Tiêu chuẩn quốc gia TCVN 11817-5:2020 (ISO/IEC 9798-5:2009) về Công nghệ thông tin - Phần 5

4  Các cơ chế dựa trên định danh

4.1  Yêu cầu an toàn đối với môi trường

Các cơ chế này cho phép bên xác thực kiểm tra rằng bên được xác thực biết (các) khóa riêng có liên quan đến dữ liệu định danh bằng khóa xác thực.

CHÚ THÍCH Các cơ chế này thực thi lược đồ của Fiat và Shamir^[4] được ký hiệu là FS hoặc theo lược đồ của Guillou và Quisquater^[11] được ký hiệu là GQ1.

Trong một miền cho trước phải thỏa mãn các yêu cầu sau đây.

1) Các tham số miền phải được chọn nhằm điều chỉnh hoạt động của cơ chế. Bao gồm hàm băm, ví dụ: một trong các hàm được quy định trong TCVN 11816-3 [25]. Các tham số được chọn phải đảm bảo độ tin cậy cho tất cả các thực thể trong miền.

2) Mỗi bên được xác thực phải được trang bị một số mô-đun là tham số miền hoặc tham số bên được xác thực. Mỗi số được sử dụng là mô-đun bằng tích của hai hay nhiều thừa số nguyên tố khác nhau sao cho thông tin về giá trị của nó không cho phép bất kỳ thực thể nào suy ra các thừa số nguyên tố của số đó, trong đó tính khả thi được định nghĩa theo ngữ cảnh sử dụng cơ chế.

- Nếu mô-đun là một tham số miền, thi được ký hiệu là n. Trung tâm ủy nhiệm lựa chọn nó và chỉ cơ quan này mới có thể sử dụng các thừa số nguyên tố tương ứng. Trung tâm ủy nhiệm bảo đảm định danh cho mọi bên được xác thực trong miền.

CHÚ THÍCH 1 Ví dụ, một công ty phát hành thẻ có một số mô-đun. Một thực thể được ủy quyền ký lên dữ liệu định danh để phát hành thẻ thông minh; nó sử dụng các thừa số nguyên tố của công ty phát hành. Trong mỗi thẻ, thực thể được ủy quyền lưu trữ dữ liệu định danh thích hợp và (các) khóa riêng. Trong suốt thời gian có hiệu lực, thẻ sử dụng (các) khóa riêng của nó theo một cơ chế dựa trên định danh.

...

...

...

CHÚ THÍCH 2 Ví dụ, trong một mạng địa phương, một cơ quan giám sát mọi hoạt động đăng nhập trong miền và quản lý một thư mục mà mỗi bên xác thực có thể có được một bản sao đáng tin cậy của số mô-đun cho mỗi chủ thể.

- Trong mỗi lần đăng nhập, tức là khi máy tính mở một phiên, nó sử dụng các thừa số nguyên tố của chủ thể làm dữ liệu định danh phiên cho “đăng nhập một lần” bao gồm số định danh, ngày và thời gian hết hạn, quyền, ...

- Trong phiên, máy tính không thể sử dụng các thừa số nguyên tố vì nó không còn biết chúng nữa. Nó sử dụng (các) khóa riêng phù hợp với cơ chế dựa trên định danh. Các khóa riêng chỉ kéo dài trong vài giờ, không còn giá trị sau phiên làm việc.

3) Mỗi bên được xác thực phải được cung cấp dữ liệu định danh với một hoặc nhiều khóa riêng. Dữ liệu định danh là một xâu bit, không phải tất cả đều bằng nhau, là duy nhất và xác định chính xác bên được xác thực theo một quy ước đã thỏa thuận.

CHÚ THÍCH Sự hiện diện của ngày và thời gian hết hạn trong dữ liệu định danh giúp thi hành hết hạn; sự hiện diện của số sêri đơn giản hóa việc thu hồi đó.

4) Mỗi bên xác thực phải nhận được một bản sao đáng tin cậy của số mô-đun chính xác của bên được xác thực.

CHÚ THÍCH Các cách chính xác mà bên xác thực có được một bản sao đáng tin cậy của mô-đun chính xác nằm ngoài phạm vi của tiêu chuẩn ISO/IEC 9798. Ví dụ, có thể đạt được bằng việc sử dụng chứng chỉ khóa công khai hoặc bằng một số cách khác phụ thuộc vào môi trường.

5) Mỗi bên được xác thực và bên xác thực phải có công cụ để tạo ra các số ngẫu nhiên.

4.2  Tạo khóa

...

...

...

Phải lựa chọn một số mũ xác thực, một tham số số lượng cặp và một tham số số lượng trao đổi. Trừ khi có quy định khác, đó là các tham số miền được ký hiệu tương ứng là v, m và t.

- Một số giá trị của v, chẳng hạn như các số nguyên tố 2,257, 2¹⁶ + 1,2³² + 15,2³⁶ + 2¹³ + 1 và 2⁴⁰ + 15, có một số lợi thế thực tế.

- Giá trị của m tối đa bằng tám nếu v = 2 và đặt bằng một nếu v là một số nguyên tố lẻ.

- Giá trị của v ^-mxt xác định một mức an toàn của cơ chế (xem C.1.4). Giá trị từ 2^-8 đến 2^-40 thích hợp cho hầu hết các ứng dụng.

Một số, ký hiệu là α xác định kích thước mô-đun tính bằng bit, tức là 2^α-1 < mô - đun < 2^α phù hợp với hoàn cảnh sử dụng cơ chế (xem C.1.1 để biết thêm thông tin chi tiết). Nó là một tham số miền.

Tổ chức hoặc chủ thể phải giữ bí mật hai hoặc nhiều thừa số nguyên tố lớn khác nhau được ký hiệu là p₁, p₂... theo thứ tự tăng dần, tích của chúng chính là số mô-đun.

• Nếu v = 2 (lược đồ Rabin), chỉ có duy nhất hai thừa số nguyên tố (tức là ƒ = 2), cả hai đồng dư với 3 mod 4, nhưng không đồng dư với nhau mod 8.

• Nếu v là một số nguyên tố lẻ (lược đồ RSA), có nhiều hơn hai thừa số nguyên tố. Đối với mỗi thừa số nguyên tố p_j, p_j - 1 phải nguyên tố cùng nhau với v.

Nếu α là bội số của số lượng các thừa số nguyên tố, ký hiệu là ƒ, thì kích thước bit của từng thừa số nguyên tố phải bằng a/ƒ (xem C.1.2 để biết thêm thông tin chi tiết), số mô-đun được đặt bằng p₁ x p₂ nếu v = 2, hoặc bằng p₁ x ... x p_ƒ nếu v là số lẻ. Theo yêu cầu thứ hai trong 5.1, số mô-đun là tham số miền được ký hiệu là n hoặc là tham số bên được xác thực ký hiệu là n(A).

...

...

...

Đối với số mô-đun, số mũ công nhận, ký hiệu là u, được đặt bằng số nguyên dương nhỏ nhất sao cho u x v + 1 là bội của lcm(p₁ - 1, p₂ - 1)/2 nếu v = 2, hoặc của lcm(p₁ - 1, ..., p_ƒ - 1) nếu v là một số nguyên tố lẻ.

4.2.2  Cặp số phi đối xứng

4.2.2.1  Trường hợp v = 2

Dữ liệu định danh ld(A) phải được chuyển đổi thành m phần bằng cách thêm 16 bit đại diên cho các số từ 1 đến m, cụ thể là ‘0001’, ‘0002’,..., lần lượt đến xâu ld(A).

CHÚ THÍCH Cơ chế dưới đây bắt nguồn từ cơ chế định dạng đầu tiên được quy định trong ISO/IEC 14888-2^[27], được gọi là PSS (PSS là viết tắt của lược đồ chữ ký xác suất - Probabilistic Signature Scheme) và do Bellare và RogaWay đề xuất ^[1].

Để chuyển đổi từng phần, từ Id₁(A) đến Id_m(A) thành một xâu gồm α bit, ký hiệu là F₁ đến F_m, thực hiện các bước tính toán sau đây:

1) Xâu Id_x(A) phải được băm thành mã băm ký hiệu là H_x.

...

...

...

3) Mặt nạ bao gồm một xâu gồm (a - |h| - 8) bit được tạo thành từ mã băm HH_x. Quá trình này sử dụng hai biến: một xâu bit có độ dài bất kỳ, ký hiệu là string và một bộ đếm 32 bit, ký hiệu là Counter.

a) Đặt String bằng xâu rỗng.

b) Đặt Counter bằng 0.

c) Thay thế String bằng String||h(HH_x||Counter).

d) Thay thế Counter bằng Counter + 1.

e) Nếu |h| x Counter < α - |h| - 8, thì quay lại bước c.

Mask_x bằng (α - |h| - 8) bit ngoài cùng bên trái của String trong đó bit ngoài cùng bên trái bắt buộc bằng 0.

4) Một xâu ký hiệu là F_x được tạo thành bằng cách nối (α - |h| - 8) bit của mặt nạ trong đó bit ngoài cùng bên phải đã được đảo ngược, |h| bit của mã băm HH_x và một octet bằng ‘BC’ theo thứ tự từ trái sang phải.

...

...

...

Khóa công khai ký hiệu là G_x(A) bắt nguồn từ số được biểu diễn bởi xâu bit F_x (cũng được ký hiệu là F_x, số này là số chẵn, khác không và nhỏ hơn số mô-đun), như sau:

- Nếu ký hiệu Jacobi (F_x|n) là +1, thì G_x(A) = F_x.

- Nếu ký hiệu Jacobi (F_x|n) là -1, thì G_x(A) = F_x /2.

Tổ chức hoặc chủ thể phải cung cấp cho bên được xác thực A m khóa riêng ký hiệu là Q₁ đến Q_m. Khóa riêng ký hiệu là Q_x được đặt bằng lũy thừa mô-đun bậc u của khóa công khai G_x(A).

CHÚ THÍCH 1 Kỹ thuật CRT (xem C.2.3) có thể được sử dụng để chuyển đổi từng khóa công khai thành một khóa riêng.

- Đối với mỗi thừa số nguyên tố p_j, một thành phần Z_j được đặt bằng G_x(A)^ujmod p_j.

- Một thành phần CRT chuyển đổi tập hợp các thành phần {Z₁,Z₂...} thành một số Z.

...

...

...

CHÚ THÍCH 3: Tương tự, một số G_X(A) hoặc Q_x bất kỳ có thể được thay thế bởi số mô-đun trừ đi số.

4.2.2.2  Trường hợp v là một số nguyên tố lẻ

Cơ chế dưới đây bắt nguồn từ cơ chể định dạng đầu tiên được quy định trong ISO/IEC 14888-2^[27] được gọi là PSS (PSS là viết tắt của lược đồ chữ ký xác suất - Probabilistic Signature Scheme) và do Bellare và Rogaway đề xuất ^[1].

Để chuyển đổi dữ liệu định danh ld(A) thành một xâu gồm α bit, ký hiệu là F, thực hiện các bước tính toán sau đây:

1) Xâu ld(A) phải được băm để thu được một mã băm ký hiệu là H.

H = h(ld(A))

2) Một xâu gồm (64 + |h|) bit được tạo thành bằng cách nối 8 octet '00' và mã băm H theo thứ tự từ trải sang phải. Xâu này được băm để thu được một mã băm ký hiệu là HH.

...

...

...

a) Đặt String bằng xâu rỗng.

b) Đặt Counter bằng 0.

c) Thay thế String bằng String||h(HH||Counter).

d) Thay thế Counter bằng Counter + 1.

e) Nếu |h| x Counter < α - |h|, thì quay lại bước c.

Mặt nạ bằng (α - |h|) bit ngoài cùng bên trái của String trong đó bit ngoài cùng bên trái bắt buộc bằng 0.

4) Một xâu ký hiệu là F được tạo thành bằng cách nối (α - |h|) bit của mặt nạ trong đó bit ngoài cùng bên phải đã được đảo ngược, |h| bit của mã băm HH theo thứ tự từ trái sang phải.

Khóa công khai, ký hiệu là G(A), đặt bằng một số được biểu diễn bằng xâu bit F (cũng ký hiệu là F, số này là số khác 0 và nhỏ hơn số mô-đun).

...

...

...

Tổ chức hoặc chủ thể phải cung cấp cho bên được xác thực A một khóa riêng, ký hiệu là Q, được đặt bằng lũy thừa mô-đun bậc u của khóa công khai G(A).

CHÚ THÍCH 1 Kỹ thuật CRT (xem C.2.3) có thể được sử dụng để chuyển đổi khóa công khai thành khóa riêng.

- Đối với mỗi thừa số nguyên tố p_j, một thành phần Q_j được đặt bằng G(A)^ujmod p_j.

- Một thành phần CRT chuyển đổi tập hợp các thành phần {Q₁, Q₂...} thành một số Q.

CHÚ THÍCH 2 Cặp số phi đối xứng (khóa riêng là nghịch đảo mô-đun của chữ ký RSA, xem ISO/IEC 14888-2 ^[27]) xác thực mối quan hệ được điều chỉnh bởi khóa xác thực.

4.3  Trao đổi xác thực một chiều

Các số nằm trong dấu ngoặc đơn trong hình 1 tương ứng với các bước của cơ chế, bao gồm các quá trình trao đổi thông tin được mô tả cụ thể dưới dây. Bên được xác thực ký hiệu là A. Bên xác thực ký hiệu là B.

...

...

...

Hình 1 - Cơ chế dựa trên định danh

Ngoài dữ liệu định danh ld(A), một số mũ xác thực v (một số nguyên tố), một tham số số lượng cặp m và một tham số số lượng trao đổi t, bên được xác thực còn phải lưu trữ số mô-đun n hoặc n(A) và:

• m khóa riêng Q₁ đến Q_m nếu v = 2, hoặc

• Một khóa riêng duy nhất Q nếu v là một số nguyên tố lẻ.

Ngoài dữ liệu định danh ld(A), một số mũ xác thực v (một số nguyên tố), một tham số số lượng cặp m và một tham số số lượng trao đổi t, bên xác thực phải được cung cấp một bản sao đáng tin cậy của số mô-đun n hoặc n(A). Nếu B chưa biết, một bản sao của ld(A), v, m và t phải được gửi cùng với TokenAB₁; tuy nhiên, một bảo sao như vậy không cần đáng tin cậy.

Đối với mỗi ứng dụng cơ chế, quá trình sau đây phải được thực hiện t lần. Bên xác thực B chỉ chấp nhận bên được xác thực A là hợp lệ nếu tất cả t lần lặp của quá trình đều thành công.

1) Đối với mỗi lần lặp quá trình, một số mới phải được lựa chọn một cách hoàn toàn ngẫu nhiên, sao cho nó là một số khác không và nhỏ hơn số mô-đun. Được ký hiệu là r và phải được giữ bí mật.

Số ngẫu nhiên mới r phải được chuyển đổi thành một bằng chứng, ký hiệu là W chính là lũy thừa mô-đun bậc v.

• Công thức bằng chứng nếu v = 2:

...

...

...

• Công thức bằng chứng nếu v là một số nguyên tố lẻ:

Số W được biểu diễn bằng một xâu gồm α bit, cũng ký hiệu là W.

2) A gửi TokenAB₁ đến B. TokenAB₁ là bằng chứng W hoặc một mã băm của W và Text, một trong bốn biến thể băm dưới đây.

Bốn biến thể băm là h(W||Text), h(W||h(Text)), h(h(W)||Text) và h(h(W)||h(Text)), trong đó h là một hàm băm và Text là một trường văn bản tùy chọn (có thể rỗng). Nếu trường văn bản không rỗng, thì B phải có phương pháp để khôi phục lại giá trị của Text; điều này có thể yêu cầu A gửi tất cả hoặc một phần của trường văn bản vào thời điểm này. Trường văn bản có sẵn để sử dụng trong các ứng dụng nằm ngoài phạm vi của tiêu chuẩn này. Phụ lục A của TCVN 11817-1 ^[24] cung cấp thông tin về việc sử dụng các trường văn bản. Biến thể băm là một tham số miền.

