RU2417410C2

RU2417410C2 - Method of storing and using cryptographic key

Info

Publication number: RU2417410C2
Application number: RU2008133888/08A
Authority: RU
Inventors: Сергей Ефимович Леонтьев (RU); Сергей Ефимович Леонтьев; Владимир Олегович Попов (RU); Владимир Олегович Попов; Леонид Тимофеевич Веденьёв (RU); Леонид Тимофеевич Веденьёв; Николай Владимирович Зырин (RU); Николай Владимирович Зырин; Дмитрий Вадимович Сергеев (RU); Дмитрий Вадимович Сергеев; Василий Павлович Грушин (RU); Василий Павлович Грушин; Александра Викторовна Маркелова (RU); Александра Викторовна Маркелова
Original assignee: Общество С Ограниченной Ответственностью "Крипто-Про"; Общество с ограниченной ответственностью "ПрограмПарк"
Priority date: 2008-08-19
Filing date: 2008-08-19
Publication date: 2011-04-27
Also published as: RU2008133888A

Abstract

FIELD: information technology.

SUBSTANCE: method of storing and using a cryptographic key of asymmetric cryptographic algorithms on elliptical curves, in which a private key d is divided into parts d₁,…,d_n, where d=d₁+…+d_n (mod q), which are securely stored on key carriers, cryptographic operations for generating an electronic digital signature, decoding and/or generating a general in accordance with a Diffie-Hellman algorithm are performed distributively on key carriers without generating a general private key, and results of performing these operations are processed in a computer system (assembly unit) which generates a general result of the cryptographic operation, wherein during generation of the electronic digital signature, each key carrier generates a random number k_i (7≤i≤n - number of the key carrier), generates the corresponding multiple point of the elliptical curve R_i=k_i P and sends it to the computer system which finds the point R=R₁+…+R_n and sends the first coordinate of that point (r) to key carriers, after which each key carrier finds s_i=(rd_i+k_i e)(mod q) and sends the obtained value to the computer system, where s=(s₁+…+s_n)(mod q) is generated, wherein the number pair (r, s) is the electronic digital signature.

EFFECT: low probability of breaching a hidden private key and elimination of cryptographically dangerous consequences for breaching the key in the restricted model of the violator.

6 cl, 3 dwg

Description

Изобретение относится к области криптографии, а именно к асимметричным криптоалгоритмам. Более конкретно, настоящее изобретение описывает способ хранения и использования ключей асимметричных криптографических алгоритмов на эллиптических кривых.The invention relates to the field of cryptography, namely to asymmetric cryptographic algorithms. More specifically, the present invention describes a method for storing and using keys of asymmetric cryptographic algorithms on elliptic curves.

Асимметричная криптография начала активно развиваться с 1976 года после выхода статьи У.Диффи и М.Хеллмана «Новые направления в криптографии» (W.Diffie, М.Е.Hellman «New Directions in Cryptography). В классических (симметричных) системах шифрования для обмена сообщениями два абонента должны иметь общий, заранее согласованный ключ, хранящийся в тайне. В асимметричных алгоритмах шифрования каждый абонент имеет ключевую пару - открытый и закрытый секретный ключи, связанные друг с другом некоторым математическим соотношением, зависящим от используемого алгоритма. Открытый ключ может быть сообщен кому угодно, например опубликован в интернете. Закрытый секретный ключ хранится пользователем в тайне. Чтобы послать сообщение абоненту, это сообщение необходимо зашифровать с помощью открытого ключа этого абонента, а для расшифровки требуется знание соответствующего закрытого секретного ключа.Asymmetric cryptography began to develop actively in 1976 after the publication of the article by W. Diffie and M. Hellman, “New Directions in Cryptography” (W.Diffie, M.E. Hellman, “New Directions in Cryptography). In classical (symmetric) encryption systems for messaging, two subscribers must have a common, pre-agreed key, kept secret. In asymmetric encryption algorithms, each subscriber has a key pair - public and private secret keys, connected to each other by a certain mathematical ratio, depending on the algorithm used. The public key can be communicated to anyone, for example, published on the Internet. The private secret key is kept secret by the user. To send a message to a subscriber, this message must be encrypted using the public key of this subscriber, and decryption requires knowledge of the corresponding private secret key.

