5  Cơ chế xác thực một chiều dựa trên logarit rời rạc trên đường cong elliptic

5.1  Tổng quan

Trong cơ chế này, cryptoGPS cũng được gọi là GPS trong tài liệu trước đó-, do Girault, Poupard, và Stern đề xuất. Tên thay đổi hiện được dùng để tránh nhầm lẫn với dịch vụ định vị vật lý GPS. cryptoGPS là một cơ chế xác thực tri thức không mà cung cấp xác thực thực thể một chiều. Các biến thể khác nhau của cryptoGPS được quy định trong TCVN 12854 (ISO/IEC 9798-5) và phiên bản phù hợp nhất với các thiết bị hạn chế, cùng với một số tối ưu hóa được trình bày bên dưới.

5.2  Các yêu cầu an toàn đối với môi trường

Cơ chế cryptoGPS cho phép bên xác thực kiểm tra rằng bên được xác thực có biết logarit rời rạc trên đường cong elliptic của một điểm công khai đã xác nhận đối với điểm cơ sở. Một khung tổng quát cho kỹ thuật mật mã dựa trên đường cong elliptic được đưa ra trong ISO/IEC 15946-1.

CHÚ THÍCH 1 Cơ chế này cài đặt biến thể đường cong elliptic của lược đồ cryptoGPS do Girault, Poupard, và Stern đề xuất. Nó cho phép sử dụng biến thể được gọi là LHW đặc biệt phù hợp cho các môi trường mà trong đó tài nguyên của bên được xác thực rất thấp.

Với một miền cho trước, các yêu cầu sau phải được thỏa mãn.

a) Các tham số miền có ảnh hưởng đến các hoạt động của cơ chế phải được lựa chọn. Các tham số đã lựa chọn phải được cung cấp một cách tin cậy cho tất cả các thực thể của miền.

b) Mỗi bên được xác thực phải được trang bị cùng một đường cong elliptic E và một tập các tham số miền, cụ thể là kích thước trường q, một điểm cơ sở P trên E, và cấp n của điểm P. Đường cong và tập các tham số hoặc là các tham số miền hoặc các tham số của bên được xác thực.

...

...

...

d) Mỗi bên được xác thực phải được trang bị một khóa bí mật

e) Mỗi bên xác thực phải nhận được bản sao xác thực của khóa công khai tương ứng với khóa bí mật của bên được xác thực.

CHÚ THÍCH 2 Cách chính xác mà qua đó bên xác thực thu được bản sao tin cậy của điểm công khai cụ thể của bên được xác thực nằm ngoài phạm vi tiêu chuẩn này. Ví dụ, điều này có thể đạt được bằng cách sử dụng chứng chỉ khóa công khai hoặc bằng một số phương pháp khác phụ thuộc vào môi trường.

f) Bên xác thực phải có phương pháp để tạo ra các xâu mới gồm các bit ngẫu nhiên. Khi các coupon không được sử dụng, mỗi bên được xác thực cũng cần có phương pháp để tạo ra các xâu mới gồm các bit ngẫu nhiên.

g) Nếu cơ chế sử dụng một hàm băm, thì tất cả các thực thể trong miền phải thống nhất về hàm băm, ví dụ một trong các hàm băm được quy định trong TCVN 11817-3.

5.3  Tạo khóa

Với bên được xác thực A, một xâu mới phải được lựa chọn một cách ngẫu nhiên từ tập {2, 3, …, n-2}. Xâu biểu diễn khóa khóa bí mật, được ký kiệu là Q.

Số σ = |n| là số bít được sử dụng để biểu diễn các khóa bí mật.

Ký hiệu G(A) là điểm công khai của bên được xác thực A và được thiết lập bằng

...

...

...

G(A) = (x_G,y_G) = -[Q]P

CHÚ THÍCH 1 Phiên bản này là phù hợp nhất với các thiết bị hạn chế.

b) Hoặc là điểm nhận được qua phép nhân điểm cơ sở P với số Q.

G(A) = (x_G,y_G) = [Q]P

Các thách thức được lựa chọn từ một tập các số nguyên S có lực lượng ∆, với 2^d-1 < ∆ ≤ 2^d. Độ dài theo bít của thách thức lớn nhất có thể được ký hiệu là β. Một giá trị của 5 từ 8 đến 40 là phù hợp với hầu hết các ứng dụng. Trừ khi được quy định khác đi, giá trị của d được lấy bằng 40. Nó là một tham số miền.

CHÚ THÍCH 2 Tổng sổ thách thức có thể nên được giới hạn đến 2⁴⁰. Nếu khuyến cáo này không được tuân thủ thi cần phải đặc biệt chú ý ngăn chặn bên xác thực coi bên được xác thực như một bộ tiên tri ký.

CHÚ THÍCH 3 Khi tập các thách thức là khoảng [0, ∆ - 1] thì β = d.

CHÚ THÍCH 4 Một thách thức được gọi là LHW nếu tồn tại ít nhất d - 1 bit 0 nằm giữa hai bít 1 liên tiếp trong biểu diễn nhị phân của nó.

CHÚ THÍCH 5 Định nghĩa điểm công khai G(A) hơi khác so với định nghĩa trong ISO/IEC 9798-5. Những thay đổi này cho phép các cài đặt nhỏ gọn và hiệu quả của việc tính toán kết quả trên thẻ vì lúc này công thức phản hồi là dễ dàng và đơn giản để thực hiện hơn so với phép trừ số nguyên.

...

...

...

Các chữ cái trong ngoặc ở Hình 1 tương ứng với các bước của cơ chế xác thực một chiều, bao gồm các sự trao đổi thông tin, được miêu tả chi tiết bên dưới. Bên được xác thực được ký hiệu là A. Bên xác thực được ký hiệu là B.

Hình 1 - Cơ chế sử dụng logarit rời rạc trên đường cong elliptic

Bên được xác thực lưu một số d, điểm cơ sở P, và một khóa bí mật Q (là một xâu σ bit). Trừ khi được quy định khác đi, d = 40.

Trong trường hợp sử dụng coupon, ngoài số d và khóa bí mật Q, bên được xác thực chỉ cần lưu một tập các coupon và không yêu cầu có các phương thức để tạo ra các xâu mới gồm các bit ngẫu nhiên. Chỉ được sử dụng một lần, mỗi coupon bao gồm một xâu ρ bit (xâu này không cần được lưu trữ nếu nó có thể được tạo lại bằng một hàm giả ngẫu nhiên, ví dụ: một trong các hàm được đặc tả trong ISO/IEC 18031^[25]) và một bằng chứng.

Ngoài một số d và một số σ, bên xác thực phải được cung cấp một bản sao tin cậy của điểm công khai G(A) và đường cong E, điểm cơ sở P và các tham số q và n.

Với mỗi ứng dụng của cơ chế, thủ tục sau phải được thực hiện. Bên xác thực B sẽ chỉ xác nhận bên được xác thực là hợp lệ nếu hoàn thành thủ tục sau.

a) Với mỗi sự xác thực

1) Hoặc sử dụng một coupon (r, W)

...

...

...

ρ = σ + β + 80

CHÚ THÍCH 1 Nếu xâu mới ρ bit được chọn ngẫu nhiên, thì xác suất để 80 bit bên trái nhất đều bằng nhau là không đáng kể.

Ký hiệu r là số được biểu diễn bởi xâu mới sẽ được chuyển đổi thành một bằng chứng, ký hiệu là W. Công thức bằng chứng: W= EC20SP_E([r]P,fmt)

với EC20SP_E là hàm để chuyển đổi một điểm trên đường cong elliptic E thành các xâu bộ tám được xác định trong ISO/IEC 15946-1 và fmt là một kiểu định dạng mà nhận một trong các giá trị tượng trưng là compressed, uncompressed, hoặc hybird.

CHÚ THÍCH 2 Trong một số cài đặt nhất định, công thức bằng chứng dưới đây hay được sử dụng hơn: W= EC20SP_E ([r mod n]P,fmt).

b) A gửi TokenAB₁ cho B. TokenAB₁ có thể hoặc là bằng chứng W hoặc một mã băm của W và Text, một trong 4 biến thể băm dưới đây.

Bốn biến thể băm là h(W || Text), h(W || h(Text)), h(h(W) || Text) và h(h(W ) || h(Text)), với h là một hàm băm và Text là trường văn bản tùy chọn (nó có thể rỗng). Nếu trường văn bản là không rỗng, B phải có các cách để khôi phục lại giá trị của Text; điều này có thể yêu cầu A gửi tất cả hoặc một phần của trường văn bản kèm với thẻ. Cách trường văn bản được tạo sẵn để sử dụng trong các ứng dụng nằm ngoài phạm vi của tiêu chuẩn này. Phụ lục A của ISO/IEC 9798-11201 đưa ra thông tin sử dụng của các trường văn bản. Biến thể băm là tham số miền.

c) Khi nhận TokenAB₁, một xâu mới phải được lựa chọn một cách ngẫu nhiên đều từ tập S.

d) B gửi xâu mới như một thách thức cho A. Xâu mới biểu diễn một số được ký hiệu là d.

...

...

...

e) Khi đã nhận thách thức, các bước tính toán sau được thực hiện.

1) Nếu thách thức không phải là phần tử thuộc S, thì thủ tục thất bại.

2) Một phản hồi D được tính toán từ số ngẫu nhiên r và khóa bí mật Q.

Công thức phản hồi như sau:

i) D = r + d × Q nếu G(A) = -[Q]P

CHÚ THÍCH 4 Nếu thách thức nhận được là thách thức LHW, việc tính toán D được quy về thành một bổ sung tiếp nối của r với sự ghép nối các bản sao của Q, được phân tách bằng các bít 0.

hoặc

ii) D = r - d × Q nếu G(A) = [Q]P

f) A gửi TokenAB₂ cho B. TokenAB₂ là phản hồi D được tính toán từ bước e)2).

...

...

...

1) Nếu phản hồi D không phải là một xâu ρ bit và/hoặc nếu 80 bit bên trái nhất của D đều bằng nhau, thì thủ tục thất bại.

2) Ký hiệu W* là một bằng chứng được tính toán.

Công thức kiểm tra: W* = EC20SP_E([d]G(A) +[D]P, fmt)

CHÚ THÍCH 5 Trong một số cài đặt nhất định, công thức bằng chứng dưới đây hay được sử dụng hơn là: W = EC20SP_E([d]G(A) +[D mod n]P, fmt)

3) Nếu hoặc bằng chứng W* hoặc một mã băm của W* và Text (một trong bốn biến thể băm) bằng TokenAB₁ nhận được ở bước b), thì quá trình thành công. Ngược lại thủ tục thất bại.

CHÚ THÍCH 6 Thông tin khác có thể được gửi cùng trong quá trình trao đổi của thủ tục. B có thể sử dụng thông tin đó để tính toán giá trị của trường văn bản tùy chọn. Ví dụ, A có thể gửi cho B thông tin chẳng hạn như các chứng chỉ cùng với TokenAB₁.

6  Cơ chế trao đổi khóa có xác thực một chiều dựa trên mã hóa

6.1  Tổng quan

Cơ chế ALIKE được thiết kế cho các giao dịch không có sự tiếp xúc, tức là các giao dịch phải chịu hạn chế rất mạnh về thời gian. Trong giao thức này, bên xác thực (ví dụ như thiết bị đọc hoặc thiết bị đầu cuối) xác thực bên được xác thực (như thẻ không tiếp xúc) liên quan đến cơ quan cấp chứng nhận. Thêm nữa, bên được xác thực và bên xác thực thiết lập một khóa phiên để nhắn tin an toàn. Điểm đặc biệt của ALIKE là nó cho phép sử dụng thiết bị đọc có chi phí thấp (không có mô đun truy cập an toàn) trong khi đạt được giới hạn thời gian lớn. ALIKE dựa trên lược đồ mã hóa khóa công khai được gọi là RSA cho những người hoang tưởng - một biến thể của RSA - mà giải mã rất nhanh. Trong ALIKE, việc giải mã được thực hiện bởi bên được xác thực (ví dụ như thẻ không tiếp xúc) nơi mà thường có sẵn bộ xử lý mật mã.

...

...

...

6.2  Các yêu cầu an toàn đối với môi trường

Cơ chế ALIKE cho phép bên xác thực xác thực một bên được xác thực liên quan đến cơ quan cấp chứng nhận và cho phép thiết lập một khóa phiên để nhắn tin an toàn.

Với một miền đã cho, các yêu cầu sau phải được thỏa mãn.

a) Các tham số miền mà chi phối các hoạt động của cơ chế phải được lựa chọn. Các tham số đã lựa chọn phải được cung cấp một cách tin cậy cho tất cả các thực thể trong miền.

b) Mỗi bên được xác thực phải được cung cấp các thừa số nguyên tố khác nhau sao cho khi biết được tích của chúng, tức là giá trị mô đun (một tham số bên được xác thực), thì việc tính được chúng sẽ là không khả thi đối với bất kỳ thực thể nào, tính khả thi được xác định bởi bối cảnh sử dụng của cơ chế.

c) Tất cả các thực thể trong miền phải thống nhất sử dụng một mã khối E_K, ví dụ một trong các thuật toán được quy định trong TCVN 12854-2^[27] hoặc TCVN 11367-3^[26]. Kích thước khóa được ký hiệu là u và kích thước khối được ký hiệu là v. u và v phải lớn hơn hoặc bằng 128 bit và u phải lớn hơn hoặc bằng v. Entropy cực đại của khóa bí mật K của mã khối E_K được lấy là v-1. Độ dài u của khóa bí mật K được tính toán từ một khóa bí mật x có độ dài v-1 sử dụng các hàm f₀(u,x) và f₁(u,x).

CHÚ THÍCH Dựa vào định nghĩa của f₀(u,x) và f₁(u,x), bit khóa đầu tiên của mã khối được lấy là 0 hoặc 1. Điều này đảm bảo tính độc lập của hai lần sử dụng khác nhau của mã khối trong giao thức.

d) Mỗi bên được xác thực và bên xác thực sẽ có các phương pháp để tạo ra các số ngẫu nhiên.

6.3  Tạo khóa

...

...

...

Một số nguyên không âm, ký hiệu là w, phải được chọn sao cho w >2.v. w là một tham số an toàn và nó là tham số miền. w có độ dài theo bit là p₁ và phải được chọn sao cho ước lượng độ phức tạp của thuật toán nhanh nhất đã biết^[7] - với thời gian chạy phụ thuộc vào kích thước của Ip₁I - là lớn hơn mức an toàn được yêu cầu.

Bên được xác thực A phải giữ bí mật hai thừa số nguyên tố lớn khác nhau của modulo N, ký hiệu là p₁ và p₂. Hai thừa số nguyên tố p₁ và p₂ phải được lựa chọn sao cho modulo N là không cân bằng với Ip₁l << lp₂l

a) Sinh hai số nguyên tố p₁ và p₂ sao cho

1) Ip₁I = w và gcd(e, p₁ - 1) = 1 với e là số mũ công khai, e phải được chọn đủ lớn để tránh tấn công Coppersmith^[2] và phù hợp với giới hạn dưới Shamir^[15]. Giá trị e = 11 có một số lợi thế thực hành.

2) |p₂| = α - w

3) |p₁ × p₂| = α

b) Tính N = p₁ × p₂ và t = e^-1 mod (p₁ - 1). Khóa công khai là (N, e) và khóa bí mật là (p₁,t). Khóa công khai được chứng nhận bởi cơ quan cấp chứng nhận.

Bên được xác thực A phải được trang bị khóa bí mật S_A = (p₁,t) và khóa công khai P_A = (N, e) tương ứng với modulus N, xem [15].

Bên được xác thực A phải được trang bị một chứng chỉ khóa công khai P_A, ký hiệu là σ.

...

...

...

6.4  Trao đổi xác thực một chiều

Các chữ cái trong ngoặc ở Hình 2 tương ứng với các bước của cơ chế, bao gồm những sự trao đổi thông tin, được mô tả chi tiết bên dưới. Bên được xác thực ký hiệu là A. Bên xác thực ký hiệu là B.

Hình 2 - ALIKE

Thủ tục dưới đây phải được thực hiện. Bên xác thực B chỉ chấp nhận bên được xác thực A là hợp lệ nếu thủ tục hoàn thành thành công.

a) Một số k mới có độ dài v-1 phải được lựa chọn một cách ngẫu nhiên đều bởi bên được xác thực. Mã khối được sử dụng để tính cam kết y: y = E_{f_0(u,k)}(0)

b) A gửi (P_A,σ,y) cho B

a) Một số mới r có độ dài v-1 được lựa chọn ngẫu nhiên đều bởi bên xác thực. Giá trị đệm thu được pad = E_{f_0(u,k)}(0) và thông điệp (r || pad) được mã hóa với P_A. Kết quả d = (r || pad)^e mod N là thách thức.

d) B gửi thách thức d cho A

...

...

...

1) Nếu kích thước của thách thức không bằng |N|, thủ tục thất bại.

2) A sử dụng khóa bí mật S_A để khôi phục lại bản rõ, d^t mod p₁, và xác thực tính thống nhất của phần đệm trong bản rõ:

i) Nếu phần đệm không đúng, thủ tục thất bại.

ii) Phần đệm được loại bỏ để khôi phục r

3) Một phản hồi D phải được tính toán bằng việc mã hóa số k sử dụng mã khối, tức là: D = E_{f_0(u,k)}(0 || K)

f) A gửi phản hồi D cho B

g) Khi nhận được phản hồi D, quá trình xác thực được thực hiện.

1) B xác thực rằng σ là bản sao tin cậy khóa công khai của bên được xác thực A

iii) Nếu xác thực ko thành công, và thủ tục thất bại.

...

...

...

2) Nếu E_{f_0(u,k’)}(0)= y, thì thủ tục thành công. Ngược lại thủ tục thất bại.

6.5  Trích xuất khóa phiên

Một cách tùy chọn, khóa phiên có thể được thiết lập giữa bên được xác thực A và bên xác thực B để bảo mật thông điệp bằng cách sử dụng bí mật chung (r, k).

7  Cơ chế chữ ký dựa trên định danh

7.1  Tổng quan

Hệ thống mã hóa dựa trên định danh, là kỹ thuật mật mã phi đối xứng cho phép một khóa công khai được tính toán từ định danh và một tập các tham số toán học công khai và cho phép tính toán khóa bí mật tương ứng từ định danh, một tập các tham số toán học công khai, và giá trị bí mật trên toàn miền. Khóa công khai của người dùng có thể được tính toán bởi bất kỳ người nào mà có các tham số công khai cần thiết; trong khi bí mật mật mã là cần thiết để tính toán khóa bí mật của người dùng, và việc tính toán chỉ được thực hiện bởi máy chủ tin cậy có các bí mật đó.

Lược đồ chữ ký dựa trên định danh (IBS) có nền tảng là một lược đồ chữ ký trong đó việc xác thực chữ ký có thẻ được thực hiện mà không cần bên xác thực và người ký tương tác với nhau, hoặc trực tiếp hoặc qua proxy giống như một thư mục hoặc máy chủ chứng thực, trước khi xác minh các chữ ký. Các hệ thống khác có thể yêu cầu kết nối đến máy chủ cho mỗi lần xác thực.

Lược đồ^[9] được mô tả dưới đây là lược đồ dựa trên định danh của Bellare, Namprepre và Neven^[1], lược đồ mà dựa trên lược đồ định danh Schnorr, nhưng tối ưu hơn. Bằng việc sử dụng các kỹ thuật được quy định trong Phụ lục B, Cơ chế chữ ký dựa trên định danh được nêu trong phần này có thể trở thành cơ chế rất hiệu quả cho các thiết bị hạng nhẹ.

CHÚ THÍCH Các chứng minh an toàn của cơ chế được mô tả dưới đây có trong [9].

...

...

...

Cơ chế IBS cho phép bên xác thực kiểm tra việc người ký sử dụng khóa ký của mình để tạo ra chữ ký cho một thông điệp cho trước.

Với một miền cho trước, các yêu cầu sau phải được thỏa mãn.

a) Các tham số miền mà chi phối hoạt động của cơ chế phải được lựa chọn. Các tham số đã lựa chọn phải được cung cấp một cách tin cậy cho tất cả các thực thể của miền.

b) Các tham số miền phải bao gồm đường cong elliptic E và một tập các tham số, cụ thể là điểm cơ sở P trên E, và cấp n của điểm P.

c) Mỗi điểm P được sử dụng như là cơ số cho logarit rời rạc trên đường cong elliptic phải thỏa mãn, với mỗi điểm J bất kỳ trên đường cong, việc tìm một số k trong khoảng [0, n-1] (nếu tồn tại), sao cho J = [k]P là không khả thi về mặt tính toán, trong đó tính khả thi được xác định bởi ngữ cảnh sử dụng cơ chế.

d) Mỗi người ký và máy chủ tin cậy phải có các phương pháp để sinh ra các số ngẫu nhiên.

e) Tất cả các thực thể trong miền phải thống nhất sử dụng một hàm băm kháng va chạm, ví dụ như một trong số các hàm băm được đặc tả trong TCVN 11816-3^[23].

f) Máy chủ tin cậy phải lựa chọn ngẫu nhiên đều một số mới t, số này phải khác 0 và nhỏ hơn n, và việc tính toán điểm công khai T được thực hiện bằng cách lấy T là điểm nhận được qua phép nhân điểm cơ sở P với số t: T = [t]P.

g) Máy chủ tin cậy phải giữ số t như khóa chủ bí mật và khai báo đường cong E, điểm T, điểm cơ sở P, và số n như các tham số.

...

...

...

Người ký A phải hỏi máy chủ tin cậy để sinh khóa ký của mình. Với mỗi ứng dụng của cơ chế, các thủ tục sau phải được thực hiện bởi máy chủ tin cậy.

Máy chủ tin cậy phải lựa chọn ngẫu nhiên đều một số mới r khác 0 và nhỏ hơn n, và tính toán điểm R = (x_R,y_R) với R được lấy là kết quả phép nhân của điển cơ sở P với số r.

R = [r]P

a) Một số s phải được tính toán từ số ngẫu nhiên r và khóa chủ bí mật của máy chủ tin cậy t.

s = r + h(x_R || ID) × t mod n

với h là hàm băm kháng va chạm và ID là xâu nhị phân biểu diễn định danh hoặc thông tin định danh của người ký A.

b) Khóa ký của người ký A là {R, S}

CHÚ THÍCH Khóa bí mật được sinh một cách đúng đắn sẽ thỏa mãn công thức sau: [s]P = R + [h(x_R || ID)]T

7.4  Ký

...

...

...

a) Người ký phải lựa chọn ngẫu nhiên đều một số mới y khác 0 và nhỏ hơn n.

b) Tính điểm Y = (x_Y,y_Y) với Y là kết quả của phép nhân của điểm cơ sở P với số y.

Y = [y]P

c) Số z phải được tính toán từ khóa bí mật K và s.

z = y + h(x_Y || x_R || m) × s mod n

d) Chữ ký của người ký A và thông điệp m là {Y, R, z}

7.5  Kiểm tra

Để kiểm tra chữ ký {Y, R, z} của người ký A với định danh ID đối với thông điệp m, bên xác thực phải tính:

c = h(x_Y || x_R || m)

...

...

...

[z]P = Y + [c]R + [c × h(x_R || ID)]T

Bên xác thực sẽ đưa ra đồng ý nếu phương trình trên đúng hoặc từ chối nếu ngược lại.

8  Cơ chế xác thực một chiều dựa trên các logarit rời rạc trên đường cong elliptic trên trường hữu hạn có đặc số hai

8.1  Tổng quan

Cơ chế này, ELLI, được thiết kế để tạo ra mật mã phi đối xứng sử dụng được trên các thẻ RFID thụ động của các vùng lân cận (hoạt động với khoảng cách tới 1m) cho các ứng dụng chính được dự định bảo vệ thương hiệu/chống hàng giả trong các hệ thống phân tán lớn. Lược đồ ELLI và khái niệm để cài đặt nó trên thẻ RFID thụ động được trình bày lần đầu tiên trong một bản đệ trình cho cuộc thi an toàn công nghệ thông tin của Đức được phát động bởi tổ chức Horst-Gortz năm 2006. Lược đồ này cũng được mô tả trong các tài liệu viện dẫn [30] và [31] (không sử dụng tên ELLI).

Khái niệm cơ bản ELLI có liên quan chặt chẽ với phiên bản Diffie-Hellman cho các đường cong elliptic trên trường F(2^g). Nhưng, do nó sử dụng một số giao thức đặc biệt và các bước tối ưu hóa tham số, nên nó được đặt tên riêng. Các tối ưu hóa bao gồm:

- Các y-tọa độ của các điểm trên đường cong elliptic không được sử dụng.

- Việc kiểm tra xem một phần tử trường cho trước có phải là x-tọa độ của một điểm trên đường cong elliptic đã khẳng định hay không được bỏ qua.

CHÚ THÍCH ELLI là viết tắt của ELLIPTIC LIGHT.

...

...

...

Lược đồ ELLI là cơ chế các thực một chiều dựa trên logarit rời rạc trên đường cong elliptic định nghĩa trên trường hữu hạn có đặc số hai. Nó cho phép bên xác thực kiểm tra rằng bên được xác thực biết logarit rời rạc trên đường cong elliptic của một điểm công khai được xác nhận gắn với điểm cơ sở.

Một nền tảng chung cho các kỹ thuật mật mã dựa trên đường cong elliptic được chỉ ra trong ISO/IEC 15946-1. Với cơ chế ELLI, một vài tính chất bổ sung của các đường cong elliptic xác định trên trường hữu hạn F(2^g) được sử dụng mà không được mô tả trong ISO/IC 15946-1. Các đặc điểm đó được trình bày bên dưới.

Với một miền cho trước, các yêu cầu sau phải được thỏa mãn. Các tham số miền chi phối hoạt động của cơ chế phải được lựa chọn. Các tham số đó bao gồm:

- Một trường hữu hạn có đặc số hai, F(2^g).

- Đường cong elliptic thông thường E xác định trên F(2^g). Đường cong E phải được cho bởi phương trình Weierstrass rút gọn: Y² + XY = X³ + aX² + b với b ≠ 0_F, và phải được lựa chọn sao cho hai điều kiện sau được thỏa mãn:

- # (E) = 4q₁ với q₁ là số nguyên tố;

- # (E_twist) = 2 q₂ với q₂ là số nguyên tố;

- Một điểm P = (x_P,y_P) trên E sinh một nhóm con cấp q₁.

CHÚ THÍCH 1 Trong trường hợp này, điều kiện q₁ < q₂ tự động được thỏa mãn. Điều này là do thực tế rằng # (E) và # (E_twist) có cùng cấp độ lớn theo hệ quả của định lý Hasse-VVeil (xem phụ lục F).

...

...

...

Các tham số được lựa chọn phải được cung cấp, cho sự mở rộng cần thiết và theo cách đáng tin cậy tới tất cả các thực thể trong miền.

a) Mỗi bên được xác thực phải được cung cấp một khóa bí mật.

b) Mỗi bên được xác thực phải có khả năng thực hiện các phép toán cộng và phép toán nhân trong trường F(2^g).

c) Mỗi bên được xác thực phải có khả năng thực hiện hàm MUL_b,proj được giới thiệu trong Mục 4, với mỗi giá trị b cụ thể có liên quan đến đường cong elliptic E.

d) Mỗi bên xác thực phải nhận được bản sao tin cậy của khóa công khai tương ứng với khóa bí mật của bên được xác thực

e) Mỗi bên xác thực phải được cung cấp một điểm cơ sở P trên đường cong elliptic E với q₁ là cấp của P.

f) Mỗi bên xác thực phải có khả năng thực hiện các phép toán cộng, phép nhân và phép chia trên trường F(2^g).

g) Mỗi bên xác thực phải có khả năng sinh một cách ngẫu nhiên các số nguyên dương < q₁.

h) Mỗi bên xác thực phải có khả năng thực hiện hàm MUL_b.aff được giới thiệu trong Mục 4, với mỗi giá trị b cụ thể liên quan đến đường cong elliptic E.

...

...

...

8.3  Tạo khóa

Để tạo ra một cặp khóa, hai bước sau được thực hiện.

a) Bên được xác thực A phải lựa chọn ngẫu nhiên và đều một số nguyên Q từ tập {2, ...q₁ - 1}. Khóa bí mật của A là số nguyên Q.

b) Khóa công khai của A là MUL_b.aff(Q,x_P), tức là x-tọa độ (affine) của điểm G = [Q]P = (x_G,y_G).

8.4  Cơ chế xác thực một chiều

Cơ chế này cho phép bên xác thực B xác thực bên được xác thực A, được tóm tắt trong Hình 3. Trong Hình 3, các chữ cái trong ngoặc từ a) đến e) tương ứng vói các bước của cơ chế, bao gồm các trao đổi thông tin, được mô tả chi tiết bên dưới.

CHÚ THÍCH Cơ chế xác thực tuân theo cách tiếp cận "thách thức - phản hồi"

Hình 3 - ELLI

...

...

...

a) Bên xác thực lựa chọn ngẫu nhiên một số mới r với 0 < r < q₁ và tính MUL_b.aff(r,x_P) và MUL_b.aff[r,G(A)], tức là x-toạ độ affine x_T của điểm T = [r]P và x-tọa độ affine x_v của điểm V = [r]([Q]P).

Thách thức d là phần tử trường d = x_T.

b) Bên xác thực gửi d cho bên được xác thực

c) Khi nhận được thách thức d, bên được xác thực A tính toán D = MUL_b,proj(Q, d) = (X_U:Z_U), x-tọa độ xạ ảnh của điểm U = [Q]T, bao gồm hai phần tử trường X_U và Z_U trên trường F(2^g).

D = (X_U:Z_U) là phản hồi

d) Bên được xác thực gửi D cho bên xác thực

e) Khi nhận được phản hồi D, bên xác thực B kiểm tra xem có xảy ra hoặc X_U = 0_F hoặc Z_U = 0_F. Nếu một trong hai điều kiện xảy ra, bên được xác thực được xem là không hợp lệ.

Nếu X_U ≠ 0_F và Z_U ≠ 0_F, bên được xác thực tính x_vZ_U trên trường F(2^g) và kiểm tra xem phương trình X_U = x_vZ_U có đúng trên trường F(2^g) hay không. Bên được xác thực được xem là hợp lệ nếu và chỉ nếu phương trình X_U = x_vZ_U đúng.

...

...

...

(quy định)

Các định danh đối tượng

Phụ lục B

(quy định)

Kỹ thuật cân bằng tính toán bộ nhớ

Kỹ thuật sau có thể được sử dụng để đơn giản hóa việc tính toán lũy thừa hoặc phép nhân vô hướng. Các hoạt động này được sử dụng nhiều trong các cơ chế mật mã được quy định trong ISO/IEC, đặc biệt là dựa trên logarit rời rạc. Ví dụ, một vài cơ chế chữ ký quy định trong TCVN 12214-3^[24] và ISO/IEC 9796-3^[19], và các cơ chế xác thực thực thể trong TCVN 11817-5^[21] có thể được thực hiện theo cách này. Bằng cách sử dụng kỹ thuật này, cơ chế chữ ký dựa trên định danh được trình bày trong phần 7 có thể trở thành cơ chế rất hiệu quả cho các thiết bị hạng nhẹ.

Kỹ thuật cân bằng của tính toán thuận tiện là sự gia tăng yêu cầu bộ nhớ.

...

...

...

Với mỗi i từ tập [0, |n| - 1], các điểm Y_i được đặt bằng phép nhân vô hướng của điểm cơ sở P với 2ⁱ, tức là:

Y_i = [2ⁱ]P

Để tính toán Y = [y]P với một số y khác 0 mà nhỏ hơn n, thủ tục sau phải được thực hiện:

a) Đặt Y = [0]P

b) Với i = 1 đến |n| tính:

Nếu y[i] = 1 thì Y = Y + Y_i-1

c) Đưa ra Y.

Phụ lục C

...

...

...

Các ví dụ số

C.1  Cơ chế cryptoGPS

c.1.1  Tạo khóa

Đường cong elliptic E cho ví dụ này là đường cong P-192 xác định trên FIBS PUB 186-3^[17]

E: Y² = X³-3X + b trên F_q

q =

FFFFFFFF

FFFFFFFF

FFFFFFFF

...

...

...

FFFFFFFF

FFFFFFFF

b =

64210519

E59C80E7

0FA7E9AB

72243049

FEB8DEEC

C146B9B1

...

...

...

P =

(x_P, y_P)

   =

(188DA80E

...

...

...

7CBF20EB

43A18800

F4FF0AFD

82FF1012,

07192B95

FFC8DA78

631011ED

6B24CDD5

...

...

...

1E794811)

n là cấp của điểm cơ sở P

n =

FFFFFFFF

FFFFFFFF

...

...

...

99DEF836

14SBC9B1

B4D22831

Ví dụ này sử dụng hàm băm SHA-256, tức là hàm băm thứ tư đã quy định trong TCVN 11816-3^[23].

Độ dài các thách thức theo bit d = 40 và σ = |n| = 192 bit.

C.1.2  Trao đối xác thực

Khóa bí mật

Q = 4F1DF03A  A32DCA02  652E83E7  E5FF5259  D61F5563  B3A0FA10

Điểm công khai

...

...

...

G(A) = -[Q]P

= (x_G , y_G)

= (D753BF14

9529BC23

 B1850A37

 57C4D34A

 0D686A95

 C3B03855,

   1656B8CB

...

...

...

 BC8F94A8

 F3708741

 B954CC44

 4FC3 951A)

Biến thể thứ hai, điểm công khai G(A) bằng điểm ngược của điểm nhận được qua phép nhân điểm cơ sở P với số Q.

G(A)= [Q]G

...

...

...

= (x_G, y_G)

= (D753BF14

9529BC23

 B1850A37

57C4D34A

...

...

...

 0D686A95

 C3B03855,

   E9A94734

D769402B

 43706B57

0C8F78BD

 46AB33BB

 B03C6AE5)

...

...

...

r là một xâu mới gồm các bit ngẫu nhiên có độ dài ρ = σ + β + 80 = 192 + 40 + 80 = 312 bit.

w là bằng chứng sao cho W = EC20SP_E([r]P,uncompressed)

r =

05E8B1

554DCD2B

E1121B08

C812A76D

FB9A0F58

98F8BA3E

...

...

...

9CEFE94D

629BC223

40B5F04B

[r]P =

(DAD48D02

FFE42756

 4B83E223

 843D0DF8

4C0F5FFF

...

...

...

B51C15B7

E8AF6E22

1D52CF92

6FD381B0

B35358CF,

A816720F)

W =

04

...

...

...

 DAD48D02

 843D0DFB

4B03E223

F3166971

4C0F5FFF

E8AF6E22

B51C15B7

6FD3B1B0

1D52CF92

...

...

...

B3S358CF

Bước b

TokenAB₁

 = h(W || Text) với trường văn bản Text là rỗng. Từ đó, TokenAB₁ = h(W).

h(W) =

0EB01E5E

32CA889D

099C8F6E

...

...

...

A3CD6008

C2849B43

0E07BCC7

Bước c, d

Thách thức của bên xác thực

d = 2D  F0F5E4F2

Bước e,f

Biến thể đầu tiên, phản hồi thách thức, TokenAB₂ là D = r + d x Q.

...

...

...

5E8B1

F2CA1F36

E1121B08

FDD94248

FB9A0F67

E8485D5E

2ED9CE4 8

044BD618

3242087C

...

...

...

Biến thể thứ hai, phản hồi thách thức TokenAB₂ là D = r - d x Q.

D =

5E8B1

B7D17B20

E1121B08

924C0C92

FB9A0F4A

49A9171E

C9635817

...

...

...

92F57BC9

D38E3D03

Bước g

Kiểm tra

...

...

...

W* =

04

FFE42756

DAD48D02

843D0DF8

4B83E223

F3166971

4C0F5FFF

E8AF6E22

...

...

...

6FD381B0

1D52CF92

A816720F

E35358CF

h(W*) =

 0EB01E5E

B5241843

32CA889D

099C8F6E

...

...

...

A3CD6008

C2849B43

OE07BCC7

Xác thực là hợp lệ.

C.2  Cơ chế ALIKE

Các tham số của ALIKE được lựa chọn với 80 bit an toàn.

Kích thước bít cho modulus N là 1280 bit và 352 bit cho p₁.

Mã khối E_K được lựa chọn từ TCVN 12854-2^[27] hoặc TCVN 11367-3^[26]. Trong ví dụ này, nó là mã khối AES với kích thước khóa u là 128 bit.

CHÚ THÍCH Từ đó AES có kích thước khối là 128 bit, trong ví dụ này u và v bằng nhau.

...

...

...

e = 0000000B

p₁ =

DD30D446

E32767CF

E14885E7

44D077D0

89F82A87

37F53C4D

36AA9463

...

...

...

7C250E7D

A516CA16

15C3B394

2B1CA791

p₂ =

B544FE3B

...

...

...

FA19B2E6

275CD79E

B09CC643

44C03C6C

268F3624

5989FECC

F44EC445

72A1F3C6

...

...

...

4D17FDEC

0BF550D3

3 9C14EE8

4893CF1A

1E9BAF91

341AC6A9

E8B337B1

6B13B3A0

...

...

...

E5D63E70

0B93030D

BDAF9D6B

AFDBD696

6C1F09A0

95FA383C

32272D88

77A3F8FD

...

...

...

p₁ × p₂

   =

9C9F22B8

...

...

...

54E7F600

63D134AB

6AF4BA29

046C2048

C7C0BC70

07686209

092D5B0B

BE6E2D88

...

...

...

D2A43371

29490102

2401CCE7

A0143B96

13B1727B

BC704892

F22B9EE6

A0C1F377

...

...

...

2EAC4879

3D88C4B3

800F5021

BAC0884C

A05EA932

38FD8D35

50F227C6

8DB51EFE

...

...

...

A8051C08

8D475FC4

9A563C02

9616FDD0

650C5B66

ED2E1EFD

84732F70

F6F1A24A

...

...

...

19864A5D

75F9124D

...

...

...

t =

C9151E11

E5C6BB77

29E4D6D2

3E8EF88F

091026A9

...

...

...

77B3CCB7

8821B015

21B7A071

2B0F0058

27315283

...

...

...

C.2.2  Trao đổi xác thực

Bước a, b

k là một xâu mới gồm các bit ngẫu nhiên có độ dài u-1 được sử dụng để tính toán cam kết y.

k = 6C64D272  0B770A23  D5700C0B  EBC63E5E

Bước c, d

r là một xâu mới gồm các bit ngẫu nhiên có độ dài u -1.

r =  6E5707FA  1F9171C1  D802C92C  605A3FD1

1 || r = EE5707FA  1F9171C1  D802C92C  605A3FD1

...

...

...

pad =

B8C940AE

B22FDB93

7A1FE295

1584A26C

Thách thức của bên xác thực

...

...

...

d =

(r || pad)^e mod N

...

...

...

   =

18240256

E10CFD25

725AD87B

7EBAFB43

81988968

B7D35E4F

6D75A201

...

...

...

6480DFA6

B5E4E78A

EDE764E7

49CB5880

4BFA2A81

088ECFB3

3903AA0F

31E3CE42

...

...

...

4F418EED

F76D6914

D6B40C9B

205A00E5

6C8008AC

13FFD2F1

CA57FB8A

B6B57001

...

...

...

BBE14BB5

D5200511

20F744E4

9B87B87E

7F411F3D

4657E4AF

A26E6D0B

F4414095

...

...

...

06CF6EE5

6C244F17

F30CDB58

C6226D80

AEDC70F4

...

...

...

Phản hồi thách thức:

D =

= 01203402   350C0611   F34C71BF   59F9CC3E

Bước g

Kiểm tra.

C.2.3  Trích xuất khóa phiên

Một cách tùy chọn, một khóa phiên s_k có thể được thiết lập.

s_k =

=  0233D588   14E67BE2   0D72C527   8B9C01BF

...

...

...

C.3.1  Quá trình tạo khóa

Đường cong elliptic cho ví dụ này là:

E: Y² = X³ + aX + b trên F_q

với

a = FFFFFFFF

FFFFFFFF

FFFFFFFF

FFFFFFFF

7FFFFFFC

...

...

...

b = 1C97BEFC

54BD7A8B

65ACF89F

81D4D4AD

C565FA45

q = FFFFFFFF

FFFFFFFF

FFFFFFFF

...

...

...

7FFFFFFF

Điểm cơ sở P trên E.

P = (x_P, y_P)

...

...

...

=      (4A96B56B

8EF57328

46646989

6BC38BB9

13CBFC82,

...

...

...

         23A62855

3168947D

59DCC912

04235137

7AC5FB32)

n là cấp của điểm P

...

...

...

n =                                     1

00000000

00000000

0001F4C8

F927AED3

CA752257

t là khóa chủ bí mật.

...

...

...

t =       D21DF3A7

5787F180

5F00792F

9D8C317C

23FDF91B

...

...

...

T là điểm công khai

T = (x_T, y_T)

...

...

...

   =  (1B2F7E1F

831DF943

F82CFBE2

FF753A4C

9DF8040A,

        1FFE799A

...

...

...

86652027

CEA9A60A

00E1FB73)

ID là thông tin định danh của người ký. |ID| = 8 bit.

ID = 01

r là số mới nhỏ hơn n

r = 8A29A77B   8826FC67   2ABEA682   FEAEE9C3   6E1A78C2

...

...

...

= (x_R, y_R) with |x_R| = |y_R| = 160 bits

= (1040E9BF   14546E1B    38FC74B5   31228C69   AF0BAED3,

     8DC50619   E3B28AEC  B8296F17   51466289   D320S3F6)

Ví dụ này sử dụng hàm băm SHA-1, tức là hàm băm thứ ba được quy định trong TCVN 11816-3^[23].

s = r + h(x_R || ID) x t mod n

=   49952E7E   4289DFA8   CE6ADB2F   55BA9C70   D89AA3C7

C.3.2  Ký

C.3.2.1  Ví dụ 1

m là một thông điệp 160 bit

...

...

...

Bước a

y là một số mới nhỏ hơn n

y = 00000000   00000000   00000000   00000000   00000007

Bước b

Y = [y]P

   = (x_Y, y_Y) with |x_Y| = |y_Y| = 160 bits

x_Y =  7A7F99D5   6472F619  577C4E8C   9B3A35E9   61472188

Bước c, d

z = y + h(x_Y ||x_R|| m) × s mod n

...

...

...

C.3.2.2  Ví dụ 2

Thông điệp:

m =    00000000   00000000    00000000   00000A79    19B70693

Bước a

y là một số mới nhỏ hơn n.

y =    00000000   00000000   00000000   00000000   00000010

Bước b

Y = [y]P

   = (x_Y, y_Y)

...

...

...

Bước c

z = y + h(x_Y ||x_R|| m) x s mod n

   = BB7A0E5A   805F67A6   CF00FF5A   0BF8B782   0803751E

C.3.3  Kiểm tra

C.3.3.1  Ví dụ 1

[z]P = (x_[z]P, y_[z]P) với

x_[z]P =  88913D78   4FD959FF   91E14157  D44799FA   674B2717

C.3.3.2  Ví dụ 2

...

...

...

C.4  Cơ chế ELLI

C.4.1  Các ví dụ dựa trên ELLI_163.1

C.4.1.1  Các tính chất chung

Đường cong elliptic ELLI_163.2 và trường cơ bản F(2^g) được xác định trong phụ lục E.1. Các ví dụ số dưới đây dành cho lược đồ xác thực ELLI, bao gồm các bước sinh khóa, sinh thách thức và sinh phản hồi.

Điểm cơ sở P được sử dụng chung trong tất cả các ví dụ của ELLI_163.1.

ĐIỂM CƠ SỞ P

x_P

6 2DAE88E2  17BEFF09  F408E8F8  91EC8E51  05C9E8AB

y_P

...

...

...

CHÚ THÍCH Tọa độ-y y_P của điểm cơ sở P không cần thiết sử dụng trong cơ chế ELLI.

C.4.1.2  Ví dụ 1

Một cặp khóa cho bên được xác thực được tạo ra.

SINH CẶP KHÓA

KHÓA BÍ MẬT Q

DFCAC3BC  9A1E4B54  E03FAD6E  E932F3BC  61170C51

KHÓA CÔNG KHAI G(A)

2 33C2A2B8  8BEE7DD9  1DB430F9  161B0A88  B7FEB527

Một thách thức d được sinh ra bởi bên xác thực với đầu vào là số ngẫu nhiên r và tọa độ x_P của điểm cơ sở và sử dụng hàm MUL_b,aff(r, x_P).

...

...

...

Phản hồi D được sinh ra bởi bên được xác thực với đầu vào là thách thức d và khóa bí mật Q sử dụng hàm MUL_b,proj.

D = (X_u : Z_u) = MUL_b,proj(Q,d)

SINH THÁCH THỨC d = MUL_b,aff(r,x_p)

SỐ NGẪU NHIÊN r

93D4625C 890DE3CD 8889225C 180E03C3 DF647S45

THÁCH THỨC d

5 3735DD9D 700B0617 D6B0FE8E B0BA11D8 65D9532F

PHẢN HỒI CÓ KHẢ NĂNG D = (X_U : Z_U)

GIÁ TRỊ-X X_U

...

...

...

GIÁ TRỊ-Z Z_U

0 447352DD  05B0568B  191865A5  1FA0779C  DD81258D

4 531ADD58  617220E6  4A3915D5  6BCD69FD  F434A2F2

CHÚ THÍCH Cặp (X_U : Z_U) là "tọa độ xạ ảnh x”, và từ đó không có một giá trị số cụ thể nào. Giá trị số duy nhất được thêm vào có liên quan đến thách thức là tọa độ affine x . Nó xảy ra cho tất cả các ví dụ dưới đây.

C.4.1.3  Ví dụ 2

SINH CẶP KHÓA

KHÓA Bí MẬT Q

DE5A6D34 F3A8C4E1 6E132FD4 33F4B4BD 65E20CB9

...

...

...

3 E8462A29 41BB3D71 433AEB2C 67877D4B 88D5529D

SINH THÁCH THỨC d = MUL_b,aff(r, x_P)

SỐ NGẪU NHIÊN r

F9B6C01B CD3A85A8 99986F79 F4AFD289 056A3842

THÁCH THỨC d

61FE5AEC F245ECE4 B504CD65F E2D70C9C F28E6626

PHẢN HỒI CÓ KHẢ NĂNG D = (X_U : Z_U)

GIÁ TRị-X X_U

3 8487B630 029D21C3 0768C095 B2AEF06B 63FE8143

...

...

...

0 19BF93D2 222E56E0 B8B50A7D B9C41150 B9E9F93C

3 0DFD2997 2FD32C61 7356C895 D6912240 02752BFE

C.4.1.4  Ví dụ 3

SINH CẶP KHÓA

KHÓA BÍ MẬT Q

7E96501F 876C785B 1511893E 97F1E923 0967945E

KHÓA CÔNG KHAI G(A)

0 2F1B219C DD1FEBA1 64FB2B1E 805CF6F7 D65C15F7

...

...

...

SỐ NGẪU NHIÊN r

E3F72EA8 DF9A7E56 3039CBB3 745C14F9 759E40CF

THÁCH THỨC d

6 9EC45765 264CBA69 BBA3F698 789B06DF 26578B02

PHẢN HỒI CÓ KHẢ NĂNG D = (X_U : Z_U)

GIÁ TRị-X X_U

0 5EE19683 164ABCDC F021A091 8046AA5B 56C6B128

GIÁ TRI-Z Z_U

2 15B2A8AB 8CFCF47D E173C38A A6BB8F0E 46B19463

...

...

...

7 6F2BC182 34FDAD56 743C0387 90CEC425 54A5BD25

C.4.2  Các ví dụ dựa trên ELLI_193.1

C.4.2.1  Các thuộc tính chung

Đường cong lliptic ELLI_193.1 và trường cơ bản F(2^g) được xác định trong phụ lục E.4. Các ví dụ số cho lược đồ xác thực ELLI được đưa ra bên dưới, bao gồm các bước sinh khóa, sinh thách thức và sinh phản hồi.

Điểm cơ sở P được sử dụng chung trong tất cả các ví dụ của ELLI_193.1.

ĐIỂM CƠ SỞ P

x_P

1 C035F1CF E40C8BC6 B09F59E5 60953526 BB67E2A9 1CCD97B3

y_P

...

...

...

CHÚ THÍCH Tọa độ y y_p của điểm cơ sở P không cần thiết được sử dụng trong cơ chế ELLI.

C.4.2.2  Ví dụ 1

Một cặp khóa cho bên được xác thực được tạo ra.

SINH CẶP KHÓA

KHÓA BÍ MẬT Q

KHÓA CÔNG KHAI G(A)

Một thách thức d được sinh ra bởi bên xác thực với đầu vào là số ngẫu nhiên r và tọa độ x_P của điểm cơ sở và sử dụng hàm MUL_b,aff(r, x_P).

...

...

...

Phản hồi D được sinh ra bởi bên được xác thực với đầu vào của hàm MUL_b,proj là thách thức d và khóa bí mật Q.

D = (X_u : Z_u) = MUL_b,proj(Q,d)

SINH THÁCH THỨC d = MUL_b,aff(r,x_P)

SỐ NGẪU NHIÊN r

3B5E7757 6B069EBC 757E6D99 366255E8 64EE6E64 BA8D4318

THÁCH THỨC d

1 342322E0 A5A77B74 92886779 09545939 E590A632 9FF797FD

PHẢN HỒI CÓ KHẢ NĂNG D = (X_U : Z_U)

GIÁ TRỊ-X X_U

...

...

...

GIÁ TRỊ-Z Z_U

1 8FA597E9 D28CA94D 98C2872B D31D1297 8DEE3580 CC66DFCE

0 E1F66999 BE367042 C851A9E7 33B6A0CE 708C6165 1E6F0F7B

C.4.2.3  Ví dụ 2

SINH CẶP KHÓA

KHÓA BÍ MẬT Q

610C5354 FADFB86E 2893DDC8 D864416F 8E85FFC3 EFC430B2

KHÓA CÔNG KHAI G(A)

...

...

...

SINH THÁCH THỨC d = MUL_b,aff(r,x_P)

SỐ NGẪU NHIÊN r

47B631CF 510FE318 3D4CE47E 42A7F97B 70B3FD05 E9AEB4BE

THÁCH THỨC d

1 48BC609E ECE1EE7A 448900D6 5B2312A2 BB6928EC A7E21FC8

PHẢN HỒI CÓ KHẢ NĂNG D = (X_U : Z_U)

GIÁ TRỊ-X X_U

1 21A6A15C 09345264 811AD857 6833CAEB 4D1AA265 AB8E3E94

GIÁ TRỊ-Z Z_U

...

...

...

1 0321B38B 4EEFC4B3 A08107E7 D1159CC2 965D3DEC F509A71F

C.4.2.4  Ví dụ 3

SINH CẶP KHÓA

KHÓA BÍ MẬT Q

63825DA5 88BEDD37 3BFE2F2C 9E1E022D 32087314 4401AAD2

KHÓA CÔNG KHAI G(A)

1 D37D06DC 331EB141 03ABFBDD 4BACF334 10EDD836 F79CED32

SINH THÁCH THỨC d = MUL_b,aff(r,x_P)

...

...

...

69F78993 92558F1A D85A0D9B 853A7880 3F022000 4b28814C

THÁCH THỨC d

0 37D725B7 DB2A168E 9E52BE09 014A3AC3 8B2F802C B8808050

PHẢN HỒI CÓ KHẢ NĂNG D = (X_U : Z_U)

GIÁ TRỊ-X X_U

1 94F6B90F D19DF28C A91FF7E0 B201F02E E0D4DC31 7BF187AF

GIÁ TRỊ-Z Z_U

...

...

...

Phụ lục D

(tham khảo)

Các điểm đặc trưng

Phụ lục này mô tả các đặc trưng hạng nhẹ của các thuật toán được đề cập trong tiêu chuẩn này và sự tuân thủ các yêu cầu trong TCVN XXX-1. Trong phụ lục này, cơ chế IBS là cơ chế đã mô tả ở Điều 7 được cài đặt với kỹ thuật đưa ra trong Phụ lục B.

Bảng D.1 - Sự tuân thủ các yêu cầu trong TCVN XXX-1 của các đặc trưng của các cơ chế

Tên thuật toán

cryptoGPS^[5]

...

...

...

IBS^[9]

ELLI_163.1

ELLI_193.1

Các ràng buộc

Diện tích chip

X

X

...

...

...

Năng lượng tiêu thụ

X

X

X

X

Kích thước chương trình và kích thước RAM

X

...

...

...

X

X

Băng thông liên lạc

X

X

X

X

X

Thời gian thực thi

...

...

...

X

X

X

Bảng D.2 - Các đặc trưng cryptoGPS

cryptoGPS^[5]

Tính toán chính

...

...

...

Mô đun (Tính toán) đầy đủ

Độ an toàn [bit]

80

80

80

Diện tích chip [GE]

317

431

2876

...

...

...

1088

136

724

Năng lượng [GE*CLK]

344896

58616

2082224

Kỹ thuật [µm]

0,180

...

...

...

0,350

CHÚ THÍCH “Mô đun đầy đủ” bao gồm các quá trình sinh số giả ngẫu nhiên với việc tính toán trên thẻ cryptoGPS trong đó “tính toán chính” chỉ đề cập đến việc tính toán trên thẻ.

Bảng D.3 - Các đặc trưng ALIKE

ALIKE^[3]

Tiến trình PICC^a

Tiến trình PCD^b

Độ an toàn [bit]

...

...

...

80

Hàm đồng bộ hóa mật mã

Yêu cầu phép nhân vô hướng

Không yêu cầu

Yêu cầu của các hàm

Một bộ sinh số ngẫu nhiên. Hai mã khối thực thi mà không cần kênh kề cụ thể và các phép đo chống lại các tấn công.

Một lũy thừa mô đun với mudulo nhỏ (Ip₁I = 352 bit)

Một bộ sinh số ngẫu nhiên. Hai mã khối thực thi.

Một lũy thừa mô đun với số mũ nhỏ

...

...

...

Bộ nhớ bất biến (bộ nhớ điện tĩnh)

Để lưu trữ các khóa RSA của ALIKE (88 byte để so sánh với 400 byte của RSA cổ điển) và các chứng chỉ

Để lưu trữ khóa công khai của CA

Kích thước chương trình

1.6 kbyte trên 8051 lõi

Dữ liệu được truyền với tốc độ truyền 106.kb.s^-1

Dữ liệu đang truyền 160 byte ó 15.40 ms

Dữ liệu đang truyền 192 byte ó 18.8 ms

...

...

...

Từ 4 đến 15 nhanh hơn RSA cổ điển tùy theo thành phần

Ví dụ cho 8051 lõi: 80 ms là 31MHz cho CPU và 48 MHZ cho bộ đồng bộ hóa mật mã

^a PICC: Thẻ tích hợp vi mạch không tiếp xúc

^b PCD: Thiết bị ghép đôi không tiếp xúc

Bảng D.4 - Các đặc trưng IBS

IBS^[9]

Mức an toàn [bit]

...

...

...

Kích thước chương trình và kích thước RAM [Byte]

Nó dựa trên TinyOS 1.0.15 trên Micaz

Chỉ ký trực tuyến

flash = 54308

RAM = 858

Chỉ kiểm tra

flash = 55374

RAM = 922

Thời gian thực thi [ms]

...

...

...

896

Kiểm tra

5610

Năng lượng tiêu thụ [µJ]

Nó dựa trên Micaz Atmel128L

Ký trực tuyến

12370

Kiểm tra

77400

...

...

...

480

Bảng D.5 - Các đặc trưng ELLI

ELLI_163.1

ELLI_193.1

Độ an toàn [bit]

80

80

...

...

...

Tổng số mô đun ELLI

12876

xấp xỉ 15000

Lưu trữ

5273

xấp xỉ 6243

Đơn vị toán học + điều khiển lô gic

6171 + 1432 = 7003

xấp xỉ 8750

...

...

...

80645

xấp xỉ 95000

Năng lượng tiêu thụ [µJ]

7,5

xấp xỉ 10,5

Dữ liệu trên đường truyền [bit]

3 x 163

3 x 193

...

...

...

CHÚ THÍCH 2 Dựa trên thuật toán Pollard-Rho để tính logarit rời rạc, ta có thể lập luận rằng độ an toàn của các thực thể trên hai hàng nên được đặt tương ứng từ 81 đến 95. Nhưng, theo TCVN 12854, các thực thể được cho phép lại bị giới hạn bởi các giá trị 80, 112,192, và 256.

CHÚ THÍCH 3 Với các thực thể trong hàng 2 của Bảng 5, các tấn công yêu cầu một số lượng lớn các truy vấn của thuật toán và một số lượng lớn bộ nhớ không được xem xét, ví dụ như vượt quá 2³⁴ lượt truy vấn và kích thước lưu trữ 2⁶⁴. Nếu số các truy vấn tới các thiết bị được cho phép lả 2^34,3 và kích thước lưu trữ là 2³⁴ được giả định là có sẵn cho các tấn công, thì mức an toàn bị giảm xuống đến 72 trong trường hợp ELLI_163.1. Xem mục G.3.

Phụ lục E

(quy định)

ELLI_163.1 và ELLI_193.1

E.1  Tổng quan