3) Khi nhận được TokenAB₁, thực hiện các bước tính toán sau đây:

a) Nếu giá trị v^mxt nhỏ hơn 2⁴⁰ và/hoặc nếu m > 8 khi v = 2, và/hoặc nếu m > 1 khi v là một số nguyên tố lẻ, thì quá trình thất bại.

b) Nếu dữ liệu định danh ld(A) là không hợp lệ (ví dụ: hết hạn hoặc bị thu hồi), thì quá trình thất bại.

c) Một xâu mới gồm 8 bit phải được lựa chọn một cách ngẫu nhiên đều.

...

...

...

• Nếu v là một số nguyên tố lẻ, thì δ = |v| - 1 và xâu biểu diễn một số nhỏ hơn v, có thể bằng 0, ký hiệu là d.

CHÚ THÍCH Tổng số thách thức có thể cho mỗi lần lặp của quá trình có giới hạn bằng 240. Nếu đề xuất này không được tuân thủ, thì cần phải thận trọng để ngăn bên xác thực sử dụng bên được xác thực như một bộ tiên tri chữ ký.

4) B gửi xâu mới chính là thách thức tới A.

CHÚ THÍCH Tối ưu hóa có thể gây ra những hạn chế về trọng số Hamming của thách thức, với một tác động đến tổng số thách thức có thể và mức độ an toàn của cơ chế.

5) Khi nhận được thách thức, thực hiện các bước tính toán sau đây:

a) Nếu thách thức không phải là một xâu gồm δ bit, thì quá trình thất bại.

b) Một phản hồi ký hiệu là D phải được tính toán từ số ngẫu nhiên r và

• m khóa riêng Q₁, Q₂,... Q_m và m bit thách thức d₁, d₂,... d_m nếu v = 2.

Công thức phản hồi nếu v = 2:

...

...

...

• Khóa riêng duy nhất Q và số lượng thách thức d nếu v là một số nguyên tố lẻ.

Công thức phản hồi nếu v là một số nguyên tố lẻ: D = r x Q^d(mod n hoặc n(A))

6) A gửi TokenAB₂ cho B. TokenAB₂ là phản hồi D được tính toán từ bước 5)b).

7) Khi nhận được TokenAB₂, thực hiện các bước tính toán sau đây:

a) m khóa công khai (xem 5.2.2.1), ký hiệu là G₁(A),G₂(A), ...G_m(A), nếu v = 2.

b) Một khóa công khai duy nhất (xem 5.2.2.2), ký hiệu là G(A), nếu v là một số nguyên tố lẻ.

c) Ký hiệu W* là một bằng chứng phải tính toán.

• Công thức xác thực nếu v = 2

...

...

...

d) Nếu bằng chứng W* hoặc mã băm của W* và Text, một trong bốn biến thể băm, giống với TokenAB₁ nhận được ở bước (2), thì vòng lặp của quá trình thành công. Ngược lại thì quá trình thất bại.

CHÚ THÍCH 1 Thông tin khác có thể được gửi cùng mỗi lần trao đổi của quá trình. B có thể sử dụng thông tin này để hỗ trợ tính toán giá trị của trường văn bản tùy chọn.

CHÚ THÍCH 2 : B có thể tính toán (các) khóa công khai cho A ở bất kỳ giai đoạn nào, tức là B không cần đợi đến khi nhận được phản hồi D trước khi tính toán. Nếu B xác thực A thường xuyên, thì B có thể lưu (các) khóa công khai trong bộ nhớ cache.

CHÚ THÍCH 3: t lần lặp của quá trình có thể được thực hiện song song, tức là trong bước đầu tiên, A có thể chọn t số ngẫu nhiên r₁, r₂, ...r_t, tính toán t bằng chứng W₁, W₂,…, W_t gửi chúng đồng thời đến cho B, và cứ như vậy. Nếu áp dụng quá trình thực thi song song này, tổng số trao đổi tin nhắn sẽ bằng ba, bất kể giá trị của t.

CHÚ THÍCH 4: Việc sử dụng mã băm thay thế cho bằng chứng W trong bước trao đổi đầu tiên của quá trình có thể đạt được hiệu quả nhiều hơn bằng cách giảm số bit trong TokenAB₁.

5  Các cơ chế dựa trên phân tích số nguyên

5.1  Yêu cầu an toàn đối với môi trường

Các cơ chế này cho phép bên xác thực kiểm tra xem bên được xác thực có biết phân tích số mô-đun thuộc quyền sở hữu hay không.

...

...

...

Trong một miền cho trước phải thỏa mãn các yêu cầu sau đây.

1) Các tham số miền phải được chọn nhằm điều chỉnh hoạt động của cơ chế. Các tham số được chọn phải đảm bảo độ tin cậy cho tất cả các thực thể trong miền.

2) Mỗi bên được xác thực phải được trang bị các thừa số nguyên tố khác nhau sao cho thông tin về giá trị của nó, tức là số mô-đun (tham số bên được xác thực) không cho phép bất kỳ thực thể nào suy ra các thừa số nguyên tố của số đó, trong đó tính khả thi được định nghĩa theo ngữ cảnh sử dụng cơ chế.

CHÚ THÍCH Khi mở một phiên (xem 5.1), máy tính có thể chọn ngẫu nhiên hai thừa số nguyên tố được sử dụng trong suốt phiên đó (một vài giờ). Sử dụng bí mật dài hạn của chủ thể khi “đăng nhập một lần” dữ liệu định danh phiên, máy tính ký một chứng chỉ “tạm thời” bao gồm một số mô-đun “tạm thời”, tích của các thừa số nguyên tố "tạm thời”.

3) Mỗi bên xác thực phải nhận được một bản sao đáng tin cậy của số mô-đun chính xác của bên được xác thực.

CHÚ THÍCH Các cách chính xác mà bên xác thực có được một bản sao đáng tin cậy của mô-đun chính xác nằm ngoài phạm vi của tiêu chuẩn này. Ví dụ, có thể đạt được bằng việc sử dụng chứng chỉ khóa công khai hoặc bằng một số cách khác phụ thuộc vào môi trường.

4) Mỗi bên được xác thực và bên xác thực phải có công cụ để tạo ra các số ngẫu nhiên.

5) Nếu cơ chế sử dụng một hàm băm, thì tất cả thực thể trong miền phải đồng thuận hàm băm đó, ví dụ: một trong các hàm được quy định trong TCVN 11816-3 ^[25].

5.2  Tạo khóa

...

...

...

Một tham số an toàn và một tham số số lượng cặp, ký hiệu là k và m, cùng xác định mức độ an toàn cơ chế bằng giá trị 2^-kxm phù hợp với yêu cầu của ứng dụng (xem C.1.4). Chúng là các tham số miền. Một giá trị của k x m từ 8 đến 40 là thích hợp cho hầu hết các ứng dụng.

CHÚ THÍCH 1 Tổng số thách thức có thể được giới hạn bằng 2⁴⁰. Nếu đề xuất này không được tuân thủ, thì cần phải thận trọng để ngăn bên xác thực sử dụng bên được xác thực như một bộ tiên tri chữ ký.

Bên được xác thực A phải giữ bí mật hai hoặc nhiều thừa số nguyên tố lớn khác nhau được ký hiệu là p₁, p₂... theo thứ tự tăng dần. Nếu a là bội số của số lượng thừa số nguyên tố, ký hiệu là f, thích kích thước bit của từng thừa số nguyên tố phải bằng a/f (xem C.1.2 để biết thêm thông tin chi tiết).

Từng thừa số nguyên tố p_j xác định một số, ký hiệu là b_j, sao cho p_j - 1 chia hết cho , nhưng không chia hết cho , tức là b_j + 1 bit có trọng số nhỏ nhất của p_j - 1 là một bit được đặt bằng 1 tiếp theo là b_j bit được đặt bằng 0 và  là một số lẻ.

CHÚ THÍCH 2 Số b_j được đặt bằng một nếu p_j = 3 mod 4, và bằng hai hoặc nhiều hơn nếu p_j = 1 mod 4.

Tương đương với việc phân tích một số mô-đun, 54 số nguyên tố đầu tiên, cụ thể {2, 3, 5, 7, 11, ... 251}, tức là kích thức bit nhỏ hơn hoặc bằng tám, được nghiên cứu cho một số thích hợp g.

- Ký hiệu Legendre của một số ứng viên g được đánh giá đối với từng thừa số nguyên tố từ p₁ đến p_ƒ. Số ứng viên g là phù hợp nếu có hai thừa số nguyên tố p_i và p_j như sau.

• Nếu b_j = b_i, ký hiệu Legendre là khác nhau, tức là .

• Nếu b_j > b_i, ký hiệu Legendre đối với p_j bằng -1, tức là .

...

...

...

m số cơ sở là số g, được tạo thành từ nhiều số lựa chọn trong 54 số nguyên tố đầu tiên. Chúng là các tham số miền, được ký hiệu là g₁ đến g_m theo thứ tự tăng dần nếu chúng là m số nguyên tố đầu tiên, hoặc là các tham số bên được xác thực, được ký hiệu là g₁(A) đến g_m(A) theo thứ tự tăng dần trong trường hợp ngược lại.

CHÚ THÍCH 4: Nếu m số cơ sở lần lượt là m số nguyên tố đầu tiên mà không kiểm tra các ký hiệu Legendre, thì đối với f thừa số nguyên tố lớn được tạo ra một cách ngẫu nhiên, xác suất để thông tin về tập hợp các khóa riêng không tiết lộ thông tin về sự phân tích số mô-đun trung bình nhỏ hơn

Tham số thích nghi ký hiệu là b được đặt bằng max(b₁ đến b_f). Nó là một tham số bên được xác thực. Đối với từng số cơ sở g_i hoặc g_i(A), một khóa công khai ký hiệu là G_i được đặt bằng bình phương cấp b của số cơ sở.

Số mũ xác thực ký hiệu là v được đặt bằng 2^k+b. Đối với từng thừa số nguyên tố p_j, một số mũ công nhận, ký hiệu là u_j, được đặt bằng số nguyên dương nhỏ nhất sao cho v x u_j + 1 là bội của .

Đối với mỗi số cơ sở g_i hoặc g_i(A) và từng thừa số nguyên tố p_j, một thành phần riêng ký hiệu là Q_i,j được đặt bằng lũy thừa mô-đun bậc u_j của khóa công khai G_i.

Mô-đun được đặt bằng tích của các thừa số nguyên tố lớn, tức là p₁ x ... x p_f. Nó là một tham số bên được xác thực, ký hiệu là n(A).

CHÚ THÍCH 5: số mô-đun tương tự có thể được sử dụng cho các cơ chế GQ2 và các cơ chế RSA.

...

...

...

Các số nằm trong dấu ngoặc đơn trong hình 2 tương ứng với các bước của cơ chế, bao gồm các quá trình trao đổi thông tin được mô tả cụ thể dưới dây. Bên được xác thực ký hiệu là A. Bên xác thực ký hiệu là B.

Hình 2 - Cơ chế dựa trên phân tích số mô-đun

Ngoài các tham số b, k và m, và m số cơ sở g₁ đến g_m hoặc g₁(A) đến g_m(A), bên được xác thực còn phải lưu trữ:

- Một số mô-đun n(A) và m khóa tiêng Q₁ đến Q_m hoặc

- f thừa số nguyên tố p₁ đến p_f, ƒ x m thành phần riêng Q_1,1 đến Q_m,f và (f-1) hệ số CRT (xem C.2.3).

Ngoài các tham số b, k và m, và m số cơ sở g₁ đến g_m hoặc g₁(A) đến g_m(A), bên xác thực phải được cung cấp một bản sao đáng tin cậy số mô-đun của bên được xác thực n(A). Nếu B chưa biết, một bản sao của b, k, m và g₁(A) đến g_m(A) phải được gửi cùng với TokenAB₁; tuy nhiên, một bảo sao như vậy không cần đáng tin cậy.

Đối với mỗi ứng dụng cơ chế, phải thực hiện quá trình sau đây. Bên xác thực B chỉ chấp nhận bên được xác thực A là hợp lệ nếu quá trình được thực hiện thành công.

1) Đối với mỗi lần lặp quá trình, với mỗi thừa số nguyên tố p_j, một số mới phải được lựa chọn một cách hoàn toàn ngẫu nhiên, sao cho nó là một số khác không và nhỏ hơn p_j. Được ký hiệu là r_j và phải được giữ bí mật.

...

...

...

Công thức bằng chứng:

Liên quan đến tập hợp các thừa số nguyên tố và (các) hệ số CRT, một thành phần CRT (xem C.2.3) phải chuyển đổi tập hợp các thành phần bằng chứng thành một bằng chứng {W₁, W₂,…} ký hiệu là W. Số W được biểu diễn bằng một xâu gồm α bit, cũng ký hiệu là W.

2) A gửi TokenAB₁ đến B. TokenAB₁ là bằng chứng W hoặc một mã băm của W và Text, một trong bốn biến thể băm dưới đây.

Bốn biến thể băm là h(W||Text), h(W||h(Text)), h(h(W)||Text) và h(h(W)||h(Text)), trong đó h là một hàm băm và Text là một trường văn bản tùy chọn (có thể rỗng). Nếu trường văn bản không rỗng, thì B phải có phương pháp để khôi phục lại giá trị của Text; điều này có thể yêu cầu A gửi tất cả hoặc một phần của trường văn bản vào thời điểm này. Trường văn bản có sẵn để sử dụng trong các ứng dụng nằm ngoài phạm vi của bộ tiêu chuẩn này. Phụ lục A của ISO/IEC 9798-1 ^[24] cung cấp thông tin về việc sử dụng các trường văn bản. Biến thể băm là một tham số miền.

3) Khi nhận được TokenAB₁, thực hiện các bước tính toán sau đây:

a) Nếu tích k x m lớn hơn 40, thì quá trình thất bại.

b) Nếu các số cơ sở không phải là các số nguyên tố khác nhau nhỏ hơn 256, thì quá trình thất bại.

c) Một xâu mới gồm k x m bit phải được lựa chọn một cách hoàn toàn ngẫu nhiên và ký hiệu d_1,1 đến d_m,k.

...

...

...

CHÚ THÍCH Tối ưu hóa có thể gây ra những hạn chế về trọng số Hamming của thách thức, với một tác động đến tổng số thách thức có thể và mức độ an toàn của cơ chế.

5) Khi nhận được thách thức, thực hiện các bước tính toán sau đây:

a) Nếu thách thức không phải là một xâu gồm k x m bit, thì quá trình thất bại.

b) Đối với mỗi thừa số nguyên tố p_j, một thành phần D_j phải được tính toán từ thách thức ký hiệu d_1,1 đến d_m,k, m thành phần riêng Q_1,j đến Q_m,j và số ngẫu nhiên r_j.

Bắt đầu từ một số được đặt bằng 1, k chuỗi có giá trị từ 0 đến m nhân mô-đun được xen kẽ với k-1 bình phương mô-đun. Chuỗi thứ ii như sau: for i from 1 to m, bit d_i,ii, cho biết số hiện tại có được nhân mô-đun với thành phần riêng Q_i,j (bit bằng 1) hay không (bit bằng 0). Kết quả của phép nhân mô-đun với số ngẫu nhiên r_j tạo ra số cuối cùng, cụ thể là thành phần phản hồi ký hiệu là D_j.

Do đó, từ bit d_i,1 là bit có trọng số cao. nhất đến bit d_i,k là bit có trọng số nhỏ nhất, mỗi xâu gồm k bit biểu diễn một số nhỏ hơn 2^k, có thể bằng 0, ký hiệu là d_i, công thức thành phần phản hồi như sau:

Liên quan đến tập hợp các thừa số nguyên tố và (các) hệ số CRT, một thành phần CRT (xem C.2.3) phải chuyển đổi tập hợp các thành phần phản hồi {D₁, D₂,...} thành một phản hồi ký hiệu là D.

