[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2003013053A1 - Method for determining the size of a random variable for an electronic signature schema - Google Patents

Method for determining the size of a random variable for an electronic signature schema Download PDF

Info

Publication number
WO2003013053A1
WO2003013053A1 PCT/FR2002/002453 FR0202453W WO03013053A1 WO 2003013053 A1 WO2003013053 A1 WO 2003013053A1 FR 0202453 W FR0202453 W FR 0202453W WO 03013053 A1 WO03013053 A1 WO 03013053A1
Authority
WO
WIPO (PCT)
Prior art keywords
size
signature
log
hazard
counter
Prior art date
Application number
PCT/FR2002/002453
Other languages
French (fr)
Inventor
Jean-Sébastien CORON
Original Assignee
Gemplus
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus filed Critical Gemplus
Publication of WO2003013053A1 publication Critical patent/WO2003013053A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Definitions

  • the present invention relates to a method for determining the size of a hazard used to generate an electronic signature in public key cryptography systems.
  • the concept of public key cryptography was invented by Whitfield DIFFIE and Martin HELLMAN in 1976.
  • the principle of public key cryptography consists in using a pair of keys, a public encryption key and a private decryption key. It must be computationally infeasible to find the private decryption key from the public encryption key.
  • An electronic signature of a message is a number depending both on the private key known only to the person signing the message, as well as on the content of the message to be signed.
  • An electronic signature must be verifiable: it must be possible for a third party to verify the validity of the signature, without knowledge of the private key of the person signing the message being required; signature verification is performed using the corresponding public key.
  • - Rabin signature scheme its security is also based on the difficulty of factoring large numbers
  • the original message is obtained from the signature itself; since the original message is not necessary to verify the signature, the total size of the signature is shorter.
  • the first realization of a public key scheme was developed in 1977 by Rivest, Shamir and Adleman, who invented the RSA encryption system.
  • the security of RSA rests on the difficulty of factorizing a large number which is the product of two prime numbers.
  • the RSA system is the most widely used public key encryption system. It can be used as an encryption method or as a encryption method. signature.
  • the RSA system is used in smart cards, for certain applications of these. Possible applications of RSA on a smart card are access to databases, banking applications, remote payment applications such as pay TV, gas distribution or payment of tolls. highway.
  • the first part is the generation of the RSA key.
  • Each user creates an RSA public key and a corresponding private key, according to the following 5-step process:
  • the integers e and d are respectively called encryption exponents and decryption exponents.
  • the integer n is called the module.
  • the second part is the generation of the signature.
  • the method consists in taking as input the message M to be signed, in applying to it an encoding using a function ⁇ to obtain the character string ⁇ (M).
  • the signature S is then given by:
  • the third part is the verification of the signature: the method consists in taking as input the message M to sign and the signature S to verify, in applying an encoding to the message M using a function ⁇ to obtain the character string ⁇ (M ), to calculate
  • An example of an encoding process is the process described in the standard "ISO / IEC 9796-2, Information Technology - Security techniques - Digital signature scheme giving message recovery, Part 2: Mechanisms using a hash-funct ion, 1997".
  • Another example of an encoding process is the encoding process described in the standard "RSA Laboboratories, PKCS # 1: RSA cryptography specifications, version 2.0, September 1998". These two encoding methods allow messages of arbitrarily long size to be signed.
  • the PSS signature scheme makes it possible to sign a message M of arbitrary length.
  • PSS-R a variant of the PSS scheme in which we find the message when verifying the signature. It is no longer necessary to transmit the message with the signature.
  • the PSS signature process works as follows: to sign a message M, we concatenate a random r of size k 0 bits, k 0 being a previously determined parameter. We then apply to M
  • a hash function G is defined taking as input a message of size ki bits and returning as output a message of size k-k ⁇ -1 bits. We define the function G which returns the first k 0 bits of the function G, as well as the function G 2 which returns the remaining k-k ⁇ -k 0 -l bits.
  • the encoding function ⁇ (M) is then given by:
  • ⁇ (M)
  • the PSS-R signature scheme an acronym for Probabilist ic Signature Scheme - Recovery, is similar to the PSS scheme, the difference being that it allows to find the message at the time of the verification of the signature.
  • the size of the message which is found during the verification of the signature is k-1-ko-k ⁇ .
  • k 0 of the hazard the more we can find a large message when verifying the signature. This therefore reduces the total size of the data exchanged: there is no need to transmit the message because it will be found when verifying the signature.
  • the size of the data exchanged is crucial in many applications with few memories, such as a smart card or pocket computers.
  • the invention consists of a method for determining the optimal size of the hazard used during the generation of the signature.
  • the size is optimal in the sense that it is the minimum size to guarantee a level of security equivalent to RSA.
  • the use of a smaller size hazard does not provide a level of security equivalent to that of RSA.
  • the method of the invention is particularly intended to apply to the PSS signature scheme, but it can extend to other signature schemes with characteristics similar to PSS, for example to the PFDH signature scheme, English acronym for " Probabilistic Full Domain Hash ”.
  • the PFDH scheme works as follows. To generate a signature of a message M, a random r of size k 0 bits is concatenated with the message M, k 0 being a previously determined parameter. We apply then to M
  • r a hash function H which returns as output a chain of size k bits denoted ⁇ (M) H (M
  • the advantage of this first variant is that the size k 0 of the hazard is optimal: a size k o less than this value would generate a level of security lower than the security level of the RSA system, while a size k 0 greater to this value would decrease the size of the message that can be found during the verification of the signature.
  • the method consists in using the time tgen necessary for the generation of a signature, as well as the maximum lifetime tvie of the system for generating signatures according to a given public key.
  • QSIG tvie / TGen.
  • the advantage of this second variant is that a level of security equivalent to the RSA system is obtained, with a maximum retrieved message size, and without using a counter.
  • the advantage of the method of the third variant is that, throughout the process, an optimal value for the size k 0 of the hazard is kept: a safety level equivalent to the RSA system is maintained while allowing a size to be found. message maximum.
  • the signature schemes used for the present invention are preferably RSA, Rabin, PSS, PSS-R and PFHD as described previously in the description.
  • the three variants of the process described above, but not exhaustive, can apply more generally to any signature system in which the value of the hazard is found at the time of signature verification.
  • the application of any one of the three variants of the process described above makes it possible to obtain an optimal size of the generated hazard.
  • the three variants are particularly intended for use in an electronic portable object of the smart card type.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

