JP4772965B2 - エンティティの真正性および/またはメッセージの完全性を証明するための方法 - Google Patents

エンティティの真正性および/またはメッセージの完全性を証明するための方法 Download PDF

Info

Publication number
JP4772965B2
JP4772965B2 JP2000596696A JP2000596696A JP4772965B2 JP 4772965 B2 JP4772965 B2 JP 4772965B2 JP 2000596696 A JP2000596696 A JP 2000596696A JP 2000596696 A JP2000596696 A JP 2000596696A JP 4772965 B2 JP4772965 B2 JP 4772965B2
Authority
JP
Japan
Prior art keywords
mod
commitment
response
demonstrator
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2000596696A
Other languages
English (en)
Other versions
JP2003513480A5 (ja
JP2003513480A (ja
Inventor
ギユ,ルイ
キスクワテル,ジャン‐ジャック
Original Assignee
ファンタム・ダイアー・エヌヴェー・エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR9901065A external-priority patent/FR2788910A1/fr
Priority claimed from FR9903770A external-priority patent/FR2788911A1/fr
Application filed by ファンタム・ダイアー・エヌヴェー・エルエルシー filed Critical ファンタム・ダイアー・エヌヴェー・エルエルシー
Publication of JP2003513480A publication Critical patent/JP2003513480A/ja
Publication of JP2003513480A5 publication Critical patent/JP2003513480A5/ja
Application granted granted Critical
Publication of JP4772965B2 publication Critical patent/JP4772965B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Complex Calculations (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Peptides Or Proteins (AREA)
  • Error Detection And Correction (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Agricultural Chemicals And Associated Chemicals (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、エンティティの真正性(authenticity)、および/またはメッセージの完全性(integrity)および/または真正性を証明するように設計される方法、システムおよびデバイスに関する。
【0002】
【従来の技術】
その発明者がLouis GuillouおよびJean−Jacques Quisquaterである欧州特許第0311470B1公報がこのような方法を説明する。これ以降、彼らの研究は用語「GQ特許」または「GQ方法」によって参照されるものとする。これ以降、表現「GQ2」、あるいは「GQ2発明」または「GQ2技術」は、本発明を説明するために使用されるものとする。
【0003】
GQ方法に従って、「信頼される当局(trusted authority)」として知られているエンティティが、「証人(witness)」と呼ばれているそれぞれのエンティティにアイデンティティを割り当てる。顧客イズ化プロセスにおいて、信頼される当局は、証人にアイデンティティ(identity)およびシグナチャ(signature)を与える。それ以降、証人は以下を宣言する。つまり「ここに私のアイデンティティがある。私はそのRSAシグナチャを知っている。」証人は、このシグナチャを明らかにせずに、自分が自分のアイデンティティのRSAシグナチャを知っていることを証明する。RSA公開識別鍵(RSA Public identification key)は、信頼される当局によって配布されるが、「コントローラ(controller)」として知られているエンティティが、その知識を得ずに、RSAシグナチャが宣言されたアイデンティティに一致することを確認する。GQ方法を使用する機構は、「知識の移管(transfer of knowledge)」を行わずに実行する。GQ方法に従って、証人は、信頼される当局が大多数のアイデンティティに署名をするRSA秘密鍵を知らない。
【0004】
【発明が解決しようとする課題】
ここに前述されるGQ技術は、RSA技術を利用する。しかしながら、RSA技術は、真に係数nの因数分解に依存する一方で、この依存は、いわゆるRSA技術を実行するデジタル署名の多様な規格に対する倍増的に増加する攻撃に見られるように同等ではなく、実際にはそれはかなり異なっている。
【0005】
【課題を解決するための手段】
GQ2技術の目標は2つの部分を有する。つまり、第1に、RSA技術の性能特徴を改善すること、第2にRSA技術に固有の問題を回避することである。GQ2秘密鍵を知っていることは、係数nの因数分解を知っていることに等価である。三つ組のGQ2に対する攻撃は、係数nの因数分解につながる。このときには等価である。GQ2技術を用いると、署名をする、あるいは自己認証するエンティティにとっての、および監査するエンティティにとっての作業量は削減される。機密保護と性能の両方の点での因数分解の問題をさらにうまく使用することにより、GQ2技術はRSA技術の欠点を回避する。
【0006】
GQ方法は、512ビット以上を備える数のモジュロ計算を実行する。これらの計算は、約216+1乗まで累乗されたのと実質的に同じ大きさを有する数に関する。現在では、特にバンクカードの分野における既存のマイクロエレクトロニクスインフラストラクチャは、演算コプロセッサを使用しないでモノリシックな自己プログラム可能マイクロプロセッサを利用する。GQ方法などの方法に関係する複数の演算アプリケーションに関する作業量は、一定の場合では、顧客が購入物を支払うためにバンクカードを使用するには不利であることが判明する計算時間につながっている。ここでは、支払カードの安全を高めることを求めて、銀行当局が、特に解決が困難である問題を引き起こしたことを想起することができる。実際、2つの明らかに矛盾する問題が解決されなければならない。つまり、一方では、各カードのますます冗長かつ明瞭なキーを使用することにより安全性を高めつつ、他方では、作業量がユーザにとっての過剰な計算時間につながることを妨げるのである。この問題は、既存のインフラストラクチャおよび既存のマイクロプロセッサ構成要素を考慮に入れることも必要となるため、特に激しくなる。
【0007】
GQ2技術は、安全性を高めつつ、この問題に対する解決策を提供する。
【0008】
(方法)
さらに特に、本発明は、コントローラエンティティに対し、あるエンティティの真正性、および/または、このエンティティに関連付けられたメッセージMの完全性とを証明するように設計された方法に関する。
【0009】
この証明は、以下のパラメータまたはこれらのパラメータのすべてまたは一部によって確立される。ここで、パラメータは、
m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)と、
f個の素因数p1,p2,…pf(fは2以上)の積によって構成される公開係数nと、
公開指数vとである。
前記係数、前記指数および前記値は、次のタイプの関係
i.Qi v≡1.mod n または Gi≡Qi vmod n.
によって関連付けられ、
前記指数vは、
v=2k
であり、ここで、kは1より大きい機密保護パラメータである。
【0010】
前記公開値Giは、f個の素因数p1,p2,…pfより小さい基数giの平方gi 2である。基数giは、
2つの等式
2≡gimod n および x2≡−gimod n
が、モジュロnの整数環のxについて解くことができず、等式
v≡gi 2mod n
が、モジュロnの整数環のxについて解くことができる。
前記方法は、以下のステップにおいて、証人と呼ばれるエンティティを実行する。前記証人エンティティは、f個の素因数piおよび/または素因数のチャイニーズ剰余の、および公開係数nおよび/またはm個の秘密値Qiのパラメータ、および/または秘密値Qiのおよび公開指数vのf.m個の構成要素Qi,j(Qi,j≡Qimod pj)を有する。
【0011】
証人は、モジュロnの整数環のコミットメントRを計算する。各コミットメントを、
・次のタイプの演算を実行すること
R≡rvmod n
ここで、rは0<r<nとなるようにランダム値であり、
・または、
・・以下のタイプの演算を実行し、
i≡ri vmod pi
ここで、riは、0<ri<piとなるように素数piと関連付けられたランダム値であり、各riは、ランダム値{r1,r2,…rf}の集合体に属し、
・・そして、チャイニーズ剰余法を適用すること
のどちらかによって計算する。
【0012】
証人は、1以上のチャレンジdを受け取る。各チャレンジdは、これ以降初歩チャレンジと呼ばれるm個の整数diを備える。証人は、各チャレンジdに基づき、応答Dを、
・以下のタイプの演算を実行すること
D≡r.Q1 d1.Q2 d2.…Qm dmmod n
・または、
・・以下のタイプの演算を実行し
i≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi
そして、チャイニーズ剰余法を適用すること
のどちらかによって計算する。
該方法は、コミットメントRがあるため、チャレンジdがあるのと同じくらい多くの応答Dがあり、数R,d,Dの各群は{R,d,D}と参照される三つ組を形成する。
【0013】
(エンティティの真正性の証明の場合)
第1代替実施態様においては、本発明に従った方法は、デモンストレータとして知られているエンティティの真正性をコントローラとして知られているエンティティに対し証明するように設計される。前記デモンストレータエンティティは、証人を備える。前記デモンストレータエンティティおよびコントローラエンティティは、以下のステップを実行する。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人は、ここに前記に明記されたプロセスを適用することによって各コミットメントRを計算する。デモンストレータは、コントローラに、各コミットメントRのすべてまたは一部を送信する。
・ステップ2のチャレンジdという行為
コントローラは、各コミットメントRのすべてまたは一部を受け取った後、その数がコミットメントRの数に等しいチャレンジdを作成し、チャレンジdをデモンストレータに送信する。
・ステップ3の応答Dという行為
証人は、前記に明記されたプロセスを適用することによって、チャレンジdから応答Dを計算する。
・ステップ4のチェック行為
証人は、コントローラに各応答Dを送信する。
(第1の場合:デモンストレータが各コミットメントRの一部を送信)
デモンストレータが各コミットメントRの一部を送信した場合には、m個の公開値G1,G2,...,Gmを有するコントローラは、各チャレンジdおよび各応答Dから再構築されたコミットメントR’を計算し、この再構築されたコミットメントR’が次のタイプの関係性
R’≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R’≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たす。
コントローラは、各再構築されたコミットメントR’が、それに送信された各コミットメントRのすべてまたは一部を再現することを確認する。
(第2の場合:デモンストレータが各コミットメントRの全体性を送信)
デモンストレータが各コミットメントRの全体性を送信した場合、m個の公開値G1,G2,...,Gmを有するコントローラは、各コミットメントRが、次のタイプの関係性
R≡G1 d1.G2 d2....Gm dm.Dvmod n
または、以下のタイプの関係性
R≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすことを確認する。
【0014】
(メッセージの完全性の証明の場合)
第1代替実施態様と組み合わせることができる第2代替実施態様では、本発明の方法は、コントローラエンティティとして知られているエンティティに対し、デモンストレータエンティティと呼ばれているエンティティに関連付けられたメッセージMの完全性の証拠を提供するように設計される。前記デモンストレータエンティティは、証人を含む。前記デモンストレータエンティティおよびコントローラエンティティは、以下のステップを実行する。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人は、ここに前記に明記されたプロセスを適用することにより、各コミットメントRを計算する。
・ステップ2のチャレンジdという行為
証人は、その引数がメッセージMおよび各コミットメントRのすべてまたは一部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算する。デモンストレータは、トークンTをコントローラに送信する。コントローラは、トークンTを受け取った後に、コミットメントRに数で等しいチャレンジdを作成し、チャレンジdをデモンストレータに送信する。
・ステップ3の応答Dという行為
証人は、前記に明記されたプロセスを適用することによりチャレンジdから応答Dを計算する。
・ステップ4のチェック行為
証人は、各応答Dをコントローラに送信する。m個の公開値G1,G2,...,Gmを有するコントローラは、各チャレンジdおよび各応答Dから再構築されたコミットメントR’を計算し、この再構築されたコミットメントR’が、次のタイプの関係性
R’≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R’≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たす。