Аналогичным образом устроены асимметричные системы электронной цифровой подписи (ЭЦП). Для того чтобы подписать некоторые данные, абонент выполняет некоторое математическое преобразование с использованием своего секретного ключа. Далее любой знающий соответствующий открытый ключ может с помощью него проверить электронную цифровую подпись абонента.Similarly arranged asymmetric electronic digital signature system (EDS). In order to sign some data, the subscriber performs some mathematical transformation using his private key. Further, anyone who knows the corresponding public key can use it to verify the electronic digital signature of the subscriber.

Отметим, что открытый ключ (public key в англоязычной литературе) во многих источниках называется также ключом расшифрования и/или ключом проверки ЭЦП, а закрытый ключ (private key) - ключом зашифрования и/или ключом подписи.Note that the public key (public key in the English literature) in many sources is also called the decryption key and / or the EDS verification key, and the private key (private key) is called the encryption key and / or signature key.

В последнее десятилетие широкое распространение получили асимметричные криптоалгоритмы на эллиптических кривых. Хорошо известен алгоритм шифрования Эль-Гамаля для эллиптических кривых (Н.Коблиц. Курс теории чисел и криптографии. С.206). Важное значение имеют алгоритмы ЭЦП на эллиптических кривых - ECDSA, российский стандарт ЭЦП ГОСТ Р 34.10-2001, схема ЭЦП Nyberg-Rueppel с возвратом сообщения (А.А.Болотов, С.Б.Гашков, А.Б.Фролов. Элементарное введение в эллиптическую криптографию. Протоколы на эллиптических кривых. С.102). Имеет широкое применение алгоритм выработки общего ключа Диффи-Хеллмана на эллиптической кривой (А.А.Болотов, С.Б.Гашков, А.Б.Фролов. Элементарное введение в эллиптическую криптографию. Протоколы на эллиптических кривых. С.85).In the last decade, asymmetric cryptographic algorithms on elliptic curves have become widespread. The Al-Gamal encryption algorithm for elliptic curves is well known (N. Koblitz. Course in Number Theory and Cryptography. P.206). EDS algorithms on elliptic curves are of great importance - ECDSA, Russian standard EDS GOST R 34.10-2001, Nyberg-Rueppel EDS circuit with message return (A.A. Bolotov, S. B. Gashkov, A. B. Frolov. An elementary introduction to elliptic cryptography. Protocols on elliptic curves. S.102). The Diffie-Hellman common key algorithm for generating an elliptic curve is widely used (A.A. Bolotov, S. B. Gashkov, A. B. Frolov. An elementary introduction to elliptic cryptography. Protocols on elliptic curves. P. 85).

Как уже было сказано, во всех асимметричных криптографических системах важно сохранять закрытый ключ в секрете. Поэтому возникает задача безопасного хранения и использования этого ключа.As already mentioned, in all asymmetric cryptographic systems it is important to keep the private key secret. Therefore, the problem arises of the safe storage and use of this key.