The invention concerns a method for determining the size of a random variable used to generate an electronic signature in public key cryptosystems, said size being both minimal and enabling to guarantee a level of security equivalent to base cryptographic systems.

Description

PROCEDE DE DETERMINATION DE LA TAILLE D'UN ALEA POUR UN SCHEMA DE SIGNATURE ELECTRONIQUE METHOD FOR DETERMINING THE SIZE OF A FTA FOR AN ELECTRONIC SIGNATURE SCHEME
La présente invention concerne un procédé de détermination de la taille d'un aléa utilisé pour générer une signature électronique dans les systèmes de la cryptographie à clef publique.The present invention relates to a method for determining the size of a hazard used to generate an electronic signature in public key cryptography systems.
Le concept de cryptographie à clef publique fut inventé par Whitfield DIFFIE et Martin HELLMAN en 1976. Le principe de la cryptographie à clef publique consiste à utiliser une paire de clefs, une clef publique de chiffrement et une clef privée de déchiffrement. Il doit être calculatoirement infaisable de trouver la clef privée de déchiffrement à partir de la clef publique de chiffrement.The concept of public key cryptography was invented by Whitfield DIFFIE and Martin HELLMAN in 1976. The principle of public key cryptography consists in using a pair of keys, a public encryption key and a private decryption key. It must be computationally infeasible to find the private decryption key from the public encryption key.
Une signature électronique d'un message est un nombre dépendant à la fois de la clef privée connue seulement de la personne signant le message, ainsi que du contenu du message à signer. Une signature électronique doit être vérifiable : il doit être possible pour une tierce personne de vérifier la validité de la signature, sans que la connaissance de la clé privée de la personne signant le message ne soit requise ; la vérification de la signature s'effectue à l'aide de la clef publique correspondante .An electronic signature of a message is a number depending both on the private key known only to the person signing the message, as well as on the content of the message to be signed. An electronic signature must be verifiable: it must be possible for a third party to verify the validity of the signature, without knowledge of the private key of the person signing the message being required; signature verification is performed using the corresponding public key.
Il existe de nombreux schémas de signature électronique. Les plus connus sont : - Schéma de signature RSA : c'est le schéma de signature électronique le plus largement utilisé. Sa sécurité est basée sur la difficulté de la factorisation de grands nombres ;There are many electronic signature schemes. The best known are: - RSA signature scheme: this is the most widely used electronic signature scheme. Its security is based on the difficulty of factoring large numbers;
- Schéma de signature Rabin : sa sécurité est aussi basée sur la difficulté de la factorisation de grands nombres ; - Schéma de signature de type El-Gamal : sa sécurité est basée sur la difficulté du problème du logarithme discret ; le problême du logarithme discret consiste à déterminer, s'il existe, un entier x tel que y=gx avec y et g deux éléments d'un ensemble E possédant une structure de groupe ;- Rabin signature scheme: its security is also based on the difficulty of factoring large numbers; - El-Gamal type signature scheme: its security is based on the difficulty of the problem of the discrete logarithm; the problem of the discrete logarithm consists in determining, if it exists, an integer x such that y = g x with y and g two elements of a set E having a group structure;
- Schéma de signature Schnorr : il s'agit d'une variante du schéma de signature de type El-Gamal.- Schnorr signature scheme: this is a variant of the El-Gamal type signature scheme.
Techniquement, deux types de schéma de signature électronique se distinguent :Technically, two types of electronic signature scheme are distinguished:
Schémas de signature électronique nécessitant le message original pour la vérification de la signature : on transmet donc le message et la signature séparément ;Electronic signature schemes requiring the original message for signature verification: the message and the signature are therefore transmitted separately;
- Schémas de signature électronique avec reconstitution du message : le message original est obtenu d'après la signature elle-même ; le message original n'étant pas nécessaire pour vérifier la signature, la taille totale de la signature est plus courte.- Electronic signature schemes with message reconstruction: the original message is obtained from the signature itself; since the original message is not necessary to verify the signature, the total size of the signature is shorter.
