JP3158118B2 - 認証情報の認証確認用システム - Google Patents

認証情報の認証確認用システム

Info

Publication number
JP3158118B2
JP3158118B2 JP22436388A JP22436388A JP3158118B2 JP 3158118 B2 JP3158118 B2 JP 3158118B2 JP 22436388 A JP22436388 A JP 22436388A JP 22436388 A JP22436388 A JP 22436388A JP 3158118 B2 JP3158118 B2 JP 3158118B2
Authority
JP
Japan
Prior art keywords
station
identifier
verified
authentication information
modulo
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP22436388A
Other languages
English (en)
Other versions
JPH01133092A (ja
Inventor
ルイ・セ・ギルー
ジャン−ジャック・キスカテール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Philips Electronics NV filed Critical Philips Electronics NV
Publication of JPH01133092A publication Critical patent/JPH01133092A/ja
Application granted granted Critical
Publication of JP3158118B2 publication Critical patent/JP3158118B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/0826Embedded security module
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/30Compression, e.g. Merkle-Damgard construction

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computing Systems (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
  • Communication Control (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Description

【発明の詳細な説明】 発明の背景 本発明は零知識証明(zero−knowledge proof)を用
いた認証情報又はメッセージの認証確認システム及び署
名付きメッセージの署名検証システムに関するものであ
る。本発明は、更に、このようなシステムにおける被検
証局及び検証局等にも関する。
本発明は、“スマート”カードと称されている銀行カ
ードの真正さの検証、又は、もっと一般的には所持者に
(店舗、金庫、データベース、コンピュータシステム、
電話回線等への)アクセスの制御を許す如何なる媒体も
の真正さの検証に適用することができる。更に本発明
は、例えばシステムの開閉、起動又は停止を制御し得る
メッセージ、エンジンの始動を制御し得るメッセージ、
衛星を制御し得るメッセージ、警報を起動し得るメッセ
ージ等の如何なる形式のメッセージの真正さの検証にも
適用することができる。最後に、本発明はメッセージの
受取人にそのメッセージの出所を確認させ、これにより
第三者にその出所に関し納得させることができるような
メッセージの署名を可能にする。
従来技術の説明 本発明は2通りの暗号化技術、即ち公開キー(public
−key)暗号手順及び零知識証明(zero−knowledge pro
of)検証手順に基づくものである。参考のために、これ
ら2つの技術を簡単に説明する。符号化及び復号化技術
自体は、データプロセッサや電気通信設備の利用可能性
により相当開発されている。
暗号化システムでは、真のメッセージMをキーEを用
いて符号化メッセージE(M)に変換する。キーEに対
応する逆変換キーDを用いて、逆変換D(E(M))=
Mにより真のメッセージを復元することができる。
これらのキーE及びDを秘密にし、当事者にしか知ら
されないようにするのが普通であった。
新規な暗号化システムが開発され、この暗号化システ
ムでは符号化キーを最早秘密にせず、公開する。逆説的
に、斯る公開はシステムの秘密性を弱めることにはなら
ない。その理由は、キーEが知られても実際のところ復
号化キーDを再現することはできないためである。斯様
な符号化を行なう関数は“トラップ”関数と呼ばれ、こ
のトラップ関数は、当該トラップの値を知っている人を
除いて逆算することは困難である。
これらのシステムの一般的な原理は「IEEE Transacti
ons on Information Theory」Vol.IT−22,pp644−654,1
976年11月に発表されているW.DIFFIE及びM.HELLMANNの
論文「New Directions in Cryptography」に開示されて
いる。また、「Scientific American」1979年8月,Vol.
241,No.2,PP130−139に発表されているM.HELLMANNの論
文“The Mathematics of Public−key Cryptography"も
参照されたい。
公開キー暗号化技術は、RSAと称されているシステム
に特に有効に適用し得る。このシステムは、「Scientif
ic American」1977年8月,pp120−121に発表されている
Martin Gardnerの論文“A new kind of cipher that wo
uld take millions of years to break"に開示されてい
る。このRSAシステムでは、トラップ関数は或る数の素
数成分への因数分解である。因数分解は難しい演算であ
る。例えば、29083のような5桁のそれほど大きくない
数の素数成分を手作業で求めるのには数分を要する。こ
れらの素数は127及び229である。しかし、127と229の積
を求めるには数秒を要するだけである。このような演算
の難易の不均整さは明らかである。コンピュータの助け
をかりれば因数分解を加速し得るが、例えば200桁の数
を因数分解するには最も高性能のコンピュータを必要と
しなければならないことは明らかである。従って、実際
には極めて大きな数を因数分解することは不可能であ
る。
これらの特性をRSAシステムでは次のように利用して
いる。2つの各別の素数、即ちa及びbを選択し、その
積N=a・bを形成する。ここでNは例えば500ビット
とすることができる。更に、(a−1)及び(b−1)
の最小公倍数に対して素である整数pを選択する。予め
ディジタル形態M(0≦M≦N−1)になされたメッセ
ージを符号化するために、モジュロNの整数環でMのp
乗を計算する(即ち、C=MpmodN)。この場合、「モジ
ュロNでp乗する」関数は、0からN−1までの整数の
順列を決定する。
メッセージCを復号化するためには、モジュロNの整
数環内で該符号化メッセージCのp乗根を求める必要が
ある。この演算は数Cをd乗することに相当し、ここで
dは指数pの逆数の、数(a−1)及び(b−1)の最
小公倍数のモジュロである。素数a及びbがわからない
場合、dの決定は不可能であり、従つて暗号解読処理は
不可能である。
例えばa=47及びb=59を選択する場合、N=47×59
=2773になる。この場合、p=17を選択することができ
る。従って、符号化キーは2つの数2773及び17により規
定される。実際には、使用する数はもっと大きい。数92
0の形態で与えられるワードMの符号化は次の通りであ
る。
C=92017mod2773=948mod2773 逆に、数948を復号化するには17の逆数のモジュロ133
4(1334は46と58の最小公倍数)である指数dを用い
る。この指数dは、157×17=2669(これは、1モジュ
ロ1334に等しい)であるため、157になる。従って、948
の復号化は、948157mod2773を計算することに相当し、
即ち920になり、これはもとのメッセージそのものであ
る。
このように、RSAシスエムでは数N及びp自体は公開
することができる(pを「公開ベキ数」と称する)が、
数a及びbは秘密に保つ必要がある。数Nを形成するの
に3以上の素数を用いることができること勿論である。
このようなRSAシステムは、1983年9月20日に交付さ
れた米国特許第4405829号明細書に開示されている。斯
るシステムは、メッセージの暗号化のみならず、メッセ
ージに署名するのにも用いることができる。
メッセージに署名することについて云えば、署名者と
称される者(entity)、即ちそのメッセージMを発生す
る者は公開キー(N,p)で演算するものとみなされる。
