[go: up one dir, main page]

WO2000064097A1 - Procede de verification de signature ou d'authentification - Google Patents

Procede de verification de signature ou d'authentification Download PDF

Info

Publication number
WO2000064097A1
WO2000064097A1 PCT/FR2000/001047 FR0001047W WO0064097A1 WO 2000064097 A1 WO2000064097 A1 WO 2000064097A1 FR 0001047 W FR0001047 W FR 0001047W WO 0064097 A1 WO0064097 A1 WO 0064097A1
Authority
WO
WIPO (PCT)
Prior art keywords
value
modulo
entity
public
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/FR2000/001047
Other languages
English (en)
Inventor
Jacques Patarin
Louis Goubin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bull CP8 SA
Original Assignee
Bull CP8 SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bull CP8 SA filed Critical Bull CP8 SA
Priority to BR0006073-9A priority Critical patent/BR0006073A/pt
Priority to JP2000613117A priority patent/JP2002542716A/ja
Priority to EP00922700A priority patent/EP1090479A1/fr
Publication of WO2000064097A1 publication Critical patent/WO2000064097A1/fr
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Definitions

  • the present invention relates to a method making it possible to make more efficient, in computation time, in necessary RAM and ROM, the verification of an asymmetrical signature or authentication requiring some modulo n multiplications or large numbers.
  • the RSA and Rabin signature or authentication algorithms are examples allowing the implementation of this process.
  • the method is more particularly suitable for implementation in the case of a computer, for example a personal computer designated by PC, which generates a signature or an authentication by means of a secret key which must then be verified. by a microcomputer card.
  • the microcomputer performs this verification using a public key. It has relatively little power compared to the PC.
  • microcomputer card is meant a standard monolithic microcontroller with incorporated memory.
  • large numbers we mean positive integers and at least 320 bits.
  • the scientific community even currently recommends using numbers of at least 512 bits, or even 1024 bits for most algorithms, for example for RSA or Rabin algorithms.
  • microcomputer cards are brought into dialogue with computers having far greater computational capabilities than themselves.
  • microcomputer cards are often used without an arithmetic coprocessor, and with very limited memory resources (ROM, RAM and EEPROM).
  • ROM read only memory
  • RAM random access memory
  • EEPROM electrically erasable programmable read-only memory
  • modulo calculations of large numbers are often very long, even impossible for lack of sufficient memory, if the traditional descriptions of cryptographic algorithms.
  • prover the entity which wants to be authenticated, or which produces a signature. To do this, it performs calculations involving the secret key of the asymmetric algorithm used. It will for example be a PC type computer.
  • verifier the entity which verifies authentication, or which verifies the validity of a signature. For this, it performs calculations involving only the public key of the asymmetric cryptographic algorithm used. It will, for example, be a microcomputer card.
  • the subject of the present invention is the implementation of a signature verification and authentication method making it possible to remedy the aforementioned drawbacks inherent in the more limited computational capacity of a verifier entity, constituted by a microcomputer card, screw vis-à-vis a proving entity, such as a personal computer or other provided with a card reader device.
  • Another object of the present invention is therefore a simplification of the calculation operations of certain modular reductions of the verifier thanks to the implementation of additional calculations of the prover, the task of the verifier being thus simplified in the absence of any weakening of the theoretical safety of the assembly.
  • the authentication signature verification method respectively by means of an asymmetric cryptographic calculation process with private key and public key, object of the present invention, this method being carried out between a "prover" entity and a “verifier” entity , the proving entity performing cryptographic calculations using the private key with a view to performing a signature calculation, respectively an authentication value, and the verifying entity using this transmitted value performing cryptographic calculations using this public key with a view to carrying out this signature verification, respectively to this authentication, the cryptographic calculation operations implementing the calculation of modulo n multiplications or large numbers, is remarkable in that, for a cryptographic calculation process putting using a public key, consisting of a public exponent e and a public modulo n, and a private key constituted by a private exponent, d, this process consists in calculating, at the level of the proving entity, at least one prevalidation value and of transmitting from the proving entity to the entity verifying this at least one prevalidation value , allowing the verifying entity to carry out at least one modular reduction in
  • the process which is the subject of the present invention applies in the context of any dialogue or protocol exchange of messages between a proving entity such as a personal computer and a verifying entity such as a microcomputer card, in particular in the context of banking transactions, access control or the like.
  • FIG. 1 shows an illustrative diagram of the method, object of the present invention, implemented between a proving entity and a verifying entity;
  • FIG. 2a shows an illustrative diagram of the method, object of the present invention, implemented from a Rabin algorithm in authentication verification
  • - Figure 2b shows an illustrative diagram of the method, object of the present invention, implemented from a Rabin algorithm in signature verification
  • - Figure 3a shows an illustrative diagram of the method, object of the present invention, implemented from an RSA algorithm in authentication verification
  • FIG. 3b shows an illustrative diagram of the method, object of the present invention, implemented from an RSA algorithm in signature verification.
