ES2317832T3 - Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes. - Google Patents

Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes. Download PDF

Info

Publication number
ES2317832T3
ES2317832T3 ES00917156T ES00917156T ES2317832T3 ES 2317832 T3 ES2317832 T3 ES 2317832T3 ES 00917156 T ES00917156 T ES 00917156T ES 00917156 T ES00917156 T ES 00917156T ES 2317832 T3 ES2317832 T3 ES 2317832T3
Authority
ES
Spain
Prior art keywords
entity
bits
authenticate
link
equal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES00917156T
Other languages
English (en)
Inventor
Marc Girault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Application granted granted Critical
Publication of ES2317832T3 publication Critical patent/ES2317832T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Communication Control (AREA)

Abstract

Procedimiento de autentificación que utiliza una primera entidad denominada a "autentificar" (A) y una segunda entidad denominada "autentificante" (B), este procedimiento comprendiendo las siguientes operaciones: - la entidad a autentificar (A) envía al menos un enlace c hacia la entidad autentificante (B), teniendo este enlace un cierto tamaño contado en número de bits, - la entidad autentificante (B) recibe este enlace c, escoge al azar un número e llamado "pregunta" y envía esta pregunta e hacia la entidad a autentificar (A), - la entidad a autentificar (A) recibe la pregunta e, efectúa los cálculos utilizando esta pregunta e, el resultado de esos cálculos constituyendo una respuesta y y envía esta respuesta y hacia la entidad autentificante (B), - la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el enlace recibido c, un nivel de seguridad igual a 1-2 -k es obtenido por esta autentificación donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado, este procedimiento estando caracterizado porque la entidad autentificante (B) mide el intervalo de tiempo (deltat) que transcurre entre el instante en que se dirige a la entidad a autentificar (A) y el instante en que recibe la respuesta de la entidad a autentificar (A), y verifica que el intervalo de tiempo medido (deltat) es inferior a un intervalo de tiempo determinado deltatmáx, y porque, la entidad a autentificar (A) tiene una capacidad de cálculo de aproximadamente 2 P en dicho intervalo de tiempo determinado (deltamáx), el enlace c utilizado por la entidad a autentificar (A) posee un tamaño igual al menos a (k+P) bits.