Известно портативное устройство хранения данных с системой шифрования (патент РФ №2006137201, G06F 12/14), содержащее энергонезависимую память для хранения данных пользователя и средства интегральной схемы для генерирования, по меньшей мере, одного ключа. Отличие данного устройства от предлагаемого изобретения состоит в том, что оно не хранит ключа шифрования (только, возможно, ключ обмена данными), в то время как предлагаемое изобретение направлено именно на хранение ключевой информации и позволяет как генерировать секретный ключ, так и загружать его извне. В портативном устройстве хранения данных функция цифровой подписи предусмотрена только для подтверждения аутентичности данных, передаваемых с главного компьютера, в то время как предлагаемое изобретение позволяет выполнять криптографические операции, предусматриваемые назначением ключа. В частности, помимо формирования цифровой подписи предлагаемое изобретение позволяет вырабатывать общий ключ по алгоритму Диффи-Хеллмана. Таким образом, предлагаемое изобретение направлено именно на расширение возможностей работы с ключами и на повышение защищенности секретного ключа.A portable data storage device with an encryption system is known (RF patent No. 2006137201, G06F 12/14) containing non-volatile memory for storing user data and integrated circuit means for generating at least one key. The difference between this device and the present invention is that it does not store an encryption key (only, possibly, a data exchange key), while the present invention is aimed specifically at storing key information and allows both generating a secret key and downloading it from the outside . In a portable data storage device, the digital signature function is provided only to confirm the authenticity of the data transmitted from the host computer, while the present invention allows cryptographic operations provided for by the key. In particular, in addition to generating a digital signature, the invention allows to generate a common key using the Diffie-Hellman algorithm. Thus, the present invention is aimed specifically at expanding the possibilities of working with keys and increasing the security of the secret key.

Наиболее близким аналогом предлагаемого изобретения является устройство ввода и хранения ключевой информации (патент РФ №2175775, G06F 3/06, H04L 9/00, G06F 12/14), уменьшающее вероятность компрометации шифроключей за счет маскирования их случайной последовательностью, формируемой устройством. Для этого устройство содержит генератор тактовых импульсов, блок оперативной памяти, контактное устройство с внешним носителем, буферный регистр, регистр номера зоны, коммутатор номера зоны, выходной блок, датчик адресов, узел пуска-сброса, блок управления вводом-выводом, узел идентификации, генератор случайных импульсов, узел сравнения контрольных групп и датчик команд. К недостаткам данного устройства можно отнести то, что оно не выполняет криптографических преобразований, поэтому ключ покидает устройство и может быть скомпрометирован при его использовании.The closest analogue of the present invention is a key information input and storage device (RF patent No. 2175775, G06F 3/06, H04L 9/00, G06F 12/14), which reduces the likelihood of compromise of cryptographic keys by masking them with a random sequence generated by the device. For this, the device contains a clock generator, a RAM block, a contact device with an external medium, a buffer register, a zone number register, a zone number switch, an output block, an address sensor, a start-reset unit, an I / O control unit, an identification unit, a generator random pulses, control group comparison unit and command sensor. The disadvantages of this device include the fact that it does not perform cryptographic transformations, so the key leaves the device and can be compromised when using it.

Основной технический результат, на достижение которого направлено заявляемое изобретение, заключается в снижении вероятности компрометации закрытого секретного ключа и исключении криптографически опасных последствий компрометации ключа в ограниченной модели нарушителя.The main technical result, the achievement of which the claimed invention is directed, is to reduce the likelihood of compromising the private secret key and eliminating the cryptographically dangerous consequences of compromising the key in a limited model of the intruder.

Краткое описание чертежейBrief Description of the Drawings

Фиг.1. Общая схема разделения ключа на доли.Figure 1. The general scheme of dividing a key into shares.

Фиг.2. Вариант распределенного вычисления электронной цифровой подписи к сообщению.Figure 2. A variant of the distributed calculation of an electronic digital signature to a message.

Фиг.3. Вариант выработки общего ключа для алгоритма парольной аутентификации.Figure 3. Option to generate a shared key for a password authentication algorithm.

Осуществление изобретенияThe implementation of the invention

Данное изобретение может быть реализовано с использованием в качестве ключевых носителей микропроцессорных устройств, а в качестве вычислительной системы - программы для ЭВМ, реализующей криптографические алгоритмы, например средство криптографической защиты информации «КриптоПро CSP». При этом в качестве алгоритма электронной цифровой подписи может быть использован российский стандарт ГОСТ Р 34.10-2001.This invention can be implemented using microprocessor devices as key carriers, and as a computing system, computer programs that implement cryptographic algorithms, for example, the cryptographic information protection tool “CryptoPro CSP”. At the same time, the Russian standard GOST R 34.10-2001 can be used as an electronic digital signature algorithm.

