專利名稱:公用與專用密鑰加密方法
技術(shù)領(lǐng)域:
本發(fā)明涉及公用與專用密鑰加密方法,這能用于其中需要保證通過任何信道發(fā)送的消息的機(jī)密性和/或需要確切識(shí)別與之交換消息的設(shè)備的所有應(yīng)用中�����。
利用發(fā)送的信息的加密來獲得通過任何通信信道在兩個(gè)設(shè)備A與B之間發(fā)送的消息的機(jī)密性���,以使此信息對于未預(yù)定發(fā)送此信息給之的任何人是不可懂的���。消息的可靠識(shí)別部分基于消息的數(shù)字特征標(biāo)記的計(jì)算。
實(shí)際上��,能使用兩種類型的加密方法���,即一種類型是所謂的對稱加密方法�����,具有保密密鑰,其公知的示例是DES����,另一種類型是所謂的非對稱加密方法,使用公用與專用密鑰對,描述在1976年11月IEEE Transactions on Information Theory上發(fā)表的Messrs Diffie與Hellman的文章“New Directions in Cryptography”中�。非對稱方法的公知示例是源于其發(fā)明者Ronald Rivest、Adi Shamir與Leonard Adleman名字的RSA�,在US專利4405829中可找到此RSA方法的描述。
在本發(fā)明中��,更具體地涉及非對稱加密方法�。
根據(jù)非對稱加密方法的加密方法主要包括對于希望機(jī)密地發(fā)送消息給目的地B的發(fā)射機(jī)A來說,考慮例如電話簿中目的地B的公用密鑰KB��;利用此公用密鑰對要進(jìn)行發(fā)送的消息應(yīng)用加密方法E�;并發(fā)送給目的地B,得到密碼CC=EKB(m)�����。
對于目的地B�,此方法主要包括接收密碼C;并解碼此密碼C以獲得原始消息m��;利用只有它知道的專用密鑰K′b對密碼C應(yīng)用解密方法Dm=DK′b(C)�����。
根據(jù)此方法�,任何人都能發(fā)送加密消息給目的地B��,但只有后者能解密此消息���。
通常將非對稱加密方法用于特征標(biāo)記的生成/驗(yàn)證。在此種情況下�����,希望證明其身份的用戶利用只有他知道的專用密鑰來生成消息m的數(shù)字特征標(biāo)記s��,即��,他發(fā)送給目的設(shè)備的特征標(biāo)記�����。目的設(shè)備利用此用戶的公用密鑰來進(jìn)行此特征標(biāo)記的驗(yàn)證����。任何設(shè)備因而具有驗(yàn)證用戶的特征標(biāo)記、考慮此用戶的公用密鑰并將此公用密鑰應(yīng)用于驗(yàn)證算法中的能力���。然而����,只有相關(guān)的用戶具有利用其專用密鑰生成正確的特征標(biāo)記的能力��。此方法例如大多用于接入控制系統(tǒng)或銀行交易中�,這一般與加密方法的使用相結(jié)合,以便在發(fā)送特征標(biāo)記之前加密此特征標(biāo)記���。
對于數(shù)字特征標(biāo)記的生成/驗(yàn)證�,有可能實(shí)際使用諸如對應(yīng)于US國家標(biāo)準(zhǔn)與技術(shù)委員會(huì)建議的美國標(biāo)準(zhǔn)的DSA(數(shù)字特征標(biāo)記算法)的此應(yīng)用專用的非對稱加密方法��。也有可能使用具有能在加密與特征標(biāo)記生成時(shí)使用的特性的RSA��。
在本發(fā)明中����,涉及能用于消息的加密和數(shù)字特征標(biāo)記的生成的加密方法。在本技術(shù)領(lǐng)域的當(dāng)前狀態(tài)中�,只有存在許多不同實(shí)施方案的RSA才提供此雙重功能。
該RSA包括生成用于指定設(shè)備的公用密鑰K與專用密鑰K′的步驟����,其中程序如下-選擇兩個(gè)不同的大素?cái)?shù)p與q,-計(jì)算其乘積n=p·q���,-利用(p-1)(q-1)的最小公倍數(shù)選擇一個(gè)素?cái)?shù)�。實(shí)際上,通常取e等于3���。
隨后利用參數(shù)對(n��,e)形成該公用密鑰K����,并利用參數(shù)對(p�,q)形成保密密鑰K′。
通過選擇大尺寸的p與q��,其乘積n也具有大尺寸�。N因此非常困難進(jìn)行因子分解保證在知道n的情況下不可能找到保密密鑰K′=(p,q)�����。
表示消息M的數(shù)字m(0≤m<n)的加密方法則包括利用公用密鑰K=(n�����,e)執(zhí)行下面的計(jì)算c=EB(m)=memod n���。
該解密方法則部分包括利用保密的專用密鑰K′=(p�,q)執(zhí)行下面的逆計(jì)算m=cdmod(n)其中d=1emod(p-1)(q-1)]]>
已經(jīng)知道RSA具有能用于特征標(biāo)記驗(yàn)證的特性。用戶A的特征標(biāo)記生成的相應(yīng)方法包括使用借助該保密密鑰的解密方法以便生成表示消息的數(shù)字m的特征標(biāo)記s���。因而s=mdmod n。
將此特征標(biāo)記s發(fā)送給目的地B�,知道m(xù)的后者(例如,A發(fā)送s與m)���,通過執(zhí)行逆運(yùn)算��,也就是說使用借助發(fā)射機(jī)A的公用密鑰的此加密方法����,來驗(yàn)證此特征標(biāo)記�����。即���,他計(jì)算V=semod n�,并驗(yàn)證v=m����。