そして、コントローラは、その引数がメッセージMおよび再構築されたR’のすべてまたは一部であるハッシュ関数hを適用し、トークンT’を再構築する。そして、コントローラは、トークンT’が送信されたトークンTと同一であることを確認する。
【0015】
(メッセージのデジタル署名およびその真正性の証明)
前記2つと組み合わせることができる第3代替実施態様においては、本発明1に従った方法が、署名するエンティティとして知られているエンティティによってメッセージMのデジタル署名を作成するように設計される。前記署名エンティティは証人を含む。
【0016】
(署名動作)
前記署名エンティティは、
メッセージMと、
チャレンジdおよび/またはコミットメントRと、
応答Dと
を含む署名済みのメッセージを得るために、署名動作を実行する。
前記署名エンティティは、以下のステップを実行することにより署名動作を実行する。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人は、ここに前記に明記されるプロセスを適用することによって各コミットメントRを計算する。
・ステップ2のチャレンジdという行為
署名関係者は、その引数がメッセージMおよび各コミットメントRであるハッシュ関数hを適用し、バイナリトレインを得る。このバイナリトレインから、署名関係者は、その数がコミットメントRの数に等しいチャレンジdを抽出する。
・ステップ3の応答Dという行為
証人は、前記に明記されたプロセスを適用することによりチャレンジdから応答Dを計算する。
【0017】
(チェック動作)
メッセージMの真正性を証明するため、コントローラと呼ばれるエンティティが、署名済みのメッセージをチェックする。証明済みのメッセージを有する前記コントローラエンティティは、以下のように進むことによってチェック動作を実行する。
・コントローラがコミットメントR、チャレンジd、応答Dを有する場合
コントローラがコミットメントR、チャレンジd、応答Dを有する場合には、コントローラは、コミットメントR、チャレンジdおよび応答Dが、以下のタイプの関係性
R≡G1 d1.G2 d2....Gm dm.Dvmod n
または、以下のタイプの関係性
R≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすことを確認する。
そして、コントローラは、メッセージM、チャレンジdおよびコミットメントRがハッシュ関数を満たすことを確認する。
d=h(message,R)
・コントローラがチャレンジdおよび応答Dを有する場合
コントローラがチャレンジdおよび応答Dを有する場合には、コントローラは、各チャレンジdおよび各応答Dに基づき、コミットメントR'を再構築し、以下のタイプの関係性
R'≡G1 d1.G2 d2....Gm dm.Dvmod n
または以下のタイプの関係性:
R'≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たす。
そして、コントローラは、メッセージMおよびチャレンジdがハッシュ関数を満たすことを確認する。
d=h(message,R')
・コントローラが、コミットメントRおよび応答Dを有する場合
コントローラが、コミットメントRおよび応答Dを有する場合には、コントローラは、ハッシュ関数を適用し、d'を再構築する。
d’=h(message,R)
そして、コントローラ装置が、コミットメントR、チャレンジd'よび応答Dが、以下のタイプの関係性である
R≡G1 d'1.G2 d'2....Gm d'm.Dvmod n
または、以下のタイプの関係性である
R≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n
を満たすことを確認する。
【0018】
(システム)
本発明は、コントローラサーバに対して、エンティティの真正性、および/または、このエンティティに関連付けられたメッセージMの完全性を証明するように設計されるシステムにも関する。
この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべtまたは一部によって確立される。ここで、パラメータは、
m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)と、
前記f個の素因数p1,p2,…pf(fは2以上)の積によって構成される公開係数nと、
公開指数vとである。
前記係数、前記指数および前記値は、以下のタイプの関係
i.Qi v≡1.mod n または Gi≡Qi vmod n.
によってリンクされる。
前記指数vは、
v=2k
であり、ここで、kは、1より大きい機密保護パラメータである。
前記公開値Giは、f個の素因数p1,p2,…pf.より小さい基数giの平方gi 2である。基数giは、2つの等式
2≡gimod n および x2≡−gimod n
が、モジュロnの整数環のxについて解くことができず、等式
v≡gi 2mod n
が、モジュロnの整数環のxについて解くことができる。
【0019】
前記システムは、特に、例えば、マイクロプセッサベースのバンクカードの形を取るノマッドオブジェクトに含まれる証人装置を含む。証人装置は、f個の素因数piおよび/または素因数のチャイニーズ剰余の、および/または公開係数nおよび/またはm個の秘密値Qiのパラメータ、および/または秘密値Qiおよび公開指数vのf.m個の構成要素Qi,j(Qi,j≡Qimodpj)を含むメモリゾーンを含む。また、証人装置は、
証人装置のこれ以降ランダム値生成手段と呼ばれるランダム値生成手段と、
これ以降証人装置のコミットメントRの計算用手段と呼ばれる計算手段、
を含む。
計算手段は、モジュロnの整数環でコミットメントRを計算する。各コミットメントを、
・以下のタイプの演算を実行することによって、
R≡rvmod n
ここで、rは、ランダム値生成手段によって作成されるランダム値であり、rは0<r<nである。
・または、以下のタイプの演算を実行し、
i≡ri vmod pi
ここで、riは、0<ri<piとなるように素数piに関連付けられたランダム値であり、各riはランダム値{r1,r2,…rf}の集合体に属し、そしてチャイニーズ剰余法を適用することのどちらかによって、
計算する。
【0020】
証人装置は、
証人装置のチャレンジdの受信用装置と呼ばれる1以上のチャレンジdを受け取るための受信手段であって、各チャレンジdが、初歩チャレンジと呼ばれるm個の整数diを備える受信手段と、
・以下のタイプの演算を実行することによって、
D≡r.Q1 d1.Q2 d2.…Qm dmmod n
・または、以下のタイプの演算を実行し、
i≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmodpi
そして、チャイニーズ剰余法を適用することのどちらかによって、
応答Dの各チャレンジdに基づき、計算用の証人装置の応答Dの計算用手段と呼ばれる計算手段と
を含む。
証人装置は、1以上のコミットメントRおよび1以上の応答Dを送信するための送信手段も含む。コミットメントRがあるので、チャレンジdと同じくらい多くの応答Dがあり、R,d,Dの各群が{R,d,D}と参照される三つ組を形成する。
【0021】
(エンティティの真正性の証明の場合)
第1実施態様では、デモンストレータと呼ばれているエンティティの真正性をコントローラと呼ばれているエンティティに証明するように、本発明に従ったシステムを設計する。
前記システムは、それがデモンストレータエンティティと関連付けられたデモンストレータ装置を含んでいる。前記デモンストレータ装置は、相互接続手段によってデモンストレータ装置と相互接続される。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロプロセッサの形式などのノマッドオブジェクトの論理マイクロ回路の形を取る。
前記システムは、コントローラエンティティに関連付けられたコントローラ装置も含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。前記コントローラ装置は、特にデータ処理通信網を通して、デモンストレータ装置へのその電気的、電磁的、光学的、または音響的な接続のための接続手段を含む。
【0022】
前記システムは、以下のステップを実行するために使用される。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人装置のコミットメントRの計算の手段が、ここに前記に明記されたプロセスを適用することによって、各コミットメントRを計算する。証人装置は、各コミットメントRのすべてまたは一部を相互接続手段を通してデモンストレータ装置に送信するために、証人装置の送信手段と呼ばれる送信の手段を有する。デモンストレータ装置は、各コミットメントRのすべてまたは一部を接続手段を通してコントローラ装置に送信するために、デモンストレータの送信手段と呼ばれる送信手段も有する。
・ステップ2のチャレンジdという行為
コントローラ装置は、コミットメントRのすべてまたは一部を受け取った後、コミットメントRの数に数で等しいチャレンジdの生成のためのチャレンジ生成手段を含む。コントローラ装置は、接続手段を通してデモンストレータにチャレンジdを送信するために、コントローラの送信手段として知られている送信手段も有する。
・ステップ3の応答Dという行為
証人装置のチャレンジdの受信手段は、相互接続手段を通してデモンストレータ装置から着信する各チャレンジdを受信する。証人装置の応答Dの計算手段は、ここに前記に明記されたプロセスを適用することによってチャレンジdから応答Dを計算する。
・ステップ4のチェックという行為
デモンストレータの送信手段は、各応答Dをコントローラに送信する。コントローラは、
コントローラ装置の計算手段と呼ばれる計算手段と、
コントローラ装置の比較手段と呼ばれる比較手段と
を含む。
【0023】
(第1の場合:デモンストレータが各コミットメントRの一部を送信)
デモンストレータの送信手段が、各コミットメントRの一部を送信した場合には、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段は、各チャレンジdおよび各応答Dから再構築されたコミットメントR’を計算し、この再構築されたコミットメントR’が、以下のタイプの関係
R’≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係
R’≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たす。
コントローラ装置の比較手段は、それぞれの再構築されたコミットメントR’を受信された各コミットメントRのすべてまたは一部と比較する。
【0024】
(第2の場合:デモンストレータが、各コミットメントRの全体性を送信)
デモンストレータの送信手段が各コミットメントRの全体性を送信した場合には、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段および比較手段が、各コミットメントRが次のタイプの関係性
R≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすことを確認する。
【0025】
(メッセージの完全性の証明の場合)
第1代替実施態様と組み合わせることができる第2代替実施態様においては、本発明に従ったシステムは、コントローラとして知られているエンティティに対し、デモンストレータとして知られているエンティティに関連付けられたメッセージMの完全性の証明を与えるように設計される。前記システムは、それがデモンストレータエンティティに関連付けられたデモンストレータ装置を含んでいる。前記デモンストレータ装置は相互接続手段によって証人装置と相互接続される。前記デモンストレータ装置は、特に、マイクロプロセッサベースのバンクカード内のマイクロプロセッサの形などのノマッドオブジェクト内の論理マイクロ回路の形を取りうる。前記システムは、コントローラエンティティに関連付けられたコントローラ装置も含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。前記コントローラ装置は、特にデータ処理通信網を通して、デモンストレータ装置へのその電気的、電磁的、光学的、または音響的な接続のための接続手段を含む。
【0026】
前記システムは、以下のステップを実行するために使用される。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明記されたプロセスを適用することによって各コミットメントRを計算する。証人装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRのすべてまたは一部を送信するために、証人装置の送信手段と呼ばれる送信手段を有する。
・ステップ2のチャレンジdという行為
デモンストレータ装置は、デモンストレータの計算手段と呼ばれる計算手段を含み、その引数がメッセージMおよびコミットメントRのすべてまたは一部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算する。デモンストレータ装置は、接続手段を通してコントローラ装置へ各トークンTを送信するために、デモンストレータ装置の送信手段として知られる送信手段も含む。コントローラ装置は、トークンTを受信した後、コミットメントRの数に数で等しいチャレンジdの生成のためのチャレンジ生成手段も有する。コントローラ装置は、接続手段を通してデモンストレータにチャレンジdを送信するために、これ以降、コントローラの送信手段と呼ばれる送信手段も有する。
・ステップ3の応答Dという行為
証人装置のチャレンジdの受信手段は、相互接続手段を通してデモンストレータ装置から着信する各チャレンジdを受信する。証人装置の応答Dの計算手段は、ここに前記に明記されたプロセスを適用することによって、チャレンジdから応答Dを計算する。
・ステップ4のチェックという行為
デモンストレータの送信手段は、コントローラに各応答Dを送信する。コントローラ装置は、第1に、各チャレンジdおよび各応答Dから再構築されたコミットメントR’を計算するために、第2に、引数として、メッセージMおよび各再構築されたコミットメントR’のすべてまたは一部を有するハッシュ関数hを適用することによって、トークンT’を計算するために、m個の公開値G1,G2,...,Gmを有する、これ以降、コントローラ装置の計算手段と呼ばれる計算手段も備え、この再構築されたコミットメントR’が、次のタイプの関係性
R’≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R’≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たす。