Прежде всего указанная задача решается за счет разделения ключа между несколькими ключевыми носителями 1 на доли 2, которые защищенно хранятся на ключевых носителях 1, имеющих возможность выполнять операции на эллиптических кривых. Это означает, что доли 2 секретного ключа должны быть недоступны для экспорта с носителей штатными средствами.First of all, this problem is solved by dividing the key between several key carriers 1 into fractions 2, which are securely stored on key carriers 1, which are able to perform operations on elliptic curves. This means that shares 2 of the private key should not be available for export from carriers using regular means.

Реализация этой идеи применительно к российскому стандарту ЭЦП ГОСТ Р 34.10-2001 выполняется следующим образом (см. фиг.1).The implementation of this idea in relation to the Russian standard EDS GOST R 34.10-2001 is as follows (see figure 1).

Пусть d - ключ подписи в соответствии с ГОСТ Р 34.10-2001, d₁, …, d_n - ключевые доли 2, хранящиеся на носителях 1. ТогдаLet d be the signature key in accordance with GOST R 34.10-2001, d ₁ , ..., d _{n the} key shares 2 stored on media 1. Then

d≡d₁+.…+d_n (mod q).d≡d ₁ +. ... + d _n (mod q).

При этом общий открытый ключ 3 проверки ЭЦП формируется в вычислительной системе 4 (блоке сборки) по правилуIn this case, the common public key 3 of the digital signature check is generated in the computing system 4 (assembly unit) according to the rule

Q=Q₁+…+Q_n,Q = Q ₁ + ... + Q _n ,

где Q₁=d₁P, …, Q_n=d_nP - доли открытого ключа 3 и Р - точка эллиптической кривой порядка q согласно ГОСТ Р 34.10-2001.where Q ₁ = d ₁ P, ..., Q _n = d _n P are the shares of the public key 3 and P is the point of the elliptic curve of order q according to GOST R 34.10-2001.

Также можно использовать способ, при котором доли закрытого секретного ключа могут изменяться при том, что открытый ключ 3 остается неизменным и может быть защищен сертификатом.You can also use a method in which the shares of the private secret key can be changed while the public key 3 remains unchanged and can be protected by a certificate.

Следующим важным аспектом предлагаемого изобретения является то, что криптографические операции (например, формирование электронной цифровой подписи, расшифрование и/или выработка общего ключа по алгоритму Диффи-Хеллмана) выполняются распределенно на ключевых носителях 1, не формируя общего закрытого секретного ключа, а результаты выполнения этих операций обрабатываются в вычислительной системе 4 (блоке сборки), формирующей общий результат криптографической операции в виде общей подписи 5 к сообщению, являющейся функцией от частичных подписей (см. фиг.2).Another important aspect of the invention is that cryptographic operations (for example, generating an electronic digital signature, decrypting and / or generating a common key using the Diffie-Hellman algorithm) are performed distributed on key media 1, without generating a common private secret key, and the results of these operations are processed in computer system 4 (assembly unit), which forms the general result of the cryptographic operation in the form of a general signature 5 to the message, which is a function of partial signatures (see figure 2).

Это позволяет сформировать ЭЦП, расшифровать сообщение или выработать общий ключ по алгоритму Диффи-Хеллмана без раскрытия ключевых долей и построения общего закрытого ключа, а также независимо использовать генераторы случайных величин ключевых носителей для порождения случайного компонента подписи. Таким образом, требованием к ключевому носителю является возможность выполнения на нем криптографических операций на эллиптических кривых.This allows you to generate an EDS, decrypt the message, or generate a common key using the Diffie-Hellman algorithm without revealing key shares and constructing a common private key, as well as independently use key carrier random variables generators to generate a random signature component. Thus, a requirement for a key medium is the ability to perform cryptographic operations on it on elliptic curves.

