專利名稱:驗證實體真實性和/或消息的完整性和/或真實性的方法,系統(tǒng),設備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及驗證實體真實性和/或消息的完整性和/或真實性的方法,系統(tǒng),和設備。
發(fā)明人為Louis Guillou和JeanJacques Quisquater的專利EP 0 311470 B1描述了這種方法。此后將通過術(shù)語"GQ專利"或"GQ方法"表示他們的專利成果。此后術(shù)語"GQ2",或"GQ2發(fā)明"或"GQ2技術(shù)"將被用來描述本發(fā)明。
根據(jù)GQ方法,一個被稱為"委托機構(gòu)"的實體為各個被稱為"見證"的實體分配一個身份并且計算其RSA簽名。在定制過程中,委托機構(gòu)為見證指定一個身份和簽名。其后,見證聲明"這是我的身份;我知道該身份的RSA簽名"。見證在不出示這個簽名的情況下證明他知道其身份的RSA簽名。通過委托機構(gòu)分配的RSA公開鑒別密鑰,一個被稱為"審查人"的實體在沒有獲得有關(guān)知識的情況下確定RSA簽名對應于所聲明的身份。使用GQ方法的機制在"不傳送有關(guān)知識"的情況下運行。根據(jù)GQ方法,見證不知道委托機構(gòu)為大量身份簽署的RSA私有密鑰。
GQ方法實現(xiàn)了包括512位或更多位數(shù)的數(shù)值取模計算。這些計算涉及具有基本相同的長度、高到以216+1為指數(shù)的冪的數(shù)值。目前,尤其是在銀行卡領(lǐng)域中,現(xiàn)有的微電子基礎設施均使用沒有算術(shù)協(xié)處理器的可自編程單片微處理器。涉及諸如GQ方法的方法中產(chǎn)生的多個算術(shù)應用的工作負載所需要的計算時間在某些情況下為使用銀行卡支付其購買的客戶帶來不便?;仡櫼酝?,當試圖增加支付卡的安全性時,銀行機構(gòu)提出了一個特別難以解決的問題。實際上,必須解決兩個明顯矛盾的問題一方面,通過使用更加冗長和獨特的密鑰增加安全性,另一方面,防止工作負載為用戶帶來過長的計算時間。由于還有必要考慮到現(xiàn)有基礎設施和現(xiàn)有微處理器部件,這個問題變得尤其尖銳。
這里描述的GQ技術(shù)利用了RSA技術(shù)。然而雖然RSA技術(shù)確實依賴模數(shù)n的因數(shù)分解,但正如在針對實現(xiàn)RSA技術(shù)的各種數(shù)字簽名標準的所謂"乘法攻擊"中可以看到的,這種依賴并不是等價,并且實際上差別很大。
GQ2技術(shù)有雙重目標首先是改進RSA技術(shù)的性能特性,其次是避免RSA技術(shù)的固有問題。有關(guān)GQ2私有密鑰的知識相當于有關(guān)模數(shù)n的因數(shù)分解的知識。任何對三元組GQ2的攻擊均導致對模數(shù)n的因數(shù)分解此時存在等價關(guān)系。使用GQ2技術(shù)減少了簽名或自認證實體以及審查人實體的工作負載。通過在安全和性能方面對因數(shù)分解問題的良好使用,GQ2技術(shù)避免了RSA技術(shù)的缺點。
方法適用于GQ系列的中國余數(shù)方法更具體地,本發(fā)明涉及一個為審查人實體驗證下列內(nèi)容的方法,-一個實體的真實性和/或-與這個實體相關(guān)的消息M的完整性,通過所有或部分下列參數(shù)或這些參數(shù)的派生參數(shù)完成這個證明-m對保密數(shù)值Q1,Q2,...,Qm和公開數(shù)值G1,G2,...,Gm(m大于或等于1),-由f個素數(shù)p1,p2,...,pf(f大于或等于2)的乘積構(gòu)成的一個公開模數(shù)n,-一個公開指數(shù)v。
上述模數(shù),上述指數(shù)和上述數(shù)值有以下類型的關(guān)系Gi·Qiv≡1 mod n或Gi≡Qivmod n。
上述方法在下面定義的步驟中實現(xiàn)了被稱作見證的實體。上述見證實體具有f個素數(shù)pi和/或素數(shù)的中國余數(shù)的參數(shù)和/或公開模數(shù)n和/或m個保密數(shù)值Qi和/或保密數(shù)值Qi與公開指數(shù)v的f.m分量Qi,j(Qi,j≡Qimodpj)。
見證計算以n為模數(shù)的整數(shù)環(huán)中的承諾(commitment)R。通過執(zhí)行以下類型的操作計算各個承諾
Ri≡rivmod pi其中ri是一個與素數(shù)pi相關(guān)的隨機數(shù)值,其中0<ri<pi,各個ri屬于一個隨機數(shù)值集合{r1,r2,...,rf},并且接著使用中國余數(shù)方法。
因而與已經(jīng)進行的模n運算相比,計算各個p1數(shù)值的各個承諾Ri所執(zhí)行的模p1算術(shù)運算數(shù)量被減少了。
見證接收一或多個詢問(challenge)d。
每個詢問d包括m個被稱作基本詢問的整數(shù)di。根據(jù)各個詢問d,見證通過執(zhí)行以下類型的運算計算一個應答DDi≡ri·Qi,1d1·Qi,2d2·...·Qi,mdmmod pi并且接著使用中國余數(shù)方法。
因而與已經(jīng)進行的模n運算相比,計算各個p1數(shù)值的各個承諾Di所執(zhí)行的模p1算術(shù)運算數(shù)量被減少了。
該方法使得應答D的數(shù)量與詢問d和承諾R一樣多,其中每組數(shù)值R,d,D構(gòu)成一個被表示成{R,d,D}的三元組。
證明一個實體的真實性的實例在一個第一可選實施例中,基于本發(fā)明的方法被用來驗證一個實體的真實性,對于一個被稱為審查人的實體而言,上述被驗證實體被稱為證明人。上述證明人實體包括見證。上述證明人和審查人實體執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證使用上述過程計算各個承諾R。證明人向?qū)彶槿税l(fā)送所有或部分承諾R。
步驟2涉及詢問d的操作在接收所有或部分承諾R之后,審查人產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d并且向證明人發(fā)送詢問d。
步驟3涉及應答D的操作見證使用上述過程根據(jù)詢問d計算應答D。
步驟4涉及檢查的操作證明人向?qū)彶槿税l(fā)送各個應答D。
第一種情況證明人已經(jīng)發(fā)送一部分承諾R如果證明人已經(jīng)發(fā)送一部分承諾R,則審查人在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n審查人確定各個重構(gòu)的承諾R′還原出已經(jīng)發(fā)送過來的所有或部分承諾R。
第二種情況證明人已經(jīng)全部發(fā)送承諾R如果證明人已經(jīng)發(fā)送全部承諾R,則審查人在具有m個公開數(shù)值G1,G2,...,Gm的情況下確定各個承諾R滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n證明消息的完整性的實例在一個能夠與第一可選實施例配合使用的第二可選實施例中,本發(fā)明的方法被用來為被稱為審查人實體的實體證明與被稱為證明人實體的實體相關(guān)的消息M的完整性。上述證明人實體包括見證。上述證明人和審查人實體執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證使用上述過程計算各個承諾R。
步驟2涉及詢問d的操作證明人使用一個散列函數(shù)h計算至少一個令牌T,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R。證明人向?qū)彶槿税l(fā)送令牌T。在接收令牌T之后,審查人產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d并且向證明人發(fā)送詢問d。
步驟3涉及應答D的操作見證使用上述過程根據(jù)詢問d計算應答D。
步驟4涉及檢查的操作證明人向?qū)彶槿税l(fā)送各個應答D。審查人在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n接著審查人使用一個散列函數(shù)h重構(gòu)令牌T′,其中散列函數(shù)的參數(shù)包括消息M和所有或部分重構(gòu)承諾R′。接著審查人確定令牌T′與發(fā)送的令牌T相同。
消息的數(shù)字簽名及其真實性證明簽名運算在一個能夠與任意數(shù)量的其它實施例配合使用的第三可選實施例中,基于本發(fā)明的方法被用來通過一個被稱為簽名實體的實體產(chǎn)生消息M的數(shù)字簽名。上述簽名實體包含見證。
上述簽名實體執(zhí)行簽名運算以便獲得包括以下內(nèi)容的已簽名消息-消息M,-詢問d和/或承諾R,-應答D。
上述簽名實體通過實現(xiàn)下列步驟執(zhí)行簽名運算步驟1涉及承諾R的操作每次見證使用上述過程計算各個承諾R。
步驟2涉及詢問d的操作簽名實體使用一個散列函數(shù)h獲得一個二進制序列,上述散列函數(shù)的參數(shù)包括消息M和各個承諾R。簽名實體從這個二進制序列中提取其數(shù)量等于承諾R的數(shù)量的詢問d。
步驟3涉及應答D的操作見證使用上述過程根據(jù)詢問d計算應答D。
檢查運算為了驗證消息M的真實性,一個被稱作審查人的實體檢查已簽名消息。具有已簽名消息的上述審查人實體通過執(zhí)行如下步驟來完成檢查運算。
在審查人具有承諾R,詢問d,應答D的情況下如果審查人具有承諾R,詢問d,應答D,則審查人確定承諾R,詢問d和應答D滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n接著審查人確定消息M,詢問d和承諾R滿足散列函數(shù)d=h(M,R)在審查人具有詢問d和應答D的情況下如果審查人具有詢問d和應答D,審查人根據(jù)各個詢問d和各個應答D重構(gòu)滿足以下類型的關(guān)系的承諾R′R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n接著審查人確定消息M和詢問d滿足散列函數(shù)d=h(M,R′)在審查人具有承諾R和應答D的情況下如果審查人具有承諾R和應答D,則審查人使用散列函數(shù)并且重構(gòu)d′d′=h(M,R)接著審查人設備確定承諾R,詢問d′和應答D滿足以下類型的關(guān)系R≡G1d’1·G2d’2·...·Gmd’m·Dvmod n或以下類型的關(guān)系R≡Dv/G1d’1·G2d’2·...·Gmd’mmod n在首先選擇保密數(shù)值Q并且根據(jù)保密數(shù)值Q推斷公開數(shù)值G的情況下在某些情況下,尤其是為了利于得到保密數(shù)值Q和公開數(shù)值G的乘積,首先選擇保密數(shù)值Q并且根據(jù)保密數(shù)值Q推斷出公開數(shù)值G。更具體地,在這種情況下基于本發(fā)明的方法使得保密數(shù)值Qi的分量Qi,1,Qi,2,...,Qi,f是以每個上述素數(shù)pj一個分量Qi,j(Qi,j≡Qimod pj)的比率隨機抽取的數(shù)值。利用中國余數(shù)方法可以根據(jù)上述分量Qi,1,Qi,2,...,Qi,f計算上述保密數(shù)值Qi。通過執(zhí)行下列類型的運算計算上述公開數(shù)值GiGi,j≡Qi,jvmod pj接著使用中國余數(shù)方法建立Gi,使得Gi·Qiv≡1 mod n或Gi≡Qivmod n因而與已經(jīng)進行的模n運算相比,計算各個pj數(shù)值的各個承諾Gi,j所執(zhí)行的模p1算術(shù)運算數(shù)量被減少了。
有利的是,在這種情況下基于本發(fā)明的方法使得驗證的公開指數(shù)v是一個素數(shù)。這表明安全性相當于有關(guān)保密數(shù)值Qi的知識。
在首先選擇公開數(shù)值G并且根據(jù)公開數(shù)值G推斷保密數(shù)值Q的情況下在這種情況下,上述指數(shù)v最好是v=2k其中k是大于1的安全參數(shù)。
上述公開數(shù)值Gi是小于f個素數(shù)p1,p2,...,pf的基數(shù)gi的平方gi2;基數(shù)gi使得下面兩個等式x2≡gimod n和x2≡-gimod n不能被以n為模的整數(shù)環(huán)中的x求解,并且使得等式xv≡gi2mod n
不能被以n為模的整數(shù)環(huán)中的x求解。
系統(tǒng)本發(fā)明還涉及被用來向?qū)彶槿朔掌黩炞C下列內(nèi)容的系統(tǒng)-一個實體的真實性和/或-與這個實體相關(guān)的消息M的完整性,通過所有或部分下列參數(shù)或這些參數(shù)的派生參數(shù)完成這個證明-m對保密數(shù)值Q1,Q2,...,Qm和公開數(shù)值G1,G2,...,Gm(m大于或等于1),-由上述f個素數(shù)p1,p2,...,pf(f大于或等于2)的乘積構(gòu)成的一個公開模數(shù)n,-一個公開指數(shù)v。
上述模數(shù),上述指數(shù)和上述數(shù)值有以下類型的關(guān)系Gi·Qiv≡1 mod n或Gi≡Qivmod n上述系統(tǒng)包括一個見證設備,尤其是被包含在諸如基于微處理器的銀行卡形式的漫游對象中的設備。見證設備包括一個存儲器區(qū)段,上述存儲器區(qū)段包含f個素數(shù)pi和/或素數(shù)的中國余數(shù)的參數(shù)和/或公開模數(shù)n和/或m個保密數(shù)值Qi和/或保密數(shù)值Qi與公開指數(shù)v的f.m分量Qi,j(Qi,j≡Qimod pi)。見證設備還包括-隨機數(shù)值產(chǎn)品裝置,此后被稱作見證設備的隨機數(shù)值產(chǎn)生裝置,-計算裝置,此后被稱作見證設備計算承諾R的裝置,上述計算裝置計算以n為模的整數(shù)環(huán)中的承諾R。通過執(zhí)行以下類型的操作計算各個契約Ri≡rivmod pi其中ri是一個與素數(shù)pi相關(guān)的隨機數(shù)值,其中0<ri<pi,各個ri屬于一個由隨機數(shù)產(chǎn)生裝置產(chǎn)生的隨機數(shù)值集合{r1,r2,...,rf},并且接著使用中國余數(shù)方法。