コントローラ装置は、計算されたトークンT’を受信されたトークンTと比較するために、これ以降、コントローラ装置の比較手段として知られる比較手段も有する。
【0027】
(メッセージのデジタル署名およびその真正性の証明)
第1の2つの実施態様のどちらかまたは両方と組み合わせることができる第3代替実施態様においては、本発明に従ったシステムは、署名エンティティと呼ばれているエンティティによって、これ以降、署名済みのメッセージとして知られているメッセージMのデジタル署名を証明するように設計される。署名済みメッセージは、
メッセージMと、
チャレンジdおよび/またはコミットメントRと、
応答Dと
を含む。
【0028】
(署名動作)
前記システムは、それが署名エンティティと関連付けられた署名デバイスを含んでいる。前記署名デバイスは、相互接続手段によって証人装置と相互接続される。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロプロセッサの形などのノマッドオブジェクト内の論理マイクロ回路の形を取りうる。
【0029】
前記システムは、以下のステップを実行するために使用される。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明記されたプロセスを適用することによって各コミットメントRを計算する。証人装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRのすべてまたは一部を送信するために、これ以降、証人装置の送信手段と呼ばれる送信手段を有する。
・ステップ2のチャレンジdという行為
署名デバイスは、これ以降、署名デバイスの計算手段と呼ばれる計算手段を含み、その引数がメッセージMおよびコミットメントRのすべてまたは一部であるハッシュ関数hを適用し、バイナリトレインを計算し、このバイナリトレインから、その数がコミットメントRの数に等しいチャレンジdを抽出する。
・ステップ3の応答Dという行為
証人装置のチャレンジdの受信手段は、相互接続手段を通して署名デバイスから着信する各チャレンジdを受信する。証人装置の応答Dを計算するための手段は、ここに前記に明記されたプロセスを適用することによって、チャレンジdから応答Dを計算する。
証人装置は、相互接続手段を通して署名デバイスに応答Dを送信するために、これ以降、証人装置の送信の手段と呼ばれる送信手段を含む。
【0030】
(チェック動作)
メッセージMの真正性を証明するために、コントローラとして知られているエンティティは、署名済みメッセージをチェックする。
システムは、コントローラエンティティと関連付けられたコントローラ装置を含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。前記コントローラ装置は、特に、データ処理通信網を通して署名デバイスへのその電気的、電磁的、光学的、または音響の接続のための接続手段を含む。
【0031】
署名エンティティと関連付けられた署名デバイスは、接続手段を通した署名済みメッセージの、コントローラ装置への送信のための、署名デバイスの送信手段として知られている送信手段を含む。このようにして、コントローラ装置は、
メッセージMと、
チャレンジdおよび/またはコミットメントRと、
応答Dと
を含む署名済みのメッセージを有する。
【0032】
コントローラ装置は、
−これ以降、コントローラ装置の計算手段と呼ばれる計算手段と、
−これ以降、コントローラ装置の比較手段と呼ばれる比較手段と
を含む。
【0033】
・コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合 コントローラ装置がコミットメントR、チャレンジd、応答Dを有する場合には、コントローラ装置の計算手段および比較手段は、コミットメントR、チャレンジdおよび応答Dが、次のタイプの関係性
R≡G1 d1.G2 d2....Gm dm.Dvmod n
または次のタイプの関係性
R≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすことを確認する。
そして、コントローラ装置の計算手段および比較手段は、メッセージM、チャレンジdおよびコミットメントRが、ハッシュ関数
d=h(message,R)
を満たすことを確認する。
【0034】
・コントローラ装置が、チャレンジdおよび応答Dを有する場合
コントローラがチャレンジdおよび応答Dを有する場合には、コントローラは、各チャレンジdおよび各応答Dに基づき次のタイプの関係性
R'≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R'≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすコミットメントR'を再構築する。
そして、コントローラが、メッセージMおよびチャレンジdが以下のハッシュ関数
d=h(message,R')
を満たすことを確認する。
【0035】
・コントローラがコミットメントRおよび応答Dを有する場合
コントローラが、コミットメントRおよび応答Dを有する場合には、コントローラ装置の計算手段は、ハッシュ関数を適用し
d’=h(message,R)
となるようにd'を計算する。
そして、コントローラ装置の計算手段および比較手段は、コミットメントR、チャレンジd'および応答Dが、次のタイプの関係性
R≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係
R≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすことを確認する。
【0036】
(端末装置)
本発明は、エンティティに関連付けられた端末装置にも関する。端末装置は、特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロプロセッサの形など、ノマッドオブジェクトの形を取る。端末装置は、コントローラサーバに対し、あるエンティティの真正性、および/または、このエンティティに関連付けられたメッセージMの完全性を証明するように設計される。
この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべてまたは一部によって確立される。
m組の秘密値Q1,Q2,…Qmおよび公開値G1,G2,…Gm(mは1以上)と、
前記f個の素因数p1,p2,…pf(fは2以上)によって構成される公開係数nと、
公開指数vとであり、
前記係数、前記指数、および前記値は、次のタイプの関係
i.Qi v≡1.mod nまたはGi≡Qi vmod n.
によって関係付けられる。
前記指数vは、
v=2k
であり、ここで、kは、1より大きい機密保護パラメータである。
前記公開値Giは、f個の素因数p1,p2,…pf.より小さい基数giの平方gi 2である。基数giは、
2つの等式
2≡gimod n および x2≡−gimod n
が、モジュロnの整数環のxについて解くことができず、等式
v≡gi 2mod n
が、モジュロnの整数環のxの中で解くことができる。
前記端末装置は、f個の素因数piおよび/または素因数のチャイニーズ剰余の、および/または公開係数nおよび/またはm個の秘密値Qiのパラメータ、および/または秘密値Qiの、および公開指数vのf.m個の構成要素Qi,j(Qi,j≡Qimodpj)を含むメモリゾーンを備える証人装置を含む。
【0037】
証人装置は、
証人装置のランダム値生成手段と呼ばれるランダム値生成手段と、
モジュロnの整数環のコミットメントRを計算するために、これ以降、証人装置のコミットメントRを計算するために、これ以降、証人装置のコミットメントRのための計算手段と呼ばれる計算手段と
を含む。各コミットメントが、
・以下のタイプの演算を実行することによって、
R≡rvmod n
ここで、rは、ランダム値生成手段によって作成されるランダム値であり、rは0<r<nとなる。
・または、以下のタイプの演算を実行することによって、
i≡ri vmod pi
ここで、riは、0<ri<piとなるように、素数piと関連付けられたランダム値であって、各riは、ランダム値生成手段によって生じるランダム{r1,r2,…rf}の集合体に属し、そして、チャイニーズ剰余を適用することのどちらかによって、計算される。
【0038】
証人装置は、
1以上のチャレンジdを受信するために、これ以降、証人装置のチャレンジdの受信のための主だと呼ばれる受信手段であって、各チャレンジdが、これ以降初歩チャレンジと呼ばれるm個の整数diを備える受信手段と、
・以下のタイプの演算を実行すること、
D≡r.Q1 d1.Q2 d2.…Qm dmmod n
・または、以下のタイプの演算を実行し、
i≡ri.Qi,1 d1.Qi,2 d2.…Qi,m dmmod pi
そして、チャイニーズ剰余法を適用すること
のどちらかによって、
応答Dの各チャレンジdに基づく、計算のための証人装置の応答Dの計算のための手段と呼ばれる計算手段と
も含む。
前記証人装置は、1以上のコミットメントRおよび1以上の応答Dを送信するために送信手段も含む。コミットメントRがあるため、チャレンジdと同じくらい多くの応答Dがある。数R,d,Dの各群は、{R,d,D}と参照される三つ組を形成する。
【0039】
(エンティティの真正性の証明の場合)
第1代替実施態様においては、本発明に従った端末装置は、デモンストレータと呼ばれているエンティティの真正性をコントローラと呼ばれているエンティティに証明するように設計される。
前記端末装置は、それがデモンストレータエンティティに関連付けられたデモンストレータ装置を含んでいる。前記デモンストレータ装置は、相互接続手段によってデモンストレータ装置と相互接続している。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロプロセッサという形などのノマッドオブジェクト内の論理マイクロ回路という形を取りうる。
前記デモンストレータ装置は、特にデータ処理通信網を通して、コントローラエンティティに関連付けられたコントローラ装置へのその電気的、電磁的、光学的または音響の接続のための接続手段も含む。
【0040】
前記コントローラ装置は、特に端末または遠隔サーバの形を取る。
前記コントローラ装置は、以下のステップを実行するために使用される。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明記されたプロセスを適用することによって各コミットメントRを計算する。
証人装置は、各コミットメントRのすべてまたは一部を相互接続手段を通してデモンストレータ装置に送信するために、これ以降、証人装置の送信手段と呼ばれる送信手段を有する。デモンストレータ装置は、各コミットメントRのすべてまたは一部をコントローラ装置に送信するために、これ以降、デモンストレータの送信手段と呼ばれる送信手段も有する。
・ステップ2および3のチャレンジdという行為および応答Dという行為
証人装置のチャレンジdの受信手段は、コントローラ装置とデモンストレータ装置の間の接続手段を通して、およびデモンストレータ装置と証人装置の間の相互接続手段を通して、コントローラ装置から着信する各チャレンジdを受信する。証人装置の応答Dの計算手段は、ここに前記に明記されるプロセスを適用することにより、チャレンジdから応答Dを計算する。
・ステップ4のチェックという行為
デモンストレータの送信手段は、各応答Dをチェックを実行するコントローラに送信する。
【0041】
(メッセージの完全性の証明の場合)
第1代替実施態様と組み合わせることのできる第2代替実施態様においては、本発明に従った端末装置は、コントローラとして知られるエンティティに対し、デモンストレータとして知られるエンティティに関連付けられたメッセージMの完全性の証明を与えるように設計される。前記端末装置は、それがデモンストレータエンティティに関連付けられたデモンストレータ装置を含んでいる。前記デモンストレータ装置は、相互接続手段によって証人装置と相互接続されている。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロプロセッサの形などの、ノマッドオブジェクト内の論理マイクロ回路の形を取りうる。前記デモンストレータ装置は、特に、データ処理通信網を通したコントローラエンティティに関連付けられたコントローラ装置へのその電気的、電磁的、光学的または音響の接続のための接続手段を含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。
【0042】
前記端末装置は、以下のステップを実行するために使用される。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人装置のコミットメントRの計算手段が、ここに前記に明記されたプロセスを適用することによって、各コミットメントRを計算する。証人装置は、相互接続手段を通してデモンストレータ装置に各コミットメントRのすべてまたは一部を送信するために、これ以降、証人装置の送信手段と呼ばれる送信の手段を有する。
・ステップ2および3のチャレンジdという行為および応答Dという行為
デモンストレータ装置は、これ以降、デモンストレータの計算手段と呼ばれる計算手段を含み、その引数が、メッセージMおよび各コミットメントRのすべてまたは一部であるハッシュ関数hを適用し、少なくとも1つのトークンTを計算する。デモンストレータ装置は、コントローラ装置に、接続手段を通して、各トークンTを送信するために、これ以降、デモンストレータ装置の送信手段として知られている送信手段も有する。
前記コントローラは、トークンTを受信した後、コミットメントRの数に等しい数のチャレンジdを作成する。
証人装置のチャレンジdの受信手段は、コントローラ装置とデモンストレータ装置の間の接続手段を通して、およびデモンストレータ装置と証人装置の間の相互接続手段を通して、コントローラ装置から着信する各チャレンジdを受信する。証人装置の応答Dの計算の手段は、ここに前記に明記されたプロセスを適用することによって、チャレンジdから応答Dを計算する。
・ステップ4のチェックという行為
デモンストレータの送信手段は、各応答Dを、チェックを実行するコントローラ装置に送信する。
【0043】
(メッセージのデジタル署名およびその真正性の証明)
第1の2つの実施態様のどちらかまたは両方と組み合わせることのできる第3代替実施態様においては、本発明に従った端末装置が、署名エンティティと呼ばれるエンティティによる、これ以降、署名済みメッセージとして知られるメッセージMのデジタル署名を作成するように設計される。署名済みメッセージは、
メッセージMと、
チャレンジdおよび/またはコミットメントRと、
応答Dと
を含む。