Пусть хэш-код сообщения двоично представляется некоторым числом е. Для вычисления ЭЦП согласно ГОСТ Р 34.10-2001 необходимо выбрать случайное число к, удовлетворяющее неравенству 0<k<q (q - параметр алгоритма), затем вычислить r≡x_G(kP)(mod q) (первая координата точки kР). После этого вычисляется значение s≡(rd+ke)(mod q), и подписью сообщения является пара чисел (r, s).Let the message hash code be binary represented by some number e. To calculate the digital signature according to GOST R 34.10-2001, it is necessary to select a random number k satisfying the inequality 0 <k <q (q is the algorithm parameter), then calculate r≡x _G (kP) ( mod q) (the first coordinate of the point kР). After that, the value s≡ (rd + ke) (mod q) is calculated, and the message signature is a pair of numbers (r, s).

В рассматриваемом изобретении при формировании ЭЦП распределенные вычисления могут проводиться следующим образом. На первом шаге каждый ключевой носитель вырабатывает случайное число k_i (1≤i≤n - номер ключевого носителя), вычисляет соответствующую кратную точку эллиптической кривой R_i=k_iР и передает ее в вычислительную систему. Вычислительная система находит точку R=R₁+.…+R_n и передает первую координату этой точки (r) на ключевые носители. На следующем шаге каждый ключевой носитель находит s_i≡(rd_i+k_ie)(mod q) и передает полученное значение в вычислительную систему. Вычислительная система считает s≡(s₁+…+s_n)(mod q). Полученная пара чисел (r, s) является электронной цифровой подписью согласно ГОСТ Р 34.10-2001.In the present invention, when forming the digital signature, distributed computing can be carried out as follows. In the first step, each key carrier generates a random number k _i (1≤i≤n is the key carrier number), calculates the corresponding multiple point of the elliptic curve R _i = k _i P and transfers it to the computer system. The computing system finds the point R = R ₁ +. ... + R _n and transfers the first coordinate of this point (r) to key carriers. In the next step, each key medium finds s _i ≡ (rd _i + k _i e) (mod q) and transfers the resulting value to the computer system. The computing system considers s≡ (s ₁ + ... + s _n ) (mod q). The resulting pair of numbers (r, s) is an electronic digital signature according to GOST R 34.10-2001.

Аналогичный способ можно использовать при выработке общего ключа Диффи-Хеллмана. Пусть имеется закрытый ключ d, разделенный на доли описанным выше способом, и открытый ключ Q абонента, с которым необходимо выработать открытый ключ. Необходимо распределенно вычислить кратную точку d·Q. Для этого на ключевые носители передается значение (α_iQ), где α_i - некоторое случайное число. Каждый ключевой носитель умножает полученную точку на свою ключевую долю и передает на блок сборки значение d_i·(α_iQ). Вычислительная система находит d_i·Qr=α_i ^-1·d_i·(α_iQ), после чего вычисляет dQ=d₁Q+…+d_nQ.A similar method can be used to generate a common Diffie-Hellman key. Let there be a private key d, divided into shares as described above, and a public key Q of the subscriber with whom it is necessary to develop a public key. It is necessary to distributedly calculate the multiple point d · Q. For this, the value (α _i Q) is transmitted to key carriers, where α _i is some random number. Each key carrier multiplies the resulting point by its key share and transfers the value d _i · (α _i Q) to the assembly unit. The computing system finds d _i · Qr = α _i ^-1 · d _i · (α _i Q), and then calculates dQ = d ₁ Q + ... + d _n Q.

Очевидно, что приведенные выше алгоритмы являются только примером, а конкретные реализации могут отличаться от данного описания. Кроме того, представляемое изобретение не ограничивается описанными алгоритмами и может быть по аналогии распространено на произвольные асимметричные криптографические алгоритмы на эллиптических кривых.Obviously, the above algorithms are just an example, and specific implementations may differ from this description. In addition, the presented invention is not limited to the described algorithms and can be extended by analogy to arbitrary asymmetric cryptographic algorithms on elliptic curves.

Для повышения надежности предлагаемого изобретения можно использовать способ, отличающийся тем, что используется протокол криптографической парольной двусторонней аутентификации между ключевым носителем 1 и пользователем 6, криптографически защищается канал между ключевым носителем 1 и вычислительной системой 4, используемый при изменении долей закрытого секретного ключа и получении данных с носителя, и число неудачных попыток аутентификации контролируется счетчиками.To increase the reliability of the present invention, a method can be used, characterized in that a protocol of cryptographic password two-way authentication is used between the key medium 1 and user 6, the channel between the key medium 1 and computer system 4 is cryptographically protected, used when changing the shares of the private secret key and receiving data from media, and the number of failed authentication attempts is controlled by counters.

Возможно использование любого из известных протоколов парольной аутентификации или их модификаций (Б.Шнайер. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. С.578, протоколы ЕКЕ). Основной идеей подобных протоколов является то, что обменивающиеся стороны имеют некоторый общий секрет, основанный на пароле, а затем на основе этого секрета вырабатывают общий ключ 7 (см. фиг.3). В предлагаемом изобретении в качестве такого общего секрета используется точка эллиптической кривой

причем на ключевом носителе эта точка защищенно хранится и не может быть прочитана штатными средствами, а вычислительная система формирует эту точку после предъявления пользователем пароля. После этого вычислительная система и ключевой носитель выбирают некоторые случайные числа а₁ и а₂ (временные секретные ключи), вычисляют соответствующие им кратные точки (временные открытые ключи) и обмениваются значениями Q_pw+a_iР. После этого обе стороны вычисляют общий ключ 7 K=а₁а₂Р, на котором затем проводят аутентификацию и шифруют передаваемые данные.It is possible to use any of the known password authentication protocols or their modifications (B. Schneier. Applied cryptography. Protocols, algorithms, source codes in C. C.578, ECE protocols). The main idea of such protocols is that the exchanging parties have some common secret based on a password, and then based on this secret they generate a common key 7 (see figure 3). In the present invention, an elliptic curve point is used as such a common secret.

moreover, on a key medium, this point is securely stored and cannot be read by regular means, and the computer system generates this point after the user presents the password. After that, the computing system and the key medium select some random numbers a ₁ and a ₂ (temporary secret keys), calculate the corresponding multiple points (temporary public keys) and exchange the values Q _pw + a _i P. After that, both sides calculate the common key 7 K = a ₁ a ₂ P, on which authentication is then carried out and the transmitted data is encrypted.

В некоторых реализациях предлагаемого изобретения можно использовать способ, отличающийся тем, что вычислительная система хранит доли закрытого секретного ключа, каждая из которых защищена паролем пользователя, причем криптографические операции с этими долями выполняются так же, как и с долями, хранящимися на ключевых носителях.In some implementations of the present invention, a method can be used, characterized in that the computing system stores shares of the private secret key, each of which is protected by a user password, and cryptographic operations with these shares are performed in the same way as with the shares stored on key media.

Кроме того, возможен способ реализации изобретения, при котором некоторые ключевые доли 2 не хранятся, а являются функциями от паролей и формируются вычислительной системой после предъявления соответствующих паролей, причем криптографические операции с этими долями выполняются так же, как и с долями, хранящимися на ключевых носителях. Дополнительно к этому существует способ, при котором доли закрытого секретного ключа, формируемые в вычислительной системе, зависят еще и от данных, защищенно хранящихся на ключевых носителях 1.In addition, it is possible to implement the invention in which some key fractions 2 are not stored, but are functions of passwords and are formed by the computer system after the presentation of the corresponding passwords, and cryptographic operations with these fractions are performed in the same way as with fractions stored on key media . In addition to this, there is a method in which the shares of the private secret key generated in the computer system also depend on the data stored securely on key media 1.

Данное изобретение может использоваться в различных областях. Например, описанный способ хранения и использования криптографических ключей может применяться в документообороте (для подписи документов), при формировании подписи к электронным письмам, в системах, требующих аутентификации пользователя, при подписи транзакционных данных, а также во многих других областях, использующих криптографию на эллиптических кривых.This invention can be used in various fields. For example, the described method for storing and using cryptographic keys can be used in document management (for signing documents), in generating signatures for emails, in systems requiring user authentication, in signing transaction data, as well as in many other areas that use cryptography on elliptic curves .

Специалисту в данной области техники очевидно, что по мере развития технологии базовая идея изобретения может быть реализована различными способами. Поэтому изобретение и варианты его воплощения не ограничиваются вышеупомянутыми примерами, но они могут варьироваться в рамках объема, определяемого формулой изобретения.One skilled in the art will appreciate that as the technology develops, the basic idea of the invention can be implemented in various ways. Therefore, the invention and its embodiments are not limited to the above examples, but they can vary within the scope defined by the claims.

Список литературыBibliography

1. W.Diffie, М.Е.Hellman. New Directions in Cryptography. IЕЕE Transactions on Information Theory, v.IT-22, n.6, 1976, p.644-654.1. W. Diffie, M.E. Hellman. New Directions in Cryptography. IEE Transactions on Information Theory, v. IT-22, n.6, 1976, p. 644-654.

2. ГОСТ P 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».2. GOST P 34.10-2001 “Information technology. Cryptographic information security. The processes of formation and verification of electronic digital signatures. "

3. Б.Шнайер. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: ТРИУМФ, 2002.3. B. Schneier. Applied cryptography. Protocols, algorithms, source codes in the C language. M .: TRIUMPH, 2002.

4. Н.Коблиц. Курс теории чисел и криптографии. М.: Научное издательство ТВП, 2001.4. N. Koblitz. Course in number theory and cryptography. M .: Scientific Publishing House of TVP, 2001.

5. А.А.Болотов, С.Б.Гашков, А.Б.Фролов. Элементарное введение в эллиптическую криптографию. Протоколы на эллиптических кривых. М.: КомКнига, 2006.5. A.A. Bolotov, S. B. Gashkov, A. B. Frolov. An elementary introduction to elliptical cryptography. Protocols on elliptic curves. M .: KomKniga, 2006.

Claims

1. Способ хранения и использования криптографического ключа асимметричных криптографических алгоритмов на эллиптических кривых, отличающийся тем, что закрытый ключ d разделяется на доли d₁, …, d_n, где d≡d₁+…+d_n(mod q), которые защищенно хранятся на ключевых носителях, имеющих возможность выполнять операции на эллиптических кривых, причем криптографические операции формирования электронной цифровой подписи, расшифрования и/или выработки общего ключа по алгоритму Диффи-Хеллмана выполняются распределенно на ключевых носителях, не формируя общего закрытого ключа, а результаты выполнения этих операций обрабатываются в вычислительной системе (блоке сборки), формирующей общий результат криптографической операции, причем при формировании электронной цифровой подписи каждый ключевой носитель вырабатывает случайное число k_i (1≤i≤n - номер ключевого носителя), вычисляет соответствующую кратную точку эллиптической кривой R_i=k_iP и передает ее в вычислительную систему (блок сборки), которая находит точку R=R₁+…+R_n и передает первую координату этой точки (r) на ключевые носители, после чего каждый ключевой носитель находит s_i≡(rd_i+k_i e)(mod q) и передает полученное значение в вычислительную систему, где формируется s≡(s₁+…+s_n)(mod q), причем пара чисел (r, s) является электронной цифровой подписью, а при вычислении общего ключа по алгоритму Диффи-Хеллмана на ключевые носители передается значение (α_iQ), где α_i - некоторое случайное число, задаваемое вычислительной системой, после чего каждый ключевой носитель умножает полученную точку на свою ключевую долю и передает значение d_i ^·(α_i Q) в блок сборки, где далее вычисляются значения

