DE19744786A1 - Digitalsignatur-Protokoll - Google Patents

Digitalsignatur-Protokoll

Info

Publication number
DE19744786A1
DE19744786A1 DE19744786A DE19744786A DE19744786A1 DE 19744786 A1 DE19744786 A1 DE 19744786A1 DE 19744786 A DE19744786 A DE 19744786A DE 19744786 A DE19744786 A DE 19744786A DE 19744786 A1 DE19744786 A1 DE 19744786A1
Authority
DE
Germany
Prior art keywords
key
message
text
signature
digital signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19744786A
Other languages
English (en)
Other versions
DE19744786B4 (de
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Certicom Corp
Original Assignee
Certicom Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Certicom Corp filed Critical Certicom Corp
Publication of DE19744786A1 publication Critical patent/DE19744786A1/de
Application granted granted Critical
Publication of DE19744786B4 publication Critical patent/DE19744786B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Description

Die vorliegende Erfindung betrifft Digital­ signatur-Protokolle. Verschlüsselungsverfahren mit öffent­ lichem Schlüssel sind wohlbekannt und verwenden einen öffentlichen Schlüssel und einen privaten Schlüssel, die mathematisch miteinander in Beziehung stehen. Die fehler­ festeren basieren auf der Unlösbarkeit des Problems des diskreten Logarithmus in einer endlichen Gruppe.
Bei derartigen Verschlüsselungssystemen mit öffentlichem Schlüssel werden ein Gruppenelement und ein Generator für die Gruppe eingesetzt. Der Generator ist ein Element, aus dem jedes andere Gruppenelement durch wiederholte Anwendung der zugrundeliegenden Gruppen-Ope­ ration erhalten werden kann, das heißt durch wiederholten Zusammenbau des Generators. Herkömmlicher­ weise wird darunter eine Potenzierung des Generators mit einem ganzzahligen Exponenten verstanden, was je nach der zugrundeliegenden Gruppenoperation als k-fache Multiplikation des Generators oder als k-fache Addition des Generators dargestellt werden kann. Bei einem derartigen Verschlüsselungssystem mit öffentlichem Schlüssel wird eine ganze Zahl k als privater Schlüssel verwendet und geheimgehalten. Ein entsprechender öffentlicher Schlüssel wird durch Potenzieren des Generators α mit der ganzen Zahl k erhalten, so daß ein öffentlicher Schlüssel in der Form αk bereitgestellt wird. Der Wert der ganzen Zahl k kann nicht hergeleitet werden, obwohl der Exponent αk bekannt ist.
Der öffentliche und der private Schlüssel können bei einer Nachrichtenübertragung über ein Daten­ kommunikationssystem eingesetzt werden, wobei einer der Teilnehmer die Daten mit dem öffentlichen Schlüssel αk des Empfängers verschlüsseln kann. Der Empfänger empfängt die verschlüsselte Nachricht und verwendet seinen privaten Schlüssel k, um die Nachricht zu entschlüsseln und den Inhalt zurückzugewinnen. Da die ganze Zahl k nicht hergeleitet werden kann, wird beim Abhören der Nachricht der Inhalt nicht preisgegeben.
Eine ähnliche Technik kann eingesetzt werden, um die Echtheit einer Nachricht durch Verwenden einer digitalen Signatur zu verifizieren. Bei dieser Technik unterzeichnet der Sender der Nachricht die Nachricht mit einem privaten Schlüssel k, und ein Empfänger kann verifizieren, daß die Nachricht vom Sender stammt, indem er die Nachricht mit dem öffentlichen Schlüssel αk des Senders entschlüsselt. Ein Vergleich zwischen einer Funktion der Klartextnachricht und der wiederhergestellten Nachricht bestätigt die Echtheit der Nachricht.
Zum Umsetzen eines Digitalsignatur-Verfahrens existieren verschiedene Protokolle, und einige haben große Verbreitung gefunden. Allerdings ist es bei jedem Protokoll erforderlich, einen Schutz gegen einen bedrohlichen Angriff vorzusehen, bei dem ein Betrüger möglicherweise während der Übertragung eine neue Nachricht substituiert, was den Empfänger glauben macht, daß er mit einer bestimmten Person korrespondiert. Nach der Feststellung einer derartigen Berechtigung ist es möglich, daß der Empfänger dann Informationen offenlegt, die er nicht offenlegen sollte, oder er schreibt dem Sender unrichtigerweise Informationen zu.
Um einen bedrohlichen Angriff zu vermeiden, ist es üblich, daß die Nachricht eine gewisse Redundanz enthält, zum Beispiel durch Wiederholen eines Teils der Nachricht oder in einigen Fällen der ganzen Nachricht. Dadurch wird diejenige Funktion der Nachricht gebildet, die die Echtheit bestätigt. Durch die Redundanz wird innerhalb der wiederhergestellten Nachricht ein Muster gebildet, was von dem Empfänger erwartet wird. Es ist unwahrscheinlich, daß irgendeine Manipulation an der Nachricht bei der Entschlüsselung ein derartiges Muster erzeugt, weshalb die Manipulation ohne weiteres erkannt wird.