6) A gửi TokenAB₂ cho B. TokenAB₂ là phản hồi D được tính toán từ bước 5)b).

...

...

...

a) Nếu phản hồi D bằng 0 hoặc lớn hơn hoặc bằng n(A), thì quá trình thất bại.

b) Phản hồi D phải được chuyển đổi thành một bằng chứng ký hiệu là W*.

Bắt đầu từ một số được đặt bằng D, (b + k) bình phương mô-đun được xem kẽ với k phép toán sơ cấp. Phép toán sơ cấp thứ ii thực hiện giữa bình phương mô-đun thứ ii và thứ (ii + 1). Phép toán sơ cấp thứ ii như sau: for i from 1 to m, bit d_i,ii cho biết số hiện tại có được nhân mô-đun với số cơ sở g_i (bit bằng 1) hay không (bit bằng 0).

Do đó, từ bit d_i,1 là bit có trọng số cao nhất đến bit d_i,k là bit có trọng số nhỏ nhất, mỗi xâu gồm k bit biểu diễn một số nhỏ hơn 2^k, có thể bằng 0, ký hiệu là d_i, công thức xác thực như sau:

c) Nếu bằng chứng W* hoặc mã băm của W* và Text, một trong bốn biến thể băm, giống với TokenAB₁ nhận được ở bước (2), thì quá trình thành công. Ngược lại thì quá trình thất bại.

CHÚ THÍCH 1 Thông tin khác có thể được gửi cùng mỗi lần trao đổi của quá trình. B có thể sử dụng thông tin này để hỗ trợ tính toán giá trị của trường văn bản tùy chọn.

CHÚ THÍCH 2 : Để tính toán thách thức và phản hồi, có thể tùy chọn kỹ thuật CRT (xem C.2.3).

CHÚ THÍCH 3: Việc sử dụng mã băm thay thế cho bằng chứng W trong bước trao đổi đầu tiên của quá trình có thể đạt được hiệu quả nhiều hơn bằng cách giảm số bit trong TokenAB₁. Ngoài ra, điều này sẽ ngăn chặn các lỗi khi sử dụng kỹ thuật CRT trong thiết bị di động, ví dụ: trong thẻ thông minh.

...

...

...

6.1  Yêu cầu an toàn đối với môi trường

Các cơ chế này cho phép bên xác thực kiểm tra xem bên được xác thực có biết lôgarit rời rạc của một khóa công khai được khẳng định tương ứng với một số nguyên tố.

CHÚ THÍCH Các cơ chế này thực thi lược đồ do Schnorr ^[21] đề xuất và được ký hiệu là SC.

Trong một miền cho trước phải thỏa mãn các yêu cầu sau đây.

1) Các tham số miền phải được chọn nhằm điều chỉnh hoạt động của cơ chế. Các tham số được chọn phải đảm bảo độ tin cậy cho tất cả các thực thể trong miền.

2) Số được sử dụng làm cơ số của lôgarit rời rạc phải thỏa mãn, đối với số j bất kỳ, khác không và nhỏ hơn số mô-đun, việc tìm một số k (nếu tồn tại) sao cho lũy thừa mô-đun bậc k của cơ số bằng j phải không khả thi về mặt tính toán, tính khả thi được định nghĩa theo bối cảnh sử dụng cơ chế.

3) Mỗi bên được xác thực phải được trang bị một khóa riêng.

4) Mỗi bên xác thực phải nhận được một bản sao đáng tin cậy của khóa công khai chính xác của bên được xác thực.

CHÚ THÍCH Các cách chính xác mà bên xác thực có được một bản sao đáng tin cậy của khóa công khai chính xác nằm ngoài phạm vi của tiêu chuẩn ISO/IEC 9798. Ví dụ, có thể đạt được bằng việc sử dụng chứng chỉ khóa công khai hoặc bằng một số cách khác phụ thuộc vào môi trường.

...

...

...

6) Nếu cơ chế sử dụng một hàm băm, thì tất cả thực thể trong miền phải đồng thuận hàm băm đó, ví dụ: một trong các hàm được quy định trong TCVN 11816-3 [25].

6.2  Tạo khóa

Ba số, ký hiệu p, q và g phải được lựa chọn theo hoàn cảnh sử dụng cơ chế.

- Số mô-đun p phải là một số nguyên tố. Kích thước bit của số p ký hiệu là |p|.

- Số q phải là một thừa số nguyên tố của p - 1. Ngoại trừ trường hợp đặc biệt, thì kích thước bit của số q bằng 160, tức là Iql = 160.

- Cơ số của lôgarit rời rạc, ký hiệu g, có bậc q mô-đun p, tức là một số lớn hơn 1 sao cho g^q mod p = 1. Cơ số g được biểu diễn thành một xâu gồm |p| bit.

CHÚ THÍCH 1 Số nguyên tố p có thể được lựa chọn sao cho bản sao biểu diễn nhị phân của q được nhúng trong biển diễn nhị phân của p. Phương pháp để lựa chọn p và q có thể hữu ích trong những trường hợp không gian lưu trữ và/hoặc băng thông truyền tin ở mức cao. Xem ví dụ trong D.5.1.

CHÚ THÍCH 2 Nếu có một thừa số lẻ nhỏ hơn q chia hết p - 1, thì khóa riêng có thể bị tổn hại bởi tấn công phân loại được đề xuất bởi Lim và Lee ^[15]. Để ngăn chặn tấn công này, p và q phải được lựa chọn sao cho (p - 1)/(2 x q) không có thừa số nguyên tố nào nhỏ hơn q. Tức là (p - 1)/(2 x q) phải là số nguyên tố.

Mỗi bên được xác thực A phải được cung cấp một số mới được lựa chọn hoàn toàn ngẫu nhiên, khác không và nhỏ hơn q, biểu diễn một khóa riêng ký hiệu là Q. Nó được biểu diễn bằng một xâu gồm Iql bit.

...

...

...

Một số, ký hiệu là δ xác định số lượng bit biểu diễn các thách thức. Một giá trị của δ từ 8 đến 40 là phù hợp cho hầu hết các ứng dụng. Ngoại trừ trường hợp đặc biệt, giá trị của δ được đặt bằng 40.

CHÚ THÍCH Tổng số thách thức có thể cho mỗi lần lặp của quá trình có giới hạn bằng 2⁴⁰. Nếu đề xuất này không được tuân thủ, thì cần phải thận trọng để ngăn bên xác thực sử dụng bên được xác thực như một bộ tiên tri chữ ký.

6.3  Trao đổi xác thực một chiều

Các số nằm trong dấu ngoặc đơn trong hình 3 tương ứng với các bước của cơ chế, bao gồm các quá trình trao đổi thông tin được mô tả cụ thể dưới dây. Bên được xác thực ký hiệu là A. Bên xác thực ký hiệu là B.

Hình 3 - Cơ chế sử dụng lôgarit rời rạc đối với số nguyên tố

Ngoài các số nguyên tố p và q, một số δ và một cơ số g, bên được xác thực phải lưu trữ một khóa riêng Q.

Trong trường hợp cơ chế coupon, bên được xác thực phải lưu một khóa riêng Q, một số δ và một tập hợp các coupon. Do chỉ sử dụng một lần duy nhất, mỗi coupon bao gồm một số gồm Igl bit (không cần lưu nếu có thể khôi phục lại bằng hàm giả ngẫu nhiên) và một bằng chứng gồm α bit (hoặc chính là mã băm).

...

...

...

Đối với mỗi ứng dụng của cơ chế, thực hiện quá trình sau đây. Bên xác thực B chỉ chấp nhận bên được xác thực A là hợp lệ nếu quá trình được thực hiện thành công.

1) Đối với mỗi lần xác thực, một số mới phải được lựa chọn một cách hoàn toàn ngẫu nhiên, khác không và nhỏ hơn q. Được ký hiệu là r và phải được giữ bí mật. Số ngẫu nhiên mới r phải được chuyển đổi thành một bằng chứng, ký hiệu là W. Số W được biểu diễn bằng một xâu gồm α bit, cũng ký hiệu là W.

Công thức bằng chứng:

2) A gửi TokenAB₁ đến B. TokenAB₁ là bằng chứng W hoặc một mã băm của W và Text, một trong bốn biến thể băm dưới đây.

Bốn biến thể băm là h(W||Text), h(W||h(Text)), h(h(W)||Text) và h(h(W)||h(Text)), trong đó h là một hàm băm và Text là một trường văn bản tùy chọn (có thể rỗng). Nếu trường văn bản không rỗng, thì B phải có phương pháp để khôi phục lạl giá trị của Text, điều này có thể yêu cầu A gửi tất cả hoặc một phần của trường văn bản vào thời điểm này. Trường văn bản có sẵn để sử dụng trong các ứng dụng nằm ngoài phạm vi của tiêu chuẩn ISO/IEC 9798. Phụ lục A của ISO/IEC 9798-1 1241 cung cấp thông tin về việc sử dụng các trường văn bản. Biến thể băm là một tham số miền.

3) Khi nhận được TokenAB₁, một xâu mới gồm 5 bit phải được lựa chọn một cách hoàn toàn ngẫu nhiên.

4) B gửi xâu mới chính là thách thức tới A. Xâu mới biểu diễn một số ký hiệu là d.

5) Khi nhận được thách thức, thực hiện các bước tính toán sau đây:

...

...

...

b) Một phản hồi D phải được tính toán từ số ngẫu nhiên r và khóa riêng Q.

Công thức phản hồi:

6) A gửi TokenAB₂ cho B. TokenAB₂ là phản hồi D được tính toán từ bước 5)b).

7) Khi nhận được TokenAB₁, thực hiện các bước tính toán sau đây:

a) Nếu phản hồi D bằng 0 hoặc lớn hơn hoặc bằng q, thì quá trình thất bại.

b) Ký hiệu W*, một bằng chứng phải được tính toán sử dụng khóa công khai G(A).

Công thức xác thực:

...

...

...

CHÚ THÍCH 1 Thông tin khác có thể được gửi cùng mỗi lần trao đổi của quá trình. B có thể sử dụng thông tin này để hỗ trợ tính toán giá trị của trường văn bản tùy chọn. Ví dụ, A có thể gửi thông tin như chứng chì trong TokenAB₁.

CHÚ THÍCH 2 Việc sử dụng mã băm thay thế cho bằng chứng W trong TokenAB₁ có thể đạt được hiệu quả nhiều hơn bằng cách giảm số bit trong TokenAB₁.

7  Các cơ chế dựa trên lôgarit rời rạc đối với hợp số

7.1  Yêu cầu an toàn đối với môi trường

Các cơ chế này cho phép bên xác thực kiểm tra xem bên được xác thực có biết lôgarit rời rạc của một khóa công khai đối với một hợp số. Khóa công khai và/hoặc hợp số thuộc quyền sở hữu của bên được xác thực.

CHÚ THÍCH Các cơ chế này thực thi lược đồ do Girault, Poupard và stern ^[5][19] đề xuất cho GPS1, và do Girault và Paillès ^[8] đề xuất cho GPS2.

Trong một miền cho trước phải thỏa mãn các yêu cầu sau đây.

1) Các tham số miền phải được chọn nhằm điều chỉnh hoạt động của cơ chế. Các tham số này bao gồm một trong hai chế độ sử dụng được quy định sau đây. Các tham số được chọn phải đảm bảo độ tin cậy cho tất cả các thực thể trong miền.

2) Mỗi bên được xác thực phải được trang bị một số mô-đun là tham số miền hoặc tham số bên được xác thực. Mỗi số được dùng là mô-đun phải thỏa mãn rằng thông tin về giá trị của nó không cho bất kỳ thực thể nào có khả năng tìm ra các thừa số nguyên tố của nó, trong đó tính khả thi được định nghĩa bằng hoàn cảnh sử dụng cơ chế.

...

...

...

4) Mỗi bên được xác thực phải được trang bị một khóa riêng.

5) Mỗi bên xác thực phải nhận được một bản sao đáng tin cậy của khóa công khai chính xác của bên được xác thực.

CHÚ THÍCH Các cách chính xác mà bên xác thực có được một bản sao đáng tin cậy của khóa công khai chính xác nằm ngoài phạm vi của tiêu chuẩn ISO/IEC 9798. Ví dụ, có thể đạt được bằng việc sử dụng chứng chỉ khóa công khai hoặc bằng một số cách khác phụ thuộc váo môi trường.

6) Mỗi bên được xác thực và mỗi bên xác thực phải có công cụ để tạo ra các xâu bit ngẫu nhiên mới.

7) Nếu cơ chế sử dụng một hàm băm, thì tất cả thực thể trong miền phải đồng thuận hàm băm đó, ví dụ: một trong các hàm được quy định trong TCVN 11816-3 ^[25].

7.2  Tạo khóa

7.2.1  Tổng quan

Một số, ký hiệu là α xác định kích thước mô-đun tính bằng bit, tức là 2^α-1 < mô - đun < 2^α , phù hợp với hoàn cảnh sử dụng cơ chế (xem C.1.1 để biết thêm thông tin chi tiết). Nó là một tham số miền.

Một số, ký hiệu là δ xác định số lượng bit biểu diễn thách thức. Một giá trị từ 8 đến 40 là phù hợp cho mọi ứng dụng. Ngoại trừ trường hợp đặc biệt, giá trị của δ được đặt bằng 40. Nó là một tham số miền.

...

...

...

Trong miền, một chế độ sử dụng phải được lựa chọn từ hai chế độ được quy định sau đây.

7.2.2  Chế độ sử dụng đầu tiên (GPS1)

Một số, ký hiệu là σ xác định số bit biểu diễn các khóa riêng. Ngoại trừ trường hợp đặc biệt, giá trị của σ được đặt bằng 160. Nó là một tham số miền.

Đối với bên được xác thực A, một xâu mới gồm σ bit phải được lựa chọn hoàn toàn ngẫu nhiên. Xâu biểu diễn khóa riêng, ký hiệu là Q.

Ký hiệu g, cơ số của loogarit rời rạc là một tham số miền. Giá trị g = 2 có một số ưu điểm trong thực hành.

Số mô-đun là một tham số miền ký hiệu là n, hoặc là một tham số bên được xác thực ký hiệu là n(A). Trong cả hai trường hợp, không thể biết được phân tích của số mô-đun, tức là các thừa số nguyên tố lớn (xem C.1.2 để biết thêm thông tin chi tiết).

Ký hiệu G(A), khóa công khai của bên được xác thực A được đặt bằng lũy thừa mô-đun bậc Q của cơ số g. Nó được biểu diễn bằng một xâu gồm α bit.

7.2.3  Chế độ sử dụng thứ hai (GPS2)

...

...

...

Bên được xác thực A phải giữ bí mật hai hoặc nhiều thừa số nguyên tố lớn khác nhau, ký hiệu là p₁, p₂ … theo thức tự tăng dần. Nếu α là bội của số lượng các thừa số nguyên tố, ký hiệu là ƒ, thì kích thước bit của từng thừa số nguyên tố phải là α/ƒ (xem C.1.2 để biết thêm thông tin chi tiết). Đối với mỗi thừa số nguyên tố p_j, p_ƒ - 1 phải nguyên tố cùng nhau với v.

Số mô-đun được đặt bằng tích của các thừa số nguyên tố, tức là p₁ x ... x p_ƒ. Nó là một tham số bên được xác thực ký hiệu là n(A).

CHÚ THÍCH 1 số mũ xác thực v và số mô-đun n(A) tạo ra một khóa RSA công khai.

Ký hiệu Q, khóa riêng cho bên được xác thực A là số nguyên dương nhỏ nhất sao cho v x Q - 1 là bội của lcm(p₁ - 1, p_ƒ - 1). Số Q được biểu diễn bằng một xâu gồm α bit.

CHÚ THÍCH 2 Khóa riêng Q và số mô-đun n(A) tạo ra một khóa RSA riêng.

Ký hiệu G, khóa công khai là một tham số miền. Giá trị G = 2 có một số ưu thế trong thực hành.