La première réalisation d'un schéma à clef publique fut mise au point en 1977 par Rivest, Shamir et Adleman, qui ont inventé le système de chiffrement RSA. La sécurité de RSA repose sur la difficulté de factoriser un grand nombre qui est le produit de deux nombres premiers. Le système RSA est le système de chiffrement à clé publique le plus utilisé. Il peut être utilisé comme procédé de chiffrement ou comme procédé de signature. Le système RSA est utilisé dans les cartes à puce, pour certaines applications de celles-ci. Les applications possibles de RSA sur une carte à puce sont l'accès à des banques de données, des applications bancaires, des applications de paiements à distance comme par exemple la télévision à péage, la distribution d'essence ou le paiement de péages d'autoroute.The first realization of a public key scheme was developed in 1977 by Rivest, Shamir and Adleman, who invented the RSA encryption system. The security of RSA rests on the difficulty of factorizing a large number which is the product of two prime numbers. The RSA system is the most widely used public key encryption system. It can be used as an encryption method or as a encryption method. signature. The RSA system is used in smart cards, for certain applications of these. Possible applications of RSA on a smart card are access to databases, banking applications, remote payment applications such as pay TV, gas distribution or payment of tolls. highway.
Le principe d'un schéma de signature électronique basé sur le système RSA peut généralement être défini en trois parties :The principle of an electronic signature scheme based on the RSA system can generally be defined in three parts:
- La première partie est la génération de la clef RSA. Chaque utilisateur crée une clé publique RSA et une clé privée correspondante, suivant le procédé suivant en 5 étapes :- The first part is the generation of the RSA key. Each user creates an RSA public key and a corresponding private key, according to the following 5-step process:
1) Générer deux nombres premiers distincts p et q de même taille k/2 bits, k étant un paramètre entier;1) Generate two distinct prime numbers p and q of the same size k / 2 bits, k being an integer parameter;
2) Calculer le nombre n tel que : n=p*q et φ=(p-2) Calculate the number n such that: n = p * q and φ = (p-
1) * (q-1) ;1) * (q-1);
3) Sélectionner aléatoirement un entier e,
Figure imgf000005_0001
4) Calculer l'unique entier d, l<d<φ, tel que e*d=l mod φ;3) Randomly select an integer e,
Figure imgf000005_0001
4) Calculate the unique integer d, l <d <φ, such that e * d = l mod φ;
5) La clé publique est (n,e) ; la clé privée est d.5) The public key is (n, e); the private key is d.
Les entiers e et d sont appelés respectivement exposant de chiffrement et exposant de déchiffrement. L'entier n est appelé le module. La deuxième partie est la génération de la signature.The integers e and d are respectively called encryption exponents and decryption exponents. The integer n is called the module. The second part is the generation of the signature.
Le procédé consiste à prendre en entrée le message M à signer, à lui appliquer un encodage utilisant une fonction μ pour obtenir la chaîne de caractère μ (M) . La signature S est alors donnée par :The method consists in taking as input the message M to be signed, in applying to it an encoding using a function μ to obtain the character string μ (M). The signature S is then given by:
S=μ (M) d mod N ;S = μ (M) d mod N;
Ainsi, seule la personne possédant la clef privée correspondant à l'exposant d peut générer la signature ;Thus, only the person having the private key corresponding to the exponent d can generate the signature;
La troisième partie est la vérification de la signature : le procédé consiste à prendre en entrée le message M à signer et la signature S à vérifier, à appliquer un encodage au message M en utilisant une fonction μ pour obtenir la chaîne de caractère μ(M), à calculerThe third part is the verification of the signature: the method consists in taking as input the message M to sign and the signature S to verify, in applying an encoding to the message M using a function μ to obtain the character string μ (M ), to calculate
Y=S e mod NY = S e mod N
et à vérifier que le résultat obtenu est égal à μ(M) . Dans ce cas, la signature S du message M est valide, et dans le cas contraire elle est fausse.and to verify that the result obtained is equal to μ (M). In this case, the signature S of the message M is valid, and otherwise it is false.