この者は、伝送前にそのメッセージに署名するために、
これに冗長情報を付加してモジュロNの整数環の成分を
得、次いでこの成分のd(pの逆数)乗のモジュロNを
計算する。公開キーの秘密パラメータ、即ち2つの素数
a及びbを保持する関係者(entity)はdについて知っ
ている。従って、署名されたメッセージはS=〔Red
(m)〕dmodNになる。
上記署名を検証するために、メッセージの受取人は上
記メッセージを送る者と関連する公開キー(N,p)を用
いてSpmodNを計算し、これにより、上記冗長情報付きメ
ッセージMを符号化する成分が得られる。従って、上記
冗長情報を取り出すことにより受取人は、そのメッセー
ジが、これをなしたと主張する者のみにより送られたも
のであると結論付ける。その理由は、この者のみがメッ
セージをこのように処理することができたものであるか
らである。
暗号化の演算と署名の演算とは合成することができ
る。この場合、送信者はそのメッセージに自身の秘密キ
ーを用いて署名することから始め、次いで該メッセージ
を相手先の公開キーを用いて暗号化する。受信に際して
は、相手先はその秘密キーを用いてメッセージを解読
し、次いで送信者の公開キーを用いてこのメッセージを
認証確認する。
従って、これらの暗号化技術は種々の認証確認方法を
もたらす。これを詳細に説明するために、銀行用の「ス
マート」カードの認証確認を例にとるが、この例は本発
明の範囲を如何なる形でも何ら制限するものではない。
銀行用「スマート」カードはチップの通し番号、預金
口座番号、有効期間及び申請コードのような一連の情報
項目で構成される識別子(identity)を有している。こ
のカードは、要求に応じて、これらの識別子項目をワー
ドIを形成する一連のビットの形態で出力することがで
きる。
冗長規則を用いてIの2倍の長さの数Jを形成するこ
とができ、この数を以後Red(I)=Jと記す。例え
ば、数Iを4ビットバイト(quartet)の形態で書く場
合には、各4ビットバイトには、ハミング符号形式の同
数の8ビットバイト(octet)を形成するように冗長4
ビットバイトを補足することができる。この数Jはしば
しば“陰影付き”識別子と称され、その陰影は識別子に
伴う冗長情報により形成される。
国際標準化機構(ISO)は、これらの解決策をISO/TC9
7/SC20/N207の“Digital Signature with Shadow(陰影
付きディジタル署名)”なる記録内で詳細に述べてお
り、これは予備草案規格DP9796となっている。
このようなカードを発行する権限を有する機関(本例
では銀行)は、公開キーシステム(N,p)を選択する。
銀行は数N及びpを公開するが、Nの因数分解は秘密に
保つ。この場合、各カードの陰影付き識別子Jはモジュ
ロNの整数環の一つの成分とみなされる。銀行は、この
成分から上記環内でp乗根を求めることができるが、こ
れには上述したようにNの素数を知っている必要があ
る。この数(以後Aと記す)は、ある程度は、銀行側に
より署名されたカードの識別子のようなものである。こ
の数を“認証情報(accreditation)”と称する。この
認証の結果は、A=J1/pmodNと定義される。
認証情報の認証確認は、カードの識別子(簡単な形
I、又は陰影付きの形Jの何れかである)を読み取り、
次いで該カードから認証情報Aを読み取り、この情報A
をモジュロNの整数環内でp乗し(これはパラメータN
及びpがわかっているから可能である)、最後にその結
果、即ちApmodNをJと比較することに相当する。ApmodN
がJに等しい場合、認証情報Aは認証確認される。
この方法は偽りのカードを検出し得るが、それにもか
かわらず真正カードの認証情報の秘密が暴露されるとい
う欠点を有する。従って、良心の欠ける検証者が、真正
カードから読み取った認証情報を再生することにより、
検証したカードと同一のカードを複製し得る(このよう
なカードは“クローン”カードと呼ばれる)。
認証情報の認証確認は、厳密に言うと、認証情報を検
証者に送信する必要はなく、カードが真正な認証情報を
有していることを納得させるだけで十分である。従っ
て、カードが真正な認証情報を有することを該認証情報
を漏らすことなく証明することが最終的な課題となる。
このような課題は「零知識証明(zero−knowledge pr
oof)」と称されている手順により解決することができ
る。斯る手順では、証拠(proof)を提示しようとする
者(被検証者“verified entity")及びこの証拠を期待
する者(検証者“verifier")が対話式で、しかも確率
的な動作を採用する。
この技術自体は「17thACM Symposium on Theory of C
omputing」1985年5月のレポートの第291〜304頁に発表
されている。Shafi Goldwasser,Silvio Micali及びChar
les Rackoff等の論文“The knowledge Complexity of I
nteractive Proof System"に開示されている。その最も
重要な例はグラフ理論に見られる。
Adi Shamirは上記処理を整数論に用いることを考えた
最初の人であり、この処理はスマートカードに次のよう
に適用することができる。この所謂S処理は次の通りで
ある。
認証確認動作の開始時に、カードはその識別子Iを提
示する。一般に知られている冗長規則によりIの2倍の
長さの陰影付き識別子を与えるJを導出することができ
る。カードと検証者は双方ともカード発行者により公開
された数N及びpを知っているが、検証者のみが、認証
情報を計算するのに使用されるトラップ情報としての数
Nの因数分解を有している。
認証確認演算は下記の処理を繰り返すことにより進め
られる。
・カードはモジュロNの整数環から一つの成分rをラン
ダムに取り出し(引き)、この成分のp乗(rpmodN)を
該環内で計算し、繰り返し処理のために、このベキ数を
検証者にタイトルTの形態で送信する。
●検証者は、カードにマーカtの形態で尋問するため
に、ビットd(0又は1)をランダムに取り出す。こ
の、マーカtとは、d=0に対しては成分rであり、d
=1に対しては前記環内での成分rと認証情報Aとの積
(r・AmodN)である。換言すれば、検証者による上記
取り出しが不確かな場合には被検証者はr及びr・Amod
Nを用意している必要があり、これにはAを知らなけれ
ばならないことを意味する。
●検証者は、マーカtのp乗のモジュロNを計算し、d
=0に対してはタイトルTを、d=1に対しては前記環
内でタイトルTと陰影付き識別子Jとの積を再現する。
従って、一方ではマーカtの2つの取り得る値、即ち
r及びrAを同時に有するために認証情報Aが使用可能で
ある必要がある。他方では、検証者はこの演算からは認
証情報の値Aを推測することはできない。これは、検証
者が被検証者にrAを供給することを要求しても、検証者
は被検証者によりランダムに取り出されたrを知り得な
いためである。もっとも、検証者は被検証者によりタイ
トルとして供給されるrpを確かに知ってるが、これから
p乗根のモジュロNを抽出することはできない。その理
由は、検証者はNの因数分解を知らないためである。
真正な認証情報を持たない被検証者が、検証者による
上記ランダムな取り出しの推測を試みてだますかもしれ
ない。この被検証者が“0"(“尾”)に賭ける場合、該
被検証者は検証者がマーカのp乗のモジュロNを計算
し、次いで得られた結果をタイトルTと比較するものと
推測することになる。検証者を納得させるためには、被
検証者はタイトルTによってマーカのp乗を供給しなけ
ればならない。他方、不正行為者が1(“頭”)に賭け
る場合には、彼は検証者がマーカをp乗し、次いで得ら
れた結果をJ倍するものと推測することになる。従っ
て、検証者を納得させるために、彼はタイトルTによっ
てマーカをp乗して、それにJを掛けて送信しなければ
ならない。
換言すれば、被検証者が出来事の時間を逆に辿る場
合、すなわち被検証者が先ずタイトルTを決定し次いで
マーカtを決定するのではなく、検証者によるランダム
な取り出しに賭けて、ランダムに引かれたマーカを用い
て帰納的にタイトルTを形成する場合には、被検証者が
正しい応答を与えるチャンスを有するのは2度に1度で
ある。
この確率的処理では、正しい応答を推測する被検証者
のチャンスは各処理において2つのうちの1つである
為、この処理をk回繰り返すと、不正使用者のチャンス
は(1/2)に落ちる。従って、この認証確認処理の安
全率は2kである。kは実際には16〜24のオーダである。
このような処理では、数pは小さく、例えば3であ
る。2を用いることもできるも、この場合には数Nの素
数の選択にある予防措置を講じて、“二乗のモジュロN
をとる”関数がモジュロNの整数環の平方剰余に対する
順列とする必要がある。数a及びbは4x+3の形態の整
数とする必要があり、平方剰余は環中の二乗であるよう
な成分であり、陰影付き識別子Jは認証情報を計算する
前に代表的な平方剰余に変更し得るようにする必要があ
る。この解法は、前述した文献ISO/TC97/SC20/N207に記
載されている。
整数Nは、今日の銀行カードにおけるように、N=K
+2320の形態にすることができる。ここにKは全ての端
