DE60031470T2 - Verfahren zur Zertifikation von öffentlichen Schlüsseln, die zum Signieren von Postwertzeichen verwendet werden und derart signierte Postzeichen - Google Patents

Verfahren zur Zertifikation von öffentlichen Schlüsseln, die zum Signieren von Postwertzeichen verwendet werden und derart signierte Postzeichen Download PDF

Info

Publication number
DE60031470T2
DE60031470T2 DE60031470T DE60031470T DE60031470T2 DE 60031470 T2 DE60031470 T2 DE 60031470T2 DE 60031470 T DE60031470 T DE 60031470T DE 60031470 T DE60031470 T DE 60031470T DE 60031470 T2 DE60031470 T2 DE 60031470T2
Authority
DE
Germany
Prior art keywords
key
station
point
digital
postage meter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60031470T
Other languages
English (en)
Other versions
DE60031470D1 (de
Inventor
Robert A. Danbury Cordery
Leon A. West Hartford Pintsov
Scott A. Cambellville Vanstone
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Certicom Corp
Pitney Bowes Inc
Original Assignee
Certicom Corp
Pitney Bowes Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Certicom Corp, Pitney Bowes Inc filed Critical Certicom Corp
Application granted granted Critical
Publication of DE60031470D1 publication Critical patent/DE60031470D1/de
Publication of DE60031470T2 publication Critical patent/DE60031470T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00435Details specific to central, non-customer apparatus, e.g. servers at post office or vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00435Details specific to central, non-customer apparatus, e.g. servers at post office or vendor
    • G07B2017/00443Verification of mailpieces, e.g. by checking databases
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • G07B2017/00766Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00782Hash function, e.g. MD5, MD2, SHA
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00911Trusted party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00919Random number generator
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00927Certificates, e.g. X.509
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Description