CHÚ THÍCH 3: số đóng vai trò là cơ số chính là lũy thừa mô-đun bậc v của G, tức là g(A) = G^v mod n(A). Nó không được bên được xác thực hay bên xác thực sử dụng.

7.3  Trao đổi xác thực một chiều

Các số nằm trong dấu ngoặc đơn trong hình 4 tương ứng với các bước của cơ chế, bao gồm các quá trình trao đổi thông tin được mô tả cụ thể dưới dây. Bên được xác thực ký hiệu là A. Bên xác thực ký hiệu là B.

...

...

...

Hình 4 - Cơ chế sử dụng lôgarit rời rạc đối với hợp số

- Ở chế độ thứ nhất, bên được xác thực phải lưu trữ một số δ, một cơ số g, một khóa riêng Q (một xâu gồm σ bit) và một số mô-đun n hoặc n(A). Ngoại trừ trường hợp đặc biệt, δ - 40,g = 2, σ = 160.

- Ở chế độ thứ hai, bên được xác thực phải lưu trữ một số δ, một khóa công khai G, một số mũ xác thực v, một khóa riêng Q (một xâu gồm α bit) và một số mô-đun n(A). Ngoại trừ trường hợp đặc biệt, δ = 40, G = 2, v = 2⁴⁰ + 15.

Trong trường hợp cơ chế coupon, ngoài số δ và khóa riêng Q, bên được xác thực phải lưu một tập hợp các coupon. Do chỉ sử dụng một lần duy nhất, mỗi coupon bao gồm một số gồm ρ bit (không cần lưu nếu có thể khôi phục lại bằng hàm giả ngẫu nhiên) và một bằng chứng gồm α bit (hoặc chính là mã băm).

- Ở chế độ thứ nhất, ngoài một số δ, một cơ số g và một số σ, bên xác thực phải được cung cấp một bản sao đáng tin cậy của khóa công khai G(A) và một bản sao đáng tin cậy của số mô-đun n hoặc n(A).

- Ở chế độ thứ hai, ngoài một số ô, một khóa công khai G và một số mũ xác thực v, bên xác thực phải được cung cấp một bản sao đáng tin cậy của số mô-đun n(A).

Đối với mỗi ứng dụng của cơ chể, thực hiện quá trình sau đây. Bên xác thực B chỉ chấp nhận bên được xác thực A là hợp lệ nếu quá trình được thực hiện thành công.

1) Đối với mỗi lần xác thực, một xâu mới gồm ρ bit phải được lựa chọn một cách hoàn toàn ngẫu nhiên. Nó phải được giữ bí mật.

Ở chế độ thứ nhất ρ = σ + δ + 80.

...

...

...

CHÚ THÍCH 1 Nếu xâu mới gồm ρ bit được lựa chọn một cách ngẫu nhiên thì xác suất để tất cả 80 bit ngoài cùng bên trái đều bằng nhau là không đáng kể.

Ký hiệu r, số được biểu diễn bằng xâu mới phải được chuyển đổi thành một bằng chứng, ký hiệu là W. Số W được biểu diễn bằng một xâu gồm α bit, cũng ký hiệu là W

Công thức bằng chứng ở chế độ thứ nhất:

Công thức bằng chứng ở chế độ thứ hai

CHÚ THÍCH 2 Nếu các thửa số nguyên tố có sẵn, thì việc tính toán bằng chứng (được thực hiện trước trong trường hợp của cơ chế coupon) có thể sử dụng kỹ thuật CRT (xem C.2.3).

2) A gửi TokenAB₁ đến B. TokenAB₁ là bằng chứng W hoặc một mã băm của W và Text, một trong bốn biến thể băm dưới đây.

Bốn biến thể băm là h(W||Text), h(W||h(Text)), h(h(W)||Text) và h(h(W)||h(Text)), trong đó h là một hàm băm và Text là một trường văn bản tùy chọn (có thể rỗng). Nếu trường văn bản không rỗng, thì B phải có phương pháp để khôi phục lại giá trị của Text, điều này có thể yêu cầu A gửi tất cả hoặc một phần của trường văn bản vào thời điểm này. Trường văn bản có sẵn để sử dụng trong các ứng dụng nằm ngoài phạm vi của tiêu chuẩn ISO/IEC 9798. Phụ lục A của ISO/IEC 9798-1 ^[24] cung cấp thông tin về việc sử dụng các trường văn bản. Biến thể băm là một tham số miền.

...

...

...

4) B gửi xâu mới chính là thách thức tới A. Xâu mới biểu diễn một số ký hiệu là d.

5) Khi nhận được thách thức, thực hiện các bước tính toán sau đây:

a) Nếu thách thức không phải là một xâu gồm δ bit, thi quá trình thất bại.

b) Một phản hồi D phải được tính toán từ số ngẫu nhiên r và khóa riêng Q.

Công thức phản hồi:

6) A gửi TokenAB₂ cho B. TokenAB₂ là phản hồi D được tính toán từ bước 5)b).

7) Khi nhận được TokenAB₂, thực hiện các bước tính toán sau đây:

a) Nếu phản hồi D không là một xâu gồm ρ bit và/hoặc nếu tất cả 80 bit ngoài cùng bên trái của D bằng nhau, thì quá trình thất bại.

...

...

...

Công thức xác thực ở chế độ thứ nhất:

Công thức xác thực ở chế độ thứ hai:

c) Nếu bằng chứng W* hoặc mã băm của W* và Text, một trong bốn biến thể băm, giống với TokenAB₁ nhận được ở bước (2), thì quá trình thành công. Ngược lại thì quá trình thất bại.

CHÚ THÍCH 1 Thông tin khác có thể được gửi cùng mỗi lần trao đổi của quá trình. B có thể sử dụng thông tin này để hỗ trợ tính toán giá trị của trường văn bản tùy chọn. Ví dụ, A có thể gửi thông tin như chứng chỉ trong TokenAB₁.

CHÚ THÍCH 2 Việc sử dụng mã băm thay thế cho bằng chứng W trong TokenAB₁ có thể đạt được hiệu quả nhiều hơn bằng cách giảm số bit trong TokenAB₁.

8  Các cơ chế dựa trên hệ mật phi đối xứng

8.1  Yêu cầu an toàn đối với môi trường

...

...

...

CHÚ THÍCH Các cơ chế này trích dẫn từ các lược đồ do Brandt, Damgard, Landrock và Pedersen ^[2][16] đề xuất. Cơ chế thứ hai cũng trích dẫn từ cơ chế trao đổi khóa 6 từ ISO/IEC 11770-3 ^[26] và do Mitchell và Yeun ^[17] đề xuất.

Trong một miền cho trước phải thỏa mãn các yêu cầu sau đây.

1) Tất cả các thực thể trong miền phải đồng thuận sử dụng hai hàm mật mã: một hàm băm, ví dụ: một trong các hàm được quy định trong TCVN 11816-3 ^[25], và một hệ mật phi đối xứng, ví dụ: một trong các hệ mật được quy định trong ISO/IEC 18033-2 ^[31].

2) Mỗi bên được xác thực phải được trang bị một cặp khóa phi đối xứng để sử dụng trong hệ mật phi đối xứng.

3) Mỗi bên xác thực phải nhận được một bản sao đáng tin cậy của khóa công khai chính xác của bên được xác thực.

CHÚ THÍCH Các cách chính xác mà bên xác thực có được một bản sao đáng tin cậy của khóa công khai chính xác nằm ngoài phạm vi của tiêu chuẩn ISO/IEC 9798. Ví dụ, có thể đạt được bằng việc sử dụng chứng chỉ khóa công khai hoặc bằng một số cách khác phụ thuộc vào môi trường.

4) Mỗi bên xác thực phải có công cụ để tạo ra các xâu bit ngẫu nhiên mới.

8.2  Trao đổi xác thực một chiều

Các số nằm trong dấu ngoặc đơn trong hình 5 tương ứng với các bước của cơ chế, bao gồm các quá trình trao đổi thông tin được mô tả cụ thể dưới dây. Bên được xác thực ký hiệu là A. Bên xác thực ký hiệu là B.

...

...

...

Hình 5 - Cơ chế sử dụng một cặp khóa phi đối xứng để mã hóa

Bên được xác thực phải lưu trữ phần riêng của một cặp khóa phi đối xứng, xác định một phép tính riêng ký hiệu là S_A.

Bên xác thực phải được cung cấp một bản sao đáng tin cậy của phần công khai trong cặp khóa phi đối xứng, xác định một phép tính công khai ký hiệu là P_A.

Nếu sử dụng cơ chế, bên xác thực phải lưu trữ một tập hợp các coupon. Do chỉ sử dụng một lần duy nhất, mỗi coupon được dành riêng cho một bên được xác thực nhất định; nó bao gồm một xâu gồm ρ bit (không cần lưu trữ nếu có thể tạo ra bằng hàm giả ngẫu nhiên) và một thách thức α bit.

Phải lựa chọn độ dài bit của các xâu bit ngẫu nhiên mới, một số ký hiệu là ρ. Giá trị của ρ phải tối thiểu bằng 2 x |h|, nhưng nhỏ hơn |n(A)| - |h|, sao cho phép nối một xâu mới với mã băm nằm trong miền xác định của P_A.

Đối với mỗi ứng dụng của cơ chế, thực hiện quá trình sau đây. Bên xác thực B chỉ chấp nhận bên được xác thực A là hợp lệ nếu quá trình được thực hiện thành công.

1) Thực hiện các bước tính toán sau đây.

a) Với mỗi lần xác thực, một xâu mới gồm ρ bit phải được lựa chọn hoàn toàn ngẫu nhiên. Ký hiệu r phải được giữ bí mật.

Giá trị của ρ tối thiểu phải bằng 2 x |h|, nhưng nhỏ hơn |n(A)| - |h|, sao cho phép nối một xâu mới với mã băm nằm trong miền xác định của P_A.

...

...

...

c) Một số d phải được tính toán sử dụng P_A.

2) B gửi TokenAB đến A. TokenAB là số d được tính toán từ bước 1)c)

3) Khi nhận được TokenAB, thực hiện các bước tính toán sau đây.

a) Hai xâu ký hiệu là r* và H* được khôi phục lại sử dụng SA.

b) Nếu xâu H* và mã băm h(r*) là khác nhau, thì quá trình thất bại.

4) A gửi TokenAB cho B. TokenAB là xâu r* được khôi phục từ bước 3)a).

...

...

...

CHÚ THÍCH 1 Nếu hệ mật được sử dụng cung cấp tính không linh hoạt (xem ISO/IEC 18033-2^[31]), thì có thể bỏ mã băm trong TokenAB. Trong trường hợp này, bước 3.b được thay thế bằng việc kiểm tra xem quá trình giải mã có hoàn toàn chính xác hay không. Tuy nhiên, trường hợp đặc biệt nên được thực hiện để ngăn chặn bên xác thực sử dụng bên được xác thực như một bộ tiên tri giải mã.

CHÚ THÍCH 2 Thông tin khác có thể được gửi trong một trong các quá trình trao đổi của cơ chế.

8.3  Trao đổi xác thực lẫn nhau

Các số nằm trong dấu ngoặc đơn trong hình 6 tương ứng với các bước của cơ chế, bao gồm các quá trình trao đổi thông tin được mô tả cụ thể dưới dây. Bên được xác thực ký hiệu là A. Bên xác thực ký hiệu là B.

Hình 6 - Cơ chế sử dụng hai cặp khóa phi đối xứng để mã hóa

Mỗi thực thể phải lưu trữ phần riêng của một cặp khóa phi đối xứng, xác định một phép tính riêng ký hiệu là S_A, hoặc S_B và được cung cấp một bản sao đáng tin cậy của phần công khai trong cặp khóa phi đối xứng của thực thể khác, xác định một phép tính công khai được ký hiệu là P_B hoặc P_A. Thực thể đó cũng cần được cung cấp dữ liệu định danh riêng của mình, ký hiệu ld(A) hoặc ld(B) và dữ liệu định danh của thực thể khác, ký hiệu là ld(B) hoặc ld(A).

Phải lựa chọn độ dài bit của các xâu bit ngẫu nhiên mới, một số ký hiệu là p. Giá trị của p phải tối thiểu bằng 2 x |h|, nhưng nhỏ hơn , sao cho:

- Phép nối ld(B) và một xâu mới với mã băm nằm trong miền xác định của P_A.

...

...

...

Đối với mỗi ứng dụng của cơ chế, thực hiện quá trình sau đây. Hai thực thể A và B chỉ chấp nhận nhau là hợp lệ nếu quá trình được thực hiện thành công.

1) Thực hiện các bước tính toán sau đây.

a) Với mỗi lần xác thực, một xâu mới gồm ρ bit phải được lựa chọn hoàn toàn ngẫu nhiên. Ký hiệu ra phải được giữ bí mật.

b) Một mã băm H_B phải được tính toán từ dữ liệu định danh ld(B) và xâu mới ra.

c) Một số d_B phải được tính toán sử dụng P_A.

2) B gửi TokenAB₁ đến A. TokenAB₁ là số da được tính toán từ bước 1)c)

3) Khi nhận được TokenAB₁, thực hiện các bước tính toán sau đây.

...

...

...

b) Nếu xâu  và mã băm  là khác nhau, thì quá trình thất bại.

c) Nếu xâu  và dữ liệu định danh ld(B) là khác nhau, thì quá trình thất bại.

d) Thực hiện các bước tính toán sau đây.

i. Với mỗi lần xác thực, một xâu mới gồm ρ bit phải được lựa chọn hoàn toàn ngẫu nhiên. Ký hiệu r_A phải được giữ bí mật.

ii. Một mã băm H_A phải được tính toán từ dữ liệu định danh ld(A), xâu  và xâu mới r_A.

iii. Một số d_A phải được tính toán sử dụng P_B.

...

...

...

5) Khi nhận được TokenAB, thực hiện các bước tính toán sau đây.

a) Bốn xâu ký hiệu là  và  được khôi phục lại sử dụng S_B.

b) Nếu xâu  và mã băm  khác nhau, thì quá trình thất bại.

c) Nếu xâu  và dữ liệu định danh ld(A) khác nhau, thì quá trình thất bại.

d) Nếu xâu  và xâu r_B tạo ra trong bước (1) khác nhau, thì quá trình thất bại.

6) B gửi TokenAB₂ cho A. TokenAB₁ là xâu .

7) Khi nhận được TokenAB₂, xâu  được so sánh với xâu r_A được tạo ra trong bước (3). Nếu chúng giống nhau, thì quá trình thành công; ngược lại thì quá trình thất bại.

CHÚ THÍCH 1 Nếu hệ mặt được sử dụng cung cấp tỉnh không linh hoạt (xem ISO/IEC 18033-2 ^[31]), thì có thể bỏ mã băm trong TokenAB₁ và TokenAB. Trong trường hợp này, bước 3.b và 5.b được thay thế bằng việc kiểm tra xem quá trình giải mã có hoàn toàn chính xác hay không. Tuy nhiên, trường hợp đặc biệt nên được thực hiện để ngăn chặn bên xác thực sử dụng bên được xác thực như một bộ tiên tri giải mã.

...

...

...

9  Các cơ chế dựa trên lôgarit rời rạc đối với đường cong elliptic

9.1  Yêu cầu an toàn đối với môi trường

Cơ chế này cho phép bên xác thực kiểm tra xem bên được xác thực có biết lôgarit rời rạc trên đường cong elliptic của một điểm công khai thuộc quyền sở hữu của bên được xác thực đối với một điểm cơ sở. Một khung chung cho các kỹ thuật mật mã dựa trên đường cong elliptic được quy định trong ISO/IEC 15946-1 [28].

CHÚ THÍCH 1 Cơ chế này thực thi biến thể đường cong elliptic^[6] của lược đồ GPS ^[9] do Girault, Poupard và stern đề xuất. Nó cho phép sử dụng biến thể được gọi là LHW (Trọng số Hamming thấp - Low Hamming Weight) ^[7], đặc biệt phù hợp cho các môi trường mà tài nguyên của bên được xác thực rất thấp.

Trong một miền cho trước phải thỏa mãn các yêu cầu sau đây.

1) Các tham số miền phải được chọn nhằm điều chỉnh hoạt động của cơ chế. Các tham số được chọn phải đảm bảo độ tin cậy cho tất cả các thực thể trong miền.

2) Mỗi bên được xác thực phải được trang bị một đường cong elliptic E và một tập hợp các tham số, cụ thể là độ lớn trường q, một điểm cơ sở P trên E và n là bậc của điểm P. Đường cong và tập các tham số là các tham số miền hoặc tham số bên được xác thực.

3) Mỗi điểm P được sử dụng làm cơ số cho lôgarit rời rạc trên đường cong elliptic phải thỏa mãn, với mọi điểm J bất kỳ trên đường cong, việc tìm một số k trong [0,n - 1] (nếu tồn tại), sao cho J = [k]p là không khả thi về mặt tính toán, trong đó tính khả thi được định nghĩa theo hoàn cảnh sử dụng cơ chế.

4) Mỗi bên được xác thực phải được trang bị một khóa riêng.

...

...

...

CHÚ THÍCH 2 Các cách chính xác mà bên xác thực, có được một bản sao đáng tin cậy của khóa công khai chính xác nằm ngoài phạm vi của tiêu chuẩn ISO/IEC 9798. Ví dụ, có thể đạt được bằng việc sử dụng chứng chỉ khóa công khai hoặc bằng một số cách khác phụ thuộc vào môi trường.

6) Mỗi bên được xác thực và mỗi bên xác thực phải có công cụ để tạo ra các xâu bit ngẫu nhiên mới.

7) Nếu cơ chế sử dụng một hàm băm, thì tất cả thực thể trong miền phải đồng thuận hàm băm đó, ví dụ: một trong các hàm được quy định trong TCVN 11816-3 ^[25].

9.2  Tạo khóa

Đối với bên được xác thực A, một xâu mới phải được lựa chọn hoàn toàn ngẫu nhiên từ tập [2,n - 2], Xâu biểu diễn khóa riêng, ký hiệu là Q.

Số σ = |n| cho biết số bit được sử dụng để biểu diễn các khóa riêng.

Ký hiệu G(A), điểm công khai của bên được xác thực A được đặt bằng kết quả của phép nhân số Q với điểm cơ sở P.

Các thách thức được lựa chọn từ một tập hợp các số nguyên s của lực lượng A, sao cho . Độ dài bit của thách thức có khả năng lớn nhất được ký hiệu là β. Một giá trị của δ từ 8 đến 40 là phù hợp cho hầu hết các ứng dụng. Ngoại trừ trường hợp đặc biệt, giá trị của δ được đặt bằng 40. Nó là một tham số miền.

...

...

...

CHÚ THÍCH 2 Khi tập hợp các thách thức là một khoảng [0, ∆ - 1], thì: β = δ.

CHÚ THÍCH 3: Một thách thức được gọi là LHW(Trọng số Hamming thấp) nếu có ít nhất σ - 1 bit 0 giữ hai bit 1 liên tiếp bất kỳ trong biểu diễn nhị phân của nó.

9.3  Trao đổi xác thực một chiều

Các số nằm trong dấu ngoặc đơn trong hình 7 tương ứng với các bước của cơ chế, bao gồm các quá trình trao đổi thông tin được mô tả cụ thể dưới dây. Bên được xác thực ký hiệu là A. Bên xác thực ký hiệu là B.

Hình 7 - Cơ chế sử dụng lôgarit rời rạc đối với đường cong elliptic

Bên được xác thực phải lưu trữ một số δ, một cơ số P và một khóa riêng Q (là một xâu gồm σ bit). Ngoại trừ trường hợp đặc biệt, δ = 40.

Trong trường hợp của cơ chế coupon, ngoài một số δ và một khóa riêng Q. bên được xác thực chỉ phải lưu một tập hợp coupon. Do chỉ sử dụng một lần duy nhất, mỗi coupon bao gồm một xâu gồm ρ bit (không cần lưu trữ nếu có thể tạo ra bằng hàm giả ngẫu nhiên) và một thách thức.

Ngoài một số δ và một số σ, bên xác thực phải được cung cấp một bản sao đáng tin cậy của một điểm công khai G(A) và một bản sao đáng tin cậy của đường cong E, điểm cơ sở P và các tham số q và n.

...

...

...

1) Với mỗi lần xác thực, một xâu mới gồm ρ bit phải được lựa chọn hoàn toàn ngẫu nhiên. Nó phải được giữ bí mật.

CHÚ THÍCH 1 Nếu xâu mới gồm ρ bit được lựa chọn ngẫu nhiên, thì xác suất để tất cả 80 bit ngoài cùng bên trái đều bằng nhau là không đáng kể.

Ký hiệu r, số được biểu diễn bằng xâu mới phải được chuyển đổi thành một bằng chứng, ký hiệu là W.

Công thức bằng chứng:

CHÚ THÍCH 2 P2OS là hàm được sử dụng để chuyển đổi một điểm thành một xâu bộ tám.

2) A gửi TokenAB₁ đến B. TokenAB₁ là bằng chứng W hoặc một mã băm của W và Text, một trong bốn biến thể băm dưới đây, đến cho B.

Bốn biến thể băm là h(W||Text), h(W||h(Text)), h(h(W)||Text) và h(h(W)||h(Text)), trong đó h là một hàm băm và Text là một trường văn bản tùy chọn (có thể rỗng). Nếu trường văn bản không rỗng, thì B phải có phương pháp để khôi phục lại giá trị của Text; điều này có thể yêu cầu A gửi tất cả hoặc một phần của trường văn bản vào thời điểm này. Trường văn bản có sẵn để sử dụng trong các ứng dụng nằm ngoài phạm vi của tiêu chuẩn ISO/IEC 9798. Phụ lục A của ISO/IEC 9798-1 ^[24] cung cấp thông tin về việc sử dụng các trường văn bản. Biến thể băm là một tham số miền.

...

...

...

4) B gửi xâu mới chính là thách thức tới A. Xâu mới biểu diễn một số ký hiệu là d.

CHÚ THÍCH 3: Nếu sử dụng một thách thức LHW, nó có thể được truyền dưới dạng nén đến cho A bên phải có phương tiện để truy xuất thách thức ban đầu trước khi tiếp tục bước 5a.

5) Khi nhận được thách thức, thực hiện các bước tính toán sau đây:

a) Nếu thách thức không phải là một phần tử của S, thì quá trình thất bại.

b) Một phản hồi D phải được tính toán từ số ngẫu nhiên rvà khóa riêng Q.

Công thức phản hồi:

CHÚ THÍCH 4: Nếu thách thức nhận được là một thách thức LHW, việc tính toán D được giảm xuống thành một phép cộng liên tiếp của r với một phép nối các bản sao của Q, được phân tách bằng các bit 0.

6) A gửi TokenAB₁ cho B. TokenAB₂ là phản hồi D được tính toán từ bước 5)b).

...

...

...

a) Nếu phản hồi D không là một xâu gồm ρ bit và/hoặc nếu tất cả 80 bit ngoài cùng bên trái của D bằng nhau, thì quá trình thất bại.

b) Ký hiệu W*, một bằng chứng phải được tính toán.

Công thức xác thực:

c) Nếu bằng chứng W* hoặc mã băm của W* và Text (một trong bốn biến thể băm) giống với TokenAB₁ nhận được ở bước (2), thi quá trình thành công. Ngược lại thì quá trình thất bại.

CHÚ THÍCH 5: Thông tin khác có thể được gửi cùng mỗi lần trao đổi của quá trình. B có thể sử dụng thông tin này để hỗ trợ tính toán giá trị của trường văn bản tùy chọn. Ví dụ, A có thể gửi thông tin như chứng chỉ trong TokenAB₁.

Phụ lục A

(quy định)

...

...

...

A.1  Định nghĩa hình thức

A.2  Sử dụng các định danh đối tượng liên tiếp

Nếu một cơ chế được quy định trong tiêu chuẩn này sử dụng một hàm băm, thì ngay sau khi một định danh đối tượng xác định cơ chế, định danh đối tượng khắc có thể theo dõi để xác định hàm băm (ví dụ: một trong các hàm băm chuyên dụng được quy định trong TCVN 11816-3^[25]).

Đối với hai cơ chế cuối cùng, định danh đối tượng khác có thể theo dõi để tham khảo một hệ mật (ví dụ: một trong các cơ chế được quy định trong ISO/IEC 18033-2 ^[31]). Trong trường hợp không có định danh đối tượng tiếp theo, thì sử dụng một phép hoán vị RSA.

A.3  Ví dụ đoạn mã phù hợp với các quy tắc mã hóa cơ bản của ASN.1

Tuân thủ theo ISO/IEC 8825-1 ^[23], một định danh đối tượng bao gồm một hoặc nhiều chuỗi bộ tám. Mỗi chuỗi mã một số.

- Bit 8 (bit có trọng số cao nhất) được đặt bằng 0 trong bộ tám cuối cùng của một chuỗi và bằng 1 trong các bộ tám tiếp theo, nếu có nhiều hơn một bộ tám.

- Phép nối của các bit 7 đến 1 của các bộ tám trong một chuỗi mã một số. Mỗi số phải được mã hóa thành các bộ tám ít nhất có thể, nghĩa là bộ tám ‘80’ không hợp lệ ở vị trí đầu tiên của một chuỗi.

...

...

...

Một định danh đối tượng có thể tham chiếm đến bất kỳ cơ chế nào được quy định trong phần này của ISO/IEC 9798.

- Để xác định một tiêu chuẩn ISO, bộ tám đầu tiên được đặt bằng '28', tức là 40 ở hệ thập phân (xem ISO/IEC 8825-1).

- Hai bộ tám tiếp theo được đặt bằng ‘CC46’. 9798 bằng ‘2646’ ở hệ thập lục phân, tức là 0010 0110 0100 0110, tức là hai khối gồm 7 bit: 1001100 1000110. Sau khi chèn giá trị thích hợp vào bit 8 trong mỗi bộ tám, mã của chuỗi là 11001100 01000110, tức là 'CC46'.

- Bộ tám tiếp theo được đặt bằng ‘05’ để xác định phần 5.

- Bộ tám tiếp theo xác định một cơ chế xác thực.

- ‘01’ xác định cơ chế xác thực một chiều sử dụng FS.

- ‘02’ xác định cơ chế xác thực một chiều sử dụng GQ1.

- ‘03’ xác định cơ chế xác thực một chiều sử dụng phân tích số mô-đun, tức là GQ2.

- ‘04’ xác định cơ chế xác thực một chiều sử dụng lôgarit rời rạc đối với số nguyên tố, tức là SC.

...

...

...

- ‘06’ xác định cơ chế xác thực một chiều sử dụng lôgarit rời rạc đối với hợp số ở chế độ thứ hai, tức là GPS2.

- ‘07’ xác định cơ chế xác thực một chiều sử dụng một hệ mật phi đối xứng.

- ‘08’ xác định cơ chế xác thực lẫn nhau sử dụng một hệ mật phi đối xứng.

Ví dụ, phần tử dữ liệu '28 CC 46 05 03' đọc là {tiêu chuẩn iso 9798 5 3}, tức là cơ chế thứ ba trong ISO/IEC 9798-5, tức là GQ2. Phần tử dữ liệu có thể được chuyển tải trong đối tượng dữ liệu BER-TLV sau đây (xem các quy tắc mã hóa cơ bản của ASN.1, ISO/IEC 8825-1, thẻ lớp phổ biến ‘06’) trong đó dấu gạch ngang và dấu ngoặc đơn được chèn vào cho độ rõ ràng không đáng kể.

Đối tượng dữ liệu = {'06'-'05'-'28 CC 46 05 03'}

Phụ lục B

(tham khảo)

Nguyên tắc của kỹ thuật không tiết lộ thông tin

...

...

...

Trong bối cảnh sử dụng các kỹ thuật mật mã phi đối xứng, điểm yếu tiềm ẩn của một trao đổi xác thực là bên xác thực có thể lạm dụng cơ chế để thỏa hiệp khóa riêng. Khi mật mã phi đối xứng được sử dụng, bên được xác thực sử dụng khóa riêng trong cặp khóa phi đối xứng của mình để tính toán một phản hồi cho thách thức của bên xác thực. Sau đó bằng cách lựa chọn thách thức một cách không ngoan, bên xác thực có thể thu thập thông tin về khóa riêng của bên được xác thực mà không thể có được chỉ từ thông tin về khóa công khai của bên được xác thực.

Hình thức lạm dụng trao đổi thông điệp mật mã này được gọi là sử dụng bên được xác thực như một bộ tiên tri, trong đó bên được xác thực cung cấp thông tin về khóa riêng của mình theo chỉ thị của bên xác thực. Ý tưởng của một cơ chế xác thực không tiết lộ thông tin chỉ đơn giản là loại bỏ mối đe dọa tiềm ẩn đặc biệt này bằng cách thiết kế kỹ lưỡng các thông điệp theo cách mà bên xác thực không thể sử dụng bên được xác thực như một bộ tiên tri.

B.2  Sự cần thiết của các cơ chế không tiết lộ thông tin

Trong các ứng dụng liên quan đến mạng máy tính hiện đại, sự cần thiết của các dịch vụ an toàn như xác thực, chống chối bỏ... được công nhận rộng rãi và phát triển mạnh mẽ. Để có thể sử dụng các dịch vụ như vậy, người dùng cần có quyền truy cập vào thông tin cá nhân, cụ thể cho người dùng đó. Ví dụ là mật khẩu, khóa ký, khóa riêng trong cặp khóa phi đối xứng...

Tất nhiên, đó là điều bắt buộc đối với sự an toàn của hệ thống mà thông tin cá nhân vẫn ở chế độ riêng tư, tức là không bị rò rỉ cho các bên có khả năng tấn công khác. Mặt khác, thông tin cá nhân phải được sử dụng là đầu vào của các mô-đun phần mềm hoặc phần cứng để tính toán và gửi thông điệp thay mặt cho người dùng. Nếu thông tin không được sử dụng đúng cách, bí mật của thông tin cá nhân có thể bị đe dọa hoặc thậm chí bị phá hủy hoàn toàn. Một ví dụ rõ ràng là khi người dùng định danh mình với một máy chủ lưu trữ bằng cách gửi một mật khẩu trong bản rõ. Điều này cho thấy toàn bộ thông tin cá nhân với kết qua tức thời mà bất cứ ai nghe lén trên kênh đều có thể mạo danh mọi người dùng có mật khẩu bị chặn.

Đây là ví dụ về việc trao đổi quá nhiều thông tin. Cần lưu ý rằng nhìn từ quan điểm của máy chủ, chỉ có hai khả năng: hoặc người dùng sở hữu mật khẩu chính xác hoặc không. Trong các thuật ngữ về lý thuyết thông tin, điều này có nghĩa rằng thực tế chỉ cần trao đổi một bit thông tin. Bằng cách gửi toàn bộ mật khẩu, chúng ta trao đổi nhiều hơn so với yêu cầu và đây là cơ sở lý thuyết cho vấn đề nghe lén trong thực tế.

Một câu hỏi được đặt ra: “- Có thể thiết kế giao thức sử dụng thông tin cá nhân nhưng chỉ trao đổi chính xác thông tin mà họ cần và không có gì thêm nữa?” Đây chính xác là đặc tính mà cơ chế không tiết lộ thông tin có được. Xem xét ví dụ về tình huống trong đó người dùng A được gán một cặp khóa phi đối xứng hoặc các số cho một hệ mật phi đối xứng (P_A, S_A), sao cho P_A là công khai còn S_A, là bí mật của A. Sau đó sử dụng một cơ chế không tiết lộ thông tin, A có thể thuyết phục B rằng A sở hữu khóa riêng tương ứng với P_A mà không tiết lộ bất cứ điều gì khác. Vì A được mô tả là người dùng duy nhất có quyền truy cập đến S_A, giao thức này có thể được sử dụng cho xác thực. Trong trường hợp này, đặc tính không tiết lộ thông tin đảm bảo rằng B sẽ không thể tìm được gì giúp giả mạo A.