Durch die Redundanz wird allerdings die Länge der Nachricht und somit die zum Übertragen der Nachricht erforderliche Bandbreite vergrößert. Im allgemeinen ist dies unerwünscht, und die Auswirkung davon ist als reduzierte Übertragungsrate für die Nachricht zu sehen. Bei einigen Anwendungen allerdings ist die Länge der Nachricht kritisch, da die unterzeichnete Nachricht möglicherweise als gedrucktes Dokument reproduziert wird und die Länge der Nachricht dann den Umfang des gedruckten Dokuments beeinflußt. Eine derartige Anwendung besteht in einem postalischen Umfeld, wo ein Strichcode eingesetzt werden kann, um Ziel, Postgebühr, Rate und den Sender anzuzeigen. Um Betrug zu vermeiden, wird die Nachricht von einer Berechtigungsstelle digital unterzeichnet, und ein digitaler Strichcode wird zusammengestellt, der die in der unterzeichneten Nachricht enthaltenen Informationen darstellt. Was die Lesbarkeit und das Verhindern von Fehlern, die beispielsweise durch das Auslaufen von Farbe hervorgerufen werden, betrifft, so unterliegt die Strichcodedarstellung bestimmten physikalischen Begrenzun­ gen. Eine lange Nachricht erzeugt infolgedessen einen übermäßig langen Strichcode, insbesondere dann, wenn die zum Verhindern des bedrohlichen Angriffs erforderliche Redundanz durch die Wiederholung der gesamten Nachricht gebildet wird.
Die Länge der Nachricht ist besonders bei digitalen Unterschriften von Nachrichten akut, die aus diskreten Blöcken zusammengebaut sind, wie beispielsweise in einem derartigen postalischen Umfeld. Bei einem herkömmlichen Signaturprotokoll wird ein kurzfristiger Geheimschlüssel k (der Sitzungsschlüssel) gewählt und zum Potenzieren des Generators α der zugrundeliegenden Gruppe verwendet, um einen kurzfristigen öffentlichen Schlüssel r=αk zu erhalten. Von r wird eine Bitkette r' hergeleitet und zum Verschlüsseln der Nachricht in verwendet, um Schlüsseltext e zu erhalten, das heißt e=Er' (m), wobei Er' die Anwendung eines Verschlüsselungs-Algorithmus mit dem Schlüssel r' auf die Nachricht (m) bezeichnet.
Es wird ein Signaturbestandteil s erzeugt, der Informationen enthält, damit die Echtheit der Signatur verifiziert werden kann. Die Natur des Signatur­ bestandteils hängt von dem umgesetzten Protokoll ab, doch kommt bei einem typischen beispielhaften Protokoll ein Signaturbestandteil s der Form s=ae+k mod(n) zum Einsatz, wobei n die Ordnung der Gruppe ist. Die Werte des Signaturpaars s, e werden weitergeleitet.
Bei diesem Protokoll berechnet der Empfänger αs-a)e, wobei α-a der öffentliche Schlüssel des Senders ist, um αk zu erhalten, das den kurzfristigen öffentlichen Schlüssel r darstellt.
Zum Zurückgewinnen der Nachricht m kann der Schlüsseltext e dann unter Verwendung des Schlüssels r' entschlüsselt werden.
Wenn eine Nachricht aus mehreren Blöcken zusammengesetzt ist, d. h. m=m1; m2; m3, kann der Schlüsseltext e für den Block m1 erhalten und das entsprechende Paar s, e weitergeleitet werden. Allerdings hängt der Signaturbestandteil s von der Verschlüsselung des ersten Blocks ab, was die nachfolgenden Blöcke anfällig macht. Es ist deshalb erforderlich, jeden Block zu unterzeichnen und mehrfache Signaturen weiterzuleiten, die alle die Länge der Nachricht vergrößern.
Eine Aufgabe der vorliegenden Erfindung besteht somit darin, die obigen Nachteile zu vermeiden oder zu lindern.
Allgemein ausgedrückt, erzeugt die vorliegende Erfindung eine verschlüsselte Nachrichtenkette e mit einem Schlüssel r', und der Schlüsseltext wird an den Empfänger weitergeleitet. Die verschlüsselte Nachrichtenkette e wird auch durch eine Hash-Funktion verarbeitet, und die resultierende Mischsumme e' wird in der Signatur s verwendet. Der Empfänger stellt die Nachricht wieder her, indem er die Nachrichtenkette e einem Hashing unterzieht und mit Hilfe des Wertes den Verschlüsselungsschlüssel r' wiederherstellt. Die Nachricht kann dann aus der Nachrichtenkette e wieder hergestellt werden.
Die Redundanz kann gegebenenfalls überprüft werden, um die Genauigkeit der Nachricht sicherzustellen, es muß aber nur ein Signaturpaar übertragen werden. Da die Signatur aus der Mischsumme der verschlüsselten Nachrichtenkette e erzeugt wird, können einzelne Datenblöcke nicht verändert werden.