因而與已經(jīng)進行的模n運算相比,計算各個p1數(shù)值的各個承諾Ri所執(zhí)行的模p1算術(shù)運算數(shù)量被減少了。
見證設備還包括
-接收裝置,此后被稱作見證設備接收詢問的裝置,上述接收裝置接收一或多個詢問d;每個詢問d包括m個此后被稱作基本詢問的整數(shù)di。
-計算裝置,此后被稱作見證設備計算應答D的裝置,上述計算根據(jù)各個詢問d計算以下類型的應答DDi≡ri·Qi,1d1·Qi,2d2·...·Qi,mdmmod pi并且接著使用中國余數(shù)方法。
因而與已經(jīng)進行的模n運算相比,計算各個p1數(shù)值的各個承諾Di所執(zhí)行的模p1算術(shù)運算數(shù)量被減少了。
見證設備還包括發(fā)送一或多個承諾R和一或多個應答D的發(fā)送裝置。應答D的數(shù)量與詢問d和承諾R一樣多,其中每組數(shù)值R,d,D構(gòu)成一個被表示成{R,d,D}的三元組。
證明一個實體的真實性的實例在一個第一可選實施例中,基于本發(fā)明的系統(tǒng)被用來驗證一個實體的真實性,對于一個被稱為審查人的實體而言,上述被驗證實體被稱為證明人。
上述系統(tǒng)包括一個與證明人實體相關(guān)的證明人設備。上述證明人設備通過互連裝置與見證設備互連。尤其可以采取漫游對象中的邏輯微電路的形式,例如基于微處理器的銀行卡中的微處理器的形式。
上述系統(tǒng)還包括一個與審查人實體相關(guān)的審查人設備。上述審查人設備尤其可以采取終端或遠程服務器的形式。上述審查人設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到證明人設備。
上述系統(tǒng)被用來執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。見證設備具有通過互連裝置向證明人設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。證明人設備還具有通過連接裝置向?qū)彶槿嗽O備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作證明人的發(fā)送裝置。
步驟2涉及詢問d的操作審查人設備包括詢問產(chǎn)生裝置,該裝置在接收所有或部分承諾R之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d。審查人設備還具有通過連接裝置向證明人發(fā)送所有或部分詢問d的發(fā)送裝置,此后被稱為審查人的發(fā)送裝置。
步驟3涉及應答D的操作見證設備接收詢問的裝置通過互連裝置接收來自證明人設備的各個詢問d。見證設備計算應答D的裝置使用上述過程根據(jù)詢問d計算應答D。
步驟4涉及檢查的操作證明人的發(fā)送裝置向?qū)彶槿税l(fā)送各個應答D。審查人設備還包括-計算裝置,此后被稱作審查人設備的計算裝置,-比較裝置,此后被稱作審查人設備的比較裝置,第一種情況證明人已經(jīng)發(fā)送一部分承諾R如果證明人的發(fā)送裝置已經(jīng)發(fā)送一部分承諾R,則審查人的計算裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n審查人設備的比較裝置將各個重構(gòu)承諾R′與接收的所有或部分承諾R進行比較。
在證明人已經(jīng)全部發(fā)送承諾R的情況下如果證明人的發(fā)送裝置已經(jīng)發(fā)送全部承諾R,則審查人設備的計算裝置和比較裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下確定各個承諾R滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n
證明消息的完整性的實例在一個能夠與第一可選實施例配合使用的第二可選實施例中,基于本發(fā)明的系統(tǒng)被用來向一個被稱為審查人的實體證明與一個被稱為證明人的實體相關(guān)的消息M的完整性。上述系統(tǒng)包括與證明人實體相關(guān)的證明人設備。上述證明人設備通過互連裝置與見證設備互連。尤其可以采取漫游對象中的邏輯微電路的形式,例如基于微處理器的銀行卡中的微處理器的形式。上述系統(tǒng)還包括一個與審查人實體相關(guān)的審查人設備。上述審查人設備尤其可以采取終端或遠程服務器的形式。上述審查人設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到證明人設備。
上述系統(tǒng)被用來執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。見證設備具有通過互連裝置向證明人設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。
步驟2涉及詢問d的操作證明人設備包括計算裝置,此后被稱作證明人的計算裝置,計算裝置使用一個散列函數(shù)h計算至少一個令牌T,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R。證明人設備還具有通過連接裝置向?qū)彶槿嗽O備發(fā)送各個令牌T的發(fā)送裝置,此后被稱為證明人設備的發(fā)送裝置。審查人設備還具有詢問產(chǎn)生裝置,該裝置在接收令牌T之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d。審查人設備還具有通過連接裝置向證明人發(fā)送所有或部分詢問d的發(fā)送裝置,此后被稱作審查人的發(fā)送裝置。
步驟3涉及應答D的操作見證設備接收詢問的裝置通過互連裝置接收來自證明人設備的各個詢問d。見證設備計算應答D的裝置使用上述過程根據(jù)詢問d計算應答D。
步驟4涉及檢查的操作證明人的發(fā)送裝置向?qū)彶槿税l(fā)送各個應答D。審查人設備還包括計算裝置,此后被稱作審查人設備的計算裝置,上述計算裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n接著使用一個散列函數(shù)h計算一個令牌T′,其中散列函數(shù)的參數(shù)包括消息M和所有或部分重構(gòu)承諾R′。
審查人設備還具有將計算的令牌T′與接收的令牌T相比較的比較裝置,此后被稱為審查人設備的比較裝置。
消息的數(shù)字簽名及其真實性證明簽名運算在一個能夠與任意數(shù)量的前兩個實施例配合使用的第三可選實施例中,基于本發(fā)明的系統(tǒng)被用來通過一個被稱為簽名實體的實體驗證消息M的數(shù)字簽名,該消息此后被稱為已簽名消息。
已簽名消息包括-消息M,-詢問d和/或承諾R,-應答D。
上述系統(tǒng)包括與簽名實體相關(guān)的簽名設備。上述簽名設備通過互連裝置與見證設備互連,并且尤其可以具有漫游對象中邏輯微電路的形式,例如基于微處理器的銀行卡中微處理器的形式。
上述系統(tǒng)被用來執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。
見證設備具有通過互連裝置向簽名設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。
步驟2涉及詢問d的操作簽名設備包括計算裝置,此后被稱作簽名設備的計算裝置,上述計算裝置使用一個散列函數(shù)h計算一個二進制序列并且從這個二進制序列中提取出數(shù)量等于承諾R的數(shù)量的詢問d,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R。
步驟3涉及應答D的操作見證設備接收詢問d的裝置通過互連裝置接收來自簽名設備的各個詢問d。見證設備計算應答D的裝置使用上述過程根據(jù)詢問d計算應答D。見證設備包括通過互連裝置向簽名設備發(fā)送應答D的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。
檢查運算為了驗證消息M的真實性,一個被稱作審查人的實體檢查已簽名消息。
系統(tǒng)包括一個與審查人實體相關(guān)的審查人設備。上述審查人設備尤其可以采取終端或遠程服務器的形式。上述審查人設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到證明人設備。
上述與簽名實體相關(guān)的簽名設備包括通過連接裝置向?qū)彶槿嗽O備發(fā)送已簽名消息的發(fā)送裝置,此后被稱為簽名設備的發(fā)送裝置。因而審查人設備具有一個包括以下內(nèi)容的已簽名消息-消息M,-詢問d和/或承諾R,-應答D。
審查人設備包括-計算裝置,此后被稱作審查人設備的計算裝置,-比較裝置,此后被稱作審查人設備的比較裝置,在審查人設備具有承諾R,詢問d,應答D的情況下如果審查人設備具有承諾R,詢問d,應答D,則審查人設備的計算和比較裝置確定承諾R,詢問d和應答D滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n
接著審查人設備的計算和比較裝置確定消息M,詢問d和承諾R滿足散列函數(shù)d=h(M,R)在審查人設備具有詢問d和應答D的情況下如果審查人具有詢問d和應答D,審查人根據(jù)各個詢問d和各個應答D重構(gòu)滿足以下類型的關(guān)系的承諾R′R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n接著審查人設備的計算和比較裝置確定消息M和詢問d滿足散列函數(shù)d=h(M,R′)在審查人具有詢問d和應答D的情況下如果審查人設備具有詢問d和應答D,則審查人設備的計算裝置使用散列函數(shù)并且以下面方式計算出d′d′=h(M,R)接著審查人設備的計算和比較裝置確定消息M,詢問d′和承諾R滿足以下關(guān)系R≡G1d’1·G2d’2·...·Gmd’m·Dvmod n或以下類型的關(guān)系R≡Dv/G1d’1·G2d’2·...·Gmd’mmod n在首先選擇保密數(shù)值Q并且根據(jù)保密數(shù)值Q推斷公開數(shù)值G的情況下在某些情況下,尤其是為了利于得到保密數(shù)值Q和公開數(shù)值G的乘積,首先選擇保密數(shù)值Q并且根據(jù)保密數(shù)值Q推斷出公開數(shù)值G。更具體地,在這種情況下基于本發(fā)明的方法使得保密數(shù)值Qi的分量Qi,1,Qi,2,...,Qi,f是以每個上述素數(shù)pj一個分量Qi,j(Qi,j≡Qimod pj)的比率隨機抽取的數(shù)值。利用中國余數(shù)方法可以根據(jù)上述分量Qi,1,Qi,2,...,Qi,f計算上述保密數(shù)值Qi。通過執(zhí)行下列類型的運算計算上述公開數(shù)值GiGi,i≡Qi,jvmod pj接著使用中國余數(shù)方法建立Gi,使得Gi·Qiv≡1 mod n或Gi≡Qivmod n因而與已經(jīng)進行的模n運算相比,計算各個pj數(shù)值的各個承諾Gi,j所執(zhí)行的模p1算術(shù)運算數(shù)量被減少了。
有利的是,在這種情況下基于本發(fā)明的方法使得驗證的公開指數(shù)v是一個素數(shù)。這表明安全性相當于有關(guān)保密數(shù)值Qi的知識。
在首先選擇公開數(shù)值G并且根據(jù)公開數(shù)值G推斷保密數(shù)值Q的情況下在這種情況下,上述指數(shù)v最好是v=2k其中k是大于1的安全參數(shù)。上述公開數(shù)值Gi是小于f個素數(shù)p1,p2,...,pf的基數(shù)gi的平方gi2?;鶖?shù)gi滿足下面兩個等式x2≡gimod n和x2≡-gimod n不能被以n為模的整數(shù)環(huán)中的x求解,并且使得等式xv≡gi2mod n不能被以n為模的整數(shù)環(huán)中的x求解。
終端設備適用于GQ系列的中國余數(shù)方法本發(fā)明還涉及與一個實體相關(guān)的終端設備。終端設備尤其可以采取漫游對象的形式,例如基于微處理器的銀行卡中的微處理器的形式。終端設備被用來為審查人服務器驗證下列內(nèi)容-一個實體的真實性和/或-與這個實體相關(guān)的消息M的完整性。
通過所有或部分下列參數(shù)或這些參數(shù)的派生參數(shù)完成這個證明-m對保密數(shù)值Q1,Q2,...,Qm和公開數(shù)值G1,G2,...,Gm(m大于或等于1),-由上述f個素數(shù)p1,p2,...,pf(f大于或等于2)的乘積構(gòu)成的一個公開模數(shù)n,-一個公開指數(shù)v。
上述模數(shù),上述指數(shù)和上述數(shù)值有以下類型的關(guān)系Gi·Qiv≡1 mod n或Gi≡Qivmod n上述終端設備包括一個見證設備,上述見證設備包括一個存儲器區(qū)段,上述存儲器區(qū)段包含f個素數(shù)Pi和/或素數(shù)的中國余數(shù)的參數(shù)和/或公開模數(shù)n和/或m個保密數(shù)值Qi和/或保密數(shù)值Qi與公開指數(shù)v的f.m分量Qi,j(Qi,j≡Qimod pj)。見證設備還包括-隨機數(shù)值產(chǎn)品裝置,此后被稱作見證設備的隨機數(shù)值產(chǎn)生裝置,-計算裝置,此后被稱作見證設備計算承諾R的裝置。
計算裝置計算以n為模數(shù)的整數(shù)環(huán)中的承諾R。通過執(zhí)行以下類型的操作計算各個承諾Ri≡rivmod pi其中ri是一個與素數(shù)pi相關(guān)的隨機數(shù)值,其中0<ri<pi,各個ri屬于一個由隨機數(shù)值產(chǎn)生裝置產(chǎn)生的隨機數(shù)值集合{r1,r2,...,rf},并且接著使用中國余數(shù)方法。
見證設備還包括-接收裝置,此后被稱作見證設備接收詢問的裝置,上述接收裝置接收一或多個詢問di;每個詢問di包括m個此后被稱作基本詢問的整數(shù)di。
-計算裝置,此后被稱作見證設備計算應答D的裝置,上述計算根據(jù)各個詢問d并且通過執(zhí)行以下類型的根據(jù)來計算各個應答DDi≡ri·Qi,1d1·Qi,2d2·...·Qi,mdmmod pi并且接著使用中國余數(shù)方法。
因而與已經(jīng)進行的模n運算相比,計算各個p1數(shù)值的各個契約Ri所執(zhí)行的模p1算術(shù)運算數(shù)量被減少了。
上述見證設備還包括發(fā)送一或多個承諾R和一或多個應答D的發(fā)送裝置。應答D的數(shù)量與詢問d和承諾R一樣多。每給數(shù)值R,d,D均構(gòu)成一個被表示成{R,d,D}的三元組。
證明一個實體的真實性的實例在一個第一可選實施例中,基于本發(fā)明的終端設備被用來驗證一個實體的真實性,對于一個被稱為審計人的實體而言,上述被驗證實體被稱為證明人。
上述終端設備包括與證明人實體相關(guān)的證明人設備。上述證明人設備通過互連裝置與見證設備互連。尤其可以采取漫游對象中的邏輯微電路的形式,例如基于微處理器的銀行卡中的微處理器的形式。
上述證明人設備還包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與審查人實體相關(guān)的審查人設備。上述審查人設備尤其可以采取終端或遠程服務器的形式。
上述終端設備被用來執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。
見證設備具有通過互連裝置向證明人設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。證明人設備還具有通過連接裝置向?qū)彶槿嗽O備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作證明人的發(fā)送裝置。
步驟2和3涉及詢問d的操作,涉及應答D的操作見證設備接收詢問d的裝置通過審查人設備和證明人設備之間的連接裝置和證明人設備與見證設備之間的互連裝置接收來自審查人設備的各個詢問d。見證設備計算應答D的裝置使用上述過程根據(jù)詢問d計算應答D。
步驟4涉及檢查的操作證明人的發(fā)送裝置向埋詢問的審查人發(fā)送各個應答D。
證明消息的完整性的實例在一個能夠與其它可選實施例配合使用的第二可選實施例中,基于本發(fā)明的終端設備被用來向一個被稱為審查人的實體證明與一個被稱為證明人的實體相關(guān)的消息M的完整性。上述終端設備包括與證明人實體相關(guān)的證明人設備。上述證明人設備通過互連裝置與見證設備互連。尤其可以采取漫游對象中的邏輯微電路的形式,例如基于微處理器的銀行卡中的微處理器的形式。上述證明人設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與審查人實體相關(guān)的審查人設備。上述審查人設備尤其可以采取終端或遠程服務器的形式。
上述終端設備被用來執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。見證設備具有通過互連裝置向證明人設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。
步驟2和3涉及詢問d的操作,涉及應答的操作證明人設備包括計算裝置,此后被稱作證明人的計算裝置,計算裝置使用一個散列函數(shù)h計算至少一個令牌T,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R。證明人設備還具有通過連接裝置向?qū)彶槿嗽O備發(fā)送各個令牌T的發(fā)送裝置,此后被稱為證明人設備的發(fā)送裝置。
上述審查人在接收令牌T之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d。
見證設備接收詢問的裝置通過證明人設備和見證設備之間的互連裝置接收來自證明人設備的各個詢問d。見證設備計算應答D的裝置使用上述過程根據(jù)詢問d計算應答D。
步驟4涉及檢查的操作證明人的發(fā)送裝置向進行檢查的審查人發(fā)送各個應答D。
消息的數(shù)字簽名及其真實性證明簽名運算在一個能夠與其它實施例配合使用的第三可選實施例中,基于本發(fā)明的終端設備被用來通過一個被稱為簽名實體的實體產(chǎn)生消息M的數(shù)字簽名,該消息此后被稱為已簽名消息。
已簽名消息包括-消息M,-詢問d和/或承諾R,-應答D。
上述終端設備包括與簽名實體相關(guān)的簽名設備。上述簽名設備通過互連裝置與見證設備互連。尤其可以采取漫游對象中的邏輯微電路的形式,例如基于微處理器的銀行卡中的微處理器的形式。上述簽名設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與審查人實體相關(guān)的審查人設備。上述審查人設備尤其可以采取終端或遠程服務器的形式。
上述終端設備被用來執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。見證設備具有通過互連裝置向簽名設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。
步驟2涉及詢問d的操作簽名設備包括計算裝置,此后被稱作簽名設備的計算裝置,上述計算裝置使用一個散列函數(shù)h計算一個二進制序列并且從這個二進制序列中提取出數(shù)量等于承諾R的數(shù)量的詢問d,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R。
步驟3涉及應答D的操作接收詢問d的裝置通過互連裝置接收來自簽名設備的各個詢問d。見證設備計算應答D的裝置使用上述過程根據(jù)詢問d計算應答D。見證設備包括通過互連裝置向簽名設備發(fā)送應答D的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。
審查人設備適用于GQ系列的中國余數(shù)方法本發(fā)明也涉及一個審查人設備。審查人設備尤其可以采取與審查人實體相關(guān)的終端或遠程服務器的形式。審查人設備被用來為審查人服務器驗證下列內(nèi)容-一個實體的真實性和/或-與這個實體相關(guān)的消息M的完整性。
通過所有或部分下列參數(shù)或這些參數(shù)的派生參數(shù)完成這個證明-m對保密數(shù)值Q1,Q2,...,Qm和公開數(shù)值G1,G2,...,Gm(m大于或等于1),-由f個素數(shù)p1,p2,...,pf(f大于或等于2)的乘積構(gòu)成的一個公開模數(shù)n,-一個公開指數(shù)v。
上述模數(shù),上述指數(shù)和上述數(shù)值有以下類型的關(guān)系Gi·Qiv≡1 mod n或Gi≡Qivmod n其中Qi表示一個審查人設備未知并且與公開數(shù)值Gi相關(guān)的保密數(shù)值。
證明一個實體的真實性的實例在一個能夠與其它實施例配合使用的第一可選實施例中,基于本發(fā)明的審查人設備被用來驗證一個被稱作證明人的實體和一個被稱作審查人的實體的真實性。
上述證明人設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與證明人實體相關(guān)的證明人設備。上述審查人設備被用來執(zhí)行下列步驟步驟1和2涉及承諾R的操作,涉及詢問d的操作上述審查人設備還具有通過連接裝置接收所有或部分來自證明人設備的承諾R的裝置。
審查人設備具有詢問產(chǎn)生裝置,該裝置在接收所有或部分承諾R之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d,每個詢問d包括m個此后被稱作基本詢問的整數(shù)di。
審查人設備還具有通過連接裝置向證明人發(fā)送詢問d的發(fā)送裝置,此后被稱作審查人的發(fā)送裝置。
步驟3和4涉及應答D的操作,涉及檢查的操作審查人設備還包括-通過連接裝置接收來自證明人設備的應答D的裝置,-計算裝置,此后被稱作審查人設備的計算裝置,-比較裝置,此后被稱作審查人設備的比較裝置。
第一種情況證明人已經(jīng)發(fā)送一部分承諾R如果審查人設備的接收裝置已經(jīng)接收一部分承諾R,則審查人設備的計算裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n審查人設備的比較裝置將各個重構(gòu)承諾R′與接收的所有或部分承諾R進行比較。
第二種情況證明人已經(jīng)全部發(fā)送承諾R如果證明人的發(fā)送計算裝置已經(jīng)發(fā)送全部承諾R,則審查人設備的計算裝置和比較裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下確定各個承諾R滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n證明消息的完整性的實例在一個能夠與其它實施例配合使用的第二可選實施例中,基于本發(fā)明的審查人設備被用來驗證與一個被稱為證明人的實體相關(guān)的消息M的完整性。
上述證明人設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與證明人實體相關(guān)的證明人設備。上述審查人設備被用來執(zhí)行下列步驟
步驟1和2涉及承諾R的操作,涉及詢問的操作上述審查人設備還具有通過連接裝置接收來自證明人設備的令牌T的裝置。審查人設備具有詢問產(chǎn)生裝置,該裝置在接收令牌T之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d,各個詢問d包括m個此后被稱作基本詢問的整數(shù)。審查人設備還具有通過連接裝置向證明人發(fā)送所有或部分詢問d的發(fā)送裝置,此后被稱作審查人的發(fā)送裝置。
步驟3和4涉及應答D的操作,涉及檢查的操作審查人設備還包括通過連接裝置接收來自證明人設備的應答D的裝置。上述審查人設備還包括計算裝置,此后被稱作審查人設備的計算裝置,上述計算裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n接著使用一個散列函數(shù)h計算一個令牌T′,其中散列函數(shù)的參數(shù)包括消息M和所有或部分重構(gòu)承諾R′。
審查人設備還具有將計算的令牌T′與接收的令牌T相比較的比較裝置,此后被稱作審查人設備的比較裝置。
消息的數(shù)字簽名及其真實性證明在一個能夠與其它可選實施例配合使用的第三可選實施例中,基于本發(fā)明的審查人設備被用來通過一個被稱作審查人的實體對已簽名消息的檢查來驗證消息M的真實性。
由一個與簽名實體相關(guān)并且具有散列函數(shù)h(M,R)的簽名設備發(fā)送的已簽名消息包括-消息M,-詢問d和/或承諾R,-應答D。
上述簽名設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與簽名實體相關(guān)的簽名設備。上述審查人設備通過連接裝置從已簽名設備接收已簽名消息。
審查人設備包括-計算裝置,此后被稱作審查人設備的計算裝置,-比較裝置,此后被稱作審查人設備的比較裝置。
在審查人設備具有承諾R,詢問d,應答D的情況下如果審查人設備具有承諾R,詢問d,應答D,則審查人設備的計算和比較裝置確定承諾R,詢問d和應答D滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n接著審查人設備的計算和比較裝置確定消息M,詢問d和承諾R滿足散列函數(shù)d=h(M,R)在審查人設備具有詢問d和應答D的情況下如果審查人設備具有詢問d和應答D,審查人設備的計算裝置根據(jù)各個詢問d和各個應答D計算出滿足以下類型的關(guān)系的承諾R′R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n接著審查人設備的計算和比較裝置確定消息M和詢問d滿足散列函數(shù)d=h(M,R′)在審查人設備具有承諾R和應答D的情況下如果審查人設備具有承諾R和應答D,則審查人設備的計算裝置使用散列函數(shù)并且以下面方式計算出d′d′=h(M,R)
接著審查人設備的計算和比較裝置確定承諾R,詢問d和應答D滿足以下類型的關(guān)系R≡G1d’1·G2d’2·...·Gmd’m·Dvmod n或以下類型的關(guān)系R≡Dv/G1d’1·G2d’2·...·Gmd’mmod n當公開指數(shù)v=2k時有關(guān)可選實施例的詳細描述描述GQ技術(shù)的目標可以被表述成對實體,相關(guān)消息以及消息的數(shù)字簽名的動態(tài)認證。
GQ技術(shù)的標準版本利用了RSA技術(shù)。然而雖然RSA技術(shù)確實依賴因數(shù)分解,但通過針對實現(xiàn)RSA技術(shù)的各種數(shù)字簽名標準的所謂乘法攻擊可以看出這種依賴并不等價,并且差別很大。
在GQ2技術(shù)的環(huán)境中,本發(fā)明的當前部分更具體地涉及GQ2密鑰集合在動態(tài)認證和數(shù)字簽名環(huán)境中的使用。GQ2技術(shù)不使用RSA技術(shù)。GQ2技術(shù)有雙重目標首先是改進RSA技術(shù)的性能,其次是克服RSA技術(shù)的固有問題。GQ2私有密鑰是模數(shù)n的因數(shù)分解。任何對GQ2三元組的攻擊均相當于對模數(shù)n的因數(shù)分解此時存在等價關(guān)系。對于GQ2技術(shù),既減少了簽名實體或被認證的實體的工作負載,也減少了進行檢查的實體的工作負載。通過在安全和性能方面改進對因數(shù)分解問題的使用,GQ2技術(shù)可以和RSA技術(shù)匹敵。
GQ2技術(shù)使用一或多個大于1的小整數(shù),例如m個被稱作基數(shù)并且表示成gi的小整數(shù)(m≥1)。由于基數(shù)被固定到范圍gi-gm,m>1上,根據(jù)下述方式選擇一個公開驗證密鑰(v,n)。公開驗證指數(shù)v為2k,其中k是大于1的小整數(shù)(k≥2)。公開模數(shù)n是至少兩個大于基數(shù)的素數(shù),例如f個被表示成pj的素數(shù)(f≥2)的乘積,其中pj的范圍是p1,p2,...,pf。選擇f個素數(shù)以便對于從g1到gm的m個基數(shù)公開模數(shù)n具有下列性質(zhì)。
-首先,不能用以n為模的整數(shù)環(huán)中的x對等式(1)和(2)求解,也就是說gi和-gi是兩個非二次余數(shù)(mod n)。
x2≡gi(mod n)(1)x2≡-gi(mod n)(2)-其次,可以用以n為模的整數(shù)環(huán)中的x對等式(3)求解。x2k≡gi2(modn)---(3)]]>由于根據(jù)從g1到gm,m>1的基數(shù)固定公開驗證密鑰(v,n),各個基數(shù)gi確定一對包括公開數(shù)值Gi和保密數(shù)值Qi的GQ2數(shù)值提供m對被表示成G1Q1到GmQm的數(shù)值。公開數(shù)值Gi是基數(shù)gi的平方Gi=gi2。保密數(shù)值Qi是等式(3)的一個解,或者是這種解的反置(mod n)。
就象模數(shù)n被分解成f個素數(shù)那樣,以n為模的整數(shù)環(huán)被分解成f個從CG(p1)到CG(pf)的Galois域。這里提供了等式(1),(2)和(3)在CG(pj)中的投影。
x2≡gi(mod pi)(1.a)x2≡-gi(mod pj)(2.a)x2k≡gi2(modpj)---(3.a)]]>各個保密數(shù)值Qi可以被唯一表示成f個私有分量,每個素數(shù)一個分量Qi,j≡Qimod pj。各個私有分量Qj是等式(3.a)的一個解,或者是這種解的反置(mod pj)。在計算出各個等式(3.a)的所有可能的解之后,中國余數(shù)技術(shù)根據(jù)f個分量Qi,1到Qi,f確定各個保密數(shù)值Qi的所有可能數(shù)值Qi=中國余數(shù)(Qi,1,Qi,2,...,Qi,f),從而獲得等式(3)所有可能的解。
下面是中國余數(shù)技術(shù)假定有兩個互素的正整數(shù)a,b和兩個分量Xa,Xb,其中0<a<b,Xa從0到a-1,并且Xb從0到b-1。要求確定X=中國余數(shù)(Xa,Xb),即從0到a.b-1的唯一數(shù)值,使得Xa≡X(mod a)并且Xb≡X(modb)。下面是中國余數(shù)參數(shù)α≡{b(mod a)}-1(mod a)。下面是中國余數(shù)運算ε≡Xb(mod a);δ=Xa-ε;如果δ為負,則用δ+a替換ε;γ≡α·δ(mod a);X=γ·b+Xb。
當按照從最小的p1到最大的pf的升序排列素數(shù)時,中國余數(shù)參數(shù)如下所述(其中有f-1個參數(shù),即個數(shù)比素數(shù)少一個)。第一個中國余數(shù)參數(shù)是α≡{p2(mod p1)}-1(mod p1)。第二個中國余數(shù)參數(shù)是β≡{p1·p2(mod p3)}-1(mod p3)。第i個中國余數(shù)參數(shù)是λ≡{p1·p2·…pi-1(mod pi)}-1(mod pi)。等等,依此類推。最終,在f-1個中國余數(shù)運算中,根據(jù)第一個參數(shù)獲得第一個結(jié)果(mod p2乘以p1),接著根據(jù)第二個參數(shù)獲得第二個結(jié)果(modp1·p2乘以p3),等等,依此類推直到得到一個結(jié)果(mod p1·…pf-1乘以pf),即(mod n)。
私有密鑰GQ2有若干個可能表示,這揭示出私有密鑰GQ2的多態(tài)性質(zhì)。各種表示被證明均是等價的它們均相當于有關(guān)模數(shù)n的因數(shù)分解的知識,即真實的私有GQ2密鑰。如果表示確實影響了簽名實體或自認證實體的行為,則不影響審查人實體的行為。
這里是GQ2私有密鑰的三種可能的主要表示。
1)GQ技術(shù)中的標準表示包括m個保密數(shù)值Qi和公開驗證密鑰<v,n>的存儲;在GQ2中,這種表示等價于下列兩個表示。2)就工作負載而言的最優(yōu)表示在于存儲公開指數(shù)v,f個素數(shù)pj,m.f個私有分量Qij和中國余數(shù)的f-1個參數(shù)。3)就私有密鑰尺寸而言的最優(yōu)表示在于存儲公開指數(shù)v,m個基數(shù)gi和f個素數(shù)pj,接著在開始使用時確定m個保密數(shù)值Qi和模數(shù)n以便到第一種表示,或者確定m.f個私有分量和中國余數(shù)的f-1個參數(shù)以便返回到第二種表示。
簽名或自認證實體可以全部使用相同的基數(shù)。除非專門指出,m個從g1到gm的基數(shù)可以是m個第一素數(shù);由于動態(tài)認證機制或數(shù)字簽名機制的安全性等價于有關(guān)模數(shù)分解的知識,GQ2技術(shù)不能被用來簡單區(qū)分兩個使用相同模數(shù)的實體。通常,認證其自身或進行簽名的實體均具有其自身的GQ2模數(shù)。然而可以用四個素數(shù)定義GQ2模數(shù),其中一個實體知道兩個素數(shù),而另一個實體知道其它兩個素數(shù)。
這里是一個第一GQ2密鑰集合,其中k=6,指定v=64,m=3,指定三個基數(shù)g1=3,g2=5,g3=7,并且f=3,即一個具有三個素數(shù)的模數(shù)兩個恒等于3(mod 4),一個恒等于5(mod 8)。必須注意g=2與恒等于5(mod8)的素數(shù)不兼容。
p1=03CD2F4F21EOEAD60266D5CFCEBB6954683493E2E833p2=0583B097E8D8D777BAB3874F2E76659BB614F985EC1Bp3=OC363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FDn=p1·p2·p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下面是第二GQ2密鑰集合,其中k=9,即v=512,m=2,即兩個基數(shù)g1=2,g2=3,并且f=3,指定一個具有三個恒等于3(mod 4)的素數(shù)的模數(shù)。
p1=03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CBp2=062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7
p3=OBCADEC219FIDFBB8AB5FE808AOFFCB53458284ED8E3n=p1·p2·p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動態(tài)認證動態(tài)認證機制被用來向一個被稱為審查人的實體證明另一個被稱為證明人的實體的真實性以及可能相關(guān)的消息M的真實性,使得審查人可以確定其確實是并且是唯一的證明人,并且確定證明人確實發(fā)出了相同的消息M。相關(guān)消息M是可選的。這意味著它可以是空的。
動態(tài)認證機制是一個四操作序列一個承諾操作,一個詢問操作,一個應答操作和一個檢查操作。證明人完成承諾和應答操作。審查人完成詢問和審查操作。
在證明人內(nèi)部,可以隔離見證以便隔離證明人最敏感的參數(shù)和功能,即產(chǎn)生承諾和應答。見證具有參數(shù)k和私有密鑰GQ2,即根據(jù)前面三種表示中的一種對模數(shù)n進行的因數(shù)分解f個素數(shù)和m個基數(shù),m.f個私有分量,f個素數(shù)和f-1個中國余數(shù)參數(shù),m個保密數(shù)值和模數(shù)n。
見證可以對應于一個部分實施例,例如與構(gòu)成整個證明人的PC連接的芯片卡,或PC內(nèi)部特別保護的程序,或智能卡內(nèi)部特別保護的程序。
如此隔離的見證類似于下面在簽名實體內(nèi)部定義的見證。在每次執(zhí)行機制時,見證產(chǎn)生一或多個承諾R并且接著對一樣多的詢問d產(chǎn)生一樣多的應答D。各個集合{r,d,D)是一個GQ2三元組。
除了包括見證之外,證明人在具有還具有一個散列函數(shù)和一個消息M。
審查人具有模數(shù)n,參數(shù)k和m;在必要時還具有相同的散列函數(shù)和一個消息M′。審查人能夠根據(jù)任何詢問d和任何應答D重構(gòu)承諾R′。如果沒有任何相反的指示,m個從g1到gm的基數(shù)是m個第一素數(shù)。各個詢問d必須具有m個被表示成d1到dm的基本詢問每個基數(shù)一個基本詢問。從d1到dm的這種基本詢問的取值范圍是0到2k-1-1(未使用v/2到v-1的范圍)。通常各個詢問被編碼成m乘k-1個位(而不是m乘k個位)。例如,k=6和m=3并且基數(shù)為3,5和7,各個詢問在兩個字節(jié)中具有15個發(fā)送位;k=9,m=2并且基數(shù)2和3,各個詢問在兩個字節(jié)中具有16個發(fā)送位。當還可能有(k-1).m個可能的詢問時,數(shù)值(k-1).m確定各個GQ2三元組提供的安全性一個根據(jù)定義不知道模數(shù)n的因數(shù)分解的冒名頂替者在2(k-1).m次償試中只有一次成功機會。當(k-1).m等于15至20時,一個三元組足夠合理提供動態(tài)認證。為了在各種情況下實現(xiàn)任何的安全等級,可以并行產(chǎn)生三元組。也可以順序產(chǎn)生,即重復執(zhí)行機制。
1)涉及承諾的操作包括下列運算。
當見證具有從Q1到Qm的m個保密數(shù)值和模數(shù)n時,該見證以隨機和秘密的方式抽出一或多個隨機數(shù)值r(0<r<n);接著通過k次連續(xù)平方(mod n)運算將各個隨機數(shù)值r轉(zhuǎn)換成承諾R。
R≡rvmod n這里是一個具有k=6的第一密鑰集合的例子。
r=B8AD426C1AC0165E94B894AC2437C1B1797EF562CFA53A4AF843131FF1C89CFDA13120719471OEF9CO1OE8F09C60D9815121981260919967C3E2FB4B4566088ER=FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56D3AF0參數(shù)k和m為審查人提供信息。7BE692CB1FE4EE70FA77032BECD841113813134C21210C6130449CC4292E5DD2BDB00828AF18當見證具有從p1到pf的m個素數(shù)和m.f個私有分量Qij時,該見證以隨機和秘密的方式抽出一或多個隨機數(shù)值集合各個集合針對每個素數(shù)pi(0<ri<pi)便具有一個隨機數(shù)值ri;接著通過k次連續(xù)平方(mod pi)運算將各個隨機數(shù)值ri轉(zhuǎn)換成承諾Ri的一個分量。
Ri≡rivmod n這里是一個具有k=9的第二密鑰集合的例子。
r1=B0418EABEBADF0553A28903F74472CD49EE8C82D86R1=022B365FOBEA8E157E94A9DEB0512827FFD5149880F1r2=75A8DA8FEOE60BD55D28A218E31347732339F1D667R2=057E43A242C485FC201DEEF291C774CF1B30F0163DEC2r3=OD74D2BDA5302CF8BE2F6D406249D148C6960A7D27R3=06E14C8FC4DD312BA3B475F1F40CFO1ACE2A88D5BB3C對于包括f個承諾分量的各個集合,見證根據(jù)中國余數(shù)技術(shù)產(chǎn)生一個承諾。承諾的數(shù)量和隨機數(shù)值集合一樣多。
R=中國余數(shù)(R1,R2,...,Rf)R=28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73BOEBD7D3FC8395CFA1AD7FCOF9DAC169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17134BA4A529在兩種情況下,證明人向?qū)彶槿税l(fā)送所有或部分承諾R,或至少發(fā)送一個散列碼H,其中通過雜湊各個承諾R和一個消息M來獲得上述散列碼H。
2)涉及詢問的操作包括隨機抽出一或多個均由m個基本詢問d1,d2,...,dm構(gòu)成的詢問d;各個基本詢問di的取值范圍為0到v/2-1。
d=d1,d2,...,dm這里是一個具針對k=3并且m=3的第一密鑰集合的例子。
d1=10110=22=′16′;d2=00111=7;d3=00010=2d=0‖d1‖d2‖d3=01011000 11100010=58 E2
這里是一個具針對k=9并且m=2的第二密鑰集合的例子。
d=d1‖d2=58 E2,即,十進制表示的88和226審查人向證明人發(fā)送各個詢問d。
3)涉及應答的操作具有下列運算。
當見證具有m個從Q1到Qm的保密數(shù)值和模數(shù)n時,見證使用涉及承諾的操作的各個隨機數(shù)值r和基于基本詢問的保密數(shù)值計算一或多個應答D。X≡Q1d1·Q2d2…Qmdm(modn)]]>D≡r·X(mod n)這里是一個針對第一密鑰集合的例子。
D=FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480A2C6A290273479FEC9171990A17當見證具有f個從pi到pf的素數(shù)和m.f個私有分量Qi,j時,見證使用涉及承諾的操作的各個隨機數(shù)值集合計算一或多個由f個應答分量構(gòu)成的集合各個應答分量集合針對每個素數(shù)均包括一個分量。Xi≡Q1,id1·Q2,id2…Qm,idm(modpi)]]>Di≡ri·Xi(mod pi)這里是一個針對第二密鑰集合的例子。
D1=r1·Q1,1d1·Q2,1d2(modp1)=02660ADF3C73B6DC15E196152322DDE8EB5B35775E38D2=r2·Q1,2d1·Q2,2d2(modp2)=04015028E5FD1175724376011BE77052205F7C62AE3RD3=r3·Q1,3d1·Q2,3d2(modp3)=0903D20DOC306C8EDA9D8FB5B3BEB55E061AB39CCF52針對各個應答分量集合,見證根據(jù)中國余數(shù)技術(shù)抽出一個應答。應答的數(shù)量與詢問一樣多。
D=中國余數(shù)(D1,D2,...,Df)D=85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F364CBB55BC44DEC437208CF530F8402BD9C511F5FB3B3A309257A00195A7305C6FF3323F72DC1AB在兩種情況下,證明人向?qū)彶槿税l(fā)送各個應答D。
4)檢查操作包括確定各個三元組{R,d,D}滿足下面針對非零數(shù)值的等式。R.Πi=1mGidi≡D2k(modn)]]>或R≡D2k.Πi=1mGidi(modn)]]>或產(chǎn)生各個承諾承諾不應當為零。R′≡D2k/Πi=1mGidi(modn)]]>或R′≡D2k.Πi=1mGidi(modn)]]>在必要時審查人在雜湊各個重新建立的承諾R′和一個消息M′時計算一個散列碼H′。當審查人審查人到在第一承諾操作結(jié)束時接收的內(nèi)容,即所有或部分承諾R或散列碼H時,動態(tài)認證成功。
例如,一個系列基本運算將應答D轉(zhuǎn)換成一個承諾R′。該操作序列具有被k-1個基數(shù)除法或乘法分隔的k個平方(mod n)。對于在第i個平方和第i+1個平方之間執(zhí)行的第i個除法或乘法,基本詢問di的第i個位指示是否有必要使用gi,基本詢問d2的第i個位指示是否有必要使用g2,...,基本詢問dm的第i個位指示是否有必要使用gm。
這里是一個針對第一密鑰集合的例子。
D2(modn)=FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F32893948715491FOEB091B7606CA1E744E0688367D7BB998F7B73D5F7FDA95D5BD6347DC8B978CA2177333.D2(modn)=F739B708911166DFE715800D8A9D78FC3F332FF622D3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF987041B485289OD83FC6B48D3EF6A9DF32.D4(mod n)=682A7AF280C49FE230BEE354BF6FFB30B7519E3C892DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17AF8826635790743EA7D9A15A33ACC7491D4A734.D8(mod n)=BE9D828989A2C184E34BA8FEOF384811642B7B548F870699E7869F8ED851FC3DB3830B2400C516511AOC28AFDD21OEC3939E69D413FOBABC6DEC441974B1A291
35.5.D8(mod n)=2B40122E225CD858B26D27B768632923F2BBE5DB15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D4AC1E89C2235C363830EBF4DB42CEA3DA98CFE00310.52.D16(mod n)=BDD3B34C90ABBC870C604E27E7F2E9DB2D38368EA46C931C66F6C7509B118E3C162811A98169C30D4DEF768397DDB8F6526B6714218DEB627E11FACA4B9DB268311.53.7.D16(mod n)=DBFA7F4OD338DE4FBA73D42DBF427BBF195C13D02ABOFA5F8C8DDB5025E34282311CEF80BACDCE5DOC433444A2AF2B15318C36FE2AEOZF3C8CB25637C9AD712F322.56.72.D32(mod n)=C60CA9C4A11F8AA89D9242CE717E3DC6C1A95D5D09A2278F8FEE1DFD94EE84D09D000EA8633B53C4AOE7FOAEECB70509667A3CB052029C94EDF27611FAE286A7322.57.72.D32(mod n)=DE40CB6B41CO1E722E4F312AE7205F18CDD0303EA52261CBOEA9FOC7EOCD5EC53D42E5CB645B6BB1A3BOOC77886F4AC5222F9C863DACA440CF5F1A8E374807AC344.514.74.D64(mod n),即具有十六進制指數(shù)的32C.5E.74.D40(mod n)=FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C2121OC6B0449CC4292E5DD2BDB00828AF18我們發(fā)現(xiàn)承諾R。認證成功。
這里是一個針對第二密鑰集合的例子。
D2(mod n)=C66E585D8F132F7067617BC6DOOBA699ABD74FB9D13E24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC693F8395ACEF9206B172A8A2C2CCBB3.D2(mod n)=534C6114D385C3E15355233C5BOOD09C2490D1B8D8ED3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF201D6D138F3999FC1D06A2B2647D4828332.D4(mod n)=A9DC8DEA867697E76B4C18527DFFC49F4658473D034EC1DDEOEB21F6F65978BE477C4231AC9B1EBD93D5D49422408E4715919023816BC3C6C46A92BBD326AADF2.33.D4(mod n)=FB2D57796039DFC4AF9199CAD44B66F257A1FF3F2BA4C12BOA8496A0148B4DFBAFE838EOB5A7D9FB4394379D72A107E45C51FCDB7462D03A35002D29823A2BB522.36.D8(mod n)=4C210F96FF6C77541910623B1E49533206DFB9E916521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D82ACB23DAF1AOD5A721A1890D03AOOBD822.37.D8(mod n)=E4632EC4FE4565FC4B3126B15ADBF996149F2DBB42F65D911D385191OFE7EA53DAEA7EE7BA8FE9D081DB78B249B1B18880616B90D4E280F564E49B270AE0238824.314.D16(mod n)=ED3DDC716AE3D1EA74C5AF935DE814BCC2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF665C17C399607DEA54E218C2CO1A890D422EDA16FA325.314.D16(mod n)=DA7C64EOE8EDBE9CF823B71AB13F17E11614876BOOOFBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562DOF57AE94AEOAD3F35C61C0892F4C91DCOB08ED6F210.328.D32(mod n)=6ED6AFC5A87D2DD117B0D89072C99FB9DC95D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07C3D722E17DA30088E6E739FBC419FD7282D16CD6542211.328.D32(mod n)=DDAD5F8B50FA5BA22F61B120E5933F73B92BAAB1ECB6D432CFCC40FA95B77464003A705146AOD364AD40F87AE45E2FB460111CDCE77F78833FAE505A2D9ACA84222.356.D64(mod n)=A466DOCB17614EFD961000BD9EABF4F02136178307101882BC1764DBAACB715EFBF5D8309AEOO1EB5DEDA8FOOOE44B3D4578E5CA55797FD4BD1F8E919BE787BD0244.3112.D128(mod n)=925BOEDF5047EFEC5AFABDC03A830919761B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F8FDEC740778BDC178AD7AF2968689B930D5A2359244.3113.D128(mod n)=B711D89C03FDEA8D1F889134A4F809B3F2D8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803BFB912A04F11D9DB9D076021764BC4F57D47834288.3226.D256(mod n)=41A83F119FFE4A2F4AC7E5597A5DOBEB4D4C08D19E597FDU34FE720235894363A19D6BC5AF323D24B1B7FCFD8DFCC628021B4648D7EF757A3E461EFOCFFOEA132176.3452,D512(mod n),即488.9226.D512(mod n)=28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73BOEBD7D3FC8395CFA1AD7FCOF9DAC169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17B4BA4A529我們發(fā)現(xiàn)承諾R。認證成功。
數(shù)字簽名數(shù)字簽名機制允許一個被稱作簽名實體的實體產(chǎn)生已簽名消息并且允許一個被稱作審查人的實體確定已簽名消息。消息M是任意的二進制序列可以為空。通過增加一個簽名附錄對消息M進行簽名。這個簽名附錄包括一或多個承諾和/或詢問以及對應的應答。
審查人具有相同的散列函數(shù),參數(shù)k,m和模數(shù)n。參數(shù)k和m為審查人提供信息。首先,從d1到dm的各個基本詢問的取值范圍必須是0到2k-1-1(未使用v/2到v-1的范圍)。其次,各個詢問必須包括m個被表示成d1到dm的基本詢問,其數(shù)量與基數(shù)一樣多。此外,如果沒有任何相反的指示,m個從g1到gm的基數(shù)是m個第一素數(shù)。在(k-1).m等于15至20的情況下,可以用四個并行產(chǎn)生的GQ2三元組簽名;在(k-1).m等于60或更多的情況下,可以用一個單獨的GQ2三元組簽名。例如,對于k=9和m=8,一個單獨GQ2三元組便足夠了;各個詢問具有八個字節(jié)并且基數(shù)為2,3,5,7,11,13,17和19。
簽名運算是由三個操作構(gòu)成的操作序列一個承諾操作,一個詢問操作和一個應答操作。各個操作產(chǎn)生一或多個GQ2三元組,其中每個三元組包括一個承諾R(≠0),一個由m個基本詢問d1,d2,...,dm構(gòu)成的詢問d,和一個應答D(≠0)。
簽名實體具有一個散列函數(shù),參數(shù)k和GQ2私有密鑰,即基于上述三種表示中的一種的模數(shù)n因數(shù)分解。在簽名實體內(nèi)部,可以通過隔離執(zhí)行承諾和應答操作的見證來隔離對證明人非常敏感的功能和參數(shù)。為了計算承諾和應答,見證具有參數(shù)k和GQ2私有密鑰,即基于上述三種表示中的一種的模數(shù)n因數(shù)分解。因而以類似于證明人內(nèi)部規(guī)定見證的方式隔離見證。可以對應于一個具體實施例,例如與共同構(gòu)成簽名實體的PC連接的芯片卡,或PC內(nèi)部特別保護的程序,或智能卡內(nèi)部特別保護的程序。
1)承諾操作包括下列運算當見證具有從Q1到Qm的m個保密數(shù)值和模數(shù)n時,該見證以隨機和秘密的方式抽出一或多個隨機數(shù)值r(0<r<n);接著通過k次連續(xù)平方(modn)運算將各個隨機數(shù)值r轉(zhuǎn)換成承諾R。
Ri≡rvmod n當見證具有從p1到pf的m個素數(shù)和m.f個私有分量Qij時,該見證以隨機和秘密的方式抽出一或多個隨機數(shù)值集合各個集合針對每個素數(shù)pi(0<ri<pi)便具有一個隨機數(shù)值ri;接著通過k次連續(xù)平方(mod pi)運算將各個隨機數(shù)值ri轉(zhuǎn)換成承諾Ri的一個分量。
Ri≡rivmod pi對于包括f個承諾分量的各個集合,見證根據(jù)中國余數(shù)技術(shù)產(chǎn)生一個承諾。承諾的數(shù)量和隨機數(shù)值集合一樣多。
R=中國余數(shù)(R1,R2,...,Rf)2)詢問操作包括雜湊所有承諾R和要簽名的消息M以獲得一個被簽名實體用來構(gòu)成一或多個均包括m個基本詢問的詢問的散列碼;各個基本詢問的取值范圍為0到v/2-1;例如對于k=9和m=8。各個詢問具有八個字節(jié)。詢問的數(shù)量與承諾一樣多。
d=d1,d2,...,dm,從結(jié)果Hash(M,R)中提取3)應答操作包括下列運算。
當見證具有m個從Q1到Qm的保密數(shù)值和模數(shù)n時,見證使用涉及承諾操作的各個隨機數(shù)值r和基于基本詢問的保密數(shù)值計算一或多個應答D。X≡Q1d1·Q2d2…Qmdm(modn)]]>D≡r·X(mod n)當見證具有f個從pi到pf的素數(shù)和m.f個私有分量Qij時,見證使用涉及承諾的操作的各個隨機數(shù)值集合計算一或多個由f個應答分量構(gòu)成的集合各個應答分量集合針對每個素數(shù)均包括一個分量。Xi≡Q1,id1·Q2,id2…Qm,idm(modpi)]]>Di≡ri·Xi(mod pi)針對各個應答分量集合,見證根據(jù)中國余數(shù)技術(shù)建立一個應答。應答的數(shù)量與詢問一樣多。
D=中國余數(shù)(D1,D2,...,Df)簽名實體通過加入一個簽名附錄對消息M進行簽名,簽名附錄包括-各個GQ2三元組,即各個承諾R,各個詢問d和各個應答D中的任意一個,-或各個承諾R和各個對應的應答D,-或各個詢問d和對應的應答D。
根據(jù)簽名附錄的內(nèi)容運行驗證運算。存在三個可能情況。
如果附錄包括一或多個三元組,檢查運算具有兩個時序并不重要的獨立進程。當且僅當下面兩個條件被滿足是審查人才接受簽名消息。
首先,各個三元組必須是一致的(必須滿足一個下面類型的適當關(guān)系)和可接受的(必須在非零數(shù)值上進行比較)。R.Πi=1mGidi≡D2k(modn)]]>或R≡D2k.Πi=1mGidi(modn)]]>例如,通過一個基本運算序列轉(zhuǎn)換應答D被k-1個基數(shù)乘法或除法運算(mod n)分隔的k個平方(mod n)。對于在第i個平方和第i+1個平方之間執(zhí)行的第i個除法或除法,基本詢問d1的第i個位指示是否有必要使用g1,基本詢問d2的第i個位指示是否有必要使用g2,...,基本詢問dm的第i個位指示是否有必要使用gm。因而有必要檢索簽名附錄中出現(xiàn)的各個承諾R。
此外,一或多個三元組必須與消息M關(guān)聯(lián)起來。通過雜湊所有承諾R和一個M,獲得一個散列碼,其中必須根據(jù)上述散列碼恢復出各個詢問d。
d=d1,d2,...,dm,與從結(jié)果Hash(M,R)中提取的相同如果附錄中沒有詢問,則檢查運算開始通過雜湊所有承諾R和消息M重構(gòu)一或多個詢問d。
d=d′1,d′2,...,d′m,從結(jié)果Hash(M,R)中提取接著,當且僅當各個三元組是一致的(滿足一個下面類型的適當關(guān)系)和可接受的(在非零數(shù)值上進行比較)審查人才接受簽名消息。R.Πi=1mGid′i≡D2k(modn)]]>或R≡D2k.Πi=1mGidi(modn)]]>如果附錄中沒有承諾,則檢查運算開始根據(jù)下列兩個公式中的一個適當?shù)墓街貥?gòu)一或多個承諾R′。重新建立的承諾不應當為零。R′≡D2k/Πi=1mGidi(modn)]]>或R′≡D2k.Πi=1mGidi(modn)]]>接著,審查人必須雜湊所有承諾R′和消息M以便重構(gòu)各個詢問d。
d=d1,d2,...,dm,與從結(jié)果Hash(M,R′)中提取的相同當且僅當各個重構(gòu)的詢問與附錄中的對應詢問相同時審查人才接受簽名消息。
在本申請中已經(jīng)說明存在被用來實現(xiàn)基于本發(fā)明、被用來證明一個實體的真實性和/或一個消息的完整性和/或真實性的方法,系統(tǒng)和設備的成對保密數(shù)值和公開數(shù)值Q與G。
在France Telecom,TDF和Math RiZK公司與本申請同日提交、發(fā)明人為Louis Guillou和Jean-Jacques Quisquater的待決申請中描述了一個產(chǎn)生GQ2密鑰集合,即指數(shù)v等于2k時的模數(shù)n和成對公開與保密數(shù)值G與Q的方法。這里參考引用了這個專利申請。
權(quán)利要求
1.被用來向一個審查人實體證明以下內(nèi)容的方法,-一個實體的真實性和/或-與這個實體相關(guān)的消息M的完整性,通過所有或部分下列參數(shù)或這些參數(shù)的派生參數(shù)完成這個證明-m對保密數(shù)值Q1,Q2,...,Qm和公開數(shù)值G1,G2,...,Gm,m大于或等于1,-由上述f個素數(shù)p1,p2,...,pf的乘積構(gòu)成的一個公開模數(shù)n,f大于或等于2;-一個公開指數(shù)v;上述模數(shù),上述指數(shù)和上述數(shù)值有以下類型的關(guān)系Gi·Qiv≡1 mod n或Gi≡Qivmod n;上述方法在下面步驟中實現(xiàn)一個被稱作見證的實體,上述見證實體具有f個素數(shù)pi和/或素數(shù)的中國余數(shù)的參數(shù)和/或公開模數(shù)n和/或m個保密數(shù)值Qi和/或保密數(shù)值Qi與公開指數(shù)v的f.m分量Qi,j(Qi,j≡Qimod pj);-見證計算以n為模數(shù)的整數(shù)環(huán)中的承諾R;通過執(zhí)行以下類型的操作計算各個承諾Ri≡rivmod pi其中ri是一個與素數(shù)pi相關(guān)的隨機數(shù)值,其中0<ri<pi,各個ri屬于一個隨機數(shù)值集合{r1,r2,...,rf},并且接著使用中國余數(shù)方法,-見證接收一或多個詢問d;每個詢問d包括m個被稱作基本詢問的整數(shù)di;根據(jù)各個詢問d,見證通過執(zhí)行以下類型的運算計算一個應答DDi≡ri·Qi,1d1·Qi,2d2·...·Qi,mdmmod pi該方法使得應答D的數(shù)量與詢問d和承諾R一樣多,其中每組數(shù)值R,d,D構(gòu)成一個被表示成{R,d,D}的三元組。
2.如權(quán)利要求1所述的方法,上述方法被用來向一個被稱為審查人的實體證明一個被稱為證明人的實體的真實性,上述證明人實體包括見證;上述證明人和審查人實體執(zhí)行下列步驟步驟1涉及承諾R的操作-每次見證使用如權(quán)利要求1所述的過程計算各個承諾R,-證明人向?qū)彶槿税l(fā)送所有或部分承諾E,步驟2涉及詢問d的操作-在接收所有或部分承諾R之后,審查人產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d并且向證明人發(fā)送詢問d,步驟3涉及應答D的操作-見證使用如權(quán)利要求1所述的過程根據(jù)詢問d計算應答D,步驟4涉及檢查的操作-證明人向?qū)彶槿税l(fā)送各個應答D,在證明人發(fā)送一部分承諾R的情況下如果證明人已經(jīng)發(fā)送一部分承諾R,則審查人在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n審查人確定各個重構(gòu)的承諾R′還原出已經(jīng)發(fā)送過來的所有或部分承諾R,在證明人已經(jīng)全部發(fā)送承諾R的情況下如果證明人已經(jīng)發(fā)送全部承諾R,則審查人在具有m個公開數(shù)值G1,G2,...,Gm的情況下確定各個承諾R滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n
3.如權(quán)利要求1所述的方法,上述方法被用來向一個被稱為審查人的實體證明與一個被稱為證明人的實體相關(guān)的消息M的真實性,上述證明人實體包括見證;上述證明人和審查人實體執(zhí)行下列步驟步驟1涉及承諾R的操作-每次見證使用如權(quán)利要求1所述的過程計算各個承諾R,步驟2涉及詢問d的操作-證明人使用一個散列函數(shù)h計算至少一個令牌T,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R,-證明人向?qū)彶槿税l(fā)送令牌T,-在接收令牌T之后,審查人產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d并且向證明人發(fā)送詢問d,步驟3涉及應答D的操作-見證使用如權(quán)利要求1所述的過程根據(jù)詢問d計算應答D,步驟4涉及檢查的操作-證明人向?qū)彶槿税l(fā)送各個應答D,審查人在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n-接著審查人使用一個散列函數(shù)h重構(gòu)令牌T′,其中散列函數(shù)的參數(shù)包括消息M和所有或部分重構(gòu)承諾R′,-接著審查人確定令牌T′與發(fā)送的令牌T相同。
4.如權(quán)利要求1所述的方法,上述方法被用來通過一個被稱為簽名實體的實體產(chǎn)生一個消息M的消息,上述簽名實體包括見證;上述簽名實體執(zhí)行簽名運算以便獲得包括以下內(nèi)容的已簽名消息-消息M,-詢問d和/或承諾R,-應答D;上述簽名實體通過實現(xiàn)下列步驟執(zhí)行簽名運算步驟1涉及承諾R的操作-每次見證使用如權(quán)利要求1所述的過程計算各個承諾R,步驟2涉及詢問d的操作簽名實體使用一個散列函數(shù)h獲得一個二進制序列,上述散列函數(shù)的參數(shù)包括消息M和各個承諾R,-簽名實體從這個二進制序列中提取其數(shù)量等于承諾R的數(shù)量的詢問d,步驟3涉及應答D的操作-見證使用如權(quán)利要求1所述的過程根據(jù)詢問d計算應答D,
5.如權(quán)利要求4所述的方法,上述方法被用來通過使用一個被稱作審查人的實體檢查簽名消息來證明消息M的真實性;檢查運算-具有已簽名消息的上述審計人實體通過執(zhí)行如下步驟來完成檢查運算在審查人具有承諾R,詢問d,應答D的情況下如果審查人具有承諾R,詢問d,應答D審查人確定承諾R,詢問d和應答D滿足以下類型的關(guān)系R≡G1d1·G2d2·…·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n審查人確定消息M,詢問d和承諾R滿足散列函數(shù)d=h(M,R)在審查人具有詢問d和應答D的情況下如果審查人具有詢問d,應答D,審查人根據(jù)各個詢問d和各個應答D重構(gòu)滿足下列關(guān)系的承諾R′R’≡G1d1·G2d2·…·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·..·Gmdmmod n審查人確定消息M和詢問d滿足散列函數(shù)d=h(M,R′)在審查人具有承諾R和應答D的情況下如果審查人具有承諾R,應答D,審查人使用散列函數(shù)并且重構(gòu)d′d′=h(M,R)審查人設備確定承諾R,詢問d′和應答D滿足以下類型的關(guān)系R≡G1d’1·G2d’2·...·Gmd’m·Dvmod n或以下類型的關(guān)系R≡Dv/G1d’1·G2d’2·...·Gmd’mmod n
6.如權(quán)利要求1-5中任何一個所述的方法,該方法使得保密數(shù)值Qi的分量Qi,1,Qi,2,...,Qi,f以每個上述素數(shù)pj一個分量Qi,j(Qi,j≡Qimod pj)的比率隨機抽取的數(shù)值;能夠通過中國余數(shù)方法根據(jù)上述分量Qi,1,Qi,2,...,Qi,f計算出上述保密數(shù)值Qi通過以下方式計算上述公開數(shù)值Gi通過執(zhí)行下列類型的運算Gi,i≡Qi,jvmod pj接著使用中國余數(shù)方法建立Gi,使得Gi·Qiv≡1 mod n或Gi≡Qivmod n
7.如權(quán)利要求6所述的方法,該方法使得公開驗證指數(shù)v是一個素數(shù)。
8.如權(quán)利要求1-5中任何一個所述的方法,上述指數(shù)v=2k,其中k是大于1的安全參數(shù);上述公開數(shù)值Gi是小于f個素數(shù)p1,p2,...,Pf的基數(shù)gi的平方gi2;基數(shù)gi使得兩個等式x2≡gimod n和x2≡-gimod n不能被以n為模的整數(shù)環(huán)中的x求解,并且使得等式xv≡gi2mod n能被以n為模的整數(shù)環(huán)中的x求解。
9.被用來向一個審查人服務器證明以下內(nèi)容的系統(tǒng),-一個實體的真實性和/或-與這個實體相關(guān)的消息M的完整性,通過所有或部分下列參數(shù)或這些參數(shù)的派生參數(shù)完成這個證明-m對保密數(shù)值Q1,Q2,...,Qm和公開數(shù)值G1,G2,...,Gm,m大于或等于1,-由上述f個素數(shù)p1,p2,...,pf的乘積構(gòu)成的Pi個公開模數(shù)n,f大于或等于2,-一個公開指數(shù)v。上述模數(shù),上述指數(shù)和上述數(shù)值有以下類型的關(guān)系Gi·Qiv≡1 mod n或Gi≡Qivmod n上述系統(tǒng)包括一個見證設備,尤其是被包含在具有基于微處理器的銀行卡形式的漫游對象內(nèi)的見證設備,上述見證設備包括一個存儲器區(qū)段,上述存儲器區(qū)段包含f個素數(shù)pi和/或素數(shù)的中國余數(shù)的參數(shù)和/或公開模數(shù)n和/或m個保密數(shù)值Qi和/或保密數(shù)值Qi與公開指數(shù)v的f.m分量Qi,j(Qi,j≡Qimod pj);上述見證設備還包括-隨機數(shù)值產(chǎn)品裝置,此后被稱作見證設備的隨機數(shù)值產(chǎn)生裝置,-計算裝置,此后被稱作計算見證設備的承諾R的裝置,上述計算裝置計算以n為模的整數(shù)環(huán)中的承諾R;通過執(zhí)行以下類型的操作計算各個承諾Ri≡rivmod pi其中ri是一個與素數(shù)pi相關(guān)的隨機數(shù)值,其中0<ri<pi,各個ri屬于一個由隨機數(shù)產(chǎn)生裝置產(chǎn)生的隨機數(shù)值集合{r1,r2,...,rf},并且接著使用中國余數(shù)方法;上述見證設備還包括-接收裝置,此后被稱作接收見證設備的詢問的裝置,上述接收裝置接收一或多個詢問di;每個詢問di包括m個此后被稱作基本詢問的整數(shù)di;-計算裝置,此后被稱作見證設備計算應答D的裝置,上述計算根據(jù)各個詢問d并且通過執(zhí)行以下類型的根據(jù)來計算各個應答DDi≡ri·Qi,1d1·Qi,2d2·...·Qi,mdmmod pi并且接著使用中國余數(shù)方法。-發(fā)送一或多個承諾R和一或多個應答D的發(fā)送裝置;應答D的數(shù)量與詢問d和承諾R和一或多個,其中每組數(shù)值R,d,D構(gòu)成一個被表示成{R,d,D}的三元組。
10.如權(quán)利要求9所述的系統(tǒng),該系統(tǒng)被用來證明一個被稱作證明人的實體和一個被稱作審查人的實體的真實性,上述系統(tǒng)包括-一個與證明人實體相關(guān)的證明人設備,上述證明人設備通過互連裝置與見證設備互連,并且能夠具有漫游對象中邏輯微電路的形式,例如具有基于微處理器的銀行卡中的微處理器的形式,-一個與審查人實體相關(guān)的審查人設備,上述審查人設備具有終端或遠程服務器的形式,上述審查人設備包括以電子,電磁光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到證明人設備的連接裝置;上述系統(tǒng)允許執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用如權(quán)利要求9規(guī)定的過程計算各個承諾R,-見證設備具有通過互連裝置向證明人設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置,-證明人設備設備還具有通過連接裝置向?qū)彶槿嗽O備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作證明人設備的發(fā)送裝置;步驟2涉及詢問d的操作審查人設備包括詢問產(chǎn)生裝置,該裝置在接收所有或部分承諾R之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d,審查人設備還具有通過連接裝置向證明人發(fā)送所有或部分詢問d的發(fā)送裝置,此后被稱為審查人的發(fā)送裝置,步驟3涉及應答D的操作接收見證設備的詢問d的裝置通過互連裝置接收來自證明人設備的各個詢問d,見證設備計算應答D的裝置使用如權(quán)利要求9規(guī)定的過程根據(jù)詢問d計算應答D,步驟4涉及檢查的操作證明人的發(fā)送裝置向?qū)彶槿税l(fā)送各個應答D,審查人設備還包括-計算裝置,此后被稱作審查人設備的計算裝置,-比較裝置,此后被稱作審查人設備的比較裝置,在證明人發(fā)送一部分承諾R的情況下如果證明人的發(fā)送裝置已經(jīng)發(fā)送一部分承諾R,則審查人的計算裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·…·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n審查人設備的比較裝置將各個重構(gòu)承諾R′與接收的所有或部分承諾R進行比較,在證明人已經(jīng)全部發(fā)送承諾R的情況下如果證明人的發(fā)送計算裝置已經(jīng)發(fā)送全部承諾R,則審查人設備的計算裝置和比較裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下確定各個承諾R滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n
11.如權(quán)利要求9所述的系統(tǒng),上述系統(tǒng)被用來向一個被稱為審查人的實體證明與一個被稱為證明人的實體相關(guān)的消息M的完整性,上述系統(tǒng)包括-一個與證明人實體相關(guān)的證明人設備,上述證明人設備通過互連裝置與見證設備互連,并且能夠具有漫游對象中邏輯微電路的形式,例如具有基于微處理器的銀行卡中的微處理器的形式,-一個與審查人實體相關(guān)的審查人設備,上述審查人設備具有終端或遠程服務器的形式;上述審查人設備包括以電子,電磁光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到證明人設備的連接裝置;上述系統(tǒng)允許執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用如權(quán)利要求9規(guī)定的過程計算各個承諾R,-見證設備具有通過互連裝置向證明人設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置,步驟2涉及詢問d的操作證明人設備包括計算裝置,此后被稱作證明人的計算裝置,計算裝置使用一個散列函數(shù)h計算至少一個令牌T,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R,證明人設備還具有通過連接裝置向?qū)彶槿嗽O備發(fā)送各個令牌T的發(fā)送裝置,此后被稱為證明人設備的發(fā)送裝置,審查人設備還具有詢問產(chǎn)生裝置,該裝置在接收令牌T之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d,審查人設備還具有通過連接裝置向證明人發(fā)送所有或部分詢問d的發(fā)送裝置,此后被稱作審查人的發(fā)送裝置;步驟3涉及應答D的操作接收見證設備的詢問d的裝置通過互連裝置接收來自證明人設備的各個詢問d,見證設備計算應答D的裝置使用如權(quán)利要求9規(guī)定的過程根據(jù)詢問d計算應答D,步驟4涉及檢查的操作證明人的發(fā)送裝置向?qū)彶槿税l(fā)送各個應答D。審查人設備還包括計算裝置,此后被稱作審查人設備的計算裝置,上述計算裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下首先根據(jù)各個詢問d和各個應答D計算計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n接著使用以消息M和所有或部分重構(gòu)承諾R′以參數(shù)的散列函數(shù)h計算一個令牌T′,審查人設備還具有將令牌T′與接收的令牌T相比較的比較裝置,此后被稱為審查人設備的比較裝置。此后被稱為審查人設備的
12.如權(quán)利要求9所述的系統(tǒng),上述系統(tǒng)被用來通過一個被稱作簽名實體的實體產(chǎn)生一個此后被稱為簽名消息的消息M的數(shù)字簽名;已簽名消息包括-消息M,-詢問d和/或承諾R,-應答D;上述系統(tǒng)包括一個與簽名實體相關(guān)的簽名設備,上述簽名設備通過互連裝置與見證設備互連并且可以具有漫游對象中邏輯微電路的形式,例如基于微處理器的銀行卡中微處理器的形式,上述系統(tǒng)允許執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用如權(quán)利要求9規(guī)定的過程計算各個承諾R,見證設備具有通過互連裝置向簽名設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置,步驟2涉及詢問d的操作簽名設備包括計算裝置,此后被稱作簽名設備的計算裝置,上述計算裝置使用一個散列函數(shù)h計算一個二進制序列并且從這個二進制序列中提取出數(shù)量等于承諾R的數(shù)量的詢問d,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R,步驟3涉及應答D的操作接收詢問d的裝置通過互連裝置接收來自簽名設備的各個詢問d,見證設備計算應答D的裝置使用如權(quán)利要求9規(guī)定的過程根據(jù)詢問d計算應答D,見證設備包括通過互連裝置向簽名設備發(fā)送應答D的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。
13.如權(quán)利要求11所述的系統(tǒng),上述系統(tǒng)被用來通過使用一個被稱作審查人的實體檢查簽名消息來證明消息M的真實性;上述系統(tǒng)包括一個與審查人實體相關(guān)的審查人設備,上述審查人設備具有終端或遠程服務器的形式,上述審查人設備包括以電子,電磁光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到證明人設備的連接裝置;上述與審查人設備具有實體相關(guān)的審查人設備具有設備包括通過連接裝置向?qū)彶槿嗽O備發(fā)送已審查人設備具有消息的發(fā)送裝置,此后被稱為審查人設備具有設備的發(fā)送裝置,因而審查人設備具有一個包括以下內(nèi)容的簽名消息-消息M,-詢問d和/或承諾R,-應答D;審查人設備包括-計算裝置,此后被稱作審查人設備的計算裝置,-比較裝置,此后被稱作審查人設備的比較裝置。在審查人設備具有承諾R,詢問d,應答D的情況下如果審查人具有承諾R,詢問d,應答D審查人設備的計算和比較裝置確定消息M,詢問d和承諾R滿足以下關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n審查人設備的計算和比較裝置確定消息M,詢問d和承諾R滿足散列函數(shù)d=h(M,R)在審查人設備具有詢問d和應答D的情況下如果審查人設備具有詢問d,應答D,審查人的計算裝置根據(jù)各個詢問d和各個應答D計算滿足以下類型關(guān)系的承諾R′R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n審查人設備的計算和比較裝置確定消息M和詢問d滿足散列函數(shù)d=h(M,R′)在審查人設備具有承諾R和應答D的情況下如果審查人設備具有承諾R,應答D,審查人設備的計算裝置使用散列函數(shù)并且計算d′,使得d′=h(M,R)審查人設備的計算和比較裝置確定消息M,詢問d′和承諾R滿足以下關(guān)系R≡G1d’1·G2d’2·...·Gmd’m·Dvmod n或以下類型的關(guān)系R≡Dv/G1d’1·G2d’2·...·Gmd’mmod n
14.如權(quán)利要求9-13中任何一個所述的系統(tǒng),該系統(tǒng)使得保密數(shù)值Qi的分量Qi,1,Qi,2,...,Qi,f是以每個上述素數(shù)pj一個分量Qi,j(Qi,j≡Qimod pj)的比率隨機抽取的數(shù)值;能夠通過中國余數(shù)方法根據(jù)上述分量Qi,1,Qi,2,...,Qi,f計算出上述保密數(shù)值Qi通過以下方式計算上述公開數(shù)值Gi通過執(zhí)行下列類型的運算Gi,j≡Qi,jvmod pj接著使用中國余數(shù)方法建立Gi,使得Gi·Qiv≡1 mod n或Gi≡Qivmod n
15.如權(quán)利要求14所述的方法,該方法使得公開驗證分量v是一個素數(shù)。
16.如權(quán)利要求9-13中任何一個所述的方法,上述指數(shù)v使得v=2k其中k是大于1的安全參數(shù);上述公開數(shù)值Gi是小于f個素數(shù)p1,p2,...,pf的基數(shù)的平方gi2;基數(shù)gi使得兩個等式x2≡gimod n和x2≡-gimod n不能被以n為模的整數(shù)環(huán)中的x求解,并且使得等式xv≡gi2mod n能被以n為模的整數(shù)環(huán)中的x求解。
17.與一個實體相關(guān)、被用來向一個審查人服務器證明以下內(nèi)容的終端設備,上述實體具有漫游對象的形式,例如基于微處理器的銀行卡中的微處理器的形式-一個實體的真實性和/或-與這個實體相關(guān)的消息M的完整性;通過所有或部分下列參數(shù)或這些參數(shù)的派生參數(shù)完成這個證明-m對保密數(shù)值Q1,Q2,...,Qm和公開數(shù)值G1,G2,...,Gm,m大于或等于1,-由上述f個素數(shù)p1,p2,...,pf的乘積構(gòu)成的pl個公開模數(shù)n,f大于或等于2,-一個公開指數(shù)v。上述模數(shù),上述指數(shù)和上述數(shù)值有以下類型的關(guān)系Gi·Qiv≡1 mod n或Gi≡Qivmod n上述終端設備包括一個見證設備,上述見證設備包括一個存儲器區(qū)段,上述存儲器區(qū)段包含f個素數(shù)pi和/或素數(shù)的中國余數(shù)的參數(shù)和/或公開模數(shù)n和/或m個保密數(shù)值Qi和/或保密數(shù)值Qi與公開指數(shù)v的f.m分量Qi,j(Qi,j≡Qimod pj)。上述見證設備還包括-隨機數(shù)值產(chǎn)品裝置,此后被稱作見證設備的隨機數(shù)值產(chǎn)生裝置,-計算裝置,此后被稱作計算見證設備的承諾R的裝置,上述計算裝置計算以n為模的整數(shù)環(huán)中的承諾R;通過執(zhí)行以下類型的操作計算各個承諾Ri≡rivmod pi其中ri是一個與素數(shù)pi相關(guān)的隨機數(shù)值,其中0<ri<pi,各個ri屬于一個由隨機數(shù)產(chǎn)生裝置產(chǎn)生的隨機數(shù)值集合{r1,r2,...,rf},并且接著使用中國余數(shù)方法;見證設備還包括-接收裝置,此后被稱作接收見證設備的詢問的裝置,上述接收裝置接收一或多個詢問di;每個詢問di包括m個此后被稱作基本詢問的整數(shù)di;-計算裝置,此后被稱作見證設備計算應答D的裝置,上述計算根據(jù)各個詢問d并且通過執(zhí)行以下類型的根據(jù)來計算各個應答DDi≡ri·Qi,1d1·Qi,2d2·...·Qi,mdmmod pi并且接著使用中國余數(shù)方法,-發(fā)送一或多個承諾R和一或多個應答D的發(fā)送裝置;應答D的數(shù)量與詢問d和承諾R和一或多個,其中每組數(shù)值R,d,D構(gòu)成一個被表示成{R,d,D}的三元組。
18.如權(quán)利要求17所述的終端設備,該終端設備被用來向一個被稱作審查人的實體證明一個被稱作證明人的實體的真實性;上述終端設備包括一個與證明人實體相關(guān)的證明人設備,上述證明人設備通過互連裝置與見證設備互連并且可以具有漫游對象中邏輯微電路的形式,例如基于微處理器的銀行卡中微處理器的形式,上述證明人設備還包括以電子,電磁光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與審查人實體相關(guān)的審查人設備的連接裝置,上述審查人設備具有終端或遠程服務器的形式;上述終端設備允許執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用如權(quán)利要求17規(guī)定的過程計算各個承諾R,-見證設備具有通過互連裝置向證明人設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置,證明人設備還具有通過連接裝置向?qū)彶槿嗽O備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作證明人的發(fā)送裝置;步驟2和3涉及詢問d的操作,涉及應答D的操作見證設備接收詢問d的裝置通過審查人設備和證明人設備之間的連接裝置和證明人設備與見證設備之間的互連裝置接收來自審查人設備的各個詢問d,見證設備計算應答D的裝置使用如權(quán)利要求17規(guī)定的過程根據(jù)詢問d計算應答D,步驟4涉及檢查的操作證明人的發(fā)送裝置向埋詢問的審查人發(fā)送各個應答D。
19.如權(quán)利要求17所述的終端設備,上述終端設備被用來向一個被稱為審查人的實體證明與一個被稱為證明人的實體相關(guān)的消息M的完整性,上述終端設備包括一個與證明人實體相關(guān)的證明人設備,上述證明人設備通過互連裝置與見證設備互連并且可以具有漫游對象中邏輯微電路的形式,例如基于微處理器的銀行卡中微處理器的形式,上述證明人設備還包括以電子,電磁光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與審查人實體相關(guān)的審查人設備的連接裝置,上述審查人設備具有終端或遠程服務器的形式;上述終端設備被用來執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用如權(quán)利要求17規(guī)定的過程計算各個承諾R;見證設備具有通過互連裝置向證明人設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置,步驟2和3涉及詢問d的操作,涉及應答D的操作證明人設備包括計算裝置,此后被稱作證明人的計算裝置,計算裝置使用一個散列函數(shù)h計算至少一個令牌T,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R,證明人設備還具有通過連接裝置向?qū)彶槿嗽O備發(fā)送各個令牌T的發(fā)送裝置,此后被稱為證明人設備的發(fā)送裝置,接收見證設備的詢問d的裝置通過互連裝置接收來自證明人設備的各個詢問d,見證設備計算應答D的裝置使用如權(quán)利要求17規(guī)定的過程根據(jù)詢問d計算應答D,步驟4涉及檢查的操作證明人的發(fā)送裝置向進行檢查的審查人發(fā)送各個應答D。
20.如權(quán)利要求17所述的終端設備,上述終端設備被用來通過一個被稱作簽名實體的實體產(chǎn)生一個此后被稱為簽名消息的消息M的數(shù)字簽名;已簽名消息包括-消息M,-詢問d和/或承諾R,-應答D;上述終端設備包括一個與簽名實體相關(guān)的簽名設備,上述簽名設備通過互連裝置與見證設備互連并且可以具有漫游對象中邏輯微電路的形式,例如基于微處理器的銀行卡中微處理器的形式,上述證明人設備還包括以電子,電磁光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與審查人實體相關(guān)的審查人設備的連接裝置,上述審查人設備具有終端或遠程服務器的形式;上述終端設備被用來執(zhí)行下列步驟步驟1涉及承諾R的操作每次見證設備的計算承諾R的裝置使用如權(quán)利要求17規(guī)定的過程計算各個承諾R,見證設備具有通過互連裝置向簽名設備發(fā)送所有或部分承諾R的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置,步驟2涉及詢問d的操作簽名設備包括計算裝置,此后被稱作簽名設備的計算裝置,上述計算裝置使用一個散列函數(shù)h計算一個二進制序列并且從這個二進制序列中提取出數(shù)量等于承諾R的數(shù)量的詢問d,其中散列函數(shù)的參數(shù)包括消息M和所有或部分承諾R,步驟3涉及應答D的操作見證設備接收詢問d的裝置通過互連裝置接收來自簽名設備的各個詢問d,見證設備計算應答D的裝置使用如權(quán)利要求9規(guī)定的過程根據(jù)詢問d計算應答D,見證設備包括通過互連裝置向簽名設備發(fā)送應答D的發(fā)送裝置,此后被稱作見證設備的發(fā)送裝置。
21.被用來向一個審查人服務器證明以下內(nèi)容的審查人設備,上述審查人設備具有與審查人實體相關(guān)的終端或遠程服務器的形式-一個實體的真實性和/或-與這個實體相關(guān)的消息M的完整性通過所有或部分下列參數(shù)或這些參數(shù)的派生參數(shù)完成這個證明-m對保密數(shù)值Q1,Q2,...,Qm和公開數(shù)值G1,G2,...,Gm,m大于或等于1,-由上述f個素數(shù)p1,p2,...,pf的乘積構(gòu)成的一個公開模數(shù)n,f大于或等于2,-一個公開指數(shù)v。上述模數(shù),上述指數(shù)和上述數(shù)值有以下類型的關(guān)系Gi·Qiv≡1 mod n或Gi≡Qivmod n其中Qi表示一個審查人設備未知并且與公開數(shù)值Gi相關(guān)的保密數(shù)值。
22.如權(quán)利要求22所述的審查人設備,該審查人設備被用來向一個被稱作審查人的實體證明一個被稱作證明人的實體的真實性;上述證明人設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與證明人實體相關(guān)的證明人設備;上述審查人設備被用來執(zhí)行下列步驟步驟1和2涉及承諾R的操作,涉及詢問d的操作上述審查人設備還具有通過連接裝置接收所有或部分來自證明人設備的承諾R的裝置,審查人設備具有詢問產(chǎn)生裝置,該裝置在接收所有或部分承諾R之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d,每個詢問d包括m個此后被稱作基本詢問的整數(shù)di。審查人設備還具有通過連接裝置向證明人發(fā)送所有或部分詢問d的發(fā)送裝置,此后被稱作審查人的發(fā)送裝置;步驟3和4涉及應答的操作,涉及檢查的操作審查人設備還包括-通過連接裝置接收來自證明人設備的應答D的裝置,-計算裝置,此后被稱作審查人設備的計算裝置,-比較裝置,此后被稱作審查人設備的比較裝置,在證明人發(fā)送一部分承諾R的情況下如果證明人的接收裝置已經(jīng)接收一部分承諾R,則審查人設備的計算裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下根據(jù)各個詢問d和各個應答D計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n審查人設備的比較裝置將各個重構(gòu)承諾R′與接收的所有或部分承諾R進行比較,在證明人已經(jīng)全部發(fā)送承諾R的情況下如果證明人的發(fā)送計算裝置已經(jīng)接收全部承諾R,則審查人設備的計算裝置和比較裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下確定各個承諾R滿足以下類型的關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n
23.如權(quán)利要求22所述的審查人設備,上述審查人設備被用來證明與一個被稱為證明人的實體相關(guān)的消息M的完整性,上述審查人設備包括以電子,電磁光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到一個與證明人實體相關(guān)的證明人設備的連接裝置,上述審查人設備允許執(zhí)行下列步驟步驟1和2涉及承諾R的操作,涉及詢問d的操作上述審查人設備還具有通過連接裝置接收來自證明人設備的令牌T的裝置,審查人設備具有詢問產(chǎn)生裝置,該裝置在接收令牌T之后產(chǎn)生數(shù)量等于承諾R的數(shù)量的詢問d,各個詢問d包括m個此后被稱作基本詢問的整數(shù),審查人設備設備還具有通過連接裝置向證明人發(fā)送所有或部分詢問d的發(fā)送裝置,此后被稱作審查人設備的發(fā)送裝置;步驟3和4涉及應答D的操作,涉及檢查的操作審查人設備還包括-通過連接裝置接收來自證明人設備的應答D的裝置,審查人設備還包括-計算裝置,此后被稱作審查人設備的計算裝置,上述計算裝置在具有m個公開數(shù)值G1,G2,...,Gm的情況下首先根據(jù)各個詢問d和各個應答D計算計算一個重構(gòu)承諾R′,這個重構(gòu)承諾R′滿足以下類型的關(guān)系R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n接著使用一個散列函數(shù)h計算一個令牌T′,其中散列函數(shù)的參數(shù)包括消息M和所有或部分重構(gòu)承諾R′,審查人設備還包括將計算的令牌T′與接收的令牌T相比較的比較裝置,此后被稱作審查人設備的比較裝置。
24.如權(quán)利要求22所述的審查人設備,上述審查人設備被用來通過使用一個被稱作審查人的實體檢查簽名消息來證明消息M的真實性;由一個與簽名實體相關(guān)并且具有散列函數(shù)h(M,R)的簽名設備發(fā)送的已簽名消息包括-消息M,-詢問d和/或承諾R,-應答D;上述簽名設備包括連接裝置以便通過電子,電磁,光學或聲學方式,尤其是通過數(shù)據(jù)處理通信網(wǎng)絡連接到與簽名實體相關(guān)的簽名設備,上述審查人設備已經(jīng)通過連接裝置從已簽名設備接收已簽名消息,審查人設備包括-計算裝置,此后被稱作審查人設備的計算裝置,-比較裝置,此后被稱作審查人設備的比較裝置,在審查人設備具有承諾R,詢問d,應答D的情況下如果審查人具有承諾R,詢問d,應答D審查人設備的計算和比較裝置確定消息M,詢問d和承諾R滿足以下關(guān)系R≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R≡Dv/G1d1·G2d2·...·Gmdmmod n審查人設備的計算和比較裝置確定消息M,詢問d和承諾R滿足散列函數(shù)d=h(M,R)在審查人設備具有詢問d和應答D的情況下如果審查人設備具有詢問d,應答D,審查人設備的計算裝置根據(jù)各個詢問d和各個應答D計算滿足以下類型關(guān)系的承諾R′R’≡G1d1·G2d2·...·Gmdm·Dvmod n或以下類型的關(guān)系R’≡Dv/G1d1·G2d2·...·Gmdmmod n審查人設備的計算和比較裝置確定消息M和詢問d滿足散列函數(shù)d=h(M,R′)在審查人設備具有承諾R和應答D的情況下如果審查人設備具有承諾R,應答D,審查人設備的計算裝置使用散列函數(shù)并且計算d′,使得d′=h(M,R)審查人設備的計算和比較裝置確定消息M,詢問d′和承諾R滿足以下關(guān)系R≡G1d’1·G2d’2·...·Gmd’m·Dvmod n或以下類型的關(guān)系R≡Dv/G1d’1·G2d’2·...·Gmd’mmod n
全文摘要
通過下列參數(shù)驗證m對保密數(shù)值Q
文檔編號H04LGK1408154SQ0080461
公開日2003年4月2日 申請日期2000年1月27日 優(yōu)先權(quán)日1999年1月27日
發(fā)明者路易斯·基魯, 讓-雅克·基斯夸特 申請人:法國電信公司, 法國電視傳播公司, 馬思·里茲克