Đặc tính không tiết lộ thông tin đạt được bằng cách thiết kế một cuộc trao đổi mà bên xác thực có thể tự mình mô phỏng. Điều này chứng minh rằng bên xác thực sẽ không tìm được thông tin gì từ bên được xác thực về các thuộc tính của khóa riêng, mà bên xác thực không thể có được từ khóa công khai tương ứng.

Điều này cũng có nghĩa là một người quan sát trao đổi các thông điệp tạo nên cơ chế sẽ không thể quyết định xem bên được xác thực có thực sự liên quan hay bên xác thực đã mô phỏng quá trình trao đổi hay không.

...

...

...

B.3  Định nghĩa

Gần hơn một chút với một định nghĩa chính thức, một cơ chế không tiết lộ thông tin diễn ra giữa hai bên, một bên được xác thực A và một bên xác thực B. Bên được xác thực cố gắng thuyết phục bên xác thực rằng một khẳng định nhất định là đúng. Ví dụ, khẳng định này có thể là “Tôi biết khóa riêng tương ứng với P_A”. Để thuyết phục B, bên được xác thực và bên xác thực trao đổi các thông điệp trong một khoảng thời gian, sau đó B quyết định chấp nhận hoặc từ chối bằng chứng của A.

Ba đặc tính thiết yếu sau là cần thiết cho một cơ chế như vậy.

Tính hoàn thiện: Nếu khẳng định của A là đúng, thì B phải chấp nhận nó với xác suất áp đảo.

Tính đúng đắn: Nếu khẳng định của A là sai, thì B phải từ chối A với xác suất áp đảo bất kể hoạt động của A như thế nào.

Không tiết lộ thông tin: Bất kể B hoạt động như thế nào, anh ta chỉ nhận được thông tin rằng khẳng định của A là đúng. Chính xác hơn là: bất cứ điều gì B nhận được khi trao đổi với một bên được xác thực trung thực, B có thể dễ dàng tự tính toán mà không cần phải trao đổi với A. Điều này có nghĩa là B có thể tự mình mô phỏng cuộc trao đổi, tạo ra một cuộc trao đổi trông chính xác như nó đã được tạo ra bằng cách trao đối với A.

B.4  Ví dụ

Xem xét ví dụ sau đây, nó là một phiên bản đơn giản của cơ chế FS ^[4]. Cho trước một mô-đun n và một số mô-đun n, gọi là G. Trong trường hợp này, khẳng định của A là “Tôi biết một căn bậc hai mô- đun của G”. Lưu ý rằng Q là một căn bậc hai mô-đun của G khi và chỉ khi Q² mod n ≡ G.

Cuộc trao đổi giữa A và B như sau:

...

...

...

• B chọn một bit ngẫu nhiên mới d, tức là bằng 0 hoặc 1 và gửi nó đến cho A như một thách thức.

• Nếu d bằng 0, thì phản hồi D = r. Nếu d bằng 1, thì phản hồi là D = r x Q mod n. A gửi phản hồi D đến cho B.

• Trước tiên B kiểm tra xem D có phải là một số khác 0 nhỏ hơn n; nếu D bằng 0, n hoặc lớn hơn, thì B từ chối A và hủy bỏ quá trình.

• Nếu d bằng 0, thì B kiểm tra xem bình phương mô-đun của D có bằng với W hay không. Nếu d bằng 1, thì B kiểm tra xem bình phương mô-đun của D có bằng với W x G mod n.

• Nếu kiểm tra đúng, thì tiếp tục quá trình, còn không B từ chối A và hủy bỏ quá trình.

Quá trình thực hiện thành công sau t lần lặp thành công liên tiếp.

Không khó để thấy rằng nếu cả A và B thực hiện quá trình này, thì B sẽ không bao giờ từ chối A; bình phương D chính bằng bình phương của r hoặc r x Q mod n, cho kết quả là W hoặc W x G mod n.

Mặt khác, nếu trong bất cứ t lần lặp, A có thể đưa một câu trả lời chính xác cho cả d = 0 và d = 1, điều này có nghĩa là A có thể cung cấp cả D₀ và D₁. Thực tế D₁/D₀ mod n là một căn bậc hai mô-đun của G, do đó khẳng định rằng “A biết một căn bậc hai mô-đun của G” là chính xác. Nhưng ngược lại, nếu A gian lận và không biết một căn bậc hai mô-đun của G, hắn ta sẽ không thể trả lời đúng ít nhất một giá trị d trong mỗi t lần lặp. Do đó, xác suất để bên được xác thực gian lận có thể thuyết phục bên xác thực tối đa là 2^-t. Ví dụ, bằng việc thực hiện 20 lần lặp sẽ giảm cơ hội này xuống khoảng 1 phần một triệu. Giá trị như vậy được gọi là “mức an toàn cơ chế” (xem thêm C.1.4). Vì vậy, cũng thỏa mãn tính đúng đắn.

Đối với không tiết lộ thông tin, lưu ý rằng, sau khi cuộc trao đổi kết thúc, bên xác thực còn lại hai số D và W, sao cho D² mod n bằng W hoặc G x W mod n. Nhưng điều này bên xác thực có thể tự tính toán mà không cần phải trao đổi với A. Để làm điều này, B chỉ cần chọn một số ngẫu nhiên D và xác định W hoặc bằng D² hoặc bằng D²/G mod n. Thực tế là trong trường hợp này giá trị W và D được tính theo cách khác với cách bên được xác thực tính toán là không đáng kể; chúng được phân phối chính xác theo cùng một cách, tức là không thể tìm ra sự khác biệt. Do đó, B không biết những gì mà anh ta không thể tự tính toán được, ngoại trừ thực tế là A biết một căn bậc hai của G.

...

...

...

Mặc dù đã nêu một số khó khăn về kỹ thuật, nhưng đây là những yếu tố cần thiết của lý do tại sao một cơ chế có đặc tính là không tiết lộ thông tin.

B.5  Nguyên tắc thiết kế cơ bản

Ví dụ ở phần trên bao hàm một trong hai ý tường thiết kế cơ bản hầu hết các cơ chế trí thức không được biết đến, cụ thể là:

• Bên được xác thực A gửi một bằng chứng đến bên xác thực B. Sau đó B hỏi A một trong số các câu hỏi. Nếu A gian lận, hắn ta không thể trả lời tất cả các câu hỏi có thể, nên chúng ta có cơ hội bắt được anh ta. Mặc khác, A không bao giờ trả lời nhiều hơn một câu hỏi, và một câu trả lời này không cung cấp thông tin gì cho bên xác thực.

Ý tưởng thiết kế này tạo cơ sở cho các cơ chế được quy định trong mục 5, 6, 7 và 8.

Một ý tưởng thiết kế khác tạo cơ sở cho cơ chế được quy định tại mục 9 dựa trên những điều sau đây:

• Bên xác thực hỏi bên được xác thực một câu hỏi, mà bên xác thực hoàn toàn biết câu trả lời. Giao thức phải đảm bảo rằng đây chính là trường hợp xảy ra. Nếu A trung thực, anh ta có thể dễ dàng tính toán được câu trả lời đúng, nhưng nếu anh ta gian lận, anh ta có thể không làm được gì tốt hơn là đoán ngẫu nhiên và sẽ không chính xác trong phần lớn lần đoán.

• Mặt khác, khi B nhận được câu trả lời, anh ta hoàn toàn biết những gì A sẽ nói và do đó cơ chế có đặc tính không tiết lộ thông tin.

Một ví dụ dễ hiểu về điều này là khi A phải chứng minh việc sở hữu một khóa riêng trong hệ mật khóa công khai. Bên xác thực có thể mã hóa một thông điệp ngẫu nhiên bằng khóa công khai của A và yêu cầu A trả lại thông báo được giải mã. Chỉ người dùng biết chính xác khóa riêng mới có thể thực hiện việc này. Để có được đặc tính không tiết lộ thông tin, phải đảm bảo rằng B thực sự biết trước thông báo. Phần này của ISO/IEC 9798 có một ví dụ về một cách để làm điều này, cụ thể là B có thể được yêu cầu tiết lộ một số thông tin (bằng chứng) liên quan đến thông điệp.

...

...

...

Phụ lục C

(tham khảo)

Hướng dẫn lựa chọn tham số và so sánh các cơ chế

C.1  Hướng dẫn lựa chọn tham số

C.1.1  Độ lớn mô-đun

Trong phần này của ISO/IEC 9798, mỗi cơ chế xác thực sử dụng một số mô-đun là số nguyên tố (đối với cơ chể SC) hoặc là hợp số (đối với cơ chế khác).

Năm 1995, Odlyzko ^[18] đánh giá tương lai của phân tích số nguyên và lôgarit rời rạc. “Với kiến thức hiện tại, lôgarit rời rạc có phép tính mô-đun một số nguyên tố được chọn phù hợp khó hơn so với việc phân tích một số nguyên cứng có cùng độ lớn, nhưng sự chênh lệch không lớn. Do đó, để an toàn trong việc thiết kế các hệ mật, nên giả định rằng tất cả các dự đoán về độ lớn số nguyên có thể phân tích thành thừa số cũng sẽ áp dụng cho các độ lớn mô-đun nguyên tố có thể tính lôgarit rời rạc.”

Theo kết luận ở cuối bài báo được trích dẫn ^[18], Kaliski nhấn mạnh tầm quan trọng của tùy biến độ lớn khóa trong thực thi và cung cấp các khuyến nghị về độ lớn mô-đun.

...

...

...

- An toàn trung hạn: 1024 bit.

- An toàn dài hạn: 2048 bit.

Để có phân tích toàn diện về độ dài khóa, xem thêm Silverman ^[22], Lenstra và Verheul ^[14].

C.1.2  Mô-đun hợp số và các thừa số nguyên tố

Trong tiêu chuẩn này, các thừa số nguyên tố lớn khác nhau được ký hiệu là p₁, p₂ … sắp xếp theo thứ tự tăng dần, số mô-đun được đặt bằng tích của các thừa số nguyên tố, tức là n = p₁ x p₂ x ... và α ký hiệu độ lớn bit của mô-đun, tức là 2^α/2 < n < 2^α. Ngoài ra, tiêu chuần còn quy định rằng, nếu α là bội của số lượng các thừa số nguyên tố, ký hiệu f, thì độ lớn bit của từng thừa số nguyên tố phải bằng α/ƒ, tức là 2^α/ƒ/2 < p₁ ... < p_ƒ < 2^α/ƒ.

CHÚ THÍCH 1 ISO/IEC 18032^[29] quy định cách lựa chọn các số nguyên tố lớn.

Phương pháp sau xác định các khoảng biến liên tục để chọn liên tiếp các thừa số nguyên tố lớn, độ lớn bit là α/ƒ. Sau đây giá trị hiện tại của tích các thừa số nguyên tố được ký hiệu là z.

- Thừa số nguyên tố thứ nhất được lựa chọn trong khoảng từ 2^α/ƒ/2 đến 2^α/ƒ. Giá trị khởi tạo của z được đặt bằng thừa số nguyên tố thứ nhất.

- Bước này được lặp lại f -1 lần. Một thừa số nguyên tố mới được lựa chọn trong khoảng từ (2^|z|/z) x 2^α/ƒ/2 đến 2^α/ƒ. Giá trị hiện tại của z được nhân với thừa số nguyên tố mới.

...

...

...

Phương pháp sau đây xác định một khoảng cố định duy nhất, được giảm một chút để chọn mọi thừa số nguyên tố.

- Mỗi thừa số nguyên tố được lựa chọn trong khoảng từ β x (2^α/ƒ) đến 2^α/ƒ trong đó β là ký hiệu căn bậc f của 1/2.

CHÚ THÍCH 2 Giá trị của β có thể xấp xỉ bằng một số thích hợp lớn hơn β (ví dụ: 5/7 là căn bậc hai của 1/2, 4/5 là căn bậc ba của 1/2).

C.1.3  Độ dài các xâu mới gồm các bit ngẫu nhiên biểu diễn các số ngẫu nhiên

Trong các cơ chế được quy định trong mục 5 đến 8, bên được xác thực chuyển đổi số ngẫu nhiên bất kỳ r thành một bằng chứng W theo công thức bằng chứng, sau đó tạo ra một phản hồi D cho thác thức d bất kỳ theo công thức phản hồi. Các tham số thủ tục W, d và D cùng với nhau tạo ra bằng chứng không tiết lộ thông tin, tức là một bộ ba ký hiệu là {W, d, D} thỏa mãn một công thức xác thực. Tập hợp các bằng chứng tạo ra một họ gồm d phép hoán vị của tập hợp hoặc một tập con các số nguyên đối với số mô-đun; tập các số nguyên này là một trường hoặc một vành.

Vì bất kỳ bên thứ ba có thể sử dụng công thức xác thực nhằm tính toán một bằng chứng W từ thách thức d bất kỳ và phản hồi D được lựa chọn một cách ngẫu nhiên, tức là để tạo ra các bộ ba ngẫu nhiên, quan trọng là tập các bộ ba phải đủ lớn sao cho lợi thế thu được bằng cách tạo ra trước càng nhiều bộ ba càng tốt là không đáng kể.

Bên được xác thực lựa chọn các số ngẫu nhiên theo cách xác suất để đoán chúng và số giống như thế được lựa chọn hai lần trong khoảng thời gian của bên được xác thực là không đáng kể. Ví dụ: một bên được xác thực sử dụng hai lần một số ngẫu nhiên giống nhau, thì anh ta phải tạo ra một cặp “đồng bộ” các bộ ba, tức là các phản hồi của hai thách thức cho cùng một bằng chứng khác không, ký hiệu là {W, d₁, D₁} và {W, d₂, D₂}.

- Trong các cơ chế FS, vì một cặp các bộ ba đồng bộ bất kỳ tạo ra một phép nhân mô-đun kết hợp các khóa riêng, nên bên thứ ba bất kỳ sẽ cải thiện hiệu suất để mạo danh bên được xác thực.

- Trong các cơ chế GQ1, SC và GPS, vì một cặp các bộ ba đồng bộ bất kỳ tạo ra khóa riêng. Với khóa riêng, bên thứ ba bất kỳ có thể mạo danh bên được xác thực.

...

...

...

Khi nhận được TokenAB₁, tức là một bằng chứng W hoặc mã băm của W và Text, bên xác thực tạo ra một thách thức d ngẫu nhiên. Điều quan trọng là tất cả các thách thức có thể đều có khả năng xảy ra và do đó không thể đoán trước thách thức. Bất cứ kẻ tấn công nào đều có thể giả mạo thành công bằng cách đoán trước thách thức. Nếu 2^δ thách thức đều có thể xảy ra, thì xác suất thành công của kẻ tấn công là một cơ hội trong số 2^δ.

Trong các cơ chế được quy định trong mục 9, không có bằng chứng. Bên xác thực tạo một số d từ một tham số ngẫu nhiên r chính là phản hồi D. Các số d và D cùng với nhau tạo ra một bằng chứng được ký hiệu là {d,D}. Bằng chứng như vậy là “loại không tiết lộ thông tin”. Tập hợp các bằng chứng là một phần rất nhỏ của hoán vị RSA, nhỏ hơn nhiều so với tập hợp các bằng chứng được sử dụng trong các cơ chế được quy định trong mục 5 đến 8. Điều quan trọng là bên xác thực phải lựa chọn các tham số ngẫu nhiên sao cho xác suất để đoán chúng hoặc sử dụng lại là không đáng kể. Bên thứ ba bất kỳ có thể sử dụng phép tính công khai để tạo các cặp một cách ngẫu nhiên. Tập hợp các cặp quá lớn đến mức lợi thế thu được bằng cách tạo ra trước càng nhiều cặp càng tốt là không đáng kể.