Il existe de nombreux procédés d'encodage utilisant différentes fonctions μ. Un exemple de procédé d'encodage est le procédé décrit dans le standard « ISO/IEC 9796-2, Information Technology - Security techniques - Digital signature scheme giving message recovery, Part 2 : Mechanisms using a hash- funct ion, 1997 ». Un autre exemple de procédé d'encodage est le procédé d'encodage décrit dans le standard « RSA Laboboratories , PKCS#1 : RSA cryptography spécifications, version 2.0, September 1998 ». Ces deux procédés d'encodage permettent de signer des messages de taille arbitrairement longue.There are many encoding methods using different μ functions. An example of an encoding process is the process described in the standard "ISO / IEC 9796-2, Information Technology - Security techniques - Digital signature scheme giving message recovery, Part 2: Mechanisms using a hash-funct ion, 1997". Another example of an encoding process is the encoding process described in the standard "RSA Laboboratories, PKCS # 1: RSA cryptography specifications, version 2.0, September 1998". These two encoding methods allow messages of arbitrarily long size to be signed.
L'inconvénient de ces procédés d'encodage précédemment décrits est qu'ils n'offrent pas forcément un niveau de sécurité comparable au système RSA.The disadvantage of these previously described encoding methods is that they do not necessarily offer a level of security comparable to the RSA system.
Au contraire, il existe des procédés d'encodage qui offrent un niveau de sécurité équivalent au schéma RSA. Le plus connu d'entre eux est le schéma de signature PSS, acronyme anglais désignant « Probabil istic Signature Scheme », décrit en 1996 par Bellare et Rogaway dans la publication intitulée « The exact security of digital signatures - How to sign with RSA and Rabin » et publiée à la conférence Eurocrypt 1996. Le schéma de signature PSS est inclus dans de nombreux standards, incluantOn the contrary, there are encoding methods which offer a level of security equivalent to the RSA scheme. The best known of these is the PSS signature scheme, an acronym for "Probabil istic Signature Scheme", described in 1996 by Bellare and Rogaway in the publication "The exact security of digital signatures - How to sign with RSA and Rabin And published at the 1996 Eurocrypt conference. The PSS signature scheme is included in many standards, including
- IEEE P1363, Standard Spécifications For Public Key Cryptography: Additional Techniques ; - PKCS #1 v2.1, RSA Cryptography Standard.- IEEE P1363, Standard Specifications For Public Key Cryptography: Additional Techniques; - PKCS # 1 v2.1, RSA Cryptography Standard.
Le schéma de signature PSS permet de signer un message M de longueur arbitraire. Il existe aussi une variante du schéma PSS nommée PSS-R dans laquelle on retrouve le message au moment de la vérification de la signature. Il n'est alors plus nécessaire de transmettre le message avec la signature . Le procédé de signature PSS fonctionne de la manière suivante : pour signer un message M, on concatene au message un aléa r de taille k0 bits, k0 étant un paramètre déterminé préalablement. On applique ensuite à M| |r une fonction de hachage H qui renvoie en sortie une chaîne de taille ki bits, ki étant un paramètre, pour obtenir le résultat w. On définit une fonction de hachage G prenant en entrée un message de taille ki bits et renvoyant en sortie un message de taille k-kχ-1 bits. On définit la fonction G qui renvoie les k0 premiers bits de la fonction G, ainsi que la fonction G2 qui renvoie les k-kι-k0-l bits restants . La fonction d'encodage μ(M) est alors donnée par :The PSS signature scheme makes it possible to sign a message M of arbitrary length. There is also a variant of the PSS scheme called PSS-R in which we find the message when verifying the signature. It is no longer necessary to transmit the message with the signature. The PSS signature process works as follows: to sign a message M, we concatenate a random r of size k 0 bits, k 0 being a previously determined parameter. We then apply to M | | r a hash function H which returns as output a string of size ki bits, ki being a parameter, to obtain the result w. A hash function G is defined taking as input a message of size ki bits and returning as output a message of size k-kχ-1 bits. We define the function G which returns the first k 0 bits of the function G, as well as the function G 2 which returns the remaining k-kι-k 0 -l bits. The encoding function μ (M) is then given by:
μ(M)=θ| | | |Gι(w) xor r| | G2 (w) .μ (M) = θ | | | | Gι (w) xor r | | G 2 (w).
Pour vérifier la signature S d'un message M, on calcule dans un premier tempsTo verify the signature S of a message M, we first calculate
Y=SAe mod NY = S A e mod N
Et on écrit ensuite Y sous la forme Y= 0 | | w | | r* | |g, où w est une chaîne de taille kx bits, r* est une chaîne de taille ko bits, et g est une chaîne comprenant les k-ko-kχ-1 bits restants. On calcule r=Gx (w) xor r* et on vérifie que w=H(M| | r) et g=G2 (w) .And we then write Y in the form Y = 0 | | w | | r * | | g, where w is a string of size k x bits, r * is a string of size k o bits, and g is a string comprising the remaining k-ko-kχ-1 bits. We calculate r = G x (w) xor r * and we verify that w = H (M | | r) and g = G 2 (w).
