ES2317832T3 - Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes. - Google Patents
Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes. Download PDFInfo
- Publication number
- ES2317832T3 ES2317832T3 ES00917156T ES00917156T ES2317832T3 ES 2317832 T3 ES2317832 T3 ES 2317832T3 ES 00917156 T ES00917156 T ES 00917156T ES 00917156 T ES00917156 T ES 00917156T ES 2317832 T3 ES2317832 T3 ES 2317832T3
- Authority
- ES
- Spain
- Prior art keywords
- entity
- bits
- authenticate
- link
- equal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000004364 calculation method Methods 0.000 claims abstract description 55
- 230000004044 response Effects 0.000 claims abstract description 30
- 235000019227 E-number Nutrition 0.000 claims description 4
- 239000004243 E-number Substances 0.000 claims description 4
- 230000006870 function Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000003292 diminished effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Communication Control (AREA)
Abstract
Procedimiento de autentificación que utiliza una primera entidad denominada a "autentificar" (A) y una segunda entidad denominada "autentificante" (B), este procedimiento comprendiendo las siguientes operaciones: - la entidad a autentificar (A) envía al menos un enlace c hacia la entidad autentificante (B), teniendo este enlace un cierto tamaño contado en número de bits, - la entidad autentificante (B) recibe este enlace c, escoge al azar un número e llamado "pregunta" y envía esta pregunta e hacia la entidad a autentificar (A), - la entidad a autentificar (A) recibe la pregunta e, efectúa los cálculos utilizando esta pregunta e, el resultado de esos cálculos constituyendo una respuesta y y envía esta respuesta y hacia la entidad autentificante (B), - la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el enlace recibido c, un nivel de seguridad igual a 1-2 -k es obtenido por esta autentificación donde k es un número entero que se fija de acuerdo al nivel de seguridad deseado, este procedimiento estando caracterizado porque la entidad autentificante (B) mide el intervalo de tiempo (deltat) que transcurre entre el instante en que se dirige a la entidad a autentificar (A) y el instante en que recibe la respuesta de la entidad a autentificar (A), y verifica que el intervalo de tiempo medido (deltat) es inferior a un intervalo de tiempo determinado deltatmáx, y porque, la entidad a autentificar (A) tiene una capacidad de cálculo de aproximadamente 2 P en dicho intervalo de tiempo determinado (deltamáx), el enlace c utilizado por la entidad a autentificar (A) posee un tamaño igual al menos a (k+P) bits.
Description
Procedimiento de autentificación y firma de
mensajes utilizando enlaces de tamaño reducido y sistemas
correspondientes.
La presente invención tiene como objetivo un
procedimiento de autentificación y de firma de mensajes utilizando
enlaces de tamaño reducido y sistemas correspondientes.
La invención se refiere al campo de la
identificación (o sea, la autentificación de la entidad) así como a
aquel de la autentificación de mensaje y de firma numérica de
mensaje, por medio de técnicas criptográficas.
La invención se refiere más precisamente a la
criptografía denominada con clave pública. En este campo, la
entidad a autentificar posee una clave secreta y una clave pública
asociada. La entidad autentificante tiene únicamente necesidad de
esta clave pública para realizar la autentificación.
La invención se refiere más precisamente aún al
campo de los procedimientos de autentificación denominados con
conocimiento nulo o sin aporte de conocimiento
("zero-knowledge" en inglés). Esto significa
que la autentificación se desarrolla siguiendo un protocolo que, de
forma probada, y bajo hipótesis reconocidas como perfectamente
razonables por la comunidad científica, no revela nada sobre la
clave secreta de la entidad a autentificar.
La invención encuentra una aplicación en todos
los sistemas donde se quiere autentificar entidades o mensajes, o
firmar mensajes, y más particularmente en los sistemas donde el
número de bits transmitidos y/o almacenados constituye un parámetro
crítico. Es específicamente el caso de las tarjetas de microcircuito
estándares o de bajo costo, no provistas de un coprocesador
aritmético (llamado con frecuencia criptoprocesador) para acelerar
los cálculos criptográficos.
Una aplicación típica de la invención es el
portamonedas electrónico, que requiere un nivel de seguridad muy
alto, excluyendo el uso de un criptoprocesador, ya sea por razones
de costo, ya sea por razones técnicas (por ejemplo el uso de una
interfaz sin contacto), o por las dos.
Otra aplicación posible es la teletarjeta de
futura generación, para la cual las restricciones de costo son
todavía más severas que para el portamonedas electrónico.
Numerosos protocolos de identificación sin
aporte de conocimiento son conocidos. Se pueden citar entre otros
los cuatro protocolos siguientes:
1) el protocolo de FIAT-SHAMIR
descrito en: A. FIAT y A. SHAMIR, "How to prove yourself:
Practical solutions to identification and signature problems",
publicado en Advances in Cryptology: Proceedings of CRYPTO'86,
Lecture Notes in Computer Science, vol. 263,
Springer-Verlag, Berlin, 1987, pp.
186-194;
2) el protocolo de
GILLOU-QUISQUATER descrito en: L.C. GUILLOU y J.J.
QUISQUATER, "A practical zero-knowledge protocol
fitted to security microprocessors minimizing both transmission and
memory", publicado en Advances in Cryptology: Proceedings of
EUROCRYPT'88, Lecture Notes in Computer Science, vol. 330,
Springer-Verlag, Berlin, 1988, pp.
123-128;
3) el protocolo de SCHNORR descrito en: C.P.
SCHNORR, "Efficient identification and signatures for smart
cards", publicado en Advances in Cryptology: Proceedings of
EUROCRYPT'89, Lecture Notes in Computer Science, vol. 435,
Springer-Verlag, Berlin, 1987, pp.
239-252;
4) el protocolo de GIRAULT descrito en la
solicitud de patente francesa FR-A-2
716 058.
\vskip1.000000\baselineskip
De forma general, la mayoría de los protocolos
de autentificación sin aporte de conocimiento se desarrollan en 4
etapas. Se supondrá, para simplificar, que la entidad
autentificante, marcada como B, ya conoce todos los parámetros
públicos característicos de la entidad a autentificar, marcada como
A, a saber su identidad, su clave pública, etc.... Las cuatro
etapas son entonces las siguientes:
Etapa
1
A provee a B de al menos un enlace c,
constituido ya sea por un parámetro x escogido al azar por A, ya sea
por una función seudo-aleatoria h del parámetro x
y, si tiene lugar, del mensaje a autentificar o a firmar:
c=h(x, [M]), (la notación [M] expresa que M es opcional).
\newpage
Etapa
2
B escoge al azar un parámetro e llamado
"pregunta" y transmite e hacia A.
Etapa
3
A provee a B de una respuesta y, coherente con
la pregunta e, el enlace c y la clave pública v de A.
Etapa
4
B calcula x a partir de los elementos y, e y v,
o sea, x=\varphi (y, e, v) después verifica que: c=h (\varphi
(v, e, y), [M]).
\vskip1.000000\baselineskip
En algunos protocolos, hay uno o dos
intercambios suplementarios entre A y B. En el caso de una firma de
mensaje, los dos primeros intercambios son suprimidos, y el
parámetro e es escogido igual a c: A calcula sucesivamente, y sólo,
c,e (es decir c) y y.
El número u de preguntas que pueden ser
escogidas por B está directamente relacionado al nivel de seguridad
del protocolo, el cual depende de la probabilidad de éxito de un
impostor (o sea, una entidad C que intenta fraudulentamente hacerse
pasar por A). Este nivel de seguridad, marcado como p, está
caracterizado por un parámetro k, de acuerdo a la relación
p=1-2^{-k}. En otros términos, el impostor tiene
una oportunidad sobre 2^{k} de lograr su fraude. Se puede mostrar
que, si el protocolo reposa sobre un problema matemático difícil, y
si los enlaces son de longitud suficiente, entonces basta con que la
longitud de u sea igual a k bits. En otros términos, la pregunta
debe ser escogida en el conjunto {0, ..., 2^{k}-1}
(límites incluidos).
En el estado de la técnica, k es igual a 32
bits, lo que da solamente una oportunidad sobre cuatro mil millones
de lograr un fraude. En las aplicaciones donde la falla de una
identificación puede tener consecuencias muy nefastas (proceso
judicial por ejemplo), esta longitud puede ser reducida a algunos
bits.
En su versión de base, ninguno de los protocolos
mencionados puede ser utilizado en una aplicación con fuertes
restricciones, como aquellas que han sido mencionadas más arriba, ya
que los cálculos requeridos no pueden ser efectuados por una
tarjeta con microcircuito no dotada de un criptoprocesador.
Una primera optimización, debida a FIAT y
SHAMIR, se refiere al número de bits intercambiados entre las dos
entidades. Esta consiste en utilizar una función de corte durante el
cálculo del enlace. Esta optimización por sí sola, no permite
disminuir el número de cálculos efectuados por la entidad
autentificada, ya que el enlace continúa siendo calculado por
ésta.
Para disminuir este número, se necesita llamar a
un modo de utilización particular, que se llama modo de precálculos,
que consiste en calcular con antelación los parámetros a los que se
les llamarán preenlaces y que entran en el cálculo de los enlaces.
Se puede también hacer calcular los enlaces por un servidor que
dispone de una potencia de cálculo superior, y luego almacenarlos
en la tarjeta de microcircuito de la entidad a autentificar. En el
momento preciso de la transacción electrónica, la tarjeta de
microcircuito tiene entonces que efectuar solamente cálculos
rudimentarios. Este modo de utilización es divulgado en la solicitud
FR-A-2 716 058 citada. Cada
preenlace es utilizado para una y solo una transacción. Cuando todos
los preenlaces han sido consumidos por la tarjeta, es necesario
recalcularlos de nuevo y almacenarlos en la tarjeta (operación de
recarga).
La memoria de datos de una tarjeta de
microcircuito de bajo costo raramente sobrepasa 8 Koctets, por eso
es difícilmente concebible consagrar más de 1 Koctet solamente al
almacenaje de los preenlaces. Es necesario entonces reducir tanto
como sea posible el tamaño de estos últimos, para realizar un máximo
de transacciones entre dos recargas.
En todos esos procedimientos de autentificación,
se puede definir una capacidad de cálculo que es el número máximo
de cálculos que los medios utilizados pueden efectuar en un tiempo
razonable. Como los cálculos son binarios, se puede expresar esta
capacidad en forma de una potencia de 2, por ejemplo en forma de
2^{N} donde N es un número entero. Este número no es determinado
con una precisión extrema, pero es definido con diferencia de solo
algunas unidades. Por ejemplo, en nuestros días, el número entero N
es del orden de aproximadamente 80, es decir, que con los medios de
que se dispone, la capacidad es de 2^{80}, es decir, que se puede
efectuar como máximo aproximadamente 2^{80} operaciones en un
tiempo razonable.
En la versión de base del procedimiento descrito
en la solicitud FR-A-2 716 058
citada, el tamaño de los preenlaces o los enlaces en sí es de
aproximadamente 2N bits, donde el número N es tomado igual a 80
aproximadamente. El tamaño de un preenlace es entonces del orden de
160 bits (es de 128 bits en el documento citado, donde N se toma
igual a 64). Se puede entonces almacenar 50 enlaces en una memoria
de 1 Koctet, lo que es relativamente poco.
En otra solicitud
FR-A-2 752 122, se describe un
procedimiento de autentificación que permite reducir el número de
bits a transmitir o almacenar. El tamaño de los preenlaces o los
enlaces puede ser reducido a un poco más de N bits (o sea
aproximadamente 88 con N=80), lo que permite almacenar más de 90
preenlaces en una memoria de 1 Koctet y de reducir hasta el 18% los
bits transmitidos durante la ejecución del protocolo.
Desgraciadamente, esta ganancia es insuficiente
para numerosas aplicaciones, en particular para el portamonedas
electrónico. Muchas transacciones pueden referirse solo a tres
pequeños montos (transportes en común, parquímetros,
telecomunicaciones locales, etc....), y el usuario debe poder
efectuar las transacciones hasta el agotamiento del saldo, sin
estar limitado por alguna otra consideración. En este contexto, un
mínimo de 150 a 200 transacciones sin recarga parece que debe ser
exigido, lo que los procedimientos conocidos no permiten.
Es justamente el objetivo de la presente
invención reducir aún más el tamaño de los preenlaces y,
opcionalmente, de los enlaces en sí. De acuerdo a la invención, se
puede disminuir a aproximadamente 48 bits, lo que permite almacenar
170 preenlaces en una memoria de 1 Koctet. En ciertas aplicaciones,
este tamaño puede ser todavía más inferior y por ejemplo caer a 32
bits, lo que permite almacenar 256 preenlaces.
La invención hace posible así la ejecución
rápida de un algoritmo de identificación o de autentificación de
mensaje o de firma de mensaje, en una tarjeta de microcircuito
estándar de bajo costo, para aplicaciones tales como el
portamonedas electrónico o la teletarjeta de futura generación.
La invención reposa sobre la observación
siguiente: la capacidad de cálculo es fuertemente disminuida
(típicamente 2^{16} en lugar de 2^{80}) si se restringe el
defraudador a efectuar los cálculos en un lapso de tiempo pequeño y
con medios de cálculo reducidos.
Partiendo de esta observación, la invención
propone medir el tiempo \Deltat puesto por la entidad a
autentificar para responder a la entidad autentificante y limitar
ese tiempo a un valor máximo \Deltat_{máx}.
En el lapso de tiempo \Deltat_{máx} los
medios utilizados tienen una capacidad de cálculo igual a 2^{P}
(de acuerdo a las consideraciones desarrolladas más arriba). Este
número 2^{P} es naturalmente inferior al número 2^{N} en razón
de la restricción que pesa sobre el tiempo acordado para efectuar
esos cálculos. La invención propone entonces tomar como tamaño de
los preenlaces o de los enlaces el número k+P o un número superior
pero aún inferior a k+N. Típicamente, el número P puede estar en el
orden de 16, de manera que si k=32, el tamaño del preenlace o del
enlace será de 32+16 sea 48 bits o un poco más (a comparar con los
128 u 88 bits en las dos solicitudes de patentes ya citadas).
Dos opciones se ofrecen entonces:
- -
- una primera opción en la cual se alarga la pregunta e (quien, en el artículo anterior, poseía un tamaño de k bits), lo que, típicamente, da un tamaño de aproximadamente 64 bits;
- -
- una segunda opción en la cual se añade al protocolo un intercambio preliminar en el curso del cual B envía un número aleatorio w hacia A, (típicamente 32 bits), donde dicho número w constituye un parámetro suplementario tomado en cuenta para el cálculo del enlace c: c=h (\alpha, w, [M]); el intervalo de tiempo \Deltat a medir es entonces el que pasa entre el envío del intercambio preliminar y la recepción de los parámetros e y y. La pregunta e puede guardar entonces el tamaño de k bits.
Para una firma de mensajes, esta segunda opción
debe ser obligatoriamente retenida. El interés de esta segunda
opción es que el tamaño de la pregunta e siga reducido. Ahora bien,
en algunos protocolos (específicamente aquellos de
FIAT-SHAMIR y de
GUILLOU-QUISQUATER), el tiempo de cálculo de la
respuesta y depende mucho del largo de e, mientras que el tiempo de
cálculo del enlace c depende muy poco de la longitud de w. Para
estos protocolos, la segunda opción permite entonces disminuir el
tamaño de los enlaces sin aumentar notablemente el tiempo de
ejecución del protocolo. Por otra parte, esta segunda opción es la
única posible en el caso de la firma de mensaje, ya que no hay más
preguntas propiamente hablando.
El nivel de seguridad del protocolo de acuerdo a
la invención (o sea, la probabilidad mínima de detección de un
impostor) es equivalente a aquel de los protocolos conocidos
(1-2^{-k}), mientras que la longitud de los
preenlaces o de los enlaces es dividida entre casi 4. Se puede
demostrar esta equivalencia de los niveles de seguridad de la
manera siguiente. Sea C un fraudulento que buscará hacerse pasar por
A (o hacer creer que el mensaje M proviene de A). C no conoce
evidentemente la clave secreta de A. Este puede utilizar
esencialmente tres estrategias, que se pueden designar como
"fraude por adivinanza", "fraude en tiempo real"
(efectuado durante la transacción) y "fraude en tiempo
diferido" (efectuado antes de la transacción), estrategias que
pueden por cierto ser combinadas:
a) fraude por adivinanza:
- primera opción: C adivina el valor de la
pregunta e escogiéndola al azar, escoge la respuesta y al azar y
calcula c=h (\varphi (v, e, y), [M]). Después comienza la
transacción con este valor de c. Sólo resultará si e ha sido bien
adivinado, por lo tanto con una probabilidad de 2^{-64}.
- segunda opción: C adivina el valor de la
pregunta e escogiéndola al azar, escoge la respuesta y al azar y
calcula c=h (\varphi (v, e, y), w, [M]). Sólo puede hacerlo una
vez conocido w, por lo tanto durante la transacción. Después
continúa la transacción con este valor de c. Sólo resultará si e ha
sido bien adivinado, por lo tanto con una probabilidad de
2^{-64}.
b) fraude en tiempo real:
Después de haber enviado un valor (al azar) de
c, y recibido un valor de e, C busca con intentos exhaustivos un
valor de y que satisfaga la ecuación de verificación c=h (\varphi
(v, e, y), [M]). Ya que puede efectuar un máximo de 2^{P}
intentos, y que el número de valores posibles de c es 2^{k+P}, su
probabilidad de resultar es 1/2^{k}, como es deseado.
c) fraude en tiempo diferido:
- primera opción: C calcula un gran número de
valores de c a partir de diversos valores de y y e. Ya que puede
calcular un máximo de 2^{N}, tendrá por cada valor posible de c
aproximadamente 2^{N-P-k} valores
correspondientes de y y de e. C escoge uno cualquiera entre esos
valores, almacena los valores de y y e correspondientes e inicia el
protocolo. Ya que hay 2^{N-P} valores posibles de
e, la probabilidad de que C haya almacenado el valor que le fue
enviado por B es otra vez inferior a 1/2^{k}, como es deseado.
- segunda opción: el cálculo es esencialmente el
mismo que para la primera opción, ya que el tamaño total de dos
números aleatorios w y e es igual al tamaño de e en la segunda
opción.
\vskip1.000000\baselineskip
De forma precisa, la presente invención tiene
entonces como objetivo un procedimiento de autentificación que
utiliza una primera entidad denominada a "autentificar" (A) y
una segunda entidad denominada "autentificante" (B), este
procedimiento comprendiendo las operaciones siguientes:
- -
- la entidad a autentificar (A) envía al menos un enlace c a la entidad autentificante (B), teniendo este enlace un cierto tamaño contado en número de bits,
- -
- la entidad autentificante (B) recibe este enlace c, escoge al azar un número e llamado "pregunta" y envía esta pregunta e hacia la entidad a autentificar (A),
- -
- la entidad a autentificar (A) recibe la pregunta e, efectúa los cálculos utilizando esta pregunta e, el resultado de esos cálculos constituyendo una respuesta y y envía esta respuesta y hacia la entidad autentificante (B),
- -
- la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el enlace recibido c,
un nivel de seguridad igual a
1-2^{-k} siendo obtenido por esta autentificación
donde k es un número entero que se fija de acuerdo al nivel de
seguridad deseado,
este procedimiento estando caracterizado porque
la entidad autentificante (B) mide el intervalo de tiempo
(\Deltat) que transcurre entre el instante en que se dirige hacia
la entidad a autentificar (A) y el instante en que recibe la
respuesta de la entidad a autentificar (A), y verifica que el
intervalo de tiempo medido (\Deltat) es inferior a un intervalo
de tiempo determinado \Deltat_{máx}, y porque, la entidad a
autentificar (A) teniendo un capacidad de cálculo de
aproximadamente 2^{P} en dicho intervalo de tiempo determinado
(\Deltat_{máx}), el enlace c utilizado por la entidad a
autentificar (A) posee un tamaño igual al menos a (k+P) bits.
En esta definición, hay que comprender que el
tamaño puede ser igual a (k+P) bits, o ser superior en algunas
unidades a ese número.
En un modo de puesta en práctica particular, la
entidad a autentificar (A) calcula el enlace a partir de un
preenlace calculado con anterioridad, el cual posee un tamaño igual
al menos a (k+P) bits. Pero la entidad a autentificar puede
igualmente calcular el enlace por sorteo al azar de un número y
cálculos a partir de ese número.
En otra variante de puesta en práctica, la
entidad autentificante (B), en una operación preliminar, escoge al
azar un número w y envía ese número w hacia la entidad a
autentificar (A) la cual utiliza ese número w para constituir el
enlace, la pregunta e hecha por la entidad autentificante (B)
poseyendo un número de bits igual a k, el intervalo de tiempo
medido siendo el intervalo comprendido entre el instante en que la
entidad autentificante (B) envía el número w hacia la entidad a
autentificar (A) y el instante en que la entidad autentificante (B)
recibe la respuesta y de la entidad a autentificar (A).
La presente invención tiene igualmente como
propósito un procedimiento de firma de mensaje en el cual utiliza
una primera entidad denominada "firmante" (A) y una segunda
entidad denominada "autentificante" (B), este procedimiento
comprendiendo las siguientes operaciones:
- -
- la entidad firmante (A) calcula un número e función del mensaje a firmar y calcula un número y llamado respuesta, y envía esta respuesta hacia la entidad autentificante (B),
- -
- la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el número e,
un nivel de seguridad igual a
1-2^{-k} siendo obtenido por esta autentificación
donde k es un número entero que se fija de acuerdo al nivel de
seguridad deseado,
este procedimiento estando caracterizado
porque:
- -
- la entidad firmante (A) calcula un número e cuyo tamaño es igual a al menos (k+P) bits donde 2^{P} representa la capacidad de cálculo de la entidad a autentificar (A) en un intervalo de tiempo fijado (\Deltat_{máx}),
- -
- en una operación preliminar, la entidad autentificante (B) escoge al azar un número w y envía ese número w hacia la entidad firmante (A) la cual utiliza ese número w para constituir el número e,
- -
- la entidad a autentificar (B) mide el intervalo de tiempo \Deltat que transcurre entre el instante en que envía el número w hacia la entidad firmante (A) y el instante en que recibe la respuesta y de la entidad firmante (A), y verifica que el intervalo medido \Deltat sea inferior al intervalo de tiempo fijado \Deltat_{máx}.
Aquí todavía, la entidad firmante puede calcular
el número e a partir de un preenlace calculado con anterioridad, el
cual posee un tamaño igual al menos a (k+P) bits, con algunas
unidades de diferencia.
La presente invención tiene igualmente como
objetivo un sistema que comprende una primera entidad denominada a
"autentificar" (A) y una segunda entidad denominada
"autentificante" (B), en la cual:
- -
- la entidad a autentificar (A) comprende medios para enviar al menos un enlace c hacia la entidad autentificante (B), teniendo este enlace un cierto tamaño contado en número de bits,
- -
- la entidad autentificante (B) comprende medios para recibir este enlace c, para escoger al azar un número e llamado "pregunta" y para enviar esta pregunta e hacia la entidad a autentificar (A),
- -
- la entidad a autentificar (A) comprende medios para recibir la pregunta e, para efectuar los cálculos utilizando esta pregunta e, constituyendo el resultado de esos cálculos una respuesta y y para enviar esta respuesta y hacia la entidad autentificante (B),
- -
- la entidad autentificante (B) comprende medios para recibir la respuesta y, para efectuar un cálculo utilizando esta respuesta y y para verificar si ese cálculo devuelve el enlace recibido c,
un nivel de seguridad igual a
1-2^{-k} siendo obtenido por esta autentificación
donde k es un número entero que se fija de acuerdo al nivel de
seguridad deseado,
ese sistema estando caracterizado porque la
entidad autentificante (B) comprende medios para medir el intervalo
de tiempo (\Deltat) que transcurre entre el instante en que se
dirige hacia la entidad a autentificar (A) y el instante en que
recibe la respuesta de la entidad a autentificar (A), y medios para
verificar que el intervalo de tiempo medido (\Deltat) es inferior
a un intervalo de tiempo determinado \Deltat_{máx}, y porque,
la entidad a autentificar (A) teniendo una capacidad de cálculo de
aproximadamente 2^{P} en dicho intervalo de tiempo determinado
(\Deltat_{máx}), el enlace c utilizado por la entidad a
autentificar (A) posee un tamaño igual al menos a (k+P) bits.
De acuerdo a un modo de realización, la entidad
a autentificar (A) comprende medios para calcular el enlace a
partir de un preenlace calculado con anterioridad, el cual posee un
tamaño igual al menos a (k+P) bits.
El número P puede ser tomado igual a 16 y el
número k a 32, el preenlace o el enlace teniendo así un tamaño
igual al menos a 48 bits.
La pregunta e hecha por la entidad
autentificante (B) puede poseer un número de bits superior a k.
La entidad autentificante (B) puede comprender
medios para, en una operación preliminar, escoger al azar un número
w y para enviar ese número w hacia la entidad a autentificar (A) la
cual utiliza ese número w para constituir el enlace c, la pregunta
e hecha por la entidad autentificante (B) poseyendo un número de
bits igual a k, los medios para medir el intervalo de tiempo
(\Deltat) estando aptos para medir este intervalo entre el
instante en que la entidad autentificante (B) envía el número w
hacia la entidad a autentificar y el instante en que la entidad
autentificante (B) recibe la respuesta y de la entidad a
autentificar (A).
La invención tiene igualmente como objetivo un
sistema que comprende una primera entidad denominada "firmante"
(A) y una segunda entidad denominada "autentificante" (B), en
la cual:
- -
- la entidad firmante (A) comprende medios para calcular un número e función del mensaje a firmar y para calcular un número y llamado respuesta, función del número e y para enviar esta respuesta hacia la entidad autentificante (B),
- -
- la entidad autentificante (B) comprende medios para recibir la respuesta y, para efectuar un cálculo utilizando esta repuesta y para verificar que ese cálculo devuelva el número e,
un nivel de seguridad igual a
1-2^{-k} siendo obtenido para esta firma donde k
es un número entero que se fija de acuerdo al nivel de seguridad
deseado,
ese sistema estando caracterizado porque:
- -
- la entidad firmante (A) comprende medios para calcular un número e, cuyo tamaño es igual al menos a (k+P) bits donde 2^{P} representa la capacidad de cálculo de la entidad a autentificar (A) en un intervalo de tiempo fijado (\Deltat_{máx}),
- -
- la entidad autentificante (B) comprende medios para, en una operación preliminar, escoger al azar un número w y para enviar ese número w hacia la entidad firmante (A) la cual utiliza ese número w en sus medios para constituir el número e,
- -
- la entidad autentificante (B) comprende medios para medir el intervalo de tiempo \Deltat que transcurre entre el instante en que envía el número w hacia la entidad firmante (A) y el instante en que recibe la respuesta y de la entidad firmante (A), y medios para verificar que el intervalo medido \Deltat es inferior al intervalo de tiempo fijado \Deltat_{máx}.
La entidad firmante (A) puede comprender medios
para calcular el número e a partir de un preenlace calculado con
anterioridad, el cual posee un tamaño igual al menos a (k+P)
bits.
El número P puede ser tomado igual a 16 y el
número k igual a 32, el preenlace o el número e teniendo así un
tamaño igual al menos a 48 bits.
En la descripción que sigue, se supondrá que la
invención se aplica en el marco de la técnica divulgada en la
solicitud de patente FR-A-2 716 058
ya citada, técnica en la cual las multiplicaciones modulares son
suprimidas, específicamente en la operación de la etapa 3. Este
tipo de operaciones no tiene entonces necesidad de ser previsto en
la tarjeta de microcircuito cuando el modo de precálculos es
utilizado. Naturalmente, este ejemplo no limita el alcance de la
invención que puede ser utilizada con los protocolos de
multiplicaciones modulares.
Los protocolos de acuerdo a la solicitud citada
están basados en la dificultad de calcular los algoritmos
discretos. Los parámetros universales (es decir, compartidos por
todos los usuarios) son:
- -
- un gran número compuesto n,
- -
- un número entero \alpha (la "base"),
- -
- cuatro parámetros t, k, u, z, donde k es el parámetro de seguridad.
La longitud recomendada para n es (al menos) de
512 bits, y de preferencia 768 bits o más. Un valor típico del
parámetro de seguridad k es 32. El parámetro u designa el número de
preguntas posibles (se tiene entonces u=2^{k}). Un valor típico
de la longitud de t es 160 bits. Un valor típico de la longitud de z
es 64 bits.
La clave secreta de un usuario es un número
entero s inferior a t. Su clave pública es: v=\alpha^{s} (mod
n).
El protocolo de autentificación de base,
divulgado en esta solicitud anterior, es el siguiente:
1. A escoge al azar un número entero r en
{0...tuz-1}, calcula x=\alpha^{r} (mod n) y
envía c hacia B.
2. B escoge al azar un elemento e en
{0...2^{k}-1} y envía e hacia A.
3. A calcula y=r+se y envía y hacia B.
4. B verifica que x=\alpha^{y}v^{e} (mod
n).
Se remarca que un impostor (quien por hipótesis
ignora s) puede equivocar un verificador con una probabilidad igual
a 2^{-k}, escogiendo un entero y, un elemento e y calculando x
como en la etapa 4. Como se puede probar que, si el problema del
logaritmo discreto es difícil, no puede sustancialmente mejorar esta
probabilidad, el nivel de seguridad es entonces igual a
1-2^{-k}.
A fin de disminuir el número de bits
transmitidos, se puede, como lo sugiere FIAT y SHAMIR, tomar como
enlace c=h(x) donde h es una función
seudo-aleatoria. La ecuación de verificación de la
etapa 4 se convierte en:
c=h
(\alpha^{y} v^{e} (mod
n))
Si se quiere, además, autentificar un mensaje M,
entonces se introduce M en el cálculo del enlace: c=h (x, M).
A fin de conservar un nivel de seguridad igual a
1-2^{-k}, es necesario, por otra parte con todas
las cosas iguales, que la longitud de c sea al menos 160 bits.
Siendo efectuado este recordatorio, se puede
describir el protocolo correspondiente de acuerdo a la presente
invención en una variante utilizando la primera opción. Se tomará
N=80 y P=16 y suponiendo que las longitudes del preenlace y del
enlace están todas reducidas al mínimo, es decir a 48 bits, esta
reducción estando compensada por un aumento de la longitud de e,
que pasa a 64 bits. Además, en la etapa 4, un control de tiempo
puesto por A es efectuado por B. De manera que, el nivel de
seguridad del protocolo modificado sigue igual a
1-2^{-k}. Las etapas del procedimiento de acuerdo
a la invención se convierten entonces:
1. A escoge al azar un número entero r en
{0...tuz-1}, calcula x=\alpha^{r} (mod n), y
luego eventualmente c'=f(x) que pertenece a
{0...2^{48}-1}, y luego c=h (x, w, [M]), ó c=h
(x', w, [M]) que pertenece a {0...2^{48}-1} y
envía c hacia B.
2. B escoge al azar un elemento e en
{0...2^{64}-1} y envía e hacia A.
3. A calcula y=r+se y envía y hacia B.
4. B verifica que
c=h(\alpha^{y}v^{e} (mod n), [M]) ó c=h (f
(\alpha^{y}v^{e} (mod n), [M]) y que el intervalo de tiempo
entre la emisión de la etapa 2 y la recepción de la etapa 3 es
inferior a uno o dos segundos.
\vskip1.000000\baselineskip
La invención está particularmente bien adaptada
a un protocolo de base de este tipo, ya que no acarrea ningún
cambio de los parámetros universales principales, a saber n y
\alpha, ni incluso de los parámetros individuales (claves secreta
y pública del usuario). En cambio, implica un alargamiento de e, ya
que u es mantenido igual a 2^{64} (pero esto no será así si se
adoptara la segunda opción).
Por otra parte y sobre todo, la invención es
particularmente útil en el modo de precálculos, ya que los
preenlaces tienen un tamaño reducido a 48 bits. Desde luego, hace
falta previamente almacenar no solamente los preenlaces sino
también los valores de r correspondientes. Sin embargo, es posible
evitar esto generando esos nombres con la ayuda de un generador
seudo-aleatorio contenido en el dispositivo de
seguridad de A, como es descrito en la solicitud
FR-A-2 716 058 ya citada.
Si se opta por la segunda opción, el
procedimiento comprende una etapa suplementaria y previamente
marcada 0 y se vuelve:
0. B escoge al azar un número aleatorio w en
{0...2^{32}-1} y lo envía hacia A.
1. A escoge al azar un número entero r en
{0...tuz-1}, calcula x=\alpha^{r} (mod n) y
luego eventualmente x'=f(x) que pertenece a
{0...2^{48}-1}, y luego c=h (x, w, [M]), ó c=h
(x', w, [M]) que pertenece a {0...2^{48}-1} y
envía c hacia B.
2. B escoge al azar un elemento e en
{0...2^{32}-1} y envía e hacia A.
3. A calcula y=r+se y envía y hacia B.
4. B verifica que c=h (\alpha^{y}v^{e}
(mod n), w, [M]) ó c=h (f (\alpha^{y}v^{e} (mod n), w, [M]))
y que el intervalo de tiempo entre la emisión de la etapa 0 y la
recepción de la etapa 3 es inferior a uno o varios segundos.
\vskip1.000000\baselineskip
En fin, el protocolo de firma será:
0. B escoge al azar un número aleatorio w en
{0...2^{64}-1} y lo envía hacia A.
1. A escoge al azar un número entero r en
{0...tuz-1} y calcula x=\alpha^{r} (mod n) y
luego eventualmente x'=f(x), que pertenece a
{0...2^{48}-1}.
2. A calcula e=h(x, w, [M]) que pertenece
a {0...2^{48}-1}.
3. A calcula y=r+se y envía (e, y) hacia B.
4. B verifica que e=h (\alpha^{y}v^{e}
(mod n), w, [M]) y que el intervalo de tiempo entre la emisión de
la etapa 0 y la recepción de la etapa 3 es inferior a uno o varios
segundos.
Claims (22)
1. Procedimiento de autentificación que utiliza
una primera entidad denominada a "autentificar" (A) y una
segunda entidad denominada "autentificante" (B), este
procedimiento comprendiendo las siguientes operaciones:
- -
- la entidad a autentificar (A) envía al menos un enlace c hacia la entidad autentificante (B), teniendo este enlace un cierto tamaño contado en número de bits,
- -
- la entidad autentificante (B) recibe este enlace c, escoge al azar un número e llamado "pregunta" y envía esta pregunta e hacia la entidad a autentificar (A),
- -
- la entidad a autentificar (A) recibe la pregunta e, efectúa los cálculos utilizando esta pregunta e, el resultado de esos cálculos constituyendo una respuesta y y envía esta respuesta y hacia la entidad autentificante (B),
- -
- la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el enlace recibido c,
un nivel de seguridad igual a
1-2^{-k} es obtenido por esta autentificación
donde k es un número entero que se fija de acuerdo al nivel de
seguridad deseado,
este procedimiento estando caracterizado
porque la entidad autentificante (B) mide el intervalo de tiempo
(\Deltat) que transcurre entre el instante en que se dirige a la
entidad a autentificar (A) y el instante en que recibe la respuesta
de la entidad a autentificar (A), y verifica que el intervalo de
tiempo medido (\Deltat) es inferior a un intervalo de tiempo
determinado \Deltat_{máx}, y porque, la entidad a autentificar
(A) tiene una capacidad de cálculo de aproximadamente 2^{P} en
dicho intervalo de tiempo determinado (\Deltat_{máx}), el
enlace c utilizado por la entidad a autentificar (A) posee un tamaño
igual al menos a (k+P) bits.
2. Procedimiento de acuerdo a la reivindicación
1, en el cual la entidad a autentificar (A) calcula el enlace a
partir de un preenlace calculado con anterioridad, el cual posee un
tamaño igual al menos a (k+P) bits.
3. Procedimiento de autentificación de acuerdo a
cualquiera de las reivindicaciones 1 y 2, en la cual el número P es
tomado igual a 16 y el número k a 32, el preenlace o enlace teniendo
así un tamaño igual al menos a 48 bits.
4. Procedimiento de autentificación de acuerdo a
la reivindicación 1, en el cual la pregunta e hecha por la entidad
autentificante (B) posee un número de bits superior a k.
5. Procedimiento de acuerdo a la reivindicación
4, en el cual siendo el número k igual a 32 la pregunta e hecha por
la entidad autentificante (B) posee un número de bits igual a
aproximadamente 64.
6. Procedimiento de autentificación de acuerdo a
la reivindicación 1, en el cual la entidad autentificante (B), en
una operación preliminar, escoge al azar un número w y envía ese
número w hacia la entidad a autentificar (A) la cual utiliza ese
número w para constituir el enlace c, la pregunta e hecha por la
entidad autentificante (B) poseyendo un número de bits igual a k,
el intervalo de tiempo (\Deltat) siendo medido entre el instante
en que la entidad autentificante (B) envía el número w hacia la
entidad a autentificar y el instante en que la entidad
autentificante (B) recibe la respuesta y de la entidad a
autentificar (A).
7. Procedimiento de autentificación de acuerdo a
la reivindicación 6, en el cual el número w provisto de antemano
por la entidad autentificante (B) a la entidad a autentificar (A)
posee aproximadamente 32 bits, el enlace teniendo un tamaño igual
al menos a 48 bits, la pregunta e hecha por la entidad
autentificante (B) teniendo un número de bits igual a 32
aproximadamente.
8. Procedimiento de autentificación de acuerdo a
cualquiera de las reivindicación 1 a 7, en el cual la entidad a
autentificar (A) introduce un mensaje (M) en el enlace que
constituye, la autentificación llevando entonces también el mensaje
(M).
9. Procedimiento de firma de mensaje en el cual
se utiliza una primera entidad denominada "firmante" (A) y una
segunda entidad denominada autentificante (B), este procedimiento
comprendiendo las operaciones siguientes:
- -
- la entidad firmante (A) calcula un número e función del mensaje a firmar y calcula un número y llamado respuesta, función del número e y envía esta respuesta hacia la entidad autentificante (B),
- -
- la entidad autentificante (B) recibe la respuesta y, efectúa un cálculo utilizando esta respuesta y y verifica que ese cálculo devuelva el número e,
un nivel de seguridad igual a
1-2^{-k} siendo obtenido para esta firma donde k
es un número entero que se fija de acuerdo al nivel de seguridad
deseado,
este procedimiento estando caracterizado
porque:
- -
- la entidad firmante (A) calcula un número e cuyo tamaño es igual al menos a (k+P) bits donde 2^{P} representa la capacidad de cálculo de la entidad a autentificar (A) en un intervalo de tiempo fijado (\Deltat_{máx}),
- -
- en una operación preliminar, la entidad autentificante (B) escoge al azar un número w y envía ese número w hacia la entidad firmante (A) la cual utiliza ese número w para constituir el número e,
- -
- la entidad autentificante (B) mide el intervalo de tiempo \Deltat que transcurre entre el instante en que envía el número w hacia la entidad firmante (A) y el instante en que recibe la respuesta y de la entidad firmante (A), y verifica que el intervalo medido \Deltat es inferior al intervalo de tiempo fijado \Deltat_{máx}.
10. Procedimiento de acuerdo a la reivindicación
9, en el cual la entidad firmante (A) calcula el número e a partir
de un preenlace calculado con anterioridad, el cual posee un tamaño
igual al menos a (k+P) bits.
11. Procedimiento de firma de mensaje de acuerdo
a las reivindicaciones 9 ó 10, en el cual el número P es tomado
igual a 16 y el número k a 32, el preenlace o el número e teniendo
así un tamaño igual al menos a 48 bits.
12. Sistema que comprende una primera entidad
denominada a "autentificar" (A) y una segunda entidad
denominada "autentificante" (B), en el cual:
- -
- la entidad a autentificar (A) comprende medios para enviar al menos un enlace c a la entidad autentificante (B), este enlace teniendo un cierto tamaño contado en número de bits,
- -
- la entidad autentificante (B) comprende medios para recibir este enlace c, para escoger al azar un número e llamado "pregunta" y para enviar esta pregunta e hacia la entidad a autentificar (A),
- -
- la entidad a autentificar (A) comprende medios para recibir la pregunta e, para efectuar cálculos utilizando esta pregunta e, el resultado de esos cálculos constituyendo una respuesta y y para enviar esta respuesta y hacia la entidad autentificante (B),
- -
- la entidad autentificante (B) comprende medios para recibir la respuesta y, para efectuar un cálculo utilizando esta respuesta y y para verificar si ese cálculo devuelve el enlace recibido c,
un nivel de seguridad igual a
1-2^{-k} es obtenido para esta autentificación
donde k es un número entero que se fija de acuerdo al nivel de
seguridad deseado,
ese sistema estando caracterizado porque
la entidad autentificante (B) comprende medios para medir el
intervalo de tiempo (\Deltat) que transcurre entre el instante en
que se dirige hacia la entidad a autentificar (A) y el instante en
que recibe la respuesta de la entidad a autentificar (A), y medios
para verificar que el intervalo de tiempo medido (\Deltat) es
inferior a un intervalo de tiempo determinado \Deltat_{máx}, y
porque, la entidad a autentificar (A) tiene una capacidad de cálculo
de aproximadamente 2^{P} en dicho intervalo de tiempo determinado
(\Deltat_{máx}), el enlace c utilizado por la entidad a
autentificar (A) posee un tamaño igual al menos a (k+P) bits.
13. Sistema de acuerdo a la reivindicación 12,
en el cual la entidad a autentificar (A) comprende medios para
calcular el enlace a partir de un preenlace calculado con
anterioridad, el cual posee un tamaño igual al menos a (k+P)
bits.
14. Sistema de acuerdo a cualquiera de las
reivindicaciones 12 y 13, en el cual el número P es tomado igual a
16 y el número k igual a 32, el preenlace o el enlace teniendo así
un tamaño igual al menos a 48 bits.
15. Sistema de acuerdo a la reivindicación 12,
en el cual la pregunta e hecha por la entidad autentificante (B)
posee un número de bits superior a k.
16. Sistema de acuerdo a la reivindicación 15,
en la cual el número k es igual a 32 la pregunta hecha e por la
entidad autentificante (B) posee un número de bits igual a 64
aproximadamente.
17. Sistema de acuerdo a la reivindicación 12,
en el cual la entidad autentificante (B) comprende medios para, en
una operación preliminar, escoger al azar un número w y enviar ese
número w hacia la entidad a autentificar (A) la cual utiliza ese
número w para constituir el enlace c, la pregunta e hecha por la
entidad autentificante (B) poseyendo un número de bits igual a k,
los medios para medir el intervalo de tiempo (\Deltat) estando
aptos para medir este intervalo entre el instante en que la entidad
autentificante (B) envía el número w hacia la entidad a
autentificar y el instante en que la entidad autentificante (B)
recibe la respuesta y de la entidad a autentificar (A).
18. Sistema de acuerdo a la reivindicación 17,
en el cual el número w provisto de antemano por la entidad
autentificante (B) a la entidad a autentificar (A) posee
aproximadamente 32 bits, el enlace teniendo un tamaño igual al menos
a 48 bits, la pregunta e hecha por la entidad autentificante (B)
teniendo un número de bits igual a 32 aproximadamente.
19. Sistema de acuerdo a la reivindicación 12,
en el cual la entidad a autentificar (A) comprende medios aptos
para introducir un mensaje (M) en el enlace que constituye, la
autentificación llevando entonces también el mensaje (M).
20. Sistema que comprende una primera entidad
denominada "firmante" (A) y una segunda entidad denominada
autentificante (B), en el cual:
- -
- la entidad firmante (A) comprende medios para calcular un número e función del mensaje a firmar y para calcular un número y llamado respuesta, función del número e y para enviar esta respuesta hacia la entidad autentificante (B),
- -
- la entidad autentificante (B) comprende medios para recibir la respuesta y, para efectuar un cálculo utilizando esta respuesta y y para verificar que ese cálculo devuelva el número e,
un nivel de seguridad igual a
1-2^{-k} siendo obtenido para esta firma donde k
es un número entero que se fija de acuerdo al nivel de seguridad
deseado,
este sistema estando caracterizado
porque:
- -
- la entidad firmante (A) comprende medios para calcular un número e cuyo tamaño es igual al menos a (k+P) bits donde 2^{P} representa la capacidad de cálculo de la entidad a autentificar (A) en un intervalo de tiempo fijado (\Deltat_{máx}),
- -
- la entidad autentificante (B) comprende medios para, en una operación preliminar, escoger al azar un número w y para enviar ese número w hacia la entidad firmante (A) la cual utiliza ese número w en sus medios para constituir el número e,
- -
- la entidad autentificante (B) comprende medios para medir el intervalo de tiempo \Deltat que transcurre entre el instante en que envía el número w hacia la entidad firmante (A) y el instante en que recibe la respuesta y de la entidad firmante (A), y medios para verificar que el intervalo medido \Deltat es inferior al intervalo de tiempo fijado \Deltat_{máx}.
21. Sistema de acuerdo a la reivindicación 20,
en el cual la entidad firmante (A) comprende medios para calcular
el número e a partir de un preenlace calculado con anterioridad, el
cual posee un tamaño igual al menos a (k+P) bits.
22. Sistema de acuerdo a las reivindicaciones 20
ó 21, en el cual el número P es tomado igual a 16 y el número k a
32, el preenlace o el número e teniendo así un tamaño igual al menos
a 48 bits
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9904398 | 1999-04-08 | ||
| FR9904398A FR2792142B1 (fr) | 1999-04-08 | 1999-04-08 | Procede d'authentification et de signature de message utilisant des engagements de taille reduite |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2317832T3 true ES2317832T3 (es) | 2009-05-01 |
Family
ID=9544172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES00917156T Expired - Lifetime ES2317832T3 (es) | 1999-04-08 | 2000-04-07 | Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes. |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7228418B1 (es) |
| EP (1) | EP1166496B1 (es) |
| JP (1) | JP4737834B2 (es) |
| AT (1) | ATE415755T1 (es) |
| DE (1) | DE60040908D1 (es) |
| ES (1) | ES2317832T3 (es) |
| FR (1) | FR2792142B1 (es) |
| WO (1) | WO2000062477A1 (es) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1717697B (zh) * | 2001-06-12 | 2012-01-25 | 捷讯研究有限公司 | 压缩安全电子邮件用于与移动通信设备交换的系统和方法 |
| KR20040015272A (ko) | 2001-06-12 | 2004-02-18 | 리서치 인 모션 리미티드 | 인증서 관리 및 전송 시스템 및 방법 |
| US7254712B2 (en) | 2001-06-12 | 2007-08-07 | Research In Motion Limited | System and method for compressing secure e-mail for exchange with a mobile data communication device |
| WO2003007570A1 (en) | 2001-07-10 | 2003-01-23 | Research In Motion Limited | System and method for secure message key caching in a mobile communication device |
| ES2315379T3 (es) | 2001-08-06 | 2009-04-01 | Research In Motion Limited | Sistema y metodo para el tratamiento de mensajes codificados. |
| FR2842052B1 (fr) | 2002-07-05 | 2004-09-24 | France Telecom | Procede et dispositifs cryptographiques permettant d'alleger les calculs au cours de transactions |
| US9094429B2 (en) * | 2004-08-10 | 2015-07-28 | Blackberry Limited | Server verification of secure electronic messages |
| US7631183B2 (en) | 2004-09-01 | 2009-12-08 | Research In Motion Limited | System and method for retrieving related certificates |
| US7549043B2 (en) | 2004-09-01 | 2009-06-16 | Research In Motion Limited | Providing certificate matching in a system and method for searching and retrieving certificates |
| US7640428B2 (en) | 2004-09-02 | 2009-12-29 | Research In Motion Limited | System and method for searching and retrieving certificates |
| CA2585987C (en) | 2005-10-14 | 2012-12-04 | Research In Motion Limited | System and method for protecting master encryption keys |
| US7953971B2 (en) * | 2005-10-27 | 2011-05-31 | Research In Motion Limited | Synchronizing certificates between a device and server |
| US8191105B2 (en) * | 2005-11-18 | 2012-05-29 | Research In Motion Limited | System and method for handling electronic messages |
| US7840207B2 (en) * | 2005-11-30 | 2010-11-23 | Research In Motion Limited | Display of secure messages on a mobile communication device |
| US8355701B2 (en) | 2005-11-30 | 2013-01-15 | Research In Motion Limited | Display of secure messages on a mobile communication device |
| US20070123217A1 (en) * | 2005-11-30 | 2007-05-31 | Research In Motion Limited | Display of secure messages on a mobile communication device |
| US7814161B2 (en) | 2006-06-23 | 2010-10-12 | Research In Motion Limited | System and method for handling electronic mail mismatches |
| US7949355B2 (en) | 2007-09-04 | 2011-05-24 | Research In Motion Limited | System and method for processing attachments to messages sent to a mobile device |
| US8254582B2 (en) | 2007-09-24 | 2012-08-28 | Research In Motion Limited | System and method for controlling message attachment handling functions on a mobile device |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0457446A (ja) * | 1990-06-26 | 1992-02-25 | Fujitsu Ltd | ルート構築保護方法 |
| JP2513169B2 (ja) * | 1990-12-10 | 1996-07-03 | 日本電信電話株式会社 | 利用者認証方法 |
| JP3131907B2 (ja) * | 1991-02-12 | 2001-02-05 | 日本電信電話株式会社 | ディジタル署名方法 |
| FR2716058B1 (fr) * | 1994-02-04 | 1996-04-12 | France Telecom | Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret. |
| EP0697687A4 (en) * | 1994-03-07 | 2000-09-20 | Nippon Telegraph & Telephone | ZERO KNOWLEDGE AUTHENTICATION PROTOCOL-BASED METHOD AND SYSTEM FOR MESSAGE TRANSMISSION |
| JPH09303014A (ja) * | 1996-05-20 | 1997-11-25 | Sony Corp | 識別信号照合装置及び識別信号照合方法 |
| JP3282161B2 (ja) * | 1996-08-30 | 2002-05-13 | 日本電信電話株式会社 | 複数暗号文内容証明方法 |
| US6134591A (en) * | 1997-06-18 | 2000-10-17 | Client/Server Technologies, Inc. | Network security and integration method and system |
| JP3562262B2 (ja) * | 1997-10-17 | 2004-09-08 | 富士ゼロックス株式会社 | 認証方法および装置 |
-
1999
- 1999-04-08 FR FR9904398A patent/FR2792142B1/fr not_active Expired - Fee Related
-
2000
- 2000-04-07 US US09/937,786 patent/US7228418B1/en not_active Expired - Lifetime
- 2000-04-07 WO PCT/FR2000/000890 patent/WO2000062477A1/fr not_active Ceased
- 2000-04-07 ES ES00917156T patent/ES2317832T3/es not_active Expired - Lifetime
- 2000-04-07 DE DE60040908T patent/DE60040908D1/de not_active Expired - Lifetime
- 2000-04-07 EP EP00917156A patent/EP1166496B1/fr not_active Expired - Lifetime
- 2000-04-07 AT AT00917156T patent/ATE415755T1/de not_active IP Right Cessation
- 2000-04-07 JP JP2000611435A patent/JP4737834B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| EP1166496A1 (fr) | 2002-01-02 |
| DE60040908D1 (de) | 2009-01-08 |
| JP2002542664A (ja) | 2002-12-10 |
| FR2792142B1 (fr) | 2001-06-01 |
| FR2792142A1 (fr) | 2000-10-13 |
| ATE415755T1 (de) | 2008-12-15 |
| EP1166496B1 (fr) | 2008-11-26 |
| WO2000062477A1 (fr) | 2000-10-19 |
| US7228418B1 (en) | 2007-06-05 |
| JP4737834B2 (ja) | 2011-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2317832T3 (es) | Procedimiento de autentificacion y firma de mensajes utilizando enlaces de tamaño reducido y sistemas correspondientes. | |
| Nick et al. | MuSig-DN: Schnorr multi-signatures with verifiably deterministic nonces | |
| Gennaro et al. | Algorithmic tamper-proof (ATP) security: Theoretical foundations for security against hardware tampering | |
| Di Raimondo et al. | New approaches for deniable authentication | |
| Guillou et al. | A practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory | |
| US6813354B1 (en) | Mixing in small batches | |
| Shoup | Why chosen ciphertext security matters | |
| EP1261903B1 (en) | Method of authenticating users of software | |
| CN115660675A (zh) | 由计算机设备执行的方法及相应系统和存储介质 | |
| EP2686978B1 (en) | Keyed pv signatures | |
| ES2400895B1 (es) | Método para realizar una firma digital de grupo | |
| ES2233847T3 (es) | Procedimiento para la autentificacion criptografica. | |
| JPH11231781A (ja) | 認証方法および装置 | |
| KR960042410A (ko) | 인증교환 방법과 복원형 전자서명 방법 및 부가형 전자서명 방법 | |
| van Heijst et al. | New constructions of fail-stop signatures and lower bounds | |
| Ryabko et al. | Basics of contemporary cryptography for IT practitioners | |
| JP4945026B2 (ja) | 減少した計算組を伴う認証または署名プロセス | |
| CN101295384A (zh) | 电子支付方法 | |
| Guo et al. | Pride ct: Towards public consensus, private transactions, and forward secrecy in decentralized payments | |
| ES2203612T3 (es) | Metodo para ejecucion de protocolos criptograficos de teoria de numeros y/o de correccion de error. | |
| Liu et al. | Multi-application smart card with elliptic curve cryptosystem certificate | |
| Safavi-Naini et al. | A general construction for fail-stop signature using authentication codes | |
| Sarkar | A sketch of modern cryptology | |
| JPH04213243A (ja) | 利用者認証方法 | |
| Saxena et al. | Zero-Knowledge blind identification for smart cards using bilinear pairings |