Als weitere Präferenz kann das die Nachricht begleitende Zertifikat als einer der Blöcke in die Nachricht eingebaut und signiert werden. Das Zertifikat weist die erforderliche Redundanz für die Berechtigung auf, weil aber die Mischsumme der Kette in der Signatur verwendet wird, erfordert die Symmetrie der Blöcke keinerlei Redundanz. Dementsprechend kann eine kürzere Nachricht verwendet werden.
Ausführungsformen der Erfindung werden nunmehr unter Bezugnahme auf die beiliegenden Zeichnungen lediglich beispielhaft beschrieben. Es zeigen:
Fig. 1 eine schematische Darstellung eines Datenkommunikationssystems;
Fig. 2 eine schematische Darstellung eines Blocks von Nachrichten;
Fig. 3 ein Flußdiagramm, das das Erzeugen einer digitalen Signatur und das Wiederherstellen einer Nachricht zeigt; und
Fig. 4 eine der Fig. 2 ähnliche schematische Darstellung einer alternativen Ausführungsform.
Unter Bezugnahme auf Fig. 1 enthält ein Datenkommunikationssystem 10 ein Teilnehmerpaar 12, 14 und einen Kommunikationskanal 16. Wie durch die durchgezogene Linie angezeigt, kann der Kommunikationskanal 16 ein unterbrechungsfreier Kanal zwischen den beiden Teilnehmern 12, 14 sein, so daß zwischen den Teilnehmern digitale Informationen übertragen werden können. Es versteht sich allerdings, daß der Kanal 16, wie durch strichpunktierte Linien angedeutet, unterbrochen sein kann, so daß der Sender 12 mit einer Strichcode-Zusammenstelleinrichtung 18, die digitale Informationen empfängt, in Verbindung steht, sie in einen Strichcode umwandelt und Strichcodeangaben 20 auf einen Umschlag 22 druckt. Die Angaben 20 können dann mit einem Strichcodelesegerät 24 gelesen und die wiederhergestellte Nachricht an den Empfänger 14 übermittelt werden.
Jeder der Teilnehmer 12, 14 enthält eine Verschlüsselungseinheit 26 bzw. 28, die digitale Informationen verarbeiten und sie zur Übertragung durch den Kanal 16 vorbereiten kann, wie unten beschrieben wird.
Wie in Fig. 2 zu erkennen ist, beabsichtigt der Teilnehmer 12, eine digitale Botschaft m zu erzeugen, die verschlüsselt und über die Strichcodezusammenstell­ einrichtung auf den Umschlag 22 aufgebracht werden kann. Die digitale Nachricht m besteht aus mehreren diskreten Blöcken m1, m2, m3, . . ., die jeweils ein bestimmtes Teil der Informationen darstellen. Bei der Nachricht m1 kann es sich beispielsweise um die Adresse des Senders handeln, die Nachricht m2 kann die Adresse des Empfängers sein, die Nachricht m3 kann die zutreffende Postgebühr sein, und die Nachricht m4 kann die berechnete Postgebühr sein und ein elektronisches Abbuchen bewirken.
Um die Nachricht m digital zu unterzeichnen, läßt der Teilnehmer 12 sie durch die Verschlüsselungseinheit 26 verarbeiten. Die Einheit 26 enthält einen Zahlengenerator 30, der eine zufallsmäßige ganze Zahl k wählt und bei einer Potenziereinheit 32 einen kurzfristigen öffentlichen Schlüssel r berechnet. Die Einheit 26 kann unter jedem der bewährten Verschlüsselungsverfahren laufen, eine besonders günstige Realisierung jedoch verwendet elliptische Kurven über einem endlichen Feld. Der kurzfristige öffentliche Schlüssel r wird von dem Generator der Gruppe α hergeleitet, die mit der ganzen Zahl k potenziert wird, so daß r=αk ist. Bei einer Umsetzung mit einer elliptischen Kurve ist die zugrundeliegende Feldoperation die Addition, so daß die "Potenzierung" durch k-fache Addition eines Punktes P erhalten wird, so daß der öffentliche Schlüssel ein Punkt kP auf der Kurve ist.
Eine Bitkette r' wird aus r erhalten, indem ein vorbestimmter Algorithmus, wie beispielsweise eine modulo-Re­ duktion, oder, wenn die Umsetzung über eine elliptische Kurve geschieht, eine Koordinate des den öffentlichen Schlüssel darstellenden Punktes angewendet wird, und von der Verschlüsselungseinheit als Schlüssel zum Verschlüsseln jedes der Blöcke m1, m2 usw. beim Verschlüsselungsmodul 34 verwendet. Die verschlüsselten Blöcke e; e2; . . ., werden zu einer Nachrichtenkette e verkettet, wobei e=e1//e2// . . ., ek und wobei allgemein ei=Er'(mi) in einem Register 36 ist.
Die Verschlüsselungseinheit 26 beinhaltet eine bei 38 angedeutete Hash-Funktion, die die Schlüsseltextkette e so verarbeitet, daß eine verkürzte Bitkette entsteht, die die Mischsumme e' umfaßt. Geeignete Hash-Funktionen sind sichere kryptographische Einweg-Hash-Funktionen wie zum Beispiel SHA.
Von einer Arithmetikeinheit 40 wird dann unter Verwendung der Mischsumme e' und des privaten Schlüssels k, von dem der Verschlüsselungsschlüssel r abgeleitet ist, ein Signaturbestandteil s erzeugt. Ein geeigneter Bestandteil weist die Form
s = ae' + k mod(n)
auf, wobei a der langfristige Privatschlüssel des Teilnehmers 12 und k der vom Teilnehmer 12 gewählte kurzfristige private Schlüssel ist.
Die Verschlüsselungseinheit stellt die Nachricht zusammen und sendet die Nachrichtenkette e und den Signaturbestandteil s als Signaturpaar von einem Sender 42 durch den Kanal 16. Bei Einsatz als postalisches System kann die Nachricht dann in einen wahrnehmbaren Code, wie zum Beispiel einen zweidimensionalen Strichcode, übersetzt werden, als Angaben 20 auf einen Datenträger 22 aufgetragen werden, wie in Fig. 1 angedeutet, und später von dem Empfänger 14 gelesen werden. Je nach der jeweiligen Anwendung ist es möglich, daß die Angaben 20 sichtbar wahrgenommen werden, wie bei einem gedruckten Strichcode, magnetisch durch Drucken mit magnetischer Farbe, oder sie könnten von einem Laser optisch gelesen werden.
Bei Empfang durch den Empfänger 14 am Empfangsgerät 50 berechnet die Verschlüsselungseinheit 28 anfänglich den Hash-Wert e'*, indem die empfangene Nachrichtenkette e mit der Hash-Funktion h, wie bei 52 angedeutet, einem Hashing unterzogen wird. Ein öffentlicher Schlüssel r*, der mit der ganzen Zahl k in Beziehung steht, wird dann in der Arithmetikeinheit 54 berechnet, wobei Operationen in dem zugrundeliegenden Feld verwendet werden, um den Generator α mit dem empfangenen Wert des Bestandteils s zu potenzieren, und der öffentliche Schlüssel des Teilnehmers 12 mit dem berechneten Hash-Wert e'* potenziert wird, das heißt
r* = αs-a)e'*.
Aus dem wiederhergestellten öffentlichen Schlüssel wird dann ein Verschlüsselungsschlüssel r*' hergeleitet.
Ein Verschlüsselungsmodul 56 verarbeitet dann die empfangene Nachrichtenkette e, wobei der Verschlüsselungs­ schlüssel r*' verwendet wird, um die Nachricht in wieder­ herzustellen. Die Nachricht m enthält die erforderliche Redundanz, die überprüft werden kann, um die Echtheit der Nachricht festzustellen.
Es versteht sich, daß die in Fig. 3 umrissene Prozedur als Software realisiert und auf einem Allzweckrechner ausgeführt oder in einer integrierten Spezialschaltung realisiert werden kann.
Man wird bemerken, daß der Hash-Wert e' eine Mischsumme aller verschlüsselten Blöcke ist, die verkettet sind, weshalb es nicht möglich ist, einen der Blöcke zu manipulieren, ohne den resultierenden Hash-Wert zu beeinflussen. Obwohl mehrere Blöcke gesendet und wiederhergestellt werden, ist nur eine Signatur erforderlich, was die Nachrichtenlänge insgesamt reduziert.
Eine weitere Ausführungsform ist in Fig. 4 gezeigt, bei der gleiche Bezugszeichen gleiche Parameter bezeichnen, wobei der Übersichtlichkeit halber die Nachsilbe "a" angefügt ist.
Bei der Ausführungsform von Fig. 4 beinhaltet die Nachricht m als Nachrichtenblock m5a ein von einer sicheren Berechtigungsstelle ausgestelltes Zertifikat. Das Zertifikat enthält ausreichend Informationen, um die Authentifizierung des öffentlichen Schlüssels des Teilnehmers 12 und der Parameter des zugrundeliegenden Systems zu gestatten. Die Nachrichtenkette e wird wie oben angedeutet zusammengestellt, indem jeder der Blöcke verschlüsselt wird, um eine Kette e1a, e2a usw. einschließlich dem Zertifikat m5a zu liefern.
Es wird dann die Mischsumme e'a erhalten, die verwendet wird, um einen Signaturbestandteil sa der Form
sa = ae'a + k mod(n)
zu erzeugen.
Nach Wiederherstellung durch den Empfänger 14 enthält die wiederhergestellte Nachricht das Zertifikat m5a, das als Teil der zugrundeliegenden Systemparameter die erforderliche Redundanz aufweist. Durch die Redundanz des Zertifikates m5a wird somit die Nachricht m beglaubigt und die Notwendigkeit der Redundanz in den weiteren Blöcken vermieden. Da die in der Signatur s verwendete Mischsumme eine Mischsumme aller Blöcke ist, ist es jedoch nicht möglich, einen Block innerhalb der Nachricht zu ersetzen 5 und gleichzeitig die Echtheit der Signatur zu bewahren.
Es versteht sich, daß der Signaturbestandteil s jede beliebige geeignete Form aufweisen kann, die gewöhnlich in Digitalsignatur-Protokollen verwendet wird, die die Wiederherstellung des kurzfristigen öffentlichen Schlüssels und somit des Verschlüsselungsschlüssels aus einer Mischsumme der verschlüsselten Nachricht gestatten.

Claims (14)

1. Digitalsignatur-Protokoll zum Beglaubigen digita­ ler Informationen, die von einem Teilnehmer über ein Datenkommunikationssystem zu einem anderen übertragen werden, wobei das Protokoll folgende Schritte umfaßt: Erzeugen eines öffentlichen Schlüssels aus einer ganzen Zahl k, Verschlüsseln einer die Informationen enthaltenden Nachricht mit einem aus dem öffentlichen Schlüssel hergeleiteten Verschlüsselungsschlüssel, um einen Schlüsseltext e der Nachricht zu bilden, Anwenden einer Hash-Funktion auf den Schlüsseltext, um eine Mischsumme e' zu bilden, Erzeugen eines die Mischsumme e' und die ganze Zahl k beinhaltenden Signaturbestandteils s, Weiterleiten eines den Schlüsseltext e und den Bestandteil s enthaltenden Signaturpaars an den anderen Teilnehmer, Unterziehen des von dem anderen Teilnehmer empfangenen Schlüsseltextes e einem Hashing mit der Hash-Funktion, um eine empfangene Mischsumme e'* zu erhalten, Verwenden der empfangenen Mischsumme e'*, um aus dem Signaturbestandteil den Verschlüsselungsschlüssel wiederherzustellen, und Zurückgewinnen der Nachricht in aus dem Schlüsseltext e durch Anwenden des wiederhergestellten Schlüssels r.
2. Digitalsignatur-Protokoll nach Anspruch 1, bei dem der Schlüsseltext als wahrnehmbarer Code auf einen Datenträger zur Übertragung von einem Teilnehmer zum anderen aufgetragen wird.
3. Digitalsignatur-Protokoll nach Anspruch 2, bei dem der Code ein zweidimensionaler Strichcode ist.
4. Digitalsignatur-Protokoll nach Anspruch 1, bei dem der Signaturbestandteil einen zweiten privaten Schlüssel des einen Teilnehmers enthält und bei der Wieder­ herstellung des Verschlüsselungsschlüssels ein dem zweiten privaten Schlüssel entsprechender öffentlicher Schlüssel verwendet wird.
5. Digitalsignatur-Protokoll nach Anspruch 4, bei dem die Nachricht ein Zertifikat zum Beglaubigen des dem zweiten privaten Schlüssel entsprechenden öffentlichen Schlüssels enthält.
6. Digitalsignatur-Protokoll nach Anspruch 4, bei dem der Signaturbestandteil s die Form
s = ae' + k aufweist, wobei
a der zweite private Schlüssel,
e' die Mischsumme des Schlüsseltextes e und
k die ganze Zahl ist.
7. Digitalsignatur-Protokoll nach Anspruch 1, bei dem die Nachricht aus mehreren diskreten Nachrichten zusammengestellt ist, von denen jede verschlüsselt und übersetzt wird, um den Schlüsseltext zu bilden.
8. Digitalsignatur-Protokoll nach Anspruch 1, bei dem der öffentliche Schlüssel von einem Punkt auf einer elliptischen Kurve hergeleitet wird.
9. Vorrichtung zum Erzeugen einer digitalen Signatur einer Nachricht m zur Übertragung über ein Datenkommunikationssystem, wobei die Vorrichtung folgendes umfaßt: einen Potenzierer zum Erzeugen eines öffentlichen Schlüssels r aus einem privaten Schlüssel k, ein Verschlüsselungsmodul zum Verschlüsseln der Nachricht m mit einem aus dem öffentlichen Schlüssel r hergeleiteten Schlüssel und Erzeugen eines Schlüsseltextes e, eine Hash-Funktion zum Durchführen von Operationen an dem Schlüsseltext e und Erzeugen einer Mischsumme e' des Schlüsseltextes, eine Arithmetikeinheit zum Erzeugen eines die Mischsumme e' und den privaten Schlüssel k beinhaltenden Signaturbestandteils und ein Sendegerät zum Senden eines den Signaturbestandteil und den Schlüsseltext umfassenden Signaturpaars über das Kommunikationssystem.
10. Vorrichtung nach Anspruch 9, wobei die Arithmetikeinheit einen Signaturbestandteil der Form
s = ae' + k erzeugt, wobei
a ein zweiter privater Schlüssel,
e' die Mischsumme des Schlüsseltextes e und
k der private Schlüssel ist.
11. Vorrichtung nach Anspruch 9 mit einem Strichcodegenerator zum Erzeugen eines wahrnehmbaren Strichcodes des Signaturpaars auf einem Träger.
12. Vorrichtung zum Verifizieren einer über ein Datenkommunikationssystem empfangenen digitalen Signatur, wobei die Vorrichtung folgendes enthält: ein Empfangsgerät zum Empfangen eines Signaturpaars mit einem einen privaten Schlüssel k und eine Mischsumme e' von Schlüsseltext e einer Nachricht in und den Schlüsseltext e beinhaltenden Signaturbestandteil s, eine Hash-Funktion zum Durchführen von Operationen an dem Schlüsseltext e und Liefern einer Mischsumme e'*, eine Arithmetikeinheit zum Wiederherstellen eines mit dem privaten Schlüssel k in Beziehung stehenden öffentlichen Schlüssels und ein Verschlüsselungsmodul zum Anwenden eines von dem öffentlichen Schlüssel hergeleiteten Verschlüsselungsschlüssels auf den Schlüsseltext und Wiederherstellen der Nachricht m.
13. Vorrichtung nach Anspruch 12, bei der der Signaturbestandteil die Form
s = ae' + k aufweist, wobei
a ein zweiter privater Schlüssel,
e' eine Mischsumme des Schlüsseltextes e und
k der private Schlüssel ist.
14. Vorrichtung nach Anspruch 12 mit einem Strichcodelesegerät zum Lesen eines das Signaturpaar darstellenden Strichcodes auf einem Träger.
DE19744786A 1996-10-11 1997-10-10 Digitalsignatur-Protokoll Expired - Lifetime DE19744786B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB9621274.1 1996-10-11
GBGB9621274.1A GB9621274D0 (en) 1996-10-11 1996-10-11 Signature protocol for mail delivery

Publications (2)

Publication Number Publication Date
DE19744786A1 true DE19744786A1 (de) 1998-07-23
DE19744786B4 DE19744786B4 (de) 2008-11-13

Family

ID=10801308

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19744786A Expired - Lifetime DE19744786B4 (de) 1996-10-11 1997-10-10 Digitalsignatur-Protokoll

Country Status (6)

Country Link
US (1) US6212281B1 (de)
CA (1) CA2218308C (de)
CH (1) CH693320A5 (de)
DE (1) DE19744786B4 (de)
FR (1) FR2756441B1 (de)
GB (4) GB9621274D0 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19940341A1 (de) * 1999-08-25 2001-03-01 Kolja Vogel Verfahren zum Schutz von Daten

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19812903A1 (de) * 1998-03-18 1999-09-23 Francotyp Postalia Gmbh Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
JP4323098B2 (ja) * 1998-08-04 2009-09-02 富士通株式会社 利用者の署名情報の正当性を検証する署名システム
US6847951B1 (en) 1999-03-30 2005-01-25 Pitney Bowes Inc. Method for certifying public keys used to sign postal indicia and indicia so signed
US6738899B1 (en) * 1999-03-30 2004-05-18 Pitney Bowes Inc. Method for publishing certification information certified by a plurality of authorities and apparatus and portable data storage media used to practice said method
US6704867B1 (en) * 1999-03-30 2004-03-09 Bitney Bowes, Inc. Method for publishing certification information representative of selectable subsets of rights and apparatus and portable data storage media used to practice said method
US7107453B2 (en) * 2000-05-25 2006-09-12 Hewlett-Packard Development Company, L.P. Authenticatable graphical bar codes
US20020026584A1 (en) * 2000-06-05 2002-02-28 Janez Skubic Method for signing documents using a PC and a personal terminal device
AU2001267198A1 (en) * 2000-06-09 2001-12-17 Certicom Corp. A method for the application of implicit signature schemes
US8479189B2 (en) 2000-11-17 2013-07-02 Hewlett-Packard Development Company, L.P. Pattern detection preprocessor in an electronic device update generation system
US20060039564A1 (en) * 2000-11-17 2006-02-23 Bindu Rama Rao Security for device management and firmware updates in an operator network
US7409685B2 (en) 2002-04-12 2008-08-05 Hewlett-Packard Development Company, L.P. Initialization and update of software and/or firmware in electronic devices
KR100525389B1 (ko) * 2001-01-17 2005-11-02 엘지전자 주식회사 실시간 입력 스트림의 암호화/복호화 장치
GB2379146A (en) * 2001-08-23 2003-02-26 Inventec Corp Transmission of encrypted and digitally signed files over the internet
US7146500B2 (en) * 2001-11-14 2006-12-05 Compass Technology Management, Inc. System for obtaining signatures on a single authoritative copy of an electronic record
US7447904B1 (en) * 2001-11-14 2008-11-04 Compass Technology Management, Inc. Systems and methods for obtaining digital signatures on a single authoritative copy of an original electronic record
US7136489B1 (en) * 2002-09-12 2006-11-14 Novell, Inc. Method and system for enhancing network security using a multilateral authorization mechanism
US8555273B1 (en) 2003-09-17 2013-10-08 Palm. Inc. Network for updating electronic devices
CN1902853B (zh) 2003-10-28 2012-10-03 塞尔蒂卡姆公司 一种公开密钥的可验证生成的方法和设备
US7698557B2 (en) * 2003-12-22 2010-04-13 Guardtime As System and method for generating a digital certificate
US7904895B1 (en) 2004-04-21 2011-03-08 Hewlett-Packard Develpment Company, L.P. Firmware update in electronic devices employing update agent in a flash memory card
US7590236B1 (en) * 2004-06-04 2009-09-15 Voltage Security, Inc. Identity-based-encryption system
CN1993959B (zh) * 2004-07-30 2013-03-27 艾利森电话股份有限公司 网络中安全的负载平衡的方法和系统
US8526940B1 (en) 2004-08-17 2013-09-03 Palm, Inc. Centralized rules repository for smart phone customer care
JP5437548B2 (ja) * 2004-11-15 2014-03-12 ハイデルベルガー ドルツクマシーネン アクチエンゲゼルシヤフト 電子制御システムにおける入力署名
US7747865B2 (en) * 2005-02-10 2010-06-29 International Business Machines Corporation Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols
US7664947B2 (en) * 2005-10-12 2010-02-16 The Boeing Company Systems and methods for automated exchange of electronic mail encryption certificates
WO2007146710A2 (en) 2006-06-08 2007-12-21 Hewlett-Packard Development Company, L.P. Device management in a network
EP2565811B1 (de) * 2006-07-18 2016-02-03 Certicom Corp. System und Verfahren zur Authentifizierung einer Spielvorrichtung
US8752044B2 (en) 2006-07-27 2014-06-10 Qualcomm Incorporated User experience and dependency management in a mobile device
EP2122900A4 (de) * 2007-01-22 2014-07-23 Spyrus Inc Tragbares datenverschlüsselungsgerät mit konfigurierbaren sicherheitsfunktionen und verfahren zur dateienverschlüsselung
EP2179534A4 (de) 2007-07-17 2011-07-27 Certicom Corp Verfahren und system zur erzeugung von impliziten zertifikaten und anwendungen auf die verschlüsselung auf identitätsbasis (ibe)
US8566577B2 (en) * 2010-11-30 2013-10-22 Blackberry Limited Method and device for storing secured sent message data

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4641347A (en) * 1983-07-18 1987-02-03 Pitney Bowes Inc. System for printing encrypted messages with a character generator and bar-code representation
US4660221A (en) * 1983-07-18 1987-04-21 Pitney Bowes Inc. System for printing encrypted messages with bar-code representation
US4947430A (en) * 1987-11-23 1990-08-07 David Chaum Undeniable signature systems
US5018196A (en) * 1985-09-04 1991-05-21 Hitachi, Ltd. Method for electronic transaction with digital signature
US4796193A (en) * 1986-07-07 1989-01-03 Pitney Bowes Inc. Postage payment system where accounting for postage payment occurs at a time subsequent to the printing of the postage and employing a visual marking imprinted on the mailpiece to show that accounting has occurred
US4881264A (en) * 1987-07-30 1989-11-14 Merkle Ralph C Digital signature system and method based on a conventional encryption function
DE4003386C1 (de) * 1990-02-05 1991-05-23 Siemens Ag, 1000 Berlin Und 8000 Muenchen, De
US5351297A (en) * 1991-06-28 1994-09-27 Matsushita Electric Industrial Co., Ltd. Method of privacy communication using elliptic curves
JP2671649B2 (ja) * 1991-07-08 1997-10-29 三菱電機株式会社 認証方式
US5231668A (en) * 1991-07-26 1993-07-27 The United States Of America, As Represented By The Secretary Of Commerce Digital signature algorithm
US5271061A (en) * 1991-09-17 1993-12-14 Next Computer, Inc. Method and apparatus for public key exchange in a cryptographic system
US5442707A (en) * 1992-09-28 1995-08-15 Matsushita Electric Industrial Co., Ltd. Method for generating and verifying electronic signatures and privacy communication using elliptic curves
EP0639907B1 (de) * 1993-08-17 1999-12-08 R3 Security Engineering AG Verfahren zur digitalen Unterschrift und Verfahren zur Schlüsselübereinkunft
US5499294A (en) * 1993-11-24 1996-03-12 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Digital camera with apparatus for authentication of images produced from an image file
US5479515A (en) * 1994-05-11 1995-12-26 Welch Allyn, Inc. One-dimensional bar code symbology and method of using same
US5638446A (en) * 1995-08-28 1997-06-10 Bell Communications Research, Inc. Method for the secure distribution of electronic files in a distributed environment
US5608801A (en) * 1995-11-16 1997-03-04 Bell Communications Research, Inc. Efficient cryptographic hash functions and methods for amplifying the security of hash functions and pseudo-random functions

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19940341A1 (de) * 1999-08-25 2001-03-01 Kolja Vogel Verfahren zum Schutz von Daten
US7526653B1 (en) 1999-08-25 2009-04-28 Giesecke & Devrient Gmbh Method of data protection

Also Published As

Publication number Publication date
CA2218308C (en) 2007-07-17
GB9621274D0 (en) 1996-11-27
GB0104443D0 (en) 2001-04-11
FR2756441A1 (fr) 1998-05-29
GB0104713D0 (en) 2001-04-11
GB2322775B (en) 2001-09-19
FR2756441B1 (fr) 2001-12-21
CH693320A5 (de) 2003-05-30
GB2322775A (en) 1998-09-02
DE19744786B4 (de) 2008-11-13
CA2218308A1 (en) 1998-04-11
US6212281B1 (en) 2001-04-03
GB9721476D0 (en) 1997-12-10

Similar Documents

Publication Publication Date Title
DE19744786B4 (de) Digitalsignatur-Protokoll
DE60035317T2 (de) Verfahren zur hybriden digitalen Unterschrift
DE60029391T2 (de) Verschlüsselung mittels öffentlichem Schlüssel mit einem digitalen Unterschriftsverfahren
DE19803939B4 (de) Verfahren zur Identifizierung von Zugangsbefugten
DE602005002652T2 (de) System und Verfahren für das Erneuern von Schlüsseln, welche in Public-Key Kryptographie genutzt werden
DE69133502T2 (de) Geheimübertragungsverfahren und -gerät
DE19629192A1 (de) Verfahren und System zur Erzielung eines gesicherten elektronischen Datenaustausches über ein offenes Netz
EP0635181A1 (de) Verfahren zum erkennen einer unberechtigten wiedereinspielung beliebiger von einem sender zu einem empfänger übertragener daten.
DE60127165T2 (de) Unterschrift-Kodierungsverfahren
DE69838258T2 (de) Public-Key-Datenübertragungssysteme
WO2000027070A1 (de) Verfahren und anordnung zur authentifikation von einer ersten instanz und einer zweiten instanz
EP1278332B1 (de) Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
EP1368929A2 (de) Verfahren zur authentikation
DE19919909C2 (de) Signierung und Signaturprüfung von Nachrichten
DE10114157A1 (de) Verfahren zur rechnergestützten Erzeugung von öffentlichen Schlüsseln zur Verschlüsselung von Nachrichten und Vorrichtung zur Durchführung des Verfahrens
DE60031470T2 (de) Verfahren zur Zertifikation von öffentlichen Schlüsseln, die zum Signieren von Postwertzeichen verwendet werden und derart signierte Postzeichen
EP0658996B1 (de) Verfahren und Einrichtung zum Sichern der Information eines Datenpaketes
EP0935860A1 (de) Verfahren zur übertragung von signalen
DE102005058275B4 (de) Verfahren und Vorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul sowie Verfahren und Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes
WO1999057688A1 (de) Verfahren zum echtheitsnachweis von urkunden
DE19638623A1 (de) Computersystem und Verfahren zur Ausgabe von verschlüsselten Daten
DE102023115999A1 (de) Verfahren, Vorrichtung, System und Computerprogrammprodukt zur PQ-sicheren Aktualisierung einer Datenverarbeitungseinheit
WO2023083721A1 (de) Verfahren zum erkennen von manipulation von daten in einem netzwerk
CA2591775C (en) Digital signature protocol
WO2009095143A1 (de) Asymmetrisches kryptosystem

Legal Events

Date Code Title Description
8181 Inventor (new situation)

Free format text: VANSTONE, SCOTT A., WATERLOO, ONTARIO, CA

8110 Request for examination paragraph 44
8364 No opposition during term of opposition
8328 Change in the person/name/address of the agent

Representative=s name: MERH-IP MATIAS ERNY REICHL HOFFMANN, 80336 MUENCHE

R071 Expiry of right