイプの関係
式 R’≡G1 d1.G2 d2....Gm dm.Dvmod n または、以下のタイプの関係式 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n を満たすコミットメントR’を計算する。 そして、コントローラ装置の計算および比較手段は、メッセージMとチャレン
ジdが、以下のハッシュ関数 d = h(M,R’) を満たすことを認証する。
【0110】 ・コントローラがコミットメントRと応答Dを有する場合 コントローラ装置が、コミットメントRと応答Dを有する場合には、コントロ
ーラ装置の計算手段は、ハッシュ関数を適用し、以下の d’ = h(M,R) ようなd’を計算する。 そして、コントローラ装置の計算および比較手段は、コミットメントR、チャ
レンジd’、応答Dが、以下のタイプの関係式 R≡G1 d'1.G2 d'2....Gm d'm.Dvmod n または以下のタイプの関係式 R≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n を満たすことを認証する。 [公開指数v=2kの場合の変形実施形態の詳細な説明]
【0111】 (説明) GQ技術の目的を思い起そう。エンティティと、結びついたメッセージとの動
的な真正性、そしてメッセージのデジタル署名である。 従来のCQ技術は、RSA技術に頼っている。しかし、RSA技術は、まさし
く係数nの因数分解に依存しているとしても、その依存は等価のものではなく、
それどころか、RSA技術を利用するデジタル署名のさまざまな規格に対する「
乗法」と呼ばれるアプローチが示しているように、正反対である。
【0112】 GQ2技術の枠組みにおいては、発明のこの部分は、より厳密には、動的な真
正性とデジタル署名の枠組みの中でGQ2の鍵の集合の使用に関するものである
。GQ2技術はRSA技術に頼らない。その目的は二つある。一つは、RSA技
術に対して性能を改善することであり、二つめは、RSA技術に固有の問題を防
ぐことである。秘密鍵GQ2は、係数nの因数分解である。GQ2の3つ組のレ
ベルにおけるあらゆるアプローチは、係数nの因数分解に帰着し、この場合には
等価である。GQ2技術では、チェックするエンティティについてと同様に、サ
インするまたは認証されるエンティティについても、作業量が小さくなる。機密
保護においても性能においても、因数分解の問題をできるだけ解決することによ
って、GQ2技術はRSA技術と競えるものである。
【0113】 GQ2技術は、1より大きい1以上の小さな整数、すなわちgiで記される≪基
数≫と呼ばれるm個の小さな整数(m≧1)を使用する。基数は、m≧1の場合
には、g1からgmと定められ、認証用の公開鍵<v、n>は、以下のように選択さ
れる。認証用の公開指数vは2kであり、ここで、kは、1より大きい整数であ
る(k≧2)。公開係数nは、基数より大きな少なくとも2つの素因数の積、す
なわち、pjと記されるf個の素因数p1…pf(f≧2)の積である。f個の素
因数は、公開係数nが、g1からgmのm個の基数の各々に対して、以下の特性を
有するように選択される。 一方では、方程式(数1)および(数2)が、モジュロnの整数環の中でxに
ついて解を持たない、すなわち、giおよびgiが2つの非平方剰余である(mo
d n)。
【数1】
【数2】
【数3】 他方、方程式(数3)は、モジュロnの(nを法とする)整数環の中でxにお
いて解をもつ。
【0114】 認証用の公開鍵<v、n>は、m≧1の場合、基数 g1からgmにしたがって定
められることから、各基数giは、公開鍵Giと秘密鍵Qiを有する値の対を決定
する。すなわち、GiiからGmmと記されたm個の対である。公開値Giは、
基数giの平方である。すなわち、Gi=i 2となる。秘密値Qiは、方程式(数
3)の解の一つ、あるはまたそのような解の逆数(mod n)である。
【0115】 係数nが、f個の素因数に分解されるのと同様に、nを法とする整数環は、C
G(p1)からCG(pf)までのf個のガロア体(Galois field)に分解される
。以下は、CG(pj)における方程式(数1)、(数2)、(数3)の射影で
ある。
【数4】
【数5】
【数6】
【0116】 各秘密値Qiは、素因数ごとに一つの割合のf個の秘密成分によって表わすこ
とができる。すなわちQij =Qi(mod pj)となる。各秘密成分Qijは、
方程式(数6)の解であるか、またはそのような解の逆数(mod pj)であ
る。各方程式(数6)に可能なあらゆる解が計算された後には、チャイニーズ剰
余技術によって、QiからQifのf個の成分から、各秘密値Qiについて可能なあ
らゆる価をつくりだすことができる。すなわち、方程式(数3)に可能なあらゆ
る解を得ることができるようにQi=チャイニーズ剰余(Qi,1、Qi,2…Qi,f
となる。
【0117】 チャイニーズ剰余の技術(Chinese remainders technique)は、以下の通りで
ある。すなわち、0<a<bとなるようなaとbとの間の2つの正の素整数を考
え、2つの成分を、0からa−1までのXaと、0からb−1までのXbとする。
ここで、X=チャイニーズ剰余(Xa、Xb)が問題となる。すなわち、Xa=X
(mod a)およびXb=X(mod b)となるような、0からa.b−1
までの単一数Xである。チャイニーズ剰余のパラメータは,以下のようになる。
α={b(mod a)}―1(mod a)。さらに,チャイニーズ剰余の演
算は以下のようになる。ε= Xb(mod a);δ=Xa−ε。ここでδが負
である場合には、δはδ+aに置き換えられ、γ=a.δ(mod a)、X=
γ.b+Xbとなる。
【0118】 素因数が、最小のp1から最大のpfに向けて増加する順に並んでいる場合には
、チャイニーズ剰余のパラメータは以下のようになることができる(f−1個、
すなわち、素因数より1つ少ないパラメータが存在する)。チャイニーズ剰余の
第一のパラメータは、α={ p2(mod p1)}-1(mod p1)となる
。チャイニーズ剰余の第2のパラメータは、β={ p1・p2(mod p1・p2 )}-1(mod p3)となる。また、チャイニーズ剰余のi番めのパラメータ
は、λ={ p1・p2…pi#1(modpi)}-1(mod pi)となる。以下、
同じように続いていく。次に、チャイニーズ剰余のf―1個の演算においては、
第一のパラメータによって第一の結果(mod p2× p1)が得られ、次に第
二のパラメータによって第二の結果(mod p1・p2× p3)が得られ、以下
、結果(p1… pf#1× pf)まで、すなわち、(mod n)まで、同じよ
うに続いていく。
【0119】 秘密鍵GQ2の複数の可能な写像が存在するが、それは、秘密鍵GQ2の同質
異像を意味する。さまざまな写像が等価であることが明らかである。それらはす
べて、真の秘密鍵GQ2である係数nの因数分解の知識に帰着するからである。
写像が、サインする、または認証されるエンティティの行動をきちんと表してい
るものであるとしても、チェックするエンティティの行動を表しているわけでは
ない。
【0120】 ここに、秘密鍵GQ2の考えられる3つの主要な写像が存在する。 1)GQ技術による従来の写像は、m個の秘密鍵Qiと認証用の公開鍵〈v、
n〉とを保存することからなる。技術GQ2においては、この写像は、以下の2
つと競争する。2)作業量という意味における最適写像は、公開指数vと、素因
数pjと、m.f個の秘密成分Qi.jと、f−1個のチャイニーズ剰余のパラメー
タとを保存することからなる。3)秘密鍵のサイズという意味における最適写像
は、公開指数vと、m個の基数giと、f個の素因数pjとを保存し、第一の写像
に帰着するためのm個の秘密値Qiと係数n、あるいはまた、第二の写像に帰着
するためのm.f個の秘密成分Qi.jとf−1個のチャイニーズ剰余のパラメー
タを確立することによって各使用を開始することからなる。
【0121】 サインするまたは認証されるエンティティは、すべて、同じ基数を使用するこ
とができる。そうして、反対の記載がない限り、g1からgmのm個の基数は、有
利にも、m個の最初の素数とすることができる。
【0122】 動的な認証またはデジタル署名のメカニズムの機密保護が、係数の分解の知識
と等価であることから、GQ2技術は、同一係数を使用する2つのエンティティ
を単純に区別することができない。一般に、認証されるまたはサインする各エン
ティティは、その固有の係数GQ2を有する。ただし、2つの素因数はあるエン
ティティによって知られ、残りの2つの素因数は他のエンティティによって知ら
れているような4つの素因数を有する係数GQ2を特定することができる。
【0123】 k=6、つまりv=64で、m=3、つまり3つの基数g1=3、g2=5、g 3 =7で、f=3、つまり3つの素因数:3に合同な2つの数(mod 4)と
、5に合同な1つの数(mod 8)を有する係数をもつような、第一の鍵の集
合GQ2は、以下の通りである。ここで、g=2は、5に合同な素因数(mod
8)とは両立しない点に留意しよう。
【表1】 k=9、つまりv=512で、m=2、つまり2つの基数g1=2およびg2
3で、f=3、つまり3つの素因数3に合同な3の数(mod 4)を有する係
数をもつような第二の鍵の集合GQ2は、以下の通りである。
【表2】
【0124】 (動的な認証) 動的な認証メカニズムは、コントローラと呼ばれるエンティティに、デモンス
トレータと呼ばれる他のエンティティの真正性と、場合によっては結びついたメ
ッセージMの真正性を証明し、その結果、コントローラが、デモンストレータが
問題になっており、場合によっては、コントローラとデモンストレータが同じメ
ッセージMについて話していることを確認するためのものである。関連メッセー
ジMは選択でき、そのことは空である場合もあることを意味する。
【0125】 動的な認証メカニズムは、4つの行為であるコミットメント行為と、チャレン
ジ行為と、応答行為と、チェック行為とのシーケンスである。デモンストレータ
は、コミットメント行為と応答行為を果たす。コントローラはチャレンジ行為と
チェック行為を行う。
【0126】 デモンストレータの内部では、デモンストレータの最も敏感なパラメータおよ
び関数、すなわち、コミットメントおよび応答の発生を隔離できるように、証人
を隔離することができる。証人は、パラメータkと秘密鍵GQ2を、すなわち、
以下のように表わされる3つの写像のいずれか1つにしたがった係数nの素因数
分解を自由に使用することができる。つまり、・f個の素因数およびm個の基数
か、・m.f個の秘密成分か、f個の素因数およびf−1個のチャイニーズ剰余
のパラメータか、・秘密値と係数nかである。
【0127】 証人は、独自の実施形態、たとえば、・ともにデモンストレータを形成するP
Cに接続されたチップカード、あるいはまた・PC内部で特別に保護されたプロ
グラム、あるいはまた・チップカード内部で特別に保護されたプログラムに対応
することができる。このように隔離された証人は、署名者の内部で、以下に定義
された証人に類似している。メカニズムを実行するたびに、証人は、1以上のコ
ミットメントR、さらに同数の応答Dと同数のチャレンジdを発生する。各集合
{R,d、D}は3つ組GQ2を構成する。
【0128】 証人を有するのに加えて、デモンストレータはまた、場合によっては、ハッシ
ュ関数とメッセージMを有する。
【0129】 コントローラは、係数nとパラメータkおよびmを有する。場合によっては、
コントローラはまた、同一ハッシュ関数とメッセージM’を有する。コントロー
ラは、何らかのチャレンジdと何らかの応答Dから、コミットメントR’を再構
築することができる。パラメータkおよびmは、コントローラに情報を与える。
反対の記載がない限り、g1からgmのm個の基数は、m個の最初の素数である。
各チャレンジdは、基数ごとに1つずつ、d1からdmを記されたm個の基本的チ
ャレンジをもたなければならない。各基本的チャレンジd1からdmは、0から2 k-1 −1の値をとらなければならない(v/2からv−1の値は使用されない)
。通常、各チャレンジは、(m×kビットではなくて)m×k−1ビットによっ
て符号化される。たとえば、k=6およびm=3、さらに基数3、5、7とする
と、各チャレンジは、2つのオクテットに伝達された15ビットを有する;また
k=9、m=2、さらに基数2および3とすると、各チャレンジは2つのオクテ
ットに伝達された16ビットを有する。(k−1).m個の可能なチャレンジが
また推定される場合には、値(k−1).mは、各3つ組みGQ2によってもた
らされる機密保護を決定する。定義上、係数nの因数分解を知らない詐称者は、