Description

Procedimiento de autentificación y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes.
Campo técnico
La presente invención tiene como objetivo un procedimiento de autentificación y de firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes.
La invención se refiere al campo de la identificación (o sea, la autentificación de la entidad) así como a aquel de la autentificación de mensaje y de firma numérica de mensaje, por medio de técnicas criptográficas.
La invención se refiere más precisamente a la criptografía denominada con clave pública. En este campo, la entidad a autentificar posee una clave secreta y una clave pública asociada. La entidad autentificante tiene únicamente necesidad de esta clave pública para realizar la autentificación.
La invención se refiere más precisamente aún al campo de los procedimientos de autentificación denominados con conocimiento nulo o sin aporte de conocimiento ("zero-knowledge" en inglés). Esto significa que la autentificación se desarrolla siguiendo un protocolo que, de forma probada, y bajo hipótesis reconocidas como perfectamente razonables por la comunidad científica, no revela nada sobre la clave secreta de la entidad a autentificar.
La invención encuentra una aplicación en todos los sistemas donde se quiere autentificar entidades o mensajes, o firmar mensajes, y más particularmente en los sistemas donde el número de bits transmitidos y/o almacenados constituye un parámetro crítico. Es específicamente el caso de las tarjetas de microcircuito estándares o de bajo costo, no provistas de un coprocesador aritmético (llamado con frecuencia criptoprocesador) para acelerar los cálculos criptográficos.
Una aplicación típica de la invención es el portamonedas electrónico, que requiere un nivel de seguridad muy alto, excluyendo el uso de un criptoprocesador, ya sea por razones de costo, ya sea por razones técnicas (por ejemplo el uso de una interfaz sin contacto), o por las dos.
Otra aplicación posible es la teletarjeta de futura generación, para la cual las restricciones de costo son todavía más severas que para el portamonedas electrónico.
Estado de la técnica anterior
Numerosos protocolos de identificación sin aporte de conocimiento son conocidos. Se pueden citar entre otros los cuatro protocolos siguientes:
1) el protocolo de FIAT-SHAMIR descrito en: A. FIAT y A. SHAMIR, "How to prove yourself: Practical solutions to identification and signature problems", publicado en Advances in Cryptology: Proceedings of CRYPTO'86, Lecture Notes in Computer Science, vol. 263, Springer-Verlag, Berlin, 1987, pp. 186-194;
2) el protocolo de GILLOU-QUISQUATER descrito en: L.C. GUILLOU y J.J. QUISQUATER, "A practical zero-knowledge protocol fitted to security microprocessors minimizing both transmission and memory", publicado en Advances in Cryptology: Proceedings of EUROCRYPT'88, Lecture Notes in Computer Science, vol. 330, Springer-Verlag, Berlin, 1988, pp. 123-128;
3) el protocolo de SCHNORR descrito en: C.P. SCHNORR, "Efficient identification and signatures for smart cards", publicado en Advances in Cryptology: Proceedings of EUROCRYPT'89, Lecture Notes in Computer Science, vol. 435, Springer-Verlag, Berlin, 1987, pp. 239-252;
4) el protocolo de GIRAULT descrito en la solicitud de patente francesa FR-A-2 716 058.
\vskip1.000000\baselineskip
De forma general, la mayoría de los protocolos de autentificación sin aporte de conocimiento se desarrollan en 4 etapas. Se supondrá, para simplificar, que la entidad autentificante, marcada como B, ya conoce todos los parámetros públicos característicos de la entidad a autentificar, marcada como A, a saber su identidad, su clave pública, etc.... Las cuatro etapas son entonces las siguientes:
Etapa 1
A provee a B de al menos un enlace c, constituido ya sea por un parámetro x escogido al azar por A, ya sea por una función seudo-aleatoria h del parámetro x y, si tiene lugar, del mensaje a autentificar o a firmar: c=h(x, [M]), (la notación [M] expresa que M es opcional).
\newpage
Etapa 2
B escoge al azar un parámetro e llamado "pregunta" y transmite e hacia A.
Etapa 3
A provee a B de una respuesta y, coherente con la pregunta e, el enlace c y la clave pública v de A.
Etapa 4
B calcula x a partir de los elementos y, e y v, o sea, x=\varphi (y, e, v) después verifica que: c=h (\varphi (v, e, y), [M]).
\vskip1.000000\baselineskip
En algunos protocolos, hay uno o dos intercambios suplementarios entre A y B. En el caso de una firma de mensaje, los dos primeros intercambios son suprimidos, y el parámetro e es escogido igual a c: A calcula sucesivamente, y sólo, c,e (es decir c) y y.
El número u de preguntas que pueden ser escogidas por B está directamente relacionado al nivel de seguridad del protocolo, el cual depende de la probabilidad de éxito de un impostor (o sea, una entidad C que intenta fraudulentamente hacerse pasar por A). Este nivel de seguridad, marcado como p, está caracterizado por un parámetro k, de acuerdo a la relación p=1-2^{-k}. En otros términos, el impostor tiene una oportunidad sobre 2^{k} de lograr su fraude. Se puede mostrar que, si el protocolo reposa sobre un problema matemático difícil, y si los enlaces son de longitud suficiente, entonces basta con que la longitud de u sea igual a k bits. En otros términos, la pregunta debe ser escogida en el conjunto {0, ..., 2^{k}-1} (límites incluidos).
En el estado de la técnica, k es igual a 32 bits, lo que da solamente una oportunidad sobre cuatro mil millones de lograr un fraude. En las aplicaciones donde la falla de una identificación puede tener consecuencias muy nefastas (proceso judicial por ejemplo), esta longitud puede ser reducida a algunos bits.
En su versión de base, ninguno de los protocolos mencionados puede ser utilizado en una aplicación con fuertes restricciones, como aquellas que han sido mencionadas más arriba, ya que los cálculos requeridos no pueden ser efectuados por una tarjeta con microcircuito no dotada de un criptoprocesador.
Una primera optimización, debida a FIAT y SHAMIR, se refiere al número de bits intercambiados entre las dos entidades. Esta consiste en utilizar una función de corte durante el cálculo del enlace. Esta optimización por sí sola, no permite disminuir el número de cálculos efectuados por la entidad autentificada, ya que el enlace continúa siendo calculado por ésta.
Para disminuir este número, se necesita llamar a un modo de utilización particular, que se llama modo de precálculos, que consiste en calcular con antelación los parámetros a los que se les llamarán preenlaces y que entran en el cálculo de los enlaces. Se puede también hacer calcular los enlaces por un servidor que dispone de una potencia de cálculo superior, y luego almacenarlos en la tarjeta de microcircuito de la entidad a autentificar. En el momento preciso de la transacción electrónica, la tarjeta de microcircuito tiene entonces que efectuar solamente cálculos rudimentarios. Este modo de utilización es divulgado en la solicitud FR-A-2 716 058 citada. Cada preenlace es utilizado para una y solo una transacción. Cuando todos los preenlaces han sido consumidos por la tarjeta, es necesario recalcularlos de nuevo y almacenarlos en la tarjeta (operación de recarga).
La memoria de datos de una tarjeta de microcircuito de bajo costo raramente sobrepasa 8 Koctets, por eso es difícilmente concebible consagrar más de 1 Koctet solamente al almacenaje de los preenlaces. Es necesario entonces reducir tanto como sea posible el tamaño de estos últimos, para realizar un máximo de transacciones entre dos recargas.
En todos esos procedimientos de autentificación, se puede definir una capacidad de cálculo que es el número máximo de cálculos que los medios utilizados pueden efectuar en un tiempo razonable. Como los cálculos son binarios, se puede expresar esta capacidad en forma de una potencia de 2, por ejemplo en forma de 2^{N} donde N es un número entero. Este número no es determinado con una precisión extrema, pero es definido con diferencia de solo algunas unidades. Por ejemplo, en nuestros días, el número entero N es del orden de aproximadamente 80, es decir, que con los medios de que se dispone, la capacidad es de 2^{80}, es decir, que se puede efectuar como máximo aproximadamente 2^{80} operaciones en un tiempo razonable.
En la versión de base del procedimiento descrito en la solicitud FR-A-2 716 058 citada, el tamaño de los preenlaces o los enlaces en sí es de aproximadamente 2N bits, donde el número N es tomado igual a 80 aproximadamente. El tamaño de un preenlace es entonces del orden de 160 bits (es de 128 bits en el documento citado, donde N se toma igual a 64). Se puede entonces almacenar 50 enlaces en una memoria de 1 Koctet, lo que es relativamente poco.
En otra solicitud FR-A-2 752 122, se describe un procedimiento de autentificación que permite reducir el número de bits a transmitir o almacenar. El tamaño de los preenlaces o los enlaces puede ser reducido a un poco más de N bits (o sea aproximadamente 88 con N=80), lo que permite almacenar más de 90 preenlaces en una memoria de 1 Koctet y de reducir hasta el 18% los bits transmitidos durante la ejecución del protocolo.
Desgraciadamente, esta ganancia es insuficiente para numerosas aplicaciones, en particular para el portamonedas electrónico. Muchas transacciones pueden referirse solo a tres pequeños montos (transportes en común, parquímetros, telecomunicaciones locales, etc....), y el usuario debe poder efectuar las transacciones hasta el agotamiento del saldo, sin estar limitado por alguna otra consideración. En este contexto, un mínimo de 150 a 200 transacciones sin recarga parece que debe ser exigido, lo que los procedimientos conocidos no permiten.
Es justamente el objetivo de la presente invención reducir aún más el tamaño de los preenlaces y, opcionalmente, de los enlaces en sí. De acuerdo a la invención, se puede disminuir a aproximadamente 48 bits, lo que permite almacenar 170 preenlaces en una memoria de 1 Koctet. En ciertas aplicaciones, este tamaño puede ser todavía más inferior y por ejemplo caer a 32 bits, lo que permite almacenar 256 preenlaces.
La invención hace posible así la ejecución rápida de un algoritmo de identificación o de autentificación de mensaje o de firma de mensaje, en una tarjeta de microcircuito estándar de bajo costo, para aplicaciones tales como el portamonedas electrónico o la teletarjeta de futura generación.
Exposición de la invención
La invención reposa sobre la observación siguiente: la capacidad de cálculo es fuertemente disminuida (típicamente 2^{16} en lugar de 2^{80}) si se restringe el defraudador a efectuar los cálculos en un lapso de tiempo pequeño y con medios de cálculo reducidos.
Partiendo de esta observación, la invención propone medir el tiempo \Deltat puesto por la entidad a autentificar para responder a la entidad autentificante y limitar ese tiempo a un valor máximo \Deltat_{máx}.
En el lapso de tiempo \Deltat_{máx} los medios utilizados tienen una capacidad de cálculo igual a 2^{P} (de acuerdo a las consideraciones desarrolladas más arriba). Este número 2^{P} es naturalmente inferior al número 2^{N} en razón de la restricción que pesa sobre el tiempo acordado para efectuar esos cálculos. La invención propone entonces tomar como tamaño de los preenlaces o de los enlaces el número k+P o un número superior pero aún inferior a k+N. Típicamente, el número P puede estar en el orden de 16, de manera que si k=32, el tamaño del preenlace o del enlace será de 32+16 sea 48 bits o un poco más (a comparar con los 128 u 88 bits en las dos solicitudes de patentes ya citadas).
Dos opciones se ofrecen entonces:
-
una primera opción en la cual se alarga la pregunta e (quien, en el artículo anterior, poseía un tamaño de k bits), lo que, típicamente, da un tamaño de aproximadamente 64 bits;
-
una segunda opción en la cual se añade al protocolo un intercambio preliminar en el curso del cual B envía un número aleatorio w hacia A, (típicamente 32 bits), donde dicho número w constituye un parámetro suplementario tomado en cuenta para el cálculo del enlace c: c=h (\alpha, w, [M]); el intervalo de tiempo \Deltat a medir es entonces el que pasa entre el envío del intercambio preliminar y la recepción de los parámetros e y y. La pregunta e puede guardar entonces el tamaño de k bits.
Para una firma de mensajes, esta segunda opción debe ser obligatoriamente retenida. El interés de esta segunda opción es que el tamaño de la pregunta e siga reducido. Ahora bien, en algunos protocolos (específicamente aquellos de FIAT-SHAMIR y de GUILLOU-QUISQUATER), el tiempo de cálculo de la respuesta y depende mucho del largo de e, mientras que el tiempo de cálculo del enlace c depende muy poco de la longitud de w. Para estos protocolos, la segunda opción permite entonces disminuir el tamaño de los enlaces sin aumentar notablemente el tiempo de ejecución del protocolo. Por otra parte, esta segunda opción es la única posible en el caso de la firma de mensaje, ya que no hay más preguntas propiamente hablando.
El nivel de seguridad del protocolo de acuerdo a la invención (o sea, la probabilidad mínima de detección de un impostor) es equivalente a aquel de los protocolos conocidos (1-2^{-k}), mientras que la longitud de los preenlaces o de los enlaces es dividida entre casi 4. Se puede demostrar esta equivalencia de los niveles de seguridad de la manera siguiente. Sea C un fraudulento que buscará hacerse pasar por A (o hacer creer que el mensaje M proviene de A). C no conoce evidentemente la clave secreta de A. Este puede utilizar esencialmente tres estrategias, que se pueden designar como "fraude por adivinanza", "fraude en tiempo real" (efectuado durante la transacción) y "fraude en tiempo diferido" (efectuado antes de la transacción), estrategias que pueden por cierto ser combinadas:
a) fraude por adivinanza:
- primera opción: C adivina el valor de la pregunta e escogiéndola al azar, escoge la respuesta y al azar y calcula c=h (\varphi (v, e, y), [M]). Después comienza la transacción con este valor de c. Sólo resultará si e ha sido bien adivinado, por lo tanto con una probabilidad de 2^{-64}.
- segunda opción: C adivina el valor de la pregunta e escogiéndola al azar, escoge la respuesta y al azar y calcula c=h (\varphi (v, e, y), w, [M]). Sólo puede hacerlo una vez conocido w, por lo tanto durante la transacción. Después continúa la transacción con este valor de c. Sólo resultará si e ha sido bien adivinado, por lo tanto con una probabilidad de 2^{-64}.
b) fraude en tiempo real:
Después de haber enviado un valor (al azar) de c, y recibido un valor de e, C busca con intentos exhaustivos un valor de y que satisfaga la ecuación de verificación c=h (\varphi (v, e, y), [M]). Ya que puede efectuar un máximo de 2^{P} intentos, y que el número de valores posibles de c es 2^{k+P}, su probabilidad de resultar es 1/2^{k}, como es deseado.
c) fraude en tiempo diferido:
- primera opción: C calcula un gran número de valores de c a partir de diversos valores de y y e. Ya que puede calcular un máximo de 2^{N}, tendrá por cada valor posible de c aproximadamente 2^{N-P-k} valores correspondientes de y y de e. C escoge uno cualquiera entre esos valores, almacena los valores de y y e correspondientes e inicia el protocolo. Ya que hay 2^{N-P} valores posibles de e, la probabilidad de que C haya almacenado el valor que le fue enviado por B es otra vez inferior a 1/2^{k}, como es deseado.
- segunda opción: el cálculo es esencialmente el mismo que para la primera opción, ya que el tamaño total de dos números aleatorios w y e es igual al tamaño de e en la segunda opción.
\vskip1.000000\baselineskip
De forma precisa, la presente invención tiene entonces como objetivo un procedimiento de autentificación que utiliza una primera entidad denominada a "autentificar" (A) y una segunda entidad denominada "autentificante" (B), este procedimiento comprendiendo las operaciones siguientes:
-
la entidad a autentificar (A) envía al menos un enlace c a la entidad autentificante (B), teniendo este enlace un cierto tamaño contado en número de bits,
-
la entidad autentificante (B) recibe este enlace c, escoge al azar un número e llamado "pregunta" y envía esta pregunta e hacia la entidad a autentificar (A),
-
la entidad a autentificar (A) recibe la pregunta e, efectúa los cálculos utilizando esta pregunta e, el resultado de esos cálculos constituyendo una respuesta y y envía esta respuesta y hacia la entidad autentificante (B),
-
la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el enlace recibido c,
un nivel de seguridad igual a 1-2^{-k} siendo obtenido por esta autentificación donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado,
este procedimiento estando caracterizado porque la entidad autentificante (B) mide el intervalo de tiempo (\Deltat) que transcurre entre el instante en que se dirige hacia la entidad a autentificar (A) y el instante en que recibe la respuesta de la entidad a autentificar (A), y verifica que el intervalo de tiempo medido (\Deltat) es inferior a un intervalo de tiempo determinado \Deltat_{máx}, y porque, la entidad a autentificar (A) teniendo un capacidad de cálculo de aproximadamente 2^{P} en dicho intervalo de tiempo determinado (\Deltat_{máx}), el enlace c utilizado por la entidad a autentificar (A) posee un tamaño igual al menos a (k+P) bits.
En esta definición, hay que comprender que el tamaño puede ser igual a (k+P) bits, o ser superior en algunas unidades a ese número.
En un modo de puesta en práctica particular, la entidad a autentificar (A) calcula el enlace a partir de un preenlace calculado con anterioridad, el cual posee un tamaño igual al menos a (k+P) bits. Pero la entidad a autentificar puede igualmente calcular el enlace por sorteo al azar de un número y cálculos a partir de ese número.
En otra variante de puesta en práctica, la entidad autentificante (B), en una operación preliminar, escoge al azar un número w y envía ese número w hacia la entidad a autentificar (A) la cual utiliza ese número w para constituir el enlace, la pregunta e hecha por la entidad autentificante (B) poseyendo un número de bits igual a k, el intervalo de tiempo medido siendo el intervalo comprendido entre el instante en que la entidad autentificante (B) envía el número w hacia la entidad a autentificar (A) y el instante en que la entidad autentificante (B) recibe la respuesta y de la entidad a autentificar (A).
La presente invención tiene igualmente como propósito un procedimiento de firma de mensaje en el cual utiliza una primera entidad denominada "firmante" (A) y una segunda entidad denominada "autentificante" (B), este procedimiento comprendiendo las siguientes operaciones:
-
la entidad firmante (A) calcula un número e función del mensaje a firmar y calcula un número y llamado respuesta, y envía esta respuesta hacia la entidad autentificante (B),
-
la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el número e,
un nivel de seguridad igual a 1-2^{-k} siendo obtenido por esta autentificación donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado,
este procedimiento estando caracterizado porque:
-
la entidad firmante (A) calcula un número e cuyo tamaño es igual a al menos (k+P) bits donde 2^{P} representa la capacidad de cálculo de la entidad a autentificar (A) en un intervalo de tiempo fijado (\Deltat_{máx}),
-
en una operación preliminar, la entidad autentificante (B) escoge al azar un número w y envía ese número w hacia la entidad firmante (A) la cual utiliza ese número w para constituir el número e,
-
la entidad a autentificar (B) mide el intervalo de tiempo \Deltat que transcurre entre el instante en que envía el número w hacia la entidad firmante (A) y el instante en que recibe la respuesta y de la entidad firmante (A), y verifica que el intervalo medido \Deltat sea inferior al intervalo de tiempo fijado \Deltat_{máx}.
Aquí todavía, la entidad firmante puede calcular el número e a partir de un preenlace calculado con anterioridad, el cual posee un tamaño igual al menos a (k+P) bits, con algunas unidades de diferencia.
La presente invención tiene igualmente como objetivo un sistema que comprende una primera entidad denominada a "autentificar" (A) y una segunda entidad denominada "autentificante" (B), en la cual:
-
la entidad a autentificar (A) comprende medios para enviar al menos un enlace c hacia la entidad autentificante (B), teniendo este enlace un cierto tamaño contado en número de bits,
-
la entidad autentificante (B) comprende medios para recibir este enlace c, para escoger al azar un número e llamado "pregunta" y para enviar esta pregunta e hacia la entidad a autentificar (A),
-
la entidad a autentificar (A) comprende medios para recibir la pregunta e, para efectuar los cálculos utilizando esta pregunta e, constituyendo el resultado de esos cálculos una respuesta y y para enviar esta respuesta y hacia la entidad autentificante (B),
-
la entidad autentificante (B) comprende medios para recibir la respuesta y, para efectuar un cálculo utilizando esta respuesta y y para verificar si ese cálculo devuelve el enlace recibido c,
un nivel de seguridad igual a 1-2^{-k} siendo obtenido por esta autentificación donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado,
ese sistema estando caracterizado porque la entidad autentificante (B) comprende medios para medir el intervalo de tiempo (\Deltat) que transcurre entre el instante en que se dirige hacia la entidad a autentificar (A) y el instante en que recibe la respuesta de la entidad a autentificar (A), y medios para verificar que el intervalo de tiempo medido (\Deltat) es inferior a un intervalo de tiempo determinado \Deltat_{máx}, y porque, la entidad a autentificar (A) teniendo una capacidad de cálculo de aproximadamente 2^{P} en dicho intervalo de tiempo determinado (\Deltat_{máx}), el enlace c utilizado por la entidad a autentificar (A) posee un tamaño igual al menos a (k+P) bits.
De acuerdo a un modo de realización, la entidad a autentificar (A) comprende medios para calcular el enlace a partir de un preenlace calculado con anterioridad, el cual posee un tamaño igual al menos a (k+P) bits.
El número P puede ser tomado igual a 16 y el número k a 32, el preenlace o el enlace teniendo así un tamaño igual al menos a 48 bits.
La pregunta e hecha por la entidad autentificante (B) puede poseer un número de bits superior a k.
La entidad autentificante (B) puede comprender medios para, en una operación preliminar, escoger al azar un número w y para enviar ese número w hacia la entidad a autentificar (A) la cual utiliza ese número w para constituir el enlace c, la pregunta e hecha por la entidad autentificante (B) poseyendo un número de bits igual a k, los medios para medir el intervalo de tiempo (\Deltat) estando aptos para medir este intervalo entre el instante en que la entidad autentificante (B) envía el número w hacia la entidad a autentificar y el instante en que la entidad autentificante (B) recibe la respuesta y de la entidad a autentificar (A).
La invención tiene igualmente como objetivo un sistema que comprende una primera entidad denominada "firmante" (A) y una segunda entidad denominada "autentificante" (B), en la cual:
-
la entidad firmante (A) comprende medios para calcular un número e función del mensaje a firmar y para calcular un número y llamado respuesta, función del número e y para enviar esta respuesta hacia la entidad autentificante (B),
-
la entidad autentificante (B) comprende medios para recibir la respuesta y, para efectuar un cálculo utilizando esta repuesta y para verificar que ese cálculo devuelva el número e,
un nivel de seguridad igual a 1-2^{-k} siendo obtenido para esta firma donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado,
ese sistema estando caracterizado porque:
-
la entidad firmante (A) comprende medios para calcular un número e, cuyo tamaño es igual al menos a (k+P) bits donde 2^{P} representa la capacidad de cálculo de la entidad a autentificar (A) en un intervalo de tiempo fijado (\Deltat_{máx}),
-
la entidad autentificante (B) comprende medios para, en una operación preliminar, escoger al azar un número w y para enviar ese número w hacia la entidad firmante (A) la cual utiliza ese número w en sus medios para constituir el número e,
-
la entidad autentificante (B) comprende medios para medir el intervalo de tiempo \Deltat que transcurre entre el instante en que envía el número w hacia la entidad firmante (A) y el instante en que recibe la respuesta y de la entidad firmante (A), y medios para verificar que el intervalo medido \Deltat es inferior al intervalo de tiempo fijado \Deltat_{máx}.
La entidad firmante (A) puede comprender medios para calcular el número e a partir de un preenlace calculado con anterioridad, el cual posee un tamaño igual al menos a (k+P) bits.
El número P puede ser tomado igual a 16 y el número k igual a 32, el preenlace o el número e teniendo así un tamaño igual al menos a 48 bits.
Descripción detallada de modos particulares de realización
En la descripción que sigue, se supondrá que la invención se aplica en el marco de la técnica divulgada en la solicitud de patente FR-A-2 716 058 ya citada, técnica en la cual las multiplicaciones modulares son suprimidas, específicamente en la operación de la etapa 3. Este tipo de operaciones no tiene entonces necesidad de ser previsto en la tarjeta de microcircuito cuando el modo de precálculos es utilizado. Naturalmente, este ejemplo no limita el alcance de la invención que puede ser utilizada con los protocolos de multiplicaciones modulares.
Los protocolos de acuerdo a la solicitud citada están basados en la dificultad de calcular los algoritmos discretos. Los parámetros universales (es decir, compartidos por todos los usuarios) son:
-
un gran número compuesto n,
-
un número entero \alpha (la "base"),
-
cuatro parámetros t, k, u, z, donde k es el parámetro de seguridad.
La longitud recomendada para n es (al menos) de 512 bits, y de preferencia 768 bits o más. Un valor típico del parámetro de seguridad k es 32. El parámetro u designa el número de preguntas posibles (se tiene entonces u=2^{k}). Un valor típico de la longitud de t es 160 bits. Un valor típico de la longitud de z es 64 bits.
La clave secreta de un usuario es un número entero s inferior a t. Su clave pública es: v=\alpha^{s} (mod n).
El protocolo de autentificación de base, divulgado en esta solicitud anterior, es el siguiente:
1. A escoge al azar un número entero r en {0...tuz-1}, calcula x=\alpha^{r} (mod n) y envía c hacia B.
2. B escoge al azar un elemento e en {0...2^{k}-1} y envía e hacia A.
3. A calcula y=r+se y envía y hacia B.
4. B verifica que x=\alpha^{y}v^{e} (mod n).
Se remarca que un impostor (quien por hipótesis ignora s) puede equivocar un verificador con una probabilidad igual a 2^{-k}, escogiendo un entero y, un elemento e y calculando x como en la etapa 4. Como se puede probar que, si el problema del logaritmo discreto es difícil, no puede sustancialmente mejorar esta probabilidad, el nivel de seguridad es entonces igual a 1-2^{-k}.
A fin de disminuir el número de bits transmitidos, se puede, como lo sugiere FIAT y SHAMIR, tomar como enlace c=h(x) donde h es una función seudo-aleatoria. La ecuación de verificación de la etapa 4 se convierte en:
c=h (\alpha^{y} v^{e} (mod n))
Si se quiere, además, autentificar un mensaje M, entonces se introduce M en el cálculo del enlace: c=h (x, M).
A fin de conservar un nivel de seguridad igual a 1-2^{-k}, es necesario, por otra parte con todas las cosas iguales, que la longitud de c sea al menos 160 bits.
Siendo efectuado este recordatorio, se puede describir el protocolo correspondiente de acuerdo a la presente invención en una variante utilizando la primera opción. Se tomará N=80 y P=16 y suponiendo que las longitudes del preenlace y del enlace están todas reducidas al mínimo, es decir a 48 bits, esta reducción estando compensada por un aumento de la longitud de e, que pasa a 64 bits. Además, en la etapa 4, un control de tiempo puesto por A es efectuado por B. De manera que, el nivel de seguridad del protocolo modificado sigue igual a 1-2^{-k}. Las etapas del procedimiento de acuerdo a la invención se convierten entonces:
1. A escoge al azar un número entero r en {0...tuz-1}, calcula x=\alpha^{r} (mod n), y luego eventualmente c'=f(x) que pertenece a {0...2^{48}-1}, y luego c=h (x, w, [M]), ó c=h (x', w, [M]) que pertenece a {0...2^{48}-1} y envía c hacia B.
2. B escoge al azar un elemento e en {0...2^{64}-1} y envía e hacia A.
3. A calcula y=r+se y envía y hacia B.
4. B verifica que c=h(\alpha^{y}v^{e} (mod n), [M]) ó c=h (f (\alpha^{y}v^{e} (mod n), [M]) y que el intervalo de tiempo entre la emisión de la etapa 2 y la recepción de la etapa 3 es inferior a uno o dos segundos.
\vskip1.000000\baselineskip
La invención está particularmente bien adaptada a un protocolo de base de este tipo, ya que no acarrea ningún cambio de los parámetros universales principales, a saber n y \alpha, ni incluso de los parámetros individuales (claves secreta y pública del usuario). En cambio, implica un alargamiento de e, ya que u es mantenido igual a 2^{64} (pero esto no será así si se adoptara la segunda opción).
Por otra parte y sobre todo, la invención es particularmente útil en el modo de precálculos, ya que los preenlaces tienen un tamaño reducido a 48 bits. Desde luego, hace falta previamente almacenar no solamente los preenlaces sino también los valores de r correspondientes. Sin embargo, es posible evitar esto generando esos nombres con la ayuda de un generador seudo-aleatorio contenido en el dispositivo de seguridad de A, como es descrito en la solicitud FR-A-2 716 058 ya citada.
Si se opta por la segunda opción, el procedimiento comprende una etapa suplementaria y previamente marcada 0 y se vuelve:
0. B escoge al azar un número aleatorio w en {0...2^{32}-1} y lo envía hacia A.
1. A escoge al azar un número entero r en {0...tuz-1}, calcula x=\alpha^{r} (mod n) y luego eventualmente x'=f(x) que pertenece a {0...2^{48}-1}, y luego c=h (x, w, [M]), ó c=h (x', w, [M]) que pertenece a {0...2^{48}-1} y envía c hacia B.
2. B escoge al azar un elemento e en {0...2^{32}-1} y envía e hacia A.
3. A calcula y=r+se y envía y hacia B.
4. B verifica que c=h (\alpha^{y}v^{e} (mod n), w, [M]) ó c=h (f (\alpha^{y}v^{e} (mod n), w, [M])) y que el intervalo de tiempo entre la emisión de la etapa 0 y la recepción de la etapa 3 es inferior a uno o varios segundos.
\vskip1.000000\baselineskip
En fin, el protocolo de firma será:
0. B escoge al azar un número aleatorio w en {0...2^{64}-1} y lo envía hacia A.
1. A escoge al azar un número entero r en {0...tuz-1} y calcula x=\alpha^{r} (mod n) y luego eventualmente x'=f(x), que pertenece a {0...2^{48}-1}.
2. A calcula e=h(x, w, [M]) que pertenece a {0...2^{48}-1}.
3. A calcula y=r+se y envía (e, y) hacia B.
4. B verifica que e=h (\alpha^{y}v^{e} (mod n), w, [M]) y que el intervalo de tiempo entre la emisión de la etapa 0 y la recepción de la etapa 3 es inferior a uno o varios segundos.

Claims (22)

1. Procedimiento de autentificación que utiliza una primera entidad denominada a "autentificar" (A) y una segunda entidad denominada "autentificante" (B), este procedimiento comprendiendo las siguientes operaciones:
-
la entidad a autentificar (A) envía al menos un enlace c hacia la entidad autentificante (B), teniendo este enlace un cierto tamaño contado en número de bits,
-
la entidad autentificante (B) recibe este enlace c, escoge al azar un número e llamado "pregunta" y envía esta pregunta e hacia la entidad a autentificar (A),
-
la entidad a autentificar (A) recibe la pregunta e, efectúa los cálculos utilizando esta pregunta e, el resultado de esos cálculos constituyendo una respuesta y y envía esta respuesta y hacia la entidad autentificante (B),
-
la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el enlace recibido c,
un nivel de seguridad igual a 1-2^{-k} es obtenido por esta autentificación donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado,
este procedimiento estando caracterizado porque la entidad autentificante (B) mide el intervalo de tiempo (\Deltat) que transcurre entre el instante en que se dirige a la entidad a autentificar (A) y el instante en que recibe la respuesta de la entidad a autentificar (A), y verifica que el intervalo de tiempo medido (\Deltat) es inferior a un intervalo de tiempo determinado \Deltat_{máx}, y porque, la entidad a autentificar (A) tiene una capacidad de cálculo de aproximadamente 2^{P} en dicho intervalo de tiempo determinado (\Deltat_{máx}), el enlace c utilizado por la entidad a autentificar (A) posee un tamaño igual al menos a (k+P) bits.
2. Procedimiento de acuerdo a la reivindicación 1, en el cual la entidad a autentificar (A) calcula el enlace a partir de un preenlace calculado con anterioridad, el cual posee un tamaño igual al menos a (k+P) bits.
3. Procedimiento de autentificación de acuerdo a cualquiera de las reivindicaciones 1 y 2, en la cual el número P es tomado igual a 16 y el número k a 32, el preenlace o enlace teniendo así un tamaño igual al menos a 48 bits.
4. Procedimiento de autentificación de acuerdo a la reivindicación 1, en el cual la pregunta e hecha por la entidad autentificante (B) posee un número de bits superior a k.
5. Procedimiento de acuerdo a la reivindicación 4, en el cual siendo el número k igual a 32 la pregunta e hecha por la entidad autentificante (B) posee un número de bits igual a aproximadamente 64.
6. Procedimiento de autentificación de acuerdo a la reivindicación 1, en el cual la entidad autentificante (B), en una operación preliminar, escoge al azar un número w y envía ese número w hacia la entidad a autentificar (A) la cual utiliza ese número w para constituir el enlace c, la pregunta e hecha por la entidad autentificante (B) poseyendo un número de bits igual a k, el intervalo de tiempo (\Deltat) siendo medido entre el instante en que la entidad autentificante (B) envía el número w hacia la entidad a autentificar y el instante en que la entidad autentificante (B) recibe la respuesta y de la entidad a autentificar (A).
7. Procedimiento de autentificación de acuerdo a la reivindicación 6, en el cual el número w provisto de antemano por la entidad autentificante (B) a la entidad a autentificar (A) posee aproximadamente 32 bits, el enlace teniendo un tamaño igual al menos a 48 bits, la pregunta e hecha por la entidad autentificante (B) teniendo un número de bits igual a 32 aproximadamente.
8. Procedimiento de autentificación de acuerdo a cualquiera de las reivindicación 1 a 7, en el cual la entidad a autentificar (A) introduce un mensaje (M) en el enlace que constituye, la autentificación llevando entonces también el mensaje (M).
9. Procedimiento de firma de mensaje en el cual se utiliza una primera entidad denominada "firmante" (A) y una segunda entidad denominada autentificante (B), este procedimiento comprendiendo las operaciones siguientes:
-
la entidad firmante (A) calcula un número e función del mensaje a firmar y calcula un número y llamado respuesta, función del número e y envía esta respuesta hacia la entidad autentificante (B),
-
la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el número e,
un nivel de seguridad igual a 1-2^{-k} siendo obtenido para esta firma donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado,
este procedimiento estando caracterizado porque:
-
la entidad firmante (A) calcula un número e cuyo tamaño es igual al menos a (k+P) bits donde 2^{P} representa la capacidad de cálculo de la entidad a autentificar (A) en un intervalo de tiempo fijado (\Deltat_{máx}),
-
en una operación preliminar, la entidad autentificante (B) escoge al azar un número w y envía ese número w hacia la entidad firmante (A) la cual utiliza ese número w para constituir el número e,
-
la entidad autentificante (B) mide el intervalo de tiempo \Deltat que transcurre entre el instante en que envía el número w hacia la entidad firmante (A) y el instante en que recibe la respuesta y de la entidad firmante (A), y verifica que el intervalo medido \Deltat es inferior al intervalo de tiempo fijado \Deltat_{máx}.
10. Procedimiento de acuerdo a la reivindicación 9, en el cual la entidad firmante (A) calcula el número e a partir de un preenlace calculado con anterioridad, el cual posee un tamaño igual al menos a (k+P) bits.
11. Procedimiento de firma de mensaje de acuerdo a las reivindicaciones 9 ó 10, en el cual el número P es tomado igual a 16 y el número k a 32, el preenlace o el número e teniendo así un tamaño igual al menos a 48 bits.
12. Sistema que comprende una primera entidad denominada a "autentificar" (A) y una segunda entidad denominada "autentificante" (B), en el cual:
-
la entidad a autentificar (A) comprende medios para enviar al menos un enlace c a la entidad autentificante (B), este enlace teniendo un cierto tamaño contado en número de bits,
-
la entidad autentificante (B) comprende medios para recibir este enlace c, para escoger al azar un número e llamado "pregunta" y para enviar esta pregunta e hacia la entidad a autentificar (A),
-
la entidad a autentificar (A) comprende medios para recibir la pregunta e, para efectuar cálculos utilizando esta pregunta e, el resultado de esos cálculos constituyendo una respuesta y y para enviar esta respuesta y hacia la entidad autentificante (B),
-
la entidad autentificante (B) comprende medios para recibir la respuesta y, para efectuar un cálculo utilizando esta respuesta y y para verificar si ese cálculo devuelve el enlace recibido c,
un nivel de seguridad igual a 1-2^{-k} es obtenido para esta autentificación donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado,
ese sistema estando caracterizado porque la entidad autentificante (B) comprende medios para medir el intervalo de tiempo (\Deltat) que transcurre entre el instante en que se dirige hacia la entidad a autentificar (A) y el instante en que recibe la respuesta de la entidad a autentificar (A), y medios para verificar que el intervalo de tiempo medido (\Deltat) es inferior a un intervalo de tiempo determinado \Deltat_{máx}, y porque, la entidad a autentificar (A) tiene una capacidad de cálculo de aproximadamente 2^{P} en dicho intervalo de tiempo determinado (\Deltat_{máx}), el enlace c utilizado por la entidad a autentificar (A) posee un tamaño igual al menos a (k+P) bits.
13. Sistema de acuerdo a la reivindicación 12, en el cual la entidad a autentificar (A) comprende medios para calcular el enlace a partir de un preenlace calculado con anterioridad, el cual posee un tamaño igual al menos a (k+P) bits.
14. Sistema de acuerdo a cualquiera de las reivindicaciones 12 y 13, en el cual el número P es tomado igual a 16 y el número k igual a 32, el preenlace o el enlace teniendo así un tamaño igual al menos a 48 bits.
15. Sistema de acuerdo a la reivindicación 12, en el cual la pregunta e hecha por la entidad autentificante (B) posee un número de bits superior a k.
16. Sistema de acuerdo a la reivindicación 15, en la cual el número k es igual a 32 la pregunta hecha e por la entidad autentificante (B) posee un número de bits igual a 64 aproximadamente.
17. Sistema de acuerdo a la reivindicación 12, en el cual la entidad autentificante (B) comprende medios para, en una operación preliminar, escoger al azar un número w y enviar ese número w hacia la entidad a autentificar (A) la cual utiliza ese número w para constituir el enlace c, la pregunta e hecha por la entidad autentificante (B) poseyendo un número de bits igual a k, los medios para medir el intervalo de tiempo (\Deltat) estando aptos para medir este intervalo entre el instante en que la entidad autentificante (B) envía el número w hacia la entidad a autentificar y el instante en que la entidad autentificante (B) recibe la respuesta y de la entidad a autentificar (A).
18. Sistema de acuerdo a la reivindicación 17, en el cual el número w provisto de antemano por la entidad autentificante (B) a la entidad a autentificar (A) posee aproximadamente 32 bits, el enlace teniendo un tamaño igual al menos a 48 bits, la pregunta e hecha por la entidad autentificante (B) teniendo un número de bits igual a 32 aproximadamente.
19. Sistema de acuerdo a la reivindicación 12, en el cual la entidad a autentificar (A) comprende medios aptos para introducir un mensaje (M) en el enlace que constituye, la autentificación llevando entonces también el mensaje (M).
20. Sistema que comprende una primera entidad denominada "firmante" (A) y una segunda entidad denominada autentificante (B), en el cual:
-
la entidad firmante (A) comprende medios para calcular un número e función del mensaje a firmar y para calcular un número y llamado respuesta, función del número e y para enviar esta respuesta hacia la entidad autentificante (B),
-
la entidad autentificante (B) comprende medios para recibir la respuesta y, para efectuar un cálculo utilizando esta respuesta y y para verificar que ese cálculo devuelva el número e,
un nivel de seguridad igual a 1-2^{-k} siendo obtenido para esta firma donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado,
este sistema estando caracterizado porque:
-
la entidad firmante (A) comprende medios para calcular un número e cuyo tamaño es igual al menos a (k+P) bits donde 2^{P} representa la capacidad de cálculo de la entidad a autentificar (A) en un intervalo de tiempo fijado (\Deltat_{máx}),
-
la entidad autentificante (B) comprende medios para, en una operación preliminar, escoger al azar un número w y para enviar ese número w hacia la entidad firmante (A) la cual utiliza ese número w en sus medios para constituir el número e,
-
la entidad autentificante (B) comprende medios para medir el intervalo de tiempo \Deltat que transcurre entre el instante en que envía el número w hacia la entidad firmante (A) y el instante en que recibe la respuesta y de la entidad firmante (A), y medios para verificar que el intervalo medido \Deltat es inferior al intervalo de tiempo fijado \Deltat_{máx}.
21. Sistema de acuerdo a la reivindicación 20, en el cual la entidad firmante (A) comprende medios para calcular el número e a partir de un preenlace calculado con anterioridad, el cual posee un tamaño igual al menos a (k+P) bits.
22. Sistema de acuerdo a las reivindicaciones 20 ó 21, en el cual el número P es tomado igual a 16 y el número k a 32, el preenlace o el número e teniendo así un tamaño igual al menos a 48 bits
ES00917156T 1999-04-08 2000-04-07 Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes. Expired - Lifetime ES2317832T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9904398 1999-04-08
FR9904398A FR2792142B1 (fr) 1999-04-08 1999-04-08 Procede d'authentification et de signature de message utilisant des engagements de taille reduite

Publications (1)

Publication Number Publication Date
ES2317832T3 true ES2317832T3 (es) 2009-05-01

Family

ID=9544172

Family Applications (1)

Application Number Title Priority Date Filing Date
ES00917156T Expired - Lifetime ES2317832T3 (es) 1999-04-08 2000-04-07 Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes.

Country Status (8)

Country Link
US (1) US7228418B1 (es)
EP (1) EP1166496B1 (es)
JP (1) JP4737834B2 (es)
AT (1) ATE415755T1 (es)
DE (1) DE60040908D1 (es)
ES (1) ES2317832T3 (es)
FR (1) FR2792142B1 (es)
WO (1) WO2000062477A1 (es)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1717697B (zh) * 2001-06-12 2012-01-25 捷讯研究有限公司 压缩安全电子邮件用于与移动通信设备交换的系统和方法
KR20040015272A (ko) 2001-06-12 2004-02-18 리서치 인 모션 리미티드 인증서 관리 및 전송 시스템 및 방법
US7254712B2 (en) 2001-06-12 2007-08-07 Research In Motion Limited System and method for compressing secure e-mail for exchange with a mobile data communication device
WO2003007570A1 (en) 2001-07-10 2003-01-23 Research In Motion Limited System and method for secure message key caching in a mobile communication device
ES2315379T3 (es) 2001-08-06 2009-04-01 Research In Motion Limited Sistema y metodo para el tratamiento de mensajes codificados.
FR2842052B1 (fr) 2002-07-05 2004-09-24 France Telecom Procede et dispositifs cryptographiques permettant d'alleger les calculs au cours de transactions
US9094429B2 (en) * 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages
US7631183B2 (en) 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US7549043B2 (en) 2004-09-01 2009-06-16 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US7640428B2 (en) 2004-09-02 2009-12-29 Research In Motion Limited System and method for searching and retrieving certificates
CA2585987C (en) 2005-10-14 2012-12-04 Research In Motion Limited System and method for protecting master encryption keys
US7953971B2 (en) * 2005-10-27 2011-05-31 Research In Motion Limited Synchronizing certificates between a device and server
US8191105B2 (en) * 2005-11-18 2012-05-29 Research In Motion Limited System and method for handling electronic messages
US7840207B2 (en) * 2005-11-30 2010-11-23 Research In Motion Limited Display of secure messages on a mobile communication device
US8355701B2 (en) 2005-11-30 2013-01-15 Research In Motion Limited Display of secure messages on a mobile communication device
US20070123217A1 (en) * 2005-11-30 2007-05-31 Research In Motion Limited Display of secure messages on a mobile communication device
US7814161B2 (en) 2006-06-23 2010-10-12 Research In Motion Limited System and method for handling electronic mail mismatches
US7949355B2 (en) 2007-09-04 2011-05-24 Research In Motion Limited System and method for processing attachments to messages sent to a mobile device
US8254582B2 (en) 2007-09-24 2012-08-28 Research In Motion Limited System and method for controlling message attachment handling functions on a mobile device

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0457446A (ja) * 1990-06-26 1992-02-25 Fujitsu Ltd ルート構築保護方法
JP2513169B2 (ja) * 1990-12-10 1996-07-03 日本電信電話株式会社 利用者認証方法
JP3131907B2 (ja) * 1991-02-12 2001-02-05 日本電信電話株式会社 ディジタル署名方法
FR2716058B1 (fr) * 1994-02-04 1996-04-12 France Telecom Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret.
EP0697687A4 (en) * 1994-03-07 2000-09-20 Nippon Telegraph & Telephone ZERO KNOWLEDGE AUTHENTICATION PROTOCOL-BASED METHOD AND SYSTEM FOR MESSAGE TRANSMISSION
JPH09303014A (ja) * 1996-05-20 1997-11-25 Sony Corp 識別信号照合装置及び識別信号照合方法
JP3282161B2 (ja) * 1996-08-30 2002-05-13 日本電信電話株式会社 複数暗号文内容証明方法
US6134591A (en) * 1997-06-18 2000-10-17 Client/Server Technologies, Inc. Network security and integration method and system
JP3562262B2 (ja) * 1997-10-17 2004-09-08 富士ゼロックス株式会社 認証方法および装置

Also Published As

Publication number Publication date
EP1166496A1 (fr) 2002-01-02
DE60040908D1 (de) 2009-01-08
JP2002542664A (ja) 2002-12-10
FR2792142B1 (fr) 2001-06-01
FR2792142A1 (fr) 2000-10-13
ATE415755T1 (de) 2008-12-15
EP1166496B1 (fr) 2008-11-26
WO2000062477A1 (fr) 2000-10-19
US7228418B1 (en) 2007-06-05
JP4737834B2 (ja) 2011-08-03

Similar Documents

Publication Publication Date Title
ES2317832T3 (es) Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes.
Nick et al. MuSig-DN: Schnorr multi-signatures with verifiably deterministic nonces
Gennaro et al. Algorithmic tamper-proof (ATP) security: Theoretical foundations for security against hardware tampering
Di Raimondo et al. New approaches for deniable authentication
Guillou et al. A practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory
US6813354B1 (en) Mixing in small batches
Shoup Why chosen ciphertext security matters
EP1261903B1 (en) Method of authenticating users of software
CN115660675A (zh) 由计算机设备执行的方法及相应系统和存储介质
EP2686978B1 (en) Keyed pv signatures
ES2400895B1 (es) Método para realizar una firma digital de grupo
ES2233847T3 (es) Procedimiento para la autentificacion criptografica.
JPH11231781A (ja) 認証方法および装置
KR960042410A (ko) 인증교환 방법과 복원형 전자서명 방법 및 부가형 전자서명 방법
van Heijst et al. New constructions of fail-stop signatures and lower bounds
Ryabko et al. Basics of contemporary cryptography for IT practitioners
JP4945026B2 (ja) 減少した計算組を伴う認証または署名プロセス
CN101295384A (zh) 电子支付方法
Guo et al. Pride ct: Towards public consensus, private transactions, and forward secrecy in decentralized payments
ES2203612T3 (es) Metodo para ejecucion de protocolos criptograficos de teoria de numeros y/o de correccion de error.
Liu et al. Multi-application smart card with elliptic curve cryptosystem certificate
Safavi-Naini et al. A general construction for fail-stop signature using authentication codes
Sarkar A sketch of modern cryptology
JPH04213243A (ja) 利用者認証方法
Saxena et al. Zero-Knowledge blind identification for smart cards using bilinear pairings