前記端末装置は、それが署名エンティティと関連付けられた署名デバイスを含んでいる。前記署名デバイスは、相互接続手段によって証人装置と相互接続される。それは、特に、例えば、マイクロプロセッサベースのバンクカード内のマイクロプロセッサの形などの、ノマッドオブジェクト内の論理マイクロ回路の形を取りうる。前記デモンストレータ装置は、データ処理通信網を通したコントローラエンティティと関連付けられたコントローラ装置への、その電気的、電磁的、光学的、または音響の接続のための接続手段を含む。前記コントローラ装置は、特に、端末または遠隔サーバの形を取る。
【0044】
(署名動作)
前記端末装置は、以下のステップを実行するために使用される。
・ステップ1のコミットメントRという行為
各呼び出しでは、証人装置のコミットメントRの計算の手段が、ここに前記に明記されたプロセスを適用することによって、各コミットメントRを計算する。証人装置は、相互接続手段を通して署名デバイスに各コミットメントRのすべてまたは一部を送信するために、これ以降、証人装置の送信手段と呼ばれる送信の手段を有する。
・ステップ2のチャレンジdという行為
署名デバイスは、これ以降、署名デバイスの計算手段と呼ばれる計算手段を含み、その引数がメッセージMおよび各コミットメントRのすべてまたは一部であるハッシュ関数hを適用し、バイナリトレインを計算し、このバイナリトレインから、その数がコミットメントRの数に等しいチャレンジdを抽出する。
・ステップ3の応答Dという行為
証人装置のチャレンジdの受信のための手段は、相互接続手段を通して署名デバイスから着信する各チャレンジdを受信する。証人装置の応答Dを計算するための手段は、ここに前記に明記されたプロセスを適用することによって、チャレンジdから応答Dを計算する。証人装置は、相互接続手段を通して、署名デバイスに応答Dを送信するために、これ以降、証人装置の送信の手段と呼ばれる送信手段を含む。
【0045】
(コントローラ装置)
本発明は、コントローラ装置にも関する。コントローラ装置は、特に、コントローラエンティティに関連付けられた端末または遠隔サーバの形を取る。コントローラ装置は、エンティティの真正性、および/または、このエンティティに関連付けられたメッセージMの完全性をチェックするように設計される。
この証明は、以下のパラメータまたはこれらのパラメータの派生物のすべてまたは一部によって確立される。
m組の公開値G1,G2,…Gm(mは1以上)と、
コントローラ装置にとって、および関連付けられたコントローラエンティティにとって未知である前記f個の素因数p1,p2,…pf(fは2以上)の積によって構成される公開係数nと、
公開指数vと
前記係数、前記指数、および前記値は、次のタイプの関係
i.Qi v≡1.mod n または Gi≡Qi vmod n.
によって関連付けられ、ここで、Qiは、公開値GIに関連付けられたコントローラ装置にとって未知の秘密値を指定する。
指数vは、
v=2k
であり、ここで、kは、1より大きい機密保護パラメータである。
前記公開値Giは、f個の素因数p1,p2,…pfより小さい基数giの平方gi 2である。基数giは、
2つの等式
2≡gimod n および x2≡−gimod n
が、モジュロnの整数環のxについて解くことができず、
等式
v≡gi 2mod n
が、モジュロnの整数環のxについて解くことができる。
【0046】
(エンティティの真正性の証明の場合)
第1代替実施態様においては、本発明に従ったコントローラ装置は、デモンストレータと呼ばれるエンティティおよびコントローラと呼ばれるエンティティの真正性を証明するように設計される。
前記コントローラ装置は、デモンストレータエンティティと関連付けられたデモンストレータ装置への、特にデータ処理通信網を通した、その電気的、電磁的、光学的、または音響の接続のための接続手段を含む。
前記コントローラ装置は、以下のステップを実行するために使用される。
・ステップ1および2のコミットメントRという行為およびチャレンジdという行為
前記コントローラ装置は、接続手段を通して、デモンストレータ装置から着信するコミットメントRのすべてまたは一部の受信のための手段も有する。
コントローラ装置は、各コミットメントRのすべてまたは一部を受信した後、コミットメントRの数に等しい数のチャレンジdの生成のためのチャレンジ生成手段を有し、各チャレンジdは、初歩チャレンジと呼ばれるm個の整数diを備える。
コントローラ装置は、接続手段を通してデモンストレータにチャレンジdを送信するために、コントローラの送信手段と呼ばれる送信手段も有する。
・ステップ3および4の応答Dという行為およびチェック行為
コントローラ装置は、
接続手段を通して、デモンストレータ装置から着信する応答Dの受信のための手段と、
これ以降、コントローラ装置の計算手段と呼ばれる計算手段と、
これ以降、コントローラ装置の比較手段と呼ばれる比較手段と
を含む。
(第1の場合:デモンストレータが各コミットメントRの一部を送信)
デモンストレータの受信手段が各コミットメントRの一部を受信すると、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段が、各チャレンジdおよび各応答Dから、再構築されたコミットメントR’を計算し、この再構築されたコミットメントは、次のタイプの関係性
R’≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R’≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たす。
コントローラ装置の比較手段は、受信された各コミットメントRのすべてまたは一部と、各再構築されたコミットメントR’を比較する。
(第2の場合:デモンストレータが各コミットメントRの全体性を送信)
デモンストレータの送信手段が、各コミットメントRの全体性を送信した場合には、m個の公開値G1,G2,...,Gmを有するコントローラ装置の計算手段および比較手段が、各コミットメントRが、次のタイプの関係性
R≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすことを確認する。
【0047】
(メッセージの完全性の証明の場合)
第1代替実施態様と結び付けることができる第2代替実施態様においては、本発明に従ったコントローラ装置が、コントローラとして知られるエンティティに対し、デモンストレータとして知られているエンティティと関連付けられたメッセージMの完全性の証明を与えるように設計される。
前記コントローラ装置は、特にデータ処理通信網を通した、デモンストレータエンティティと関連付けられたデモンストレータ装置へのその電気的、電磁的、光学的、または音響の接続のための接続手段を含む。
前記システムは、以下のステップを実行するために使用される。
・ステップ1および2のコミットメントRという行為およびチャレンジdという行為
前記コントローラ装置は、接続手段を通してデモンストレータ装置から着信するトークンTの受信のための手段も有する。コントローラ装置は、トークンTを受信した後、コミットメントRの数に数で等しいチャレンジdの生成のためのチャレンジ生成手段を有し、各チャレンジdは、呼び出された初歩チャレンジの後にここにm個の整数diを備える。コントローラ装置は、接続手段を通してデモンストレータへチャレンジdを送信するために、これ以降、コントローラの送信手段と呼ばれる送信手段も有する。
・ステップ3および4の応答Dという行為およびチェック行為
コントローラ装置は、接続手段を通してデモンストレータ装置から着信する応答Dの受信のための手段も含む。前記コントローラ装置は、第1に、各チャレンジdおよび各応答Dから再構築されたコミットメントR’を計算するために、および第2に、メッセージMおよび各再構築されたコミットメントR’のすべておよび一部として有するハッシュ関数hを適用することによってトークンT’を計算するために、m個の公開値G1,G2,...,Gmを有する、これ以降、コントローラ装置の計算手段と呼ばれる計算手段も含み、この再構築されたコミットメントR’は、次のタイプの関係性
R’≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R’≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たす。
コントローラ装置は、計算されたトークンT’を受信されたトークンTと比較するために、これ以降、コントローラ装置の比較手段と呼ばれる比較手段も有する。
【0048】
(メッセージのデジタル署名およびその真正性の証明)
第1の2つの実施態様のどちらか、または両方と組み合わせることのできる第3代替実施態様のいては、本発明に従ったコントローラ装置は、コントローラと呼ばれるエンティティによって署名済みのメッセージをチェックすることによって、メッセージMの真正性を証明するように設計される。
ハッシュ関数h(メッセージ,R)を有する署名エンティティに関連付けられた署名デバイスによって送信される署名済みメッセージは、
メッセージMと、
チャレンジdおよび/またはコミットメントRと、
応答Dと
を含む。
【0049】
(チェック動作)
前記コントローラ装置は、署名エンティティに関連付けられた署名デバイスへの、特にデータ処理通網を通した、その電気的、電磁的、光学的または音響の接続のための接続手段を備える。前記コントローラ装置は、接続手段を通して、署名済みメッセージを、署名されたデバイスから受信する。
コントローラ装置は、
コントローラ装置の計算手段と呼ばれる計算手段と、
コントローラ装置の比較手段と呼ばれる比較手段と
を含む。
・コントローラ装置が、コミットメントR、チャレンジd、応答Dを有する場合
コントローラがコミットメントR、チャレンジd、応答Dを有する場合、コントローラ装置の計算手段および比較手段は、コミットメントR、チャレンジdおよび応答Dが、次のタイプの関係性
R≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすことを確認する。
そして、監査デバイスの計算手段および比較手段は、メッセージM、チャレンジdおよびコミットメントRが、ハッシュ関数
d’=h(message,R)
を満たすことを確認する。
・コントローラ装置がチャレンジdおよび応答Dを有する場合
コントローラ装置が、チャレンジdおよび応答Dを有する場合には、コントローラの計算手段は、各チャレンジdおよび各応答Dに基づいて、次のタイプの関係性
R'≡G1 d1.G2 d2....Gm dm.Dvmod n
または、次のタイプの関係性
R'≡Dv/G1 d1.G2 d2....Gm dm.mod n
を満たすコミットメントR'を計算する。
そして、コントローラ装置の計算手段および比較手段は、メッセージMおよびチャレンジdが、ハッシュ関数
d=h(message,R')
を満たすのを確認する。
・コントローラ装置がコミットメントRおよび応答Dを有する場合
コントローラ装置が、コミットメントRおよび応答Dを有する場合、コントローラ装置の計算手段は、ハッシュ関数を適用し、
d=h(message,R)
となるように、d'を計算する。
そして、コントローラ装置の計算手段および比較手段は、コミットメントR、チャレンジd'および応答Dが、次のタイプの関係性
R≡G1 d'1.G2 d'2....Gm d'm.Dvmod n
または、次のタイプの関係性
R≡Dv/G1 d'1.G2 d'2....Gm d'm.mod n
を満たすのを確認する。
【0050】
(説明)
GQ技術の目標を想起することができる。つまり、それはメッセージのデジタル署名だけではなくエンティティおよび関連付けられたメッセージの動的認証である。
【0051】
GQ技術の標準バージョンは、RSA技術を利用する。しかしながら、RSA技術は、真に因数分解に依存するが、この依存は、RSA技術を実行しているデジタル署名の多様な規格に対するいわゆる倍数的に増加する攻撃に見られるように、同等ではなく、実際にはかなりそれと異なっている。
【0052】
GQ2技術という文脈では、本発明のこの部分は、さらに明確には動的認証およびデジタル署名という文脈でのGQ2鍵の集合の使用に関する。GQ2技術はRSA技術を使用しない。目標は2つの部分を有する。つまり、第1に、RSA技術に関して性能を改善し、第2にRSA技術に固有の問題を妨げることである。GQ2秘密鍵は、係数nの因数分解である。GQ2三つ組に対する攻撃は、係数nの因数分解に相当する。このときには同等がある。GQ2技術を使用すると、署名をするエンティティまたは認証されるエンティティ、およびチェックを行うエンティティの両方にとっての作業量が削減される。機密保護およぎ性能という点での、因数分解の問題の改善された使用を通して、GQ2技術はRSA技術に匹敵する。
【0053】
GQ2技術は、1より大きい1以上の小さな整数、例えば、基数と呼ばれ、giと参照されるm個の小さい整数(m≧1)を使用する。基数はm>1でgiからgmで固定されるため、公開検鍵<v,n>が、以下のように選択される。公開認証指数vは2kであり、ここで、kは1(k≧2)を上回る小さい整数である。公開係数nは、基数より大きい少なくとも2つの素因数、例えばpjによってp1…pfから参照されるf個の素因数(f≧2)の積である。f個の素因数は、公開係数nが、g1からgmm個の基数のそれぞれに関して以下の特性を有するように選択される。
第1に、等式(数1)および(数2)は、モジュロnの整数環のxについて解くことができない。つまり、giおよび?giは2つの非平方剰余(mod n)である。
【数1】
Figure 0004772965
【数2】
Figure 0004772965
第2に、等式(数3)は、モジュロnの整数環のxについて解くことができる。
【数3】
Figure 0004772965
【0054】
公開認証鍵<v,n>は、m≧1でg1からgmの基数に従って固定されているため、各基数giが公開値Giと秘密値QIを備える値GQ2の組を決定する。m組の参照されたG11からGmmを指定する。公開値Giは、基数gIの平方である。つまり、Gi=gi 2を指定する。秘密値Qiは、等式(数3)に対する解の1つであるか、さもなければこのような解の逆数(mod n)である。
【0055】
ちょうど係数nがf個の素数に分解されるように、モジュロnの整数環はCG(p1)からCG(pf)というf個のガロア体(Galois field)に分解される。ここにCG(pj)での等式(数1)、(数2)、および(数3)の投射がある。
【数4】
Figure 0004772965
【数5】
Figure 0004772965
【数6】
Figure 0004772965
【0056】
各秘密値Qiは、素因数あたり1個づつf個の秘密構成要素によって一意に表すことができる。Qi,j≡Qi(mod pj).各秘密構成要素Qi,jは等式(数6)に対する解であるか、またはさもなければこのような解の逆数(mod pj)である。各等式(数6)に対するすべての考えられる解が計算された後に、チャイニーズ剰余技法が、等式(数3)に対するすべての考えられる解を得るためにQi,1からQi,f:Qiというf個の構成要素=チャイニーズ剰余(Qi,1,Qi,2,…Qi,f)に基づき、秘密値Qiごとにすべての考えられる値をセットアップする。