一般地�,為了提高這樣的特征標(biāo)記驗(yàn)證方法的安全性���,在計(jì)算此特征標(biāo)記之前首先對數(shù)字m應(yīng)用散列函數(shù)��,這能包括比特的置換和/或壓縮�。
在說到要加密或標(biāo)記的消息M時(shí)�,這當(dāng)然是指能從先前的數(shù)字編碼中得到的數(shù)字消息的情況。實(shí)際上���,這些是其二進(jìn)制大小(比特的數(shù)量)是可變的比特串��。
然而�����,諸如RSA的加密方法使之有可能利用公用密鑰(n�����,e)加密0與n-1之間的任何數(shù)字��。為了將此方法應(yīng)用于具有任何大小的消息M�,因此實(shí)際需要將此消息劃分為均滿足條件0≤m<n的一系列數(shù)字m。隨后��,將此加密方法應(yīng)用于這些數(shù)字之中的每一個(gè)數(shù)字��。下面�,因此涉及對表示消息M的數(shù)字m應(yīng)用此加密方法的情況。m能等于M或只是其一部分�。下面,將m一般地用于表示該消息或代表此消息的數(shù)字�。
本發(fā)明的一個(gè)目的是不同于基于RSA的方法的非對稱加密方法��。
本發(fā)明的一個(gè)目的是基于能應(yīng)用于消息的加密或特征標(biāo)記的生成的其他特性的方法�。
本發(fā)明的一個(gè)目的是在某些結(jié)構(gòu)中提供更迅速的處理時(shí)間的加密方法。
其特征在于�,本發(fā)明涉及根據(jù)權(quán)利要求1的加密方法。
通過結(jié)合附圖閱讀作為示意給出的并且無論如何不限制本發(fā)明的下面描述將更好地理解本發(fā)明�����,其中
圖1是非對稱類型的密碼通信系統(tǒng)的功能圖�����;圖2是用于根據(jù)本發(fā)明的密碼通信系統(tǒng)中的通信設(shè)備的功能圖3是使用根據(jù)本發(fā)明的加密方法的消息加密/解密對話的流程圖����;和圖4是使用根據(jù)本發(fā)明的加密方法的特征標(biāo)記生成/驗(yàn)證對話的流程圖�。
為了更好地理解本發(fā)明���,需要完成一些數(shù)學(xué)準(zhǔn)備���。
在本說明書中,使用下面的數(shù)學(xué)表示法(1)如果a是相對整數(shù)���,而b是真正的正整數(shù)���,則a mod b(a模b)是a相對b的模余數(shù)并且表示正好小于b的唯一整數(shù),以使b整除(a-a mod b)�����。
(2)(Z/bZ)表示模b的余數(shù)集合并形成模加法的組�。
(3)(Z/bZ)*表示可逆模b的整數(shù)集合并形成模乘法的組。
(4)(Z/bZ)*的元素a的階是使aord(a���,b)=1 mod b的最小自然整數(shù)ord(a��,b)�。
(5)LCM(a,b)表示a與b的最小公倍數(shù)�����。
(6)HCF(a���,b)表示a與b的最大公因子���。
(7)λ(a)表示a的Carmichael(卡邁克爾)函數(shù)。如果a=p·q�����,則λ(a)=LCM(p-1�����,q-1)����。
(8)利用公知的Chinese Remainder Theorem(中國余數(shù)定理)得到下面的模等式的唯一解x=a1mod b1x=a2mod b2…x=akmod bk其中給定整數(shù)ai與bi�,和其中i≠j時(shí),i�����,j,HCF(bi����,bj)=1表示X=CRT(a1,…ak��,b1����,…bk)。
(9)數(shù)字a的二進(jìn)制大小是其中寫入a的比特的數(shù)量����。
現(xiàn)在,假定n為任意大小的整數(shù)���。集合Un={x<n2/x=1 mod n}是(Z/n2Z)*的乘法子群�����。
隨后����,假定logn是利用下式定義有關(guān)集合Un的函數(shù)Logn(x)=X-1n]]>此函數(shù)具有以下特性
x∈Un,y∈Un��,logn(xy mod n2)=logn(x)+logn(y)mod n�。
結(jié)果,如果g是屬于Un的任意整數(shù)�����,則對于任意數(shù)字m����,0≤m<n,這得到logn(gmmod n2)=m.logn(g)mod n此數(shù)學(xué)特性以現(xiàn)在將描述的本發(fā)明中使用的加密方法為基礎(chǔ)���。
圖1表示使用非對稱加密方法的密碼通信系統(tǒng)�����,它包括示例A與B中在通信信道1上通信的設(shè)備,此示例表示雙向信道����。每個(gè)設(shè)備包含一對公用密鑰K與專用密鑰K′。
公用密鑰例如公開在諸如電話簿的公開文件2中�,每個(gè)設(shè)備能查閱此公開文件��。在此公開文件中�,因而將找到設(shè)備A的共用密鑰KA和設(shè)備B的公用密鑰KB�。
每個(gè)設(shè)備的專用密鑰K′一般由此設(shè)備保密地存儲(chǔ)在保護(hù)的非易失性存儲(chǔ)區(qū)域中。設(shè)備A因而在保密存儲(chǔ)器中包含它的專用密鑰K′A�����,而設(shè)備B在保密存儲(chǔ)器中包含它的專用密鑰K′B����,它們也存儲(chǔ)其公用密鑰,但存儲(chǔ)在沒有任何特殊存取保護(hù)的存儲(chǔ)區(qū)域中���。