Le schéma de signature PSS-R, acronyme anglais désignant Probabilist ic Signature Scheme - Recovery, est analogue au schéma PSS, la différence étant qu'il permet de retrouver le message au moment de la vérification de la signature. La taille du message qui est retrouvée lors de la vérification de la signature est de k- 1-ko-kχ. On en déduit que plus la taille k0 de l'aléa est petite, plus on peut retrouver un grand message lors de la vérification de la signature. On diminue donc ainsi la taille totale des données échangées : on n'a pas besoin de transmettre le message car il sera retrouvé au moment de la vérification de la signature. Or la taille des données échangées est cruciale dans beaucoup d'applications disposant de peu de mémoires, comme la carte à puce ou les ordinateurs de poches.The PSS-R signature scheme, an acronym for Probabilist ic Signature Scheme - Recovery, is similar to the PSS scheme, the difference being that it allows to find the message at the time of the verification of the signature. The size of the message which is found during the verification of the signature is k-1-ko-kχ. We deduce that the smaller the size k 0 of the hazard, the more we can find a large message when verifying the signature. This therefore reduces the total size of the data exchanged: there is no need to transmit the message because it will be found when verifying the signature. The size of the data exchanged is crucial in many applications with few memories, such as a smart card or pocket computers.
L'invention consiste en un procédé permettant de déterminer la taille optimale de l'aléa utilisé lors de la génération de la signature. La taille est optimale au sens où elle est la taille minimale permettant de garantir un niveau de sécurité équivalent à RSA. L'utilisation d'un aléa de taille plus petite ne permet pas d'avoir un niveau de sécurité équivalent à celui de RSA. Le procédé de l'invention est particulièrement destiné à s'appliquer au schéma de signature PSS, mais il peut s'étendre à d'autres schémas de signature aux caractéristiques analogues à PSS, par exemple au schéma de signature PFDH, acronyme anglais de « Probabilistic Full Domain Hash ». Le schéma PFDH fonctionne de la manière suivante. Pour générer une signature d'un message M, on concatene au message M un aléa r de taille k0 bits, k0 étant un paramètre déterminé préalablement. On applique ensuite à M| |r une fonction de hachage H qui renvoie en sortie une chaîne de taille k bits notée μ (M) =H (M | | r) .The invention consists of a method for determining the optimal size of the hazard used during the generation of the signature. The size is optimal in the sense that it is the minimum size to guarantee a level of security equivalent to RSA. The use of a smaller size hazard does not provide a level of security equivalent to that of RSA. The method of the invention is particularly intended to apply to the PSS signature scheme, but it can extend to other signature schemes with characteristics similar to PSS, for example to the PFDH signature scheme, English acronym for " Probabilistic Full Domain Hash ”. The PFDH scheme works as follows. To generate a signature of a message M, a random r of size k 0 bits is concatenated with the message M, k 0 being a previously determined parameter. We apply then to M | | r a hash function H which returns as output a chain of size k bits denoted μ (M) = H (M | | r).
Dans une première variante, le procédé consiste à inclure un compteur qui limite le nombre total de signature qui seront générées pour une clef publique donnée. Initialement, le compteur est fixé à zéro. A chaque nouvelle signature, on incrémente le compteur. Lorsque la valeur du compteur a dépassé une valeur maximale notée qsig, on ne peut plus générer de signature. On détermine alors la valeur optimale de la taille k0 de l'aléa en déterminant k0=log (qsig) /log ( 2 ) , où log désigne la fonction logarithme. L'avantage de cette première variante est que la taille k0 de l'aléa est optimale : une taille ko inférieure à cette valeur engendrerait un niveau de sécurité inférieur au niveau de sécurité du système RSA, tandis qu'une taille k0 supérieure à cette valeur diminuerait la taille du message qui peut être retrouvé lors de la vérification de la signature.In a first variant, the method consists in including a counter which limits the total number of signatures which will be generated for a given public key. Initially, the counter is set to zero. With each new signature, the counter is incremented. When the value of the counter has exceeded a maximum value noted qsig, one can no longer generate a signature. The optimal value of the size k 0 of the hazard is then determined by determining k0 = log (qsig) / log (2), where log denotes the logarithm function. The advantage of this first variant is that the size k 0 of the hazard is optimal: a size k o less than this value would generate a level of security lower than the security level of the RSA system, while a size k 0 greater to this value would decrease the size of the message that can be found during the verification of the signature.