末に対して公開され、知られている240ビットの整数と
する。カードの発行人のみがNの因数分解を入手し得
る。それにもかかわらず、大きな数を用いることが推奨
されている。
識別子Iは、今日の銀行カードにおけるように、160
ビットの記号とすることができ、これは4ビットのチッ
プの通し番号と、76ビットの銀行口座番号と、8ビット
の申請コードと、32ビットの有効期間との一続きの番号
により得られる。こうした状況では、前記陰影付き識別
子は320ビットを有する。この場合の認証情報は該ワー
ドの三乗根モジュロNである。これは320ビットの数で
ある。
この技術に対する改善策では、認証情報A自体を使用
するのではなく(ApmodN=J)、Bで示すその逆数を用
いる。この結果はBpJmodN=1であり、このようにする
ことにより、タイトル及びマーカの比較を簡単にする。
この場合、d=0の際にrに等しく、d=1の際にrBに
等しくなるようなr(dB−d+1)に等しいマーカを送
信し、タイトルTを見出すためにtp(dJ−d+1)modN
を計算するだけて十分である。またこの場合、マーカの
一部分のみ、例えばそのビットのうちの約100ビットの
みを伝送することができ、或いはより好ましくは一方向
関数による圧縮後にこれらビットを伝送することができ
る。
圧縮関数はn個の成分の組とm個(mはnよりも小さ
い)の他の成分の組とを、同じイメージを有する2つの
成分を見つけることが実質上不可能となるようにして対
応させる。
第1図は前述した確率的な処理を示す。左側から右側
に延びる矢印は被検証者から検証者への識別子I、タイ
トルT、マーカtの伝送を表し、右側から左側に延びる
矢印はランダムに取り出したビットdを逆方向に伝送す
ることを表す。このランダムな取り出しを疑問符(?)
と組み合わされた円で表してある。記号εは“〜の元又
は要素である”を表し、中括弧内の数字は、示された2
つの端点間の範囲(これら端点を含む)にある整数の組
を表す。認証情報の認証確認について決定する最後の比
較は、疑問符を乗せた等号記号で図式的に表してある。
破線ブロックはk回反復して実行される一連の処理を表
している。
多数の認証情報を使用する更に改善された処理が最近
提案されている。この処理は1986年8月に米国、カリフ
ォルニア、サンタバーバラのCompte Rendu de CRYPTO 8
6で発行されたAmos FIAT及びAdi SHAMIRによる技術文献
“Springer Verlag,Lecture Notes Computer Science",
No.263の第186〜194頁に記載されている。
カード内に数個の認証情報を印すことにより処理の効
率を上昇させるとともに、不正使用者に残される運(機
会)に対する安全性を所定のレベルに確保するために必
要とされる反復回数を減少せしめる。この方法では、n
個の多様化された識別子I1…Inが生成され、これらはそ
れぞれの陰影により補足されることによりn個の陰影付
きの多様化された識別子J1…Jnを生じる。カードにはn
個の逆認証情報B1〜Bnが含まれるようにし、これらによ
り Ji・Bi pmodN=1 なる関係を検証する。
FSとして示すこの処理では、各処理すなわち各反復は
(公開指数を2にとると)次のようになる。
− カードは、モジュロNの整数環における成分rをラ
ンダムに取り出し、次にこの成分の二乗の128ビットを
タイトルTの形態で検証者に伝送し; − 検証者はnビットのワード、すなわちb1…bnをラン
ダムに取り出し、このワードをカードに伝送し; − 次に、このカードは成分rとnビットb1…bnのワー
ド中の“1"ビットで示された逆認証情報との積を計算
し、更に該カードはこのようにして得た値t、すなわち t=r・(b1・B1−b1+1)・…・(bn・Bn−bn
1)modN をマーカとして検証者に伝送し、 − 検証者はこのマーカtをモジュロNの環中で二乗
し、次にこれにnビットのワードの“1"ビットで指定さ
れる多様化された陰影付き識別子を乗じることにより、
すなわち tp・(b1・J1−b1+1)・…・(bn・Jn−bn+1)mo
dN を求めることにより、このマーカtを検査する。
タイトルTの公開ビットが復元されれば真正さが証明
される。
いかなる人もマーカtをランダムに取出し、次に環中
でこのマーカを二乗し、これに多様化された識別子の選
択されたものを乗じることによりタイトルTを形成する
ことができる。実際、このタイトルが処理の開始時に与
えられ、尋ねられた質問が実際に予期した選択である場
合には、マーカtはカードを認証情報するような認可応
答となる。
このように、検証者による情報の取り出しを推測する
或いは予め知っている人にとっては、勝ちの戦略が存在
することになる。
反復を首尾良く行うためには、この場合は、不正使用
者はGMR処理におけるように最早単一ビットではなくn
ビットのワードを推測する必要がある。2n値が同様に起
こり得る場合には、認証情報(n)に反復回数(k)を
乗じることにより不正使用者に残される機会が指数関数
的に減少される。この場合、認証確認動作の安全率は2
knとなる。
各反復時には、被検証者は例えば128ビット(512ビッ
トの4分の1)と環の一つの成分とを送り、検証者はn
ビットを送る。また、各反復時には検証者とカードは二
乗値を計算すると共に、nビットのワード中の“1"ビッ
トの個数に等しい多数の乗算を実行する(ハミング加
重)。
反復の効率と該反復中に実行すべき乗算の最大回数と
の間の他の折衷策として、nビットのワード中の“1"ビ
ットの個数をある僅かな数に制限することができる。
この技術に関しては、1987年3月4〜6日にフランス
・パリで開催された会議“5thWorld Congress on Compu
ting and Communications Protection and Security"で
発表された論文“Unforgeable Proofs Identity"(Amos
FIAT及びAdi SHAMIR氏著)に開示されている。
添付の第2図は、第1図と同じ取り決めで、このFS処
理を図式的に示している。
認証情報を認証確認するためのこれらの処理は、認可
確認すべきと見なされる者(entity)により送出される
メッセージを認証確認するのに容易に適合することがで
きる。この場合、被検証者により送出されるタイトルT
は最早や上記の場合のように専らrpmodNによって形成さ
れるだけでなく、認証確認すべきメッセージmによって
も形成される。即ち、これらは変数がm及びrpmodNであ
るようなfで示す圧縮関数により得られる結果である。
第3及び4図は、技術S及びFSの場合の上述の処理を
図式的に示す。
これらの技術は、メッセージに署名を施すのに同様に
作用しうる。この場合、圧縮関数は検証者によるランダ
ムな取り出しに割当てられた役割を奏する。より詳細に
言えば、技術Sの処理(第5図)では、署名者(signat
ory)はモジュロNの整数環内におけるk個の成分r、
すなわちk回の反復の過程で取り出されるrの種々の値
の役割を奏するr1,r2,…rkを取り出す。署名者は、これ
らの整数の二乗のモジュロNをとり、圧縮関数f(m,r1
2modN,…rk 2modN)を計算し、ビットとしてd1,d2,…dk
を有する数Dを得る。この数の各ビットdiは前述した認
証情報の認証確認処理でランダムに取り出されたビット
が奏した役割を奏する。次に、署名者はi=1,2,…kで
あるk個のマーカti=riBdimodNを形成する。この場
合、署名されたメッセージは、m,I,d1,…dk,t1,…,tk
り成る多重項である。
このような署名付きメッセージを検証するためには、
マーカtiのモジュロNを二乗し、各二乗値にJdiのモジ
ュロNを乗じる。次に圧縮関数f(m,t1 2Jd1modN,…,tk
2JdkmodN)の計算を行い、得られた結果を数D、即ちビ
ットd1,d2,…dkと比較する。
数kは、メッセージに署名するのに適用する場合、認
証情報を認証確認する場合におけるよりも大きくする。
この数は、しばしば、60〜80ビット程度とするも、より
正確には少なくとも30ビットとする。実際には、上記検
証は最早や実時間で行われない為、不正使用者は偽の署
名を作るのに多くの時間を有する。
第5図及び第6図は技術S及びFSの各々の場合におけ
る上記処理を図式的に示す。従来のこれらの技術には或
る欠点がある。特に、多数の認証情報を伴う方法FSは、
メモリに大きなスペースを必要とする。更に、処理を繰
り返し行う必要がある為に情報交換の期間が長くなる。
また、多数のマーカがある為に、メッセージに署名を施
すためにこのメッセージに付加すべき情報項目が増える
ことになる。
本発明の目的は特に上述した欠点を改善することにあ
る。この目的のために、本発明は単一の認証情報(多数
の認証情報ではない)と、単一の処理(処理を繰り返す
のではない)とを用いる。
本発明の主題は特に認証情報を認証確認するシステム
と、メッセージを認証確認するシステム等に関するもの
で、これらシテムは何れも公開キーシステムに基づいて
認証情報を形成することと、零知識証明とを用いるもの
であって、 a) 認証情報を形成する処理に関する限り、該処理は
以下の演算、すなわち、 − 認証情報を発行する例えば銀行のような或る機関