  • Die vorliegende Anmeldung bezieht sich auf und offenbart einen Gegenstand der gemein ist der gemeinsam beauftragten mitanhängigen europäischen Patentseriennummern: EP-A-1 043 695 und EP-A-1 043 692, die hiermit am gleichen Tag eingereicht sind.
  • Die betreffende Erfindung bezieht sich auf Verschlüsseln von Informationen unter Verwendung einer Verschlüsselungstechnologie mit öffentlichem Schlüssel. (Durch „öffentlicher Schlüssel" Verschlüsselung ist hier Verschlüsselungstechnologie gemeint, die Paare von Schlüsseln verwendet: einen öffentlichen Schlüssel, der veröffentlicht wird oder öffentlich bekannt ist; und einen entsprechenden privaten Schlüssel, der von dem Anwender geheim gehalten wird.) Im Genaueren bezieht sie sich auf die Verwendung von privaten Schlüsseln zum Beglaubigen von Post-Freistempeln und dergleichen und die Beglaubigung von entsprechenden öffentlichen Schlüsseln.
  • Durch Verwenden von Verschlüsselung mit öffentlichem Schlüssel kann jeder eine Nachricht mit einem öffentlichen Schlüssel verschlüsseln und die Sicherheit haben, dass lediglich ein Anwender (das heißt eine Partei, die einen entsprechenden privaten Schlüssel hat) diese entschlüsseln kann, und ein Anwender kann eine Nachricht „signieren" unter Verwendung des entsprechenden privaten Schlüssels, und jeder kann den öffentlichen Schlüssel verwenden zum Bestimmen, ob die Nachricht von dem Anwender hervorgeht. (Eine Nachricht wird „signiert" durch Ableiten von Verschlüsselungsinformation auf eine bekannte Art und Weise von dieser Nachricht.)
  • Da öffentliche Schlüssel so weit verteilt sein können, wird es im Allgemeinen der Fall sein, dass Personen, die mit Anwendern von öffentlichen Schlüsselsystemen kommunizieren, nicht in direktem Kontakt mit Anwendern sein werden und nicht in der Lage sein werden zum direkten Bestimmen der Identität und/oder Charakteristiken der mutmaßlichen Anwender eines öffentlichen Schlüsselsystems. Zum Beispiel Nachweisen eines Bezahlsystems, im Genaueren von Frankiermaschinen, die Freistempel erzeugen, die verschlüsselt werden unter Verwendung eines öffentlichen Schlüsselsystems als Beweis einer Zahlung, wurden letztlich durch die Abtretende der vorliegenden Anmeldung entwickelt; und angesichts der hunderten und tausenden von sich im Dienst befindlichen Frankiermaschinen ist es klar, dass sich die Postdienste eines ernsthaften Problems ausgesetzt sehen durch Gewährleisten, dass Freistempel wie man sagt erzeugt werden durch ein Instrument entsprechend einem bestimmten öffentlichen Schlüssel, der in Wahrheit erzeugt wird durch eine autorisierte Frankiermaschine.
  • Um die der Authentifizierung von öffentlichen Schlüsseln innewohnenden Schwierigkeiten zu bewältigen, wurden verschiedene Formen zum Herausgeben von Zertifikaten für öffentliche Schlüssel vorgeschlagen. In solchen Formen stellt eine gesicherte dritte Partei (hiernach manchmal als „zertifizierende Autorität" bezeichnet) Parteien bereit, die mit einem Anwender kommunizieren wollen mit einem Zertifikat, das den öffentlichen Schlüssel des Anwenders enthält, wobei das Zertifikat als ein Beweis für die Zusicherung für die dritte Partei für die Identität oder Charakteristiken des Anwenders dient. In den einfachsten Fällen sind solche Zertifikate nicht mehr als Einträge in einem Verzeichnis, das durch einen sicheren Kanal übertragen wird. Im Allgemeineren wird die zertifizierende Autorität eine Verschlüsselungstechnologie verwenden zum Liefern des Zertifikats.
  • In der US Patentschritt Nr. 4,853,961 „Reliable Document Authentication System" von Pastor wird ein öffentlicher Schlüssel für eine Frankiermaschine mit einem privaten Schlüssel einer dritten Partei verschlüsselt, der in dem Instrumenten-Freistempel enthalten ist. Der Postdienst verwendet den öffentlichen Schlüssel der dritten Partei zum Wiederherstellen des öffentlichen Schlüssels des Instruments und Entschlüsselns der verschlüsselten Nachricht, die zum Validieren des Freistempels dient.
  • Im US Patent Nr. 5,661,803 „Method of Token Verification in a Key Management System" von Cordery et al. ist ein Verfahren der Zeichenüberprüfung in einem Schlüsselverwaltungssystem offenbart.
  • Im US Patent Nr. 5,680,456 „Method for Manufacturing Generic Meters in a Key Management System" von Baker et al. enthält ein Verfahren zum Herstellen von Übertragungsevidenzvorrichtungen, so wie Frankiermaschinen, die Schritte des Erzeugens eines Hauptschlüssels in einer logischen Sicherungsdomäne eines Schlüsselverwaltungssystems, und das Installieren des Hauptschlüssels in einer Frankiermaschine.
  • Im US Patent Nr. 5,742,682 „Method of Manufacturing Secure Boxes in a Key Management System" von Baker et al. wird ein Verfahren zum Herstellen einer sicheren Box in einem Schlüsselverwaltungssystem gelehrt.
  • Im US Patent 5,805,701 „Enhanced Encryption Control System for a Mail Processing System Having Data Center Verification" von Ryan, Jr. wird ein Schlüsselsteuerungssystem gelehrt, das die Erzeugung eines ersten Satzes von Hauptschlüsseln umfasst, und Zuweisen der Schlüssel zu einer entsprechenden Vielzahl von Frankiermaschinen.
  • US-A-5,442,707 beschreibt ein Verfahren zum Erzeugen und Verifizieren von elektronischen Signaturen und privater Kommunikation unter Verwendung von elliptischen Kurven.
  • EP-A-0 892 520 beschreibt eine elliptische Kurvenberechnungsvorrichtung, die in der Lage ist, Multiple mit hoher Geschwindigkeit zu berechnen.
  • In dem US Patent Nr. 5,878,136 „Encryption Key Control System For Mail Processing System Having Data Center Verification" von Kim et al. wird ein Schlüsselsteuerungssystem umfassend die Erzeugung eines ersten Satzes von Hauptschlüsseln und Zuordnen der Schlüssel zu einer entsprechenden Vielzahl von Frankiermaschinen gelehrt. Schlüssel können verändert werden durch Eingeben eines zweiten Schlüssels über Verschlüsselung mit einem ersten Schlüssel.
  • Im US Patent Nr. 5,982,896 „System And Method Of Verifying Cryptographic Postage Evidencing Using A Fixed Key Set" von Cordery wird ein Verfahren zum Steuern von Schlüsseln, die in der Überprüfung von codierten Informationen verwendet werden, die erzeugt werden durch eine Übertragungsevidenzvorrichtung, und Drucken auf einem Dokument gelehrt.
  • Der ITU X509.3 Standard lehrt einen Standard, in dem ein Zertifikat eines ersten Anwenders den öffentlichen Schlüssel des Anwenders, Identifikation und Authorisierungsinformation und eine Signatur der Zertifizierungsautorität enthält. Ein zweiter Anwender überprüft eine Signatur einer Nachricht, die durch den ersten Anwender erzeugt wird, durch Überprüfen, dass die Authorisierungsinformation befriedigend ist, dass die Signatur der Zertifizierungsautorität auf dem Zertifikat gültig ist, Extrahieren des öffentlichen Schlüssels des ersten Anwenders und Überprüfen der Signatur.
  • Während die oberen Verfahren erfolgreich sind im Erreichen derer beabsichtigter Ziele, sind sie dahingehend unvorteilhaft, dass diese rechnerisch komplex sind, Zertifikate produzieren können, die groß und unflexibel sind, und eine spezielle Hardware benötigen können.
  • Die folgenden Referenzen enthalten Informationen, die nützlich sind für ein allgemeines Verständnis von elliptischer Kurvenverschlüsselung und Zertifizierung von öffentlichen Schlüsseln.
  • Sicherer Hash-Standard – FIPS PUB 180-1, „17. April 1995.
  • Digitaler Signaturstandard – FIPS PUB 186, „19. Mai 1994 und Änderung 1, 30. Dezember 1996.
  • ANSI X9,62, Elliptische Kurvendigitalsignaturalgorithmus-Standard (ECDSA), Arbeitsentwurf, 15. Januar 1997.
  • ISO/IEC 9594-8 (1995). Informationstechnologie – offene Systemverbindungen, Das Verzeichnis: Authentifizierungsrahmenarbeit."
  • PKCS#10: Überprüfungsanforderungssyntax-Standard, Ein RSA Labor Technische Aufzeichnung, „Version 1.0, Dezember 1993.
  • Ein anderes Verfahren der Schlüsselzertifizierung basierend auf elliptische Kurven Verschlüsselungstechnologie mit öffentlichem Schlüssel wurde durch die Certicom Corporation entwickelt.
  • (Die Verwendung von elliptischer Kurvenverschlüsselungstechnologie ist bekannt, und eine detailliertere Beschreibung deren Verwendung über das hinaus, was unten im Zusammenhang der Zertifizierung von öffentlichen Schlüsseln gegeben ist, wird nicht benötigt für das Verständnis der vorliegenden Erfindung.)
  • Elliptische Kurvenverschlüsselung ist ein Beispiel eines kryptographischen Algorithmus, der auf der Anwendung eines binären Operators auf Punkte in einer finiten Gruppe basiert. In der elliptischen Kurvenverschlüsselung ist eine finite Gruppe von Punkten [P] der Ordnung n definiert auf einer elliptischen Kurve. Ein binärer additiver Operator [+] (im Nachfolgenden manchmal als „Punktaddition" bezeichnet) ist definiert auf der Gruppe [P], so dass [P+] P' ein Punkt in [P] ist. Eine detailliertere grafische Beschreibung von Punktaddition ist in 1 gezeigt. Wie dem Fachmann der Kryptographie bekannt, weist die Kurve 10 die allgemeine Form y2 = x3 + ax + b auf, die über das finite Galoisfeld GF (pm) definiert ist, wobei p eine Primzahl unterschiedlich von 2 ist, und m eine ganze Zahl ist. Über das Galoisfeld GF (2m) weist die Kurve die Form y2 + xy = x3 + ax + b auf. Es kann gezeigt werden, dass Gruppen von diskreten Punkten [P] der Ordnung n auf der Kurve 10 definiert werden können, wobei n vorzugsweise eine Zahl der Ordnung von mindestens 50 Dezimalstellen ist, um genügend Sicherheit für verschlüsselte Informationen bereitzustellen.
  • Wie in 1 gezeigt ist die Kurve 10 symmetrisch um die X-Achse, so dass für jeden Punkt (x, y) auf der Kurve 10 dessen Reflektion um die X-Achse R(x, y) = (x, –y) auch auf der Kurve ist.
  • Für zwei Punkte P, P' kann in [P] gezeigt werden, dass es einen eindeutigen Punkt R(P [+] P') existiert, der ein dritter Punkt ist gemeinsam mit einer geraden Linie 12, die definiert wird durch P und P' und der Kurve 10. P [+] P' ist definiert als R(R(P [+] P').
  • 2 zeigt den speziellen Fall für die Berechnung von P [+] P. Die gerade Linie 14 ist definiert als Tangente zum geschlossenen Teil der Kurve 10, die den Punkt P kreuzt und R(P [+] P) ist definiert als der zweite Punkt zusammen mit der Linie 14 und Kurve 10.