Dans une deuxième variante, le procédé consiste à utiliser le temps tgen nécessaire à la génération d'une signature, ainsi que la durée de vie maximale tvie du système de génération de signatures selon une clé publique donnée. Par exemple, une carte bancaire utilisant ce dit système de génération de signatures selon une clé publique donnée devant être renouvelée tous les deux ans possède une durée de vie tvie=2 ans. On obtient alors le nombre maximal qsig de signatures pouvant être générées en calculant : qsig=tvie/tgen.In a second variant, the method consists in using the time tgen necessary for the generation of a signature, as well as the maximum lifetime tvie of the system for generating signatures according to a given public key. For example, a bank card using this so-called signature generation system according to a given public key which has to be renewed every two years has a lifetime tvie = 2 years. We then obtain the maximum number qsig of signatures that can be generated by calculating: QSIG = tvie / TGen.
On obtient ensuite suivant le même procédé décrit dans la première variante la taille optimale ko de l'aléa en calculant : k0=log(qsig) /log(2)Then we obtain according to the same process described in the first variant the optimal size k o of the hazard by calculating: k0 = log (qsig) / log (2)
L'avantage de cette deuxième variante est que l'on obtient un niveau de sécurité équivalent au système RSA, avec une taille de message retrouvé maximale, et sans utiliser de compteur.The advantage of this second variant is that a level of security equivalent to the RSA system is obtained, with a maximum retrieved message size, and without using a counter.
Dans une troisième variante, on utilise un compteur q du nombre de signatures générées, mais on ne connaît pas à priori la valeur limite de ce compteur. Initialement, le compteur q est fixé à zéro, et la valeur du paramètre k0 est fixée à zéro. A chaque nouvelle génération d'une signature, on incrémente le compteur q. On détermine alors une nouvelle valeur de k0 égale à la taille mesurée en nombre de bits de q. Par exemple, si q=7, k0=3, et si q=8, k0=4. L'avantage du procédé de la troisième variante est que l'on conserve tout au long du procédé une valeur optimale pour la taille k0 de l'aléa : on conserve un niveau de sécurité équivalent au système RSA tout en permettant de retrouver une taille maximale de message.In a third variant, a counter q is used for the number of signatures generated, but the limit value of this counter is not known a priori. Initially, the counter q is set to zero, and the value of the parameter k 0 is set to zero. With each new generation of a signature, the counter q is incremented. A new value of k 0 is then determined equal to the size measured in number of bits of q. For example, if q = 7, k0 = 3, and if q = 8, k0 = 4. The advantage of the method of the third variant is that, throughout the process, an optimal value for the size k 0 of the hazard is kept: a safety level equivalent to the RSA system is maintained while allowing a size to be found. message maximum.
Les schémas de signature utilisés pour la présente invention sont préfèrent iellement du RSA, Rabin, PSS, PSS-R et PFHD comme décrits précédemment dans la description. Les trois variantes du procédé précédemment décrites mais non exhaustives peuvent s'appliquer plus généralement à tout système de signature dans lequel on retrouve la valeur de l'aléa au moment de la vérification de la signature. L'application de l'une quelconque des trois variantes du procédé précédemment décrites permettent d'obtenir une taille d'aléa généré optimale. Les trois variantes sont particulièrement destinées à être utilisées dans un objet portable électronique de type carte à puce . The signature schemes used for the present invention are preferably RSA, Rabin, PSS, PSS-R and PFHD as described previously in the description. The three variants of the process described above, but not exhaustive, can apply more generally to any signature system in which the value of the hazard is found at the time of signature verification. The application of any one of the three variants of the process described above makes it possible to obtain an optimal size of the generated hazard. The three variants are particularly intended for use in an electronic portable object of the smart card type.

Claims

REVENDICATIONS
1) Procédé de détermination de la taille d'un aléa utilisé dans la génération d'une signature électronique, ladite taille étant à la fois minimale et permettant de garantir un niveau de sécurité équivalent avec le système cryptographique de base utilisé à clé publique, caractérisé en ce que ledit procédé nécessite la connaissance du nombre total qsig de signatures qui sont générées pour une clef publique donnée, la taille k0 de l'aléa étant déterminée par la formulation : k0=log (qsig) /log (2) , log désignant la fonction logarithme.1) Method for determining the size of a hazard used in the generation of an electronic signature, said size being both minimum and making it possible to guarantee an equivalent level of security with the basic cryptographic system used with public key, characterized in that said method requires knowledge of the total number qsig of signatures which are generated for a given public key, the size k 0 of the hazard being determined by the formulation: k 0 = log (qsig) / log (2), log designating the logarithm function.
2) Procédé selon la revendication 1 caractérisé en ce qu'il utilise un compteur du nombre de signatures générées, ledit compteur étant fixé initialement à zéro, ledit compteur étant incrémenté à chaque nouvelle génération de signature, le nombre total de signature pouvant être générées étant limité par un paramètre qsig fixé à l'avance, la taille k0 de l'aléa généré étant déterminé par la formulation : k0=log (qsig) /log (2) , log désignant la fonction logarithme .2) Method according to claim 1 characterized in that it uses a counter of the number of signatures generated, said counter being initially set to zero, said counter being incremented with each new generation of signature, the total number of signatures can be generated being limited by a parameter qsig fixed in advance, the size k 0 of the hazard generated being determined by the formulation: k 0 = log (qsig) / log (2), log designating the logarithm function.
3) Procédé selon la revendication 1 caractérisé en ce qu'une durée de vie tvie maximale d'un système de génération de signatures pour une clé publique donnée et un temps de génération tgen d'une signature sont connus, le nombre maximal de signatures pouvant être générées est déterminé par la formulation : qsig=tvie/tgen, la taille k0 de l'aléa généré est déterminée par k0=log (qsig) /log (2 ) , log désignant la fonction logarithme .3) Method according to claim 1 characterized in that a maximum lifetime of a signature generation system for a given public key and a generation time tgen of a signature are known, the maximum number of signatures that can be generated is determined by the formulation: qsig = tvie / tgen, the size k 0 of the hazard generated is determined by k 0 = log (qsig) / log ( 2), log designating the logarithm function.
4) Procédé de détermination de la taille d'un aléa utilisé dans la génération d'une signature électronique, ladite taille étant à la fois minimale et permettant de garantir un niveau de sécurité équivalent avec le système cryptographique de base utilisé, caractérisé en ce qu'il utilise un compteur q du nombre de signatures, ledit compteur q étant fixé initialement à zéro, ledit compteur q étant incrémenté à chaque génération d'une signature, la taille ko de l'aléa étant initialement fixée à 0, ladite taille ko de l'aléa étant ensuite donnée par la taille mesurée en nombre de bits du compteur q.4) Method for determining the size of a hazard used in the generation of an electronic signature, said size being both minimum and making it possible to guarantee an equivalent level of security with the basic cryptographic system used, characterized in that it uses a counter q for the number of signatures, said counter q being initially set at zero, said counter q being incremented at each generation of a signature, the size kb of the hazard being initially set at 0, said size kb of the hazard then being given by the size measured in number of bits of the counter q.
5) Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ledit système cryptographique de base est RSA.5) Method according to any one of claims 1 to 4, characterized in that said basic cryptographic system is RSA.
6) Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ledit système cryptographique de base est Rabin. 7) Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que le schéma de signature utilisé est PSS.6) Method according to any one of claims 1 to 4, characterized in that said basic cryptographic system is Rabin. 7) Method according to any one of claims 1 to 4, characterized in that the signature scheme used is PSS.
8) Procédé, selon l'une quelconque des revendications 1 à 4, caractérisé en ce que le schéma de signature utilisé est PSS-R.8) Method according to any one of claims 1 to 4, characterized in that the signature scheme used is PSS-R.
9) Procédé selon l'une quelconque des revendications là 4, caractérisé en ce que le schéma de signature utilisé est PFDH.9) Method according to any one of claims there 4, characterized in that the signature scheme used is PFDH.
10) Procédé selon l'une quelconque des revendications là 9, caractérisé en ce qu'il est mis en œuvre dans un objet électronique portable .10) Method according to any one of claims there 9, characterized in that it is implemented in a portable electronic object.
11) Procédé selon la revendication précédente 9, caractérisé en ce que ledit dispositif électronique est une carte à puce.11) Method according to the preceding claim 9, characterized in that said electronic device is a smart card.
12) Dispositif électronique portable mettant en oeuvre le procédé selon l'une quelconque des revendications 1 àll. 12) Portable electronic device implementing the method according to any one of claims 1 to 11.
PCT/FR2002/002453 2001-08-02 2002-07-11 Method for determining the size of a random variable for an electronic signature schema WO2003013053A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR01/10409 2001-08-02
FR0110409A FR2828353B1 (en) 2001-08-02 2001-08-02 METHOD FOR DETERMINING THE SIZE OF A FTA FOR AN ELECTRONIC SIGNATURE SCHEME

Publications (1)

Publication Number Publication Date
WO2003013053A1 true WO2003013053A1 (en) 2003-02-13

Family

ID=8866249

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2002/002453 WO2003013053A1 (en) 2001-08-02 2002-07-11 Method for determining the size of a random variable for an electronic signature schema