の装置(権限局)は、2つの素数を選択し、これら2つ
の素数の積(N)を形成し、これら2つの素数を秘密に
し、整数pを選択し、かつNとpを公開し; − 認証情報の各保持者に対して、デジタル的な識別
子Iを形成し、次に冗長情報によって補足して陰影付き
識別子Jを形成し; − モジュロNの整数環内で上記陰影付き識別子のp
乗根をとることによって認証情報Aを前記機関の装置に
より形成し(ApmodN=J); − 前記機関の装置は、認証情報Aの逆数モジュロ
N、即ち逆認証情報と呼ばれる数B(この数Bは認証確
認されるべき認証情報を構成する)をメモリを含む適当
な媒体にロードさせる(BpJmodN=1)、 ような各演算を含む。
b) また、このようにして形成された認証情報の認証
確認処理に関する限り、この処理は、「被検証側」と称
される媒体(被検証局)と「検証側」と称される認証確
認素子(検証局)との間で行われる零知識証明タイプの
対話式且つ確率的なデジタル処理を含み、以下のような
演算を含む少なくとも1回のデジタル処理を有する、す
なわち、 − 被検証側が先ず、モジュロNの整数環の要素であ
るランダムな整数rを取り出し; − 被検証側が上記整数rのp乗のモジュロNをと
り、この結果をタイトルTとし; − 次いで被検証側が上記タイトルTのビットの少な
くとも一部を送出し; − 次に検証側が数Dをランダムに取り出し、かつ被
検証側に前記整数r及び逆認証情報Bに対して或る演算
を行なうように要求し、これらの演算を検証側によりラ
ンダムに取り出された数Dに関連させると共にモジュロ
Nの整数環内で実行させ; − 被検証側はマーカと称されるこれらの演算の結果
である数tを検証側に供給し; − 次に検証側は被検証側によって送出されたマーカ
t及び被検証側の陰影付き識別子Jに関連する演算を行
い、これらの演算そのものは検証側によりランダムに取
り出された上記数Dにも関連させると共にモジュロNの
整数環内で演算させ; − 検証側は、斯くして得た結果を、被検証側が当該
検証処置の開始時に供給したタイトルTのビットと比較
し、検証側がこれらのビットを再現することができた場
合に認証情報の認証を確認する、 ような各演算を有する。
そして、本発明によるシステムは、認証情報の認証確
認に関する限り、 権限局と被検証局と検証局とを有し、認証情報を認証確
認するシステムにおいて、 前記権限局は、前記被検証局にとって私的なものである
認証情報を生成すると共に該認証情報を前記被検証局に
記憶させる手段を有し、ここで前記認証情報は素数の公
開積Nをモジュロとする整数環内で陰影付き識別子Jの
p乗根の逆数を計算することにより形成され、また前記
pは2よりも大きい公開ベキ数であり、前記陰影付き識
別子Jは前記被検証局の識別子Iと該識別子Iに結合さ
れた冗長情報とから形成されたものであり、 前記被検証局は、 前記識別子Iと前記認証情報とを記憶する第1記憶手段
と、 モジュロNの整数環内のランダムな数rを取り出すと共
に、このランダム数rをモジュロNの整数環内で前記公
開ベキ数pで累乗してタイトルTを生成する第1処理手
段と、 前記識別子Iと前記タイトルTとを前記検証局に伝送す
る第1伝送手段と、 を有し、前記検証局は、 0以上(p−1)以下の範囲内でランダムな指数Dを取
り出す第2処理手段と、 前記ランダム指数Dを前記被検証局に伝送する第2伝送
手段と、 を有し、更に、 前記第1処理手段は、前記モジュロNの整数環内で前記
ランダム数rと、前記ランダム指数Dにより累乗された
前記認証情報との積をマーカtとして形成するようにも
構成され、 前記第1伝送手段は、前記マーカtを前記検証局に伝送
するようにも構成され、 前記第2処理手段は、前記モジュロNの整数環内で前記
マーカtのp乗と前記陰影付き識別子JのD乗との積を
算出すると共に、これにより算出された結果を先に受信
された前記タイトルTとビット単位で比較することによ
り前記認証情報を認証確認するようにも構成されてい
る、 ことを特徴としている。
上記認証情報の正真さは、単一の処理により得られ
る。何故なら、被検証局により送出されるタイトルの全
ビットが検証局によりtpJDmodNとして再現されるからで
ある。
さらに本発明は、メッセージの認証確認に関する限
り、権限局と被検証局と検証局とを有し、被検証局から
検証局へ送られるメッセージmを認証確認するシステム
であって、 前記権限局は、前記被検証局にとって私的なものであ
る認証情報を生成すると共に該認証情報を該被検証局に
記憶させる手段を有し、ここで前記認証情報は素数の公
開積Nをモジュロとする整数環内で陰影付き識別子Jの
p乗根の逆数を計算することにより形成され、また前記
pは2よりも大きい公開ベキ数であり、前記陰影付き識
別子Jは前記被検証局の識別子Iと該識別子Iに結合さ
れた冗長情報とから形成されたものであり、 前記被検証局は、 前記識別子Iと該被検証局の前記認証情報とを記憶する
第1記憶手段と、 モジュロNの整数環内のランダムな数rを取り出し且つ
該ランダム数rをモジュロNの整数環内で前記公開ベキ
数pにより累乗して第1の結果を得ると共に、前記メッ
セージmと前記第1の結果とを変数とする圧縮関数fを
用いて圧縮結果を生成させることによりタイトルTを形
成する第1処理手段と、 前記メッセージmと、前記識別子Iと、前記タイトルT
とを前記検証局に伝送する第1伝送手段と、 を有し、前記検証局は、 0以上p−1以下の範囲内でランダムな指数Dを取り出
す第2処理手段と、 前記ランダム指数Dを前記被検証局に伝送する第2伝送
手段と、 を有し、更に、 前記第1処理手段は、前記モジュロNの整数環内で、前
記ランダム数rと前記ランダム指数Dにより累乗された
前記認証情報との積をマーカtとして形成するようにも
構成され、 前記第1伝送手段は前記マーカtを前記検証局に伝送す
るようにも構成され、 前記第2処理手段は、受信された前記メッセージmと、
前記モジュロNの整数環内で前記マーカtのp乗と前記
陰影付き識別子JのD乗との積を算出することにより算
出された結果とを変数とする前記圧縮関数fを用いるこ
とにより圧縮結果を生成させると共に、この圧縮結果を
先に受信されたタイトルTとビット単位で比較すること
により前記メッセージを認証確認するようにも構成され
ている、 ことを特徴としている。
メッセージの正真さは、単一の処理により当該処理の
終了時に得られる。何故なら、検証局により得られる圧
縮関数の結果の全ビットと被検証局により送出されるタ
イトルの対応するビットは等しい筈であるからである。
最後に、本発明の他の主題はメッセージに署名を施す
処理である。この場合、署名者の認証情報は上述した既
知の公開キー処理に基づいて形成され、署名は以下のよ
うな演算を含む確率的デジタル処理からなる。即ち、 − 署名者は、モジュロNの整数環の要素である少なく
とも1つの整数rをランダムに取り出し、 − 署名者は、この整数rをp乗してモジュロNをと
り、 − 署名者は、署名すべきメッセージmと、得られた上
記ベキ数rpmodNとを変数として採用して圧縮係数fを計
算し、 − 署名者は、rと逆認証情報Bとに或る演算を実行す
ることにより少なくとも1つのマーカtを形成し、これ
ら演算をランダムに取り出されたワードDに関連させる
と共にモジュロNの整数環内で実行するようにし、 − 署名者は、上記メッセージmと、該署名者の識別子
Iと、ワードDと、マーカ(又は複数のマーカ)rとを
送信し、ここで、これら全体が署名付きメッセージを形
成しているものとする。
そして本発明は、権限局と被検証局と検証局とを有
し、認証情報を介してメッセージmの署名を検証するシ
ステムにおいて、 前記権限局は、前記被検証局にとって私的なものである
認証情報を生成すると共に該認証情報を前記被検証局に
記憶させる手段を有し、ここで前記認証情報は素数の公
開積Nをモジュロとする整数環内で前記被検証局の陰影
付き識別子Jのp乗根の逆数を計算することにより形成
され、また前記pは2よりも大きい公開ベキ数であり、
前記陰影付き識別子Jは前記被検証局の識別子Iと該識
別子Iに結合された冗長情報とから形成されたものであ
り、 前記被検証局は、 前記識別子Iと前記認証情報とを記憶する第1記憶手段
と、 モジュロNの整数環内でランダムな数rを取り出し、こ
のランダム数rをモジュロNの整数環内で前記公開ベキ
数pにより累乗して第1の結果を求め、前記メッセージ
mと前記第1の結果とに対して実行される圧縮関数fに
よりワードDを形成し、且つ、前記モジュロNの整数環
内でマーカtを前記ランダム数rと前記認証情報のD乗
との積として形成する第1処理手段と、 前記メッセージmと、前記識別子Iと、前記ワードD
と、前記マーカtとを署名付きメッセージMとして伝送
する第1伝送手段と、 を有し、 前記検証局は、前記メッセージmと、モジュロNの整数
環内で前記マーカtのp乗と前記陰影付き識別子JのD
乗との積を算出することにより算出される結果とを変数
として前記圧縮関数fに適用することにより圧縮結果を
得ると共に、該圧縮結果を先に受信された前記ワードD
とビット単位で比較することにより前記署名を認証確認
する第2処理手段を有していることを特徴としている。
最初の2つのシステムにおいては、数pは少なくとも
10ビットを有し、好ましくは16ビット〜24ビットの間と
する。
一方、署名を施すシステムにおいては、数pはもっと
大きく、数十ビット、例えば60〜80ビット、又は何れに
せよ少なくとも30ビットを有するものとする。
事実、数pは基本的な処理の安全係数となる。pが追
求する目的に対して適切であるなら、単一の包括的認証
情報のみしか利用できないとしても、単一の処理で満足
のゆくものとなる。
以下、本発明の好適な実施例を図面につき説明する。
第7図〜第9図に用いられる取決めは、第1〜6図の
取決めと同様とする。全ての場合において、認証情報は
大きな数であるpを用いて得られている。この認証情報
は、pを、2又は3とした比較的“うわべだけのもの”
であるような通常の認証情報とは反対に、“包括的なも
の”と称されている。
従って、スマートカードの場合には、次のような処理
が実行される。
● カードは、モジュロNの整数環内で成分r(1≦r
≦N−1)をランダムに取り出し、この成分の128ビッ
トの公開ベキ数をタイトルTの形態で伝送する(rpmod
N); ● 検証側は、0からp−1までのうちから或る指数D
をとり、この指数をカードに伝送する; ● カードは、成分rと認証情報BのD乗との積(環内
での)であるマーカt(t=r・BDmodN)を計算する; ● 検証側は、マーカtのp乗と、陰影付き識別子Jの
D乗との積、即ちtPJDmodNを環内で計算する。
タイトルTの全部の公開ビットが再現さた場合に証拠
(カードの認証情報)が受入れられる。
検証側の質問(指数D)を推測したものは、ランダム
にマーカtを取り出し、次いで検証側の計算を前もって
実施する、即ちマーカtのp乗と陰影付き識別子JのD
乗との積を環内で前もって計算することができる。タイ
トルTが繰り返し演算の開始時に与えられ、且つ、提起
された質問が実際にDであった場合には、マーカtは許
容し得る応答となる。
推測する人の勝の戦略を示す上記理由付けは、成功裏
の演算の記録から発生するデータと、繰返しの発生順序
を逆転する(即ち、タイトルの前に指数を選択する)こ
とにより構成される“みかけの情報”から発生するデー
タと、を区別することができないことを示している。検
証側は、該検証側が単独で発生することができた情報項
目からは被検証側との対話なしでは識別し得ないような
情報項目を集めており、これは実際上認証情報がカード
内で秘密に保持されることを示している。
認証確認処理を首尾よく成功させるためには、不正使
用者は指数Dを推測する必要がある。指数Dのp値が同
様に起こり得るなら、不正使用者に対し残されたチャン
スは1/pである。従って、安全係数はpとなる。
かかる処理では、被検証側は約100ビットと、環内の
成分とを伝送し、検証側は指数Dを伝送する。処理を完
了させるためには、被検証側は、先ず、ランダムに取り
出した成分rの公開ベキ数を計算し、次いで、この成分
rと認証情報BのD乗との積を計算する。検証側はタイ
トルTの再現のために僅かに少ない計算を実行する。そ
の理由は、検証側は、ベキ数の計算、即ち陰影付き識別
子JのD乗とマーカtのp乗とを賢く組み合わせること
ができるからである。
指数pが216なる値を有する場合には、指数Dは16ビ
ットの数となる。従って、安全係数を216(即ち65536)
とする単一処理では、被検証側は環内で16回の平方を計
算し、次いで、16回の平方と平均で8回の乗算とを計算
する。検証側は、16回の平方のみを計算し、かつ、平均
して8回の乗算で計算を進める。
メッセージの認証確認方法を第8図に同一の取決めで
示すが、第7図との相違点は圧縮関数fを形成すること
のみにある。
メッセージに署名するためには、包括的なpの認証情
報Bの保持者は、環内の成分rをランダムにとり、次い
で、この成分rの公開ベキ数(rpmodN)を計算する。次
ぎに、保持者はメッセージmと成分rの公開ベキ数との
連接に適用される圧縮関数fによって指数Dを発生す
る。また、マーカtは上記成分rと認証情報BのD乗と
の積である。そして、署名されたメッセージは、メッセ
ージmと、識別子Iと、指数Dと、マーカtとの連接で
ある。
署名を検証するために、検証側はマーカtのp乗と、
(宣言した識別子Iから再構成される)陰影付き識別子
JのD乗との積を環内で計算して、成分rの公開ベキ数
であるべきものを再構成する。最後に、検証側は、前記
メッセージと、再構成された上記公開ベキ数との連接に
前記関数fを適用することにより指数Dを再現する。こ
れを第9図に示す。
pを64個の任意のビットとする場合、署名者(signat
ory)は約192回の乗算を環内で行い、演算を完了し得る
ようにする(署名者は64ビットの指数で2のベキ数を組
合わせることなく順次計算しなければならない)。この
複雑さは、RSA処理の複雑さ(即ち、512ビットの合成数
の指数モジュロに対して平均で768回の乗算、及び1024
ビットの合成数に対して1536回の乗算)より著しく簡潔
となっている。
pを64個の任意ビットとすると、検証者は約112回の
乗数を行えばよい。その理由は、検証者は演算を64回の
平方と平均して3回の16回の乗算とで組み合わせて、単
一ステップでtpJDmodNを計算し得るからである。この場
合、幸なことに、認証確認は署名の形成より簡単とな
る。その理由は、各署名は数回検証を行うからである。
しかし、指数pとして264(即ち、2のベキ数)を選
択して当該システムの安全性を変更することなく、計算
を簡単化することも可能である。この場合、p乗は64回
の平方でなされる。また、指数Dを64ビットの数とす
る。従って、署名は160の乗算で実行される。署名の検
証は平均して環内での96の乗算、即ち、512ビットによ
るRSAの12.5%、及び1024ビットによるRSAの6.2%、で
反映されるようになる。
同一カード内に64個の多重認証情報を伴う上述した処
理FSでは、1回の平方及び平均で32回の乗算を必要とす
る。このように、包括的な認証情報を含む本発明方法
は、3程度の増加係数による余分な計算を犠牲にして利
用される。従来技術で、カードには8個の認証情報及び
署名には8個のマーカのような制限がある場合(5つの
乗算で8回の繰返し、即ち、40個の乗算)には、上記比
は本発明に有利となる方向に更に僅かではあるが減少す
る。
又、公開指数として264+1(即ち、奇数)を選択す
ることも確かにできる。公開ベキ数を計算するために、
ただ一個の乗算を補充することを犠牲にすることによ
り、環内の平方余剰に関して、このようにして或る制限
が解除される(指数pが偶数である場合には、環内の数
個の要素がp乗根に相当するが、ただ1個のみが適切で
ある)。
第10図は、特に認証確認処理を実行すべく本発明を実
現することを可能にするコンピュータを線図的に示す。
簡単化のために、このコンピュータと通信する他の局
(station)は図示しない。いずれかの又は両方の局
は、他の目的のために広く公開されている、所謂スマー
トカード内で物理的に達成することができる。
図示のコンピュータは、入出力インターフェース10
と、中央処理装置CUと、読出し専用型のプログラマブル
メモリ(PROM)と、読出し専用メモリ(ROM)と、ラン
ダムアクセスメモリ(RAM)とを具える。このコンピュ
ータは、更に、ノイズ発生器型又はランダム発生器型の
素子Gを具える。
メモリPROMに記録された認証情報及び識別子情報項目
には、外部からアクセスすることはできない。プログラ
ムはメモリROM内に記録されている。また、メモリRAMは
計算結果を記憶する。更に、発生器Gは当該処理に関連
する種々の数(r,D)を取り出すために使用される。
上記中央処理装置及び各メモリは、米国特許第4,382,
279号に記載されているようなモノリシック自己プログ
ラマブルマイクロコンピュータで構成することができ
る。
また、前記圧縮関数はDES(データ暗号化基準)アル
ゴリズムに依存させることができる。この場合、このDE
Sアルゴリズムを実行するスマートカードが存在する。
【図面の簡単な説明】
第1図は、確率的処理を示す図式的説明図、 第2図は、同じくFS処理を示す図式的説明図、 第3図及び第4図は、同じく技術S及びFSに対する処理
を各々示す図式的説明図、 第5図及び第6図は、同じく技術SおよびFSに対する署
名処理を各々示す説明図、 第7図は、本発明による認証情報の認証確認方法を示す
説明図、 第8図は、本発明によるメッセージの認証確認方法を示
す説明図、 第9図は、本発明によるメッセージに署名する処理を示
す説明図、 第10図は、本発明方法を実現する装置を示すブロック図
である。 IO……入出力インターフェース CU……中央処理装置 PROM……プログラマブル読取専用メモリ ROM……読取り専用メモリ RAM……ランダムアクセスメモリ G……ノイズ又はランダム発生器
フロントページの続き (73)特許権者 999999999 コーニンクレッカ フィリップス エレ クトロニクス エヌ ヴィ オランダ国5621 ベーアー アインド- フェン フルーネバウツウェッハ1 (72)発明者 ルイ・セ・ギルー フランス国エフ‐35510 レン ベペ59 リュ ドウ クロ クルテル(番地な し) (72)発明者 ジャン−ジャック・キスカテール ベルギー国1170 ブリュセル アブニュ ヴァン ベセラエル 2

Claims (9)

    (57)【特許請求の範囲】
  1. 【請求項1】権限局と被検証局と検証局とを有し、認証
    情報を認証確認するシステムにおいて、 前記権限局は、前記被検証局にとって私的なものである
    認証情報を生成すると共に該認証情報を前記被検証局に
    記憶させる手段を有し、ここで前記認証情報は素数の公
    開積Nをモジュロとする整数環内で陰影付き識別子Jの
    p乗根の逆数を計算することにより形成され、また前記
    pは2よりも大きい公開ベキ数であり、前記陰影付き識
    別子Jは前記被検証局の識別子Iと該識別子Iに結合さ
    れた冗長情報とから形成されたものであり、 前記被検証局は、 前記識別子Iと前記認証情報とを記憶する第1記憶手段
    と、 モジュロNの整数環内のランダムな数rを取り出すと共
    に、このランダム数rをモジュロNの整数環内で前記公
    開ベキ数pで累乗してタイトルTを生成する第1処理手
    段と、 前記識別子Iと前記タイトルTとを前記検証局に伝送す
    る第1伝送手段と、 を有し、前記検証局は、 0以上(p−1)以下の範囲内でランダムな指数Dを取
    り出す第2処理手段と、 前記ランダム指数Dを前記被検証局に伝送する第2伝送
    手段と、 を有し、更に、 前記第1処理手段は、前記モジュロNの整数環内で前記
    ランダム数rと、前記ランダム指数Dにより累乗された
    前記認証情報との積をマーカtとして形成するようにも
    構成され、 前記第1伝送手段は、前記マーカtを前記検証局に伝送
    するようにも構成され、 前記第2処理手段は、前記モジュロNの整数環内で前記
    マーカtのp乗と前記陰影付き識別子JのD乗との積を
    算出すると共に、これにより算出された結果を先に受信
    された前記タイトルTとビット単位で比較することによ
    り前記認証情報を認証確認するようにも構成されてい
    る、 ことを特徴とする認証情報を認証確認するシステム。
  2. 【請求項2】当該被検証局にとって私的である認証情報
    を認証確認させる被検証局において、前記被検証局は、 該被検証局の識別子Iと前記認証情報とを記憶する記憶
    手段と、 モジュロNの整数環内のランダムな数rを取り出すと共
    に、このランダム数rをモジュロNの整数環内で公開ベ
    キ数pで累乗してタイトルTを生成する処理手段であっ
    て、前記Nが素数の公開積であり、前記公開ベキ数pが
    2よりも大きな数であるような処理手段と、 前記識別子Iと前記タイトルTとを検証局に伝送する伝
    送手段と、 0以上(p−1)以下の範囲内のランダムな指数Dを受
    信する受信手段と、 を有し、前記認証情報は素数の公開積Nをモジュロとす
    る整数環内で陰影付き識別子Jのp乗根の逆数を計算す
    ることにより形成され、前記陰影付き識別子Jは前記被
    検証局の識別子Iと該識別子Iに結合された冗長情報と
    から形成されたものであり、 前記処理手段は、前記モジュロNの整数環内で前記ラン
    ダム数rと、前記ランダム指数Dにより累乗された前記
    認証情報との積をマーカtとして形成するようにも構成
    され、 前記伝送手段は、前記マーカtを検証するために検証局
    に伝送するようにも構成されていることを特徴とする認
    証情報を認証確認させる被検証局。
  3. 【請求項3】被検証局の認証情報を認証確認する検証局
    において、前記検証局は、 前記被検証局から識別子IとタイトルTとを受信する受
    信手段と、 0以上(p−1)以下の範囲でランダムな指数Dを取り
    出す処理手段であって、前記pが2よりも大きい公開ベ
    キ数であるような処理手段と、 前記ランダム指数Dを被検証局に伝送する伝送手段と、 を有し、前記認証情報は素数の公開積Nをモジュロとす
    る整数環内で陰影付き識別子Jのp乗根の逆数を計算す
    ることにより形成され、前記陰影付き識別子Jは前記被
    検証局の識別子Iと該識別子Iに結合された冗長情報と
    から形成されたものであり、 前記受信手段が前記被検証局からマーカtを受信するよ
    うにも構成され、 前記処理手段は、モジュロNの整数環内で前記マーカt
    のp乗と前記陰影付き識別子JのD乗との積を算出する
    と共に、この算出された結果を先に受信された前記タイ
    トルTとビット単位で比較することにより前記認証情報
    を認証確認するようにも構成されていることを特徴とす
    る認証情報を認証確認する検証局。
  4. 【請求項4】権限局と被検証局と検証局とを有し、メッ
    セージmを認証確認するシステムであって、 前記権限局は、前記被検証局にとって私的なものである
    認証情報を生成すると共に該認証情報を該被検証局に記
    憶させる手段を有し、ここで前記認証情報は素数の公開
    積Nをモジュロとする整数環内で陰影付き識別子Jのp
    乗根の逆数を計算することにより形成され、また前記p
    は2よりも大きい公開ベキ数であり、前記陰影付き識別
    子Jは前記被検証局の識別子Iと該識別子Iに結合され
    た冗長情報とから形成されたものであり、 前記被検証局は、 前記識別子Iと該被検証局の前記認証情報とを記憶する
    第1記憶手段と、 モジュロNの整数環内のランダムな数rを取り出し且つ
    該ランダム数rをモジュロNの整数環内で前記公開ベキ
    数pにより累乗して第1の結果を得ると共に、前記メッ
    セージmと前記第1の結果とを変数とする圧縮関数fを
    用いて圧縮結果を生成させることによりタイトルTを形
    成する第1処理手段と、 前記メッセージmと、前記識別子Iと、前記タイトルT
    とを前記検証局に伝送する第1伝送手段と、 を有し、前記検証局は、 0以上p−1以下の範囲内でランダムな指数Dを取り出
    す第2処理手段と、 前記ランダム指数Dを前記被検証局に伝送する第2伝送
    手段と、 を有し、更に、 前記第1処理手段は、前記モジュロNの整数環内で、前
    記ランダム数rと前記ランダム指数Dにより累乗された
    前記認証情報との積をマーカtとして形成するようにも
    構成され、 前記第1伝送手段は前記マーカtを前記検証局に伝送す
    るようにも構成され、 前記第2処理手段は、受信された前記メッセージmと、
    前記モジュロNの整数環内で前記マーカtのp乗と前記
    陰影付き識別子JのD乗との積を算出することにより算
    出された結果とを変数とする前記圧縮関数fを用いるこ
    とにより圧縮結果を生成させると共に、この圧縮結果を
    先に受信されたタイトルTとビット単位で比較すること
    により前記メッセージを認証確認するようにも構成され
    ている、 ことを特徴とするメッセージを認証確認するシステム。
  5. 【請求項5】当該被検証局にとって私的なものである認
    証情報に基づいてメッセージmを認証確認させる被検証
    局において、該被検証局は、 当該被検証局の識別子Iと前記認証情報とを記憶する記
    憶手段と、 素数の公開積Nをモジュロとする整数環内でランダムな
    数rを取り出し且つ該ランダム数rを前記モジュロNの
    整数環内で公開ベキ数pにより累乗して第1の結果を得
    ると共に、前記メッセージmと上記第1の結果とを変数
    とする圧縮関数fを用いて圧縮結果を生成することによ
    りタイトルTを形成する処理手段であって、前記pが2
    よりも大きな前記公開ベキ数であるような処理手段と、 前記メッセージmと、前記識別子Iと、前記タイトルT
    とを検証局に伝送する伝送手段と、 0以上p−1以下の範囲内のランダムな指数Dを受信す
    る受信手段と、 を有し、前記認証情報はモジュロNの整数環内で陰影付
    き識別子Jのp乗根の逆数を計算することにより形成さ
    れ、前記陰影付き識別子Jは前記被検証局の識別子Iと
    該識別子Iに結合された冗長情報とから形成されたもの
    であり、 前記処理手段は、前記モジュロNの整数環内で、前記ラ
    ンダム数rと、前記ランダム指数Dにより累乗された前
    記認証情報との積をマーカtとして形成するようにも構
    成され、 前記伝送手段は、前記マーカtを認証確認のために前記
    検証局に伝送するようにも構成されていることを特徴と
    するメッセージを認証確認させる被検証局。
  6. 【請求項6】被検証局からのメッセージmを認証確認す
    る検証局において、前記検証局は、 前記被検証局からメッセージmと、識別子Iと、タイト
    ルTとを受信する受信手段と、 0以上p−1以下の範囲でランダムな指数Dを取り出す
    処理手段であって、前記pが2よりも大きい公開ベキで
    あるような処理手段と、 前記ランダム指数Dを前記被検証局に伝送する伝送手段
    と、 を有し、 前記受信手段は前記被検証局からマーカtを受信するよ
    うにも構成され、 前記処理手段は、受信された前記メッセージmと、モジ
    ュロNの整数環内で前記マーカtのp乗と前記陰影付き
    識別子JのD乗との積を算出することにより算出される
    結果とを変数とする圧縮関数fを用いることにより圧縮
    結果を生成すると共に、この圧縮結果を先に受信された
    タイトルTとビット単位で比較することにより前記メッ
    セージを認証確認するようにも構成され、ここで前記N
    は素数の公開積であり、 前記陰影付き識別子Jは前記被検証局の識別子Iと該識
    別子Iに結合された冗長情報とから形成されたものであ
    る、 ことを特徴とするメッセージを認証確認する検証局。
  7. 【請求項7】権限局と被検証局と検証局とを有し、認証
    情報を介してメッセージmの署名を検証するシステムに
    おいて、 前記権限局は、前記被検証局にとって私的なものである
    認証情報を生成すると共に該認証情報を前記被検証局に
    記憶させる手段を有し、ここで前記認証情報は素数の公
    開積Nをモジュロとする整数環内で前記被検証局の陰影
    付き識別子Jのp乗根の逆数を計算することにより形成
    され、また前記pは2よりも大きい公開ベキ数であり、
    前記陰影付き識別子Jは前記被検証局の識別子Iと該識
    別子Iに結合された冗長情報とから形成されたものであ
    り、 前記被検証局は、 前記識別子Iと前記認証情報とを記憶する第1記憶手段
    と、 モジュロNの整数環内でランダムな数rを取り出し、こ
    のランダム数rをモジュロNの整数環内で前記公開ベキ
    数pにより累乗して第1の結果を求め、前記メッセージ
    mと前記第1の結果とに対して実行される圧縮関数fに
    よりワードDを形成し、且つ、前記モジュロNの整数環
    内でマーカtを前記ランダム数rと前記認証情報のD乗
    との積として形成する第1処理手段と、 前記メッセージmと、前記識別子Iと、前記ワードD
    と、前記マーカtとを署名付きメッセージMとして伝送
    する第1伝送手段と、 を有し、 前記検証局は、前記メッセージmと、モジュロNの整数
    環内で前記マーカtのp乗と前記陰影付き識別子JのD
    乗との積を算出することにより算出される結果とを変数
    として前記圧縮関数fに適用することにより圧縮結果を
    得ると共に、該圧縮結果を先に受信された前記ワードD
    とビット単位で比較することにより前記署名を認証確認
    する第2処理手段を有していることを特徴とするメッセ
    ージの署名を検証するシステム。
  8. 【請求項8】当該被検証局にとって私的な認証情報を介
    してメッセージmに署名する被検証局において、該被検
    証局は、 当該被検証局の識別子Iと、前記認証情報とを記憶する
    記憶手段と、 モジュロNの整数環内でランダムな数rを取り出し、前
    記モジュロNの整数環内において前記ランダム数rを公
    開ベキ数pにより累乗して第1の結果を求め、ここにN
    は素数の公開積であり、前記公開ベキ数pは2よりも大
    きな数とし、前記メッセージmと前記第1の結果とに対
    して実行される圧縮関数fによりワードDを形成し、且
    つ、前記モジュロNの整数環内でマーカtを前記ランダ
    ム数rと前記認証情報のD乗との積として形成する処理
    手段と、 前記メッセージmと、前記識別子Iと、前記ワードD
    と、前記マーカtとを署名付きメッセージMとして検証
    局に検証のために伝送する伝送手段と、を有し、前記認
    証情報は素数の公開積Nをモジュロとする整数環内で陰
    影付き識別子Jのp乗根の逆数を計算することにより形
    成され、前記陰影付き識別子Jは前記被検証局の識別子
    Iと該識別子Iに結合された冗長情報とから形成された
    ものである、 ことを特徴とするメッセージに署名する被検証局。
  9. 【請求項9】被検証局により発生されたメッセージmの
    署名を検証する検証局において、前記検証局は、 前記被検証局から前記メッセージmと、前記被検証局の
    識別子Iと、ワードDと、マーカtとを署名付きメッセ
    ージMとして受信する受信手段と、 前記メッセージmと、モジュロNの整数環内で前記マー
    カtのp乗と陰影付き識別子JのD乗との積を算出する
    ことにより算出される結果とを変数として圧縮関数fに
    適用することにより圧縮結果を算出すると共に、該圧縮
    結果を先に受信された前記ワードDとビット単位で比較
    することにより前記署名を認証確認する処理手段であっ
    て、前記pが2よりも大きい公開ベキ数であり、前記陰
    影付き識別子Jが前記被検証局の識別子Iと該識別子I
    に結合された冗長情報とから形成されたものであり、前
    記Nが素数の公開積であるような処理手段と、 を有していることを特徴とするメッセージの署名を検証
    する検証局。
JP22436388A 1987-09-07 1988-09-07 認証情報の認証確認用システム Expired - Fee Related JP3158118B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR8712366 1987-09-07
FR8712366A FR2620248B1 (fr) 1987-09-07 1987-09-07 Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de messages

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2000114230A Division JP2000358027A (ja) 1987-09-07 2000-04-14 認証情報の認証確認用システム

Publications (2)

Publication Number Publication Date
JPH01133092A JPH01133092A (ja) 1989-05-25
JP3158118B2 true JP3158118B2 (ja) 2001-04-23

Family

ID=9354667

Family Applications (2)

Application Number Title Priority Date Filing Date
JP22436388A Expired - Fee Related JP3158118B2 (ja) 1987-09-07 1988-09-07 認証情報の認証確認用システム
JP2000114230A Pending JP2000358027A (ja) 1987-09-07 2000-04-14 認証情報の認証確認用システム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2000114230A Pending JP2000358027A (ja) 1987-09-07 2000-04-14 認証情報の認証確認用システム

Country Status (10)

Country Link
EP (1) EP0311470B1 (ja)
JP (2) JP3158118B2 (ja)
KR (1) KR960008209B1 (ja)
AT (1) ATE83573T1 (ja)
AU (1) AU613084B2 (ja)
CA (1) CA1295706C (ja)
DE (1) DE3876741T2 (ja)
ES (1) ES2037260T3 (ja)
FI (1) FI97170C (ja)
FR (1) FR2620248B1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2663141B1 (fr) * 1990-06-11 1992-08-21 France Etat Procede de transfert de secret, par echange de deux certificats entre deux microcalculateurs s'authentifiant reciproquement.
US4868877A (en) * 1988-02-12 1989-09-19 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5005200A (en) * 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
FR2654288B1 (fr) * 1989-11-08 1996-11-29 Europ Rech Electr Lab Procede d'authentification d'une carte a microprocesseur et systeme le mettant en óoeuvre.
EP0570388B1 (en) * 1991-02-07 1995-05-24 THOMSON multimedia Method, identification device and verification device for identification and/or performing digital signature
FR2718311A1 (fr) * 1994-03-30 1995-10-06 Trt Telecom Radio Electr Dispositif de mise en Óoeuvre d'un système de signature de message et carte à puce comportant un tel dispositif.
US5539828A (en) * 1994-05-31 1996-07-23 Intel Corporation Apparatus and method for providing secured communications
FR2747257B1 (fr) * 1996-04-09 1998-09-11 Gilbert Henri Procede d'identification et/ou de signature
FR2763452B1 (fr) * 1997-05-13 1999-06-18 France Telecom Procede d'identification a cle publique
FR2763451B1 (fr) * 1997-05-13 1999-06-18 France Telecom Procede d'identification a cle publique utilisant deux fonctions de hachage
FR2773406B1 (fr) * 1998-01-06 2003-12-19 Schlumberger Ind Sa Procede d'authentification de cartes a circuit integre
FR2788911A1 (fr) * 1999-01-27 2000-07-28 France Telecom Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
FR2788910A1 (fr) * 1999-01-27 2000-07-28 France Telecom Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
EP1145473B1 (fr) * 1999-01-27 2019-04-17 Callahan Cellular L.L.C. Procédé, système, dispositif destinés à prouver l'authenticité d'une entité et/ou l'integrité et/ou l'authenticité d'un message aux moyens de facteurs premiers particuliers
EP1216536A1 (fr) * 1999-10-01 2002-06-26 France Telecom Jeux de cles particuliers destines a prouver l'authenticite d'une entite ou l'integrite d'un message
KR20020060189A (ko) * 1999-10-01 2002-07-16 마드 리즈크 엔티티의 인증성 또는 메시지의 무결성을 검증하기 위한특수 키 세트
FR2822002B1 (fr) 2001-03-12 2003-06-06 France Telecom Authentification cryptographique par modules ephemeres
US7631196B2 (en) 2002-02-25 2009-12-08 Intel Corporation Method and apparatus for loading a trustable operating system
US7444512B2 (en) * 2003-04-11 2008-10-28 Intel Corporation Establishing trust without revealing identity
US8037314B2 (en) 2003-12-22 2011-10-11 Intel Corporation Replacing blinded authentication authority
US7802085B2 (en) 2004-02-18 2010-09-21 Intel Corporation Apparatus and method for distributing private keys to an entity with minimal secret, unique information
US8924728B2 (en) 2004-11-30 2014-12-30 Intel Corporation Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information
US7809957B2 (en) 2005-09-29 2010-10-05 Intel Corporation Trusted platform module for generating sealed data
US8014530B2 (en) 2006-03-22 2011-09-06 Intel Corporation Method and apparatus for authenticated, recoverable key distribution with no database secrets

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2102606B (en) * 1981-06-19 1985-01-30 Nat Res Dev Apparatus and methods for making payments electronically
FR2536928B1 (fr) * 1982-11-30 1989-10-06 France Etat Systeme pour chiffrer et dechiffrer des informations, du type utilisant un systeme de dechiffrement a cle publique
US4748668A (en) * 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature

Also Published As

Publication number Publication date
EP0311470A1 (fr) 1989-04-12
JPH01133092A (ja) 1989-05-25
DE3876741T2 (de) 1993-06-24
ATE83573T1 (de) 1993-01-15
ES2037260T3 (es) 1993-06-16
CA1295706C (en) 1992-02-11
KR960008209B1 (ko) 1996-06-20
FR2620248B1 (fr) 1989-11-24
JP2000358027A (ja) 2000-12-26
EP0311470B1 (fr) 1992-12-16
DE3876741D1 (de) 1993-01-28
AU2197188A (en) 1989-03-23
AU613084B2 (en) 1991-07-25
FI97170B (fi) 1996-07-15
FI97170C (fi) 1996-10-25
FI884082A0 (fi) 1988-09-05
KR890005634A (ko) 1989-05-16
FI884082A (fi) 1989-03-08
FR2620248A1 (fr) 1989-03-10

Similar Documents

Publication Publication Date Title
JP3158118B2 (ja) 認証情報の認証確認用システム
US5140634A (en) Method and apparatus for authenticating accreditations and for authenticating and signing messages
US7822987B2 (en) Data card verification system
US5955717A (en) Transaction verification protocol for Smart Cards
AU592207B2 (en) Method, apparatus and article for identification and signature
EP0202768B1 (en) Technique for reducing rsa crypto variable storage
Brickell et al. An interactive identification scheme based on discrete logarithms and factoring
Gennaro et al. RSA-based undeniable signatures
US9882890B2 (en) Reissue of cryptographic credentials
WO1998034202A9 (en) Data card verification system
TW201320700A (zh) 署名驗證裝置、署名驗證方法、程式及記錄媒體
JPH06505343A (ja) 識別および/またはディジタル署名を行うための方法および識別装置並びに検証装置
JP4809310B2 (ja) エンティティの真正性又はメッセージの完全性を証明するための方法、システム、デバイス
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
Guillou et al. Public-key techniques: randomness and redundancy
JPH09200198A (ja) メッセージ認証システム
CA2543094C (en) Transaction verification protocol for smart cards
Fiat et al. and Signature Problems
JP2003309551A (ja) 暗号鍵保管装置
RECEIPTS ZERO-KNOWLEDGE PROOFS OF IDENTITY AND VERACITY OF TRANSACTION RECEIPTS a) Gustavus J. Simmons' and George B. Purdyb) a) Sandia National Laboratories

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees