-
Hintergrund der Erfindung
-
1. Gebiet der Erfindung
-
Die
vorliegende Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung
für die
Generierung einer integrierten digitalen Signatur aus verteilten
digitalen Signaturen, sowie auf ein Verfahren und eine Vorrichtung
für die
Generierung eines digitalen Dokuments mit einer digitalen Signatur,
die in einem Service zur Generierung einer digitalen Signatur für ein digitales
Dokument verwendet werden, in dem sichergestellt wird, dass die
digitale Signatur nicht gefälscht
ist, d.h., es wird sichergestellt, dass die digitale Signatur nicht
mit anderen Mitteln erstellt wurde.
-
Im
Besonderen bezieht sich die Erfindung auf ein Verfahren und eine
Vorrichtung für
die Generierung einer integrierten digitalen Signatur aus verteilten
digitalen Signaturen und auf ein Verfahren und eine Vorrichtung
für die
Generierung eines digitalen Dokuments mit einer digitalen Signatur,
wobei eine korrekte integrierte digitale Signatur aus digitalen
Teilsignaturen generiert werden kann, selbst dann, wenn eine vorab
festgelegte Anzahl von Generierungssystemen für digitale Teilsignaturen inkorrekt
arbeiten.
-
Darüber hinaus
bezieht sich die vorliegende Erfindung auf ein Verfahren und eine
Vorrichtung für
die Generierung einer integrierten digitalen Signatur aus verteilten
digitalen Signaturen und auf ein Verfahren und eine Vorrichtung
für die
Generierung eines digitalen Dokuments mit einer digitalen Signatur,
um das Risiko des Diebstahls des geheimen Schlüssels in den zentralen digitalen
Signatursystemen zu vermeiden.
-
Darüber hinaus
bezieht sich die vorliegende Erfindung auf ein Verfahren und eine
Vorrichtung für
die Generierung einer integrierten digitalen Signatur aus verteilten
digitalen Signaturen und auf ein Verfahren und eine Vorrichtung
für die
Generierung eines digitalen Dokuments mit einer digitalen Signatur
zur Verhinderung der Schwachstellen in der Robustheit gegenüber Angriffen
auf die Sicherheit und der Fehlertoleranz eines herkömmlichen
Generierungssystems digitaler Signaturen, in dem jede verteilte
digitale Teilsignatur korrekt arbeitet, um eine integrierte digitale
Signatur zu generieren.
-
2. Beschreibung der verwandten
Technik
-
Die
meisten der herkömmlichen
Generierungssysteme für
verteilte digitale Signaturen auf der Basis des Public-Key-Verschlüsselungssystemes
verwenden eine vertrauenswürdige
Instanz bei der Generierung eines Signaturschlüssels für die digitale Teilsignatur.
In diesem Fall besteht die Möglichkeit,
dass durch diese Instanz Informationen über den Signaturschlüssel bekannt
werden. Das heißt,
dass ein herkömmliches
Generierungssystem für
verteilte digitale Signaturen eine Schwachstelle insofern aufweist,
als dass die Sicherheit des Systems bedroht ist, wenn eine geheime
Information durch eine Stelle im System bekannt wird. Anders ausgedrückt, weist
das System eine Schwachstelle dergestalt auf, dass es einen einzigen
Vergleichspunkt gibt.
-
In
einem Generierungssystem für
verteilte digitale Signaturen, in dem eine digitale Signatur nur
dann aus digitalen Teilsignaturen generiert werden kann, wenn jedes
verteilte Signatursystem die korrekte digitale Teilsignatur generiert,
besteht eine Schwachstelle in der Robustheit gegenüber Angriffen
auf die Sicherheit und der Fehlertoleranz darin, dass die digitale
Signatur nicht generiert werden kann, wenn mindestens ein verteiltes Signatursystem
in der Vielzahl der verteilten Signatursysteme nicht korrekt arbeitet.
-
Ein
herkömmliches
Generierungssystem für
verteilte Signaturen, das die Schwachstelle bei der Preisgabe geheimer
Informationen und die Schwachstelle in der Robustheit gegenüber Angriffen
auf die Sicherheit und der Fehlertoleranz zu vermeiden versucht,
wird offen gelegt in T. Wu et al.: "Building intrusion tolerant applications", in Proceedings
of 8th UNENIX Security Symposium, USENIX, 1999. (Dies wird als erstes
herkömmliches
Verfahren bezeichnet.) In diesem System werden von jedem der Generierungssysteme
für digitale Teilsignaturen
Teilsignaturschlüssel
generiert, die durch eine verteilte Verarbeitung ohne Verwendung
der vertrauenswürdigen
Instanz verteilt werden, und die Teilinformationen über den
Teilsignaturschlüssel
werden untereinander ausgetauscht. Dann kann die verteilte digitale
Signatur generiert werden, wenn eine vorab festgelegte Anzahl der
Generierungssysteme für
digitale Teilsignaturen, die als Grenzwert bezeichnet wird, in der
Gesamtheit der Generierungssystemen für digitale Teilsignaturen korrekt
arbeitet.
-
Darüber hinaus
wurde in S. Miyazaki, K. Sakurai, M. Yung "On threshold RSA-signing with no dealer" in Proceedings of
ICISC'99, S. 197–207, Springer,
1999, ein Verfahren vorgeschlagen, das das Anwachsen der Schlüsselinformationen
verhindert. (Dies wird als zweites herkömmliches Verfahren bezeichnet.)
-
Darüber hinaus
wurde ein Verfahren für
die Generierung einer integrierten digitalen Signatur durch die Kombination
des Grenzwerts der digitalen Teilsignaturen mit Hilfe der vertrauenswürdigen Instanz
und zur Behebung des Problems, dass die Schlüsselinformationen anwachsen,
offen gelegt in V. Shoup "Practical
threshold signatures",
in Proceedings of Eurocrypto 2000". (Dies wird als drittes herkömmliches
Verfahren bezeichnet.)
-
Darüber hinaus
wird in der japanischen Patentanmeldung Nr. 8-351565 "Key management system
having hierarchy, encryption system and distributed digital signature
system" ein System
für verteilte
digitale Signaturen, das die Grenzwert-Verteilung von geheimen Schlüsseln mit
einer hierarchischen Struktur verwendet, offen gelegt. (Dies wird
als viertes herkömmliches
Verfahren bezeichnet.) Das Verfahren der Grenzwert-Verteilung geheimer
Schlüssel
basiert auf A. Shamir "How
to share a secret",
in Communications of ACM, Vol. 22, S. 612–613, 1979, in dem der ursprüngliche
geheime Schlüssel
ein Mal mit Hilfe einer polynominalen Interpolationsgleichung für die Generierung
der digitalen Signatur durch die verteilte Verarbeitung berechnet
wird.
-
Darüber hinaus
gibt es die japanische Patentanmeldung Nr.11-247994 "Distributed type
timestamp certification apparatus and method and recording medium
recording distributed timestamp certification program", die als Service
der Bereitstellung eines Zeitstempels für ein digitales Dokument mit
Hilfe von verteilten Verarbeitungssystemen basierend auf dem Public
Key-Verschlüsselungssystem
fungiert. (Dies wird als fünftes herkömmliches
Verfahren bezeichnet). Die Funktion des in diesem Dokument vorgeschlagenen
Systems kann mit Hilfe der Zeit als Zusatzinformation verwirklicht
werden, die einem digitalen Eingabedokument hinzugefügt wird.
Diese verteilt ausgelegte Vorrichtung mit Zeitzertifizierung verfügt über eine
Funktion, dass jede verteilte Zeitstempelvergabeautorität einer
Vielzahl von verteilten Zeitstempelvergabeautoritäten den
korrekten Teilzeitstempel generieren muss, um einen integrierten
Zeitstempel zu erhalten, sowie eine Funktion, dass das korrekte
mit einem Zeitstempel versehene Zertifikat nicht ausgegeben werden
kann, wenn ein Teil der verteilten Zeitstempelvergabeautoritäten inkorrekt
ist. Auf diese Weise wird ein Mittel zur Verhinderung von Fälschungen von
Zertifikaten mit Zeitstempel durch einen Teil der verteilten Zeitstempelvergabeautoritäten bereitgestellt.
-
Gemäß dem oben
aufgeführten
ersten herkömmlichen
Verfahren ist es aber erforderlich, dass jedes System zur Generierung
einer digitalen Teilsignatur einen anderen Teilsignaturschlüssel vorbereitet,
je nachdem welche Gruppe unter den Gruppen, die alle den Grenzwert
der Generierungssysteme für
die digitale Teilsignatur enthalten, die integrierte digitale Signatur
generiert. Dies führt
daher zu dem Problem, dass die Schlüsselinformationen zunehmen.
-
Wenn
darüber
hinaus eine Gruppe versucht, eine digitale Signatur zu generieren,
aber diese nicht generieren kann, da ein Teil der digitalen Teilsignatursysteme
in der Gruppe nicht korrekt funktioniert, muss die Signatur von
einer anderen Gruppe generiert werden. Dies führt daher zu dem anderen Problem,
dass sich die zeitliche Komplexität der Generierung digitaler
Teilsignaturen durch die Systeme für die Generierung digitaler Teilsignaturen
und die Kommunikation zwischen einem System für die Generierung einer integrierten
digitalen Signatur und den Systemen für die Generierung digitaler
Teilsignaturen erhöht.
-
Bei
dem zweiten herkömmlichen
Verfahren ist es möglich,
bei den zwei Problemen des ersten herkömmlichen Verfahrens das Problem
zu lösen,
dass sich die Schlüsselinformationen
erhöhen.
Das zweite Problem jedoch, dass sich die zeitliche Komplexität der Generierung
digitaler Teilsignaturen durch die Systeme für die Generierung digitaler
Teilsignaturen und die Kommunikation zwischen einem System für die Generierung einer
integrierten digitalen Signatur und den Systemen für die Generierung
digitaler Teilsignaturen erhöht, wenn
eine Gruppe die Signatur nicht generieren kann, bleibt ungelöst. Darüber hinaus
erhöht
sich die zeitliche Komplexität
der Generierung digitaler Signaturen aus den digitalen Teilsignaturen,
wenn sich die Anzahl der Systeme für die Generierung digitaler
Teilsignaturen erhöht,
so dass dies zu dem Problem führt,
dass der Gesamtprozess der Signaturgenerierung umfangreicher wird.
Darüber
hinaus ist die zeitliche Komplexität für die Überprüfung der Gültigkeit der digitalen Teilsignaturen
sehr hoch. Es besteht daher das Problem, dass die zeitliche Komplexität zur Sicherstellung,
dass nur korrekte Teilsignaturschlüssel zur Generierung einer
integrierten digitalen Signatur kombiniert werden, hoch ist.
-
Das
dritte herkömmliche
Verfahren ist ein Verfahren für
die Generierung der integrierten digitalen Signatur durch die Kombination
des Grenzwerts der digitalen Teilsignaturen, mit dem das Problem
der Zunahme der Schlüsselinformationen
gelöst
werden kann. Gemäß diesem
Verfahren erhöht
sich aber die zeitliche Komplexität der Generierung einer digitalen
Signatur aus den digitalen Teilsignaturen, wenn sich die Anzahl
der Systeme für
die Generierung digitaler Teilsignaturen erhöht, so dass dies zu dem Problem
führt,
dass der Gesamtprozess der Generierung der Signatur umfangreicher
wird. Es besteht darüber
hinaus das Problem, dass die zeitliche Komplexität zur Sicherstellung, dass
nur korrekte Teilsignaturschlüssel
zur Generierung der integrierten digitalen Signatur kombiniert werden,
hoch ist.
-
Da
beim vierten herkömmlichen
Verfahren der ursprüngliche
geheime Schlüssel
durch eine polynominale Interpolationsgleichung einmal berechnet
wird, kann das System, das diese Berechnung ausführt, die Informationen des
geheimen Schlüssels
kennen. Es besteht daher die Schwachstelle, dass ein einzelner Vergleichspunkt
besteht. Darüber
hinaus legt dieses Dokument kein Verfahren offen, in dem, wenn eine
vorab festgelegte Anzahl an Systemen mit geheimen Teilinformationen
versucht, eine digitale Signatur zu generieren, und wenn ein Teil
der Systeme mit Teilinformationen nicht korrekt arbeitet, wird bestimmt,
welches System mit Teilinformationen nicht korrekt arbeitet, und
eine digitale Signatur wird auf effiziente Weise generiert, indem nur
korrekte Systeme verwendet und die inkorrekten Systeme entfernt
werden.
-
Wie
bei der verteilt ausgelegten Vorrichtung mit Zeitstempelzertifizierung
des fünften
herkömmlichen Verfahrens
besteht eine Schwachstelle in der Robustheit gegenüber Angriffen
auf die Sicherheit und der Fehlertoleranz, da ein Zertifikat mit
einem Zeitstempel nicht generiert werden kann, wenn mindestens eine
verteilte Zeitstempelvergabeautorität inkorrekt arbeitet.
-
Ein
bekanntes Verfahren und eine Vorrichtung für die Generierung einer digitalen
Signatur aus verteilten digitalen Teilsignaturen wird offen gelegt
in Darpa Information Survivability Conference And Exposition, 2000.
Discex'00. Proceedings
Hilton Head, Sc, USA 25–27
Jan. 2000, Las Alamitos, Ca, USA, ieee Comput. Soc, US (25-01-2000),
74–87.
Hier wird ein verteiltes System offen gelegt, in dem die Funktion
eines einzigen Web-Server-Verschlüsselungsschlüssels unter
vielen einzelnen, gemeinsam genutzten Servern verteilt wird, von
denen jeder nur einen Teil des Verschlüsselungsschlüssels enthält. Jeder
der vielen gemeinsam genutzten Server generiert eine digitale Teilsignatur
mit dem entsprechenden Teil des Verschlüsselungsschlüssels. Jeder der
vielen gemeinsam genutzten Server gibt eine entsprechende digitale
Teilsignatur aus, und eine vorab festgelegte Anzahl an digitalen
Teilsignaturen wird kombiniert, um eine vollständige integrierte digitale
Signatur zu bilden. Die vorab festgelegte Anzahl der digitalen Teilsignaturen,
die für
die Bildung der integrierten digitalen Signatur erforderlich ist,
ist kleiner als die Anzahl der vielen gemeinsam genutzten Server.
Als Ergebnis der Verteilung der Teile des Verschlüsselungsschlüssel auf
die vielen einzelnen gemeinsam genutzten Server kann ein Angreifer,
der den Zugriff auf einen oder einige der gemeinsam genutzten Server
erhält,
die Verschlüsselungsschlüssel nicht
erhalten.
-
Ein
weiteres bekanntes Verfahren und eine Vorrichtung für das Generieren
einer integrierten digitalen Signatur aus verteilten digitalen Signaturen
wird in EP-A-0998074 offen gelegt. Dies legt ein Verfahren und eine
Vorrichtung für
die Generierung einer digitalen Signatur mit einem Verschlüsselungsschlüssel offen,
der auf viele Rechner verteilt wird, die als viele Generierungsteile
für digitale
Teilsignaturen fungieren. Jeder Generierungsteil einer digitalen
Teilsignatur generiert einen Verschlüsselungsteilschlüssel durch
die Kommunikation mit den anderen Generierungsteilen der digitalen
Teilsignaturen ohne eine vertrauenswürdige Instanz und generiert
dann eine digitale Teilsignatur mit Hilfe des Teilsignaturschlüssels. Alle
digitalen Teilsignaturen, die von den vielen Rechnern generiert
werden, werden dann kombiniert, um eine integrierte digitale Signatur
zu generieren.
-
Übersicht über die
Erfindung
-
Der
erste Gegenstand der vorliegenden Erfindung ist die Bereitstellung
eines Verfahrens und einer Vorrichtung für die Generierung einer verteilten
digitalen Signatur, eines Verfahrens und einer Vorrichtung für die Generierung
eines digital signierten digitalen Dokuments, eines Programms für die Generierung
einer verteilten digitalen Signatur und eines Speichermediums, das
ein Programm für
die Generierung einer verteilten digitalen Signatur speichert, um
damit das oben dargelegte Problem eines einzigen Vergleichspunktes
zu lösen
sowie die Schwachstelle in der Robustheit gegenüber Angriffen auf die Sicherheit
und der Fehlertoleranz zu beheben, bei der die digitale Signatur
nicht generiert werden kann, selbst wenn nur ein digitales Teilsignatursystem
inkorrekt arbeitet.
-
Ein
zweiter Gegenstand der vorliegenden Erfindung ist die Bereitstellung
eines Verfahrens und einer Vorrichtung für die Generierung einer verteilten
digitalen Signatur, eines Verfahrens und einer Vorrichtung für die Generierung
eines digital signierten digitalen Dokuments, eines Programms für die Generierung
einer verteilten digitalen Signatur und eines Speichermediums, das
ein Programm für
die Generierung einer verteilten digitalen Signatur speichert, um
das oben erwähnte
Problem zu beheben, dass sich die zeitliche Komplexität bei der
Generierung der digitalen Teilsignaturen durch die Systeme für die Generierung
digitaler Teilsignaturen erhöht
sowie die Kommunikation zwischen einem System für die Generierung einer integrierten
digitalen Signatur und den Systemen für die Generierung digitaler
Teilsignaturen zunimmt, wenn eine Gruppe, die den Grenzwert der
digitalen Teilsignatursysteme enthält, versucht, eine digitale
Signatur zu generieren, dies aber nicht gelingt.
-
Ein
dritter Gegenstand der vorliegenden Erfindung ist die Bereitstellung
eines Verfahrens und einer Vorrichtung für die Generierung einer verteilten
digitalen Signatur, eines Verfahrens und einer Vorrichtung für die Generierung
eines digital signierten digitalen Dokuments, eines Programms für die Generierung
einer verteilten digitalen Signatur und eines Speichermediums, das
ein Programm für
die Generierung einer verteilten digitalen Signatur speichert, um
das Problem zu lösen,
dass die zeitliche Komplexität
für die
Generierung der digitalen Signatur aus den digitalen Teilsignaturen
hoch ist.
-
Ein
vierter Gegenstand der vorliegenden Erfindung ist die Bereitstellung
eines Verfahrens und einer Vorrichtung zur Generierung einer verteilten
digitalen Signatur, eines Verfahrens und einer Vorrichtung für die Generierung
eines digital signierten digitalen Dokuments, eines Programms für die Generierung
einer verteilten digitalen Signatur und eines Speichermediums, das
ein Programm für
die Generierung einer verteilten digitalen Signatur speichert, um
das Problem zu lösen,
dass die zeitliche Komplexität
zur Sicherstellung, dass nur korrekte digitale Teilsignaturschlüssel für die Generierung
einer integrierten digitalen Signatur verwendet werden, hoch ist.
-
Der
obige Gegenstand kann durch ein Verfahren für die Generierung einer verteilten
digitalen Signatur zur Generierung einer digitalen Signatur für ein digitales
Dokument (M) erreicht werden, wobei eine Vielzahl an Generierungsteilen
für digitale
Teilsignaturen verwendet werden und das Verfahren zur Generierung
einer verteilten digitalen Signatur Folgendes umfasst:
einen
Schritt für
die Generierung einer digitalen Teilsignatur, in dem jeder der Generierungsteile
der digitalen Teilsignaturen einen Teilsignaturschlüssel durch
Kommunikation untereinander ohne eine vertrauenswürdige Instanz
generiert, wobei eine digitale Teilsignatur unter Verwendung des
Teilsignaturschlüssels
für einen Hash-Wert
(H(M)) eines digitalen Eingabedokuments (M) generiert wird und die
digitale Teilsignatur oder ein Paar aus digitalem Dokument und digitaler
Teilsignatur ausgegeben wird;
einen Schritt für die Auswahl
einer Zahlenmenge für
digitale Teilsignaturen, indem jeder der digitalen Teilsignaturen
eine Zahl zwischen 1 bis m zugewiesen wird, wobei m die Anzahl der
digitalen Teilsignaturen ist, und eine Zahlenmenge I(i) mit den
Zahlen ((i – 1)
mod m) + 1, ((i – 1
+ 1) mod m) + 1, ... ((i – 1
+ (k – 1))
mod m) + 1 für
jedes i = 1, ..., m ausgewählt
wird, wobei k ein Grenzwert ist, der für die Generierung einer integrierten digitalen
Signatur erforderlich ist;
einen Schritt für die Generierung einer integrierten
digitalen Signatur durch Kombination der digitalen Teilsignaturen
S(i(1), M), ... S(i(k), M) für
die Generierung der integrierten digitalen Signatur S(I (i), M)
für alle
i = 1, ..., m, wobei S(i, M) eine digitale Teilsignatur angibt,
der i zugewiesen ist und in der die Elemente der Zahlenmenge I(i)
die Elemente i(1), ..., i(k) sind,
wobei der Schritt für die Generierung
der integrierten digitalen Signatur enthält:
einen Schritt zur Überprüfung der
Signatur, um einen Signaturüberprüfungsprozess
für die
integrierte digitale Signatur S(I (i), M) für alle i = 1, ..., m durchzuführen und
zu bestimmen, ob die integrierte digitale Signatur S(I (i), M) eine
korrekte digitale Signatur für
H(M) ist;
einen Schritt zur Bestimmung der Existenz einer inkorrekten
digitalen Teilsignatur, um zu bestimmen, dass keine inkorrekte digitale
Teilsignatur in den digitalen Teilsignaturen S(i, M) (i = 1, ...,
m) vorliegt, wenn S(I(i), M) als korrekte digitale Signatur für H(M) für alle i
= 1, ..., m bestimmt wird, und um zu bestimmen, dass mindestens
eine inkorrekte digitale Signatur existiert, wenn mindestens ein
S(I(i), M) (i = 1, ..., m) als inkorrekt bestimmt wird;
ein
Schritt zur Angabe einer inkorrekten digitalen Teilsignatur, der
ausgeführt
wird, wenn bestimmt wird, dass mindestens eine inkorrekte digitale
Teilsignatur existiert, um zu bestimmen, ob eine Menge F von i =
1, ..., m mit einer Menge F(j) (j ist ein Element aus 1, ..., m) übereinstimmt,
wobei die Menge F als Menge von i = 1, ..., m dergestalt definiert
ist, dass S(I(i), M) für
H(M) inkorrekt ist, und wobei die Menge F(j) die Menge von i = 1, ...,
m ist, durch die die Zahlenmenge I(i) j enthält, und um zu bestimmen, dass
die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist,
wenn es nur ein j gibt, in dem F mit der Menge F(j) übereinstimmt,
und um zu bestimmen, falls dies nicht der Fall ist, dass die Anzahl
der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist,
und weiterhin, wenn bestimmt wird, dass die Anzahl der inkorrekten
digitalen Teilsignaturen nur eins ist, das eine j zu bestimmen,
in dem F mit F(j) übereinstimmt,
um so anzugeben, dass die eine inkorrekte digitale Teilsignatur
S(j, M) ist; und
das Verfahren für die Generierung einer verteilten
digitalen Signatur weiterhin einen Ergebnisausgabeschritt umfasst:
wenn
bestimmt wird, dass keine inkorrekte digitale Teilsignatur existiert,
wird ein Bestimmungsergebnis ausgegeben, das angibt, dass keine
inkorrekte digitale Teilsignatur existiert und die integrierte digitale
Signatur im Signaturüberprüfungsschritt
als korrekt bestimmt wird;
wenn bestimmt wird, dass nur eine
inkorrekte digitale Teilsignatur existiert, wird ein Bestimmungsergebnis
ausgegeben, das angibt, dass nur eine inkorrekte digitale Teilsignatur
existiert, sowie die Informationen zur Identifizierung der einen
inkorrekten digitalen Teilsignatur und die integrierte digitale
Signatur, die im Signaturüberprüfungsschritt
als korrekt bestimmt wurde;
wenn bestimmt wird, dass die Anzahl
der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist,
wird ein Bestimmungsergebnis ausgegeben, das angibt, dass die Anzahl
der inkorrekten digitalen Teilsignaturen gleich oder größer 2 ist.
-
Darüber hinaus
können
die obigen Gegenstände
auch durch eine Vorrichtung, ein Programm oder ein von einem Rechner
lesbares Medium verwirklicht werden, das ein Programm speichert,
das für
die Ausführung des
Verfahrens gemäß den Ansprüchen 3,
5, und 6 angepasst ist.
-
Kurzbeschreibung
der Zeichnungen
-
Weitere
Gegenstände,
Funktionen und Vorteile der vorliegenden Erfindung werden durch
die Lektüre der
folgenden detaillierten Beschreibung in Verbindung mit den begleitenden
Zeichnungen deutlich, wobei:
-
1 eine
Erklärung
des Prinzips der vorliegenden Erfindung darstellt;
-
2 ein
Blockdiagramm einer Vorrichtung für die Generierung einer verteilten
digitalen Signatur (erstes Beispiel) darstellt, wobei ein Grenzwert
der Teilsignaturen verwendet wird;
-
3 ein
Blockdiagramm einer Vorrichtung für die Generierung einer verteilten
digitalen Signatur (zweites Beispiel) darstellt, wobei ein Grenzwert
der Teilsignaturen verwendet wird;
-
4 ein
Blockdiagramm einer Vorrichtung für die Generierung einer verteilten
digitalen Signatur (drittes Beispiel) darstellt, wobei ein Grenzwert
der Teilsignaturen verwendet wird;
-
5 ein
Ablaufdiagramm der Vorgehensweise für die Berechnung der Transformationszahl
für die digitalen
Teilsignaturen darstellt, die die zeitliche Komplexität gemäß einem
Beispiel der vorliegenden Erfindung minimiert;
-
6 die
Erklärung
eines Verfahrens zur Ermittlung einer inkorrekten digitalen Teilsignatur
durch die Verwendung von Kombinationen von digitalen Teilsignaturen
gemäß einem
Beispiel der vorliegenden Erfindung darstellt;
-
7 ein
Flussdiagramm einer Vorgehensweise zur Beurteilung der Existenz
einer inkorrekten digitalen Teilsignatur durch die Verwendung von
Kombinationen von digitalen Teilsignaturen gemäß einem Beispiel der vorliegenden
Erfindung darstellt;
-
8 ein
Flussdiagramm einer Vorgehensweise zur Beurteilung darstellt, ob
die Anzahl der inkorrekten digitalen Teilsignaturen nur eins ist,
und um die inkorrekte digitale Teilsignatur zu bestimmen;
-
9 ist
ein Blockdiagramm mit einer Vorrichtung für die Generierung eines digital
signierten digitalen Dokuments, wobei eine Kombination des Grenzwerts
der Teilsignaturen (erstes Beispiel) gemäß eines Beispiels der vorliegenden
Erfindung verwendet wird;
-
10 ist
ein Blockdiagramm mit einer Vorrichtung für die Generierung eines digital
signierten digitalen Dokuments, das eine Kombination des Grenzwerts
der Teilsignaturen (zweites Beispiel) gemäß eines Beispiels der vorliegenden
Erfindung verwendet;
-
11 ist
ein Blockdiagramm mit einer Vorrichtung für die Generierung eines digital
signierten digitalen Dokuments, das eine Kombination des Grenzwerts
der Teilsignaturen (drittes Beispiel) gemäß eines Beispiels der vorliegenden
Erfindung verwendet;
-
12 ist
eine Tabelle, die die Abnahme der zeitlichen Komplexität durch
die Optimierung zeigt, wenn die integrierte digitale Signatur aus
den digitalen Teilsignaturen generiert wird; und
-
13 und 14 sind
Tabellen, die die Abnahme der zeitlichen Komplexität für die Überprüfung von Teilsignaturen
zeigen.
-
Detaillierte Beschreibung
der bevorzugten Ausführungsfformen
-
1 zeigt
das Prinzip der vorliegenden Erfindung. Gemäß dem Verfahren für die Generierung
einer verteilten digitalen Signatur der vorliegenden Erfindung generieren
in Schritt 1 alle Generierungsteile für digitale Teilsignaturen einen
Teilsignaturschlüssel
durch die Kommunikation untereinander, ohne die Verwendung einer
vertrauenswürdigen
Instanz. Dann generiert in Schritt 2 jeder der Generierungsteile
für digitale
Teilsignaturen eine digitale Teilsignatur unter Verwendung des Teilsignaturschlüssels für den Hash-Wert
eines digitalen Eingabedokuments. In Schritt 3 gibt jeder der Generierungsteile
für digitale
Teilsignaturen die digitale Teilsignatur oder ein Paar aus digitalem
Dokument und digitaler Teilsignatur aus. Danach wird eine vorab
festgelegte Anzahl von digitalen Teilsignaturen, die von den digitalen
Teilsignaturteilen generiert wurden, kombiniert, wobei die vorab
festgelegte Anzahl den Grenzwert bildet, und ein Transformationsprozess
wird für
jede der vorab festgelegten Anzahl an digitalen Teilsignaturen gemäß der vorab
festgelegten Anzahl der zu kombinierenden digitalen Teilsignaturen
durchgeführt.
Eine integrierte digitale Signatur wird in Schritt 4 aus dem Ergebnis
des Transformationsprozesses generiert.
-
In
der vorliegenden Erfindung werden drei Vorrichtungen für die Generierung
einer mit einem Grenzwert verteilten digitalen Signatur vorgeschlagen
und in 2–4 dargestellt.
-
2 zeigt
ein Blockdiagramm der Vorrichtung für die Generierung der mit einem
Grenzwert verteilten digitalen Signatur (erstes Beispiel).
-
Wie
in der Abbildung dargestellt, enthält die Vorrichtung 1 für die Generierung
der verteilten digitalen Signatur eine bestimmte Anzahl an Generierungsteilen
für digitale
Teilsignaturen 13 und einen Generierungsteil für eine integrierte
digitale Signatur 14.
-
Die
Generierungsteile für
digitale Teilsignaturen 13 generieren unabhängig von
einander digitale Teilsignaturen S1(M),
..., Sr(M) für ein digitales Eingabedokument
M.
-
Der
Generierungsteil für
eine integrierte digitale Signatur 14 empfängt m digitale
Teilsignaturen Sr(1)(M), ..., Sr(m)(M),
(k ≤ m ≤ r und 1 ≤ r(1), ...,
r(m) ≤ r),
die von der Vielzahl der Generierungsteile für digitale Teilsignaturen 13 auf
unabhängige
Weise generiert werden, und das digitale Dokument M. Dann generiert
der Generierungsteil für
eine integrierte digitale Signatur 14 eine oder mehrere
integrierte digitale Signaturen S(M, I1),
..., S(M, Is) aus den ausgegebenen digitalen
Teilsignaturen für
s Mengen I1, ..., Is,
wobei jede aus Identifikationskennungen von k Generierungsteilen
für digitale
Teilsignaturen 13 besteht, wobei s größer oder gleich 1 und k der
vorab festgelegte Grenzwert ist.
-
3 zeigt
ein Blockdiagramm der Vorrichtung für die Generierung der mit einem
Grenzwert verteilten digitalen Signatur der vorliegenden Erfindung
(zweites Beispiel).
-
Die
Gestaltung der Vorrichtung für
die Generierung der digitalen Signatur 1 in 3 ist dieselbe
wie die in 2 dargestellte. Die Generierungsteile
für digitale
Teilsignaturen 13 generieren von einander unabhängig Paare
aus digitalem Dokument und der digitalen Teilsignatur (M, S1(M), ..., (M, Sr(M))
für das
digitale Eingabedokument M.
-
Der
Generierungsteil für
eine integrierte digitale Signatur 14 empfängt m Paare
(M, Sr(1)(M)), ..., (M, Sr(m)(M))
des digitalen Dokuments M und der digitalen Teilsignaturen, die
durch die Generierungsteile für
digitale Teilsignaturen 13 in unabhängiger Weise generiert werden,
(M, Sr(1)(M)), ..., (M, Sr(m)(M)),
(k ≤ m ≤ r und 1 ≤ r(1), ...,
r(m) ≤ r).
Dann generiert der Generierungsteil für eine integrierte digitale
Signatur 14 eine oder mehrere integrierte digitale Signaturen
S(M, I1 ..., S(M, Is)
aus den ausgegebenen digitalen Teilsignaturen für s Mengen I1,
..., Is, wobei jede aus den Identifikationskennungen
von k Generierungsteilen für
digitale Teilsignaturen 13 besteht, wobei s größer oder
gleich 1 und k der vorab festgelegte Grenzwert ist.
-
4 zeigt
ein Blockdiagramm der Vorrichtung für die Generierung der mit einem
Grenzwert verteilten digitalen Signatur der vorliegenden Erfindung
(drittes Beispiel). Wie in der Abbildung dargestellt, enthält die Vorrichtung
für die
Generierung der verteilten digitalen Signatur 1 eine bestimmte Anzahl
an Kombinationsteilen von Zusatzinformationen 12, eine
bestimmte Anzahl an Generierungsteilen für digitale Teilsignaturen 13 und
einen Generierungsteil für
eine integrierte digitale Signatur 14.
-
Jeder
der Kombinationsteile von Zusatzinformationen 12 (die Kombinationsteile
von Zusatzinformationen 12.i) generiert in unabhängiger Weise ν(i) Elemente
von Zusatzinformationen α(i,
1), ..., α(i, ν(i)) für das digitale
Eingabedokument M, wobei ν(i)
eine Zahl größer oder
gleich 1 ist, und es werden digitale Dokumente mit den Zusatzinformationen
M || α(i,
1), ..., M || α(i, ν (i)) generiert,
die durch die Kombination der Zusatzinformationen α(i, 1), ..., α(i, ν(i)) und
dem digitalen Dokument M generiert werden. Die Generierungsteile
für digitale
Teilsignaturen 13i (1 ≤ i ≤ r) entsprechen
jeweils den Kombinationsteilen von Zusatzinformationen 12.1, ..., 12.r.
Jedes der Generierungsteile einer digitalen Signatur (der Generierungsteil
der digitalen Signatur 13.i) generiert Paare aus dem digitalen
Dokument mit den Zusatzinformationen und der digitalen Teilsignatur
(M || α(i,
1), Si(M || α(i, 1))), ..., (M || α(i, ν(i)), Si(M || α(i, ν(i)))) für das digitale
Dokument mit Zusatzinformationen, die von dem entsprechenden Kombinationsteil
von Zusatzinformationen 12.i generiert wurden.
-
Der
Generierungsteil der integrierten digitalen Signatur 14 wählt m Paare
des digitalen Dokuments mit Zusatzinformationen M || α(i, h(i))
und der digitalen Teilsignatur (M', Sr(1)(M')), ..., (M', Sr(m),
(M')) aus, wobei
k ≤ m ≤ r und 1 ≤ r(1), ...,
r(m) ≤ r
und M' ∊ {M
|| α(r(i),
1), ..., M || α(r(i), ν(i))} (1 ≤ i ≤ m) gelten.
Darüber
hinaus wählt
der Generierungsteil der integrierten digitalen Signatur 14 s
Mengen I1, ..., Is ⊆ {r(1),
..., r(m)} aus, von denen jede aus Identifikationskennungen von
k Generierungsteilen digitaler Teilsignaturen 13 besteht,
und generiert s integrierte digitale Signaturen S (M', I1),
..., S(M', Is), wobei k der vorab festgelegte Grenzwert
und s größer oder
gleich 1 ist.
-
Die
Zusatzinformationen, die durch den Kombinationsteil von Zusatzinformationen 12 kombiniert
werden, können
Identifizierungsinformationen des digitalen Signaturgenerierungssystems
sein, die Bedingung für die
Gültigkeit
der digitalen Signatur, der Zeitpunkt der Generierung der digitalen
Signatur oder eine Kombination daraus.
-
(Beispiele)
-
Im
Folgenden werden Beispiele der vorliegenden Erfindung mit Bezugnahme
auf die Darstellungen beschrieben.
-
Im
Folgenden wird anhand von 2, 3 und 4 ein
Beispiel für
die Generierung einer digitalen Signatur beschrieben. In diesem
Beispiel wird RSA als Beispiel eines Public Key-Verschlüsselungssystems verwendet.
RSA wird beispielsweise in R.L. Rivest, A. Shamir und L. Adleman "A method for obtaining
digital signature and public key cryptosystems", Communications of ACM, Vol. 21, S.120–126, 1978
beschrieben.
-
Zuerst
wird eine Vorgehensweise für
die Vorbereitung zwischen den Generierungsteilen für digitale Teilsignaturen
zur Generierung digitaler Teilsignaturen beschrieben.
-
Es
wird davon ausgegangen, dass N ein Produkt von zwei Primzahlen ist,
die hinreichend groß sind, ϕ(N)
die Anzahl der Ganzzahlen i ist, die zu N teilerfremd sind, mit
0 ≤ i < N. Dann wird davon
ausgegangen, dass e eine Ganzzahl ist, die keinen Faktor kleiner
als die Zahl r der Generierungsteile für digitale Teilsignaturen 13 besitzt
und die zu ϕ(N) teilerfremd ist. Es wird davon ausgegangen,
dass das Paar von N und e(N, e) der Public Key ist.
-
Eine
Menge von Ganzzahlen d1, ..., dr,
die e·(d1 + ...dr) ≡ 1 mod ϕ(N)
erfüllt,
wird unter Verwendung eines Verfahren generiert, das vorgeschlagen
wurde in D. Boneh et al.: Efficient generation of shared RSA key (extended
abstract), in "Proceedings
Crypto'97 (Springer,
1997), dergestalt dass, jeder Generierungsteil einer digitalen Teilsignatur 13 (für jedes
i = 1, ..., r) di aufweist.
-
Hier
wird d = (d1 + ...dr)
der geheime Schlüssel,
der dem Public Key (N, e) entspricht. Jeder Generierungsteil einer
digitalen Teilsignatur 13i, der in 2, 3, 4 dargestellt
wird, kennt nur di, und jeder andere Generierungsteil
einer digitalen Teilsignatur 13 kennt es nicht. Darüber hinaus
kennt der Generierungsteil für
eine integrierte Signatur 14 d nicht.
-
Jeder
Generierungsteil einer digitalen Teilsignatur 13i wählt k Ganzzahlkoeffizienten
ai,0 = di, ai,1, ..., ai,k-1,
die hinreichend groß sind,
wobei k die Mindestzahl der Teilsignaturen ist, die für die Generierung
der verteilten Signatur erforderlich ist, das heißt, k ist
der Grenzwert und ein polynominales fi(x)
wird definiert als fi(x) = a1,0 +
ai,1·x
... + ai,k-1·xk-1 (1 ≤ i ≤ r).
-
Der
Generierungsteil einer digitalen Teilsignatur 13i berechnet
fi(j) für
jede Ganzzahl j, die 1 ≤ j ≤ r und j ≠ i erfüllt, und
sendet fi(j) an einen Generierungsteil einer
digitalen Teilsignatur 13j und berechnet fi(i).
-
Der
Generierungsteil einer digitalen Teilsignatur
13i berechnet
die Summe von f
j(i), die von den anderen
Generierungsteilen für
digitale Teilsignaturen gesendet wird (Generierungsteil einer digitalen
Teilsignatur
13j) (j ≠ i
und i ≤ j ≤ r), und das
von ihm selbst berechnete f
i(i), und legt
die Summe als D(i) fest, das heißt,
D(i) wird als Teilsignaturschlüssel des
Generierungsteils für
digitale Teilsignaturen
13i bezeichnet.
-
Als
Nächstes
wird eine Vorgehensweise für
die Generierung einer digitalen Teilsignatur in jedem Generierungsteil
einer digitalen Teilsignatur 13 beschrieben.
-
In
der Gestaltung in 2 und 3 berechnet
jeder Generierungsteil 13i Si(M)
= H(M)D(i) mod N(1 ≤ i ≤ r) für das digitale Eingabedokument
M mit Hilfe einer passenden Hash-Funktion (zum Beispiel SHA-1 und MD5),
deren Bereich eingeschlossen ist in {0,1, ..., N – 1}. Si(M) wird als digitale Teilsignatur für M definiert.
-
Jeder
in 4 dargestellte Generierungsteil einer digitalen
Teilsignatur 13i berechnet Si(M
|| α(i,
j)) = H(M || α(i,
j))D(i) mod N für das digitale Dokument M || α(i, j) mit
der Ausgabe von Zusatzinformationen aus dem Kombinationsteil von
Zusatzinformationen 12 mit Hilfe einer passenden Hash-Funktion
(zum Beispiel SHA-1 und MD5), deren Bereich in {0, 1, ..., N – 1} eingeschlossen
ist, und definiert Si(M) als digitale Teilsignatur
für M || α(i, j) (1 ≤ i ≤ r).
-
Als
Nächstes
wird eine Vorgehensweise für
die Generierung einer integrierten digitalen Signatur im Generierungsteil
für eine
integrierte digitale Signatur 14 beschrieben.
-
M
wird als ein digitales Dokument bezeichnet, das mit der digitalen
Signatur Si(M) signiert wird, die von dem
Generierungsteil einer digitalen Teilsignatur 13i generiert
wird, wie in 2 und 3 dargestellt.
Für die digitale
Teilsignatur Si(M || α(i, j)), die durch den Generierungsteil
einer digitalen Teilsignatur 13i, generiert wird, wie in 4 gezeigt,
wird das digitale Dokument mit den Zusatzinformationen M || α(i, j) als
digitales Dokument bezeichnet, das mit der digitalen Teilsignatur
signiert wird.
-
Wird
davon ausgegangen, dass 1 ≤ r(1),
..., r(k) ≤ r
und r(1), ... r(k) verschieden sind und S
r(1)(M'), ..., S
r(k)(M')
eine Grenzwertmenge von digitalen Teilsignaturen dergestalt sind,
dass das zu signierende digitale Dokument mit M' für
jede digitale Teilsignatur zusammenfällt, so lautet die Vorgehensweise
für die
Generierung der integrierten digitalen Signatur S(M', I) auf der Basis
der digitalen Teilsignaturen S
r(1)(M'), ..., S
r(k)(M')
durch den Generierungsteil für
die integrierte digitale Signatur
14 wie folgt. Wenn man
für jedes
i ∊ I
wird eine positive Ganzzahl Δ(I) dergestalt
ausgewählt,
dass Δ(I)
und e teilerfremd sind und Δ(I)·λ(I, i) für jedes i ∊ 1
eine Ganzzahl wird. Im Folgenden wird Δ(I) als Transformationszahl
der digitalen Teilsignaturen für
I bezeichnet. Obwohl die Transformationszahl als ((r – 1)!)
2 unabhängig
von I gewählt
werden kann, wie beispielsweise in S. Miyazaki, K. Sakurai, M. Yung "On threshold RSA-signing
with no dealer" in
Proceedings of ICISC799, S.197–207,
Springer, 1999, vorgeschlagen, kann eine andere Zahl dergestalt
gewählt
werden, dass die zeitliche Komplexität für die Generierung der integrierten
digitalen Signatur gering wird, wie im Folgenden beschrieben.
-
Für jedes
a ∊ I wird Λ(I,
i) = Δ(I)·λ(I, i) berechnet.
Dann wird die Transformationsverarbeitung für die digitale Teilsignatur
durchgeführt,
indem Sr(i)(M') mit Λ(I, i) mod N potenziert wird
und Tr(i)(M') das Ergebnis bildet. Das heißt, Tr(i)(M')
= Sr(I)(M')Λ(I,i) mod N.
-
Dann
werden T
r(1)(M'), ..., T
r(k)(M') multipliziert und
mod N berechnet. Da A(I)
und e teilerfremd sind, können
die Ganzzahlen a(I) und b(I), die Δ(I)·a(I) + e·b(I) = 1 erfüllen, mit
dem erweiterten euklidischen Algorithmus berechnet werden. Dann
wird mit a(I), b(I), w(I) S(M',
I) = w(I)
a(i)·H(M')
b(j) mod N
als integrierte digitale Signatur für das digitale Dokument berechnet,
das als M' signiert wird.
-
5 stellt
ein Ablaufdiagramm der Vorgehensweise für die Berechnung der Transformationszahl
für die
digitalen Teilsignaturen dar, die die zeitliche Komplexität gemäß einem
Beispiel der vorliegenden Erfindung minimiert;
Bei der Generierung
der integrierten digitalen Signatur aus der digitalen Teilsignatur
ist es erforderlich, eine Transformationszahl Δ(I) für jede Menge I = {r(I), ...,
r(k)} einschließlich
des Grenzwerts der Identifikationskennungen der Generierungsteile
für digitale
Teilsignaturen 13 dergestalt auszuwählen, dass die positiven Ganzzahlen Δ(I) und e
teilerfremd sind und Δ(I)·λ(I, i) für jedes
i ∊ I eine Ganzzahl wird. Für die Transformationszahl Δ(I) schlagen
S. Miyazaki et al. in "On
threshold RSA-signing with no dealer" in Proceedings of ICISC'99, LNCS Vol.1787,
S. 197–207,
Springer, 1999, ((r – 1)!)2 unabhängig
von I vor, wobei r die Gesamtzahl der Generierungsteile für Teilsignaturen
ist. 5 zeigt eine Vorgehensweise für die Berechnung der Transformationszahl, die
in dem Sinne optimal ist, dass die zeitliche Komplexität für die Generierung
der integrierten digitalen Signatur aus der digitalen Teilsignatur
am kleinsten wird, gemäß der Menge
I der Identifikationskennungen der Generierungsteile für digitale
Teilsignaturen 13.
-
Angenommen,
die Menge I = {r(1), ..., r(k)} der Identifikationskennungen des
Grenzwerts der Generierungsteile für digitale Teilsignaturen
13 ist
gegeben, so wird in Schrtt 41
für jedes i ∊ I berechnet.
-
Dann
wird in Schritt 42 λ(I,
i) für
jedes i ∊ I gekürzt,
und ein Absolutwert des Nenners des Ergebnisses wird als δ(I, i) dargestellt,
das heißt, δ(I, i) wird
dergestalt bestimmt, dass
wobei δ(I, i) > 0 und γ(I,
i) und δ(I,
i) teilerfremd sind.
-
In
Schritt 43 wird das kleinste gemeinsame Vielfache Δ(I) von δ(I, r(1)),
..., δ(I,
r(k)) berechnet.
-
Auf
diese Weise wird die Transformationszahl Δ(I) der digitalen Teilsignatur
für I erhalten. Δ(I) ist in dem
Sinne optimal, dass die zeitliche Komplexität bei der Generierung der integrierten
digitalen Signatur aus den digitalen Teilsignaturen durch Verwendung
von Δ(I)
am geringsten ist.
-
In
S. Miyazaki et al. "On
threshold RSA-signing with no dealer" in Proceedings of ICISC'99, LNCS Vol.1787,
S. 197–207,
Springer,1999, wird vorgeschlagen, ((r – 1)!)^2 als Δ(I) zu verwenden,
wobei r die Gesamtzahl der digitalen Teilsignaturteile ist. Verglichen
mit dem Verfahren der Verwendung von ((r – 1)!)2 als Δ(I) kann
berechnet werden, dass die zeitliche Komplexität bei der Generierung der integrierten
digitalen Signatur aus den digitalen Teilsignaturen auf etwa 1/6
der Zeit des herkömmlichen
Verfahrens abnimmt, wenn der Grenzwert k zwischen 3 und 10 liegt
und die Zahl r der Generierungsteile der Teilsignaturen 13 zwischen
5 und 19 liegt.
-
Als
Nächstes
wird eine Vorgehensweise für
die Beurteilung der Existenz einer inkorrekten digitalen Teilsignatur
beschrieben.
-
6 ist
die Erklärung
eines Verfahrens zur Ermittlung einer inkorrekten digitalen Teilsignatur
durch die Verwendung von Kombinationen von digitalen Teilsignaturen
gemäß eines
Beispiels der vorliegenden Erfindung. 7 zeigt
ein Flussdiagramm eines Verfahrens zur Beurteilung der Existenz
einer inkorrekten digitalen Teilsignatur durch die Verwendung von
Kombinationen von digitalen Teilsignaturen gemäß eines Beispiels der vorliegenden
Erfindung. 8 ist ein Flussdiagramm einer
Vergehensweise für
die Beurteilung, ob die Anzahl der inkorrekten digitalen Teilsignaturen
nur eins ist, und um die inkorrekte digitale Teilsignatur zu bestimmen.
-
Durch
Verwendung dieser Darstellungen wird die Vorgehensweise für die Beurteilung
der Existenz einer inkorrekten digitalen Signatur, die von einem
inkorrekten digitalen Signaturschlüssel generiert wird, und die Bestimmung
der inkorrekten Teilsignatur beschrieben. Hierbei führt der
Generierungsteil einer integrierten digitalen Signatur 14 die
Signaturüberprüfung aus,
indem der Grenzwert der Teilsignaturen in der Vorrichtung für die Generierung
einer mit einem Grenzwert verteilten digitalen Signatur kombiniert
wird, wie in 2, 3 und 4 dargestellt.
-
Angenommen,
k ist der Grenzwert, der für
die Generierung einer integrierten digitalen Signatur aus digitalen
Teilsignaturen erforderlich ist, so kann der Generierungsteil für eine integrierte
digitale Signatur 14, der in 2, 3 und 4 dargestellt
wird, eine integrierte digitale Signatur S(M', I) aus k digitalen Teilsignaturen
Sr(1)(M'),
..., Sr(k)(M') generieren, wobei jede von einem anderen
Generierungsteil für
Teilsignaturen 13 ausgegeben wird und jede dasselbe Dokument
signiert, wobei r(1), ..., r(k) und 1 ≤ r(1), ..., r(k) ≤ r verschieden sind
und M' das von Sr(k)(M')
zu unterzeichnende digitale Dokument und I = {r(1), ..., r(k)} ist.
-
Für verschiedene
Arten von Kombinationen, die jeweils k digitale Teilsignaturen enthalten,
beurteilt der Generierungsteil für
eine integrierte digitale Signatur 14, ob die generierte
S(M', I) eine korrekte
Signatur des zu unterzeichnenden digitalen Dokuments M' ist, indem überprüft wird,
ob die Entschlüsselung
von S(M', I) mit Hilfe
des Public Keys (e, N) mit dem Hash-Wert H(M') des zu signierenden digitalen Dokuments übereinstimmt. Damit
kann beurteilt werden, ob S(M',
I) eine korrekte digitale Signatur für das anfangs bereitgestellte
digitale Dokument ist.
-
Wie
bereits in der Gestaltung in 2 und 3 beschrieben,
ist das zu signierende digitale Dokument M' der digitalen Signatur S(M', I) das digitale
Dokument M, das keine Zusatzinformationen enthält. In der Gestaltung in 4 ist
das zu signierende digitale Dokument M' der digitalen Signatur S(M',I) das digitale
Dokument M || α,
das die Zusatzinformationen α enthält.
-
In
der Gestaltung von 2 wird das zu signierende digitale
Dokument M' zu Beginn
in den Generierungsteil für
eine integrierte digitale Signatur eingegeben. In der Gestaltung
von 3 und 4, wird das zu signierende digitale
Dokument M' durch
die Generierungsteile für
digitale Teilsignaturen 13i (1 ≤ i ≤ r) in den Generierungsteil für eine integrierte
digitale Signatur 14 mit der digitalen Teilsignatur Si(M')
ausgegeben, wie in 3 und 4 dargestellt.
-
Im
Folgenden wird in Bezug auf 7 eine Vorgehensweise
für die
Beurteilung beschrieben, ob eine inkorrekte Teilsignatur in der
Menge der digitalen Teilsignaturen Sr(1) (M'), ..., Sr(m)(M')
existiert, deren zu signierendes digitales Dokument M' ist und die von
den Generierungsteilen für
digitale Teilsignaturen 13, die in 2, 3 und 4 dargestellt
werden, gesendet werden. Hierbei wird diese Vorgehensweise angewendet,
wenn korrekte Teilsignaturen vorliegen, deren Anzahl mindestens
k – 1
ist, wobei k der Grenzwert ist, der für die Generierung einer integrierten
Signatur erforderlich ist. Bei dieser Vorgehensweise wird davon
ausgegangen, dass r(1), ..., r(m) verschieden sind und k + 1 ≤ m ≤ r gilt. Man
geht deswegen davon aus, dass m nicht gleich r ist, da die Möglichkeit
besteht, dass ein Teil der Generierungsteile für digitale Teilsignaturen nicht korrekt
arbeitet und keine digitalen Teilsignaturen sendet.
-
Wie
in 6 gezeigt, werden m Teilmengen I(0), ..., I(m – 1) von
{r(1), ..., r(m)} dergestalt ausgewählt, dass in Schritt 61 jedes
I(i) aus k Elementen und I(i) = {r(((j + i) mod m) + 1) | 0 ≤ j ≤ k – 1} (i
= 0, ..., m – 1) besteht.
-
Die
integrierte digitale Signatur S(M', I(i)) wird aus (Sr(j)(M')|r(j) ∊ I(i)}
für alle
I(i) (i = 0, ..., m – 1)
in Schritt 62 generiert.
-
Dann
wird geprüft,
ob die Entschlüsselung
S(M', I(i))e mod N der integrierten digitalen Signatur
durch den Public Key (e, N) mit H(M') für
jedes I(i) (i = 0, ..., m – 1)
in Schritt 63 übereinstimmt.
-
Es
wird in Schritt 63 überprüft, ob S(M', I(i))e mod
N = H(M') für alle I(i)
(i = 0, ..., m – 1)
gilt. Es wird beurteilt, ob keine inkorrekte Teilsignatur in Sr(1)(M'),
..., Sr(m)(M') vorliegt. Es besteht die Möglichkeit,
dass mehr als eine inkorrekte digitale Signatur in m digitalen Teilsignaturen
Sr(i)(M'),
..., Sr(m)(M') vorhanden sind und die inkorrekten
digitalen Signaturen ihre inkorrekten Wirkungen aufheben, indem
sie so zusammenarbeiten, dass die integrierte digitale Signatur
S(M', I(i)), die
aus Sr(M')
(r ∊ I(i)) für
alle I(i) (0 ≤ i ≤ m – 1) generiert
wird, eine korrekte Signatur wird. Es kann jedoch durch einen Test
mit Hilfe eines Rechners überprüft werden,
dass solch ein Fall nicht eintritt, wenn k + 1 ≤ r ≤ 2·k – 1 und 3 ≤ k ≤ 10 gilt.
-
Als
Nächstes
wird eine Vorgehensweise für
die Bestimmung beschrieben, ob die Anzahl der inkorrekten digitalen
Teilsignaturen nur eins ist und um diese einzige inkorrekte digitale
Teilsignatur zu bestimmen.
-
Wenn
es gemäß der in 8 dargestellten
Vorgehensweise korrekte Teilsignaturen gibt, deren Zahl mindest
der Grenzwert k in m digitalen Teilsignaturen Sr(1)(M'), ..., Sr(m)(M')
ist und wenn mit Hilfe der Vorgehensweise in 7 beurteilt
wird, dass es eine inkorrekte digitale Signatur in Sr(1)(M'), ..., Sr(m)(M')
gibt, so wird beurteilt, ob die Anzahl der inkorrekten digitalen
Teilsignaturen nur eins ist. Wenn die Zahl der inkorrekten digitalen
Teilsignaturen nur eins ist, wird die inkorrekte digitale Teilsignatur
bestimmt.
-
Schritt
71 bestimmt die Menge F von i (0 ≤ i ≤ m – 1), für die S(M', I(i))e mod
N = H (M') nicht
gilt. Diese Beurteilung wird auch in Schritt 63 in 7 durchgeführt. Dieser
Schritt kann daher gleichzeitig mit Ausführung der Vorgehensweise von 7 durchgeführt werden.
-
In
Schritt 72 wird F(i) als {j | 0 ≤ j ≤ m – 1 und
r(i) ∊ (j) für
jedes i mit 0 ≤ i ≤ m – 1 bestimmt.
-
Wenn
es in Schritt 73 ein i dergestalt gibt, dass 0 ≤ i ≤ m – 1 und F = F(i) wahr sind,
dann wird bestimmt, dass Sr(i)(M') die einzige inkorrekte
Teilsignatur ist. Andernfalls wird beurteilt, dass zwei oder mehr
inkorrekte Teilsignaturen in Sr(1)(M), ...,
Sr(m)(M) bestehen.
-
Gibt
es ein j (0 ≤ j ≤ m – 1), für das F
= F(j) gilt, dann ist die Zahl von j maximal 1.
-
Es
besteht die Möglichkeit,
dass mehr als eine inkorrekte digitale Signatur in den m digitalen
Teilsignaturen Sr(1)(M'), ..., Sr(m)(M') vorhanden ist,
und dass deren inkorrekte digitale Signaturen die inkorrekten Wirkungen
aufheben, indem sie zusammenarbeiten, so dass in Schritt 74 F =
F(i) wahr ist für
ein i (1 ≤ i ≤ m). Es kann
jedoch durch einen Test mit Hilfe eines Rechners überprüft werden,
dass solch ein Fall nicht eintritt, wenn k + 1 ≤ r ≤ 2·k – 1 und 3 ≤ k ≤ 10 gilt.
-
Im
Folgenden wird die Auswertung der zeitlichen Komplexität der oben
beschriebenen Vorgehensweisen dargestellt.
-
In
der folgenden Auswertung wird davon ausgegangen, dass k die Anzahl
der digitalen Teilsignaturen ist, die für die Generierung einer integrierten
digitalen Signatur erforderlich sind, das heißt, k ist der Grenzwert, r
ist die Anzahl der Generierungsteile für digitale Teilsignaturen mit
3 ≤ k ≤ 10 und r
= 2·k – 1 für jedes
k.
-
Beträgt die Länge des
Schlüssels
2048 Bit und verwendet man die Anzahl der Multiplikationen mod N zur
Auswertung der zeitlichen Komplexität für die Beurteilung, ob eine
inkorrekte digitale Teilsignatur vorliegt und zur Entscheidung,
ob die Anzahl der inkorrekten digitalen Teilsignaturen nur eins
ist und zur Bestimmung, der einzigen digitalen Teilsignatur, so
beträgt
die zeitliche Komplexität
das 0,12-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 3 ist; die zeitliche Komplexität beträgt das 0,20-fache der zeitlichen
Komplexität
der Generierung einer Teilsignatur, wenn k = 4 ist; die zeitliche
Komplexität
beträgt
das 0,32-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 5 ist; die zeitliche Komplexität beträgt das 0,49-fache der zeitlichen
Komplexität
der Generierung einer Teilsignatur, wenn k = 6 ist; die zeitliche
Komplexität
beträgt
das 0,75-fache der zeitlichen Komplexität der Generierung einer Teilsignatur, wenn
k = 7 ist; die zeitliche Komplexität beträgt das 1,0-fache der zeitlichen
Komplexität
der Generierung einer Teilsignatur, wenn k = 8 ist; die zeitliche
Komplexität
beträgt
das 1,50-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 9 ist; die zeitliche Komplexität beträgt das 2,1-fache der zeitlichen
Komplexität
der Generierung einer Teilsignatur, wenn k = 10 ist.
-
In
den herkömmlichen Überprüfungsverfahren,
die in T. Wu et al. "Building
intrusion tolerant applications",
in Proceedings of 8th USENIX Security Symposium, USENIX, 1999 und
in S.Miyazaki et al. "On
threshold RSA-signing with no dealer" in Proceedings of ICISC'99, LNCS Vol. 1787,
S. 197–207,
Springer, 1999, offen gelegt wurden, ist die zeitliche Komplexität viermal
so groß wie
die der Generierung einer Teilsignatur, da der Generierungsteil
der digitalen Teilsignatur zusätzlich
zur digitalen Teilsignatur Daten zur Überprüfung der Gültigkeit einer Teilsignatur
generiert, die Daten an den Generierungsteil für eine integrierte digitale
Signatur sendet und der integrierte digitale Signaturteil die Gültigkeit
jeder digitalen Teilsignatur überprüft. Um daher
die Gültigkeit
jeder Teilsignatur zu überprüfen, die
von jedem Generierungsteil einer digitalen Teilsignatur gesendet
wird, wird die zeitliche Komplexität gleich oder größer als
das 20-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 3 ist; die zeitliche Komplexität wird gleich oder größer als
das 28-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 4 ist; die zeitliche Komplexität wird gleich oder größer als
das 36-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 5 ist; die zeitliche Komplexität wird gleich oder größer als
das 44-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 6 ist; die zeitliche Komplexität wird gleich oder größer als
das 52-fache der zeitlichen
Komplexität
der Generierung einer Teilsignatur, wenn k = 7 ist; die zeitliche
Komplexität
wird gleich oder größer als
das 60-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 8 ist; die zeitliche Komplexität wird gleich oder größer als
das 68-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 9 ist; die zeitliche Komplexität wird gleich oder größer als
das 76-fache der zeitlichen Komplexität der Generierung einer Teilsignatur,
wenn k = 10 ist.
-
Vergleicht
man die beiden Auswertungen der zeitlichen Komplexität, kann
verstanden werden, dass das Überprüfungsverfahren
der vorliegenden Erfindung zur Entdeckung von inkorrekten Teilsignaturen
den Vorzug aufweist, dass die zeitliche Komplexität für die oben
erwähnte
Schlüssellänge, die
Anzahl der Grenzwerte und der Gesamtzahl der digitalen Teilsignaturteile
gering ist.
-
Als
Nächstes
wird ein Verfahren beschrieben, dass alle verfügbaren integrierten digitalen
Signaturen verwendet.
-
Ist
die Zahl der Generierungsteile für
digitale Teilsignaturen klein, gibt es den Fall, dass inkorrekte
Teilsignaturen identifiziert werden können, selbst wenn die Zahl
der inkorrekten Teilsignaturen gleich oder größer 2 ist, indem geprüft wird,
ob S(M', J(i))E mod N = H(M) für alle Teilmengen J(1), ...,
J(K) gilt, die aus k Elementen von {r(1), ..., r(m)} für die Menge
der digitalen Signaturen Sr(1)(M'), ..., Sr(m)(M')
bestehen, die unabhängig
von den Generierungsteilen für
digitale Teilsignaturen generiert werden und die dasselbe digitale
Dokument signieren, und indem analysiert wird, inwiefern J(i) und
das Testergebnis einander entsprechen. Hier ist K die Gesamtzahl
der Kombinationen für
die Auswahl von k Elementen aus m Elementen, das heißt, m!/(k!·(m – k)!). Wenn
beispielsweise der Grenzwert für
die Generierung der integrierten digitalen Signatur 3 ist, ist die
Gesamtzahl der Generierungsteile für digitale Teilsignaturen 5.
Es werden 5 digitale Teilsignaturen erfasst, deren zu signierende
digitale Dokumente übereinstimmen.
Es kann geprüft
werden, dass bestimmt werden kann, welche Teilsignaturen inkorrekt
sind, selbst wenn die Anzahl der inkorrekten Teilsignaturen bei
Aufzählung
aller Fälle
maximal zwei ist.
-
Als
Nächstes
wird eine Vorrichtung für
die Generierung eines digital signierten Dokuments mit Hilfe der Kombination
des Grenzwerts der Teilsignaturen unter Verwendung von 9 und 10 beschrieben.
-
9 ist
ein Blockdiagramm, das eine Vorrichtung für die Generierung eines digital
signierten digitalen Dokuments zeigt, wobei eine Kombination aus
dem Grenzwert der Teilsignaturen (erstes Beispiel) gemäß einem
Beispiel der vorliegenden Erfindung verwendet wird. 10 ist
ein Blockdiagramm, das eine Vorrichtung für die Generierung eines digital
signierten digitalen Dokuments zeigt, wobei eine Kombination aus
dem Grenzwert der Teilsignaturen (zweites Beispiel) gemäß einem
Beispiel der vorliegenden Erfindung verwendet wird.
-
Wie
in 9 und 10 dargestellt, enthält die Vorrichtung
für die
Generierung der verteilten digitalen Signatur 2 eine bestimmte Anzahl
an Generierungsteilen für
digitale Teilsignaturen 13i , ..., 13r , einen Generierungsteil für eine integrierte
digitale Signatur 14 und einen Generierungsteil eines digital
signierten digitalen Dokuments 15.
-
Die
Generierungsteile für
digitale Teilsignaturen 13i , ... 13r generieren unabhängig von einander digitale
Teilsignaturen S1(M), ..., Sr(M)
für ein
digitales Eingabedokument M.
-
Der
Generierungsteil für
eine integrierte digitale Signatur 14 empfängt m digitale
Teilsignaturen Sr(1)(M), ..., Sr(m)(M),
(k ≤ m ≤ r und k ≤ r(1), ...,
r(m) ≤ r),
die von der bestimmten Zahl der Generierungsteile für digitale
Teilsignaturen 13 und dem digitalen Dokument M generiert
werden. Dann generiert der Generierungsteil für eine integrierte digitale
Signatur 14 eine bestimmte Zahl an integrierten digitalen
Signaturen S(M, I1), ..., S(M, Is) aus der Ausgabe der digitalen Teilsignaturen
für s Mengen
I1, ..., Is, wobei
jede aus Identifikationskennungen von k Generierungsteilen für digitale
Teilsignaturen 13 besteht, wobei s größer oder gleich 1 und k der vorab
festgelegte Grenzwert ist.
-
Der
Generierungsteil eines digital signierten digitalen Dokuments 15 generiert
ein digitales Dokument mit digitaler Signatur für ein digitales Eingabedokument,
indem die generierte integrierte digitale Signatur und das digitale
Dokument kombiniert werden.
-
Als
Nächstes
wird ein Beispiel in 9 und 10 gezeigt,
in dem Kombinationsteile für
Zusatzinformationen in der Gestaltung bereitgestellt werden. 11 zeigt
ein Blockdiagramm der Vorrichtung für die Generierung eines digital
signierten digitalen Dokuments (drittes Beispiel) mit Hilfe von
Kombinationen des Grenzwerts der Teilsignaturen gemäß einem
Beispiel der vorliegenden Erfindung.
-
Wie
in der Abbildung dargestellt, enthält die Vorrichtung für die Generierung
der verteilten digitalen Signatur 2 eine bestimmte Anzahl an Kombinationsteilen
von Zusatzinformationen 12i , ..., 12r , eine bestimmte Anzahl an Generierungsteilen
für digitale
Teilsignaturen 13, ein Generierungsteil für eine integrierte
digitale Signatur 14 und einen Generierungsteil eines digital
signierten digitalen Dokuments 15.
-
Jedes
der Teile für
die Kombination von Zusatzinformationen 12 (das Teil für die Kombination
von Zusatzinformationen 12.i) generiert in unabhängiger Weise ν(i) Elemente
von Zusatzinformationen α(i,
1), ..., α(i, ν(i)) für das digitale
Eingabedokument M, wobei ν(i)
eine Zahl größer oder
gleich 1 ist, und generiert digitale Dokumente mit den Zusatzinformationen
M || α(i,
1), ..., M || α(i, ν(i)), die
durch die Kombination von Zusatzinformationen α(i, 1), ..., α(i, ν(i)) und
dem digitalen Dokument M generiert werden.
-
Jedes
der Generierungsteile einer digitalen Signatur (der Generierungsteil
der digitalen Signatur 13.i) generiert Paare aus dem digitalen
Dokument mit den Zusatzinformationen und den digitalen Teilsignaturen
(M || α(i,
1), Si(M || α(i, 1))), ..., (M || α(i, ν(i)), Si(M || α(i, ν(i)))) für das digitale
Dokument mit Zusatzinformationen.
-
Der
Generierungsteil für
eine integrierte digitale Signatur 14 empfängt m Paare
des digitalen Dokuments mit Zusatzinformationen und der digitalen
Teilsignatur (M',
Sr(1)(M')),
..., (M', Sr(m), (M'))
aus, wobei k ≤ m ≤ r und 1 ≤ r(1), ...,
r(m) ≤ r
gilt. Dann generiert der Generierungsteil für eine integrierte digitale
Signatur 14 s integrierte digitale Signaturen S(M', I1),
..., S(M', Is) aus den ausgegebenen digitalen Teilsignaturen
für s Mengen
Ii, ..., Is, wobei
jede aus k Identifikationskennungen der Generierungsteile für digitale
Teilsignaturen besteht und k der vorab festgelegte Grenzwert ist.
-
Der
Generierungsteil eines digital signierten digitalen Dokuments 15 generiert
ein digitales Dokument mit digitaler Signatur T für ein digitales
Eingabedokument mit Zusatzinformationen, indem die generierte integrierte
digitale Signatur und das digitale Dokument mit Zusatzinformationen
kombiniert werden.
-
Obwohl
die oben erwähnten
Beispiele auf der Basis jeder Konfiguration beschrieben werden,
können der
Generierungsteil einer digitalen Teilsignatur, der Generierungsteil
für die
integrierte digitale Signatur und das Kombinationsstil für Zusatzinformationen
in der Vorrichtung für
die Generierung einer verteilten digitalen Signatur, wie in 2–4 gezeigt,
durch Programme verwirklicht werden. Diese Programme können auf einem
Rechner installiert und als Vorrichtung für die Generierung einer verteilten
digitalen Signatur verwendet werden.
-
Darüber hinaus
können
die Programme auf einem Speichermedium, wie einer Festplatte, einer
Diskette, einer CD-ROM und Ähnlichem
gespeichert und von dem Speichermedium auf dem Rechner installiert werden.
-
Darüber hinaus
können
der Generierungsteil einer digitalen Teilsignatur, der Generierungsteil
für die integrierte
digitale Signatur, der Kombinationsteil für Zusatzinformationen und der
Generierungsteil für
das digital signierte digitale Dokument in dem digitalen Dokument
mit der Vorrichtung für
die Generierung einer verteilten digitalen Signatur, die in 10 und 11 dargestellt
werden, durch Programme realisiert werden. Diese Programme können auf
einem Rechner installiert und als Vorrichtung für die Generierung einer verteilten digitalen
Signatur verwendet werden.
-
Darüber hinaus
können
die Programme auf einem Speichermedium, wie einer Festplatte, einer
Diskette, einer CD-ROM und Ähnlichem
gespeichert und auf dem Rechner von dem Speichermedium installiert werden.
-
(Wirkung der vorliegenden
Erfindung)
-
Da
wie oben erwähnt,
nach dem Grenzwerttyp der Vorrichtung für die Generierung einer verteilten
digitalen Signatur der vorliegenden Erfindung keine vertrauenswürdige Instanz
enthalten ist, kann der einzelne Vergleichspunkt entfernt werden,
durch den der geheime Schlüssel
bekannt werden kann. Auf diese Weise wird die Sicherheit des Signatursystems,
dessen wichtigster Teil die Sicherheit des geheimen Schlüssels ist, verbessert.
Gleichzeitig kann in dem digitalen Signatursystem die Robustheit
gegenüber
Angriffen auf die Sicherheit und der Fehlertoleranz verbessert werden,
da digitale Signaturen generiert werden dürfen, wenn nur eine vorab festgelegte
Anzahl von Generierungssystemen für digitale Teilsignaturen in
einer bestimmten Anzahl von Generierungssystemen für digitale
Teilsignaturen korrekt arbeitet. Dementsprechend kann ein sicheres
Generierungssystem für
verteilte digitale Signaturen, das eine gute Robustheit gegenüber Angriffen
auf die Sicherheit und Fehlertoleranz aufweist, verwirklicht werden.
-
Insbesondere
kann die zeitliche Komplexität
der Generierung der integrierten digitalen Signatur aus den digitalen
Teilsignaturen verringert werden, wenn, gemäß der vorliegenden Erfindung,
die integrierte digitale Signatur aus digitalen Teilsignaturen generiert
wird, da das kleinste gemeinsame Vielfache von δ(I, r(1)), ..., δ(I, r(K))
anstatt ((r – 1)!)2 als Transformationszahl Δ(I) in Δ(I)·λ(I, i) verwendet
wird.
-
Darüber hinaus
kann bei der Überprüfung der
digitalen Teilsignaturen die zeitliche Komplexität für die Überprüfung verringert werden, da
die Überprüfung durchgeführt wird,
indem m integrierte digitale Signaturen mit m Mengen I(0), ...,
I(m – 1)
generiert werden, die jeweils k digitale Teilsignaturen enthalten,
wie in 6 dargestellt.
-
Im
Folgenden werden die Abnahme der zeitlichen Komplexität, wenn
die integrierte digitale Signatur aus den digitalen Teilsignaturen
generiert wird, sowie die Abnahme der zeitlichen Komplexität bei der Überprüfung der
digitalen Teilsignaturen beschrieben.
-
12 zeigt
die Abnahme der zeitlichen Komplexität durch die Optimierung des
Prozesses, in dem die integrierte digitale Signatur aus den digitalen
Teilsignaturen generiert wird. Die Anzahl der Multiplikationen mod
N wird zur Auswertung der zeitlichen Komplexität herangezogen. Das andere
hier zu vergleichende Verfahren wird in S. Miyazaki, K. Sakurai,
M. Yung "On threshold
RSA-signing with no dealer" in
Proceedings of ICISC' 99,
S.197–207,
Springer, 1999, vorgeschlagen, bei dem ((n – 1)!)2 als
Transformationszahl verwendet wird, wobei n die Gesamtzahl der Server
ist (was den Generierungsteilen für digitale Teilsignaturen in
den oben beschriebenen Beispielen entspricht).
-
In 12 gibt
k die Zahl der für
die Generierung einer Signatur erforderlichen Server an, r gibt
die Gesamtzahl der Server an, A gibt die durchschnittliche Bit-Länge der
Potenz-Exponenten
an, die für
die Berechnung von w(I) erforderlich ist, (wenn Δ(I) optimiert wird), B gibt
die durchschnittliche Bit-Länge
der Potenz-Exponenten an, die für
die Berechnung von w(I) erforderlich ist (wenn Δ(I) = ((r – 1)!)2),
und B/A gibt das abnehmende Verhältnis
der zeitlichen Komplexität
an.
-
13 und 14 zeigen
die Abnahme der zeitlichen Komplexität für die Überprüfung von Teilsignaturen. 13 zeigt
einen Fall, bei dem die Bit-Länge
des Schlüssels
1024 beträgt. 14 zeigt
einen Fall, bei dem die Bit-Länge
des Schlüssels
2048 beträgt.
Das andere hier zu vergleichende Verfahren wird vorgeschlagen in
Wu et al. "Building
intrusion tolerant applications" in
Proceedings of 8th USENIX, 1999.
-
In 13 und 14 gibt
k die Anzahl der für
die Generierung einer Signatur erforderlichen Server an, r gibt
die Gesamtzahl der Server an, A gibt die Anzahl der Multiplikationen
mod N an, die für
die Signaturüberprüfung für eine Gruppe
erforderlich sind (in 6 dargestellt, was als gleitende
Gruppe bezeichnet werden kann), B gibt die Zahl der Multiplikationen
mod N an, die für
die Signaturüberprüfung jeder
Gruppe erforderlich sind (einschließlich des Overheads, der als
eine Anzahl von Multiplikationen mod N mit Hilfe des erweiterten
euklidischen Algorithmus ausgewertet wird), C gibt die Anzahl der
Multiplikationen mod N an, die für
die Überprüfung einer
der Teilsignaturen erforderlich sind, wenn das herkömmliche
Verfahren von Wu et al. verwendet wird, D gibt die Anzahl der Multiplikationen
mod N an, die für
die Überprüfung aller
Teilsignaturen (= r × C)
erforderlich sind, wenn das herkömmliche
Verfahren von Wu et al. verwendet wird, D/B gibt das abnehmende
Verhältnis
der zeitlichen Komplexität
= C/A an.
-
In
den in 12–14 gezeigten
Auswertungen wird davon ausgegangen, dass die Potenzoperation durch
die Wiederholung der Multiplikation mit Quadrieren und Multiplizieren
verwirklicht wird. Die Potenzoperation wird durch Multiplikationen
verwirklicht, deren Anzahl das 1,5-fache der Bit-Länge des
Exponenten im Durchschnitt beträgt.
-
Quadrieren
und Multiplizieren wird in der Regel als Verfahren für die effiziente
Durchführung
von Potenzoperationen verwendet.
-
Wie
in 12 gezeigt, beträgt nach dem Verfahren der vorliegenden
Erfindung die zeitliche Komplexität für die Generierung der integrierten
digitalen Signatur aus den digitalen Teilsignaturen etwa 1/6 der
des herkömmliches
Verfahrens.
-
Beträgt die Bit-Länge des
Schlüssels
1024, wie in 13 dargestellt, wird darüber hinaus
die zeitliche Komplexität
der Überprüfung aller
Teilsignaturen auf ein 1/85 erheblich verringert, wenn die Anzahl
der Server 5 beträgt,
und auf ein 1/18, wenn die Anzahl der Server 19 beträgt. Wenn,
wie in 14 dargestellt, die Bit-Länge des
Schlüssels
2048 beträgt,
wird die Wirkung der Verringerung der zeitlichen Komplexität verdoppelt.
In dieser Auswertung wird die zeitliche Komplexität für die Berechnung
der Inversen mod N mit Hilfe des erweiterten euklidischen Algorithmus,
der in die Überprüfungsverarbeitung
aufgenommen wurde, auf der Basis der konkreten Messung durch ein
in C erstelltes Programm ausgewertet, das den erweiterten euklidischen
Algorithmus für
die Berechnung von Inversen mod N implementiert. Wenn die Schlüssellänge 1024
beträgt,
wird die Berechnung als das 9,3-fache einer Multiplikation mod N
ausgewertet, und wenn die Schlüssellänge 2048 beträgt, wird
die Berechnung als das 13-fache einer Multiplikation von mod N ausgewertet.
-
In
dem Verfahren, das herkömmlicherweise
vorgeschlagen wird, wird die zeitliche Komplexität der Überprüfung der Gültigkeit aller Teilsignaturen
viel größer als
die der Generierung der Signaturen. In dem oben erwähnten Verfahren
von Wu beträgt
die zeitliche Komplexität
der Überprüfung einer
Teilsignatur das Vierfache der Generierung der Teilsignatur, und
die gesamte zeitliche Komplexität
ist eins multipliziert mit der Anzahl der Server.
-
Bei
der Verwendung des herkömmlichen
Verfahrens ist es nicht zweckmäßig, jedes
Mal die Gültigkeit aller
Teilsignaturen zu überprüfen, wenn
die Signatur generiert wird. So wird beispielsweise in dem System, das
in dem Artikel von Wu vorgeschlagen wurde, nur dann die Überprüfung von
Teilsignaturen für
die Generierung der integrierten Signatur durchgeführt, wenn
eine inkorrekte integrierte Signatur entdeckt wird.
-
Bei
der Verwendung des Überprüfungsverfahrens
der Gültigkeit
von Teilsignaturen der vorliegenden Erfindung kann ein System verwirklicht
werden, das bei jeder Generierung der Signatur die Gültigkeit
aller Teilsignaturen überprüft, da die
zeitliche Komplexität
wie oben beschrieben wesentlich verringert werden kann.
-
Die
vorliegende Erfindung ist nicht auf speziell offen gelegte Ausführungsformen
beschränkt.
Variationen und Änderungen
können
vorgenommen werden, ohne vom Geltungsbereich der Erfindung abzuweichen.