在這樣的系統(tǒng)中���,設(shè)備A能利用設(shè)備B的公用密鑰KB在密碼CA中加密消息m;后者能利用其保密存儲(chǔ)的專用密鑰K′B解密CA����。相反地,設(shè)備B能利用設(shè)備A的公用密鑰KA在密碼CB中加密消息m���。后者能利用其保密存儲(chǔ)的專用密鑰K′A解密CB���。
一般地��,如圖2所示��,每個(gè)設(shè)備至少包括處理裝置10�,即中央處理單元(CPU)��,包括顯然不同的用于計(jì)算的寄存器R��;接口11���,用于與通信信道通信�;和存儲(chǔ)裝置����。這些存儲(chǔ)裝置一般包括程序存儲(chǔ)器12(ROM,EPROM�����,EEPROM)和工作存儲(chǔ)器(RAM)13�����。實(shí)際上�,每個(gè)設(shè)備都將其保密數(shù)據(jù)存儲(chǔ)在程序存儲(chǔ)器中提供的保護(hù)存取區(qū)域120中并將其公開數(shù)據(jù)存儲(chǔ)在此存儲(chǔ)器的正常存取區(qū)域中。工作存儲(chǔ)器使之有可能對于計(jì)算要求的時(shí)間臨時(shí)存儲(chǔ)要加密的消息��、要解密的密碼或中間計(jì)算結(jié)果�。
此處理與存儲(chǔ)裝置因而使之有可能執(zhí)行與此應(yīng)用相關(guān)的程序,并且特別使之有可能進(jìn)行對應(yīng)于根據(jù)本發(fā)明的消息的加密/解密和/或特征標(biāo)記的生成/驗(yàn)證的加密方法的實(shí)施的計(jì)算���,這些計(jì)算顯然包括上升為冪�、余數(shù)和模求逆���,如在下面具體描述的�。
此設(shè)備也能包括用于在某些不同的實(shí)施例中能參與上述計(jì)算的隨機(jī)或偽隨機(jī)數(shù)字r的生成器14��。以圖2中的虛線表示此生成器的框架��,以表示此生成器對于根據(jù)本發(fā)明的所有不同的實(shí)施例不是必需的�����。
此設(shè)備的所有這些裝置連接到地址與數(shù)據(jù)總線15�。
本發(fā)明中使用的這樣的設(shè)備是公知的,并且例如對應(yīng)于使用RSA的現(xiàn)有技術(shù)狀態(tài)的密碼通信系統(tǒng)中使用的那些設(shè)備����,因此將不再具體描述這樣的設(shè)備����。密碼通信系統(tǒng)的一個(gè)實(shí)際示例是利用銀行服務(wù)器和智能卡形成的用于管理金融交易的系統(tǒng)��。然而����,具有許多其他的應(yīng)用,諸如與電子商務(wù)相關(guān)的應(yīng)用�。
現(xiàn)在將根據(jù)圖3中所示的流程圖具體描述本發(fā)明的第一實(shí)施例。
此流程圖表示通信信道20上設(shè)備A與設(shè)備B之間的通信順序�����。這些設(shè)備至少包括結(jié)合圖2所述的處理�、存儲(chǔ)與通信裝置。
根據(jù)本發(fā)明的加密方法包括生成公用密鑰K與專用密鑰K′的方法�����。
根據(jù)本發(fā)明�����,生成設(shè)備的公用與專用密鑰的此方法包括以下步驟-選擇不同的并且具有相鄰大小的兩個(gè)大素?cái)?shù)p與q�;-計(jì)算等于p·q乘積的數(shù)字n;-計(jì)算數(shù)字λ(n)=LCM(p-1����,q-1),即數(shù)字n的Carmichael(卡邁克爾)函數(shù)�;-確定滿足下面兩個(gè)條件的數(shù)字g,0≤g<n2a)g是可逆模n2��;和b)ord(g��,n2)=0 mod n���。
根據(jù)上面定義的表示法����,此條件b)表示從0到n2的整數(shù)的集合(Z/n2Z)*中的數(shù)字g的階是數(shù)字n的非零倍數(shù)��。
隨后利用數(shù)字n與數(shù)字g形成公用密鑰K��,利用數(shù)字p�����、q與λ(n)或只利用數(shù)字p與q形成專用密鑰,λ(n)能在每次使用保密密鑰時(shí)重新進(jìn)行計(jì)算�����。
根據(jù)此方法生成每個(gè)設(shè)備的公用與專用密鑰���。能根據(jù)考慮的設(shè)備與應(yīng)用利用設(shè)備本身或利用外部組成部分來實(shí)現(xiàn)此生成�。
每個(gè)設(shè)備(例如�,設(shè)備A)因此在存儲(chǔ)器中包含它的公用密鑰KA=(nA,gA)和保密地包含它的專用密鑰K′A=(pA�����,qA)�����。
另外���,將公用密鑰放置在公眾可存取的文件中��。
在下面將明白在可能時(shí)��,取g=2是有益的���,也就是說���,g=2滿足根據(jù)本發(fā)明的特征標(biāo)記生成方法的條件a)與b)���。
根據(jù)設(shè)備A中實(shí)施的本發(fā)明的加密方法的第一實(shí)施例的加密方法為了發(fā)送消息給設(shè)備B而包括以下步驟的執(zhí)行��,其中0≤m<n-給定有關(guān)設(shè)備A利用第二設(shè)備B的公用密鑰KB實(shí)施的加密方法的參數(shù)n與g的信息n=nB�����,g=gB����,-計(jì)算密碼C=gmmod n2����;和-通過通信信道發(fā)送密碼C。