正しく2(k1).mにおいて成功のチャンスを有する。(k−1).mが、15か
ら20となる場合には、3つ組みは、当然のこととして動的な真正性を確保する
のに十分である。何らかの機密保護レベルに達するために、平行な3つ組を発生
することができる。さらに、それをシーケンスで発生させる、すなわち、メカニ
ズムの実行を繰り返すことができる。
【0130】 1)コミットメント行為は、以下の演算を含む。 証人が、QiからQmのm個の秘密値と係数nを有すると、ランダムに、秘密値
に、1以上のランダム値r(0<r<n>を引出す。次に、平方での連続するk
個の累乗(mod n)によって、各ランダム値rを各コミットメントRに変え
る。 R≡r((mod n) 以下は、k=6の場合の第一の鍵の集合の一例である。
【表3】 証人が、piからpfのf個の素因数およびm.f個の秘密成分Qifを有すると
きには、ランダムに、秘密値に、1以上のf個のランダム値の集まりを引出す。
各集まりは、素因数piごとに1つのランダム値ri(0<ri<pi)を有する。
次に、平方での連続するk個の累乗(mod pi)によって、各ランダム値ri を各コミットメントRiに変える。 Ri≡ri((mod ni) 以下は、k=9の場合の第二の鍵の集合による一例である。
【表4】 f個のコミットメント成分の各集まりのために、証人は、チャイニーズ剰余技
術によってコミットメントを確立する。ランダム値の集まりと同数のコミットメ
ントが存在する。 R=チャイニーズ剰余(R1、R2、…Rf)となる。
【表5】 いずれの場合にも、デモンストレータはコントローラに対して、各コミットメ
ントRの全体または一部、あるいはまた、各コミットメントRおよびメッセージ
Mをハッシュすることによって得られるハッシュコードHを伝達する。
【0131】 2)チャレンジ行為は、各々が、m個の基本的チャレンジd12…dmで構成
される1以上のdをランダムに引出すことからなる。各基本的チャレンジdiは、
0からv/2−1の値のいずれかをとる。 d=d1,d2,...,dm 以下は、k=6およびm=3の場合の第一の鍵の集合についての一例である。
【表6】 以下は、k=9およびm=2の場合の第二の鍵の集合についての一例である。
【表7】 コントローラは、デモンストレータに各チャレンジdを伝達する。
【0132】 3)応答行為は以下の演算を含む。 証人は、Q1からQmのm個の秘密値と係数nを有すると、コミットメント行為
の各ランダム値rを使用することによって1以上の応答Dと、基本的チャレンジ
による秘密値を計算する。 X≡Q1 d1.Q2 d2…Qm dm(mod n) D≡r.X(mod n) 以下は、第一の鍵の集合のための一例である。
【表8】 証人が、piからpfのf個の素因数およびm.f個の秘密成分Qijを有すると
、コミットメント行為の各ランダム値の集まりを使用することによって、f個の
応答成分の1以上の集まりを計算する。各応答成分の集まりは、素因数ごとに1
つの成分を有する。 Xi≡Q1 d1.Q2 d2…Qm dmi(mod pi) Di≡ri.Xi(mod p1) 以下は、第二の鍵の集合の一例である。
【表9】 応答成分の各集まりについて、証人は、チャイニーズ剰余の技術に応じて応答
を確立する。チャレンジと同数の応答が存在する。 D=チャイニーズ剰余(D1、D2、…Df)となる。
【表10】 いずれの場合にも、デモンストレータは、コントローラに対して各応答Dを伝達
する。
【0133】 4)チェック行為は、各3つ組{R,d,D}が、ゼロでない値についての以
下のタイプの方程式を認証することをチェックすることからなる。
【数7】 あるいはまた、各コミットメントを再構築することからなる。どれもゼロにな
ってはいけない。
【数8】 そして、場合によっては、コントローラは、再構築された各コミットメントR
’とメッセージM’をハッシュすることによって、ハッシュコードH’を計算す
る。このようにして、コントローラが、コミットメント行為の結果として受取っ
たもの、すなわち各コミットメントRの全体または一部、あるいはまたハッシュ
コードHを再び見つける場合には、動的な認証は成功する。
【0134】 たとえば、基本演算のシーケンスは、応答DをコミットメントR’に変換する
。シーケンスは、基数による乗法またはk−1の除法(mod n)によって分
離されたk個の平方(mod n)を含む。i番めの平方とi+1番めの平方と
の間で行なわれるi番めの除法または乗法にとっては、基本的チャレンジd1
i番めのビットが、g1を使用しなければならないかどうかを示し、基本的チャ
レンジd2のi番めのビットがg2を使用しなければならないかどうかを示し、g m を使用しなければならないかどうかを示す基本的チャレンジのi番目のビット
mまで続けられる。 以下は、第一の鍵の集合のための一例である。
【表11】 ヘキサにおける指数=FDD736B666F41FB771776D9D5
0DB7CDF03F3D976471B25C56D3AF07BE692C
B1FE4EE70FA77032BECD8411B813B4C21210
C6B0449CC4292E5DD2BDB00828AF18の場合には、
44.514.74.D64(mod n)、すなわち、32C.5E.74.D40(m
od n)となる。 まさしくコミットメントRが見つけられる。認証は成功した。
【0135】 以下は、第二の鍵の集合のための一例である。
【表12】
【表13】 まさしくコミットメントRが見つけられる。認証は成功した。
【0136】 (デジタル署名) デジタル署名によって、署名と呼ばれるエンティティは、署名されたメッセー
ジを発生し、コントローラと呼ばれるエンティティが、署名されたメッセージを
認証する。メッセージMは、何らかのバイナリシーケンスである。空である場合
もある。メッセージMは、それ自体のなかに、1以上のコミットメントおよび/
またはチャレンジを有する署名の付属物、さらには対応する応答を付加すること
によって署名される。
【0137】 コントローラは同じハッシュ関数、パラメータkおよびm、係数nを有する。
パラメータkおよびmは、コントローラに情報を与える。一方では、d1からdm の各基本的チャレンジは、0から2k1−1の値をとらなければならない(v/
2からv−1の値は使用されない)。他方、各チャレンジdは、基数と同じ数だ
け、d1からdm と記されたm個の基本的チャレンジを有していなければならな
い。さらに、反対の記載がない限り、g1からgmのm個の基数は、m個の最初の
素数である。(k−1).mが15から20であるとすると、平行に発生する4
つの3つ組GQ2によって署名することができる。(k−1).mが60以上で
あるとすると、ただ一つの3つ組GQ2によってサインすることができる。たと
えば、k=9およびm=8の場合には、ただ一つの3つ組GQ2だけで十分であ
る。各チャレンジは8つのオクテットを含み、基数は2、3、5、7、11、1
3、17、19である。 署名演算は、コミットメント行為と、チャレンジ行為と、応答行為との3つの
行為のシーケンスである。各行為は、各々、コミットメントR(≠0)、d1
2、…dmによって記される、m個の基本的チャレンジで構成されたチャレンジ
dおよび応答D(≠0)を含む1以上の3つ組を発生する。
【0138】 署名者は、ハッシュ関数、パラメータkおよび秘密鍵GQ2、すなわち上記に
特定した3つの写像のいずれかによる係数nの因数分解を有する。署名者の内部
では、デモンストレータの最も敏感なパラメータおよび関数を隔離できるように
、コミットメントおよび応答行為を実行する証人を隔離することができる。コミ
ットメントと応答を計算するために、証人は、パラメータkと秘密鍵GQ2、す
なわち、上述の3つの写像のいずれか1つにしたがって係数nの素因数分解を有
する。このようにして隔離された証人は、デモンストレータ内部に規定された証
人と類似している。それは、たとえば以下のような独自の実施形態に対応するこ
とができる。・ともにデモンストレータを形成するPCに接続されたチップカー
ド、あるいはまた・PC内部で特別に保護されたプログラム、あるいはまた・チ
ップカード内部で特別に保護されたプログラムである。
【0139】 1)コミットメント行為は以下の演算を含む。 証人が、Q1からQmのm個の秘密値と係数nを有すると、ランダムに、秘密に
、1以上のランダム値r(0<r<n)を引出す。次に、平方での連続するk個
の累乗(mod n)によって、各ランダム値rを各コミットメントRに変える
。 R≡r((mod n) 証人は、piからpfのf個の素因数およびm.f個の秘密成分Qijを有する場
合には、ランダムに、秘密に、1以上のf個のランダム値の集まりを引出す。各
集まりは、素因数piごとに一つのランダム値ri(0<ri<pi)を有する。次
に、平方での連続するk個の累乗(mod pi)によって、各ランダム値ri
各コミットメントRiに変える。 Ri≡ri((mod pi) f個のコミットメント成分の各集まりのために、証人は、チャイニーズ剰余技
術によってコミットメントを確立する。ランダム値の集まりと同数のコミットメ
ントが存在する。 R=チャイニーズ剰余(R1、R2、…Rf)となる。
【0140】 2)チャレンジ行為は、あらゆるコミットメントRとメッセージをハッシュし
、ハッシュコードを得るためにMを署名することからなり、そのハッシュコード
から、署名は、各々がm個の基本的チャレンジを有する1以上のチャレンジを形
成する。各基本的チャレンジは、0からv/2−1の値をとる。たとえば、k=
9およびm=8である場合、各チャレンジは、8つのオクテットを含む。コミッ
トメントと同じ数のチャレンジが存在する。 ハッシュの結果から抽出されたd=d1、d2、…dm(M,R)
【0141】 3)応答行為は以下の演算を含む。 証人は、Q1からQmのm個の秘密値と係数nを有すると、コミットメント行為
の各ランダム値rを使用することによって1以上の応答Dと、基本的チャレンジ
による秘密値を計算する。 X≡Q1 d1.Q2 d2…Qm dm(mod n) D≡r.Xi(mod n)
【0142】 証人が、piからpfのf個の素因数およびm.f個の秘密成分Qijを有すると
、コミットメント行為の各ランダム値の収集を使用することによって、f個の応
答成分の1以上の集まりを計算する。応答成分の各集まりは、素因数ごとに1つ
の成分を有する。 Xi≡Q1,i d1.Q2,i d2…Qm,i dm(mod pi) Di≡ri.Xi(mod pi) 応答成分の各集まりについて、証人は、チャイニーズ剰余の技術によって応答
を確立する。チャレンジと同数の応答が存在する。 D=チャイニーズ剰余(D1、D2、…Df)となる。
【0143】 署名者は、 各3つ組GQ2、すなわち各コミットメントR、各チャレンジdおよび各応答
Dと、 あるいはまた、各コミットメントRと対応する各応答Dか、 あるいはまた、各チャレンジdと対応する各応答Dか を含む署名の付録をそれ自体に付加することによって、メッセージMにサインす
る。
【0144】 認証演算の展開は、署名の付録の内容によって異なる。以下の3つの場合が区
別される。
【0145】 付録が1以上の3つ組を有する場合、チェックオペレーションは、時系列が無
関係である、独立した2つのプロセスを有する。コントローラは、以下の2つの
条件が満たされる場合には、また、満たされる場合にのみ、署名されたメッセー
ジを承認する。
【0146】 一方、各3つ組は一貫性があり(以下のタイプの適切な関係式が認証されなけ
ればならない)、受取り可能でなければならない(比較は、ゼロでない値におい
てなされなければならない)。
【数9】
【0147】 たとえば、基数によるk−1の乗法または除法(mod n)によって分離さ
れるk個の平方(mod n)といった、基本的演算のシーケンスによって応答
Dが変換される。i番めの平方とi+1番めの平方との間で行なわれるi番めの
除法または乗法にとっては、基本的チャレンジd1のi番めのビットがg1を使用
しなければならないかどうかを示し、基本的チャレンジd2のi番めのビットが
2を使用しなければならないかどうかを示し、それが、gmを使用しなければな
らないかどうかを示すi番めの基本ビットdmまで続けられる。このようにして
、署名の付録の中に存在する各コミットメントRを見つける必要がある。
【0148】 他方、1以上の3つ組が、メッセージMに結び付けられなければならない。あ
らゆるコミットメントRおよびメッセージMをハッシュしながら、ハッシュコー
ドが得られ、そこから各チャレンジdを見つけなければならない。 ハッシュの結果(M、R)から抽出された結果と同じd=d12……dm