Country Status (2)

Country Link
FR (1) FR2828353B1 (en)
WO (1) WO2003013053A1 (en)

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
BELLARE M ET AL: "THE EXACT SECURITY OF DIGITAL SIGNATURES - HOW TO SIGN WITH RSA AND RABIN", ADVANCES IN CRYPTOLOGY - EUROCRYPT '96. INTERNATIONAL CONFERENCE ON THE THEORY AND APPLICATION OF CRYPTOGRAPHIC TECHNIQUES. SARAGOSSA, MAY 12 - 16, 1996, ADVANCES IN CRYPTOLOGY - EUROCRYPT. INTERNATIONAL CONFERENCE ON THE THEORY AND APPLICATION OF CR, 12 May 1996 (1996-05-12), pages 399 - 416, XP000725449, ISBN: 3-540-61186-X *
CORON J-S: "OPTIMAL SECURITY PROOFS FOR PSS AND OTHER SIGNATURE SCHEMES", ADVANCES IN CRYPTOLOGY - EUROCRYPT 2002. INTERNATIONAL CONF. ON THE THEORY AND APPLICATIONS OF CRYPTOGRAPHIC TECHNIQUES. AMSTERDAM, NL, APRIL 28 - MAY 2, 2002, LECTURE NOTES IN COMPUTER SCIENCE, BERLIN: SPRINGER, DE, vol. 2332, 28 April 2002 (2002-04-28), pages 272 - 287, XP001090352, ISBN: 3-540-43553-0 *

Also Published As

Publication number Publication date
FR2828353B1 (en) 2003-11-14
FR2828353A1 (en) 2003-02-07

Similar Documents

Publication Publication Date Title
EP2345202B1 (en) Digital signature method in two steps
FR2759226A1 (en) PROTOCOL FOR VERIFYING A DIGITAL SIGNATURE
US7912216B2 (en) Elliptic curve cryptosystem optimization using two phase key generation
WO2000042734A1 (en) Public and private key cryptographic method
WO2001031436A1 (en) Security method for a cryptographic electronic assembly based on modular exponentiation against analytical attacks
EP0795241B1 (en) Public key cryptography process based on the discrete logarithm
WO2000062477A1 (en) Authentication and signature method for messages using reduced size of binary units of information content and corresponding systems
EP1224765B1 (en) Countermeasure method in an electronic component which uses an rsa-type public key cryptographic algorithm
EP1350357A1 (en) Method for enhancing security of public key encryption schemas
CA2257907A1 (en) Public key cryptography method
EP1325584A1 (en) Method for encoding long messages for rsa electronic signature schemes
FR2834153A1 (en) Zero knowledge cryptographic system for electronic payment uses factorization and discrete logarithm
WO2003013053A1 (en) Method for determining the size of a random variable for an electronic signature schema
KR100397601B1 (en) Digital signature method and message verification method
EP1325585A1 (en) Method for accelerated transmission of electronic signature
WO1998051038A1 (en) Pseudo-random generator based on a hash coding function for cryptographic systems requiring random drawing
FR2842052A1 (en) CRYPTOGRAPHIC METHOD AND DEVICES FOR REDUCING CALCULATION DURING TRANSACTIONS
Moldovyan et al. Short signatures from the difficulty of factoring problem
WO2007065468A1 (en) Method of generating a signature with proof of “tight” security, associated verification method and associated signature scheme that are based on the diffie-hellman model
EP1185025A1 (en) Undeniable digital signature scheme based on quadratic field
FR2829333A1 (en) METHOD OF REDUCING THE SIZE OF AN RSA OR RABIN SIGNATURE
WO2000064097A1 (en) Signature verification and authentication method
WO2002050658A1 (en) Countermeasure methods in an electronic component using an rsa-type public key encryption algorithm
WO2006045660A2 (en) On-the-fly signature generation method with security proof
FR3070517A1 (en) SYSTEM AND METHOD FOR AUTHENTICATION AND DIGITAL SIGNATURE

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TN TR TT TZ UA UG US UZ VN YU ZA ZM ZW

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BY BZ CA CH CN CO CR CU CZ DE DM DZ EC EE ES FI GB GD GE GH HR HU ID IL IN IS JP KE KG KP KR LC LK LR LS LT LU LV MA MD MG MN MW MX MZ NO NZ OM PH PL PT RU SD SE SG SI SK SL TJ TM TN TR TZ UA UG US UZ VN YU ZA ZM

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ UG ZM ZW AM AZ BY KG KZ RU TJ TM AT BE BG CH CY CZ DK EE ES FI FR GB GR IE IT LU MC PT SE SK TR BF BJ CF CG CI GA GN GQ GW ML MR NE SN TD TG

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LU MC NL PT SE SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP