專利名稱:使用離散對(duì)數(shù)函數(shù)產(chǎn)生不對(duì)稱加密系統(tǒng)的加密單元的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及加密的技術(shù)領(lǐng)域�,尤其涉及所謂不對(duì)稱的或公開(kāi)密鑰的加密���。
在這種加密類型中����,每個(gè)用戶為了給定的用途而保留一對(duì)密鑰�,包括保密密鑰和相關(guān)的公開(kāi)密鑰。
例如��,如果正在處理專用于機(jī)密性的密鑰對(duì)�,則使用公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密,而使用保密密鑰對(duì)它們解密�,即對(duì)這些數(shù)據(jù)進(jìn)行譯碼。如果正在處理專用于數(shù)據(jù)真實(shí)性的密鑰對(duì)����,則使用保密密鑰對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名,而使用公開(kāi)密鑰來(lái)校驗(yàn)數(shù)字簽名���。其他用途(實(shí)體驗(yàn)證�、密鑰交換等等)也是可行的�。
與保密密鑰加密不同,公開(kāi)密鑰加密非常有用��,因?yàn)樗灰笊婕暗挠脩舴窒砻孛?,以便建立安全的通信。然而�����,這種安全性的優(yōu)點(diǎn)伴隨以性能的缺點(diǎn)�,因?yàn)閷?duì)于相等的資源,公開(kāi)密鑰加密方法(也稱為“公開(kāi)密鑰方案”)通常比所謂的保密密鑰加密方法(也稱為“保密密鑰方案”)慢一百或一千倍����。因此��,為了獲得合理的計(jì)算次數(shù)��,實(shí)現(xiàn)這些算法的電路成本通常很高�����。
這對(duì)于所謂RSA數(shù)字加密和簽名方案(見(jiàn)R.L.Rivest����,A.Shamir和L.M.Adleman撰寫(xiě)的“A Method for Obtaining Digital Signatures and Public-KeyCryptosystems”���,登載于“Communications of the ACM”�,第21冊(cè)�����,第2號(hào)�����,120-126頁(yè)�,1978年2月)來(lái)說(shuō)尤其成立。該方案依賴于整數(shù)因式分解問(wèn)題的難點(diǎn)假定一個(gè)大整數(shù)(一般在以2為基數(shù)的表示中大于1000比特)等于兩個(gè)或多個(gè)大小可比的質(zhì)因數(shù)的乘積,不存在用于重現(xiàn)這些質(zhì)因數(shù)的有效過(guò)程���。因此��,這個(gè)方案中執(zhí)行的計(jì)算涉及很大的數(shù)字。它們不能在芯片卡上少于1秒的時(shí)間內(nèi)被執(zhí)行��,除非后者配備了專用加密協(xié)處理器�����,這大大增加了它的成本�。此外,由于因式分解過(guò)程的效率隨時(shí)間相當(dāng)快速地增長(zhǎng)���,因此需要向上修改密鑰長(zhǎng)度��,損害了性能���。
因此產(chǎn)生降低實(shí)現(xiàn)公開(kāi)密鑰方案的芯片成本的問(wèn)題。
對(duì)付這個(gè)問(wèn)題主要有兩種方法�����。第一種方法在于最好(但不必要)根據(jù)因式分解以外的其他問(wèn)題指定新的加密方案,這可能大大加速計(jì)算時(shí)間��。該途徑已被多次探索���,且產(chǎn)生了多種結(jié)果�����。然而���,在絕大部分情況下,或者與RSA相比的改進(jìn)不足以設(shè)想其中的替代�����,或者尚未充分好地建立安全性�����。
第二種方法在于以大量制造芯片使得其成本能大大降低���。如果國(guó)際銀行組織確認(rèn)該方案用于將來(lái)基于芯片的銀行卡�,這就是可能發(fā)生在RSA上的情況���。然而����,起初RSA芯片的成本太高,無(wú)論制造多少芯片���,其費(fèi)用仍會(huì)是可觀的�。
應(yīng)該注意的是����,許多公開(kāi)密鑰加密方案共同地把整數(shù)運(yùn)算用作基本運(yùn)算�����,比如模數(shù)乘法(ab(模n))�����、模數(shù)除法(a/b(模n))或者模數(shù)取冪(ab(模n))���,其中a�����、b和n是整數(shù)��。然而�,這些運(yùn)算不會(huì)完全相同。因而���,每次修改加密方案時(shí)�,都有必要改變執(zhí)行加密計(jì)算的安全裝置的程序或電路����。
本發(fā)明的一個(gè)目的是通過(guò)結(jié)合上述兩種方法而降低公開(kāi)密鑰加密單元的成本。
因此�����,本發(fā)明提出了一種在不對(duì)稱加密系統(tǒng)中用于產(chǎn)生與整數(shù)保密密鑰s相關(guān)聯(lián)的加密單元的方法�����,其中所述加密單元配備了一個(gè)組件���,該組件獨(dú)立于加密系統(tǒng)而產(chǎn)生����,并且適用于在幾個(gè)整數(shù)運(yùn)算數(shù)之間的組合來(lái)給出整數(shù)y,所述幾個(gè)整數(shù)運(yùn)算數(shù)包括隨機(jī)數(shù)r�、保密密鑰s和至少一個(gè)進(jìn)一步的運(yùn)算數(shù)(a,b)�����。通過(guò)把一公開(kāi)密鑰與保密密鑰s相關(guān)聯(lián)而選擇了加密系統(tǒng)以后����,加密單元配備了加密數(shù)據(jù)序列的發(fā)生器,其中所述公開(kāi)密鑰包括進(jìn)行乘法運(yùn)算的集合G的第一元素g�����,每個(gè)加密數(shù)據(jù)序列都包括作為所述組件的運(yùn)算數(shù)的隨機(jī)數(shù)r�、以及取決于集合G的元素gr的值x����,由單元與整數(shù)y一起給出。
組件可以由一個(gè)或多個(gè)電路部分或一個(gè)或多個(gè)軟件模塊所組成����,該組件應(yīng)用非常快速執(zhí)行的基本加密項(xiàng)�����,這對(duì)于大量不同的加密方案都是共同有利的驗(yàn)證、簽名���、密鑰交換機(jī)制等等�����,它們使用了分集數(shù)學(xué)對(duì)象(可能定義多種離散對(duì)數(shù)函數(shù)的集合G和乘法運(yùn)算)�����。
因?yàn)樵摻M件對(duì)于大量機(jī)制是共同的����,因此能更好地降低工業(yè)研發(fā)和制造成本���。適用于該組件的基本單元(例如芯片卡)可以大量有利地生產(chǎn)��,只要這些單元適用于有關(guān)族的所有方案��,并且它們通常能實(shí)現(xiàn)這些或這種應(yīng)用所需求的性能�����。
更具體地說(shuō)���,公開(kāi)密鑰還包括集合G的元素v���,使得v=gs或v=g-s。該方法使加密單元能根據(jù)廣義的離散對(duì)數(shù)問(wèn)題而應(yīng)用整個(gè)方案族����。這個(gè)問(wèn)題廣義上如下規(guī)定令G是進(jìn)行乘法運(yùn)算(即根據(jù)兩個(gè)元素a和b,聯(lián)系成表示為“a.b”的元素����,或簡(jiǎn)單為“ab”的函數(shù),稱為a和b的乘積)的集合�����,g是G的一個(gè)元素���,u是一個(gè)(大)整數(shù),而w是G的元素�,定義為w=gu(即根據(jù)g的出現(xiàn)u次的乘積gg…g);在實(shí)踐中不可能從g和w中重現(xiàn)u��。
歐洲專利號(hào)0666664描述了這種類型的一個(gè)示例性電子簽名方案,其中G是大于等于0且小于n的一組整數(shù)��,乘法元素是整數(shù)的普通乘積���,模n���。
根據(jù)本發(fā)明的方法,如果它發(fā)生�,則對(duì)于給定的集合G和某一乘法運(yùn)算而言,發(fā)現(xiàn)了比已知算法更為有效的離散對(duì)數(shù)計(jì)算算法�����,它足以改變其中執(zhí)行計(jì)算的集合以及/或者乘法運(yùn)算�����,以便重現(xiàn)期望的安全性級(jí)別����。
離散對(duì)數(shù)問(wèn)題可以在進(jìn)行運(yùn)算的任何集合內(nèi)先驗(yàn)地規(guī)定。然而����,為了使它能在短時(shí)間內(nèi)執(zhí)行指數(shù)計(jì)算并且提供小尺寸的結(jié)果�,需要某些屬性���,譬如目前最適合的集合是組�。除了其它屬性以外��,組總是包含一個(gè)中性元素��,即表示為ε(或簡(jiǎn)單為1)的元素����,使得乘積ε.a和a.ε都等于a,對(duì)于任何元素a都一樣����。此外,每個(gè)元素在組中有一個(gè)倒數(shù)����,表示為a-1,即使乘積a-1.a和a.a-1都等于ε的元素��。加密中所使用的組的一般示例為整數(shù)和橢圓曲線的圈或范圍����。
因此可能定義一個(gè)加密組件,該組件不以任何方式依賴于有關(guān)的組�,或者依賴于考慮中的集合G。這首先意味著這個(gè)組件不作用于集合自身的元素����。這還意味著它不依賴于組的特性,也不依賴于考慮中的元素g����,尤其是在G內(nèi)g的數(shù)量級(jí)上,即滿足gq=ε的最小非零整數(shù)q(如果存在)���。
在本發(fā)明的優(yōu)選實(shí)施例中�,組件所作用的組合僅由少量的整數(shù)間加法����、減法和乘法所組成,沒(méi)有一個(gè)與G和g的特性有任何聯(lián)系�����。特別是����,這個(gè)組合的形式可以是y=ar+bs的形式����,其中a和b是兩個(gè)進(jìn)一步的整數(shù)運(yùn)算數(shù)����。進(jìn)一步的簡(jiǎn)化使得a=1或b=1。
選擇這個(gè)組件的一個(gè)優(yōu)點(diǎn)是它的速度如果僅僅要執(zhí)行少量乘法(1或2)���,則組件會(huì)有高速度(幾微秒)����,并且可以被結(jié)合在任何環(huán)境中���,尤其結(jié)合在低成本的微處理器卡中��。
通過(guò)把一隨機(jī)數(shù)與一模數(shù)相關(guān)聯(lián)來(lái)計(jì)算集合G上的指數(shù)�,可以構(gòu)造加密數(shù)據(jù)序列的發(fā)生器�����。
然而���,在本方法的優(yōu)選實(shí)施例中�,加密數(shù)據(jù)序列的發(fā)生器包括一可編程存儲(chǔ)器�,用于接收預(yù)先計(jì)算的對(duì){r,x}或{r���,gr}���。這樣,加密單元可以完全獨(dú)立于集合G以及所采用的乘法元素而被完整地制造��。僅僅需要把保密密鑰s和預(yù)先計(jì)算的對(duì){r��,x}或{r��,gr}的某些數(shù)寫(xiě)入可編程存儲(chǔ)器����。在運(yùn)算中,共同的組件會(huì)執(zhí)行在加密單元級(jí)所需的唯一計(jì)算�����。
可以自主地使用該單元能進(jìn)一步改進(jìn)研發(fā)和制造成本的降低���,這是由于在各種目標(biāo)應(yīng)用中可以使用相同的電路(而不僅僅是電路的相同部分)��。此外�����,組件執(zhí)行得很快能將其安裝在非常低成本的電路中�����,因此在自主模式中����,被接觸或不接觸地安裝在非常廉價(jià)的單元中,比如常規(guī)的微處理器卡�。
這種自主性的還有一個(gè)優(yōu)點(diǎn)是也許能夠改變加密方案,例如由于后者已經(jīng)損壞(即由于已經(jīng)發(fā)現(xiàn)大大降低它所提供的安全性級(jí)別的攻擊)�,而無(wú)須研發(fā)并制造另一電路,從而節(jié)約了生產(chǎn)力�����。
此外�����,如果單元使用值x,其長(zhǎng)度不會(huì)隨時(shí)間而改變(例如由于它從gr的計(jì)算因此涉及預(yù)定義的哈希函數(shù))�����,則在保留相同的方案時(shí)���,可能無(wú)須研發(fā)并制造另一電路而改變所使用的其他密鑰的長(zhǎng)度。
此外��,在最后兩種情況下�,不僅沒(méi)有理由研發(fā)并制造另一電路,但如果適當(dāng)?shù)卦O(shè)計(jì)了后者���,則甚至無(wú)須改變包含它們的安全性裝置(例如芯片卡)����,即使在采用了這些裝置以后�����。由于在已經(jīng)運(yùn)轉(zhuǎn)的安全性裝置(或安全性裝置自身)中改變電路或電路的程序總是非常昂貴的操作�����,因此這個(gè)優(yōu)點(diǎn)是非常顯著的。
本發(fā)明可被以下組織有利地使用生產(chǎn)安全芯片的半導(dǎo)體制造商����、從這些芯片制造安全性裝置的工業(yè),比如芯片嵌入(有接觸或無(wú)接觸的芯片卡)��、以及采用這種設(shè)備的組織(銀行����、電信業(yè)、貨車(chē)司機(jī)等)�,對(duì)這些組織而言,加密單元的替換會(huì)造成高研發(fā)����、制造、管理或維護(hù)成本�����。
總之�,本發(fā)明用離散對(duì)數(shù)問(wèn)題產(chǎn)生了一族公開(kāi)密鑰加密方案,其中一個(gè)實(shí)體執(zhí)行最多由少量整數(shù)加法�����、減法和乘法組成的計(jì)算,該計(jì)算對(duì)于該族的所有方案是共同的��。該計(jì)算最好表示出要由該實(shí)體執(zhí)行的大多數(shù)計(jì)算��,由于大多數(shù)其他計(jì)算可以預(yù)先執(zhí)行����。
從參照附圖的非限制性示例性實(shí)施例的下列描述中,本發(fā)明的其他特性和優(yōu)點(diǎn)將變得更為明顯��,附圖中
圖1和4是按照本發(fā)明生產(chǎn)的加密單元的示意圖���。
下面考慮實(shí)體驗(yàn)證協(xié)議族,擴(kuò)展為消息驗(yàn)證和消息的數(shù)字簽名�����,以及用于交換密鑰的協(xié)議族��,全部實(shí)現(xiàn)一共同的組件���。假定由另一實(shí)體B所使用的實(shí)體A的公開(kāi)密鑰真實(shí)性已經(jīng)在前面由該實(shí)體B所確認(rèn)。
令G是進(jìn)行乘法運(yùn)算的集合���,g是G的一個(gè)元素���。實(shí)體A的保密密鑰是整數(shù)s��。應(yīng)該注意到,這個(gè)整數(shù)s的大小(它的基2分解的比特?cái)?shù))獨(dú)立于G和g�。與實(shí)體A的s相關(guān)聯(lián)的公開(kāi)密鑰是對(duì){g�����,v},其中v=gs���。
在本發(fā)明的示例性實(shí)施例中,實(shí)體B對(duì)實(shí)體A的驗(yàn)證如下進(jìn)行1.A隨機(jī)地選取一整數(shù)r�����,計(jì)算x=gr���,并把x發(fā)送至B����;2.B隨機(jī)地選取兩個(gè)整數(shù)運(yùn)算數(shù)a和b����,并把它們發(fā)送至A����;3.A計(jì)算y=ar+bs,并把y發(fā)送至B�����;
4.B校驗(yàn)gy=xavb。
這個(gè)基本協(xié)議的許多變體是可行的���,由于它適用于消息驗(yàn)證和數(shù)字消息簽名-a或b可以預(yù)先固定在一非零值(例如a=1),該情況中這個(gè)運(yùn)算數(shù)無(wú)須被發(fā)送�����,且組合y=ar+bs現(xiàn)在僅涉及乘法;-y=ar+bs可以用y=ar-bs代替�����,校驗(yàn)公式為gyvb=xa�;-y=ar+bs可以用y=bs-ar代替�����,校驗(yàn)公式為gyxa=vb�;-y=ar+bs可以用y=-ar-bs代替��,校驗(yàn)公式為gyxavb=1-如果G是一個(gè)組�����,則保密密鑰s的符號(hào)可以被反轉(zhuǎn)�,即取v=g-s=(gs)-1���,其中校驗(yàn)公式變?yōu)間yvb=xa���;這個(gè)選擇當(dāng)然可以與任一上述變化相結(jié)合���;-在校驗(yàn)公式形式為gyvb=x的每種情況下,假定a=1�����,x=gr可以用x=f(gr)來(lái)代替���,其中f是函數(shù),例如等于(或包括)加密哈希函數(shù)�;校驗(yàn)公式于是變?yōu)閒(gyvb)=x���;-同樣在校驗(yàn)公式形式為gyvb=x的每種情況下�,假定a=1,如果M是要由A證實(shí)的消息���,則x=gr可以用x=f(gr�,M)來(lái)代替���,其中f是函數(shù)�����,例如等于(或包括)加密哈希函數(shù)�;校驗(yàn)公式于是變?yōu)閒(gyvb��,M)=x���;所獲得的協(xié)議為消息驗(yàn)證協(xié)議�����;-同樣在校驗(yàn)公式形式為gyvb=x的每種情況下�,假定a=1����,如果M是要由A證實(shí)的消息,則x=gr可以用x=f(gr����,M)來(lái)代替�,其中f是函數(shù)�,例如等于(或包括)加密哈希函數(shù)�,于是計(jì)算b=h(x)����,其中h是沒(méi)有特殊加密屬性的函數(shù)�,例如恒等式�����;在這種情況下�����,步驟2不再涉及實(shí)體A�����;校驗(yàn)公式變?yōu)閒(gyvh(x),M)=x�;所獲得的協(xié)議為數(shù)字消息簽名協(xié)議(在G是小于n的非負(fù)整數(shù)集合且運(yùn)算為乘法模n的特定情況下���,再現(xiàn)歐洲專利號(hào)0666664中描述的獲得電子簽名方案)���。
注意到在步驟3中�,實(shí)體A僅需執(zhí)行一次整數(shù)加法以及一次或兩次整數(shù)乘法��。還注意到該組合獨(dú)立于所選的集合G����。最后注意到��,可以預(yù)先執(zhí)行A需要執(zhí)行的其它計(jì)算(x=gr或f(gr))��。因此可能預(yù)先計(jì)算某些數(shù)量的gr值(應(yīng)用或不應(yīng)用函數(shù)f)�����,然后把它們與相應(yīng)的隨機(jī)數(shù)r一起存儲(chǔ)在可編程存儲(chǔ)器中���。
根據(jù)相同的參數(shù)��,補(bǔ)充實(shí)體B的私有密鑰s’和相關(guān)的公開(kāi)密鑰g’,v’,按照與實(shí)體A相同的規(guī)則獲得��,g’=gv’=gs’����,密鑰交換協(xié)議可以定義如下1.A隨機(jī)地選取整數(shù)r�����,計(jì)算x=gr并把x發(fā)送至B;A計(jì)算共有密鑰K=v’r(=gs’r)���;2.B隨機(jī)地選取兩個(gè)整數(shù)運(yùn)算數(shù)a和b并把它們發(fā)送至A���;3.A計(jì)算y=ar+bs并把y發(fā)送至B。
4.B校驗(yàn)gy=xavb�����。B計(jì)算共有密鑰K=xs’(=grs’)
該協(xié)議一方面能按照Diffie-Hellman方案交換密鑰����,另一方面密鑰交換在任一側(cè)被驗(yàn)證���。共有密鑰K也可以被計(jì)算為v’r的預(yù)定函數(shù)��。
又注意到在步驟3中,實(shí)體A僅需執(zhí)行一次整數(shù)加法以及一次或兩次整數(shù)乘法�����。還注意到�,該組合獨(dú)立于所選的集合G。最后注意到���,必須預(yù)先執(zhí)行A需執(zhí)行的其他計(jì)算���。因此可能預(yù)先計(jì)算某些數(shù)量的x值和K值,然后把它們存儲(chǔ)在可編程存儲(chǔ)器中��。
因此,通過(guò)開(kāi)發(fā)實(shí)現(xiàn)單獨(dú)函數(shù)y=ar+bs(或者上述替代之一)的程序或電路���,獲得了基本的軟件或硬件程序塊�,它們可用于不同的加密方案中���,實(shí)現(xiàn)諸如驗(yàn)證、密鑰交換等不同的任務(wù)��。實(shí)現(xiàn)給定任務(wù)的方案甚至可以在安全性設(shè)備的壽命期間被修改�,所述安全性裝置包括該程序或者該電路。例如�����,可能用另一個(gè)方案來(lái)代替該驗(yàn)證方案����,或者保持相同的方案但改變其中執(zhí)行計(jì)算的集合或組G。實(shí)際上�,這些修改僅會(huì)影響預(yù)先計(jì)算的值,而不影響組件自身�����。
圖1圖解地示出按照本發(fā)明生產(chǎn)的示例性加密單元A。該單元由具有區(qū)域10的芯片所組成�,到區(qū)域10的訪問(wèn)受到本領(lǐng)域技術(shù)人員公知的技術(shù)所保護(hù)���。
被保護(hù)的區(qū)域10包括可編程存儲(chǔ)器11��,用于一方面接收單元A的保密密鑰s(區(qū)域12)�,另一方面一旦定義了集合G及其乘法運(yùn)算(區(qū)域13)�,接收獨(dú)立于s確定的對(duì){r,gr}����。被保護(hù)的區(qū)域10還包括組件15,用于計(jì)算整數(shù)y=ar+bs��,作為以下幾者的函數(shù)從存儲(chǔ)器區(qū)域13接收的隨機(jī)數(shù)r���、從存儲(chǔ)器區(qū)域12接收的保密密鑰s以及由控制模塊16提供的兩個(gè)進(jìn)一步運(yùn)算數(shù)a����、b�����。
在區(qū)域13內(nèi)存儲(chǔ)幾個(gè)對(duì){r,gr}的各種方式是可行的�����。每個(gè)r值和每個(gè)gr值都可以被全部存儲(chǔ)在一表格中��,該表在相同對(duì)的r值和gr值之間相關(guān)匹配�����。在具有受限存儲(chǔ)器尺寸的微型電路中有利的是���,一個(gè)簡(jiǎn)單的索引與每個(gè)gr值相關(guān)聯(lián),以便節(jié)約存儲(chǔ)幾個(gè)r值所需的存儲(chǔ)器空間��,該空間一般很大����。各個(gè)r值是通過(guò)偽隨機(jī)發(fā)生器從初始值r0以及從相應(yīng)的索引而被預(yù)先計(jì)算的,以便預(yù)先計(jì)算并存儲(chǔ)該索引的gr值��。于是����,可編程存儲(chǔ)器11包括偽隨機(jī)發(fā)生器和最初的初始值r0��,以便通過(guò)激活偽隨機(jī)發(fā)生器而無(wú)須全部存儲(chǔ)每個(gè)r值而從相應(yīng)的索引接收每個(gè)r值�����,以便通過(guò)索引的優(yōu)點(diǎn)而使它與gr值相關(guān)聯(lián)��。
響應(yīng)于遠(yuǎn)程實(shí)體B所發(fā)布的驗(yàn)證請(qǐng)求���,控制模塊16命令存儲(chǔ)器區(qū)域13給出被定址到組件15的整數(shù)r、以及集合G的相關(guān)元素gr�,后者構(gòu)成被發(fā)送到實(shí)體B的值x。此外由控制模塊16向組件15給出從實(shí)體B接收到的進(jìn)一步運(yùn)算數(shù)a����、b,然后由控制模塊16把組件所返回的整數(shù)y傳遞給實(shí)體B���。獲悉公開(kāi)密鑰g�、v的實(shí)體B將能夠通過(guò)校驗(yàn)公式gy=xavb的幫助來(lái)驗(yàn)證A�����。
在圖2的變體中����,單元A用于驗(yàn)證消息M�����。被保護(hù)的區(qū)域10和控制模塊16基本上與圖1的示例相同��,固定a=1���。被保護(hù)的區(qū)域10增補(bǔ)一哈希模塊18,該模塊應(yīng)用了預(yù)定的加密哈希函數(shù)f��。該函數(shù)f的變?cè)莵?lái)自存儲(chǔ)器區(qū)域13的元素gr以及由控制模塊16提供的要被驗(yàn)證的消息M���。結(jié)果x被定址到控制模塊16���,控制模塊16將其傳遞至實(shí)體B���。
哈希模塊18也可以存在于按照?qǐng)D1的實(shí)施例中��,而沒(méi)有變?cè)狹(或者有該變?cè)娜笔≈?���,以便產(chǎn)生一密鑰值x����,該值具有獨(dú)立于集合G而規(guī)定的大小�。
因此可見(jiàn),相同的電路適用于兩種應(yīng)用��。
對(duì)于按照?qǐng)D3的單元是相同的�,該單元用于對(duì)消息M的簽名,即獨(dú)立于可能檢查該簽名的實(shí)體���。如果哈希模塊18給出的結(jié)果x采用整數(shù)形式��,則它可以被提供給組件15作為運(yùn)算數(shù)b�����。還可能預(yù)先對(duì)其應(yīng)用函數(shù)h�,如前所述�。
在按照?qǐng)D4的實(shí)施例中,存儲(chǔ)器區(qū)域13還把保密會(huì)話密鑰K與每個(gè)隨機(jī)數(shù)r相關(guān)聯(lián)�����,保密會(huì)話密鑰K被確定為實(shí)體B的公開(kāi)密鑰g�、v’(因此必須預(yù)先知道)的函數(shù)K=v’r���。這個(gè)會(huì)話密鑰K被定址到一保密密鑰加密單元20,該單元20按照對(duì)稱加密算法以常規(guī)方式工作���,以便可用于與實(shí)體B通信���。后者通過(guò)校驗(yàn)公式gy=xavb或者前述變體之一的幫助確保了保密密鑰K的完整性。
權(quán)利要求
1.不對(duì)稱加密系統(tǒng)中一種產(chǎn)生與整數(shù)保密密鑰s相關(guān)聯(lián)的加密單元的方法�,其特征在于,所述加密單元帶有一組件(15)�,該組件(15)獨(dú)立于加密系統(tǒng)被生成并且適用于通過(guò)幾個(gè)整數(shù)運(yùn)算數(shù)間的組合而給出整數(shù)y,幾個(gè)整數(shù)運(yùn)算數(shù)包括隨機(jī)數(shù)r���、保密密鑰s以及至少一個(gè)進(jìn)一步的運(yùn)算數(shù)(a���,b),其中在通過(guò)把一公開(kāi)密鑰與保密密鑰s相關(guān)聯(lián)而選擇了加密系統(tǒng)以后����,加密單元配備了加密數(shù)據(jù)序列的發(fā)生器(13)�����,其中所述公開(kāi)密鑰包括進(jìn)行乘法運(yùn)算的集合G的第一元素g,每個(gè)加密數(shù)據(jù)序列都包括作為所述組件的運(yùn)算數(shù)的隨機(jī)數(shù)r�、以及取決于集合G的元素gr的值x,由單元與整數(shù)y一起給出����。
2.如權(quán)利要求1所述的方法,其特征在于����,所述公開(kāi)密鑰包括集合G的第二元素v,使得v=gs或v=g-s��。
3.如權(quán)利要求1或2所述的方法���,其特征在于����,所述加密數(shù)據(jù)序列發(fā)生器包括一可編程存儲(chǔ)器(13)��,用于接收預(yù)先計(jì)算的對(duì){r����,x}或{r,gr}。
4.如任一前述權(quán)利要求所述的方法����,其特征在于,由所述組件(15)執(zhí)行的組合的形式為y=ar+bs����,其中a和b是兩個(gè)進(jìn)一步的運(yùn)算數(shù)。
5.如權(quán)利要求4所述的方法����,其特征在于,所述進(jìn)一步的運(yùn)算數(shù)a和b是從核實(shí)單元接收的�����,所述值x和整數(shù)y被發(fā)送到該校驗(yàn)單元�。
6.如權(quán)利要求4所述的方法,其特征在于����,所述進(jìn)一步運(yùn)算數(shù)之一(a)等于1。
7.如權(quán)利要求6所述的方法���,其特征在于�����,所述進(jìn)行乘法元素的集合G擁有一個(gè)組結(jié)構(gòu)����。
8.如權(quán)利要求7所述的方法�����,其特征在于���,所述組件(15)這樣安排����,使得從值x和整數(shù)y被發(fā)送至的校驗(yàn)單元接收另一個(gè)進(jìn)一步運(yùn)算數(shù)(b)����,且其中獲得值x作為元素gr的函數(shù)包括應(yīng)用哈希函數(shù)。
9.如權(quán)利要求7或8所述的方法���,用于生產(chǎn)實(shí)現(xiàn)消息驗(yàn)證協(xié)議的加密單元���,其中所述組件(15)這樣安排,使得從值x和整數(shù)y被發(fā)送至的校驗(yàn)單元接收另一個(gè)進(jìn)一步運(yùn)算數(shù)(b),且其中值x是元素gr以及消息(M)的內(nèi)容的函數(shù)��,消息(M)要被結(jié)合加密單元的裝置所驗(yàn)證�。
10.如任一權(quán)利要求7到9所述的方法,用于生產(chǎn)實(shí)現(xiàn)數(shù)字消息簽名協(xié)議的加密單元���,其中進(jìn)一步的運(yùn)算數(shù)b作為值x的函數(shù)被計(jì)算�,且值x是元素gr以及消息(M)的內(nèi)容的函數(shù)�����,消息(M)要被結(jié)合加密單元的裝置所驗(yàn)證��。
11.如任一前述權(quán)利要求所述的方法���,用于生產(chǎn)實(shí)現(xiàn)密鑰交換協(xié)議的加密單元��,其中所述加密單元帶有與另一加密單元進(jìn)行通信的裝置����,值x和整數(shù)y被發(fā)送至所述另一加密單元�����,所述另一加密單元與另一整數(shù)保密密鑰s’相關(guān)聯(lián),且加密系統(tǒng)的選擇包括把一公開(kāi)密鑰與保密密鑰s’相關(guān)聯(lián)�,所述公開(kāi)密鑰包括元素g和集合G的另一元素v’,使v’=gs’�,其中由所述發(fā)生器(13)產(chǎn)生的每個(gè)加密數(shù)據(jù)序列包括除了隨機(jī)數(shù)r和所述值x以外�,還包括依賴于集合G的元素v’r的共有密鑰K,該密鑰未被發(fā)送至所述另一加密單元�。
12.如權(quán)利要求11所述的方法,其特征在于����,所述加密數(shù)據(jù)序列的發(fā)生器包括一可編程存儲(chǔ)器(13),用于接收預(yù)先計(jì)算的三元組{r�����,x����,K}或{r,gr��,v’r}�����。
全文摘要
本發(fā)明涉及一組公開(kāi)密鑰加密方案,它們?yōu)榱私档脱邪l(fā)�����、生成并維護(hù)加密單元的成本而使用離散對(duì)數(shù)問(wèn)題�。實(shí)體(10)之一執(zhí)行一計(jì)算,該計(jì)算最多包括少量的整數(shù)加法��、加法和乘法����,所述計(jì)算是組中所有方案所共有的。上述計(jì)算最好是要被所述實(shí)體執(zhí)行的主要計(jì)算�����,而大多數(shù)其它計(jì)算可以預(yù)先被執(zhí)行�����。特別是��,所述計(jì)算屬于y=ar+bs類型�����,其中r是隨機(jī)數(shù),s是對(duì)于實(shí)體(10)特定的保密密鑰���。所述計(jì)算是用于實(shí)體驗(yàn)證��、消息驗(yàn)證�、數(shù)字簽名和密鑰交換的一組方案所共有的����。
文檔編號(hào)H04L9/10GK1543725SQ02816198
公開(kāi)日2004年11月3日 申請(qǐng)日期2002年8月16日 優(yōu)先權(quán)日2001年8月20日
發(fā)明者M·杰羅特, M 杰羅特 申請(qǐng)人:法國(guó)電信局