【0149】 付録がチャレンジを含まない場合、チェックオペレーションは、あらゆるコミ
ットメントRとメッセージMとをハッシュしながら、1以上のチャレンジd’の
再構築から始められる。 ハッシュ(M、R)の結果から抽出されたd=d'1d'2……dm そして、コントローラは、各3つ組が、一貫性を持ち(以下のタイプの適切な
関係が認証される)、受取り可能である場合に(比較はゼロでない値について行
われる)、またその場合にのみ、署名されるメッセージを受理する。
【数10】
【0150】 付録がコミットメントを含まない場合には、チェックオペレーションは、適切
な再構築である、以下の2つの式のいずれかによる1以上のコミットメントR’
の再構築によって始められる。再構築されたいかなるコミットメントもゼロであ
ってはならない。
【数11】
【0151】 そして、各チャレンジdを再構築することができるように、あらゆるコミット
メントR’およびメッセージMをハッシュしなければならない。 ハッシュの結果(M、R’)から抽出された結果と同じd=d12……dm コントローラは、再構築された各チャレンジが、付録に記された対応するチャ
レンジと同じ場合に、またその場合にのみメッセージを承認する。
【0152】 本出願においては、エンティティの真正性および/またはメッセージの完全性
および/または真正性を証明するための本発明による方法、システム、装置を実
施することができる秘密値Qと公開値Gの対が存在することがわかった。
【0153】 フランス・テレコムと、TDFと、MathRiZK社とによって本出願と同
じ日に登録され、発明者としてLouis GuillouまたはJean-Jacques Quisquater
を有する係続中の出願には、指数vが2kとなる場合に、GQ2の鍵の集合、す
なわち係数nと公開値Gおよび秘密値Qを生じるための方法について記載されて
いる。 これを引用することにより本明細書の一部をなすものとする。
【手続補正書】
【提出日】平成13年11月9日(2001.11.9)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】請求項5
【補正方法】変更
【補正の内容】
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0114
【補正方法】変更
【補正の内容】
【0114】 認証用の公開鍵<v、n>は、m≧1の場合、基数 g1からgmにしたがって定
められることから、各基数giは、公開鍵Giと秘密鍵Qiを有する値の対を決定
する。すなわち、GiiからGmmと記されたm個の対である。公開値Giは、
基数giの平方である。すなわち、Gi=gi 2となる。秘密値Qiは、方程式(数
3)の解の一つ、あるはまたそのような解の逆数(mod n)である。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0117
【補正方法】変更
【補正の内容】
【0117】 チャイニーズ剰余の技術(Chinese remainders technique)は、以下の通りで
ある。すなわち、0<a<bとなるようなaとbとの間の2つの正の素整数を考
え、2つの成分を、0からa−1までのXaと、0からb−1までのXbとする。
ここで、X=チャイニーズ剰余(Xa、Xb)が問題となる。すなわち、Xa=X
(mod a)およびXb=X(mod b)となるような、0からa.b−1
までの単一数Xである。チャイニーズ剰余のパラメータは,以下のようになる。
α={b(mod a)}-1(mod a)。さらに,チャイニーズ剰余の演算
は以下のようになる。ε= Xb(mod a);δ=Xa−ε。ここでδが負で
ある場合には、δはδ+aに置き換えられ、γ=a.δ(mod a)、X=γ
.b+Xbとなる。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0118
【補正方法】変更
【補正の内容】
【0118】 素因数が、最小のp1から最大のpfに向けて増加する順に並んでいる場合には
、チャイニーズ剰余のパラメータは以下のようになることができる(f−1個、
すなわち、素因数より1つ少ないパラメータが存在する)。チャイニーズ剰余の
第一のパラメータは、α={p2(mod p1)}-1(mod p1)となる。
チャイニーズ剰余の第2のパラメータは、β={p1・p2(mod p1・p2)} -1 (mod p3)となる。また、チャイニーズ剰余のi番めのパラメータは、
λ={p1・p2…pi-1(modpi)}-1(mod pi)となる。以下、同じよ
うに続いていく。次に、チャイニーズ剰余のf−1個の演算においては、第一の
パラメータによって第一の結果(mod p2×p1)が得られ、次に第二のパラ
メータによって第二の結果(mod p1・p2×p3)が得られ、以下、結果(p 1 … pf-1× pf)まで、すなわち、(mod n)まで、同じように続いて
いく。
【手続補正5】
【補正対象書類名】明細書
【補正対象項目名】0129
【補正方法】変更
【補正の内容】
【0129】 コントローラは、係数nとパラメータkおよびmを有する。場合によっては、
コントローラはまた、同一ハッシュ関数とメッセージM’を有する。コントロー
ラは、何らかのチャレンジdと何らかの応答Dから、コミットメントR’を再構
築することができる。パラメータkおよびmは、コントローラに情報を与える。
反対の記載がない限り、g1からgmのm個の基数は、m個の最初の素数である。
各チャレンジdは、基数ごとに1つずつ、d1からdmを記されたm個の基本的チ
ャレンジをもたなければならない。各基本的チャレンジd1からdmは、0から2 k-1 −1の値をとらなければならない(v/2からv−1の値は使用されない)
。通常、各チャレンジは、(m×kビットではなくて)m×k−1ビットによっ
て符号化される。たとえば、k=6およびm=3、さらに基数3、5、7とする
と、各チャレンジは、2つのオクテットに伝達された15ビットを有する;また
k=9、m=2、さらに基数2および3とすると、各チャレンジは2つのオクテ
ットに伝達された16ビットを有する。(k−1).m個の可能なチャレンジが
また推定される場合には、値(k−1).mは、各3つ組みGQ2によってもた
らされる機密保護を決定する。定義上、係数nの因数分解を知らない詐称者は、
正しく2(k-1).mにおいて成功のチャンスを有する。(k−1).mが、15か
ら20となる場合には、3つ組みは、当然のこととして動的な真正性を確保する
のに十分である。何らかの機密保護レベルに達するために、平行な3つ組を発生
することができる。さらに、それをシーケンスで発生させる、すなわち、メカニ
ズムの実行を繰り返すことができる。
【手続補正6】
【補正対象書類名】明細書
【補正対象項目名】0130
【補正方法】変更
【補正の内容】
【0130】 1)コミットメント行為は、以下の演算を含む。 証人が、QiからQmのm個の秘密値と係数nを有すると、ランダムに、秘密値
に、1以上のランダム値r(0<r<n)を引出す。次に、平方での連続するk
個の累乗(mod n)によって、各ランダム値rを各コミットメントRに変え
る。 R≡rv(mod n) 以下は、k=6の場合の第一の鍵の集合の一例である。
【表3】 証人が、piからpfのf個の素因数およびm.f個の秘密成分Qifを有すると
きには、ランダムに、秘密値に、1以上のf個のランダム値の集まりを引出す。
各集まりは、素因数piごとに1つのランダム値ri(0<ri<pi)を有する。
次に、平方での連続するk個の累乗(mod pi)によって、各ランダム値ri を各コミットメントRiに変える。 Ri≡ri v(mod ni) 以下は、k=9の場合の第二の鍵の集合による一例である。
【表4】 f個のコミットメント成分の各集まりのために、証人は、チャイニーズ剰余技
術によってコミットメントを確立する。ランダム値の集まりと同数のコミットメ
ントが存在する。 R=チャイニーズ剰余(R1、R2、…Rf)となる。
【表5】 いずれの場合にも、デモンストレータはコントローラに対して、各コミットメ
ントRの全体または一部、あるいはまた、各コミットメントRおよびメッセージ
Mをハッシュすることによって得られるハッシュコードHを伝達する。
【手続補正7】
【補正対象書類名】明細書
【補正対象項目名】0137
【補正方法】変更
【補正の内容】
【0137】 コントローラは同じハッシュ関数、パラメータkおよびm、係数nを有する。
パラメータkおよびmは、コントローラに情報を与える。一方では、d1からdm の各基本的チャレンジは、0から2k-1−1の値をとらなければならない(v/
2からv−1の値は使用されない)。他方、各チャレンジdは、基数と同じ数だ
け、d1からdm と記されたm個の基本的チャレンジを有していなければならな
い。さらに、反対の記載がない限り、g1からgmのm個の基数は、m個の最初の
素数である。(k−1).mが15から20であるとすると、平行に発生する4
つの3つ組GQ2によって署名することができる。(k−1).mが60以上で
あるとすると、ただ一つの3つ組GQ2によってサインすることができる。たと
えば、k=9およびm=8の場合には、ただ一つの3つ組GQ2だけで十分であ
る。各チャレンジは8つのオクテットを含み、基数は2、3、5、7、11、1
3、17、19である。 署名演算は、コミットメント行為と、チャレンジ行為と、応答行為との3つの
行為のシーケンスである。各行為は、各々、コミットメントR(≠0)、d1
2、…dmによって記される、m個の基本的チャレンジで構成されたチャレンジ
dおよび応答D(≠0)を含む1以上の3つ組を発生する。
【手続補正8】
【補正対象書類名】明細書
【補正対象項目名】0139
【補正方法】変更
【補正の内容】
【0139】 1)コミットメント行為は以下の演算を含む。 証人が、Q1からQmのm個の秘密値と係数nを有すると、ランダムに、秘密に
、1以上のランダム値r(0<r<n)を引出す。次に、平方での連続するk個
の累乗(mod n)によって、各ランダム値rを各コミットメントRに変える
。 R≡rv(mod n) 証人は、piからpfのf個の素因数およびm.f個の秘密成分Qijを有する場
合には、ランダムに、秘密に、1以上のf個のランダム値の集まりを引出す。各
集まりは、素因数piごとに一つのランダム値ri(0<ri<pi)を有する。次
に、平方での連続するk個の累乗(mod pi)によって、各ランダム値ri
各コミットメントRiに変える。 Ri≡ri v(mod pi) f個のコミットメント成分の各集まりのために、証人は、チャイニーズ剰余技
術によってコミットメントを確立する。ランダム値の集まりと同数のコミットメ
ントが存在する。 R=チャイニーズ剰余(R1、R2、…Rf)となる。
───────────────────────────────────────────────────── フロントページの続き (31)優先権主張番号 99/12465 (32)優先日 平成11年10月1日(1999.10.1) (33)優先権主張国 フランス(FR) (31)優先権主張番号 99/12467 (32)優先日 平成11年10月1日(1999.10.1) (33)優先権主張国 フランス(FR) (31)優先権主張番号 99/12468 (32)優先日 平成11年10月1日(1999.10.1) (33)優先権主張国 フランス(FR) (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,TZ,UG,ZW ),EA(AM,AZ,BY,KG,KZ,MD,RU, TJ,TM),AE,AL,AM,AT,AU,AZ, BA,BB,BG,BR,BY,CA,CH,CN,C R,CU,CZ,DE,DK,DM,EE,ES,FI ,GB,GD,GE,GH,GM,HR,HU,ID, IL,IN,IS,JP,KE,KG,KP,KR,K Z,LC,LK,LR,LS,LT,LU,LV,MA ,MD,MG,MK,MN,MW,MX,NO,NZ, PL,PT,RO,RU,SD,SE,SG,SI,S K,SL,TJ,TM,TR,TT,TZ,UA,UG ,US,UZ,VN,YU,ZA,ZW (72)発明者 ギユ,ルイ フランス国、35230 ブルバル、リュ・ド ゥ・リズ 16 (72)発明者 キスクワテル,ジャン‐ジャック ベルギー国、1640 ロード・サン・ジェネ ス、アヴニュ・デ・カナール 3 Fターム(参考) 5J104 AA07 AA08 AA09 AA16 EA05 EA32 JA21 JA23 JA27 KA01 KA05 KA08 LA03 LA06 NA02 NA12 NA17

Claims (24)

    【特許請求の範囲】
  1. 【請求項1】 コントローラ・エンティティに対して、あるエンティティの
    真正性、および/または、そのエンティティに結びついたメッセージMの完全性
    を証明するための方法であって、 この証明は、 秘密値Q1、Q2、…Qmおよび公開値G1、G2、…Gm(mは1以上)のm個の
    対と、 f個の素因数P1、P2、…Pr(fは2以上)の積によって構成される公開係
    数nと、 公開指数vと いったパラメータの全体またはその一部、またはそれらの導関数を用いて行なわ
    れ、 前記係数と前記指数と前記の値は、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n のタイプの関係式によって関連付けられ、 前記の方法は、以下のステップにしたがって、f個の素因数piおよび/また
    は該素因数のチャイニーズ剰余のパラメータおよび/または公開係数nおよび/
    またはm個の秘密値Qiおよび/または秘密値Qiと公開指数vのf.m個の成分
    i.j(Qi.j=Qimod pi)を有する、証人と呼ばれるエンティティを利用
    し、 該証人は、モジュロnの整数環においてコミットメントRを計算し、各コミッ
    トメントを、 Ri≡ri vmod pi のタイプの演算を行うことによって、さらにチャイニーズ剰余法を適用すること
    によって計算し、 ここで、riは、0<ri<piのような素数に関連したランダム値であり、各
    iは、ランダムな値{ri、r2、…rf}の集まりに属し、 証人は、1以上のチャレンジdを受取り、各チャレンジdは、以下、基本的チ
    ャレンジと呼ばれるm個の整数diを含み、また、証人は、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi のタイプの演算を行うことによって、さらに、チャイニーズ剰余法を適用するこ
    とによって、各チャレンジdから応答Dを計算し、 チャレンジdやコミットメントRと同じ数だけ応答Dが存在し、各グループの
    数R、d、Dが、{R、d、D}と記される3つ組を構成するような方法。
  2. 【請求項2】 コントローラと呼ばれるエンティティに対して、デモンスト
    レータと呼ばれるエンティティの真正性を証明するための方法であって、前記の
    デモンストレータ・エンティティは、証人を含み、 前記のデモンストレータおよびコントローラ・エンティティは、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人が、請求項1に特定したプロセスを適用することによ
    って、各コミットメントRを計算し、 デモンストレータが、コントローラに対して、各コミットメントRの全体また
    は一部を伝達し、 ・ステップ2のチャレンジ行為dにおいて、 コントローラが、各コミットメントRの全体または一部を受取った後に、コミ
    ットメントRと同じ数のチャレンジdを生じ、デモンストレータにチャレンジd
    を伝達し、 ・ステップ3の応答行為Dにおいて、 証人が、請求項1に記載の特定されたプロセスを適用することによって、チャレ
    ンジdから応答Dを計算し、 ・ステップ4のチェック行為において、 デモンストレータが、コントローラに対して各応答Dを伝達する といったステップを実行し、 デモンストレータが、各コミットメントRの一部を伝達した場合、 デモンストレータが、各コミットメントRの一部を伝達した場合には、コント
    ローラは、m個の公開値G1、G2、…Gmを有することによって、各チャレンジ
    dおよび各応答Dから、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たす再構築されたコミットメントR’を計算し、 コントローラが、再構成された各コミットメントR’が、自らに伝達された各
    コミットメントRの全体または一部を再生することを認証し、 デモンストレータが、各コミットメントRの完全性を伝達した場合 デモンストレータが、各コミットメントRの完全性を伝達した場合には、コント
    ローラは、m個の公開値G1、G2、…Gmを有することによって、各コミットメ
    ントRが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすことを認証する請求項1に記載の方法。
  3. 【請求項3】 コントローラと呼ばれるエンティティに対して、デモンスト
    レータと呼ばれるエンティティに関連したメッセージMの完全性を証明するため
    の方法であって、前記のデモンストレータ・エンティティは、証人を含み、 前記のデモンストレータおよびコントローラ・エンティティは、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人が、請求項1に記載の特定されたプロセスを適用する
    ことによって各コミットメントRを計算し、 ・ステップ2のチャレンジ行為dにおいて、 デモンストレータが、少なくとも1つのトークンTを計算するために、引数と
    してメッセージMと各コミットメントの全体または一部とを有するハッシュ関数
    hを適用し、 デモンストレータが、コントローラにトークンTを伝達し、 コントローラが、トークンTを受取った後に、コミットメントRと同数のチャ
    レンジdを生じ、チャレンジdをデモンストレータに伝達し、 ・ステップ3の応答行為Dにおいて、 証人が、請求項1に記載の特定されたプロセスを適用することによって、チャ
    レンジdから応答Dを計算し、 ・ステップ4のチェック行為において、 デモンストレータが、コントローラに対して各応答Dを伝達し、 コントローラが、m個の公開値G1、G2、…Gmを有することによって、各チ
    ャレンジdおよび各応答Dから、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たす再構築されたコミットメントR’を計算し、 そして、コントローラが、トークンT’を再構築するために、引数としてメッ
    セージMと再構築された各コミットメントR’の全体または一部とを有するハッ
    シュ関数hを適用し、 −さらに、コントローラが、トークンT’は伝達されたトークンTと同じである
    ことを認証する といったステップを実行する請求項1に記載の方法。
  4. 【請求項4】 署名エンティティと呼ばれるエンティティによってメッセー
    ジMのデジタル署名を発生するための方法であって、前記の署名エンティティが
    証人を含み、 前記の署名エンティティは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含む署名されたメッセージを得るために、署名オペレーションを実行し、 前記の署名エンティティは、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人が、請求項1に記載の特定されたプロセスを適用する
    ことによって各コミットメントRを計算し、 ・ステップ2のチャレンジ行為dにおいて、 署名が、バイナリトレインを得るために、引数として、メッセージMと各コミ
    ットメントとを有するハッシュ関数を適用し、 署名が、このバイナリトレインから、コミットメントRと同じ数のチャレンジ
    dを抽出し、 ・ステップ3の応答行為Dにおいて、 証人が、請求項1に記載の特定されたプロセスを適用することによって、チャ
    レンジdから応答Dを計算する といったステップを含んでいる請求項1に記載の方法。
  5. 【請求項5】 コントローラと呼ばれるエンティティによって、署名された
    メッセージをチェックすることによって、メッセージMの真正性を証明するため
    の方法であって、 署名されたメッセージを有する前記のコントローラ・エンティティは、 ・コントローラが、コミットメントR、チャレンジd、応答Dを有する場合にお
    いて、 コントローラがコミットメントR、チャレンジd、応答Dを有する場合には、
    ・・コントローラは、コミットメントR、チャレンジd、応答Dが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすことを認証し、 ・コントローラは、メッセージM,チャレンジd、コミットメントRが、 d=h(M,R) といったハッシュ関数を満たすことを認証し、 ・コントローラが、チャレンジdおよび応答Dを有する場合において、 コントローラが、チャレンジdおよび応答Dを有する場合には、 ・・コントローラは、各チャレンジdおよび各応答Dから R’(G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすコミットメントR’を再構築し、 ・・コントローラは、メッセージMおよびチャレンジdが、 d = h(M,R’) といったハッシュ関数を満たすことを認証し、 ・コントローラがコミットメントRおよび応答Dを有する場合 コントローラが、コミットメントRと応答Dを有する場合には、 ・・コントローラは、 d’ = h(M,R) といったハッシュ関数を適用し、d’を再構築し、 ・・コントローラは、コミットメントR、チャレンジd’、応答Dが、 R≡G1 d'1.G2 d'2....Gm d'm.Dvmod n のタイプの関係式を、または、 R≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n のタイプの関係式を満たすことを認証する といったようにチェックオペレーションを実行する請求項4に記載の方法。
  6. 【請求項6】 秘密値Q1の成分Qi,1、Qi,1、…Qi,fが、前記の素因数p j の各々について1つの成分Qi,j(Qi,j=Q1mod pj)の割合で、ランダ
    ムに引出された数であり、前記の秘密値Q1は、チャイニーズ剰余法によって、
    前記成分Qi,1、Qi,1、…Qi,fから計算することができ、 前記の公開値G1は、 Gi, j≡Qi, j v mod pj のタイプの演算を行うことによって、さらに、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n のようなG1を確立するためのチャイニーズ剰余法を適用することによって計算
    される請求項1から5のいずれか一項に記載の方法。
  7. 【請求項7】 認証用の公開指数vが素数であることを特徴とする請求項6
    に記載の方法。
  8. 【請求項8】 前記の指数vは、 v=2k のようになり、 ここで、kは1より大きな機密保護パラメータであり、 前記の公開値Giは、f個の素因数p1、p2、…pfより小さな基数giの平方
    i 2であり、基数giは、 2つの方程式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、さらに、方程式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができる請求項1から5のいずれ
    か一項に記載の方法。
  9. 【請求項9】 コントローラ・サーバに対して、エンティティの真正性およ
    び/または、このエンティティに結びついたメッセージMの完全性を証明するた
    めのシステムであって、 その証明は、 秘密値Q1、Q2、…Qmと公開値G1、G2、…Gmのm個の対(mは1以上であ
    る)、 f個の素因数p1、p2、…pfの積によって構成される公開係数n(fは2以
    上である)と、 公開指数vと いったパラメータ全体または一部、またはそれらの導関数を用いて行なわれ、 前記係数と前記指数と前記の値は、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n のタイプの関係式によって関連付けられ、 前記システムは、たとえばマイクロプロセッサ用のバンクカードの形状を有す
    る、特にノマッドオブジェクトの中に含まれる証人装置を有し、 証人装置は、f個の素因数pfおよび/または素因数のチャイニーズ剰余法の
    パラメータおよび/または公開係数nおよび/またはm個の秘密値Qiおよび/
    または秘密値Qiおよび公開指数vのf.m個の成分Qi,j(Qi,j=Q1mod
    j)を含むメモリゾーンを有し、 証人装置はまた、 証人装置のランダム値発生手段と呼ばれるランダム値発生手段と、 モジュロnの整数環の中でコミットメントRを計算するための、証人装置のコ
    ミットメントR計算手段とを有し、各コミットメントは、 Ri ≡ri v mod pi のタイプの演算を行い、 そして、チャイニーズ剰余法を適用することによって、計算され、 ここで、riは、0<ri<piのような素数に関連したランダムな値であり、各
    iは、ランダム値発生手段によって発生したランダムな値{r1、r2、…rf
    の集まりに属し、 証人装置はまた、 1以上のチャレンジdを受取るために、以下、証人装置のチャレンジdの受取
    り手段と呼ばれる受取り手段であって、各チャレンジdは、以下、基本的チャレ
    ンジdと呼ばれるm個の整数diを有する手段と、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi のタイプの演算を行い、そして、チャイニーズ剰余法を適用することによって、
    各チャレンジdから応答Dを計算するために、証人装置の応答Dの計算手段と呼
    ばれる計算手段と、 1以上のコミットメントRおよび1以上の応答Dを伝達するための伝達手段とを
    含み、 チャレンジdやコミットメントRと同じ数の応答Dが存在し、各グループの数
    R、d、Dは、{R、d、D}と記される3つ組を構成するシステム。
  10. 【請求項10】 コントローラと呼ばれるエンティティに対して、デモンス
    トレータと呼ばれるエンティティの真正性を証明するためのシステムであって、 前記システムは、 デモンストレータ・エンティティに結びついたデモンストレータ装置を含み、
    前記のデモンストレータ装置は、相互接続手段によって証人装置に相互接続され
    、特に、マイクロプロセッサ型バンクカード内でマイクロプロセッサの形を有す
    るノマッドオブジェクトの中で論理マイクロ回路の形を含むことができ、 コントローラ・エンティティに結びついたコントローラ装置を有し、前記のコ
    ントローラ装置は、特に、遠隔サーバまたは端末の形を有し、前記のコントロー
    ラ装置は、特に、電気的に、電磁気的に、光学的にまたは音声として、情報処理
    通信網を介して、デモンストレータ装置に接続するための接続手段を含み、 前記システムは、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人装置のコミットメントRの計算手段が、請求項9に記
    載の特定されたプロセスを適用することによって、各コミットメントRを計算し
    、 証人装置が、相互接続手段を介して、デモンストレータ装置に、各コミットメ
    ントRの全体または一部を伝達するために、以下、証人装置の伝達手段と呼ばれ
    る伝達手段を有し、 デモンストレータ装置がまた、接続手段を介して、コントローラ装置に各コミ
    ットメントRの全体または一部を伝達するために、以下、デモンストレータ装置
    の伝達手段と呼ばれる伝達手段を有し、 ・ステップ2のチャレンジ行為dにおいて、 コントローラ装置が、各コミットメントRの全体または一部を受取った後に、
    コミットメントRと同じ数のチャレンジdを生じるために、チャレンジの発生手
    段を有し、 コントローラ装置がまた、接続手段を介して、デモンストレータにチャレンジ
    dを伝達するために、以下、コントローラの伝達手段と呼ばれる伝達手段を有し
    、 ・ステップ3の応答行為Dにおいて、 証人装置のチャレンジdの受取り手段が、相互接続手段を介して、デモンスト
    レータ装置から生じる各チャレンジdを受取り、 証人装置の応答Dの計算手段が、請求項9に記載の特定されたプロセスを適用
    することによって、チャレンジdから応答Dを計算し、 ・ステップ4のチェック行為において、 デモンストレータの伝達手段が、コントローラに各応答Dを伝達し、 コントローラ装置はまた、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含む といったステップを実行することができ、 デモンストレータが各コミットメントRの一部を伝達した場合において デモンストレータの伝達手段が、各コミットメントRの一部を伝達した場合に
    は、m個の公開値G1、G2、…Gmを有するコントローラ装置の計算手段が、各
    チャレンジdおよび各応答Dから、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たす再構築されたコミットメントR’を計算し、 コントローラ装置の比較手段が、再構築された各コミットメントR’と、受取
    られた各コミットメントRの全体または一部とを比較し、 デモンストレータが各コミットメントRの完全性を伝達した場合において、 デモンストレータの伝達手段が、各コミットメントRの完全性を伝達した場合
    には、m個の公開値G1、G2、…Gmを有する、コントローラの計算手段および
    比較手段は、各コミットメントRが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすことを認証する請求項9に記載のシステム。
  11. 【請求項11】 コントローラと呼ばれるエンティティに対して、デモンス
    トレータと呼ばれるエンティティに結びついたメッセージMの完全性を証明する
    ためのシステムであって、 前記のシステムは、 デモンストレータ・エンティティに関連したデモンストレータ装置を含み、前
    記のデモンストレータ装置は、相互接続手段によって証人装置に相互接続され、
    たとえばマイクロプロセッサ型バンクカード内でマイクロプロセッサの形を有す
    るノマッドオブジェクトの中で論理マイクロ回路の形を含むことができ、 コントローラ・エンティティに結びついたコントローラ装置を含み、前記のコ
    ントローラ装置は特に、遠隔サーバまたは端末の形を有し、前記のコントローラ
    装置は、特に、情報処理通信網を介して、電気的、電磁的、光学的に、または音
    声として、デモンストレータ装置に接続するための接続手段を有し、 前記のシステムは、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人装置のコミットメントRの計算手段が、請求項9に記
    載の特定されたプロセスを適用することによって、各コミットメントRを計算し
    、 証人装置が、相互接続手段を介して、デモンストレータ装置に対して、各コミ
    ットメントRの全体または一部を伝達するために、以下、証人装置の伝達手段と
    呼ばれる伝達手段を有し、 ・ステップ2のチャレンジ行為dにおいて、 デモンストレータ装置が、少なくとも1つのトークンTを計算するために、引
    数としてメッセージMと各コミットメントRの全体または一部とを有するハッシ
    ュ関数を適用する、以下、デモンストレータ装置の計算手段と呼ばれる計算手段
    を含み、 デモンストレータ装置はまた、接続手段を介して、コントローラ装置に対して
    、各トークンTを伝達するために、以下、デモンストレータの伝達手段と呼ばれ
    る伝達手段を有し、 コントローラ装置はまた、トークンTを受取った後に、コミットメントRと同
    じ数のチャレンジdを生じるためのチャレンジ発生手段を有し、 コントローラ装置はまた、接続手段を介して、デモンストレータにチャレンジ
    dを伝達するために、以下、コントローラ装置の伝達手段と呼ばれる伝達手段を
    有し、 ・ステップ3の応答行為Dにおいて、 証人装置のチャレンジdの受取り手段が、相互接続手段を介して、デモンスト
    レータ装置から生じる各チャレンジdを受取り、 証人装置の応答Dの計算手段は、請求項9に記載の特定されたプロセスを適用
    することによって、チャレンジdから応答Dを計算し、 ・ステップ4のチェック行為において、 デモンストレータの伝達手段は、コントローラに対して各応答Dを伝達し、 コントローラ装置はまた、一方では、各チャレンジdおよび各応答Dから、ま
    ず R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たす再構築されたコミットメントR’を計算し、 そして、次に、引数としてメッセージMと再構築された各コミットメントR’
    の全体または一部を有するハッシュ関数hを適用しながら、トークンT’を計算
    するために、m個の公開値G1、G2、…Gmを有する、以下、コントローラ装置
    の計算手段と呼ばれる計算手段を有し、 コントローラ装置はまた、トークンT’を受取られたトークンTと比較するた
    めに、以下、コントローラ装置の比較手段と呼ばれる比較手段を有する といったステップを実行することができる請求項9に記載のシステム。
  12. 【請求項12】 署名エンティティと呼ばれるエンティティによって、以下
    、署名されたメッセージと呼ばれるメッセージMのデジタル署名を生じるための
    システムであって、 署名されたメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含み、 前記システムは、署名エンティティに関連した署名装置を含んでおり、前記署
    名装置は、相互接続手段によって証人装置に相互接続され、特に、たとえば、マ
    イクロプロセッサ型バンクカード内でマイクロプロセッサの形状を有するノマッ
    ドオブジェクトの中で論理マイクロ回路の形状を有することができ、 前記システムは、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人装置のコミットメントRの計算手段が、請求項9に記
    載の特定されたプロセスを適用することによって、各コミットメントRを計算し
    、 証人装置が、相互接続手段を介して、各コミットメントRの全体または一部を
    署名装置に伝達するために、以下、証人装置の伝達手段と呼ばれる伝達手段を有
    し、 ・ステップ2のチャレンジ行為dにおいて、 署名装置は、バイナリトレインを計算し、そのトレインから、コミットメント
    Rと同じ数のチャレンジdを抽出するために、引数としてメッセージMと各コミ
    ットメントRの全体または一部とを有するハッシュ関数hを適用する、以下、署
    名装置の計算手段と呼ばれる計算手段を有し、 ・ステップ3の応答行為Dにおいて、 証人装置のチャレンジdの受取り手段は、相互接続手段を介して、署名装置か
    ら生じる各チャレンジdを受取り、 証人装置の応答Dの計算手段は、請求項9に記載の特定されたプロセスを適用
    しながら、チャレンジdから応答Dを計算し、 証人装置は、相互接続手段を介して、署名装置に応答Dを伝達するために、以
    下、証人装置の伝達手段と呼ばれる伝達装置を有する といったステップを実行することができる請求項9に記載のシステム。