и результирующий ключ dQ=d₁Q+…+d_nQ.1. A method of storing and using a cryptographic key of asymmetric cryptographic algorithms on elliptic curves, characterized in that the private key d is divided into fractions d ₁ , ..., d _n , where d≡d ₁ + ... + d _n (mod q), which are protected stored on key media that can perform operations on elliptic curves, and the cryptographic operations of generating an electronic digital signature, decryption and / or generation of a common key according to the Diffie-Hellman algorithm are performed distributed on key media without generating shared private key, and the results of these operations are processed in a computing system (assembly unit), which generates the overall result of the cryptographic operation, and when generating an electronic digital signature, each key medium produces a random number k _i (1≤i≤n is the number of the key medium), calculates the corresponding multiple point of the elliptic curve R _i = k _i P and transfers it to the computer system (assembly unit), which finds the point R = R ₁ + ... + R _n and transfers the first coordinate of this point (r) to key carriers, after whereby each key medium finds s _i ≡ (rd _i + k _i e) (mod q) and transfers the resulting value to the computer system, where s≡ (s ₁ + ... + s _n ) (mod q) is formed, and a couple of numbers ( r, s) is an electronic digital signature, and when calculating the shared key using the Diffie-Hellman algorithm, the value (α _i Q) is transmitted to key carriers, where α _i is a random number specified by the computing system, after which each key carrier multiplies the resulting point to its key share and passes the value of d _i ^· (α _i Q) to the assembly block, where values

and the resulting key dQ = d ₁ Q + ... + d _n Q.

2. Способ по п.1, отличающийся тем, что вычислительная система хранит доли закрытого ключа, каждая из которых защищена паролем пользователя, причем криптографические операции с этими долями выполняются так же, как и с долями, хранящимися на ключевых носителях.2. The method according to claim 1, characterized in that the computing system stores shares of the private key, each of which is protected by a user password, and cryptographic operations with these shares are performed in the same way as with the shares stored on key media.

3. Способ по п.2, отличающийся тем, что некоторые ключевые доли не хранятся, а являются функциями от паролей и формируются вычислительной системой после предъявления соответствующих паролей, причем криптографические операции с этими долями выполняются так же, как и с долями, хранящимися на ключевых носителях.3. The method according to claim 2, characterized in that some key shares are not stored, but are functions of passwords and are formed by the computing system after the presentation of the corresponding passwords, and cryptographic operations with these shares are performed in the same way as with the shares stored on the key carriers.

4. Способ по п.3, отличающийся тем, что доли закрытого ключа, формируемые в вычислительной системе, зависят еще и от данных, защищенно хранящихся на ключевых носителях.4. The method according to claim 3, characterized in that the shares of the private key generated in the computing system also depend on the data stored securely on key media.

5. Способ по п.4, отличающийся тем, что доли закрытого ключа могут изменяться, при этом открытый ключ (ключ проверки электронной цифровой подписи, сформированной по способу из п.1) остается неизменным, и может быть защищен сертификатом.5. The method according to claim 4, characterized in that the shares of the private key can be changed, while the public key (the verification key of the electronic digital signature generated by the method of claim 1) remains unchanged, and can be protected by a certificate.

6. Способ по п.5, отличающийся тем, что используется протокол криптографической парольной двусторонней аутентификации между ключевым носителем и пользователем, криптографически защищается канал между ключевым носителем и вычислительной системой, используемый при изменении долей закрытого ключа и получении данных с носителя, и число неудачных попыток аутентификации контролируется счетчиками. 6. The method according to claim 5, characterized in that the protocol of cryptographic password two-way authentication between the key medium and the user is used, the channel between the key medium and the computer system is cryptographically protected, used when changing the shares of the private key and receiving data from the medium, and the number of unsuccessful attempts authentication is controlled by counters.