Tóm lại, độ dài của các xâu bit ngẫu nhiên mới để biểu diễn các số ngẫu nhiên được đặt bằng:

- α bit trong FS, GQ1 và GQ2.

- |q| bit trong SC (cụ thể, |q| = 160).

- σ + δ + 80 bit trong GPS1 (cụ thể, σ = 160).

- σ + δ + 80 bit trong GPS2.

- tối thiểu 2 x |h|, nhưng nhỏ hơn a - |h| bit trong RSA_UA (cụ thể, |h| = 160).

- tối thiểu 2 x |h|, nhưng nhỏ hơn 0,5 x (a - |h| - |ID|) bit trong RSA_MA (cụ thể, |h| = 160 và |ID| = 40).

...

...

...

Mục này xem xét bốn nhóm cơ chế phù hợp với việc phân tích độ phức tạp công thức.

a) FS, GQ1 và GQ2, tức là các cơ chế quy định trong mục 5 và 6;

b) SC, GPS1 và GPS2, tức là các cơ chế quy định trong mục 7 và 8;

c) RSA_UA, tức là các cơ chế quy định trong mục 9.2.

d) RSA_MA, tức là các cơ chế quy định trong mục 9.3.

CHÚ THÍCH Xem xét một thiết bị di động sao cho phân tích năng lượng giúp phân biệt phép bình phương và phép nhân. Để giữ bí mật số mũ, cần phải có các biện pháp đối phó để thực thi các công thức bằng chứng SC và GPS và phép tính RSA bí mật. Nhưng khi các số mũ được công khai trong công thức bằng chứng và phản hồi của FS và GQ, thì việc thực thi rất đơn giản.

Trong các cơ chế FS, GQ1 và GQ2, bằng chứng là lũy thừa bậc v mô-đun của một số ngẫu nhiên r. Số mũ xác thực v thường ngắn (tối đa 40 bit). Công thức bằng chứng là một lũy thừa mô-đun ngắn. Công thức phản hồi cũng là một lũy thừa mô-đun ngắn có thể có kết hợp; nó cho phép sự cân bằng giữa độ phức tạp tính toán và yêu cầu lưu trữ. Tuy nhiên, công thức phản hồi và công thức bằng chứng có cùng độ phức tạp. Công thức xác thực là một lũy thừa mô-đun kết hợp ngắn; nó tạo ra khối lượng công việc xác thực tương tự như khối lượng công việc của bên được xác thực.

Ø Các cơ chế FS, GQ1 và GQ2 có ưu thế trong các hệ thống mà bên được xác thực và bên xác thực có hiệu suất tương tự nhau. Ví dụ, nếu bên được xác thực là một thẻ thông minh, khi khối lượng công việc xác thực và khối lượng công việc của bên được xác thực tương tự nhau, thì năng lực tính toán của thẻ thông minh là đủ cho bên xác thực. Do đó, một thẻ thanh toán và một thẻ thương gia có thể xác thực lẫn nhau, tại chỗ thông qua một thiết bị đầu cuối thanh toán, hoặc từ xa thông qua Internet.

Trong các cơ chế FS, GQ1 và GQ2, độ lớn thách thức có thể được tối ưu: thách thức ít nhất, các lũy thừa mô-đun ngắn nhất. Ví dụ, có 2^{k x m} thách thức GQ2 có thể.

...

...

...

- Một trong 2²⁴ có mức an toàn thích hợp cho môi trường Internet, ví dụ: k = 12 và hai số cơ sở, hoặc k = 8 và ba số cơ sở, hoặc k = 4 và sáu số cơ sở.

- Một trong 65 536 có mức an toàn thích hợp để ngăn chặn các “thẻ chấp nhận" trên các máy trả tiền tự động thu giữ thẻ bị từ chối, ví dụ: k = 8 và hai số cơ sở, hoặc k = 4 và bốn số cơ sở, hoặc k = 2 và tám số cơ sở.

- Một trong 4 có mức an toàn thích hợp để ngăn chặn thẻ ăn trộm theo định kỳ (mỗi vài giây) trên bộ giải mã tivi “bản quyền”, ví dụ: k = 1 và hai số cơ sở.

Trong các cơ chế SC và GPS, bằng chứng là lũy thừa bậc r mô-đun của một cơ số g. Số ngẫu nhiên r là trung bình (ví dụ: 160 bit đối với các cơ chế SC, 248 hoặc 280 bit đối với các cơ chế GPS1, α + 88 đến α + 120 bit đối với các cơ chế GPS2). Công thức bằng chứng là một lũy thừa mô-đun trung bình hoặc dài.

Trong các cơ chế SC và GPS, độ phức tạp của công thức phản hồi là không đáng kể so với công thức bằng chứng. Để tính toán TokenAB₁, không cần sự tương tác với bên xác thực, một tập hợp các coupon (r, TokenAB₁) có thể được tính toán trước và lưu trữ ở phía bên được xác thực. Ngoài ra, nếu r được tạo ra một cách giả ngẫu nhiên, r không cần được lưu vì nó có thể được tạo lại. Công thức xác thực là một lũy thừa mô-đun đôi trung bình hoặc một lũy thừa mô-đun dài; Nó tạo ra khối lượng công việc xác thực tương đương với khối lượng công việc của bên được xác thực. Độ lớn thách thức có thể được tối ưu hóa nhưng không có bất kỳ tác động thực tế nào đến độ phức tạp của công thức bằng chứng và xác thực.

Ø Các cơ chế SC và GPS có ưu thế trong các hệ thống mà “coupon” được chuẩn bị trước cho bên được xác thực và sự tương tác với một bên xác thực mạnh phải nhanh nhất có thế. Ví dụ, một thiết bị không có năng lực tính toán (ví dụ: thẻ) có thể trả lời nhanh.

Trong các cơ chế RSA_UA, bên xác thực tính toán thách thức bằng một lũy thừa mô-đun ngắn và sau đó, bên được xác thực tính toán phản hồi bằng một lũy thừa mô-đun dài. Vì thách thức phải lớn, không thể tối ưu hóa được độ lớn thách thức. Do tính toán TokenBA không cần sự tương tác với bên được xác thực, một tập coupon (r, TokenAB) có thể được tính toán trước và lưu ở bên xác thực. Ngoài ra, nếu r được tạo ra một cách giả ngẫu nhiên, thì r không cần được lưu vì nó có thể được tạo lại.

Ø Các cơ chế RSA_UA có ưu thế trong các hệ thống mà “coupon” có thể được chuẩn bị trước một cách “an toàn” cho các bên xác thực tương tác với một bên được xác thực mạnh. Ví dụ, một thiết bị không có năng lực tính toán (ví dụ: một thẻ) có thể xác thực một máy tính mạnh.

Trong các cơ chế RSA_MA, cả hai thực thể phải tính toán một lũy thừa mô-đun ngắn và một lũy thừa mô-đun dài. Không có khả năng cho một cơ chế “coupon” đối với cơ chế này.

...

...

...

C.2.1  Ký hiệu và chữ viết tắt

Phần so sánh sử dụng các phương pháp sau: không gian lưu trữ cần thiết đối với bên được xác thực, độ phức tạp tính toán do bên được xác thực thực hiện, độ phức tạp tính toán do bên xác thực thực hiện và các thông tin trao đổi được yêu cầu giữa bên được xác thực và bên xác thực.

CHÚ THÍCH Nếu bên được xác thực là một thiết bị di động (ví dụ: một thẻ thông minh), thì độ phức tạp tính toán và việc truyền thông và lưu trữ cần thiết có thể rất quan trọng, vì khả năng xử lý và lưu trữ của thẻ thông minh rất hạn chế so với bên xác thực.

Trong phụ lục này áp dụng các ký hiệu và chữ viết tắt dưới đây.

ChC Độ phức tạp tính toán một phép hợp thành CRT

ChD Độ phức tạp tính toán một phép phân tích CRT

CM Liên lạc yêu cầu giữa bên được xác thực và bên xác thực (CM_h khi sử dụng một hàm băm)

CPC Độ phức tạp tính toán do bên được xác thực thực hiện

CPV Độ phức tạp tính toán do bên xác thực thực hiện

...

...

...

CS Yêu cầu lưu trữ đối với bên được xác thực

HW(v) Số lượng bit bằng 1 trong biểu diễn nhị phân của số v, ví dụ HW(65 537 = 2¹⁶ + 1) = 2

M_α Độ phức tạp tính toán của một phép nhân mô-đun (α là độ lớn bit của mô-đun)

X_α Độ phức tạp tính toán của một bình phương mô-đun (α là độ lớn bit của mô-đun)

C.2.2  Độ phức tạp của các phép tính mô-đun

Mục này đánh giá độ phức tạp tính toán của các phép tính mô-đun, cụ thể là phép nhân mô-đun, bình phương mô-đun, lũy thừa mô-đun và lũy thừa mô-đun kết hợp.

Phép nhân mô-đun được định nghĩa bằng A x B mod C. Nó có thể được thực hiện bằng hai phép tính liên tiếp: một phép nhân và sau đó là một phép rút gọn. Theo kinh nghiệm, khối lượng công việc của phép nhân là tương đương với khối lượng công việc của phép rút gọn.

- Khi A và B có cùng độ lớn với C, phép nhân tạo ra một kết quả gấp hai lần C.

- Phép rút gọn tạo ra phần dư của phép chia kết quả cho C.

...

...

...

Nếu số n dài gấp f lần số p, tức là nếu n và p^ƒ có cùng độ lớn, tức là |n| = ƒ x |p|, thì tỷ lệ giữa phép nhân mô-đun n và phép nhân mô-đun p là xấp xỉ ƒ²(M_|n| ≈ ƒ² x M_|p|). Do đó, giá trị của M_|C| tỷ lệ thuận với |C|².

Ví dụ, nếu n dài gấp hai lần p, tức là |n| = 2 x |p|, thì M_|n| ≈ 4 x M_|p|.

Phép bình phương mô-đun được định nghĩa bằng A² mod C. Nó có thể được thực hiện bằng hai phép tính liên tiếp: một phép bình phương và sau đó là một phép rút gọn.

- Khi A có cùng độ lớn với C, phép bình phương tạo ra một kết quả dài gấp hai lần C. Theo Menezes, van OorSchot và Vanstone ^[16], độ phức tạp của phép bình phương bằng một nửa phép nhân.

CHÚ THÍCH vì A x B = ((A + B)² - (A - B)²)/4, phép nhân là kết quả của việc sử dụng hai lần phép bình phương.

- Phép rút gọn tạo ra phần dư của phép chia kết quả cho C. Độ phức tạp của phép tính này như trên. Khi A có cùng độ lớn với C, độ phức tạp của phép bình phương mô-đun được ký hiệu là X_|C|.

Phép lũy thừa mô-đun được định nghĩa bằng A^B mod C. Nó có thể được thực hiện bằng thuật toán nhân và bình phương phiên bản từ phải sang trái ^[13][16], tức là |B| -1 phép bình phương mô-đun và HW(B) - 1 phép nhân mô-đun với A.

Phép lũy thừa mô-đun kết hợp được định nghĩa bằng . Nó có thể được thực hiện bằng max{|B₁|,... |B_x|} - 1 phép bình phương mô-đun và HW(B₁) + … + HW(B_x) - 1 phép nhân mô- đun với A_i.

...

...

...

- Phụ thuộc vào độ lớn bit của số mũ, tức là max{|B₁|,... |B_x|} là nhỏ, tức là tối đa 40, hoặc trung bình, tức là {160, 240 hoặc 280}, hoặc lớn, tức là {|C|, |C| + 80 đến |C| + 120}, phép lũy thừa mô-đun sẽ là ngắn, trung bình hoặc dài.

C.2.3  Kỹ thuật CRT

Mục này định nghĩa kỹ thuật CRT, tức là sử dụng định lý phần dư Trung Hoa.

Xét hai số x₁ < x₂ nguyên tố cùng nhau, nhưng không nhất thiết là số nguyên tố và tích của chúng ký hiệu là x.

CHÚ THÍCH Kỹ thuật CRT chứa số lượng các thừa số nguyên tố bất kỳ. Xét hai thừa số nguyên tố khác nhau p₁ < p₂ và tích của chúng p₁ x p₂, và sau đó là ba thừa số nguyên tố khác nhau p₃ < (p₁ x p₂) và tích của chúng (p₁ x p₂) x p₃...

Theo định nghĩa, hệ số CRT là số nguyên dương Cr nhỏ hơn x₁ sao cho x₁ chia hết Cr x x₂- 1.

Theo định nghĩa, phép hợp thành CRT chuyển đổi cặp bất ký các thành phần, cụ thể X₁ từ {0,1, ...., x₂ - 1} và x2 từ {0,1,..., x₂ - 1} thành một số duy nhất tương ứng X từ {0,1,..., x - 1}. Nó sử dụng hai số x₁ và x₂ và hệ số CRT Cr như sau:

Phép hợp thành CRT bao gồm một phép nhân mô-đun một thừa số và một phép nhân hai số có cùng độ lớn với thừa số, kết quả là một số có độ lớn bằng với mô-đun. Khi hai thừa số cùng độ lớn, ví dụ: |p₁| = |p₂| = |n|/2, độ phức tạp của phép hợp thành được ký hiệu là ChC.

...

...

...

Một số X bất kỳ từ {0,1, ...,x - 1} được phân tích thành một cặp các thành phần, cụ thể X₁ từ {0,1,...,x₁ - 1} và X₂ từ {0,1,...,x₂ - 1} như sau. Phép phân tích ngược với phép hợp thành và ngược lại.

Phép phân tích bao gồm hai phép rút gọn theo mô-đun thừa số. Khi hai thừa số có cùng độ lớn, ví dụ: |p₁| = |p₂| = |n|/2, độ phức tạp của phép phân tích ký hiệu là ChD.

Ví dụ, kỹ thuật CRT rút gọn độ phức tạp của một phép tính RSA bí mật từ một phép lũy thừa mô-đun dài mod n (tức là (5/4) x |n| x M_|n|) thành một ChD cộng hai phép lũy thừa mô-đun dài mod p_i (với các phép lũy thừa được rút gọn mod p_i - 1) cộng một ChC (tức là (1 4- 2,5 x |p| 4- 1,5) x Mịpị = 2,5 x (|p| + 1) x M_|p|). Vì |n| = 2 x |p|, M_|n| ≈ 4 x M|p| nên độ phức tạp được rút gọn là ≈ (5/16) x |n| xM_|n|.

C.2.4  Phân tích độ phức tạp

C.2.4.1  FS

Bên được xác thực lưu trữ n và Q₁ đến Q_m.

...

...

...

Công thức phản hồi

Đối với t lần lặp, vì trung bình

Công thức xác thực

Đối với t lần lặp, vì trung bình

...

...

...

Đối với t lần trao đổi,

C.2.4.2  GQ1

Bên được xác thực lưu trữ n, v và Q.

Công thức bằng chứng

Công thức phản hồi

...

...

...

Công thức xác thực

Vì HW(d) = |v|/2,

TokenAB₁ = W gồm |n| bit hoặc mã băm gồm |h| bit; d gồm |v| bit; TokenAB₂ = D gồm |n| bit.

C.2.4.3  GQ2

Bên được xác thực lưu trữ p₁, p₂, Cr và Q_1,1 đến Q_m,2.

...

...

...

Công thức phản hồi

Vì ChC ≈ 1,5M_|p|,

Vì M_|p| ≈ M_|n|/4,

Công thức xác thực

...

...

...

TokenAB₁ = W gồm |n| bit hoặc mã băm gồm |h| bit; d gồm k x m bit; TokenAB₂ = D gồm |n| bit.

C.2.4.4  SC

Bên được xác thực lưu trữ p, q, g và Q.

Công thức bằng chứng

Công thức phản hồi

...

...

...

không đáng kể

Công thức xác thực

Vì

TokenAB₁ = W gồm |p| bit hoặc mã băm gồm |h| bit; d gồm δ bit; TokenAB₂ = D gồm |q| bit.

C.2.4.5  GPS1

Không sử dụng CRT, bên được xác thực lưu trữ n và Q.