  13. 【請求項13】 コントローラと呼ばれるエンティティによって、署名され
    たメッセージをチェックすることによって、メッセージMの真正性を証明するた
    めのシステムであって、 前記システムは、コントローラ・エンティティに結びついたコントローラ装置
    を有し、前記のコントローラ装置は、特に端末または遠隔サーバの形を有するこ
    とができ、前記のコントローラ装置は、情報処理通信網を介して、デモンストレ
    ータ装置に、電気的、電磁的、光学的に、または音声として、接続するための接
    続手段を有し、 署名エンティティに結びついた前記署名装置は、接続手段を通して、署名され
    たメッセージをコントローラ装置に伝達するために、以下、署名装置の伝達手段
    と呼ばれる伝達手段を有し、このようにして、署名されたメッセージを有するコ
    ントローラ装置は、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含み、 コントローラ装置は、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含み、 コントローラが、コミットメントR、チャレンジd、応答Dを有する場合にお
    いて、 コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合に
    は、 ・・コントローラ装置の計算および比較手段は、コミットメントR、チャレンジ
    d、応答Dが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすことを認証し、 ・・コントローラ装置の計算および比較手段は、メッセージM、チャレンジd、
    コミットメントRが、 d = h(M,R) といったハッシュ関数を満たすことを認証し、 ・コントローラが、チャレンジdおよび応答Dを有する場合において、 コントローラ装置がチャレンジdおよび応答Dを有する場合には、 ・・コントローラ装置の計算手段は、各チャレンジdおよび各応答Dから、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすコミットメントR’を計算し、 ・・コントローラ装置の計算および比較手段は、メッセージMとチャレンジdが
    、 d = h(M,R’) といったハッシュ関数を満たすことを認証し、 ・コントローラがコミットメントRと応答Dを有する場合において コントローラ装置がコミットメントRと応答Dを有する場合には、 ・・コントローラ装置の計算手段は、ハッシュ関数を適用し、 d’= h(M,R) のようなd’を計算し、 ・・コントローラ装置の計算および比較手段は、コミットメントR、チャレンジ
    d’、応答Dが、 R’≡G1 d'1.G2 d'2....Gm d'm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n のタイプの関係式を満たすことを認証する請求項11に記載のシステム。
  14. 【請求項14】 秘密値Q1の成分Qi,1、Qi,1、…Qi,fが、前記の素因数
    iの各々について1つの成分Qi,j(Qi,j=Q1mod pj)の割合で、ラン
    ダムに引出された数となるようなシステムであって、前記の秘密値Q1は、チャ
    イニーズ剰余法によって、前記成分Qi,1、Qi,1、…Qi,fから計算することが
    でき、 前記の公開値Giは、 Gi, j≡Qi, j v mod pj のタイプの演算を行うことによって、さらに、 Gi.Qi v≡1.mod n または Gi(Qi vmod n のようなGiを確立するためのチャイニーズ剰余法を適用することによって、 計算される請求項9から13のいずれか一項に記載のシステム。
  15. 【請求項15】 認証用公開指数vが素数であるような請求項14に記載の
    システム。
  16. 【請求項16】 前記の指数vが、 v=2kとなるようなものであり、 ここで、kは1より大きな機密保護パラメータであり、 前記の公開値Giは、f個の素因数p1、p2、…pfより小さな基数giの平方
    i 2であり、基数giは、 2つの方程式 x2≡gimod n および x2≡−gimod n が、モジュロnの整数環のxについて解くことができず、 方程式 xv≡gi 2mod n が、モジュロnの整数環のxについて解くことができるようなものである請求項
    9から13のいずれか一項に記載のシステム。
  17. 【請求項17】 エンティティに結びついた端末装置であって、特に、たと
    えばマイクロプロセッサ型バンクカードの形でノマッドオブジェクトの形を有し
    、コントローラ装置に対して、エンティティの真正性および/または、そのエン
    ティティに結びついたメッセージMの完全性を証明するためのものであり、 その証明は、 秘密値Q1、Q2、…Qmおよび公開値G1、G2、…Gmのm個の対(mは1以上
    である)と、 f個の素因数p1、p2、…pfの積によって構成される公開係数n(fは2以
    上である)と、 公開指数vと いったパラメータのすべてまたは一部、あるいはその導関数2を用いて行なわれ
    、前記係数、前記指数および前記の値は、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n のタイプの関係式によって結び付けられ、 前記端末装置は、f個の素因数pfおよび/または素因数のチャイニーズ剰余
    および/または公開係数nのパラメータおよび/またはm個の秘密値Qiおよび
    /または秘密値Qiおよび公開指数vのf.m個の成分Qi,j(Qi,j=Q1mod pj)を含むメモリゾーンを有する証人装置を有し、 証人装置はまた、 証人装置のランダム値発生手段と呼ばれるランダム値発生手段と、 モジュロnの整数環においてコミットメントRを計算するための、以下、証人
    装置のコミットメントRの計算手段と呼ばれる計算手段とを有し、 各コミットメントは、 Ri ≡ri v mod pi のタイプの演算を行い、そして、チャイニーズ剰余法を適用することによって、
    計算され、 ここで、riは、0<ri<piのような素数に結びつくランダムな値であり、各
    iは、ランダム値発生手段によって発生したランダムな値{r1、r2、…rf
    の集まりに属し、 証人装置はまた、 1以上のチャレンジdを受取るために、以下、証人装置のチャレンジdの受取
    り手段と呼ばれる受取り手段であって、各チャレンジdは、以下、基本的チャレ
    ンジdと呼ばれるm個の整数diを有する受取り手段と、 Di≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi のタイプの演算を行い、そして、チャイニーズ剰余法を適用することによって、
    各チャレンジdから応答Dを計算するために、証人装置の応答Dの計算手段と呼
    ばれる計算手段と、 1以上のコミットメントRおよび1以上の応答Dを伝達するための伝達手段とを
    有し、 チャレンジdやコミットメントRと同じ数の応答Dが存在し、各グループの数R
    、d、Dは、{R、d、D}と記される3つ組を構成する端末装置。
  18. 【請求項18】 コントローラと呼ばれるエンティティに対して、デモンス
    トレータと呼ばれるエンティティの真正性を証明するための端末装置であって、 前記端末装置は、デモンストレータ・エンティティに関連したデモンストレー
    タ装置を含んでおり、前記のデモンストレータ装置は、相互接続手段によって証
    人装置に相互接続され、たとえば、マイクロプロセッサ型バンクカード内でマイ
    クロプロセッサの形を有するノマッドオブジェクトの中で論理マイクロ回路の形
    を有することができ、 前記デモンストレータ装置は、情報処理通信網を介して、特に、電気的に、電
    磁気的に、光学的に、または音声として、コントローラ・エンティティに関連し
    たコントローラ装置に、接続するための接続手段を有し、前記コントローラ装置
    は、特に端末または遠隔サーバの形を有し、 前記端末装置は、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人装置のコミットメントRの計算手段が、請求項17に
    記載の特定されたプロセスを適用することによって、各コミットメントRを計算
    し、 証人装置が、相互接続手段を介して、デモンストレータ装置に、各コミットメ
    ントRの全体または一部を伝達するために、以下、証人装置の伝達手段と呼ばれ
    る伝達手段を有し、 デモンストレータ装置はまた、接続手段を介して、コントローラ装置に各コミ
    ットメントRの全体または一部を伝達するために、以下、デモンストレータ装置
    の伝達手段と呼ばれる伝達手段を有し、 ・ステップ2および3のチャレンジ行為dおよび応答行為Dにおいて、 証人装置のチャレンジdの受取り装置は、コントローラ装置とデモンストレー
    タ装置との間の接続手段を介して、さらにデモンストレータ装置と証人装置との
    間の相互接続手段を介して、コントローラ装置から生じた各チャレンジdを受取
    り、 証人装置の応答Dの計算手段は、請求項17に特定されたプロセスを適用しな
    がら、チャレンジdから応答Dを計算し、 ・ステップ4のチェック行為において、 デモンストレータの伝達装置は、チェックを行うコントローラ装置に各応答D
    を伝達する といったステップを実行することができる請求項17に記載の端末装置。
  19. 【請求項19】 コントローラと呼ばれるエンティティに対して、デモンス
    トレータと呼ばれるエンティティに結びついたメッセージMの完全性を証明する
    端末装置であって、 前記端末装置は、デモンストレータ・エンティティに関連したデモンストレー
    タ装置を含んでおり、前記のデモンストレータ装置は、相互接続手段によって証
    人装置に相互接続され、特に、たとえばマイクロプロセッサ型バンクカード内で
    マイクロプロセッサの形を有するノマッドオブジェクトの中で論理マイクロ回路
    の形を有することができ、 前記のデモンストレータ装置は、特に、情報処理通信網を介して、電気的、電
    磁的、光学的に、または音声として、コントローラ・エンティティに関連したコ
    ントローラ装置に接続するための接続手段を有し、前記のコントローラ装置は特
    に、遠隔サーバまたは端末の形を有し、 前記の端末装置は、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人装置のコミットメントRの計算手段が、請求項17に
    記載の特定されたプロセスを適用することによって、各コミットメントRを計算
    し、 証人装置が、相互接続手段を介して、デモンストレータ装置に対して各コミッ
    トメントRの全体または一部を伝達するために、以下、証人装置の伝達手段と呼
    ばれる伝達手段を有し、 ・ステップ2および3のチャレンジ行為dおよび応答行為において、 デモンストレータ装置が、少なくとも1つのトークンTを計算するために、引
    数としてメッセージMと各コミットメントRの全体または一部とを有するハッシ
    ュ関数を適用する、以下、デモンストレータ装置の計算手段と呼ばれる計算手段
    を有し、 デモンストレータ装置がまた、接続手段を介して、コントローラ装置に対して
    、各トークンTを伝達するために、以下、デモンストレータの伝達手段と呼ばれ
    る伝達手段を有し、 証人装置のチャレンジdの受取り手段が、相互接続手段を介して、デモンスト
    レータ装置から生じる各チャレンジdを受取り、 証人装置の応答Dの計算手段が、請求項17に記載の特定されたプロセスを適
    用することによって、チャレンジdから応答Dを計算し、 ・ステップ4のチェック行為において、 デモンストレータの伝達装置が、チェックを行うコントローラ装置に各応答D
    を伝達する といったステップを実行することができる請求項17に記載の端末装置。
  20. 【請求項20】 署名エンティティと呼ばれるエンティティによって、以下
    、署名されたメッセージと呼ばれるメッセージMのデジタル署名を生じるための
    端末装置であって、 署名されたメッセージは、 メッセージMと、 チャレンジdおよびまたはコミットメントRと、 応答Dと を含み、 前記の端末装置は、署名エンティティに結びついた署名装置を含んでおり、前
    記署名装置は、相互接続手段によって証人装置に相互接続され、特に、たとえば
    、マイクロプロセッサ型バンクカード内のマイクロプロセッサの形状を有するノ
    マッドオブジェクトの中で論理マイクロ回路の形状を有することができ、 前記の署名装置は、特に、情報処理通信網を介して、電気的、電磁的、光学的
    に、または、音声として、コントローラ・エンティティに結びついたコントロー
    ラ装置に接続するための接続手段を有し、前記のコントローラ装置は特に、遠隔
    サーバまたは端末の形を有し、 前記の端末装置は、 ・ステップ1のコミットメント行為Rにおいて、 呼び出しのたびに、証人装置のコミットメントRの計算手段は、請求項17に
    記載の特定されたプロセスを適用することによって、各コミットメントRを計算
    し、 証人装置は、相互接続手段を介して、各コミットメントRの全体または一部を
    署名装置に伝達するために、以下、証人装置の伝達手段と呼ばれる伝達手段を有
    し、 ・ステップ2のチャレンジ行為dにおいて、 署名装置は、バイナリトレインを計算し、そのトレインから、コミットメント
    Rと同じ数のチャレンジdを抽出するために、引数としてメッセージMと各コミ
    ットメントRの全体または一部とを有するハッシュ関数hを適用する、以下、署
    名装置の計算手段と呼ばれる計算手段を有し、 ・ステップ3の応答行為Dにおいて、 チャレンジdの受取り手段は、相互接続手段を介して、署名装置から生じる各
    チャレンジdを受取り、 証人装置の応答Dの計算手段は、請求項9に記載の特定されたプロセスを適用
    しながら、チャレンジdから応答Dを計算し、 証人装置は、相互接続手段を介して、署名装置に応答Dを伝達するために、以
    下、証人装置の伝達手段と呼ばれる伝達装置を有する といったステップを実行することができる請求項17に記載の端末装置。
  21. 【請求項21】 コントローラ・エンティティに結びついた、端末または遠
    隔サーバの形を有するコントローラ装置であって、コントローラ・サーバに対し
    て、 エンティティの真正性および/または、 そのエンティティに結びついたメッセージMの完全性 を証明するためのものであり、 その証明は、 秘密値Q1、Q2、…Qmおよび公開値G1、G2、…Gmのm個の対(mは1以上
    である)と、 f個の素因数p1、p2、…pfの積によって構成される公開係数n(fは2以
    上である)と、 −公開指数vと いったパラメータ全体または一部、あるいはその導関数を用いて行なわれ、 前記係数と前記指数と前記の値は、 Gi.Qi v≡1.mod n または Gi≡Qi vmod n のタイプの関係式によって関連付けられ、 ここで、Q1は、公開値Giに結びついたコントローラ装置の未知の秘密値を示
    しているコントローラ装置。
  22. 【請求項22】 コントローラと呼ばれるエンティティに対して、デモンス
    トレータと呼ばれるエンティティの真正性を証明するためのコントローラ装置で
    あって、 前記のコントローラ装置は、特に、情報処理通信網を介して、電気的に、電磁
    気的に、光学的にまたは音声として、デモンストレータ・エンティティに関連し
    たデモンストレータ装置に接続するための接続手段を有し、 前記コントローラ装置は、 ・ステップ1および2のコミットメント行為Rおよびチャレンジ行為において、 前記のコントローラ装置がまた、接続手段を介して、デモンストレータ装置か
    ら生じるコミットメントRの全体または一部の受取り手段を有し、 コントローラ装置が、各コミットメントRの全体または一部を受取った後に、
    コミットメントRと同じ数のチャレンジdを生じるための発生手段を有し、各チ
    ャレンジdは、以下、基本的チャレンジdと呼ばれるm個の整数diを有し、 コントローラ装置がまた、接続手段を介して、デモンストレータにチャレンジ
    dを伝達するために、以下、コントローラ装置の伝達手段と呼ばれる伝達手段を
    有し、 ・ステップ3および4の応答行為およびチェック行為において、 コントローラ装置がまた、 接続手段を介して、デモンストレータ装置から生じる応答Dを受取る手段と、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段とを含む といったステップを実行することができ、 デモンストレータが、各コミットメントRの一部を伝達した場合において、 コントローラ装置の受取り手段が、各コミットメントRの一部を受取った場合
    には、コントローラ装置の計算手段は、m個の公開値G1、G2、…Gmを有する
    ことによって、各チャレンジdおよび各応答Dから、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たす再構築されたコミットメントR’を計算し、 コントローラ装置の比較手段は、受取った各コミットメントRの全体または一
    部と再構築された各コミットメントR’を比較し、 デモンストレータが、各コミットメントRの完全性を伝達した場合において コントローラ装置の受取り手段が、各コミットメントRの完全性を受取った場
    合には、コントローラ装置の計算手段および比較手段は、m個の公開値G1、G2 、…Gmを有することによって、各コミットメントRが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすことを認証する請求項21に記載のコントローラ装置
  23. 【請求項23】 デモンストレータと呼ばれるエンティティに結びついたメ
    ッセージMの完全性を証明するためのコントローラ装置であって、 前記のコントローラ装置は、特に情報処理通信網を介して、デモンストレータ
    ・エンティティに結びついたデモンストレータ装置に、電気的、電磁的、光学的
    にまたは音声として、接続するための接続手段を有し、 前記のコントローラ装置は、 ・ステップ1および2のコミットメント行為Rおよびチャレンジ行為において、 前記のコントローラ装置はまた、接続手段を介して、デモンストレータ装置か
    ら発生するトークンTの受取り手段を有し、 コントローラ装置はまた、トークンTを受取った後に、コミットメントRと同
    じ数のチャレンジを生じるためのチャレンジ発生手段を有し、各チャレンジdは
    、以下、基本的チャレンジdと呼ばれるm個の整数を有し、 コントローラ装置はまた、接続手段を介して、デモンストレータにチャレンジ
    dを伝達するために、以下、コントローラ装置の伝達手段と呼ばれる伝達手段を
    有し、 ・ステップ3および4の応答行為Dおよびチェック行為において、 コントローラ装置は、接続手段を介して、デモンストレータ装置から発生する
    応答Dの受取り手段を有し、 コントローラ装置はまた、 m個の公開値G1、G2、…Gmを有し、まず、各チャレンジdおよび各応答D
    から、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たす再構築されたコミットメントR’を計算し、 そして、次に、引数としてメッセージMと再構築された各コミットメントR’と
    を有するハッシュ関数hを適用することによって、トークンT’を計算するため
    の、以下、コントローラ装置の計算手段と呼ばれる計算手段を有し、 コントローラ装置はまた、トークンT’と受取ったトークンTとを比較するた
    めに、以下、コントローラ装置の比較手段と呼ばれる比較手段を含む といったステップを実行することができる請求項22に記載のコントローラ装置
  24. 【請求項24】 コントローラと呼ばれるエンティティによって、署名され
    たメッセージをチェックすることによって、メッセージMの真正性を証明するた
    めのコントローラ装置であって、 ハッシュ関数h(M、R)を有し、署名エンティティに関連した署名装置によ
    って発生した署名されたメッセージは、 メッセージMと、 チャレンジdおよび/またはコミットメントRと、 応答Dと を含み、 前記コントローラ装置は、特に情報処理通信網を介して、電気的、電磁的、光
    学的にまたは音声として、署名エンティティに関連した署名装置に接続するため
    の接続手段を含み、 前記コントローラ装置は、接続手段を介して、署名装置の署名されたメッセー
    ジを受取っており、 コントローラ装置は、 コントローラ装置の計算手段と呼ばれる計算手段と、 コントローラ装置の比較手段と呼ばれる比較手段と を含み、 ・コントローラが、コミットメントR、チャレンジd、応答Dを有する場合にお
    いて コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合に
    は、 ・・コントローラ装置の計算および比較手段は、コミットメントR、チャレンジ
    d、応答Dが、 R≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすことを認証し、 ・・コントローラ装置の計算および比較手段は、メッセージM、チャレンジd、
    コミットメントRが、 d = h(M,R) といったハッシュ関数を満たすことを認証し、 ・コントローラが、チャレンジdおよび応答Dを有する場合において コントローラ装置がチャレンジdおよび応答Dを有する場合には、 ・・コントローラ装置の計算手段は、各チャレンジdおよび各応答Dから、 R’≡G1 d1.G2 d2....Gm dm.Dvmod n のタイプの関係式を、または、 R’≡Dv/G1 d1.G2 d2....Gm dm.mod n のタイプの関係式を満たすコミットメントR’を計算し、 ・・コントローラ装置の計算および比較手段は、メッセージMとチャレンジdが
    、 d = h(M,R’) といったハッシュ関数を満たすことを認証し、 コントローラがコミットメントRと応答Dを有する場合において コントローラ装置が、コミットメントRと応答Dを有する場合には、 ・・コントローラ装置の計算手段は、ハッシュ関数を適用し、 d’ = h(M,R) のようなd’を計算し、 ・・コントローラ装置の計算および比較手段は、コミットメントR、チャレン
    ジd’、応答Dが、 R≡G1 d'1.G2 d'2....Gm d'm.Dvmod n のタイプの関係式を、または、 R≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n のタイプの関係式を満たすことを認証する請求項17に記載のコントローラ装置
JP2000597914A 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置 Withdrawn JP2003519447A (ja)