【0057】
以下は、チャイニーズ剰余技法である。0<a<bとなるように相互に素数aとbである2つの正の整数、および0からa−1のXaおよび0からb−1のXbという2つの構成要素があるとする。Xa≡X(mod a)およびXb≡X(mod b)となるように、X=チャイニーズ剰余(Xa,Xb)、つまり0からa.b−1の一意のXを決定することが必要とされる。以下は、チャイニーズ剰余パラメータである。つまり、α≡{b(mod a)}-1(mod a)。以下はチャイニーズ剰余演算である。つまり、ε≡ Xb(mod a)、δ= Xa-ε、δが負である場合には、δをδ+aと、γ≡α.δ(mod a)と、X=γ.b+Xbとに置換する。
【0058】
素因数が最小のp1から大きい方のpfへと昇順で並べられるとき、チャイニーズ剰余パラメータは以下となることがある(それらのf−1がある、つまり素因数より1少ない)。第1チャイニーズ剰余パラメータは、α≡{p2(mod p1)}-1(mod p1)である。第2チャイニーズ剰余パラメータはβ≡{p1.p2(mod p3)}-1(mod p3)である。i番目のチャイニーズ剰余パラメータは、λ≡{p1.p2.…pi-1(mod pi)}-1(mod pi)である。等々。最後に、f−1個のチャイニーズ剰余演算で第1結果(mod p2にp1をかける)が第1パラメータで得られてから、第2結果(modp1.p2にp3をかける)が第2パラメータで得られ、結果(mod p1.…pf-1にpfをかける)、すなわち(mod n)が得られまで等々である。
【0059】
秘密鍵GQ2の多様な性質を表す、秘密鍵GQ2のいくつかの考えられる描写がある。多様な描写は同等であることが判明する。つまり、それらはすべて、真の秘密GQ2件である係数nの因数分解の知識に相当する。描写が真に署名エンティティまたは自己認証エンティティの動きに影響を及ぼすのであれば、それはコントローラエンティティの動きには影響を及ぼさない。
ここに、GQ2秘密鍵の考えられる3つの主要な描写がある。
1)GQ技術での標準表記は、m個の秘密値Qiと公開認証鍵<v,n>の記憶から成り立つ。GQ2においては、この描写には、以下の2つが匹敵する。2)作業量という点での最適表記は、公開指数v、f個の素因数pj、m.f個の秘密構成要素Qijおよびチャイニーズ剰余のf−1個のパラメータを記憶することにある。3)秘密鍵サイズという点での最適表記は、公開指数v、m個の基数giおよびf個の素因数pjを記憶すること、そして、m個の秘密値Qiおよび係数nをセットアップして、第1描写に戻るか、またはさもなければm.f個の秘密構成要素Qi,jおよびチャイニーズ剰余のf−1個のパラメータをセットアップして第2描写に戻るかのどちらかによって各使用を開始することにある。
【0060】
署名または自己認証エンティティは、すべて同じ基数を使用できる。それ以外に示されていない限り、g1からgmのm個の基数は、有利なことにm個の第1素数となることがある。
【0061】
動的認証機構またはデジタル署名機構の機密保護は係数の分解の知識に同等であるため、GQ2技術は同じ係数を使用する2つのエンティティを単に区別するために使用することはできない。一般的に、それ自体を認証するまたは署名する各エンティティは専用のGQ2係数を有する。しかしながら、4つの素因数でGQ2係数を指定することは可能であり、その内の2つはあるエンティティによって知られており、他の2つは別のエンティティによって知られている。
【0062】
ここでは、k=6がv=64を示し、m=3が3つの基数、g1=3,g2=5および、g3=7を示し、f=3、つまり2つが3(mod 4)に一致し、1つが5(mod 8)に一致する3つの素因数を含む係数であるGQ2鍵の第1集合がある。g=2が、5(mod 8)に一致する素因数と相容れないことを注意しなければならない。
1=03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833
2=0583B097E8D8D777BAB3874F2E76659BB614F985EC1B
3=0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD
n=p1.p2.p3=FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9
02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144
CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD
1,1=0279C60D216696CD6F7526E23512DAE090CFF879FDDE
2,1=7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89
3,1=6FB3B9CO5A03D7CADA9A3425571EF5ECC54D7A7B6F
1,2=0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502
2,2=04792CE70284D16E9A158C688A7B3FEAF9C40056469E
3,2=FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E
1,3=07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE
2,3=0AE8551E116A3AC089566DFDB3AE003CF174FC4E4877
3,3=01682D490041913A4EA5B80D16B685E4A6DD88070501
1=D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A
C74D9743435AB4D7CF0FF6557
2=CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4
DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8
82288273ADE67353A5BC316C093
3=09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A
AD9DC50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197
697238537FE7A0195C5E8373EB74D
【0063】
以下は、k=9、すなわちv=512、m=2、すなわち2つの基数、g1=2とg2=3、およびf=3が3(mod 4)に一致する3つの素因数を含む係数を示すGQ2鍵の第2集合である。
1=03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB
2=062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7
3=0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3
n=p1.p2.p3=FFFF5401ECD9E537F167A80C0A9111986F7A8EBA4D
6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73A0C49
761B276A8E6B6977A21D51669D039F1D7
1,1=0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1
2,1=0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E
1,2=02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A
2,2=O45ECB881387582E7C556887784D2671CA118E22FCF2
1,3=B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982
2,3=0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB
1=27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6
EDDA092D0CF108D0AB708405DA46
2=230D0B9595E5AD388F1F447A69918905EBFB05910582E5BA64
9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6
F11F19874DE7DC5D1DF2A9252D
【0064】
(動的認証)
動的認証機構は、コントローラとして知られているエンティティに対し、考えられる関連付けられたメッセージMの真正性だけではなく、デモンストレータとして知られているエンティティの真正性も証明し、その結果、コントローラは、それが真にデモンストレータであり、場合によっては唯一のデモンストレータである旨、およびデモンストレータが真に同じメッセージMを話している旨を確信できる。関連付けられたメッセージMはオプションである。つまり、それは空である可能性がある。
【0065】
動的認証機構は、4つの行動のシーケンスである。つまり、コミットメントという行為と、チャレンジという行為と、応答という行為と、チェックという行為とである。デモンストレータは、コミットメントおよび応答という行為を達成する。コントローラは、チャレンジおよび管理という行為を達成する。
【0066】
デモンストレータの中では、デモンストレータの最も要注意なパラメータおよび機能、つまりコミットメントおよび応答の作成を隔離するために、証人を隔離することが可能である。証人はパラメータkおよび秘密鍵GQ2、つまりここに前記に参照された3つの描写の内の1つに従った係数nの因数分解を有する。つまり、・f個の素因数およびm個の基数と、・m.f個の秘密構成要素と、f個の素因数およびチャイニーズ剰余のf−1個のパラメータと、・m個の秘密値および係数nとである。
【0067】
証人は、例えば、・デモンストレータ全体を形成するPCに接続されているチップカード、または再び、・PC内で特別に保護されているプログラム、または再び、・スマートカード内で特別に保護されているプログラムなどの部分的な実施態様に対応することができる。そして、このようにして隔離された証人は、署名関係者内でここに以下に定義される証人に類似している。機構の実行のたびに、証人は、1以上のコミットメントRを作成してから、チャレンジdと同じくらい多くの応答Dを作成する。各集合{R,d,D}は、GQ2三つ組である。
【0068】
証人を備えることとは別に、デモンストレータは、必要な場合、ハッシュ関数およびメッセージMも有する。
【0069】
コントローラは、係数nおよびパラメータkとmを有する。必要な場合には、それは同じハッシュ関数およびメッセージM’も有する。コントローラは、任意のチャレンジdおよび任意の応答DからコミットメントR’を再構築することができる。パラメータkおよびmがコントローラに知らせる。逆に表示できない場合には、g1からgmのm個の基数がm個の第1素因数である。各チャレンジdは、基数ごとに1つ、d1からdmと参照されるm個の初歩チャレンジを有さなければならない。d1からdmと参照されるこの初歩チャレンジは、0から2k-1−1(v/2からv−1の値は使用されていない)という値を取りうる。典タイプ的には、各チャレンジは、mかけるk−1ビットで(mかけるkビットではなく)で符号化される。例えば、k=6およびm=3ならびに基数3,5、および7では、各チャレンジが2バイトで15ビットを送信させる。k=9,m=2および基数2と3では、各チャレンジは2バイトで16ビットを送信させる。(k−1).m個の考えられるチャレンジも可能であるとき、値(k−1).mが、各GQ2三つ組によって提供される機密保護を決定する。つまり、定義により、係数nの因数分解を知らない詐称者は、まさに2(k-1).mに1回の成功の確率を有する。(k−1).mが15から20に等しいとき、動的認証に妥当に備えるためには1つの三つ組で十分である。任意の機密保護レベルを達成するには、三つ組を平行して作成することができる。また、連続して作成する、つまり機構の実行を繰り返すことも可能である。
【0070】
1)コミットメントという行為は、以下の動作を備える。
証人がQ1からQmのm個の秘密値、および係数nを有するとき、それは1以上のランダム値r(0<r<n)をランダムにかつ秘密裏に引き出す。それからk回の連続二乗(modn)演算により、それは各ランダム値rをコミットメントRに変換する。
R≡rv(mod n)
ここに、k=6での鍵の第1集合の例がある。
r=B8AD426C1A10165E94B894AC2437C1B1797EF562CFA53A4AF8
43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260
919967C3E2FB4B4566088E
R=FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56
D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C21210C6B04
49CC4292E5DD2BDB00828AF18
【0071】
証人が、p1からpfまでf個の素因数、およびm.f個の秘密構成要素Qijを有するとき、それはランダムに、および秘密裏に、f個のランダム値の1以上の集合体を引き出す。各集合体は、素因数pi(0<ri<pi)ごとに1つのランダム値riを有する。それから、(modpi)を二乗するk回の連続演算によって、それは各ランダム値riをコミットメントRiの構成要素に変換する。
i≡ri v(mod pi
ここに、k=9での鍵の第2集合の例がある。
1=B0418EABEBADF0553A28903F74472CD49DD8C82D86
1=022B365F0BEA8E157E94A9DEB0512827FFD5149880F1
2=75A8DA8FE0E60BD55D28A218E31347732339F1D667
2=057E43A242C485FC20DEEF291C774CF1B30F0163DEC2
3=0D74D2BDA5302CF8BE2F6D406249D148C6960A7D27
3=06E14C8FC4DD312BA3B475F1F40CF01ACE2A88D5BB3C