根據(jù)本發(fā)明的第一實(shí)施例的加密方法因此包括取公用密鑰的參數(shù)g�;將此參數(shù)g升為m的冪;并計(jì)算相對n2的模余數(shù)���。應(yīng)注意����,在RSA中,是消息m上升為冪��,而在本發(fā)明中消息m用作指數(shù)����。
接收加密消息(即,密碼C)的設(shè)備B隨后根據(jù)本發(fā)明利用其專用密鑰的參數(shù)來實(shí)施解密方法����。此解密方法包括以下計(jì)算-計(jì)算數(shù)字m,以使m=logn(cλ(n)modn2)logn(gλ(n)modn2)modn]]>其中l(wèi)ogn(x)=x-1n]]>��。
如果g=2�����,能明白實(shí)施將g上升為冪的計(jì)算���。因此�����,如果可能的話���,最好取g=2���。換而言之,生成密鑰的方法將通過查看g=2是否滿足條件a)與b)來開始�����。
能實(shí)施不同變型的解密方法的計(jì)算�,這在此設(shè)備必須解密大量的密碼時(shí)使之有可能預(yù)先計(jì)算某些數(shù)量并將這些數(shù)量保密存儲(chǔ)在此設(shè)備中�。一個(gè)必然結(jié)果是此設(shè)備的保密存儲(chǔ)區(qū)域(圖2中的區(qū)域120)必須更擴(kuò)展,這是因?yàn)榇藚^(qū)域必須包含除參數(shù)p與q之外的其他參數(shù)�,這對實(shí)施一個(gè)變型或另一變型的選擇沒有影響,這是因?yàn)橛绕湓谒^的低成本設(shè)備(例如�����,某些類型的智能卡)中保護(hù)存儲(chǔ)區(qū)域的實(shí)施昂貴�,并因此具有一般有限的(存儲(chǔ))容量。
在解密設(shè)備的第一變型實(shí)施例中�����,假定此設(shè)備(在此種情況中為設(shè)備B)只預(yù)先計(jì)算一次此數(shù)量αn,g=logn(gλ(n)mod n2)-1mod n并將其保密存儲(chǔ)在存儲(chǔ)器中���。
因而���,相應(yīng)地減少此設(shè)備接收的每條消息的解密所需的時(shí)間。這是因?yàn)樵谠O(shè)備B執(zhí)行此變型的解密方法的示例時(shí)��,所要做的就是計(jì)算m=logn(Cλ(n)mod n2)αn���,gmod n�。
在根據(jù)本發(fā)明的解密方法的第二變型實(shí)施例中����,假定為了更好的效率(計(jì)算的速度)而使用中國余數(shù)定理。
在解密方法的此第二變型的一個(gè)示例中��,此設(shè)備執(zhí)行下面的(解密)計(jì)算1.mp=logp(cp-1mod p2)logp(gp-1mod p2)-1mod p2.mq=logq(cq-1mod q2)logq(gq-1mod q2)-1mod q3.m=CRT(mp���,mq�����,p����,q),其中l(wèi)ogp(x)=x-1p]]>與logq(x)=x-1q]]>���。
在這種情況中��,在此設(shè)備必須解密非常大量的消息時(shí)�����,也能假定此設(shè)備只預(yù)先計(jì)算一次下面的數(shù)量αp���,g=logp(gp-1mod p2)-1mod p��; 和αq�,g=logq(gq-1mod q2)-1mod q此設(shè)備隨后必須將這些數(shù)量存儲(chǔ)為保密數(shù)據(jù)。
在解密方法的一個(gè)示例期間進(jìn)行的計(jì)算變成1.mp=logp(cp-1mod p2)αp�,gmod p2.mq=logq(cq-1mod q2)αq,gmod q3.m=CRT(mp����,mq,p�,q)����,如已經(jīng)陳述的�,在此設(shè)備得解密大量的消息時(shí),并且在節(jié)約處理時(shí)間以補(bǔ)償用于存儲(chǔ)所有保密數(shù)據(jù)的保護(hù)區(qū)域的較大存儲(chǔ)容量時(shí)�����,所有其不同的解密計(jì)算是有利的�����。一種或另一種變型的選擇實(shí)際上取決于所述的應(yīng)用和并存的費(fèi)用與處理時(shí)間的約束�����。
本發(fā)明的第二實(shí)施例包括此加密方法中利用隨機(jī)(或偽隨機(jī))數(shù)生成器提供的隨機(jī)數(shù)的使用����,以致于對于要發(fā)送的同一消息m,計(jì)算的密碼C在每一種情況下都是不同的�����。通信系統(tǒng)的安全性因此更大,而解密方法不變���。
本發(fā)明的此第二實(shí)施例包括兩種變型��。
在第一變型中�,利用下面的計(jì)算獲得密碼cc=gm+nrmod n2���;在第二變型中���,利用下面的計(jì)算獲得密碼cc=gmrnmod n2。
此第二變型實(shí)際上要求比第一變型更長的處理時(shí)間�,但提供更大的安全性。
在本發(fā)明的第三實(shí)施例中�,要求(Z/nZ)*中g(shù)的階是小整數(shù),這通過實(shí)施不同的密鑰生成方法來獲得����。
利用這樣的有關(guān)參數(shù)g的階的條件��,減少此解密方法的計(jì)算的復(fù)雜性��,這實(shí)際上變成相對數(shù)字n的大小的平方(即���,x2的形式)�。