  • Eine zweite Operation K·P (hiernach manchmal als „Punktmultiplikation" bezeichnet) ist definiert als die Anwendung von [+] auf K Kopien eines Punktes P. 3 stellt geometrisch die Berechnung von 5·P dar durch sukzessives Berechnen der Punkte P [+] P = 2·P, 2·P [+] 2·P = 4·P, 4·P [+] P = 5·P. Punktmultiplikation ist die grundlegende Operation, die der elliptischen Kurvenverschlüsselung unterliegt, und weist die Eigenschaft auf, dass die Berechnung von K aus dem Wissen der Gruppe [P], eines bestimmten Punktes P, und K·P fest ist.
  • Durch hier verwendetes „fest" bezüglich der Berechnung ist gemeint, dass eine Berechnung, in der die benötigte Zeit schneller steigt als die Ordnung der Operanden log n, vorzugsweise exponentiell oder schneller mit der Ordnung der Operanden (log n). Dies bedeutet, dass wo K in der Ordnung von n ist, die Ordnung von [P] und n groß genug ausgewählt ist, kann der Aufwand in der Zeit und im Geld zum Berechnen von K aus dem Wissen der Definition von [P], P und K·P kann beliebig groß gemacht werden, während der Aufwand der anderen Berechnungen bezüglich der Verschlüsselung oder Entschlüsselung relativ niedrig und praktikabel bleibt. Natürlich werden die Fachleute, die sich mit Verschlüsselung auskennen, erkennen, dass trotzdem Verschlüsselung und Entschlüsselung prinzipiell durch manuelle Berechnung durchgeführt werden können, wobei die Möglichkeit eines Angriffes auf ein Verschlüsselungsschema unter Verwendung von modernen Computertechnologien benötigt, dass in der Praxis die Ordnung n so groß ist, dass selbst die relativ einfachen Berechnungen mit automatischen Verschlüsselungsstationen durchgeführt werden müssen, z.B. Sonderzweck oder speziell programmierte Allzweckdigitalbearbeitungssysteme.
  • Punktmultiplikation wurde beschrieben in Ausdrücken der Gruppe, die repräsentiert wird durch Punktaddition auf einer diskreten elliptischen Kurve. In anderen Ausführungsformen kann die vorliegende Erfindung implementiert werden durch Verwenden jeder Gruppenrepräsentierung, wo die Bestimmung von K schwer ist angesichts des Punktes P, und der Punkt, der gebildet wird durch Kombinieren von K Kopien des Punktes P durch wiederholtes Anwenden der Gruppenadditionspunktoperation.
  • In der elliptischen Kurvenverschlüsselung hat ein Anwender U einen privaten Schlüssel KeyU und einen entsprechenden öffentlichen Schlüssel KeyU·P; wobei P ein veröffentlichter oder öffentlich bekannter Punkt in [P] ist. Zum Erzeugen eines zertifizierten öffentlichen Schlüssels in Übereinstimmung mit dem oben erwähnten Certicom Verschlüsselungsschemas erzeugt der Anwender U (d.h. eine Station, die durch den Anwender U betrieben wird) eine geheime Zufallszahl rU und hält diese geheim; und berechnet und sendet an eine Zertifizierungsautorität CA den Punkt rU·P. Die beglaubigende bzw. zertifizierende Autorität CA hat einen privaten Schlüssel KeyCA und einen öffentlichen Schlüssel KeyCA·P. Bei Empfang von rU·P erzeugt die CA eine Zufallszahl rCA und berechnet und veröffentlicht ein Zertifikat, das einen Punkt beinhaltet, rU·P [+] rCA·P, wobei rCA eine Zufallszahl ist, die durch die CA (d.h. durch die CA-Station) erzeugt wird. Die Autorität CA, von der angenommen wird, dass diese die Kapazität zum direkten Bestimmen der Identität oder Charakteristiken von dem Anwender U aufweist, erzeugt auch Information IDU und beinhaltet über U IDU in dem Zertifikat. Die Zertifizierungsautorität CA gibt dann eine ganze Zahl zurück, die von dem privaten Schlüsseln der CA und dem Zertifikat für die Anwenderstation abgeleitet wird, die die ganze Zahl verwendet zum Berechnen des Schlüssels KeyU auf solch eine Art und Weise, dass eine Partei, die mit dem Anwender U kommuniziert, KeyU·P von dem Zertifikat und dem öffentlichen Schlüssel KeyCA der zertifizierenden Autorität berechnen kann; Bereitstellen des Beweises, dass die zertifizierende Autorität in Anwender U, KeyU und IDU verbunden hat.
  • Von dem oben beschriebenen Zertifizierungsschema wird ausgegangen, dass dieses vorteilhaft dahingehend ist, dass es rechnerisch einfacher ist, kleinere Zertifikate produziert und keine spezielle Sicherheitshardware benötigt. Jedoch richtet sich dieses nicht auf die spezielle Situation der Zertifizierung von öffentlichen Schlüsseln, die verwendet werden zum Wert-Evidenz-Freistempeln, so wie digitalen Postfreistempeln. Beispielsweise kann ein Postdienst, der eine verschlüsselte freigestempelte Sendung überprüfen möchte, Gewissheit benötigen, dass der putative öffentliche Schlüssel eines Instruments zertifiziert wurde durch den Instrumentenhersteller oder einer oder mehrerer Agenturen des Postdienstes. Es ist auch wünschenswert, dass digitale Signaturen (hiernach manchmal bezeichnet als kryptographische Integritätsvalidationscode oder CIVC, englisch: Cryptographic Integrity Validation Code) von Postfreistempeln und dergleichen die folgenden Voraussetzungen erfüllen:
    • 1. Der CIVC muss eine kryptoanalytische Stärke oberhalb eines vorbestimmten Grenzwertes, typischerweise 280 Operationen, aufweisen; das heißt, dass die besten bekannten Algorithmen den geheimen Schlüssel aus dem öffentlich verfügbaren Texten und Chiffretexten finden mit mindestens 280 Operationen.
    • 2. Der CIVC sollte von einer minimalen Größe sein aufgrund von Begrenzungen von verfügbaren Raum für die Postfreistempel und dergleichen, und die CIVC-Größe, die benötigt wird zum Erhalten der benötigten kryptoanalytischen Stärke, sollte sich langsam mit Verbesserungen in den kryptoanalytischen Algorithmen vergrößern.
    • 3. Rechnervoraussetzungen zum Erzeugen und Überprüfen von CIVC's sollten kompatibel sein mit der schnellsten Posterzeugungs- und Überprüfungsausrüstung.
    • 4. Die Freistempel, die CIVC's enthalten, sollten alle für die Verifikation benötigten Informationen enthalten.
    • 5. Die Freistempel bzw. Freimachungsvermerke sollten Informationen enthalten, die dem Überprüfer ermöglichen, Überprüfungsfunktionen durchzuführen zum Reduzieren des Risikos des Missbrauchs- oder Betreiberfinanzmittel. Im Genaueren sollte die Zertifizierung eines Frankiermaschinenschlüssels implizit die Instrumenentenbetriebsparameter, so wie das Ablaufdatum oder den maximalen Postwert zeigen.
    • 6. Kosten des Systems beinhaltend die Infrastruktur, so wie ein Schlüsselverwaltungssystem, sollten minimal sein.
  • Verfahren und Systeme basierend auf bekannten öffentlichen Schlüssel-Verschlüsselungsschemata so wie RSA, DSA oder ECDSA wurden vorgeschlagen, es wird aber davon ausgegangen, dass diese nicht vollständig die Anforderungen eines digitalen Frankiermaschinensystems erfüllen. Folglich ist es ein Ziel der vorliegenden Erfindung, ein Verfahren zum Steuern und Verteilen von Informationen zusammen mit digitalen Frankiermaschinen und dergleichen bereitzustellen, und eine Zertifizierungsautorität, so dass solche Maschinen Freistempel erzeugen können, und öffentliche Schlüssel zum Überprüfen solcher Freistempel zertifiziert werden können in einem funktionell befriedigenden und kosteffektiven System.
  • Gemäß eines ersten Aspekts der Erfindung wird bereitgestellt ein Verfahren zum Kontrollieren und Verteilen von Information zwischen einer digitalen Frankiermaschine und einer beglaubigenden Station betrieben von einer beglaubigenden Autorität CA für das Veröffentlichen von Information, so dass ein öffentlicher Schlüssel KeyDM·P der digitalen Frankiermaschine von einer Partei erkannt werden kann, die versucht, von der digitalen Frankiermaschine gedruckte Freistempel, aus der veröffentlichten Information mit der Zusicherung zu verifizieren, dass dieser öffentliche Schlüssel KeyDM·P von der beglaubigenden Autorität CA beglaubigt worden ist, wobei das Verfahren folgende Schritte enthält:
    a) das Definieren und Veröffentlichen einer finiten Gruppe [P] mit einer binären Operation [+] und das Veröffentlichen eines speziellen Punktes P in der Gruppe; b) das Definieren und Veröffentlichen einer binären Operation K·p, in der K eine ganze Zahl und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in der Gruppe ist, berechnet durch Anwendung der Operation [+] auf Kopien des Punktes p, und die Berechnung von K aus der Kenntnis der Definition der Gruppe [P], sind der Punkt p und K·p fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist. Die Zertifizierungsstation wird gesteuert, um ein Zertifikat OMCDM für die Frankiermaschine zu veröffentlichen, wobei OMCDM = (rDM + rCA)·P;und wobei
    rDM eine willkürliche ganze Zahl ist, erzeugt von der digitalen Frankiermaschine.
  • Die Zertifizierungsstation wird auch gesteuert zum Veröffentlichen einer Nachricht M; zum Erzeugen einer ganzen Zahl IDM; und zum Senden der ganzen Zahl zur digitalen Frankiermaschine, wobei: IDM = rCA + H(M)KeyCA,und wobei
    H(M) eine ganze Zahl ist, abgeleitet aus der Meldung M im Einklang mit einem öffentlichen bekannten Algorithmus H, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist. Ein öffentlicher Schlüssel KeyCA·P für die beglaubigende Autorität CA wird veröffentlicht; und die digitale Frankiermaschine wird gesteuert zum Berechnen eines privaten Schlüssels KeyDM: KeyDM = rDM + IDM = rDM + rCA + H(M)KeyCA
  • Die digitale Frankiermaschine druckt dann einen Freistempel und signiert digital den Freistempel mit dem Schlüssel KeyDM. Eine überprüfende Partei kann dann den Maschinen-öffentlichen Schlüssel KeyDM·P berechnen als KeyDM·P = OMCDM + H(M)KeyCA·P = (rDM + rCA)·P + H(M)KeyCA·Paus dem Wissen von H, M, [P], dem öffentlichen Schlüssel KeyCA·P und CERTDM.
  • In Übereinstimmung mit einem Aspekt der vorliegenden Erfindung beinhaltet die öffentliche bekannte Art und Weise des Ableitens einer ganzen Zahl von den veröffentlichten Informationen das Anwenden einer Hashing-Funktion auf die Nachricht M.
  • In Übereinstimmung mit einem anderen Aspekt der vorliegenden Erfindung beinhaltet die Nachricht M Informationen IAV, die die digitale Frankiermaschine identifizieren, und Betriebsparameter, die auf die digitale Frankiermaschine anzuwenden sind.
  • In Übereinstimmung mit einem anderen Aspekt der vorliegenden Erfindung ist die Gruppe [P] definiert auf einer elliptischen Kurve.
  • In Übereinstimmung mit einem anderen Aspekt der vorliegenden Erfindung beinhaltet die Nachricht M Informationen, die den öffentlichen Schlüssel KeyDM·P der Frankiermaschine an die Information IAV knüpft.
  • Eine digitale Frankiermaschine in Übereinstimmung mit einem anderen Aspekt der vorliegenden Erfindung wird gesteuert, um Freistempel, unterzeichnet mit einem privaten Schlüssel KeyDM, zu drucken, auf der Basis einer veröffentlichten finiten Gruppe [P] mit einer binären Operation [+] und einem veröffentlichten speziellen Punkt P in der Gruppe und einer veröffentlichten binären Operation K·p, in der K eine ganze Zahl ist und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in der Gruppe ist, berechnet durch das Anwenden der Operation [+] auf K Kopien des Punktes p, und die Berechnung von K aus der Kenntnis der Definition der Gruppe [P], sind der Punkt p und K·p fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist, so dass ein öffentlicher Schlüssel KeyDM·P der digitalen Frankiermaschine von einer Partei erkannt werden kann, die versucht, von der digitalen Frankiermaschine gedruckte Freistempel, aus der veröffentlichten Information mit der Zusicherung zu verifizieren, dass dieser öffentliche Schlüssel KeyDM·P von der beglaubigenden Autorität CA beglaubigt worden ist. Die Maschine wird gesteuert zum Erzeugen einer Zufallszahl rDM und Senden eines Punktes rDM·P an eine beglaubigende Station und Empfangen eines Zertifikates OMCDM von einer beglaubigenden Station, die durch die beglaubigende Autorität CA betrieben wird, wobei; OMCDM = (rDM + rCA)·P;und wobei
    rDM eine ganzzahlige Zufallszahl ist, die erzeugt wird durch die digitale Frankiermaschine, und rCA eine ganzzahlige Zufallszahl ist, die durch die beglaubigende Station erzeugt wird. Die digitale Frankiermaschine wird ferner gesteuert zum Empfangen einer ganzen Zahl IDM von der beglaubigenden Station, wobei: IDM = rCA + H(M)KeyCA;und wobei
    M eine Meldung ist, veröffentlicht von der beglaubigende Station, und H(M) eine ganze Zahl ist, abgeleitet aus der Meldung M im Einklang mit einem öffentlichen bekannten Algorithmus H, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist. Die digitale Frankiermaschine wird ferner gesteuert zum Berechnen eines privaten Schlüssels KeyDM, KeyDM = rDM + IDM = rDM + rCA + H(M)KeyCA;und zum Drucken eines Freistempels und digitales Signieren des Freistempels mit dem Schlüssel KeyDM, wobei die verifizierende Partei den öffentlichen Schlüssel KeyDM·P der digitalen Frankiermaschine berechnen kann als KeyDM·P = OMCDM + H(M)KeyCA·P = (rDM + rCA)·P + H(M)KeyCA·Paus der Kenntnis von H, M, [P], dem öffentlichen Schlüssel KeyCA·P und OMCDM.
  • Eine beglaubigende Station, die durch eine beglaubigende Autorität CA in Übereinstimmung mit einem weiteren Aspekt der vorliegenden Erfindung betrieben wird, wird gesteuert, um Information zu veröffentlichen, sich beziehend auf eine digitale Frankiermaschine, zum Drucken von Freistempeln unterzeichnet mit einem privaten Schlüssel KeyDM, auf der Basis einer veröffentlichten finiten Gruppe [P] mit einer binären Operation [+] und einem veröffentlichten speziellen Punkt P in der Gruppe und einer veröffentlichten binären Operation K·p, in der K eine ganze Zahl ist und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in der Gruppe ist, berechnet durch das Anwenden der Operation [+] auf K Kopien des Punktes P, und die Berechnung von K auf der Kenntnis der Definition der Gruppe [P], dieser Punkt p, und K·p ist fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist, so dass ein öffentlicher Schlüssel KeyDM·P der digitalen Frankiermaschine von einer Partei erkannt werden kann, die versucht, von der digitalen Frankiermaschine gedruckte Freistempel, aus der veröffentlichten Information mit der Zusicherung zu verifizieren, dass dieser öffentliche Schlüssel KeyDM·P von der beglaubigenden Autorität CA beglaubigt worden ist.
  • Die Station wird gesteuert zum Empfangen eines Punktes rDM·P von einer digitalen Frankiermaschine, wobei rDM eine Zufallszahl ist, die durch die digitale Frankiermaschine erzeugt wird, und zum Erzeugen und Senden zu der digitalen Frankiermaschine eines Zertifikats OMCDM, wobei: OMCDM = (rDM + rCA)·P;und wobei
    rCA eine ganzzahlige Zufallszahl ist, die durch die beglaubigende Station erzeugt wird. Die Station wird ferner gesteuert zum Erzeugen und Senden zu der digitalen Frankiermaschine einer ganzen Zahl IDM, wobei; IDM = rCA + H(M)KeyCA;und wobei
    M eine Nachricht ist, die durch die beglaubigende Station veröffentlicht wird, und H(M) eine ganze Zahl ist, die von der Nachricht M in Übereinstimmung mit einem öffentlich bekannten Algorithmus H abgeleitet wird, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist.
  • Gemäß einem weiteren Aspekt der Erfindung ist bereitgestellt ein Verfahren zum Kontrollieren einer beglaubigenden Station, betrieben von einer beglaubigenden Autorität CA, um Information zu veröffentlichen, sich beziehend auf eine digitale Frankiermaschine, zum Drucken von Freistempeln, unterzeichnet mit einem privaten Schlüssel Key50, auf der Basis einer veröffentlichten finiten Gruppe [P] mit einer binären Operation [+] und einem veröffentlichten speziellen Punkt P in der Gruppe und einer veröffentlichten binären Operation K·p, in der K eine ganze Zahl ist und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in der Gruppe ist, berechnet durch das Anwenden der Operation [+] auf K Kopien des Punktes p, und die Berechnung von K aus der Kenntnis der Definition der Gruppe [P], dieser Punkt p, und K·p ist fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist, so dass ein öffentlicher Schlüssel KeyDM·P der digitalen Frankiermaschine von einer Partei erkannt werden kann, die versucht, von der digitalen Frankiermaschine gedruckte Freistempel, aus der veröffentlichten Information mit der Zusicherung zu verifizieren, dass dieser öffentliche Schlüssel KeyDM·P von der beglaubigenden Autorität CA beglaubigt worden ist, wobei das Verfahren folgende Schritte enthält: a) das Kontrollieren der beglaubigenden Station (CA), um einen Punkt rDM·P von der Benutzerstation zu empfangen, wobei rDM eine Zufallszahl ist, generiert von der Benutzerstation; b) das Kontrollieren der beglaubigenden Station, um ein Zertifikat OMC50 zu generieren und an die Benutzerstation zu senden, worin: OMC50 = (r50 + rCA)·P; und worin rCA eine willkürliche ganze Zahl ist, erzeugt von der beglaubigenden Station; c) das Kontrollieren der beglaubigenden Station, um eine ganze Zahl l50 zu generieren und an die Benutzerstation zu senden, worin l50 = rCA + H(M)KeyCA; und worin M eine Meldung ist, veröffentlicht von der beglaubigenden Station und H(M) eine ganze Zahl ist, abgeleitet aus der Meldung M im Einklang mit einem öffentlich bekannten Algorithmus H, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist; wodurch d) die Benutzerstation den privaten Schlüssel KeyDM, Key50 = r50 + l50 = r50 + rCA + H(M)KeyCA berechnen kann und den Schlüssel Key50 an die digitale Frankiermaschine (50) übertragen kann; wodurch e) die digitale Frankiermaschine den Freistempel digital mit dem Schlüssel Key50 unterzeichnen kann; und wodurch f) die beglaubigende Partei den digitalen öffentlichen Frankiermaschinenschlüssel Key50·P als Key50·P = OMC50 + H(M)KeyCA·P = (rDM + rCA)·P + H(M)KeyCA·P aus der Kenntnis von H, M, [P], des öffentlichen Schlüssels KeyCA·P und CERTDM berechnen kann.
  • Weitere Ziele und Vorteile und Eigenschaften der vorliegenden Erfindung werden klar durch Berücksichtigung der beigefügten Zeichnungen und der detaillierten unten fortgesetzten Beschreibung.
  • 1 ist ein Graph, der den Betrieb aus dem Stand der Technik einer Punktaddition von Punkten P und P' darstellt.
  • 2 ist ein Graph, der den Betrieb des Standes der Technik einer Punktaddition von zwei Kopien des Punktes P darstellt.
  • 3 ist ein Graph, der den Betrieb des Standes der Technik einer Punktmultiplikation des Punktes P darstellt.
  • 4 ist ein schematisches Blockdiagramm einer allgemeinen Verschlüsselungsstation, die programmiert werden kann zum Dienen in digitalen Frankiermaschinen, Anwenderstationen oder beglaubigenden Stationen.
  • 5 und 6 zeigen die Kommunikation einer digitalen Frankiermaschine und einer beglaubigenden Station über eine Datenleitung zum Erzeugen eines öffentlichen Schlüsselpaares und eines Zertifikats in Übereinstimmung mit dem Verfahren der vorliegenden Erfindung.
  • 7 und 8 zeigen die Kommunikation einer Anwenderstation und einer beglaubigenden Station über eine Datenleitung zum Erzeugen eines öffentlichen Schlüsselpaares zum Herunterladen zu einer digitalen Frankiermaschine, und ein Zertifikat in Übereinstimmung mit dem Verfahren der vorliegenden Erfindung.
  • 9 ist eine schematische Darstellung eines digitalen Freistempels in Übereinstimmung mit der vorliegenden Erfindung.
  • 4 zeigt eine allgemeine Verschlüsselungsstation 20, die angepasst sein kann zum Ausführen der Funktionen, die benötigt werden von einem Anwender oder einer beglaubigenden Autorität. Die Station 20 kann auch aufgenommen sein in einer digitalen Frankiermaschine in Ausführungsformen der vorliegenden Erfindung, wo eine Kommunikationsverbindung bereitgestellt ist zwischen einer beglaubigenden Autorität und einer Frankiermaschine zum Erzeugen eines öffentlichen Schlüsselpaares und entsprechenden Zertifikaten.
  • Digitale Frankiermaschinen sind bekannte Vorrichtungen zum Drucken von Postsendungen mit Freistempeln, die die Bezahlung von Porto und die Berechnung von Porto bescheinigen, die aufgewendet wurden, und eine Beschreibung deren Betriebes beim Ausführen dieser Funktionen ist nicht notwendig für das Verständnis der vorliegenden Erfindung. Für den Fachmann ist es auch klar, dass die verschiedenen funktionalen Einheiten, die in 4 gezeigt sind, nicht in entsprechenden Hardwareuntersystemen aufgenommen sein müssen, sondern als Ganzes oder teilweise bereitgestellt werden durch entsprechende Softwareroutinen.
  • Die Station 20 beinhaltet einen Prozessor 22, der mit der Datenleitung 24 über die I/O-Vorrichtung 26 verbunden ist. Die Datenleitung 24 kann von einer beliebigen geeigneten Art sein, die Computerkommunikationsnetzwerke, Telefonnetzwerke und reservierte Leitungen beinhaltet, aber nicht auf diese limitiert ist, oder kann einfach die Vermittlung von portablen Datenspeichermedien so wie magnetischen Scheiben sein, wobei die I/O-Vorrichtung 26 angeordnet ist auf eine konventionelle Art und Weise zum Koppeln mit der Verbindung 24.
  • Der Prozessor 22 kommuniziert auch mit dem Programmspeicher 32 zum Zugreifen auf Programmcode auf die Kontrollstation 20 zum Ausführen von Funktionen einer Anwender- oder digitalen Frankiermaschine beim Erzeugen eines öffentlichen Schlüsselpaares, oder der beglaubigenden Autorität beim Erzeugen eines entsprechenden Zertifikates, und mit dem Arbeitsspeicher 34 zum temporären Speichern der Daten.
  • Um die Sicherheit zu erhöhen, beinhaltet die Station 20 einen sicheren Speicher 35 zum Speichern bestimmter kritischer Parameter, wie unten beschrieben wird. Vorzugsweise ist der Speicher 35 gesichert gegen nicht autorisierten Zugriff durch konventionelle Mittel, die dem Fachmann bekannt sind, die physikalische Sicherheit wie Abschirmen und softwarebasierte Techniken sowie Passwörter und Verschlüsselung beinhaltet.
  • Der Prozessor 22 kommuniziert und steuert wenn notwendig: Verschlüsselungsmaschine 38 zum Ausführen von Punktadditionen und Punktmultiplikationen; Hash-Maschine 40 zum Ausführen einer öffentlich bekannten Hash-Funktion, vorzugsweise der SHA-1 Hash-Funktion, die veröffentlicht ist von der nationale Sicherheitsagentur; und einen Zufallszahlengenerator 42 zum Erzeugen von Zufallszahlen. Während die oben beschriebenen Maschinen dargestellt wurden als zugehörige Vorrichtungen für die Klarheit der Darstellung, können in anderen Ausführungsformen die Verschlüsselung, das Hashing und die Zufallszahlenerzeugungsfunktionen ausgeführt werden durch Softwareroutinen, die im Programmspeicher 32 gespeichert sind.
  • Die Station 20 ist vorzugsweise angeordnet zum Ausführen der Funktionen eines Anwenders oder eine beglaubigenden Autorität durch Lesen von Signalen, die repräsentativ sind für einen geeigneten Steuerungsprogrammcode, der aufgezeichnet ist auf portablen Medien, so wie magnetischen Platten 46U oder 46CA in den Programmspeicher über das Plattenlaufwerk 48 (aus Sicherheitsgründen sind Frankiermaschinen vorzugsweise so ausgelegt, dass diese nicht programmiert werden können. Details der Operationen der beglaubigenden Autoritäten und Anwender oder digitale Frankiermaschinen beim Ausführen des Verfahrens der vorliegenden Erfindung sind detaillierter unten beschrieben, und die Entwicklung von Steuerungsprogrammen zum Steuern der Stationen für Funktionen in solchen Rollen sind im Rahmen der Möglichkeiten des Fachmanns für Verschlüsselung.)
  • Die 5 und 6 zeigen eine digitale Frankiermaschine und eine beglaubigende Station, die im Wesentlichen die in 4 gezeigte Architektur aufweisen, die über die Datenleitung 24 kommunizieren zum Ausführen des Verfahrens der vorliegenden Erfindung in einer Ausführungsform, wo digitale Frankiermaschinen direkt mit einer beglaubigenden Autorität kommunizieren. Der öffentliche Datenspeicher 46 ist auch mit der Leitung 24 verbunden zum Speichern von Daten, auf die durch jede Partei zugegriffen werden kann, die über die Leitung 24 kommunizieren.
  • Anfangs speichert die Maschine 20DM Identifizierungsinformation IDDM (z.B. eine Maschinenidentifizierungsnummer), eine Beschreibung einer Gruppe [P] (d.h. Informationen, die benötigt werden zum Ausführen der Additionsoperation [+]) und einen bestimmten, öffentlich bekannten Punkt P in dessen Arbeitsspeicher 34DM und speichert einen früheren privaten Schlüssel Keyp im sicheren Speicher 35DM. Eine beglaubigende Station 20CA, die betrieben wird durch eine beglaubigende Autorität (die eine Postautorität oder eine Agentur, so wie einen Ausstattungslieferant, der bestimmt wird durch die Postautorität) speichert [P], P und Information IAVDM, die die Maschine 20DM identifiziert oder charakterisiert, wie weiter unten detaillierter beschrieben wird, in dessen Arbeitsspeicher 34CA; und den privaten Schlüssel KeyCA im sicheren Speicher 35CA; und der öffentliche Datenspeicher 46 speichert den öffentlichen Schlüssel KeyCA·P.
  • Die Maschine 20DM initiiert den Zertifizierungsprozess durch Erzeugen und Speichern einer Zufallszahl rDM im sicheren Speicher 35DM, Berechnen des Punktes rDM·P, und Senden des Punktes rDM·P zur Station 20CA zusammen mit dessen Identifizierungsinformation IDDM. Die Information wird signiert unter Verwendung des vorherigen privaten Schlüssels aus der Maschine 20DM, um der Station 20CA eine Sicherheit bereitzustellen über die Quelle der Information. Ein anfänglicher privater Schlüssel kann in der Maschine 20DM installiert werden durch den Ausstattungsbereitsteller. Andere Verfahren zum Sichern der Quelle der Kommunikationen, so wie physikalische Steuerung der Vorrichtung, der sicheren Kanäle oder Rückrufprotokolle können auch verwendet werden zum Bereitstellen von Sicherheit der Quelle der Information.
  • In 6 identifiziert die Station 20CA die Identität und Attributwerte, IAVDM für die Maschine 20DM und erzeugt dann und speichert eine Zufallszahl rCA im sicheren Speicher 35CA und berechnet den Punkt: OMCDM = rDM·P [+] rCA·P = (rDM + rCA)·P
  • In dem Fall, wo eine beglaubigende Station nicht die Maschine 20DM beglaubigen kann, kann die Station in eine Fehlerroutine eintreten zum Abbrechen des Beglaubigungsprozesses. Details einer solchen Fehlerroutine bilden keinen Teil der vorliegenden Erfindung. In anderen Ausführungsformen der Erfindung können nachfolgende Beglaubigungsstationen die Information IDU abwandeln oder ändern zum Anzeigen des Status des Anwenders U.
  • Die Station 20CAF erzeugt dann die Nachricht M: M = OMCDMIAVDM und berechnet einen Hash H(M) der Nachricht M, wobei H eine öffentlich bekannte Hash-Funktion ist und vorzugsweise die bekannte SHA-1 Funktion ist und erzeugt dann eine ganze Zahl IDM: IDM = rCA + H(M)KeyCA und sendet die ganze Zahl IDM zur Maschine 20DM zusammen mit OMCDM und IAVDM. (Beim Berechnen der ganzen Zahl IDM wird der Ausdruck des Punktes OMCDM als eine ganze Zahl behandelt.)
  • Die Maschine 20DM berechnet dann den privaten Schlüssel KeyU: KeyDM = rDM + IDM = rDM + rCA + H(M)KeyCA
  • Die Maschine 20DM verwendet dann KeyDM zum Signieren von dem von dieser erzeugten Freistempel, wie weiter unten beschrieben wird. Eine Postautorität oder eine andere Partei, die den öffentlichen Schlüssel der Maschine 20DM überprüfen möchte, kann KeyDM·P berechnen als: KeyDM·P = OMCDM [+] H(M)KeyCA·P = RDM + rCA·P + H(M)KeyCA·Paus der Erkenntnis von H, M, dem öffentlichen Schlüssel KeyCA·P und OMCDM. Da die Berechnung des öffentlichen Schlüssels KeyDM·P den öffentlichen Schlüssel KeyCA·P benötigt, hat die überprüfende Partei die Sicherheit, dass KeyDM·P durch die beglaubigende Autorität CA beglaubigt ist.
  • Die 7 und 8 zeigen eine Anwender- und beglaubigende Station, die im Wesentlichen die in 4 gezeigte Architektur aufweisen, die über die Datenleitung 24 kommunizieren zum Ausführen des Verfahrens der vorliegenden Erfindung in einer Ausführungsform, wo ein Anwender, der ein Digitalfrankiermaschinenbereitsteller sein kann, mit einer beglaubigenden Autorität kommuniziert zum Erhalten des öffentlichen Schlüsselpaares und Herunterladen des privaten Schlüssels zur digitalen Frankiermaschine. Es wird davon ausgegangen, dass diese Ausführungsform vorteilhaft ist, da unter der Annahme des Vertrauens des Anwenders durch die beglaubigende Autorität der wesentliche Aufwand und die Komplexität zum Beibehalten einer Kommunikationsinfrastruktur mit großen Zahlen von digitalen Frankiermaschinen vermieden wird. Der öffentliche Datenspeicher 46 ist auch verbunden mit der Verbindung 24 zum Speichern von Daten, auf die zugegriffen werden kann von jeder Partei, die über die Verbindung 24 kommuniziert.
  • Anfangs speichert die Anwenderstation 20U Identifizierungsinformation ID50 für die digitale Frankiermaschine 50 (z.B. eine Maschinenidentifizierungsnummer), eine Beschreibung der Gruppe [P] (d.h. Information, die benötigt wird zum Ausführen der Additionsoperation [+]) und einen bestimmten, öffentlich bekannten Punkt P in dessen Arbeitsspeicher 34U, und speichert den privaten Anwender KeyU im sicheren Speicher 35U. Die beglaubigende Station 20CA speichert [P], P und Information IAV50, die die Maschine 50 identifiziert oder charakterisiert in dessen Arbeitsspeicher 34CA; und dem privaten Schlüssel KeyCA im sicheren Speicher 35CA; und der öffentliche Datenspeicher 46 speichert den öffentlichen Schlüssel KeyCA·P.
  • Die Anwenderstation 20U initiiert den Beglaubigungsprozess durch Erzeugen und Speichern einer Zufallszahl r50 im sicheren Speicher 35U, Berechnen des Punktes r50·P und Senden des Punktes r50·P zur Station 20CA zusammen mit dessen Identifizierungsinformation ID50. Die Information wird signiert unter Verwendung des privaten Schlüssels der Station 20U zum Bereitstellen von Sicherheit für die Station 20CA für die Quelle der Information. Andere Verfahren zum Sichern der Quelle der Kommunikationen, so wie sichere Kanäle oder Rückrufprotokolle, können auch verwendet werden zum Bereitstellen von Sicherheit der Quelle der Information.
  • In 8 identifiziert die Station 20CA die Identität und den Attributwert IAV50 für die Maschine 50 und erzeugt und speichert dann eine Zufallszahl rCA im sicheren Speicher 35CA und berechnet den Punkt: OMC50 = r50·P [+] rCA·P = (r50 + rCA)·P
  • In dem Fall, in dem die beglaubigende Station nicht die Maschine 50 beglaubigen kann, kann die Station in eine Fehlerroutine eintreten zum Abbrechen des Beglaubigungsprozesses. Details einer solchen Fehlerroutine bilden keinen Teil der vorliegenden Erfindung.
  • Die Station 20CAF erzeugt dann die Nachricht M: M = OMC50 IAV50 und berechnet einen Hash H(M) der Nachricht M, wobei H eine öffentlich bekannte Hash-Funktion ist und vorzugsweise die bekannte SHA-1 Funktion ist, und erzeugt dann eine ganze Zahl I50: I50 = rCA + H(M)KeyCA und sendet die ganze Zahl I50 zur Station 20U zusammen mit OMC50 und IAV50.
  • Die Station 20 berechnet dann den privaten Schlüssel Key50: Key50 = r50 + IDM = r50 + rCA + H(M)KeyCA und lädt Key50 zusammen mit OMC50 und IAV50 auf die Maschine 50 herunter.
  • Die Maschine 50 verwendet dann Key50 zum Signieren der von dieser erzeugten Freistempel, wie weiter unten beschrieben wird. Eine Postautorität oder eine andere Partei, die den privaten Schlüssel der Maschine 50 überprüfen möchte, kann Key50·P berechnen als: Key50·P = OMC50 [+] H(M)KeyCA·P = (r50 + rCA)·P + H(M)KeyCA·Paus der Kenntnis von H, M, dem öffentlichen Schlüssel KeyCA·P und OMC50. Da die Berechnung des öffentlichen Schlüssel KeyDM·P den öffentlichen Schlüssel KeyCA·P benötigt, hat die überprüfende Partei die Sicherheit, dass Key50·P beglaubigt wurde durch die beglaubigende Autorität CA.
  • Während in der in den 7 und 8 gezeigten Ausführungsform aus Gründen der Klarheit lediglich eine einzelne Maschine dargestellt ist, versteht der Fachmann, dass diese Ausführungsform besonders vorteilhaft ist für die Erzeugung von Blöcken von Schlüsselpaaren und entsprechenden Zertifikaten.
  • Während Key50 dargestellt ist, heruntergeladen worden zu sein über die Datenleitung 24 und für die Sicherheit verschlüsselt ist mit dem Schlüssel des Anwenders KeyU, kann in anderen Ausführungsformen der Anwender physikalisch Schlüssel in Maschinen vor der Lieferung zu den Versendern herunterladen. Zulieferer können Beglaubigungsstationen betreiben auf die Art und Weise, die beschrieben ist mit Bezug auf die 5 und 6, zum Bereitstellen neuer Schlüssel für die Maschinen, zum Beispiel nach Fern- oder physikalischer Inspektion der Maschinen, und Zulieferer können Initialschlüssel Keyp erhalten, die beschrieben sind mit Bezug auf die 5 und 6 auf die in den 7 und 8 gezeigte Art und Weise.
  • Mit Bezug auf 9 ist ein Postfreistempel in Übereinstimmung mit der vorliegenden Erfindung gezeigt.
  • (Obwohl die folgende Beschreibung durchgeführt wird mit Bezug auf die Maschine 20DM versteht der Fachmann, dass diese auch anwendbar ist auf eine Maschine 50 und andere Maschinen in Übereinstimmung mit der vorliegenden Erfindung, da die Operationen des Erzeugens und Signierens von Postfreistempeln und Verifizieren von öffentlichen Schlüsseln, die verwendet werden zum Signieren solcher Freistempel, im Wesentlichen identisch sind ohne Bezug auf spezielle Sequenzen der Operation, die verwendet werden zum Erzeugen von öffentlichen Schlüsselpaaren und Zertifikaten.)
  • In 9 beinhaltet der Freistempel 60 von Menschen lesbare Parameter 62 (die OCR lesbar sind), lesbare Postsendungsparameter 64, Identifizierung und Attributwert 66, optimales Postsendungszertifikat 70 und digitale Signatur 72.
  • Menschenlesbare Parameter beinhalten Postwert 64, Datum 78 und andere benötigte Parameter 80, die bereitgestellt sind für die Zweckmäßigkeit von Postpersonal und für die Detektierung von Postsendungen, die unterbewertet sind, und dergleichen. Diese Parameter bilden keinen Teil der vorliegenden Erfindung an sich.
  • Lesbare Postsendungsparameter sind gedruckt in einer maschinenlesbaren Form, so wie den kommerziell erwerbbaren 2-dimensionalen Barcodes „DataMatrix" und „Aztec" oder dem gestapelten Barcode PDF417. Lesbare Postsendungsparameter können Parameter beinhalten, so wie Maschinenabrechnungsregisterwerte, sequentielle Maschinenzählwerte, bewertende Postsendungsparameter, so wie Gewicht oder Größe, Lieferungssteuerungscode, z.B. Zielpostleitzahl, und können auch werte enthalten, die enthalten sind in von Menschen lesbaren Parametern 62. Diese Werte können einen Teil des signierten Abschnittes des Freistempels 60 bilden, wenn eine Versicherung deren Korrektheit gewünscht ist, oder können lediglich verwendet werden zum Vereinfachen der Handhabung der Postsendung.
  • IAV 66 ist auch repräsentiert in maschinenlesbarer Form, wie oben beschrieben, und bildet einen Teil des signierten Abschnittes des Freistempels und beinhaltet die Maschinenidentifizierung 82, Auslaufdatum des Zertifikats 86, maximaler Postwert 90 und andere Parameter 92, so wie einen Bereich von erlaubten Postleitzahlen, Datum der letzten Maschineninspektion, oder Werten von Maschinensicherheitssensoren. Da das öffentliche Schlüsselpaar und entsprechende OMC Funktionen von IAV sind, ist es vorzuziehen, dass IAV Werte konstant bleiben zum Bearbeiten einer wesentlichen Anzahl von Postsendungen, vorzugsweise 10000 oder mehr; jedoch können wenn Kommunikationen und Bearbeitungsraten groß genug sind, IAV Werte stärker variieren.
  • OMC 70 bildet auch einen Teil des signierten Abschnittes des Freistempels 60.
  • Die digitale Signatur 72 (d.h. der CIVC) können erzeugt werden unter Verwendung von bekannten Techniken, und eine detailliertere Beschreibung der Signaturmechanismen wird nicht benötigt für das Verständnis der vorliegenden Erfindung.
  • In bestimmten Ausführungsformen können CIVC Werte erzeugt werden auf einem oder zwei Wege: Eine digitale Signatur mit Anhang, oder eine digitale Signatur mit Nachrichtenwiedererlangung. (Siehe Handbook of Applied Cryptography A. Menezes, P. Van Oorshot, und S. Vanstone, CRC Press 1997). Die Verwendung von Signaturen mit Anhang ist bekannt und involviert das Erzeugen eines Hash der zu signierenden Nachricht unter Verwendung einer bekannten Hash-Funktion und das Verschlüsseln des Hash. In öffentlichen Schlüsselsystemen erzeugt der Empfänger auch einen Hash der Nachricht und vergleicht diesen mit dem entschlüsselten Hash, der mit der Nachricht empfangen wird. Erfolgreicher Vergleich validiert die Signatur d.h. die Signatur der Nachricht. Typischerweise sind solche Algorithmen RSA, DAS und ECDSA Algorithmen, und Signieren mit Anhang (z.B. ECDSA) kann mit der vorliegenden Erfindung verwendet werden.
  • In anderen bevorzugten Ausführungsformen kann digitale Signatur mit Nachrichtenrückerhaltung verwendet werden. Signaturen mit Nachrichtenrückerhaltung beruhen auf Verschlüsselung einer gesamten oder Teil einer Nachricht, die erfolgreich zurückerhalten wurde von der Signatur oder CIVC, und die validiert ist durch interne Redundanzen, d.h. es gibt genügend interne Redundanzen in der Nachricht, dass es hochgradig unwahrscheinlich ist, dass eine fälschlicherweise signierte Nachricht intern nicht inkonsistent sein wird, wenn diese zurückerlangt wird. Diese Techniken zum Signieren sind teilweise nützlich zum Signieren von kurzen Nachrichten und sind vorzuziehen zum Signieren von Postfreistempeln, die notwendigerweise kurz sind, aufgrund der Größe von Begrenzungen, die oben diskutiert wurden, und die einen hohen Grad von Redundanz beinhalten.
  • Um einen Postfreistempel in Übereinstimmung mit diesen Ausführungsformen zu signieren, definiert eine Frankiermaschine oder ein Postsystem eine Nachricht m, die Freistempeldaten beinhaltet, die Protektion benötigt, so wie einen Postwert, Datum, steigenden Registerwert, Stückzahl und vielleicht andere Daten, die benötigt werden zum Bereitstellen von erhöhter Redundanz. Vorzugsweise ist m weniger als etwa 20 Bytes. (Das signierte Verfahren dieser Ausführungsform funktioniert auch mit größeren Nachrichten, es wird jedoch davon ausgegangen, dass dies weniger effektiv ist.) Eine Maschine oder ein Postsystemprozessor, der vorzugsweise ein sicherer Coprozessor oder ein Kryptoprozessor ist, erzeugt eine ganzzahlige Zufallszahl rs, rs < n, wobei n in der Ordnung von [P] ist, und berechnet die ganze Zahl K = K(rs·P), wobei K(p) eine geeignete Abbildung eines Punktes in [P] auf die ganzen Zahlen ist. Der Prozessor erzeugt e mit einem bekannten symmetrischen Schlüssel- Verschlüsselungsalgorithmus unter Verwendung des Schlüssels K (im nachfolgenden als SKEK bezeichnet), wobei: e = SKEK(m)
  • Der Prozessor berechnet dann H(e, IAV), wobei H wieder vorzugsweise die SHA-1 Hash-Funktion ist, und berechnet: S = KeyDMH(e, IAV) + rs wobei KeyDM der private Schlüssel der Maschine oder des Postsystems ist.
  • Die Signatur der Nachricht m ist das Paar (s, e).
  • Eine Postautorität oder eine andere Partei, die einen Freistempel verifizieren möchte, leitet den öffentlichen Schlüssel der Maschine KeyDM·P wie oben beschrieben ab und berechnet: S·P [–] H(e, IAV)KeyDM·P = H(e, IAV)KeyDM·P [+] rs·P [–] H(e, IAV)KeyDM·P = rs·Paus den Werten von e, IAV und KeyDM, die wiedererhalten werden von dem Freistempel und der Kenntnis von H, und erhält dann wieder: K = K(rs·P) m = SKEK –1(e)wobei SKE–1 K die Inverse von SKEK ist und akzeptiert m als gültig, wenn dieses intern konsistent ist. ([–] ist „Punktsubtraktion, die Inverse von [+], und dessen Bedeutung wird ersichtlich durch die Inspektion von 1.)
  • Dieses Verfahren hat bestimmte Vorteile für Postfreistempel, da Klartext von m nicht in dem Freistempel von m beinhaltet sein muss, wodurch knapper Raum in dem Freistempel gespart wird, während kritische Werte beschützt werden.
  • Für den Fachmann ist es klar, dass OMC und IAV in dieser Ausführungsform nicht signiert sein müssen, da diese notwendig sind zum Ableiten von KeyDM·P und somit selbstvalidierend sind.
  • Der öffentliche Schlüssel KeyCA·P kann auch enthalten sein in dem Freistempel 60 zum Erleichtern der Überprüfung ohne den Bedarf mit einer externen Datenbasis zu kommunizieren. Jedoch ist der Schlüssel KeyCA·P auch veröffentlicht, wie beispielsweise durch den Speicher im öffentlichen Datenspeicher 46 zum Ermöglichen von mindestens periodischer unabhängiger Überprüfung.
  • Zertifikate werden im Allgemeinen kontrolliert durch eine Validitätsperiode und Authentifizieren, dass der Zertifikatbesitzer bestimmte Rechte hat. Durch Aufnahme von begrenzenden Parametern, so wie ein Ablaufdatum oder einen maximalen Postwert in das Zertifikat wie oben beschrieben, ermöglicht eine einfache Überprüfung der Parameter der Überprüfungsautorität Postsendungen zu detektieren, die durch eine digitale Frankiermaschine produziert werden, mit einem abgelaufenen Zertifikat, oder die andere Parameterbegrenzungen übersteigt. Dieses Äquivalent zur Aufhebung des Zertifikats ist einfacher und automatischer in der Ausführung und stellt eine genauere Steuerung des Systems bereit.
  • In anderen Ausführungsformen der vorliegenden Erfindung kann die Zertifizierung ausgeführt werden im Wesentlichen wie oben beschrieben über eine andere Sätze [E], für die eine Operation [op] existiert, so wie die I[op]E, wobei I eine ganze Zahl ist und ein Element von [E] ist, und die Berechnung von I aus der Kenntnis von [E], E und I[op]E fest ist. Beispielsweise ist der digitale Signaturalgorithmus basiert auf einer Untergruppe von ganzen Zahlen modulo eine Primzahl p mit binärer Operation, die ein Exponent ist.
  • Jedoch sind elliptische Kurven vorzuziehen, da diese berechnungstechnisch effizienter sind.
  • Die Ausführungsformen, die oben beschrieben und dargestellt sind in den beigefügten Zeichnungen, wurden lediglich als Beispiel und für die Illustration verwendet. Aus den Lehren der vorliegenden Anmeldung erkennt der Fachmann einfach eine Vielzahl von anderen Ausführungsformen in Übereinstimmung mit der vorliegenden Erfindung. Im Genaueren wird dieser erkennen, dass eine Vielzahl anderer Anordnungen für die Erzeugung von öffentlichen Schlüsselpaaren und entsprechenden Zertifikaten, die von dem Vertrauensmodell abhängen, von denen ausgegangen wird, dass andere Parteien diese anwenden, für den Fachmann aus den oberen Beschreiung und der Betrachtung der vorliegenden Erfindung ersichtlich ist. Folglich sind Begrenzungen der vorliegenden Erfindung lediglich definiert in den unten angefügten Ansprüchen.

Claims (9)

  1. Ein Verfahren zum Kontrollieren und Verteilen von Information zwischen einer digitalen Frankiermaschine (20DM) und einer beglaubigenden Station (20CA), betrieben von einer beglaubigenden Autorität CA für das Veröffentlichen von Information, so dass ein öffentlicher Schlüssel KeyDM·P der digitalen Frankiermaschine (20DM) von einer Partei erkannt werden kann, die versucht, von der digitalen Frankiermaschine (20DM) gedruckte Freistempel, aus der veröffentlichten Information mit der Zusicherung zu verifizieren, dass dieser öffentliche Schlüssel KeyDM·P von der beglaubigenden Autorität CA beglaubigt worden ist, wobei das Verfahren folgende Schritte enthält: a) das Definieren und Veröffentlichen einer finiten Gruppe [P] mit einer binären Operation [+] und das Veröffentlichen eines speziellen Punktes P in der Gruppe; b) das Definieren und Veröffentlichen einer binären Operation K·p, in der K eine ganze Zahl und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in der Gruppe ist, berechnet durch Anwendung der Operation [+] auf Kopien des Punktes p, und die Berechnung von K aus der Kenntnis der Definition der Gruppe [P], sind der Punkt p und K·p fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist; c) das Kontrollieren einer beglaubigenden Station (20CA), um ein Zertifikat OMCDM für die Frankiermaschine (20DM) zu veröffentlichen, worin OMCDM = (rDM + rCA)·P;und worin rDM eine willkürliche ganze Zahl ist, erzeugt von der digitalen Frankiermaschine (20DM), und rCA eine willkürliche ganze Zahl ist, erzeugt von der beglaubigenden Station (20CA); d) das Kontrollieren der beglaubigenden Station (20CA) um eine Meldung M zu veröffentlichen; e) das Kontrollieren der beglaubigenden Station (20CA) um eine ganze Zahl lDM zu generieren und die ganze Zahl an die digitale Frankiermaschine (20DM) zu senden, worin lDM = rCA + H(M)KeyCA;und worin H(M) eine ganze Zahl ist, abgeleitet aus der Meldung M im Einklang mit einem öffentlich bekannten Algorithmus H, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist; f) das Veröffentlichen eines öffentlichen Schlüssels KeyCA·P für die beglaubigende Autorität CA; und g) das Kontrollieren der digitalen Frankiermaschine (20DM), um einen privaten Schlüssel KeyDM zu berechnen, KeyDM = rDM + lDM = rDM + rCA + H(M)KeyCA;und h) das Kontrollieren der digitalen Frankiermaschine (20DM), um einen Freistempel zu drucken und um diesen Freistempel digital mit dem Schlüssel KeyDM zu unterzeichnen; wodurch i) die beglaubigende Partei den öffentlichen Schlüssel KeyDM·P des Benutzers als KeyDM·P = OMCDM + H(M)KeyDM·P = (rDM + rCA)·P + H(M)KeyDM·Paus der Kenntnis von H, M, [P], des öffentlichen Schlüssel KeyDM·P und OMCDM berechnen kann.
  2. Ein Verfahren zum Kontrollieren und Verteilen von Information zwischen einer Benutzerstation (20U), einer digitalen Frankiermaschine (50) und einer beglaubigenden Station (20CA), von einer beglaubigenden Autorität CA zum Veröffentlichen von Information betrieben, so dass ein öffentlicher Schlüssel Key50·P der digitalen Frankiermaschine (50) von einer Partei erkannt werden kann, die versucht Freistempel, die von der digitalen Frankiermaschine (50) aus der veröffentlichten Information gedruckt werden, mit der Zusicherung zu verifizieren, dass der öffentliche Schlüssel Key50·P von der beglaubigenden Autorität CA beglaubigt wurde, wobei das Verfahren folgende Schritte enthält: a) das Definieren und Veröffentlichen einer finiten Gruppe [P] mit einer binären Operation [+] und das Veröffentlichen eines speziellen Punktes P in der Gruppe; b) das Definieren und Veröffentlichen einer binären Operation K·p, in der K eine ganze Zahl und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in der Gruppe ist, berechnet durch Anwendung der Operation [+] auf Kopien des Punktes p, und die Berechnung von K aus der Kenntnis der Definition der Gruppe [P], sind der Punkt p und K·p fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist; c) das Kontrollieren einer beglaubigenden Station (20CA), um ein Zertifikat OMC50 für die Frankiermaschine (50DM) zu veröffentlichen, worin OMC50 = (r50 + rCA)·P;und worin r50 eine willkürliche ganze Zahl ist, erzeugt von der digitalen Frankiermaschine (50DM), und rCA eine willkürliche ganze Zahl ist, erzeugt von der beglaubigenden Station (20CA); d) das Kontrollieren der beglaubigenden Station (20CA) um eine Meldung M zu veröffentlichen; e) das Kontrollieren der beglaubigenden Station (20CA) um eine ganze Zahl l50 zu generieren und die ganze Zahl an die Benutzerstation (20U) zu senden, worin l50 = rCA + H(M)KeyCA;und worin H(M) eine ganze Zahl ist, abgeleitet aus der Meldung M im Einklang mit einem öffentlich bekannten Algorithmus H, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist; f) das Veröffentlichen eines öffentlichen Schlüssels KeyCA·P für die beglaubigende Autorität CA; und g) das Kontrollieren der Benutzerstation (20U), um einen privaten Schlüssel KeyDM zu berechnen, Key50 = r50 + l50 = r50 + rCA + H(M)KeyCA;und h) das Übertragen des Schlüssels Key50 an die Frankiermaschine (50); wodurch i) die digitale Frankiermaschine (50) einen Freistempel drucken und den Freistempel mit dem Schlüssel Key50 digital unterzeichnen kann; und wodurch j) die verifizierende Partei den öffentlichen Schlüssel KeyDM·P als Key50·P = OMC50 + H(M)KeyCA·P = (r50 + rCA)·P + H(M)KeyCA·Paus der Kenntnis von H, M, [P], dem öffentlichen Schlüssel KeyCA·P und OMC50 berechnen kann.
  3. Ein Verfahren wie in Anspruch 1 oder 2 beschrieben, worin die öffentlich bekannte Weise zur Ableitung einer ganzen Zahl aus der veröffentlichten Information das Anwenden einer Hash-Funktion auf die Meldung M enthält.
  4. Ein Verfahren wie in Anspruch 1 oder 2 oder 3 beschrieben, worin die Meldung M Information IAV enthält, die digitale Frankiermaschine (20DM oder 50) identifizierend, und Bearbeitungsparameter, die auf die digitale Frankiermaschine anwendbar sind.
  5. Ein Verfahren wie in Anspruch 1 oder 2 beschrieben, worin die Gruppe [P] als eine elliptische Kurve definiert ist.
  6. Ein Verfahren wie in Anspruch 1 oder 2 beschrieben, worin die Meldung M Information enthält, den öffentlichen Schlüssel Key50·P der Frankiermaschine an die Information IAV bindend.
  7. Ein Verfahren zum Kontrollieren einer digitalen Frankiermaschine (20DM), um Freistempel, unterzeichnet mit einem privaten Schlüssel KeyDM, zu drucken, auf der Basis einer veröffentlichten finiten Gruppe [P] mit einer binären Operation [+] und einem veröffentlichten speziellen Punkt p in der Gruppe und einer veröffentlichten binären Operation K·p, in der K eine ganze Zahl ist und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in de Gruppe ist, berechnet durch das Anwenden der Operation [+] auf K Kopien des Punktes p, und die Berechnung von K aus der Kenntnis der Definition der Gruppe [P], sind der Punkt p und K·p fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist, so dass ein öffentlicher Schlüssel KeyDM·P der digitalen Frankiermaschine (20DM) von einer Partei erkannt werden kann, die versucht, von der digitalen Frankiermaschine (20DM) gedruckte Freistempel, aus der veröffentlichten Information mit der Zusicherung zu verifizieren, dass dieser öffentliche Schlüssel KeyDM·P von der beglaubigenden Autorität CA beglaubigt worden ist, wobei das Verfahren folgende Schritte enthält: a) das Kontrollieren der digitalen Frankiermaschine (20DM), um eine Zufallszahl rDM zu generieren und einen Punkt rDM·P an eine beglaubigende Station (20CA) zu senden; b) das Kontrollieren der digitalen Frankiermaschine (20DM), um ein Zertifikat OMCDM von einer beglaubigenden Station zu empfangen, die von einer beglaubigenden Autorität CA betrieben wird, worin: OMCDM = (rDM + rCA)·P;und worin rDM eine willkürliche ganze Zahl ist, erzeugt von der digitalen Frankiermaschine (20DM), und rCA eine willkürliche ganze Zahl ist, erzeugt von der beglaubigenden Station (20CA); c) das Kontrollieren der digitalen Frankiermaschine (20DM), um eine ganze Zahl lDM von der beglaubigenden Station (20CA) zu empfangen, worin lDM = rCA + H(M)KeyCA;und worin M eine Meldung ist, veröffentlicht von der beglaubigenden Station (20CA) und H(M) eine ganze Zahl ist, abgeleitet aus der Meldung M im Einklang mit einem öffentlich bekannten Algorithmus H, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist; d) das Kontrollieren der digitalen Frankiermaschine (20DM), um einen privaten Schlüssel KeyDM zu berechnen, KeyDM = rDM + lDM = rDM + rCA + H(M)KeyCA;und e) das Kontrollieren der digitalen Frankiermaschine (20DM), um einen Freistempel zu drucken und um diesen Freistempel digital mit dem Schlüssel KeyDM zu unterzeichnen; wodurch f) die beglaubigende Partei den digitalen öffentlichen Frankiermaschinenschlüssel KeyDM·P als KeyDM·P = OMCDM + H(M)KeyCA·P = (rDM + rCA)·P + H(M)KeyCA·Paus der Kenntnis von H, M, [P], des öffentlichen Schlüssels KeyCA·P und OMCDM berechnen kann.
  8. Ein Verfahren zum Kontrollieren einer beglaubigenden Station (20CA), betrieben von einer beglaubigenden Autorität CA, um Information zu veröffentlichen, sich beziehend auf eine digitale Frankiermaschine (20CA), zum Drucken von Freistempeln, unterzeichnet mit einem privaten Schlüssel KeyDM, auf der Basis einer veröffentlichten finiten Gruppe [P] mit einer binären Operation [+] und einem veröffentlichten speziellen Punkt p in der Gruppe und einer veröffentlichten binären Operation K·p, in der K eine ganze Zahl ist und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in der Gruppe ist, berechnet durch das Anwenden der Operation [+] auf K Kopien des Punktes p, und die Berechnung von K aus der Kenntnis der Definition der Gruppe [P], dieser Punkt P, und K·p ist fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist, so dass ein öffentlicher Schlüssel KeyDM·P der digitalen Frankiermaschine (20DM) von einer Partei erkannt werden kann, die versucht, von der digitalen Frankiermaschine (20DM) gedruckte Freistempel, aus der veröffentlichten Information mit der Zusicherung zu verifizieren, dass dieser öffentliche Schlüssel KeyDM·P von der beglaubigenden Autorität CA beglaubigt worden ist, wobei das Verfahren folgende Schritte enthält: a) das Kontrollieren der beglaubigenden Station (CA), um einen Punkt rDM·P von der digitalen Frankiermaschine (20DM) zu empfangen, wobei rDM eine Zufallszahl ist, generiert von der digitalen Frankiermaschine (20DM); b) das Kontrollieren der beglaubigenden Station (20CA), um ein Zertifikat OMCDM zu generieren und an die digitale Frankiermaschine (20DM) zu senden, worin: OMCDM = (rDM + rCA)·P;und worin rCA eine willkürliche ganze Zahl ist, erzeugt von der beglaubigenden Station (20CA); c) das Kontrollieren der beglaubigenden Station (20CA), um eine ganze Zahl lDM zu generieren und an die digitale Frankiermaschine zu senden, worin lDM = rCA + H(M)KeyCA;und worin M eine Meldung ist, veröffentlicht von der beglaubigenden Station (20CA) und H(M) eine ganze Zahl ist, abgeleitet aus der Meldung M im Einklang mit einem öffentlich bekannten Algorithmus H, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist; wodurch d) die digitale Frankiermaschine (20DM) den privaten Schlüssel KeyDM, KeyDM = rDM + lDM = rDM + rCA + H(M)KeyCA berechnen kann; und den Freistempel mit dem Schlüssel KeyDM digital unterzeichnen kann; und wodurch e) die beglaubigende Partei den digitalen öffentlichen Frankiermaschinenschlüssel KeyDM·P als KeyDM·P = OMCDM + H(M)KeyCA·P = (rDM + rCA)·P + H(M)KeyCA·Paus der Kenntnis von H, M, [P], des öffentlichen Schlüssels KeyCA·P und CERTDM berechnen kann.
  9. Ein Verfahren zum Kontrollieren einer beglaubigenden Station (20CA), betrieben von einer beglaubigenden Autorität CA, um Information zu veröffentlichen, sich beziehend auf eine digitale Frankiermaschine (50), zum Drucken von Freistempeln, unterzeichnet mit einem privaten Schlüssel Key50, auf der Basis einer veröffentlichten finiten Gruppe [P] mit einer binären Operation [+] und einem veröffentlichten speziellen Punkt P in der Gruppe und einer veröffentlichten binären Operation K·p, in der K eine ganze Zahl ist und p ein Punkt in der Gruppe ist, so dass K·p ein Punkt in der Gruppe ist, berechnet durch das Anwenden der Operation [+] auf K Kopien des Punktes p, und die Berechnung von K aus der Kenntnis der Definition der Gruppe [P], dieser Punkt p, und K·p ist fest, wird eine Berechnung als fest betrachtet, in der die geforderte Zeit schneller als log n wächst, wobei n ein Operand ist, so dass ein öffentlicher Schlüssel KeyDM·P der digitalen Frankiermaschine (50) von einer Partei erkannt werden kann, die versucht, von der digitalen Frankiermaschine (50) gedruckte Freistempel, aus der veröffentlichten Information mit der Zusicherung zu verifizieren, dass dieser öffentliche Schlüssel KeyDM·P von der beglaubigenden Autorität CA beglaubigt worden ist, wobei das Verfahren folgende Schritte enthält: a) das Kontrollieren der beglaubigenden Station (CA), um einen Punkt rDM·P von der Benutzerstation (20U) zu empfangen, wobei rDM eine Zufallszahl ist, generiert von der Benutzerstation (20U); b) das Kontrollieren der beglaubigenden Station (20CA), um ein Zertifikat OMC50 zu generieren und an die Benutzerstation (20U) zu senden, worin: OMC50 = (r50 + rCA)·P;und worin rCA eine willkürliche ganze Zahl ist, erzeugt von der beglaubigenden Station (20CA); c) das Kontrollieren der beglaubigenden Station (20CA), um eine ganze Zahl l50 zu generieren und an die Benutzerstation (20U) zu senden, worin l50 = rCA + H(M)KeyCA;und worin M eine Meldung ist, veröffentlicht von der beglaubigenden Station (20CA) und H(M) eine ganze Zahl ist, abgeleitet aus der Meldung M im Einklang mit einem öffentlich bekannten Algorithmus H, und KeyCA ein privater Schlüssel der beglaubigenden Autorität CA ist; wodurch d) die Benutzerstation (20U) den privaten Schlüssel KeyDM, Key50 = r50 + l50 = r50 + rCA + H(M)KeyCA berechnen kann und den Schlüssel Key50 an die digitale Frankiermaschine (50) übertragen kann; wodurch e) die digitale Frankiermaschine (50) den Freistempel digital mit dem Schlüssel Key50 unterzeichnen kann; und wodurch f) die beglaubigende Partei den digitalen öffentlichen Frankiermaschinenschlüssel Key50·P als Key50·P = OMC50 + H(M)KeyCA·P = (rDM + rCA)·P + H(M)KeyCA·Paus der Kenntnis von H, M, [P], des öffentlichen Schlüssels KeyCA·P und CERTDM berechnen kann.
DE60031470T 1999-03-30 2000-03-30 Verfahren zur Zertifikation von öffentlichen Schlüsseln, die zum Signieren von Postwertzeichen verwendet werden und derart signierte Postzeichen Expired - Lifetime DE60031470T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US280528 1999-03-30
US09/280,528 US6847951B1 (en) 1999-03-30 1999-03-30 Method for certifying public keys used to sign postal indicia and indicia so signed

Publications (2)

Publication Number Publication Date
DE60031470D1 DE60031470D1 (de) 2006-12-07
DE60031470T2 true DE60031470T2 (de) 2007-08-23

Family

ID=23073469

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60031470T Expired - Lifetime DE60031470T2 (de) 1999-03-30 2000-03-30 Verfahren zur Zertifikation von öffentlichen Schlüsseln, die zum Signieren von Postwertzeichen verwendet werden und derart signierte Postzeichen

Country Status (5)

Country Link
US (1) US6847951B1 (de)
EP (2) EP1755272A3 (de)
AU (1) AU768934B2 (de)
CA (1) CA2303542C (de)
DE (1) DE60031470T2 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10020566C2 (de) * 2000-04-27 2002-11-14 Deutsche Post Ag Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken
DE10131254A1 (de) * 2001-07-01 2003-01-23 Deutsche Post Ag Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
DE102007052458A1 (de) * 2007-11-02 2009-05-07 Francotyp-Postalia Gmbh Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
WO2012126085A1 (en) * 2011-03-18 2012-09-27 Certicom Corp. Keyed pv signatures
US9380048B2 (en) * 2012-10-15 2016-06-28 Saife, Inc. Certificate authority server protection

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4796193A (en) 1986-07-07 1989-01-03 Pitney Bowes Inc. Postage payment system where accounting for postage payment occurs at a time subsequent to the printing of the postage and employing a visual marking imprinted on the mailpiece to show that accounting has occurred
US4853961A (en) * 1987-12-18 1989-08-01 Pitney Bowes Inc. Reliable document authentication system
US5214702A (en) 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5351297A (en) * 1991-06-28 1994-09-27 Matsushita Electric Industrial Co., Ltd. Method of privacy communication using elliptic curves
US5272755A (en) * 1991-06-28 1993-12-21 Matsushita Electric Industrial Co., Ltd. Public key cryptosystem with an elliptic curve
US5271061A (en) * 1991-09-17 1993-12-14 Next Computer, Inc. Method and apparatus for public key exchange in a cryptographic system
US5442707A (en) 1992-09-28 1995-08-15 Matsushita Electric Industrial Co., Ltd. Method for generating and verifying electronic signatures and privacy communication using elliptic curves
US5497423A (en) 1993-06-18 1996-03-05 Matsushita Electric Industrial Co., Ltd. Method of implementing elliptic curve cryptosystems in digital signatures or verification and privacy communication
US5878136A (en) * 1993-10-08 1999-03-02 Pitney Bowes Inc. Encryption key control system for mail processing system having data center verification
US5420927B1 (en) 1994-02-01 1997-02-04 Silvio Micali Method for certifying public keys in a digital signature scheme
US5588061A (en) 1994-07-20 1996-12-24 Bell Atlantic Network Services, Inc. System and method for identity verification, forming joint signatures and session key agreement in an RSA public cryptosystem
US5737419A (en) 1994-11-09 1998-04-07 Bell Atlantic Network Services, Inc. Computer system for securing communications using split private key asymmetric cryptography
US5680456A (en) * 1995-03-31 1997-10-21 Pitney Bowes Inc. Method of manufacturing generic meters in a key management system
US5661803A (en) * 1995-03-31 1997-08-26 Pitney Bowes Inc. Method of token verification in a key management system
US5742682A (en) * 1995-03-31 1998-04-21 Pitney Bowes Inc. Method of manufacturing secure boxes in a key management system
NZ500372A (en) 1995-06-05 2001-04-27 Certco Inc Delegated use of electronic signature
US5796841A (en) * 1995-08-21 1998-08-18 Pitney Bowes Inc. Secure user certification for electronic commerce employing value metering system
US5604804A (en) 1996-04-23 1997-02-18 Micali; Silvio Method for certifying public keys in a digital signature scheme
US5610982A (en) 1996-05-15 1997-03-11 Micali; Silvio Compact certification with threshold signatures
CA2206937A1 (en) * 1996-06-06 1997-12-06 Pitney Bowes Inc. Secure apparatus and method for printing value with a value printer
GB9621274D0 (en) 1996-10-11 1996-11-27 Certicom Corp Signature protocol for mail delivery
JPH10133576A (ja) 1996-10-31 1998-05-22 Hitachi Ltd 公開鍵暗号方法および装置
US5805701A (en) * 1996-11-01 1998-09-08 Pitney Bowes Inc. Enhanced encryption control system for a mail processing system having data center verification
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
EP0925663A4 (de) * 1997-06-13 2008-03-12 Pitney Bowes Inc Verfahren zur zugangssteuerung in einer virtuellen frankiervorrichtung
EP1710951A3 (de) 1997-07-17 2006-10-25 Matsushita Electric Industrial Co., Ltd. Vorrichtung zur Berechnung einer elliptischen Kurve welche vielfache mit hoher Geschwindigkeit berechnen kann
US6424712B2 (en) 1997-10-17 2002-07-23 Certicom Corp. Accelerated signature verification on an elliptic curve
DE19748954A1 (de) * 1997-10-29 1999-05-06 Francotyp Postalia Gmbh Verfahren für eine digital druckende Frankiermaschine zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
DE19757652B4 (de) 1997-12-15 2005-03-17 Francotyp-Postalia Ag & Co. Kg Frankiermaschine mit einer Chipkarten-Schreib-/Leseeinheit
US6175827B1 (en) * 1998-03-31 2001-01-16 Pitney Bowes Inc. Robus digital token generation and verification system accommodating token verification where addressee information cannot be recreated automated mail processing
US6336188B2 (en) 1998-05-01 2002-01-01 Certicom Corp. Authenticated key agreement protocol
US6295359B1 (en) * 1998-05-21 2001-09-25 Pitney Bowes Inc. Method and apparatus for distributing keys to secure devices such as a postage meter
US6938023B1 (en) * 1998-12-24 2005-08-30 Pitney Bowes Inc. Method of limiting key usage in a postage metering system that produces cryptographically secured indicium
US6738899B1 (en) 1999-03-30 2004-05-18 Pitney Bowes Inc. Method for publishing certification information certified by a plurality of authorities and apparatus and portable data storage media used to practice said method
US6704867B1 (en) 1999-03-30 2004-03-09 Bitney Bowes, Inc. Method for publishing certification information representative of selectable subsets of rights and apparatus and portable data storage media used to practice said method

Also Published As

Publication number Publication date
EP1755272A3 (de) 2007-09-12
EP1043694A3 (de) 2004-04-07
CA2303542A1 (en) 2000-09-30
AU2418000A (en) 2000-10-05
CA2303542C (en) 2004-06-01
EP1043694B1 (de) 2006-10-25
EP1755272A2 (de) 2007-02-21
AU768934B2 (en) 2004-01-08
DE60031470D1 (de) 2006-12-07
EP1043694A2 (de) 2000-10-11
US6847951B1 (en) 2005-01-25

Similar Documents

Publication Publication Date Title
EP0944027B1 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
DE60023705T2 (de) Sichere verteilung und schutz einer schlüsselinformation
DE69634944T2 (de) Sichere Benutzerbeglaubigung für elektronischen Handel unter Verwendung eines Wertezählersystems
DE3841389C2 (de) Informationsübermittlungssystem zur zuverlässigen Bestimmung der Echtheit einer Vielzahl von Dokumenten
DE3841393C2 (de) Zuverlässiges System zur Feststellung der Dokumentenechtheit
US6295359B1 (en) Method and apparatus for distributing keys to secure devices such as a postage meter
DE60119857T2 (de) Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
DE10136608B4 (de) Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
CN105635049A (zh) 基于客户端标识密码的防伪税控方法和装置
EP1405274A1 (de) Verfahren zum überprüfen der gültigkeit von digitalen freimachungsvermerken
CH693320A5 (de) Verfahren zum Beglaubigen digitaler Informationen
EP1043696B1 (de) Verfahren zur Veröffentlichung von Zertifikationsinformationen, die eine wählbare Untereinheit von Rechten darstellen, sowie Vorrichtung und tragbares Speichermedium zur Durchführung des Verfahrens
DE60031470T2 (de) Verfahren zur Zertifikation von öffentlichen Schlüsseln, die zum Signieren von Postwertzeichen verwendet werden und derart signierte Postzeichen
EP3422274A1 (de) Verfahren zur konfiguration oder änderung einer konfiguration eines bezahlterminals und/oder zur zuordnung eines bezahlterminals zu einem betreiber
DE10056599C2 (de) Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken
EP3465513B1 (de) Nutzerauthentifizierung mittels eines id-tokens
DE60015907T2 (de) Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet
DE10305730A1 (de) Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken und Vorrichtung zur Durchführung des Verfahrens
DE10020904A1 (de) Verfahren zur sicheren Distribution von Sicherheitsmodulen
EP1246135A2 (de) Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Messwert
US8676715B2 (en) System and method for authenticating indicia using identity-based signature scheme
EP2439902A2 (de) Verfahren und Anordnung zum rechtsverbindlichen Senden und Empfangen von vertraulichen elektronischen Mitteilungen
EP1222512B1 (de) Sicherungsmodul und verfahren zur erstellung fälschungssicherer dokumente
WO2022002502A1 (de) Anonymisiertes bereitstellen eines dienstes

Legal Events

Date Code Title Description
8364 No opposition during term of opposition