【0072】
f個のコミットメント構成要素の集合体ごとに、証人は、チャイニーズ剰余の儀容に従ってコミットメントをセットアップする。ランダム値の集合体と同じくらい多くのコミットメントがある。
R=チャイニーズ剰余(R1,R2,...,Rj
R=28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7
D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4C3458D1E37C9
9123B56446F6C928736B17B4BA4A529
【0073】
両方の場合で、デモンストレータは、コントローラに各コミットメントRのすべてまたは一部、あるいは各コミットメントRをハッシュ化することによって得られる少なくとも1つのハッシュコードHおよび1つのメッセージMを送信する。
【0074】
2)チャレンジという行為は、ランダムに、それぞれが、m個の初歩チャレンジd1|d2|…|dmから成り立つ1以上のチャレンジdを引き出すことにある。各初歩チャレンジdiは、0からv/2−1の値の1つを取る。
d=d1|d2|...|dm
ここに、k=6およびm=3である鍵の第1集合の例がある。
1=10110=22=’16’;d2=00111=7;d3=0001
0=2
d=0||d1||d2||d3=0101100011100010=58E2
ここに、k=9およびm=2である鍵の第2集合の例がある。
d=d1||d2=58E2、すなわち、小数点表記88および226である
コントローラは、デモンストレータに各チャレンジdを送信する。
【0075】
3)応答という行為は、以下の演算を有する。
証人は、Q1からQmのm個の秘密値および係数nを有するとき、それはコミットメントという行為の各ランダム値rおよび初歩チャレンジに従った秘密値を使用して、1以上の応答Dを計算する。
X≡Q1 d1.Q2 d2…Qm dm(mod n)
D≡r.X(mod n)
ここに、鍵の第1集合の例がある。
D=FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386
5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480
A2C6A290273479FEC9171990A17
【0076】
証人は、piからpfのf個の素因数およびm.f個の秘密構成要素Qi,jを有するとき、それはコミットメントという行為のランダム値の各集合体を使用してf個の応答構成要素を計算する。応答構成要素の各集合体は、素因数ごとに1つの構成要素を備える
i≡Q1 d1.Q2 d2…Qm dmi(mod pi
i≡ri.Xi(mod p1
ここに鍵の第2集合の例がある。
1=r1.Q1.1 d1.Q2.1 d2(mod p1)=
O2660ADF3C73B6DC15E196152322DDE8EB5B35775E38
2=r2.Q1.2 d1.Q2.2 d2(mod p2)=
04C15028E5FD1175724376C11BE77052205F7C62AE3B
3=r3.Q1.3 d1.Q2.3 d2(mod p3)=
0903D20D0C306C8EDA9D8FB5B3BEB55E061AB39CCF52
【0077】
応答構成要素の集合体ごとに、証人は、チャイニーズ剰余技法に従った応答を作成する。チャレンジと同じくらい多くの応答がある。
D=チャイニーズ剰余(D1,D2,...,Df
D=85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36
4CBB55BC44DEC437208CF530F8402BD9C511F5FB3B3A309257A00
195A7305C6FF3323F72DC1AB
両方の場合で、デモンストレータは各応答Dをコントローラに送信する。
【0078】
4)チェック行為は、各三つ組{R,d,D}が、非零値に関して以下のタイプの等式を検証することを確認することにあるか、
【数7】
Figure 0004772965
または、さもなければ、各コミットメントをセットアップすることにある。何もゼロであってはならない。
【数8】
Figure 0004772965
【0079】
必要な場合、コントローラは、それぞれの再確立されたコミットメントR’およびメッセージM’をハッシュ化する際にハッシュコードH’を計算する。動的認証は、コントローラが、このようにして、それがコミットメントの最初の行為の最後に受信したもの、つまり各コミットメントRのすべてまたは一部、あるいはさもなければハッシュコードHを検索するときに成功する。
【0080】
例えば、初歩動作のシーケンスが、応答DをコミットメントR’に変換する。シーケンスは、k−1回の除算によって、あるいは基数による乗算(mod n)によって分離されるk個の平方(mod n)を有する。i番目の平方とi+1番目の平方の間で実行されるi番目の除算または乗算の場合には、初歩チャレンジdiのi番目のビットはgiを使用する必要があることを示し、初歩チャレンジd2のi番目のビットは、g2を使用するのが必要かどうかを示し、初歩チャレンジdmのi番目のビットまで、gmを使用することが必要であるかどうかを示す。
ここに、鍵の第1集合の例がある。
【表1】
Figure 0004772965
【表2】
Figure 0004772965
【表3】
Figure 0004772965
【表4】
Figure 0004772965
私達は、コミットメントRを発見する。認証は無事に終了した。
【0081】
(デジタル署名)
デジタル署名機構によって、署名関係者と呼ばれるエンティティは、署名済みのメッセージを作成し、コントローラと呼ばれるエンティティは署名済みのメッセージを確認することができるようになる。メッセージMは、任意のバイナリシーケンスである。それは空である場合がある。メッセージMは、それにシグナチャ付録を追加することによって署名される。このシグナチャ付録は、対応する応答だけではなく、1以上のコミットメントおよび/またはチャレンジも備える。
【0082】
コントローラは同じハッシュ関数、パラメータkとm、および係数nを有する。パラメータkおよびmは、コントローラに対し情報を提供する。第1に、d1からdmの各初歩チャレンジは、0から2k-1−1(v/2からv−1という値は使用されない)の値を取らなければならない。第2に、各チャレンジdは、d1からdmと参照されるm個の初歩チャレンジ、つまり基数と同じくらい多くの初歩チャレンジを含まなければならない。さらに、逆に表示することができないと、g1からgmのm個の基数はm個の第1素数である。(k−1).mが15から20に等しいので、平行して作成された4個の三つ組GQ2で署名することが可能である。(k−1).mが60以上に等しい場合、単一の三つ組GQ2で署名することが可能である。例えばk=9およびm=8の場合には、単一の三つ組GQ2で十分である。各チャレンジは8バイトであり、基数は2、3、5、7、11、13、17および19である。
【0083】
署名動作は、3つの行為、つまりコミットメントという行為と、チャレンジという行為と、応答という行為とのシーケンスである。それぞれの行為から、コミットメントR(≠0)、d1,d2,...,dmと参照されるm個の初歩チャレンジから成り立つチャレンジd、および応答D(≠0)をそれぞれ含む1以上のGQ2三つ組が生じる。
【0084】
署名関係者は、ハッシュ関数、パラメータkおよびGQ2秘密鍵、つまりここに前記に参照された3つの描写の内の1つに従った係数nの因数分解を有する。署名関係者内で、デモンストレータにとって最も要注意である関数およびパラメータを隔離するために、コミットメントおよび応答という行為を実行する証人を隔離することが可能である。コミットメントおよび応答を計算するために、証人はパラメータkおよびGQ2秘密鍵、つまりここに前記に参照された3つの描写の内の1つに従った係数nの因数分解を有する。このようにして隔離された証人は、デモンストレータ内で定義された証人に類似する。それは、ある特定の実施態様、例えば、・署名関係者全体を形成するPCに接続されているチップカード、または再び、・PC内で特に保護されているプログラム、または再び、・チップカード内で特に保護されているプログラムに対応することができる。
【0085】
1)コミットメントという行為は、以下の演算を含む。
証人がQ1からQmというm個の秘密値、および係数nを有するとき、それはランダムにおよび秘密裏に1以上のランダム値r(0<r<n)を引き出す。それから、k回の無事終了した二乗(mod n)演算によって、それは各ランダム値rをコミットメントRに変換する。
R≡rv(mod n)
【0086】
証人がp1からpfのf個の素因数およびm.f個の秘密構成要素Qijを有するとき、それは、秘密裏にかつランダムにf個ののランダム値の1以上の集合体を引き出す。各集合体は、素因数pi(0<ri<pi)ごとに1つのランダム値を有する。それから、k回の無事終了した二乗(modpi)演算によって、それは各ランダム値riをコミットメントRiの構成要素に変換する。
i≡ri v(mod pi
【0087】
f個のコミットメント構成要素ごとに、証人は、チャイニーズ剰余技法にしたがってコミットメントをセットアップする。ランダム値の集合体と同じくらい多くのコミットメントがある。
R=チャイニーズ剰余(R1,R2,...,Rf
【0088】
2)チャレンジという行為は、すべてのコミットメントRおよび署名関係者が、それぞれがm個の初歩チャレンジを含む1以上のチャレンジを形成するハッシュコードを得るためにMと署名されるメッセージをハッシュ化することにある。各初歩チャレンジは、例えば、k=9およびm=8で0からv/2−1から任意の値を取る。各チャレンジは8バイトを有する。コミットメントと同じくらい多くのチャレンジがある。
d=d1/d2/.../dm,結果ハッシュ(M,R)から抽出
【0089】
3)応答という行為は、以下の動作を含む。
証人は、Q1からQmのm個の秘密値および係数nを有するとき、それは、コミットメントという行為の各ランダム値rおよび初歩チャレンジに従った秘密値を使用して、1以上の応答Dを計算する。
X./≡Q1 d1.Q2 d2…Qm dm(mod n)
D/≡r./X./(mod n)
【0090】
証人は、p1からpfのf個の素因数、およびm.f個の秘密構成要素Qijを有するとき、それはコミットメントという行為のランダム値の書く集合体を使用する際にf個の応答構成要素を計算する。応答構成要素の各集合体は、素因数ごとに1つの構成要素を含む。
i≡Q1 d1i.Q2 d2i…Qm dmi(mod pi
i≡ri.Xi(mod pi
【0091】
応答構成要素の集合体ごとに、証人は、チャイニーズ剰余技法に従って応答をセットアップする。チャレンジと同じくらい多くの応答がある。
D=チャイニーズ剰余(D1,D2,...,Df
【0092】
署名関係者はそれに以下を含むシグナチャ付録を追加する際に、メッセージMに署名する。
各GQ2三つ組、つまり各コミットメントR、各チャレンジdおよび各応答Dと、
または、さもなければ、各コミットメントRおよび各対応する応答Dか、
または、さもなければ、各チャレンジdおよび各対応する応答D
【0093】
検証動作の実行は、シグナチャ付録の内容に依存する。3つの考えられる場合がある。
【0094】
付録が1以上の三つ組を含む場合には、チェック動作は、年代順配列が重要ではない2つの独立したプロセスを有する。コントローラは、以下の2つの条件が満たされる場合および満たされる場合にだけ署名済みのメッセージを受け入れる。
【0095】
第1に、各三つ組は、一貫(以下のタイプに関する適切な関係性が検証されなければならない)し、許容(非零値で比較が実行されなければならない)できなければならない。
【数9】
Figure 0004772965
【0096】
例えば、応答Dは、初歩動作のシーケンスによって変換される。つまり、基数によるk−1回の乗算または除算演算によって分離されるk個の平方済み(mod n)。i番目の平方とi+1番目の平方の間で実行されるi番目の乗算または除算の場合には、初歩チャレンジd1のi番目のビットは、g1を使用することが必要であるかどうかを示し、初歩チャレンジd2のi番目のビットは、g2を使用するのが必要かどうかを示し、初歩チャレンジdmのi番目のビットまで、gmを使用することが必要であるかどうかを示す。このようにして、シグナチャ付録に存在する各コミットメントRを検索することが必要である。
【0097】
さらに、1以上の三つ組は、メッセージMにリンクされなければならない。すべてのコミットメントRおよびメッセージMをハッシュ化することによって、各チャレンジdが回復されなければならないハッシュコードが得られる。
d=d1/d2/.../dm,結果ハッシュ(M,R)から抽出されるものと同一
【0098】
付録にチャレンジがない場合には、チェック動作が、すべてのコミットメントRおよびメッセージMをハッシュ化することによって、1以上のチャレンジd’の再構築で開始する。
D’=d’1/d’2/.../d’m,結果ハッシュ(M,R)から抽出
【0099】
そして、コントローラは、各三つ組が一貫(以下のタイプの適切な関係性が検証される)し、許容(非零値で比較が実行される)できる場合に、および場合にだけ署名済みメッセージを受け入れる。
【数10】
Figure 0004772965
【0100】
付録がコミットメントを備えない場合には、チェック動作は、以下の2つの公式の一方、つまり適切である公式に従って、1以上のコミットメントR’を再構築することによって開始する。確立し直されたコミットメントはゼロであってはならない。
【数11】
Figure 0004772965
【0101】
そして、コントローラは、各チャレンジdを再構成するために、すべてのコミットメントR’およびメッセージMをハッシュ化しなければならない。
d=d1/d2/.../dm,結果ハッシュ(M,R)から抽出されたものと同一
【0102】
コントローラは、各再構築されたチャレンジが付録内の対応するチャレンジに同一である場合および場合にだけ署名済みのメッセージを受け入れる。
【0103】
本出願においては、それぞれ、エンティティの真正性、および/またはメッセージの完全性および/または真正性を証明するように設計される本発明に従って方法、システムおよびデバイスを実行するために使用される秘密値と公開値QとGの組がある。
【0104】
その発明者がLouis GuillouおよびJean-Jacques Quisquaterであるフランステレコム、TDF、およびMath RiZK社によって本出願と同日に提出された係属出願において、GQ2鍵の集合、つまり指数vが2kに等しいときに、それぞれ係数nおよび公開値と秘密値GとQの組を生成するための方法が説明されている。これらを引用することにより本明細書の一部をなすものとする。