在本發(fā)明的此第三實(shí)施例中,生成公用與專用密鑰的方法則如下-保密地選擇整數(shù)u和兩個(gè)不同的并具有相鄰大小的素?cái)?shù)p與q�,以使u整除(p-1)與(q-1);-計(jì)算等于p·q乘積的數(shù)字n�;-計(jì)算數(shù)字λ(n)=LCM(p-1,q-1)�,即,數(shù)字n的Carmichael(卡邁克爾)函數(shù)�����;-確定滿足下面兩個(gè)條件的數(shù)字h�����,0≤h<n2a)h可逆模n2�����,和b)ord(h���,n2)=0 mod n-計(jì)算數(shù)字g=hλ(n)/umod n2��。
隨后利用數(shù)字n與數(shù)字q形成公用密鑰K���。專用密鑰由保密存儲(chǔ)在此設(shè)備中的整數(shù)(p�,q�����,u)構(gòu)成��。
如果可能的話(即�����,如果h=2滿足條件a)與b)��,以便于g的計(jì)算)�,最好選擇h=2。
應(yīng)注意如果u=HCF(p-1����,q-1),就無需存儲(chǔ)此數(shù)字��,這能利用此設(shè)備從p與q中找到此數(shù)字����。
最好選擇u為素?cái)?shù)并具有一般為160比特的小尺寸,以提高此方法的安全性�。通過選擇小尺寸的u,將明白有助于此解密計(jì)算�����。
在此第三實(shí)施例中�����,應(yīng)用加密方法來加密消息m與以前在本發(fā)明的第一實(shí)施例中所述的相同�,密碼等于C=gmmod n2。
也有可能利用隨機(jī)變量r根據(jù)前述的本發(fā)明的第二實(shí)施例的第一變型計(jì)算密碼c��。r則是隨機(jī)整數(shù)�����,具有與u相同的大小��,并利用下面的計(jì)算來獲得此密碼c=gm+nrmod n2�����。
將根據(jù)此加密方法的一個(gè)或另一前面的實(shí)施計(jì)算的密碼c發(fā)送給設(shè)備B�����,此設(shè)備B必須解密此密碼。由接收消息的設(shè)備B實(shí)施的解密方法稍有不同�����。
這是因?yàn)闉榱藦拿艽ac中找到數(shù)字m而在解密的一個(gè)示例中在此設(shè)備中進(jìn)行的計(jì)算變成如下m=logn(cumodn2)logn(gumodn2)modn]]>如前面一樣���,有可能應(yīng)用不同的計(jì)算�,這使之有可能加快需要的處理時(shí)間����。
在第一變型中,數(shù)量βn����,g=logn(gumod n2)-1mod n將因而只預(yù)先計(jì)算一次并將保密存儲(chǔ)在存儲(chǔ)器中。
在接收的密碼c的解密的一個(gè)示例期間���,此設(shè)備隨后只需要進(jìn)行下面的計(jì)算m=logn(cumod n2)βa�����,gmod n��。
在第二變型中�����,利用函數(shù)logp與logq實(shí)施中國余數(shù)定理�����,如執(zhí)行解密計(jì)算所明白的���。
在解密接收的密碼c的方法的此變型的一個(gè)示例中,此設(shè)備則執(zhí)行下面的計(jì)算���。
1.mp=logp(cumod p2)logp(gumod p2)-1mod p2.mq=logq(cumod q2)logq(gumod q2)-1mod q3.m=CRT(mp����,mq���,p���,q)。
在第三變型中�����,進(jìn)一步加快根據(jù)第二變型的密碼c的解密所需的處理時(shí)間,預(yù)先計(jì)算下面的數(shù)量βp����,g=logp(gumod p2)-1mod pβq,g=logq(gumod q2)-1mod q并將這些數(shù)量保密地存儲(chǔ)在此設(shè)備中���。
在解密接收的密碼c的方法的此第三變型的計(jì)算的示例中����,此設(shè)備則只需執(zhí)行下面的計(jì)算1.mp=logp(cumod p2)βp���,gmod p
2.mq=logq(cumod q2)βq����,gmod q3.m=CRT(mp����,mq,p��,q)����。
在本發(fā)明的第四個(gè)實(shí)施例中��,加密方法與解密方法具有是模n2的整數(shù)組的置換的特殊性����。換而言之���,如果消息m利用k個(gè)比特來表示,則通過對m應(yīng)用此加密方法得到的密碼c和通過對m應(yīng)用此解密方法得到的特征標(biāo)記s也在k個(gè)比特中�����。
此特殊性使此加密方法具有能用于加密/解密并用于特征標(biāo)記生成/驗(yàn)證的附加特性�����。在這種情況中�����,此解密方法用作特征標(biāo)記生成方法���,而此加密方法用作特征標(biāo)記驗(yàn)證方法��。
在此第四實(shí)施例中�,生成公用與專用密鑰的方法和本發(fā)明的第一實(shí)施例相同K=(n,g)和K′=(p�����,q����,λ(n))或K′=(p,q)���。
如果設(shè)備A希望發(fā)送加密消息m給設(shè)備B��,則設(shè)備A從設(shè)備B得到公用密鑰(n����,g)����,并隨后在此加密方法的一個(gè)示例中對數(shù)字m執(zhí)行下面的計(jì)算,0≤m<n21.m1=m mod n2.m2=(m-m1)/n (Euclidian歐幾里德除法)3.c=gm1m2nmod n2.