Applications Claiming Priority (11)

Application Number Priority Date Filing Date Title
FR9901065A FR2788910A1 (fr) 1999-01-27 1999-01-27 Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
FR99/01065 1999-01-27
FR9903770A FR2788911A1 (fr) 1999-01-27 1999-03-23 Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
FR99/03770 1999-03-23
FR9912467A FR2788912B1 (fr) 1999-01-27 1999-10-01 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message aux moyens de facteurs premiers particuliers
FR9912468A FR2824974B1 (fr) 1999-01-27 1999-10-01 Procede destine a prouver l'authenticite d'une entite ou l'integrite d'un message au moyen d'un exposant public egal a une puissance de deux.
FR9912465A FR2788908B1 (fr) 1999-01-27 1999-10-01 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message
FR99/12465 1999-10-01
FR99/12468 1999-10-01
FR99/12467 1999-10-01
PCT/FR2000/000188 WO2000046946A2 (fr) 1999-01-27 2000-01-27 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message

Publications (1)

Publication Number Publication Date
JP2003519447A true JP2003519447A (ja) 2003-06-17

Family

ID=27515634

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2000597914A Withdrawn JP2003519447A (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置
JP2000596696A Expired - Lifetime JP4772965B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性を証明するための方法
JP2000597915A Expired - Lifetime JP4772189B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/または特殊素因子を使用するメッセ−ジの完全性および/または真正性を証明するための方法、システム、及び装置

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2000596696A Expired - Lifetime JP4772965B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性を証明するための方法
JP2000597915A Expired - Lifetime JP4772189B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/または特殊素因子を使用するメッセ−ジの完全性および/または真正性を証明するための方法、システム、及び装置

Country Status (7)

Country Link
US (2) US7386122B1 (ja)
EP (3) EP1145482B1 (ja)
JP (3) JP2003519447A (ja)
CN (3) CN1408154A (ja)
AU (3) AU769444B2 (ja)
CA (3) CA2361627A1 (ja)
WO (3) WO2000046946A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008118325A (ja) * 2006-11-02 2008-05-22 Nec Corp グループメンバー確認システム、及びグループメンバー確認方法、及びプログラム

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2822002B1 (fr) * 2001-03-12 2003-06-06 France Telecom Authentification cryptographique par modules ephemeres
FR2841411B1 (fr) * 2002-06-19 2004-10-29 Gemplus Card Int Procede de generation de cles electroniques pour procede de crytographie a cle publique et objet portatif securise mettant en oeuvre le procede
FR2865590A1 (fr) * 2004-01-23 2005-07-29 France Telecom Procede pour etablir, a partir d'un jeu de grands nombres premiers, un jeu de cles destine a prouver l'authenticite d'une entite ou l'integrite d'un message
DE602006007237D1 (de) 2005-08-23 2009-07-23 Koninkl Philips Electronics Nv Authentifizierung von informationsträgern über eine physische einwegfunktion
TWI405481B (zh) * 2007-05-18 2013-08-11 Innovative Sonic Ltd 無線通訊系統比較狀態變數或封包序號的方法及其相關裝置
US8832110B2 (en) 2012-05-22 2014-09-09 Bank Of America Corporation Management of class of service
US9961059B2 (en) * 2014-07-10 2018-05-01 Red Hat Israel, Ltd. Authenticator plugin interface
EP2966803A1 (en) * 2014-07-11 2016-01-13 Thomson Licensing Method and device for cryptographic key generation

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2620248B1 (fr) * 1987-09-07 1989-11-24 France Etat Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de messages
US5140634A (en) * 1987-09-07 1992-08-18 U.S Philips Corporation Method and apparatus for authenticating accreditations and for authenticating and signing messages
US5218637A (en) * 1987-09-07 1993-06-08 L'etat Francais Represente Par Le Ministre Des Postes, Des Telecommunications Et De L'espace Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization
JP3102692B2 (ja) * 1988-05-19 2000-10-23 エヌ・シー・アール・インターナショナル・インコーポレイテッド カードの真性を証明する方法
EP0381523A3 (en) * 1989-02-02 1993-03-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
US5046094A (en) * 1989-02-02 1991-09-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
US5224162A (en) * 1991-06-14 1993-06-29 Nippon Telegraph And Telephone Corporation Electronic cash system
JP2631781B2 (ja) * 1991-07-10 1997-07-16 日本電信電話株式会社 電子現金実施方法
US5299262A (en) * 1992-08-13 1994-03-29 The United States Of America As Represented By The United States Department Of Energy Method for exponentiating in cryptographic systems
US5442707A (en) * 1992-09-28 1995-08-15 Matsushita Electric Industrial Co., Ltd. Method for generating and verifying electronic signatures and privacy communication using elliptic curves
US5414772A (en) * 1993-06-23 1995-05-09 Gemplus Development System for improving the digital signature algorithm
US5604805A (en) * 1994-02-28 1997-02-18 Brands; Stefanus A. Privacy-protected transfer of electronic information
FR2733379B1 (fr) 1995-04-20 1997-06-20 Gemplus Card Int Procede de generation de signatures electroniques, notamment pour cartes a puces
DE69704684T2 (de) 1996-02-23 2004-07-15 Fuji Xerox Co., Ltd. Vorrichtung und Verfahren zur Authentifizierung von Zugangsrechten eines Benutzers zu Betriebsmitteln nach dem Challenge-Response-Prinzip
IL120303A0 (en) * 1996-03-27 1997-06-10 Pfizer Use of alpha1-adrenoreceptor antagonists in the prevention and treatment of cancer
DE69738931D1 (de) * 1997-01-28 2008-10-02 Matsushita Electric Ind Co Ltd Vorrrichtung zum digitalen unterschreiben mit rückgewinnung der botschaft
US6389136B1 (en) * 1997-05-28 2002-05-14 Adam Lucas Young Auto-Recoverable and Auto-certifiable cryptosystems with RSA or factoring based keys
ATE246820T1 (de) * 1997-05-29 2003-08-15 Sun Microsystems Inc Verfahren und vorrichtung zur versiegelung und unterschrift von objekten
US7246098B1 (en) * 1997-07-15 2007-07-17 Silverbrook Research Pty Ltd Consumable authentication protocol and system
JP3671611B2 (ja) * 1997-08-05 2005-07-13 富士ゼロックス株式会社 アクセス資格認証装置および方法
JP3562262B2 (ja) * 1997-10-17 2004-09-08 富士ゼロックス株式会社 認証方法および装置
CA2253009C (en) * 1997-11-04 2002-06-25 Nippon Telegraph And Telephone Corporation Method and apparatus for modular inversion for information security and recording medium with a program for implementing the method
US7280663B1 (en) * 2000-05-22 2007-10-09 University Of Southern California Encryption system based on crossed inverse quasigroups

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008118325A (ja) * 2006-11-02 2008-05-22 Nec Corp グループメンバー確認システム、及びグループメンバー確認方法、及びプログラム

Also Published As

Publication number Publication date
AU769444B2 (en) 2004-01-29
EP1145473A2 (fr) 2001-10-17
JP4772189B2 (ja) 2011-09-14
AU769446C (en) 2007-09-20
EP1145472A3 (fr) 2002-11-27
EP1145482A3 (fr) 2002-06-26
CA2360887C (fr) 2009-03-24
JP2002540653A (ja) 2002-11-26
WO2000046947A3 (fr) 2002-04-04
US7266197B1 (en) 2007-09-04
EP1145482A2 (fr) 2001-10-17
CN1408154A (zh) 2003-04-02
CA2361627A1 (en) 2000-08-10
EP1145473B1 (fr) 2019-04-17
CN1322700C (zh) 2007-06-20
AU2298400A (en) 2000-08-25
EP1145473A3 (fr) 2002-05-29
EP1145472A2 (fr) 2001-10-17
AU2298600A (en) 2000-08-18
CN1372739A (zh) 2002-10-02
AU769464B2 (en) 2004-01-29
AU769446B2 (en) 2004-01-29
WO2000045550A2 (fr) 2000-08-03
WO2000045550A3 (fr) 2002-04-25
WO2000046947A2 (fr) 2000-08-10
CN100377520C (zh) 2008-03-26
CA2360954A1 (en) 2000-08-03
WO2000046946A3 (fr) 2002-10-10
CN1468479A (zh) 2004-01-14
AU2298500A (en) 2000-08-25
EP1145482B1 (fr) 2019-01-02
US7386122B1 (en) 2008-06-10
JP4772965B2 (ja) 2011-09-14
CA2360887A1 (fr) 2000-08-10
JP2003513480A (ja) 2003-04-08
WO2000046946A2 (fr) 2000-08-10

Similar Documents

Publication Publication Date Title
US9967239B2 (en) Method and apparatus for verifiable generation of public keys
WO2018119670A1 (zh) 一种无证书部分盲签名方法和装置
US9990796B2 (en) Data card verification system
US5719940A (en) Method for providing information security by exchanging authentication and signing an electronic signature and apparatus therefor
JP2004129303A (ja) 復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法およびブラインド電子署名方法
CN111211910B (zh) 基于秘密共享公钥池的抗量子计算ca及证书颁发***及其颁发和验证方法
CN106789019A (zh) 一种无证书部分盲签名方法和装置
JP2001520483A (ja) 鍵認証方式
CN113609499B (zh) 基于去中心化多方安全计算和多重签名的电子公证文书签署方法及***
JP2003519447A (ja) エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置
US7366911B2 (en) Methods and apparatus for computationally-efficient generation of secure digital signatures
US7382875B2 (en) Cryptographic method for distributing load among several entities and devices therefor
US6978372B1 (en) Verification of correct exponentiation or other operations in cryptographic applications
JP2004527139A (ja) エンティティの真性性またはメッセージの完全性を証明する方法、システム、および装置。
US20040003236A1 (en) Methods and apparatus for private certificates in public key cryptography
KR100676460B1 (ko) 2의 거듭제곱과 동등한 공개 지수를 이용한 엔티티 인증성및/또는 메시지의 무결성 검증방법
JP2001507479A (ja) ランダム抽出を必要とする暗号システムのためのハッシュ関数に基づく疑似ランダム生成器
JP3316895B2 (ja) 正当性の確認システム
CN115665732B (zh) 一种面向卫星互联网的无证书签名认证方法
CN112100674B (zh) 一种应用于医疗信息***的隐私信息传输方法
KR100535626B1 (ko) 단방향 무선인증 방법
JP2570848B2 (ja) 暗号通信装置
Ham Design of Secure and efficient E-commerce protocols using cryptographic primitives
Zhang et al. Subliminalfree Variant of Schnorr Signature with Provable Security
CN115795557A (zh) 基于去中心化门限多方签名的电子公证文书签署方法及***

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040526

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20060210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060210