用于证明实体真实性和消息完整性的专用密钥集制造技术

技术编号:3530930 阅读:236 留言:0更新日期:2012-04-11 18:40
本发明专利技术涉及为证明实体的真实性或消息的完整性而设计的特别密钥集。证明是由一密钥集实现的,密钥集包括:m(≥1)对私人Q↓[i]和公开G↓[i]=g↓[i]↑[2]值;由f(≥2)个素因子的乘积构成的公开模n;指数V=2↑[k](k>1),由以下类型关系联系:G↓[i].Q↓[i]↑[v]≡1.mod n或G↓[i]≡Q↓[i]↑[v]mod n。该密钥集是这样产生的:在通过增加Q↓[i]或其模n逆到模n平方,k-1倍秩获得的m个数中,它们中至少一个不同于g↓[i];在2m个方程式:x↑[2]≡g↓[i]mod n,x↑[2]≡-g↓[i]mod n中,它们至少一个在模n整数环中有x的解。(*该技术在2020年保护过期,可自由使用*)

【技术实现步骤摘要】

本专利技术涉及用于证明实体的真实性和/或消息的完整性和/或真实性的过程,系统和装置的
专利技术人为Louis Guillou与Jean-Jacques Quisquater的专利EP 0311 470 BL描述了这样的过程。以下将通过术语“GQ专利”或“GQ过程”针对他们的工作进行对比。以下术语“GQ2”,,“GQ2专利技术”或“GQ2技术”有时将用来表示在GQ技术中新的发展,它们处于申请未决,由France Telecom,TDF和Mathrizk公司与本申请在同日提交,其专利技术人是Louis Guillou与Jean-Jacques Quisquater。在以下的说明中必要时将回顾这些未决申请的特性性质。根据GQ过程,被称为“受信当局”的实体向每一被称为“证人”的实体指定一身份,并计算其RSA签字在一定制过程期间,受信当局向证人给出一身份和签字。此后,证人声明“这是我的身份;我知道其RSA签字。”证人无需展现它而证明他知道他的身份的RSA签字。借助于由受信根据分配的RSA公开验证密钥,被称为“控制器”的一个实体无需获知其本身而能够验证RSA签字对应于宣称的身份。使用GQ过程的机制操作“无需知识的转移”。根据GQ过程,证人不知道受信当局使用它签署了大量身份的RSA私人密钥。以前所描述的GQ技术使用RSA技术。但是如果RSA技术真的依赖于模数n的因子分解,则这种依赖关系不是等价关系,相反,如通过被称为针对实现RSA技术的不同数字签字标准的“乘法”攻击所展示的那样。GQ2技术的目的是双重的一方面,是为了改进与RSA技术相关的性能;另一方面,则是为了防止RSA技术固有的问题。私人GQ2私人密钥的知识等价于模数n的因子分解的知识。任何在GQ2三件组水平的攻击都是回到模数n的因子分解这时存在等价关系。使用GQ2技术,不论对于签字或鉴别实体本身及对于控制实体都降低了工作负荷。较好地使用因子分解问题,GQ2技术在安全性和性能两方面都避免了RSA技术所出现的缺陷。GQ过程实现了512位或更高位数的模(modulo)计算。这些计算关系到具有将近提高到大约216+1幂的相同量级的数码。现有的微电子基础结构,特别是在银行卡的领域,使用没有算术协处理器的单片式可自编程微处理器。在象GQ过程这样的过程中所涉及的与复合算术运算相关的工作负荷,导致了对使用银行卡支付他们的消费的顾客不满意的计算时间。这里回顾到在寻求提高支付卡的安全性时,储蓄当局已经提出了特别难以解决的问题。确实,必须解决两个明显矛盾的问题对每一卡使用不断增加的长度及不同密钥而提高安全性,而同时要防止导致对用户太多计算时间的工作负荷。此外这一问题迄今变得特别尖锐,因为要考虑到现有的基础结构及现有的微处理器组件。GQ2技术带来了对这一问题的解决,同时保持了安全性。GQ2技术实现了具有特别性质的素因子。不同技术存在产生了这些素因子。本专利技术的目的是使得能够系统地产生这类素因子的一个过程。它还涉及特别在实现GQ2技术中可由它们构成的应用。现在这里强调,允许它们被获得的这些特定素因子及过程能够用于GQ2
之外。本专利技术用于对控制器实体验证的过程,-实体的真实性和/或-与这一实体相关的消息M的完整性。这种过程实现-由f个素因子p1,p2,...pf(f大于或等于2)的乘积构成的公开模数n,或实现f个素因子,-m个不同的整数基数g1,g2,...gm(m大于或等于1),gi小于f个素因子p1,p2,...pf-m对私人Q1,Q2,...Qm和公开G1,G2,...Gm值(m大于或等于1)或从它们推导的参数。所述模数和所述私人和公开值通过以下类型的关系联系Gi·Qiv≡1·mod n或Gi≡Qivmod n所述公开值Gi是基数的平方gi2,v表示以下形式的公开指数v=2k其中k是大于1的安全性参数。根据本专利技术的过程包括以满足以下条件的方式产生f个素因子p1,p2,...pf和/或m个基数g1,g2,...gm的步骤。第一个条件根据第一个条件,每一方程式Xv≡g12mod n(1)具有在模n整数环中x的解。第二个条件根据第二个条件,这里Gi≡Qivmod n,在通过使Qi自乘为平方模n而获得的m个数码qi之中,秩的k-1倍,它们中之一不同于±gi(换言之是非平凡的)。根据第二个条件,这里Gi·Qiv≡1·mod n,在通过使Qi的逆自乘模n为平方模n而获得的m个数码qi之中,秩的k-1倍,它们中之一不同于±gi(换言之是非平凡的)。从而可以说,根据通常的计法±gi表示数码gi和n-gi。第三个条件根据第三个条件,在以下2m个方程式中X2≡gimod n (2)X2≡-gimod n (3)至少它们之一具有整数模n的环中的x解。根据本专利技术用于产生f个素因子p1,p2,...pf和/或m个基数g1,g2,...gm的过程包含首先选择的步骤·安全性参数k·m个基数g1,g2,...gm和/或f个素因子p1,p2,...pf,根据是产生f个素因子p1,p2,...pf还是m个基数g1,g2,...gm。最好至少部分地在第一整数之中选择m个基数g1,g2,...gm。安全性参数k最好是一个小的整数,具体来说小于100。模数n的大小最好大于几百位。f个素因子p1,p2,...pf最好具有接近于模数除以因子个数f的大小。为了测试第一个条件,通过实现以下给出的算法验证数码k,p,g的相容性,其中h表示一个数,使得2h除尽g的相对于p的秩,而2h+1不能除尽它。h是从勒让德记号(g|p)及从等于CG(p)中第2t个的单位原根的数b计算的,其中勒让德记号(gi|pj)和t在以下说明中具有所定义的意义。这里是这一算法的步骤·如果(g|p)=-1则h=t·如果(g|p)=+1且t=1,则h=0·如果(g|p)=+1且t>1,则过程如下。密钥<(p-1+2t)/2t+1,p>施加于G,结果w这样获得·如果w=+g,则h=0·如果w=p-g,则h=+1。如果w不同于+g或p-g(这种情形下,t大于2),实施计算子模数。变量c因此被初始化为值b,然后计算子模数的以下步骤对于i从t-1到2的值被叠代步骤1密钥<2i,p>施加于w/g(modp),*如果所得结果等于+1,则进到步骤2,*如果所得结果等于-1,则值i赋予h,而w由w·c(modp)代替,步骤2c由c2(modp)代替,所寻求的h的值这样获得,即根据步骤1最后一次施加密钥<2i,p>,产生等于-1的结果。可能记得-当h>1时并当k+h>t+1时,则k,g,p是相容的,-当h=0或1时,而不论k的值如何,或者当h>1时并当k+h≤t+1时,则k,g,p是相容的。为了测试第二个条件,进行一个检验,即至少一个集合{δi,1...δi,f}是变量或零,(以下的说明中δ具有所定义的意义)。为了测试第三个条件,进行一个检验,即从g1到gm有一个基数gi使得f个勒让德记号(gi|p1)到(gi|pf)都等于+1或者勒让德记号(-gi|p1)到(-gi|pf)都等于+1。为了计算私人值Q1,Q2,...Qm(Qi,j≡Qimod pj)的f·m私人分量Qi,j,本文档来自技高网
...

【技术保护点】
用于对控制器实体验证的过程,-实体的真实性和/或-与这一实体相关的消息M的完整性;所述过程实现:-由f个素因子p↓[1],p↓[2],…p↓[f](f大于或等于2)的乘积构成的公开模数n,或实现f个素因子;-m个不同的整 数基数g↓[1],g↓[2],…g↓[m](m大于或等于1),g↓[i]小于f个素因子p↓[1],p↓[2],…p↓[f];-m对私人Q↓[1],Q↓[2],…Q↓[m]和公开G↓[1],G↓[2],…G↓[m]值(m大于或等于1)或从 它们推导的参数;所述模数和所述私人和公开值通过以下类型的关系联系:G↓[i].Q↓[i]↑[v]≡1.mod n或G↓[i]≡Q↓[i]↑[v]mod n所述公开值G↓[i]是基数的平方g↓[i]↑[2],v表示以下形式的公开指 数v=2↑[k]其中k是大于1的安全性参数;根据本专利技术的过程包括以满足以下条件的方式产生f个素因子p↓[1],p↓[2],…p↓[f]和/或m个基数g↓[1],g↓[2],…g↓[m]的步骤,第一个条件:根据第一个条件, 每一方程式:X↑[v]≡g↓[i]↑[2]mod n (1)具有在模n整数环中x的解,第二个条件:这里G↓[i]≡Q↓[i]↑[v]mod n,在通过使Q↓[i]自乘为平方模n而获得的m个数q↓[i]之中,秩的k-1倍,它们 中之一不同于±g↓[i](换言之是非平凡的),这里G↓[i].Q↓[i]↑[v]≡1mod n,在通过使Q↓[i]的逆自乘为平方模n而获得的m个数q↓[i]之中,秩的k-1倍,它们中之一不同于±g↓[i](换言之是非平凡的),第三个 条件:在以下2m个方程式中:X↑[2]≡g↓[i]mod n (2)X↑[2]≡-g↓[i]mod n (3)至少它们之一具有模n整数的环中的x的解,根据本专利技术用于产生f个素因子p↓[1],p↓[2],…p↓[f]和/或 m个基数g↓[1],g↓[2],…g↓[m]的过程包含一步骤首先选择:. 安全性参数k. m个基数g↓[1],g↓[2],…g↓[m]和/或f个素因子p↓[1],p↓[2],…p↓[f]。...

【技术特征摘要】
...

【专利技术属性】
技术研发人员:路易斯圭劳让亚奎斯奎斯瓦特
申请(专利权)人:法国电信公司法国电视传播公司马思里兹克
类型:发明
国别省市:FR[法国]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1