正是將此密碼c發(fā)送給設(shè)備B�����。
后者因此必須對此密碼c應(yīng)用相應(yīng)的解密方法,以找到m1���、m2并最后找到m�。根據(jù)本發(fā)明的第四個(gè)實(shí)施的解密方法包括執(zhí)行下面的計(jì)算1.m1=logn(cλ(n)mod n2)logn(gλ(n)mod n2)-1mod n2.w=cg-m1mod n3.m2=w1/n modλ(n)mod n4.m=m1+nm2�����。
與以前一樣����,根據(jù)本發(fā)明的此第四實(shí)施例的解密方法的變型是可應(yīng)用的����,這使之有可能減少解密給定消息所需的處理時(shí)間,這在此設(shè)備具有大量的密碼要解密時(shí)是有益的����。
第一變型包括預(yù)先計(jì)算下面的數(shù)量αn,g=logn(gλ(n)mod n2)-1mod n��;和γn=1/n modλ(n)�。
這些數(shù)量設(shè)備B只計(jì)算一次而且保密保持在存儲(chǔ)器中。
對于根據(jù)此第一變型接收的密碼c的解密的每一個(gè)新示例,設(shè)備B只需執(zhí)行下面的計(jì)算1.m1=logn(cλ(n)mod n2)αn��,gmod n2.w=cg-m1mod n3.m2=wγnmod n4.m=m1+nm2��。
在根據(jù)第四實(shí)施例的解密方法的實(shí)施的第二變型中��,使用中國余數(shù)定理�。
希望根據(jù)此第二變型解密密碼c的設(shè)備則執(zhí)行下面的連續(xù)計(jì)算1.m1,p=logp(cp-1mod p2)logp(gp-1mod p2)-1mod p2.wp=cg-m1�,pmod p3.m2,p=wp1/q mod p-1mod p4.m1����,q=logq(cq-1mod q2)logq(gq-1mod q2)-1mod q5.wq=cg-m1,qmod q6.m2�,q=wq1/p mod q-1mod q7.m1=CRT(m1,p�����,m2��,p��,p�,q)8.m2=CRT(m1���,q,m2�,q,p��,q)9.m=m1+pqm2�����。
在第三變型中����,為了進(jìn)一步提高處理此第二變型的解密的時(shí)間,設(shè)備B能只預(yù)先計(jì)算一次下面的數(shù)量αp�,g=logp(gp-1mod p2)-1mod pαq,g=logq(gq-1mod q2)-1mod qγp=1/q mod p-1γq=1/p mod q-1并且將這些數(shù)量保密保持在存儲(chǔ)器中���。
希望根據(jù)此第三變型解密密碼c的設(shè)備只需執(zhí)行下面的計(jì)算1.m1,p=logp(cp-1mod p2)αp����,gmod p2.wp=cg-m1,pmod p3.m2��,p=wpγpmod p4.m1,q=logq(cq-1mod q2)αq�����,gmod q5.wq=cg-m1�,qmod q
6.m2,q=wqγqmod q7.m1=CRT(m1�����,p��,m2��,p����,p,q)8.m2=CRT(m1��,q��,m2��,q�����,p,q)9.m=m1+pqm2剛才描述的本發(fā)明的第四實(shí)施例使之有可能實(shí)現(xiàn)特征標(biāo)記生成/驗(yàn)證���。如圖4的流程圖所示�,如果設(shè)備B必須生成對于設(shè)備A表示消息的數(shù)字m的特征標(biāo)記s���,則采用具有其專用密鑰s=DK’B(m)的解密方法作為特征標(biāo)記生成方法��。
接收特征標(biāo)記s并知道消息m的設(shè)備A通過計(jì)算利用公用密鑰v=EKB(s)對特征標(biāo)記s應(yīng)用此加密方法獲得的數(shù)量v來檢驗(yàn)此特征標(biāo)記是否正確�����。如果此特征標(biāo)記是正確的����,則v=m���。
使之有可能加快處理時(shí)間的此第四實(shí)施例的解密方法的所有變型實(shí)施例也能應(yīng)用于特征標(biāo)記生成/驗(yàn)證。
剛才描述的本發(fā)明可應(yīng)用于其中希望能加密和/或標(biāo)記消息的所有系統(tǒng)中���,這根據(jù)是否尋求更加安全或增加處理速度來拓展適用于不同應(yīng)用的可能性����。有關(guān)這方面,應(yīng)注意其計(jì)算復(fù)雜性只是二次方程式(n的大小的平方的函數(shù))的本發(fā)明的第三實(shí)施例在速度方面提供真實(shí)優(yōu)勢��,而迄今為止所有的現(xiàn)有技術(shù)方法具有較高的復(fù)雜程度(n的大小的立方函數(shù))�。這樣的優(yōu)點(diǎn)更具體涉及使用便攜式設(shè)備(諸如智能卡和更具體地低成本設(shè)備)的所有應(yīng)用。
最后�,本發(fā)明所涉及的技術(shù)領(lǐng)域的技術(shù)人員將明白能對形式和/或細(xì)節(jié)進(jìn)行修改而不背離本發(fā)明的精神。特別地�,能加密特征標(biāo)記,或能在計(jì)算其特征標(biāo)記之前對消息m應(yīng)用散列函數(shù)�����。
權(quán)利要求
1.一種加密方法�����,包括在能在至少一個(gè)通信信道上交換消息的設(shè)備中生成公用密鑰(K)與專用密鑰(K’)的方法��,此專用密鑰得保密存儲(chǔ)在所述設(shè)備中��,而此公用密鑰得公開進(jìn)行廣播����,此生成方法包括以下步驟-選擇不同的并且具有相鄰大小的兩個(gè)素?cái)?shù)p與q�;-計(jì)算等于p·q乘積的數(shù)字n��;其特征在于��,所述方法也包括以下步驟-計(jì)算數(shù)字(p-1)與(q-1)的最小公倍數(shù)λ(n)=LCM(p-1�,q-1);-確定滿足下面兩個(gè)條件的數(shù)字g����,0≤g<n2a)g可逆模n2;和b)ord(g��,n2)=0 mod n�,利用參數(shù)n與g形成所述設(shè)備的公用密鑰,并利用參數(shù)p�����、q與λ(n)或利用參數(shù)p與q形成其專用密鑰�����。
2.根據(jù)權(quán)利要求1的生成方法��,其特征在于�,它包括在g滿足所述條件a)與b)時(shí)取g=2。
3.具有根據(jù)權(quán)利要求1或2生成的公用與專用密鑰的一種密碼通信系統(tǒng)�����,包括通信信道(20)和通信設(shè)備(A����,B),每個(gè)設(shè)備包括至少一個(gè)通信接口(11)�����、數(shù)據(jù)處理裝置(10)和存儲(chǔ)裝置(12���,13)����,其特征在于����,在第一設(shè)備(A)中實(shí)施加密方法,以發(fā)送表示消息的數(shù)字m給第二設(shè)備(B)����,其中0≤m<n���,所述加密方法包括以下步驟-利用第二設(shè)備(B)的公用密鑰(nB,gB)的參數(shù)來給出有關(guān)此加密設(shè)備的參數(shù)n與g的信息���,-計(jì)算密碼c=gmmod n2���,隨后通過此通信信道將所述密碼c發(fā)送給第二設(shè)備。
4.根據(jù)權(quán)利要求3的系統(tǒng)�,其特征在于,實(shí)施此加密方法的設(shè)備也包括用于隨機(jī)整數(shù)r的生成器(15)���,并且其特征在于���,所述設(shè)備-執(zhí)行隨機(jī)整數(shù)r的繪制,和隨后-通過執(zhí)行下面的加密計(jì)算來計(jì)算密碼cc=gm+nrmod(n2)�。
5.根據(jù)權(quán)利要求3的系統(tǒng),其特征在于��,實(shí)施此加密方法的設(shè)備也包括用于隨機(jī)整數(shù)r的生成器(15)����,并且其特征在于,所述設(shè)備-執(zhí)行隨機(jī)整數(shù)r的繪制,和隨后-通過執(zhí)行下面的加密計(jì)算來計(jì)算密碼cc=gmrnmod(n2)�����。
6.根據(jù)權(quán)利要求3-5之中任何一個(gè)權(quán)利要求的系統(tǒng)���,其特征在于,第二設(shè)備(B)實(shí)施解密方法����,以解密所述密碼c,并包括執(zhí)行下面的計(jì)算m=logn(cλ(n)mod n2)logn(gλ(n)mod n2)-1mod n其中l(wèi)ogn(x)=x-1n]]>�����。
7.根據(jù)權(quán)利要求6的系統(tǒng)�,其特征在于,實(shí)施所述解密方法的設(shè)備(B)預(yù)先計(jì)算數(shù)量αn��,g=logn(gλ(n)mod n2)-1mod n并將此數(shù)量保密存儲(chǔ)��。
8.根據(jù)權(quán)利要求6的系統(tǒng)�����,其特征在于,在所述解密方法的一個(gè)示例中�,設(shè)備利用中國余數(shù)定理CRT執(zhí)行以下計(jì)算步驟mp=logp(cp-1mod p2)logp(gp-1mod p2)-1mod pmq=logq(cq-1mod q2)logq(gq-1mod q2)-1mod qm=CRT(mp,mq����,p,q)����,其中l(wèi)ogp與logq使得logi(x)=x-1i]]>。
9.根據(jù)權(quán)利要求8的系統(tǒng)��,其特征在于�����,實(shí)施所述解密方法的設(shè)備預(yù)先計(jì)算以下數(shù)量αp�,g=logp(gp-1mod p2)-1mod pαq,g=logq(gq-1mod q2)-1mod q并保密地存儲(chǔ)這些數(shù)量��。
10.具有根據(jù)權(quán)利要求1或2生成的公用密鑰與專用密鑰的一種密碼通信系統(tǒng)��,包括通信信道(20)和通信設(shè)備(A���,B)����,每個(gè)設(shè)備包括至少一個(gè)通信接口(11)、數(shù)據(jù)處理裝置(10)和存儲(chǔ)裝置(12���,13)��,其特征在于�,在第一設(shè)備(A)中實(shí)施加密方法���,以發(fā)送表示消息的數(shù)字m給第二設(shè)備(B),其中0≤m<n2�����,所述加密方法包括以下步驟-利用第二設(shè)備(B)的公用密鑰KB=(nB���,gB)的參數(shù)來給出有關(guān)此加密設(shè)備的參數(shù)n與g的信息�����,-并執(zhí)行以下計(jì)算1.m1=m mod n2.m2=(m-m1)/n3.c=gm1m2nmod n2����,通過此通信信道發(fā)送所述密碼c。
11.根據(jù)權(quán)利要求10的系統(tǒng)��,其特征在于����,第二設(shè)備(B)接收此密碼c并實(shí)施解密方法,以解密所述密碼���,這包括執(zhí)行以下計(jì)算步驟1.m1=logn(cλ(n)mod n2)logn(gλ(n)mod n2)-1mod n2.w=cg-m1mod n3.m2=w1/n modλ(n)mod n4.m=m1+nm2����。
12.根據(jù)權(quán)利要求11的系統(tǒng)���,其特征在于��,實(shí)施所述解密方法的設(shè)備預(yù)先計(jì)算以下數(shù)量αn�,g=logn(gλ(n)mod n2)-1mod n�;和γn=1/n modλ(n)并且保密存儲(chǔ)這些數(shù)量。
13.根據(jù)權(quán)利要求11的系統(tǒng)���,其特征在于�����,在所述解密方法的一個(gè)示例中�����,設(shè)備使用中國余數(shù)定理執(zhí)行以下計(jì)算步驟1.m1���,p=logp(cp-1mod p2)logp(gp-1mod p2)-1mod p2.wp=cg-m1�����,pmod p3.m2�����,p=wp1/q mod p-1mod p4.m1,q=logq(cq-1mod q2)logq(gq-1mod q2)-1mod q5.wq=cg-m1�����,qmod q6.m2���,q=wq1/pmodq-1mod q7.m1=CRT(m1���,p��,m2���,p,p�,q)8.m2=CRT(m1,q��,m2�����,q���,p��,q)9.m=m1+pqm2其中l(wèi)ogp與logq使得logi(x)=x-1i]]>�。
14.根據(jù)權(quán)利要求13的系統(tǒng)��,其特征在于�,在所述解密方法的一個(gè)示例中,設(shè)備預(yù)先計(jì)算以下數(shù)量αp�,g=logp(gp-1mod p2)-1mod pαq,g=logq(gq-1mod q2)-1mod qγp=1/q mod p-1γq=1/p mod q-1并保密地存儲(chǔ)這些數(shù)量����。
15.根據(jù)權(quán)利要求11-14之中任何一個(gè)權(quán)利要求的系統(tǒng)����,其中此解密方法用于計(jì)算消息m的特征標(biāo)記s����,而此加密方法用于驗(yàn)證所述特征標(biāo)記。
16.一種加密方法�����,包括在能在至少一個(gè)通信信道(20)上交換消息的設(shè)備中生成公用密鑰(K)與專用密鑰(K’)的方法�,此專用密鑰得保密存儲(chǔ)在所述設(shè)備中,而此公用密鑰得公開進(jìn)行廣播�����,一種生成方法包括以下步驟-選擇數(shù)字u和具有相鄰大小的兩個(gè)不同的素?cái)?shù)p與q���,以使u整除(p-1)并整除(q-1);-計(jì)算等于p·q乘積的數(shù)字n���;-計(jì)算數(shù)字(p-1)與(q-1)的最小公倍數(shù)λ(n)=LCM(p-1��,q-1)�����;-確定滿足下面兩個(gè)條件的數(shù)字h��,0≤h<n2a)h可逆模n2���;和b)ord(h�,n2)=0 mod n��,-計(jì)算數(shù)字g=hλ(n)/umod n2���,利用參數(shù)n與g形成所述設(shè)備的公用密鑰�����,并利用參數(shù)p���、q與u形成其專用密鑰。
17.根據(jù)權(quán)利要求16的方法�����,其特征在于,它包括在滿足條件a)與b)時(shí)選擇h=2�。
18.根據(jù)權(quán)利要求16的方法,其特征在于��,u是(p-1)�、(q-1)的最大公因子。
19.根據(jù)權(quán)利要求16的方法�,其特征在于,u是素?cái)?shù)�����。
20.具有根據(jù)權(quán)利要求16-19之中任何一個(gè)權(quán)利要求生成的公用密鑰與專用密鑰的一種密碼通信系統(tǒng)�,包括通信信道(20)和通信設(shè)備(A,B)��,每個(gè)設(shè)備包括通信接口(11)��、數(shù)據(jù)處理裝置(10)和存儲(chǔ)裝置(12��,13)��,其特征在于��,在第一設(shè)備(A)中實(shí)施加密方法�,以發(fā)送表示消息的數(shù)字m給第二設(shè)備(B),其中0≤m<n����,所述加密方法包括以下步驟-利用第二設(shè)備(B)的公用密鑰(n,g)B的參數(shù)來給出有關(guān)此加密設(shè)備的參數(shù)n與g的信息��,-計(jì)算密碼c=gmmod n2�����,隨后通過此通信信道將所述密碼c發(fā)送給第二設(shè)備�����。
21.根據(jù)權(quán)利要求20的系統(tǒng)���,其特征在于�����,實(shí)施此加密方法的設(shè)備也包括用于隨機(jī)整數(shù)r的生成器(15)���,并且其特征在于,所述設(shè)備執(zhí)行隨機(jī)整數(shù)r的繪制,和隨后計(jì)算密碼c����,執(zhí)行下面的加密計(jì)算c=gm+nrmod(n2)。
22.根據(jù)權(quán)利要求20或21的系統(tǒng)��,其特征在于���,第二設(shè)備(B)實(shí)施接收密碼c的解密方法�,包括執(zhí)行下面的計(jì)算m=logn(cumod n2)logn(gumod n2)-1mod n��。
23.根據(jù)權(quán)利要求22的系統(tǒng)����,其特征在于,實(shí)施所述解密方法的設(shè)備預(yù)先計(jì)算數(shù)量βn�,g=logn(gumod n2)-1mod n并將此數(shù)量保密存儲(chǔ)。
24.根據(jù)權(quán)利要求22的系統(tǒng)����,其特征在于,在所述解密方法的一個(gè)示例中�,設(shè)備利用中國余數(shù)定理CRT執(zhí)行以下計(jì)算步驟1.mp=logp(cumod p2)logp(gumod p2)-1mod p2.mq=logq(cumod q2)logq(gumod q2)-1mod q3.m=CRT(mp,mq�����,p�����,q)�����,其中l(wèi)ogp與logq使得logi(x)=x-1i]]>��。
25.根據(jù)權(quán)利要求24的系統(tǒng)�����,其特征在于����,實(shí)施所述解密方法的設(shè)備預(yù)先計(jì)算以下數(shù)量βp,g=logp(gumod p2)-1mod pβq��,g=logq(gumod q2)-1mod q并保密地存儲(chǔ)這些數(shù)量�����。
全文摘要
本發(fā)明涉及用于產(chǎn)生公用密鑰(K)和專用密鑰(K′)的加密方法,包括:選擇鄰近值的兩個(gè)不同的大素?cái)?shù)p和q,并計(jì)算積n=p·q;計(jì)算數(shù)(p-1)和(q-1)的最小公倍數(shù):λ(n)=PPCM(p-1,q-1);確定下面兩個(gè)條件的數(shù)g,0< g≤n
文檔編號(hào)H04L9/28GK1338166SQ9981647
公開日2002年2月27日 申請日期1999年11月25日 優(yōu)先權(quán)日1999年1月14日
發(fā)明者P·派利爾 申請人:格姆普拉斯公司