  • the method which is the subject of the invention implements, at the level of the verifying entity, public key algorithms requiring modulo n multiplications, or large numbers, and modifies them slightly by causing the calculation of one or more quotients q outside, that is to say at the level of the proving entity, and by providing this or these quotients to the verifier.
  • the verifier can more easily and quickly calculate certain modular multiplications: instead of calculating a * b modulo n, he will just have to calculate a * b, q * n, and a * bq * n, a, b denoting values signature verification or authentication calculations.
  • the quotient (s) q constitute one or more prevalidation values transmitted to the verifying entity in order to allow the verifying entity to carry out at least one modular reduction in the absence of any division operation for this modular reduction.
  • a right arrow represents the transmission of the aforementioned values between verifier and prover or vice versa and an arrow loop at the level of the prover or verifier represents the implementation of an internal calculation at the level of the prover or of the auditor.
  • the RSA algorithm is the most famous of the asymmetric cryptographic algorithms. It was invented by RIVEST, SHAMIR and ADLEMAN in 1978. It can be found described in: RL RIVEST, A. SHAMIR, LM ADLEMAN: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, Communications of the ACM, 21, n ° 2, 1978, pp. 120-126. or in the following documents: • ISO / IEC 9594-8 / ITU-T X.509, Information Technology - Open Systems Interconnection - The Directory: Authentication Framework;
  • the RSA algorithm uses an integer n which is the product of two large prime numbers p and r, and an integer e, prime with ppcm (pl, r-1), and such that e ⁇ ⁇ 1 modulo ppcm (p -1, r-1).
  • the integers n and e constitute the public key.
  • e 2
  • the function x e is not bijective modulo n
  • n is the product of two prime numbers > 2
  • the verifier generates a random number A modulo n, and sends it, (reference 0 in the figure), to the prover. This then calculates a number B (reference 1), and returns this value B to the verifier. This then accepts authentication if and only if: B * B modulo n is equal to one of the following four possible values: A, or nA, or C * A modulo n, or -C * A modulo n.
  • the prover does not send (reference 2) the value B alone: it sends B and Q, where Q is the quotient of B * B by the public modulo n.
  • M the message whose verifier wishes to verify the signature S.
  • S is a Rabin signature of M
  • f is the identity function, or else is described in a signature standard; for example one can use the operations of paddage or concatenation of the standard PKCS # 1, established for RSA normally, confer the descriptive elements of this standard below in the description.
  • the prover does not send (reference 2) the value S only: it sends S and Q, where Q is the quotient of S * S by the public module n.
  • the checker does not have any more any division to calculate.
  • the prover does not send (reference 2) the value B alone: it sends B, Ql and Q2 , where Ql is the quotient of B * B by the public modulo n, and where Q2 is the quotient of B * (B * B - Ql * n) by n.
  • S is an RSA signature of M
  • f is the identity function, or else is described in an RSA signature standard, such as for example the PKCS # 1 standard.
  • the normalized public service can consist in applying to the message M a function of condensation SHA-1 to obtain a digest of message CM, then in concatenating with this digest of message a constant value.
  • the prover does not send (reference 2), the value S only: it sends S, Ql and Q2, where Ql is the quotient of S * S by the public modulo n, and where Q2 is the quotient of S * (S * S - Ql * n) by n.
  • the SHA-1 condensing function is a public "condensing" function. It takes as input a message whose size can range from 0 bytes to several Giga bytes, and gives as output a "digest" of the 160 bit message. This function is often used in standards or with signature algorithms, because it is reputed to be resistant to collisions, that is to say that we cannot concretely find two distinct messages which have the same digest (it exist but we do not know how to find such a couple of messages). This allows you to sign the digest of messages rather than the messages themselves.
  • the PKCS # 1 standard is an RSA signing standard. It describes a public service f. This function f is applied to the message M to be signed with RSA before launching the RSA modular exponentiation operation proper: the RSA signature of M will therefore
  • PKCS # 1 RSA Encryption Standard, version 2, 1998, available at the following address: ftp://ftp.rsa.com/pub/pkcs/doc/pkcs-lv2.doc whose edited version is introduced herein ask for reference.
  • the invention thus consists in providing additional data to the verifier in order to facilitate the calculations.
  • quotients constituting the pre-validation value (s)
  • these data are completely redundant compared to the values transmitted to the card in a "classic" use of the asymmetric algorithm.
  • the card can find these quotients itself. There is therefore no additional information supplied to the card, within the meaning of information theory, when the method, object of the present invention as described above, is implemented. This shows that the security of the whole is in no way weakened compared to the "classic" implementation of the algorithm.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un procédé de vérification de signature ou d'authentification entre prouveur et vérifieur à partir d'un algorithme de calcul cryptographique asymétrique. Le prouveur calcule (1) au moins une valeur de prévalidation q, quotient de deux valeurs cryptographiques a, b par le modulo public n, et transmet au vérifieur cette valeur q. Le vérifieur calcule (3) les produits a*b et q*n et la différence a*b-q*n pour effectuer au moins une réduction modulaire en l'absence d'opération de division. Application à la vérification de signature ou d'authentification entre un prouveur, micro-ordinateur, et un vérifieur, carte à microprocesseur.

Description

Procédé de vérification de signature ou d'authentification
La présente invention concerne un procédé permettant de rendre plus efficace, en temps de calcul, en RAM et ROM nécessaires, la vérification d'une signature ou d'une authentification asymétrique requérant quelques multiplications modulo n ou des grands nombres. Les algorithmes de signature ou d'authentification RSA et Rabin sont des exemples permettant la mise en œuvre de ce procédé.
Le procédé est plus particulièrement adapté en vue d'une mise en œuvre dans le cas d'un ordinateur, par exemple un ordinateur personnel désigné par PC, qui génère une signature ou une authentification au moyen d'une clé secrète qui doit ensuite être vérifiée par une carte à microcalculateur. Le microcalculateur effectue cette vérification au moyen d'une clé publique. Il dispose de relativement peu de puissance en comparaison du PC. Par " carte à microcalcula teur" , on entend un microcontrôleur monolithique standard, avec mémoire incorporée.
Actuellement la majorité des algorithmes à clé publique utilisés dans le monde effectuent des calculs modulo de " grands nombres ". Par " grands nombres ", on désigne des nombres entiers positifs et d'au moins 320 bits. Pour des raisons de sécurité, la communauté scientifique recommande même actuellement d'utiliser des nombres d'au moins 512 bits, voire 1024 bits pour la plupart des algorithmes, par exemple pour les algorithmes RSA ou Rabin.
Actuellement les cartes à microcalculateur sont amenées à dialoguer avec des ordinateurs ayant des capacités de calcul bien plus importantes qu'elles-mêmes. De plus, pour des raisons de coût, on utilise souvent des cartes à microcalculateur sans coprocesseur arithmétique, et avec des ressources en mémoire (ROM, RAM et EEPROM) très limitées. De ce fait, les calculs normalement requis pour réaliser une vérification d'authentification, ou une vérification de signature à clé publique, utilisant des calculs modulo de grands nombres sont souvent très longs, voire impossible faute de mémoire suffisante, si l'on utilise les descriptions traditionnelles des algorithmes cryptographiques .
Dans la suite de la description on désigne par :
• "prouveur" : l'entité qui veut être authentifiée, ou qui produit une signature. Elle effectue pour cela des calculs faisant intervenir la clé secrète de l'algorithme asymétrique utilisé. Il s'agira par exemple d'un ordinateur de type PC.
• " vérifieur" : l'entité qui vérifie l' authentification, ou qui vérifie la validité d'une signature. Elle effectue pour cela des calculs faisant intervenir uniquement la clé publique de l'algorithme cryptographique asymétrique utilisé. Il s'agira par exemple d'une carte à microcalculateur.
La présente invention a pour objet la mise en œuvre d'un procédé de vérification de signature et d'authentification permettant de remédier aux inconvénients précités inhérents à la capacité de calcul plus limitée d'une entité vérifieur, constituée par une carte à microcalculateur, vis-à-vis d'une entité prouveur, tel qu'un ordinateur personnel ou autre muni d'un dispositif lecteur de carte.
Un autre objet de la présente invention est en conséquence une simplification des opérations de calcul de certaines réductions modulaires du vérifieur grâce à la mise en œuvre de calculs supplémentaires du prouveur, la tâche du vérifieur étant ainsi simplifiée en l'absence de tout affaiblissement de la sécurité théorique de l'ensemble.
Le procédé de vérification de signature respectivement d'authentification au moyen d'un processus de calcul cryptographique asymétrique à clé privée et à clé publique, objet de la présente invention, ce procédé étant conduit entre une entité "prouveur" et une entité "vérifieur", l'entité prouveur effectuant des calculs cryptographiques à partir de la clé privée en vue d'effectuer un calcul de signature, respectivement une valeur d'authentification, et l'entité vérifieur à partir de cette valeur transmise effectuant des calculs cryptographiques à partir de cette clé publique en vue de procéder à cette vérification de signature, respectivement à cette authentification, les opérations de calcul cryptographique mettant en œuvre le calcul de multiplications modulo n ou des grands nombres, est remarquable en ce que, pour un processus de calcul cryptographique mettant en œuvre une clé publique, constituée par un exposant public e et un modulo public n, et une clé privée constituée par un exposant privé, d, ce procédé consiste à calculer, au niveau de l'entité prouveur, au moins une valeur de prévalidation et à transmettre de l'entité prouveur à l'entité vérifieur cette au moins une valeur de prévalidation, permettant à l'entité vérifieur d'effectuer au moins une réduction modulaire en l'absence de toute opération de division pour cette réduction modulaire.
Le procédé, objet de la présente invention, s'applique dans le cadre de tout dialogue ou protocole d'échange de messages entre une entité prouveur telle qu'un ordinateur personnel et une entité vérifieur telle qu'une carte à microcalculateur, en particulier dans le cadre de transactions bancaires, de contrôle d'accès ou analogue.
Il sera mieux compris à la lecture de la description ci-après et à l'observation des dessins dans lesquels :
- la figure 1 représente un schéma illustratif du procédé, objet de la présente invention, mis en œuvre entre une entité prouveur et une entité vérifieur ;
- la figure 2a représente un schéma illustratif du procédé, objet de la présente invention, mis en œuvre à partir d'un algorithme de Rabin en vérification d'authentification ;
- la figure 2b représente un schéma illustratif du procédé, objet de la présente invention, mis en œuvre à partir d'un algorithme de Rabin en vérification de signature ; - la figure 3a représente un schéma illustratif du procédé, objet de la présente invention, mis en œuvre à partir d'un algorithme RSA en vérification d'authentification ;
- la figure 3b représente un schéma illustratif du procédé, objet de la présente invention, mis en œuvre à partir d'un algorithme RSA en vérification de signature.
Une description plus détaillée du procédé, objet de l'invention, sera donnée en liaison avec la figure 1 et les figures suivantes. Le procédé objet de l'invention met en œuvre, au niveau de l'entité vérifieur, des algorithmes à clé publique requérant des multiplications modulo n, ou des grands nombres, et les modifie légèrement en faisant faire le calcul d'un ou de plusieurs quotients q à l'extérieur, c'est-à-dire au niveau de l'entité prouveur, et en fournissant ce ou ces quotients au vérifieur. Ainsi le vérifieur peut plus facilement et plus rapidement calculer certaines multiplications modulaires : au lieu de calculer a*b modulo n, il aura juste à calculer a*b, q*n, et a*b-q*n, a, b désignant des valeurs des calcul de vérification de signature ou d'authentification. Parfois, pour la sécurité il utilise cette dernière valeur d'une façon qui lui permettra de s'assurer que cette dernière valeur est bien comprise entre 1 et n. Lorsque l'on modifie ainsi un algorithme, en "précal culant" donc certains quotients, qui sont fournis au vérifieur afin de simplifier les calculs exécutés par ce dernier, on parle d'algorithme " sous-jacent" pour désigner l'algorithme initial dont on est parti, avant de faire cette modification. Ainsi, en référence à la figure 1, conformément à un aspect remarquable du procédé objet de la présente invention, le ou les quotients q, vérifiant la relation q=a*b/n, constituent une ou plusieurs valeurs de prévalidation transmises à l'entité vérifieur afin de permettre à l'entité vérifieur d'effectuer au moins une réduction modulaire en l'absence de toute opération de division pour cette réduction modulaire. En référence à la figure 1, on indique que le procédé objet de l'invention peut être mis en œuvre soit en vérification de l' authentification, suite à l'envoi d'une valeur d'incitation tel qu'un aléa a (voir la référence 0 sur la figure), calcul (référence 1) en interne au niveau du prouveur d'une valeur de réponse b = ad mod n, et de la valeur de prévalidation q, transmission (référence 2) de b et q du prouveur au vérifieur et calcul (référence 3) par le vérifieur des quantités a*b, q*n et a*b-q*n pour procéder à la vérification de 1 ' authentification, soit à la vérification de signature d'un message M, suite au calcul (référence 1) au niveau du prouveur d'une signature S = Sd(M) du message M et de la valeur de prévalidation q, envoi (référence 2) du vérifieur au prouveur de q, S et M, calcul (référence 3) au niveau du vérifieur des quantités a*b = S*S, q*n et a*b-q*n pour procéder à la vérification de signature.
Dans la figure 1 et les figures suivantes, une flèche droite représente la transmission des valeurs précitées entre vérifieur et prouveur ou réciproquement et une boucle fléchée au niveau du prouveur ou du vérifieur représente la mise en œuvre d'un calcul interne au niveau du prouveur ou du vérifieur. Enfin, dans la suite de la description, on désigne par réponse R soit la valeur calculée b par chiffrement de l'aléa a dans le cas d'une vérification d'authentification b = ad mod n, soit la valeur de signature S = Sd(M) suite à la mise en présence du vérifieur et du prouveur. Différents exemples de mise en œuvre du procédé objet de la présente invention seront maintenant décrits à partir des algorithmes sous-jacents, désignés par algorithmes RSA et algorithmes de Rabin. Algorithmes RSA et de Rabin sous-jacents L'algorithme RSA est le plus célèbre des algorithmes cryptographiques asymétriques. Il a été inventé par RIVEST, SHAMIR et ADLEMAN en 1978. On peut le trouver décrit dans : R.L. RIVEST, A. SHAMIR, L.M. ADLEMAN : A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, Communications of the ACM, 21, n°2, 1978, pp. 120-126. ou dans les documents suivants : • ISO/IEC 9594-8/ITU-T X.509, Information Technology - Open Systems Interconnection - The Directory: Authentication Framework ;
• ANSI X9.31-1, American National Standard, Public-Key Cryptography Using Réversible Algorithms for the
Financial Services Industry, 1993. Ces documents sont introduits dans la présente description à titre de référence.
L'algorithme RSA utilise un nombre entier n qui est le produit de deux grands nombres premiers p et r, et un nombre entier e, premier avec ppcm(p-l, r-1) , et tel que e ≠ ± 1 modulo ppcm (p-1, r-1) . Les entiers n et e constituent la clé publique. Le calcul en clé publique fait appel à la fonction α de Z/nZ dans Z/nZ définie par α(x)=xe mod n. Le calcul en clé secrète fait appel à la fonction α-1(y)=yd mod n, où d est l'exposant secret, appelé aussi " clé secrète " ou "clé privée ", défini par ed ≡ 1 mod ppcm (p-1, r-1) .
Notons n le modulo public RSA, notons d l'exposant secret RSA et notons e l'exposant public RSA.
Dans le cas d'une vérification d'authentification, le vérifieur génère un nombre aléatoire A modulo n, et l'envoie au prouveur. Celui ci calcule alors B= Ad modulo n, et renvoie cette valeur B au vérifieur. Celui-ci accepte alors l' authentification si et seulement si: Be modulo n = A.
La plus petite valeur de e pour mettre en œuvre l'algorithme RSA est e = 3. Pour e = 2, on parle d' algorithme de Rabin ; celui-ci sera décrit ci-après dans la description. Cette valeur e = 3 est intéressante car elle permet au vérifieur de n'avoir à effectuer que deux multiplications modulaires. g
L'algorithme de Rabin est en quelque sorte un algorithme RSA avec l'exposant public e = 2. En fait, lorsque e = 2, la fonction xe n'est pas bijective modulo n, lorsque n est le produit de deux nombres premiers > 2, on introduit donc des petites modifications dans l'utilisation de l'algorithme de Rabin par rapport au RSA.
On peut trouver une description de l'algorithme de Rabin dans : M.O. Rabin, Digitized Signatures and Public-Key Functions as intractable as Factorization, Technical Report LCS/TR- 212, M.I.T. Laboratory for Computer Science, 1979, introduit dans la présente demande de brevet à titre de référence. Exemples de mise en œuyre du procédé objet de l'invention à partir des algorithmes de Rabin et RSA Algorithme de Rabin
Le procédé, objet de la présente invention, sera tout d'abord décrit dans un mode de réalisation particulier non limitatif à partir de l'algorithme de Rabin, soit pour e = 2.
** Vérification d'authentification
Ainsi que représenté en figure 2a, un exemple possible d'utilisation de l'algorithme de Rabin en vérification d'authentification est maintenant décrit.
Notons n le modulo public. Le vérifieur génère un nombre aléatoire A modulo n, et l'envoie, (référence 0 sur la figure), au prouveur. Celui-ci calcule alors un nombre B (référence 1), et renvoie cette valeur B au vérifieur. Celui-ci accepte alors l' authentification si et seulement si: B*B modulo n est égal à l'une des quatre valeurs possibles suivantes : A, ou n-A, ou C*A modulo n, ou -C*A modulo n. C est un nombre fixé par le protocole, C = 2 le plus souvent.
Pour simplifier le processus de vérification, conformément au procédé objet de la présente invention, le prouveur n'envoie pas, (référence 2), la valeur B seule : il envoie B et Q, où Q est le quotient de B*B par le modulo public n. Le vérifieur vérifie alors que DA = B*B - Q*n est bien égal à l'une des quatre valeurs suivantes : A, n-A, (C*A) modulo n, ou (-C*A) modulo n. De plus, il peut calculer (C*A) modulo n en calculant C*A, en gardant cette valeur si elle est < n, et en prenant la valeur C*A - n sinon. De même, il peut calculer (-C*A) modulo n en calculant n-C*A, en gardant cette valeur si elle est >= 0, et en prenant la valeur C*n - C*A sinon. Ainsi le vérifieur n'a plus aucune division à effectuer. ** Vérification de signature
Ainsi que représenté en figure 2b, et en conservant les mêmes notations que ci-dessus, on note M le message dont le vérifieur souhaite vérifier la signature S. La signature S est obtenue à partir de la clé privée d par S = Sd(M), Sd(M) désignant l'opération de calcul de signature du message M. Si S est une signature Rabin de M, alors le vérifieur vérifie normalement que S*S modulo n = f(M) ou n-f(M), ou (2*f(M) modulo n) ou (-2*f(M) modulo n) , où f est une fonction publique standardisée du message M. Par exemple f est la fonction identité, ou bien est décrite dans une norme de signature ; par exemple on peut utiliser les opérations de paddage ou concaténation de la norme PKCS#1, établie pour du RSA normalement, confer les éléments descriptifs de cette norme ci-après dans la description.
En conservant les mêmes notations que ci-dessus, pour simplifier le processus de vérification de la signature, ainsi que représenté en figure 2b, dans le procédé objet de la présente invention, le prouveur n'envoie pas, (référence 2), la valeur S seule : il envoie S et Q, où Q est le quotient de S*S par le modulo public n. Le vérifieur vérifie alors que DSR = S*S - Q*n est bien égal à f (M) , ou n-f(M), ou C*f(M) modulo n, ou -C*f(M) modulo n, où C est un nombre fixé par le protocole, C pouvant être pris égal à 2. Comme ces deux dernières valeurs peuvent être calculées modulo n en effectuant zéro ou une soustraction par n, le vérifieur n'a plus aucune division à calculer. Algorithme RSA
Le procédé, objet de la présente invention, sera maintenant décrit dans un mode de réalisation particulier non limitatif à partir de l'algorithme RSA, soit pour e = 3. Vérification d'authentification
Ainsi que représenté en figure 3a, à partir d'un aléa A, pour simplifier le processus de vérification, dans la présente invention le prouveur n'envoie pas, (référence 2) , la valeur B seule : il envoie B, Ql et Q2, où Ql est le quotient de B*B par le modulo public n, et où Q2 est le quotient de B* ( B*B - Ql*n) par n. Le vérifieur vérifiera alors que DARSA = B* (B*B - Ql*n) -Q2*n est bien égal à A. Ainsi le vérifieur n'a plus aucune division à effectuer. ** Vérification de signature
En conservant les mêmes notations que ci-dessus et en notant M le message dont le vérifieur souhaite vérifier la signature S, S est une signature RSA de M, alors le vérifieur vérifie normalement que Se modulo n = f(M), où f est une fonction publique standardisée du message M. Par exemple f est la fonction identité, ou bien est décrite dans une norme de signature RSA, comme par exemple la norme PKCS#1. La fonction publique normalisée peut consister à appliquer au message M une fonction de condensation SHA-1 pour obtenir un condensé de message CM, puis à concaténer à ce condensé de message une valeur constante.
Ainsi que représenté en figure 3b, et en conservant les mêmes notations que ci-dessus, pour simplifier le processus de vérification de la signature, dans le procédé, objet de la présente invention, le prouveur n'envoie pas, (référence 2), la valeur S seule : il envoie S, Ql et Q2, où Ql est le quotient de S*S par le modulo public n, et où Q2 est le quotient de S* ( S*S - Ql*n) par n. Le vérifieur vérifiera alors que DSRSA = S* (S*S - Ql*n) -Q2*n est bien égal à f (M) . Ainsi le vérifieur n'a plus aucune division à effectuer.
La fonction de condensation SHA-1 est une fonction publique de " condensation" . Elle prend en entrée un message dont la taille peut aller de 0 octets à plusieurs Giga octets, et donne en sortie un " condensé" du message de 160 bits. Cette fonction est souvent utilisée dans des normes ou avec des algorithmes de signature, car elle est réputée être résistante aux collisions, c'est-à-dire que l'on ne sait pas trouver concrètement deux messages distincts qui ont le même condensé (il en existe mais on ne sait pas comment trouver un tel couple de messages) . Ceci permet de signer le condensé des messages plutôt que les messages eux-mêmes.
La norme PKCS#1 est une norme de signature RSA. Elle décrit une fonction publique f. Cette fonction f est appliquée sur le message M à signer avec RSA avant de lancer l'opération d'exponentiation modulaire RSA proprement dite : la signature RSA de M sera donc
S = (f(M))d modulo n, où n est le modulo public RSA et où d est l'exposant secret RSA. f utilise une fonction de condensation (par exemple SHA-1) suivie d'un paddage, ou concaténation, avec une constante.
Pour une description plus détaillée, on peut consulter :
PKCS#1, RSA Encryption Standard, version 2, 1998, disponible à l'adresse suivante : ftp://ftp.rsa.com/pub/pkcs/doc/pkcs-lv2.doc dont la version éditée est introduite dans la présente demande à titre de référence.
L'invention consiste ainsi à fournir des données supplémentaires au vérifieur afin de lui faciliter les calculs. Pour précalculer ces données, ici des quotients constituant la ou les valeurs de pré-validation, on n'a pas besoin d'utiliser la clé secrète de l'algorithme. Cela signifie que ces données sont complètement redondantes par rapport aux valeurs transmises à la carte dans une utilisation " classique" de l'algorithme asymétrique. En fait, dans la version "classique", la carte sait retrouver elle-même ces quotients. Il n'y a donc aucune information supplémentaire fournie à la carte, au sens de la théorie de l'information, lorsqu'on met en œuvre le procédé, objet de la présente invention tel que décrit précédemment. Cela montre que la sécurité de l'ensemble n'est en rien affaiblie par rapport à la mise en œuvre " classique" de l' algorithme.

Claims

REVENDICATIONS
1. Procédé de vérification de signature, respectivement d'authentification, au moyen d'un processus de calcul cryptographique asymétrique à clé privée et à clé publique, entre une entité "prouveur" et une entité "vérifieur", l'entité prouveur effectuant des calculs cryptographiques à partir de ladite clé privée en vue d'effectuer un calcul de signature, respectivement d'une valeur d'authentification, constituant une valeur de réponse et l'entité vérifieur, à partir de cette valeur de réponse, effectuant des calculs cryptographiques à partir de ladite clé publique en vue de procéder à cette vérification de signature, respectivement cette authentification, les opérations de calcul cryptographique mettant en œuvre le calcul de multiplications modulo n ou des grands nombres, caractérisé en ce que pour un processus de calcul cryptographique mettant en œuvre une clé publique, comprenant un exposant public e et un modulo public n, et une clé privée comprenant un exposant privé, celui-ci comprend les étapes suivantes :
- calculer au niveau de ladite entité prouveur au moins une valeur de pré-validation ; transmettre de l'entité prouveur à l'entité vérifieur ladite au moins une valeur de pré-validation, cette valeur de pré-validation permettant à l'entité vérifieur d'effectuer au moins une réduction modulaire en l'absence de toute opération de division pour cette réduction modulaire.
2. Procédé selon la revendication 1, caractérisé en ce que pour un exposant public e=2, le processus de calcul cryptographique étant basé sur un algorithme de RABIN, ladite au moins une valeur de pré-validation comprend une valeur unique, quotient Q du carré de ladite valeur de signature, respectivement de réponse ,par ledit modulo public n, Q = R*R/n, où R désigne ladite valeur de signature, respectivement de réponse, à une authentification.
3. Procédé selon la revendication 2, caractérisé en ce que suite à la réception par ladite entité vérifieur de ladite valeur de réponse à une vérification d'authentification respectivement de signature d'un message (M) et de ladite au moins une valeur de pré- validation, comprenant ledit quotient, ce procédé comprend, au niveau de ladite entité vérifieur, les étapes suivantes :
- calculer la différence (DAR, DSR) entre le carré de la valeur de réponse R*R et le produit Q*n dudit quotient Q par ledit modulo public n,
Figure imgf000016_0001
- vérifier l'égalité de ladite différence avec la valeur d'une fonction de cette valeur de réponse, en l'absence de toute opération de division par l'opération modulo n.
4. Procédé selon la revendication 1, caractérisé en ce que pour un exposant public e = 3, le processus de calcul cryptographique étant basé sur un algorithme RSA, ladite au moins une valeur de pré-validation comprend : - un premier quotient Qi du carré R*R de ladite valeur de réponse R par ledit modulo public n ;
- un deuxième quotient Q2 du produit de ladite valeur de réponse et de la différence entre le carré R*R de cette valeur de réponse et du produit dudit premier quotient Qi et du modulo public n, par ledit modulo public n, Q2 = R* (R*R - Qι*n)/n.
5. Procédé selon la revendication 4, caractérisé en ce que suite à la réception de ladite valeur de réponse R et de ladite au moins une valeur de pré-validation comprenant lesdits premier et deuxième quotients Qi, Q2, ledit procédé comprend, au niveau de ladite entité vérifieur, les étapes suivantes : - calculer la différence (DARSA, DSRSA) entre le produit de ladite valeur de réponse R et de la différence entre le carré R*R de cette valeur de réponse et le produit dudit premier quotient Qi et du modulo public n et le produit dudit deuxième quotient Q2 et dudit modulo public n, (DARSA, DSRSA) = R* (R*R - Qι*n) -Q2*n ;
- vérifier l'égalité de cette différence avec la valeur d'une fonction de ladite valeur de réponse, en l'absence de toute opération de division par opération modulo n.
6. Procédé selon la revendication 3 ou 5, caractérisé en ce que pour une opération de vérification de signature d'un message (M), ladite fonction comprenant une fonction publique normalisée f (M) de ce message M, il comprend les étapes suivantes : - appliquer à ce message une fonction de condensation pour obtenir un condensé de message CM ;
- concaténer à ce condensé de message une valeur constante.
7. Procédé selon l'une des revendications 3 ou 5, caractérisé en ce que, pour une opération de vérification d'authentification, ce procédé comprend en outre l'étape de transmission de l'entité vérifieur à l'entité prouveur d'une valeur d'incitation.
8. Procédé selon la revendication 7, caractérisé en ce que ladite valeur d'incitation comprend une valeur aléatoire A modulo n, ladite valeur de réponse R comprend une valeur chiffrée B, et ladite fonction de la valeur de réponse comprend une fonction f (A) de ladite valeur aléatoire A.
9. Procédé selon l'une des revendications 3 et 7, caractérisé en ce que ladite fonction f (A) de ladite valeur aléatoire A comprend une fonction parmi les fonctions f (A) = A, f (A) = n-A, f (A) = C*A modulo n, f (A) = -C*A modulo n.
10. Procédé selon la revendication 9, caractérisé en ce que, au niveau de l'entité vérifieur, le calcul de ladite fonction f (A) = C*A modulo n comprend le calcul de la valeur C*A et la mémorisation de cette valeur si C*A < n, et le calcul et la mémorisation de la valeur C*A- n sinon, et en ce que le calcul de ladite fonction f (A) = -C*A modulo n comprend le calcul de la valeur n-C*A et la mémorisation de cette valeur si n-C*A ≥ 0, et sinon le calcul de la valeur intermédiaire C*n-C*A, et, si cette valeur intermédiaire est supérieure ou égale à zéro, le calcul et la mémorisation de la valeur de C*n-C*a comme valeur affectée à la valeur de -C*A modulo n, ce qui permet de vérifier l'égalité de ladite authentification en l'absence de toute division pour la réduction modulaire.
11. Procédé selon les revendications 5 et 8, caractérisé en ce que ladite fonction f (A) de ladite valeur aléatoire A est la fonction f (A) = A, ce qui permet de vérifier l'égalité de ladite différence et la validité de ladite authentification, en l'absence d'opération de division pour la réduction modulaire.
12. Procédé selon la revendication 1, caractérisé en ce que ladite valeur de réponse, valeur chiffrée B, et ladite valeur de quotient Q sont concaténées préalablement à leur transmission de l'entité prouveur à l'entité vérifieur.
13. Utilisation du procédé selon la revendication 1, l'entité vérifieur comprenant un système embarqué tel qu'une carte à microprocesseur et l'entité prouveur un système lecteur de système embarqué.
PCT/FR2000/001047 1999-04-20 2000-04-20 Procede de verification de signature ou d'authentification Ceased WO2000064097A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
BR0006073-9A BR0006073A (pt) 1999-04-20 2000-04-20 Método de verificação de assinatura ou de autenticação
JP2000613117A JP2002542716A (ja) 1999-04-20 2000-04-20 署名または認証の検証方法
EP00922700A EP1090479A1 (fr) 1999-04-20 2000-04-20 Procede de verification de signature ou d'authentification

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR99/04975 1999-04-20
FR9904975A FR2792789B1 (fr) 1999-04-20 1999-04-20 Procede de verification de signature ou d'authentification

Publications (1)

Publication Number Publication Date
WO2000064097A1 true WO2000064097A1 (fr) 2000-10-26

Family

ID=9544643

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2000/001047 Ceased WO2000064097A1 (fr) 1999-04-20 2000-04-20 Procede de verification de signature ou d'authentification

Country Status (6)

Country Link
EP (1) EP1090479A1 (fr)
JP (1) JP2002542716A (fr)
CN (1) CN1306713A (fr)
BR (1) BR0006073A (fr)
FR (1) FR2792789B1 (fr)
WO (1) WO2000064097A1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7440571B2 (en) * 2002-12-03 2008-10-21 Nagravision S.A. Method for securing software updates
FR2877453A1 (fr) * 2004-11-04 2006-05-05 France Telecom Procede de delegation securisee de calcul d'une application bilineaire

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0522473A2 (fr) * 1991-07-08 1993-01-13 Mitsubishi Denki Kabushiki Kaisha Procédé et dispositif cryptographique de vérification d'identité
EP0791877A1 (fr) * 1996-02-26 1997-08-27 France Telecom Dispositif électronique délivrant une référence temporelle sûre pour la protection d'un logiciel

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0522473A2 (fr) * 1991-07-08 1993-01-13 Mitsubishi Denki Kabushiki Kaisha Procédé et dispositif cryptographique de vérification d'identité
EP0791877A1 (fr) * 1996-02-26 1997-08-27 France Telecom Dispositif électronique délivrant une référence temporelle sûre pour la protection d'un logiciel

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CHANG C C ET AL: "AN ID-BASED SIGNATURE SCHEME BASED UPON RABIN'S PUBLIC KEY CRYPTOSYSTEM", PROCEEDINGS OF THE ANNUAL INTERNATIONAL CARNAHAN CONFERENCE ON SECURITY TECHNOLOGY,US,NEW YORK, IEEE, vol. CONF. 25, 1991, pages 139 - 141, XP000300422, ISBN: 0-7803-0120-X *

Also Published As

Publication number Publication date
BR0006073A (pt) 2001-03-20
CN1306713A (zh) 2001-08-01
EP1090479A1 (fr) 2001-04-11
FR2792789A1 (fr) 2000-10-27
JP2002542716A (ja) 2002-12-10
FR2792789B1 (fr) 2001-08-31

Similar Documents

Publication Publication Date Title
EP2345202B1 (fr) Procédé de signature numérique en deux étapes
EP2256987B1 (fr) Protection d&#39;une génération de nombres premiers pour algorithme RSA
FR2759226A1 (fr) Protocole de verification d&#39;une signature numerique
EP3506556A1 (fr) Méthode d&#39;échange de clés authentifié par chaine de blocs
FR2834403A1 (fr) Systeme cryptographique de signature de groupe
FR2760583A1 (fr) Systeme de verification de cartes de donnees
EP2891268B1 (fr) Signature de groupe utilisant un pseudonyme
CA2216607C (fr) Procede de communication cryptographique asymetrique, et objet portatif associe
EP0878934B1 (fr) Procédé d&#39;identification à clé publique utilisant deux fonctions de hachage
EP1166496A1 (fr) Procede d&#39;authentification et de signature de message utilisant des engagements de taille reduite et systemes correspondants
EP1145483B1 (fr) Procede d&#39;authentification ou de signature a nombre de calculs reduit
EP0963638B1 (fr) Procede de signature numerique
EP1224765A1 (fr) Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle publique de type rsa
EP1807967B1 (fr) Procede de delegation securisee de calcul d&#39;une application bilineaire
WO2003055134A9 (fr) Procede cryptographique permettant de repartir la charge entre plusieurs entites et dispositifs pour mettre en oeuvre ce procede
EP1520370B1 (fr) Procédé et dispositifs cryptographiques permettant d&#39;alleger les calculs au cours de transactions
EP1090479A1 (fr) Procede de verification de signature ou d&#39;authentification
EP1407575B1 (fr) Procede pour effectuer une tache cryptographique au moyen d&#39;une cle publique
WO2006070092A1 (fr) Procede de traitement de donnees et dispositif associe
FR3018372A1 (fr) Generation de message pour test de generation de cles cryptographiques
EP2587716A1 (fr) Procédé de signature cryptographique de messages, procédé de vérification de signature et dispositifs de signature et de vérification correspondants
EP1820297A1 (fr) Procédé de génération de signature avec preuve de sécurité &#34;tight&#34;, procédé de vérification et schéma de signature associés basés sur le modèle de diffie-hellman
FR3154209A1 (fr) Procédé de mise en œuvre d’une transaction entre un premier équipement de preuve et un deuxième équipement de vérification.
WO2025083096A1 (fr) Protocole niable a apport de connaissance nulle
WO2003013053A1 (fr) Procede de determination de la taille d&#39;un alea pour un schema de signature electronique

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 00800922.8

Country of ref document: CN

AK Designated states

Kind code of ref document: A1

Designated state(s): BR CN JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

WWE Wipo information: entry into national phase

Ref document number: 2000922700

Country of ref document: EP

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 09720085

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 2000922700

Country of ref document: EP

WWW Wipo information: withdrawn in national office

Ref document number: 2000922700

Country of ref document: EP