Claims (9)

  1. デモンストレータ装置の同一性またはメッセージ署名の完全性を、コントローラ装置において証明する方法であって、
    前記コントローラ装置によって、コミットメントRを受信するステップであって、該コミットメントRは、R≡rv mod nであり、rは0<r<nとなるようにランダムに選択された整数であるステップと、
    前記コントローラ装置によって、ランダムに選択されたm個のチャレンジd1,d2,…,dmを送信するステップと、
    前記コントローラ装置によって、応答Dを受信するステップであって、該応答Dは、D≡r・Q1 d1・Q2 d2・…・Qm dm mod nであるステップと、
    前記コントローラ装置によって、G1 d1,G2 d2,…,Gm dmとDvとに基づいてnを法とする計算によって得られる値が、前記コミットメントRに等しいかどうかに基づいて、前記デモンストレータ装置の同一性または前記メッセージ署名の完全性を決定するステップであって、1以上の秘密値Q1,Q2,…,Qmとそれぞれの公開値G1,G2,…,Gmとの集合が、前記デモンストレータ装置または前記メッセージ署名と関連し、QiとGiの値のそれぞれのペアは、式Gi・Qi v≡1 mod n、または式Gi≡Qi v mod nのいずれかを確認するものであり、mは1以上の整数であり、iは1とmの間の整数であり、nはf個の素因数p1,p2,…,pfの積に等しい公開整数であり、これらの素因数の少なくとも2つは互いに異なっており、fは1より大きい整数であり、vはv=2kとなる公開指数であり、kは1より大きい整数値を有する機密保護パラメータであり、それぞれの公開値Gi(i=1,・・・,m)は、G≡gi 2 mod nとなるものであり、gi(i=1,・・・,m)は、1より大きく前記素因数p1,p2,…,pfのそれぞれよりも小さい整数値を有する基数であり、前記基数i モジュロnの整数環の平方非剰余となるように前記素因数p 1 ,p 2 ,…,p f が前記基数に基づいて選択されているステップと
    を含んでなる方法。
  2. 前記決定するステップは、前記コントローラ装置によって、前記コミットメントRが、R≡Dv・G1 ε1d1・G2 ε2d2・…・Gm εmdm mod nとなる値を前記応答Dが有する場合には、前記デモンストレータ装置が真正であると決定するステップを含み、ここで、i=1,・・・,mについて、Gi・Qi v≡1 mod nの場合にはεi=+1であり、Gi≡Qi v mod nの場合にはεi=−1である、請求項1に記載の方法。
  3. 前記コミットメントRは、コミットメント要素Rj(j=1,・・・,f)の集合からチャイニーズ剰余を用いて計算された値を有し、各コミットメント要素Rjは、Rj≡rj v mod pjとなる値を有し、ここで、rjは、前記デモンストレータ装置によってランダムに選択され、0<rj<pjとなる整数であり、
    前記応答Dは、チャイニーズ剰余を用いて応答要素Djの集合から計算され、該応答要素Djは、i=1,・・・,mおよびj=1,・・・,fについてQi,j≡Qi mod pjであり、j=1,・・・,fについてDj≡rj・Q1,j d1・Q2,j d2・…Qm,j dm mod pjとなる値を有し、
    前記決定するステップは、前記コントローラ装置によって、前記コミットメントRが、R=Dv・G1 ε1d1・G2 ε2d2・…・Gm εmdm mod nとなる値を前記応答Dが有する場合には、前記デモンストレータ装置が真正であると決定するステップを含み、ここで、i=1,・・・,mについて、Gi・Qi v≡1 mod nの場合にはεi=+1であり、Gi≡Qi v mod nの場合にはεi=−1である、請求項1に記載の方法。
  4. 前記コントローラ装置によって、デモンストレータ装置からトークンTを受信するステップであって、該トークンTは、T=h(M,R)となる値を有し、ここで、hはハッシュ関数であり、Mは前記デモンストレータ装置から受信したメッセージであり、
    前記応答Dは、D≡r・Q1 d1・Q2 d2・…・Qm dm mod nとなるように計算された値を有し、
    前記決定するステップは、前記コントローラ装置によって、前記トークンTが、T=h(M,Dv・G1 ε1d1・G2 ε2d2・…・Gm εmdm mod n)となる値を前記応答Dが有する場合には、前記メッセージMが真正であると決定するステップを含み、ここで、i=1,・・・,mについて、Gi・Qi v≡1 mod nの場合にはεi=+1であり、Gi≡Qi v mod nの場合にはεi=−1である、請求項1に記載の方法。
  5. 前記コントローラ装置によって、前記デモンストレータ装置からトークンTを受信するステップであって、前記コミットメントRは、コミットメント要素Rj(j=1,・・・,f)の集合からチャイニーズ剰余を用いて計算された値を有し、各コミットメント要素RjはRj≡rj v mod pjとなる値を有し、ここで、rjは、前記デモンストレータ装置によってランダムに選択され、0<rj<pjとなる整数であるステップをさらに含み、
    前記応答Dは、チャイニーズ剰余を用いて応答要素Djの集合から計算され、該応答要素Djは、i=1,・・・,mおよびj=1,・・・,fについてQi,j≡Qi mod pjであり、j=1,・・・,fについてDj≡rj・Q1,j d1・Q2,j d2・…Qm,j dm mod pjとなる値を有し、
    前記決定するステップは、前記コントローラ装置によって、前記トークンTが、T=h(M,Dv・G1 ε1d1・G2 ε2d2・…・Gm εmdm mod n)となる値を、前記応答Dが有する場合には、前記メッセージMが真正であると決定するステップを含み、ここで、i=1,・・・,mについて、Gi・Qi v≡1 mod nの場合にはεi=+1であり、Gi≡Qi v mod nの場合にはεi=−1である、請求項1に記載の方法。
  6. 前記チャレンジが、i=1,・・・,mについて、0≦di≦2k−1である、請求項2から5のいずれかに記載の方法。
  7. 前記デモンストレータによって、署名されるメッセージMを記録するステップと、
    前記デモンストレータ装置によって、i=1,・・・,mについて、0<ri<nとなるm個の整数riをランダムに選択するステップと、
    前記デモンストレータ装置によって、i=1,・・・,mについて、Ri≡ri v mod nとなる値を有するコミットメントRiを計算するステップと、
    前記デモンストレータ装置によって、T=h(M、R1,R2,・・・,Rm)となる値を有するトークンTを計算するステップであって、ここで、hは、mビットからなるバイナリトレインを生成するハッシュ関数であるステップと、
    前記デモンストレータ装置によって、前記トークンTのビットd1,d2,・・・,dmを識別するステップと、
    前記デモンストレータ装置によって、i=1,・・・,mについて、応答Di≡ri・Qi di mod nを計算するステップと
    をさらに含む、請求項1に記載の方法。
  8. 前記コントローラ装置によって、前記トークンTおよび前記応答Di(i=1,・・・,m)を集めるステップと、
    前記コントローラ装置によって、前記トークンTが、T=h(M,D1 v・G1 ε1d1 mod n,D2 v・G2 ε2d2 mod n,…,Dm v・Gm εmdm mod n)となる値を前記応答Dが有する場合には、前記メッセージMが真正であると決定するステップであって、ここで、i=1,・・・,mについて、Gi・Qi v≡1 mod nの場合にはεi=+1であり、Gi≡Qi v mod nの場合にはεi=−1であるステップと
    をさらに含む、請求項7に記載の方法。
  9. コミットメントRを受信するステップであって、該コミットメントRは、R≡rv mod nであり、rは0<r<nとなるようにランダムに選択された整数であるステップと、
    ランダムに選択されたm個のチャレンジd1,d2,…,dmを送信するステップと、
    応答Dを受信するステップであって、該応答Dは、D≡r・Q1 d1・Q2 d2・…・Qm dm mod nであるステップと、
    1 d1,G2 d2,…,Gm dmとDvとに基づいてnを法とする計算によって得られる値が、前記コミットメントRに等しいかどうかに基づいて、デモンストレータ装置の同一性またはメッセージ署名の完全性を決定するステップであって、1以上の秘密値Q1,Q2,…,Qmとそれぞれの公開値G1,G2,…,Gmとの集合が、前記デモンストレータ装置または前記メッセージ署名と関連し、QiとGiの値のそれぞれのペアは、式Gi・Qi v≡1 mod n、または式Gi≡Qi v mod nのいずれかを確認するものであり、mは1以上の整数であり、iは1とmの間の整数であり、nはf個の素因数p1,p2,…,pfの積に等しい公開整数であり、これらの素因数の少なくとも2つは互いに異なっており、fは1より大きい整数であり、vはv=2kとなる公開指数であり、kは1より大きい整数値を有する機密保護パラメータであり、それぞれの公開値Gi(i=1,・・・,m)は、G≡gi 2 mod nとなるものであり、gi(i=1,・・・,m)は、1より大きく前記素因数p1,p2,…,pfのそれぞれよりも小さい整数値を有する基数であり、前記基数i モジュロnの整数環の平方非剰余となるように前記素因数p 1 ,p 2 ,…,p f が前記基数に基づいて選択されているステップと
    をコントローラ装置に実行させる命令を記憶しているコンピュータに読み取り可能な記録媒体。
JP2000596696A 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性を証明するための方法 Expired - Lifetime JP4772965B2 (ja)

Applications Claiming Priority (11)

Application Number Priority Date Filing Date Title
FR9901065A FR2788910A1 (fr) 1999-01-27 1999-01-27 Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
FR99/01065 1999-01-27
FR9903770A FR2788911A1 (fr) 1999-01-27 1999-03-23 Procede, systeme, dispositif pour diminuer la charge de travail pendant une session destinee a prouver l'authenticite d'une entite et/ou l'origine et l'integrite d'un message
FR99/03770 1999-03-23
FR9912467A FR2788912B1 (fr) 1999-01-27 1999-10-01 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message aux moyens de facteurs premiers particuliers
FR9912468A FR2824974B1 (fr) 1999-01-27 1999-10-01 Procede destine a prouver l'authenticite d'une entite ou l'integrite d'un message au moyen d'un exposant public egal a une puissance de deux.
FR9912465A FR2788908B1 (fr) 1999-01-27 1999-10-01 Procede, systeme, dispositif destines a prouver l'authenticite d'une entite et/ou l'integrite et/ou l'authenticite d'un message
FR99/12465 1999-10-01
FR99/12468 1999-10-01
FR99/12467 1999-10-01
PCT/FR2000/000190 WO2000045550A2 (fr) 1999-01-27 2000-01-27 Procede destine a prouver l'authenticite d'une entite ou l'integrite d'un message au moyen d'un exposant public egal a une puissance de deux

Publications (3)

Publication Number Publication Date
JP2003513480A JP2003513480A (ja) 2003-04-08
JP2003513480A5 JP2003513480A5 (ja) 2007-03-15
JP4772965B2 true JP4772965B2 (ja) 2011-09-14

Family

ID=27515634

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2000597914A Withdrawn JP2003519447A (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置
JP2000596696A Expired - Lifetime JP4772965B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性を証明するための方法
JP2000597915A Expired - Lifetime JP4772189B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/または特殊素因子を使用するメッセ−ジの完全性および/または真正性を証明するための方法、システム、及び装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2000597914A Withdrawn JP2003519447A (ja) 1999-01-27 2000-01-27 エンティティの真正性および/またはメッセージの完全性および/または真正性を証明するための方法、システム、および装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2000597915A Expired - Lifetime JP4772189B2 (ja) 1999-01-27 2000-01-27 エンティティの真正性および/または特殊素因子を使用するメッセ−ジの完全性および/または真正性を証明するための方法、システム、及び装置

Country Status (7)

Country Link
US (2) US7386122B1 (ja)
EP (3) EP1145482B1 (ja)
JP (3) JP2003519447A (ja)
CN (3) CN1408154A (ja)
AU (3) AU769444B2 (ja)
CA (3) CA2361627A1 (ja)
WO (3) WO2000046946A2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2822002B1 (fr) * 2001-03-12 2003-06-06 France Telecom Authentification cryptographique par modules ephemeres
FR2841411B1 (fr) * 2002-06-19 2004-10-29 Gemplus Card Int Procede de generation de cles electroniques pour procede de crytographie a cle publique et objet portatif securise mettant en oeuvre le procede
FR2865590A1 (fr) * 2004-01-23 2005-07-29 France Telecom Procede pour etablir, a partir d'un jeu de grands nombres premiers, un jeu de cles destine a prouver l'authenticite d'une entite ou l'integrite d'un message
DE602006007237D1 (de) 2005-08-23 2009-07-23 Koninkl Philips Electronics Nv Authentifizierung von informationsträgern über eine physische einwegfunktion
JP4968622B2 (ja) * 2006-11-02 2012-07-04 日本電気株式会社 グループメンバー確認システム、及びグループメンバー確認方法、及びプログラム
TWI405481B (zh) * 2007-05-18 2013-08-11 Innovative Sonic Ltd 無線通訊系統比較狀態變數或封包序號的方法及其相關裝置
US8832110B2 (en) 2012-05-22 2014-09-09 Bank Of America Corporation Management of class of service
US9961059B2 (en) * 2014-07-10 2018-05-01 Red Hat Israel, Ltd. Authenticator plugin interface
EP2966803A1 (en) * 2014-07-11 2016-01-13 Thomson Licensing Method and device for cryptographic key generation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0520344A (ja) * 1991-07-10 1993-01-29 Nippon Telegr & Teleph Corp <Ntt> 電子現金方式

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2620248B1 (fr) * 1987-09-07 1989-11-24 France Etat Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de messages
US5140634A (en) * 1987-09-07 1992-08-18 U.S Philips Corporation Method and apparatus for authenticating accreditations and for authenticating and signing messages
US5218637A (en) * 1987-09-07 1993-06-08 L'etat Francais Represente Par Le Ministre Des Postes, Des Telecommunications Et De L'espace Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization
JP3102692B2 (ja) * 1988-05-19 2000-10-23 エヌ・シー・アール・インターナショナル・インコーポレイテッド カードの真性を証明する方法
EP0381523A3 (en) * 1989-02-02 1993-03-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
US5046094A (en) * 1989-02-02 1991-09-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
US5224162A (en) * 1991-06-14 1993-06-29 Nippon Telegraph And Telephone Corporation Electronic cash system
US5299262A (en) * 1992-08-13 1994-03-29 The United States Of America As Represented By The United States Department Of Energy Method for exponentiating in cryptographic systems
US5442707A (en) * 1992-09-28 1995-08-15 Matsushita Electric Industrial Co., Ltd. Method for generating and verifying electronic signatures and privacy communication using elliptic curves
US5414772A (en) * 1993-06-23 1995-05-09 Gemplus Development System for improving the digital signature algorithm
US5604805A (en) * 1994-02-28 1997-02-18 Brands; Stefanus A. Privacy-protected transfer of electronic information
FR2733379B1 (fr) 1995-04-20 1997-06-20 Gemplus Card Int Procede de generation de signatures electroniques, notamment pour cartes a puces
DE69704684T2 (de) 1996-02-23 2004-07-15 Fuji Xerox Co., Ltd. Vorrichtung und Verfahren zur Authentifizierung von Zugangsrechten eines Benutzers zu Betriebsmitteln nach dem Challenge-Response-Prinzip
IL120303A0 (en) * 1996-03-27 1997-06-10 Pfizer Use of alpha1-adrenoreceptor antagonists in the prevention and treatment of cancer
DE69738931D1 (de) * 1997-01-28 2008-10-02 Matsushita Electric Ind Co Ltd Vorrrichtung zum digitalen unterschreiben mit rückgewinnung der botschaft
US6389136B1 (en) * 1997-05-28 2002-05-14 Adam Lucas Young Auto-Recoverable and Auto-certifiable cryptosystems with RSA or factoring based keys
ATE246820T1 (de) * 1997-05-29 2003-08-15 Sun Microsystems Inc Verfahren und vorrichtung zur versiegelung und unterschrift von objekten
US7246098B1 (en) * 1997-07-15 2007-07-17 Silverbrook Research Pty Ltd Consumable authentication protocol and system
JP3671611B2 (ja) * 1997-08-05 2005-07-13 富士ゼロックス株式会社 アクセス資格認証装置および方法
JP3562262B2 (ja) * 1997-10-17 2004-09-08 富士ゼロックス株式会社 認証方法および装置
CA2253009C (en) * 1997-11-04 2002-06-25 Nippon Telegraph And Telephone Corporation Method and apparatus for modular inversion for information security and recording medium with a program for implementing the method
US7280663B1 (en) * 2000-05-22 2007-10-09 University Of Southern California Encryption system based on crossed inverse quasigroups

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0520344A (ja) * 1991-07-10 1993-01-29 Nippon Telegr & Teleph Corp <Ntt> 電子現金方式

Also Published As

Publication number Publication date
AU769444B2 (en) 2004-01-29
JP2003519447A (ja) 2003-06-17
EP1145473A2 (fr) 2001-10-17
JP4772189B2 (ja) 2011-09-14
AU769446C (en) 2007-09-20
EP1145472A3 (fr) 2002-11-27
EP1145482A3 (fr) 2002-06-26
CA2360887C (fr) 2009-03-24
JP2002540653A (ja) 2002-11-26
WO2000046947A3 (fr) 2002-04-04
US7266197B1 (en) 2007-09-04
EP1145482A2 (fr) 2001-10-17
CN1408154A (zh) 2003-04-02
CA2361627A1 (en) 2000-08-10
EP1145473B1 (fr) 2019-04-17
CN1322700C (zh) 2007-06-20
AU2298400A (en) 2000-08-25
EP1145473A3 (fr) 2002-05-29
EP1145472A2 (fr) 2001-10-17
AU2298600A (en) 2000-08-18
CN1372739A (zh) 2002-10-02
AU769464B2 (en) 2004-01-29
AU769446B2 (en) 2004-01-29
WO2000045550A2 (fr) 2000-08-03
WO2000045550A3 (fr) 2002-04-25
WO2000046947A2 (fr) 2000-08-10
CN100377520C (zh) 2008-03-26
CA2360954A1 (en) 2000-08-03
WO2000046946A3 (fr) 2002-10-10
CN1468479A (zh) 2004-01-14
AU2298500A (en) 2000-08-25
EP1145482B1 (fr) 2019-01-02
US7386122B1 (en) 2008-06-10
CA2360887A1 (fr) 2000-08-10
JP2003513480A (ja) 2003-04-08
WO2000046946A2 (fr) 2000-08-10

Similar Documents

Publication Publication Date Title
EP0503119B1 (en) Public key cryptographic system using elliptic curves over rings
Camenisch et al. Efficient protocols for set membership and range proofs
Chen et al. Concurrent signatures
US9882890B2 (en) Reissue of cryptographic credentials
CN111886829A (zh) 用于去信任零知识或有支付的计算机实现的***及方法
US20050135606A1 (en) Method and apparatus for verifiable generation of public keys
JP3158118B2 (ja) 認証情報の認証確認用システム
JP4809310B2 (ja) エンティティの真正性又はメッセージの完全性を証明するための方法、システム、デバイス
WO2019110399A1 (en) Two-party signature device and method
US6959085B1 (en) Secure user identification based on ring homomorphisms
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
US6978372B1 (en) Verification of correct exponentiation or other operations in cryptographic applications
JP2005513564A (ja) 負荷を複数のエンティティおよびそのデバイスに分散させるための暗号法
KR100676460B1 (ko) 2의 거듭제곱과 동등한 공개 지수를 이용한 엔티티 인증성및/또는 메시지의 무결성 검증방법
KR100844546B1 (ko) 엔티티의 진정성 또는 메시지의 무결성 검증방법, 시스템 및 장치
JP2002072873A (ja) 二次体に基づく否認不可署名方式
Qian et al. Efficient non-interactive deniable authentication protocols
Song et al. A distributed electronic authentication scheme in e-Business system
Dunbar Digital Signature Scheme Variations
Song et al. A distributed E-Business system based on conic curve

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070123

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100506

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100806

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20100806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101014

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110525

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110614

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140701

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4772965

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term