...

...

...

Công thức bằng chứng

Công thức phản hồi

Không đáng kể

Sử dụng CRT, bên được xác thực lưu trữ p₁, p₂, Cr và Q.

Công thức bằng chứng

...

...

...

Công thức phản hồi

Không đáng kể

Công thức xác thực

TokenAB₁ = W gồm |n| bit hoặc mã băm gồm |h| bit; d gồm δ bit; TokenAB₂ = D gồm ρ = σ + δ + 80 bit.

...

...

...

Không sử dụng CRT, bên được xác thực lưu trữ n và Q

Công thức bằng chứng 2

Công thức phản hồi

không đáng kể

...

...

...

Công thức bằng chứng trong đó G = 2

Công thức phản hồi

không đáng kể

Công thức xác thực

Vì

...

...

...

C.2.4.7  RSA_UA

Bên được xác thực giữ p₁, p₂, s₁, s₂ và Cr.

Phép tính RSA công khai: P_x(m) = m^v mod n

Ví dụ, nếu v được đặt bằng 2¹⁶ + 1

Phép tính RSA riêng sử dụng kỹ thuật CRT

...

...

...

TokenBA = d gồm |n| bit; TokenAB = r* gồm |n| - |h| bit.

C.2.4.8  RSA_MA

Mỗi thực thể giữ p₁, p₂, s₁, s₂ và Cr.

Mỗi thực thể thực hiện một phép tính RSA riêng và một phép tính RSA công khai.

TokenBA₁ = d gồm |n| bit; TokenAB = d* gồm |n| bit; TokenAB₂ = rr** gồm 0,5 x (|n| - |h| - |ID|) bit.

...

...

...

C.2.4.9  Tổng hợp đánh giá

Bảng C.1 tổng hợp các đánh giá được nêu chi tiết trong C.2.4.1 đến C.2.4.8. Trong các cơ chế FS, GQ, SC và GPS, hình thức truyền thông bắt buộc là CM hoặc CM_h. Sự phân biệt này không liên quan đến các cơ chế RSA. Trong các cơ chế GPS, việc bên được xác thực sử dụng kỹ thuật CRT được đánh giá cho CS và CPC. Bảng C.1 được sử dụng trong C.2.5 đối với α = 1024,|h| = 160 (ví dụ : RIPEMD-160 và SHA-1) và |ID| = 40 với các giá trị mức an toàn khác nhau.

C.2.5  So sánh đối với α = 1024 với các giá trị mức an toàn khác nhau

C.2.5.1  So sánh đối với α = 1024 với mức an toàn 2^-8

Bảng C.2 so sánh các cơ chế đối với α = 1024 (an toàn trung hạn) với mức an toàn 2^-8.

Bảng C.2 - So sánh đối với α = 1024 với mức an toàn 2^-8

...

...

...

CPC (M₁₀₂₄)

CPV(M₁₀₂₄)

CM (kbit)

CM_h (kbit)

FS

3,00

7,00

7,00

8,01

...

...

...

GQ1

2,01

17,50

11,50

2,01

1,17

GQ2

3,50

5,75

...

...

...

2,01

1,16

SC

2,31

200,00

204,00

1,16

0,32

GPS1

...

...

...

186,00

190,00

1,25

0,41

với CRT

1,66

93,00

GPS2

2,00

...

...

...

1390,00

2,09

1,25

với CRT

2,50

192,00

RSA_UA

2,50

320,00

...

...

...

1,84

RSA_MA

2,50

334,75

334,75

2,41

C.2.5.2  So sánh đối với α = 1024 với mức an toàn 2^-16

Bảng C.3 so sánh các cơ chế đối với α = 1024 (an toàn trung hạn) với mức an toàn 2^-16.

...

...

...

CS (kbit)

CPC (M₁₀₂₄)

CPV(M₁₀₂₄)

CM (kbit)

CM_h (kbit)

FS

5,00

11,00

...

...

...

8,02

4,64

GQ1

2,02

33,50

21,50

2,02

1,17

GQ2

...

...

...

7,75

3,75

2,02

1,17

SC

2,31

200,00

208,00

1,17

...

...

...

GPS1

1,16

192,00

200,00

1,27

0,42

với CRT

1,66

96,00

...

...

...

2,00

852,00

1400,00

2,11

1,27

với CRT

2,50

192,00

RSA_UA

...

...

...

320,00

13,00

1,84

RSA_MA

2,50

334,75

334,75

2,41

C.2.5.3  So sánh đối với α = 1024 với mức an toàn 2^-36

...

...

...

Bảng C.4 - So sánh đối với α = 1024 với mức an toàn 2^-36

CS (kbit)

CPC (M₁₀₂₄)

CPV(M₁₀₂₄)

CM (kbit)

CM_h (kbit)

...

...

...

7,00

22,50

22,50

12,04

6,97

GQ1

2,04

74,50

47,50

...

...

...

1,19

GQ2

7,50

14,25

5,25

2,04

1,19

SC

2,31

...

...

...

218,00

1,19

0,35

GPS1

1,16

207,00

225,00

1,30

0,46

...

...

...

1,66

103,50

GPS2

2,00

882,00

1425,00

2,15

1,30

với CRT

...

...

...

192,00

RSA_UA

2,50

320,00

13,00

1,84

RSA_MA

2,50

334,75

...

...

...

2,41

Phụ lục D

(tham khảo)

Ví dụ số

D.1  Cơ chế FS

D.1.1  Tạo khóa

D.1.1.1  Cặp khóa phi đối xứng (v=2, lược đồ Rabin)

Mỗi thừa số nguyên tố có kích thước bit là 512 và số đồng dư α = 1024. số mũ xác thực v=2, một thừa số nguyên tố là đồng dư với 3 theo mô đun 8 và thừa số còn lại đồng dư với 7 theo mô đun 8.

...

...

...

D.1.1.2  Dữ liệu định danh và các cặp số phi đối xứng

Đa số các cặp tham số m=8. Mỗi phần của dữ liệu định danh thu được từ việc thêm 16 bit hậu tố để làm xâu bit đại diện “Alex Ample”

Cơ chế định dạng sử dụng SHA-1, tức là hàm băm thứ ba được đặc tả trong TCVN 11816-31251.

Khóa riêng như sau:

D.1.2  Trao đổi xác thực một chiều

...

...

...

Phép lặp 1

Bước 1

Bước 3

d₁, d₂, … , d₈ = 0, 0, 0, 0, 1, 1, 0, 0

Bước 5

Phép lặp 2

Bước 1

...

...

...

Bước 3

d₁, d₂, …, d₈ = 1, 0, 0, 0, 1, 1, 0, 1

Bước 5

Phép lặp 3

Bước 1

Bước 3

d₁, d₂, … , d₈ = 0, 0, 1, 0, 0, 0, 0, 0

...

...

...

D.2  Cơ chế GQ1

D.2.1  Tạo khóa

D.2.1.1  Cặp khóa đối phi đối xứng (v là số nguyên tố lẻ, lược đồ RSA)

Kích thước bit của mỗi thừa số nguyên tố là 512, và số đồng dư α = 1024. số mũ xác thực v = 2¹⁶ +1 (một số nguyên tố = 65537 trong hệ thập phân và = “10001” trong hệ thập lục phân); nó chia hết cho p₁ - 1 hoặc p₂ - 1.

D.2.1.2  Dữ liệu định danh và các cặp số phi đối xứng

Dữ liệu định danh bao gồm xâu bit đại diện “Alex Ample”.

...

...

...

D.2.2  Trao đổi xác thực một chiều

Với v = 2¹⁶ +1, độ dài các thách thức theo bit δ = 16.

Bước 1

Bước 3

d = D783

Bước 5

...

...

...

D.3.1  Tạo khóa

Kích thước bit của mỗi thừa số nguyên tố là 512, và số đồng dư α = 1024

CHÚ THÍCH Tập các số ở trên được sử dụng trong D.8.1 (RSA_UA).

Tham số an toàn k = 8. Khi b₁ = 4 và b₂ = 2, tham số thích ứng b = 4. Do đó, số mũ xác thực v = 2¹² = 4096.

Có 2 cặp số cơ bản (m =2), g₁ = 2, g₂ = 3.

D.3.2  Trao đổi xác thực một chiều

...

...

...

Bước 1

Bước 3

Bước 5

D.4  Cơ chế GQ2 (Ví dụ 2: b = 1)

D.4.1  Tạo khóa

Mỗi thừa số nguyên tố có kích thước bit = 512, số đồng dư α = 1024. Với b = 1, mỗi thừa số nguyên tố đồng dư với 3 theo mô đun 4.

...

...

...

Tham số an toàn k : = 8. Với b₁ = b₂ = 1, tham số thích ứng b = 1. Do đó, số mũ xác thực v = 2⁹ = 512.

Có 2 cặp số cơ bản (m =2), g₁ = 2, g₂ = 3.

D.4.2  Trao đổi xác thực một chiều

Với k = 8, m = 2, độ dài theo bit của các thách thức là 16.

Bước 1

Bước 3

...

...

...

Bước 5

D.5  Cơ chế SC

D.5.1  Tạo khóa

Số đồng dư p (p là một số nguyên tố) có đồ dài theo bit α = 1024 và 160 cho số nguyên tố q (một thừa số nguyên tố của p -1, được lựa chọn sao cho một bản sao của q được nhúng trong p)

D.5.2  Trao đổi xác thực một chiều

Độ dài theo bit các thách thức δ = 40.

Bước 1

...

...

...

Bước 3

Bước 5

D.6  Cơ chế GPS1

D.6.1  Tạo khóa

Kích thước bit của số đồng dư là α = 1024 vsf khóa bí mật là 160 (σ = 160). Cơ số của thuật toán logarit rời rạc g = 2.

D.6.2  Trao đổi xác thực

...

...

...

Bước 1

Bước 3

thuyvy

Bước 5

D.7  Cơ chế GPS2

D.7.1  Tạo khóa

Kích thước bit của mỗi thừa số nguyên tố Ià 512 và của các số đồng dư là α = 1024. Số mũ xác thực v = 2¹⁶ +1 (một số nguyên tố). Khóa bí mật là số mũ ký RSA. Khóa công khai G =2.

...

...

...

D.7.2  Trao đổi xác thực

Độ dài theo bit của các thách thức là δ = 16 và do đó, ρ = 1024 + 80 + 16 = 1120 cho các xâu mới của các bit ngẫu nhiên.

Bước 1

Bước 3

d = 6B26

Bước 5

D.8  Cơ chế RSA_UA

...

...

...

Ví dụ này sử dụng các thừa số nguyên tố (512 bit) và các số đồng dư (α = 1024) của D.3.1, GQ2.

Số mũ công khai là v = 2¹⁶ +1 (một số nguyên tố = 6537 trong hệ thập phân, = “10001” trong hệ thập lúc phân); nó chia hết cho p₁ -1 hoặc p₂ - 1. Phép toán công khai là “làm tăng một số nguyên dương, nhỏ hơn n đến

D.8.2  Trao đổi xác thực một chiều

Độ dài theo bit của các xâu mới của các bit ngẫu nhiên là ρ = 384. Ví dụ này sử dụng hàm băm SHA-1, tức là hàm băm thứ ba được đặc tả trong TCVN 11816-3.

Bước 1

Bước 3

...

...

...

D.9  Cơ chế RSA_MA

D.9.1  Tạo khóa

Ví dụ này sử dụng hai hoán vị RSA với kích thước bit của các số đồng dư α = 1024 và v = 2¹⁶+1 (một số nguyên tố = 65537 trong hệ thập phân, = '10001' trong hệ thập lục phân) như số mũ công khai. Mỗi phép toán công khai là “làm tăng một số nguyên dương, nhỏ hơn n, ...”

Với thực thể A, ld(A) = AAAAAAAA

Với thực thể B, ld(B) = BBBBBBBB

D.9.2  Trao đổi xác thực đa chiều

Đồ dài theo bit các xâu mới của các bit ngẫu nhiên là ρ = 384. Ví dụ này sử dụng hàm hăm SHA-1, tức là hàm băm thứ ba được đặc tả trong TCVN 11816-3.

...

...

...

Id(B)= BBBBBBBB

Bước 3

Bước 5

Thư mục tài liệu tham khảo

[1] M. Bellare and P. RogaWay, The exact security of digital signatures: How to sign With RSA and Rabin, in Proc. Eurocrypt '96, U. Maurer, Ed., Lecture Notes in Computer Science, Vol. 1070, Advances in Cryptology, pp 399-416, Berlin, Springer-Verlag, 1996

...

...

...

[3] U. Feige, A. Fiat and A. Shamir, Zero knowledge proofs of identity, in Journal of Cryptology, Vol. 1, pp 77-94, 1988

[4] A. Fiat and A. Shamir, How to prove yourself: Practical solutions to identification and signature problems, in Proc. Crypto '86, A.M. Odlyzko, Ed., Lecture Motes in Computer Science, Vol. 263, Advances in Cryptology, pp 186-194, Berlin, Springer-Verlag, 1987

[5] M. Girault, Self-Certified Public Keys, in Proc. Eurocrypt '91, D.W. Davies, Ed., Lecture Notes in Computer Science, Vol. 547, Advances in Cryptology, pp 490-497, Berlin, Springer-Verlag, 1992

[6] M. Girault, L. Juniot, and M.J.B. Robshaw. The feasibility of on-the-tag public key cryptography. In RFIDSEC 2007, 11-13 July 2007

[7] M. Girault and D. Lefranc. Public key authentication With one (online) single addition. In CHES’04, pages 413-427, 2004

[8] M. Girault and J.C. Paillès, On-line /off-line RSA-like, Workshop on Cryptography and Coding 2003

[9] M. Girault, G. Poupard, and J. Stem. On the fly authentication and signature Schemes based on groups of unknown order. J. Cryptology, 19(4):463-487, 2006

[10] S. Goldwasser, S. Micali and C. Rackoff, The knowledge complexity of interactive proof systems, in SIAM Journal on Computing, Vol. 18, pp 186-208,1989

[11] L.C. Guillou and J.-J. Quisquater, A practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory, in Proc. Eurocrypt '88, C.G. Gunther, Ed., Lecture Motes in Computer Science, Vol. 330, Advances in Cryptology, pp 123-128, Berlin, Springer- Verlag, 1988

...

...

...

[13] D.E. Knuth, The Art of Computer Programming, Vol. 2. Addison-Wesley, 3rd edition, 1997

[14] A. K. Lenstra and E. R. Verheul, Selecting cryptographic key sizes, in Journal of Cryptology, Vol. 14-4, pp 255-293, 2001

[15] C.H. Lim and P.J. Lee, A key recovery attack on discrete log based Schemes using a prime order subgroup, in Proc. Crypto '97, B. Kaliski, Ed., Lecture Notes in Computer Science, Vol. 1294, Advances in Cryptology, pp 249-263, Berlin, Springer-Verlag, 1997

[16] A.J. Menezes, P.C. van Oorschot and S.A. Vanstone, Handbook of Applied Cryptography, Boca Raton, CRC Press, 1997

[17] C.J. Mitchell and C.Y. Yeun, Fixing a problem in the Helsinki protocol, in ACM Operating Systems RevieW. Vol.. 32-4. DP. 21-24. October 1998

[18] A. M. Odlyzko, The future of integer factorization, in Cryptobytes, Vol. 1-2, pp 5-12, Summer 1995

[19] G. Poupard and J. Stern, Security Analysis of a practical "on the fly" Authentication and Signature Generation, in Proc. Eurocrypt '98, K. Nyberg, Ed., Lecture Motes in Computer Science, Vol. 1403, Advances in Cryptology, pp 422-436, Berlin, Springer-Verlag, 1998

[20] J.-J., M., M. and M. Quisquater, L.C., M.-A., G., A., G. and S. Guillou, With the help of T. Berson, How to explain zero-knowledge protocols to your children, in Proc. Crypto '89, G. Brassard, Ed., Lecture Notes in Computer Science, Vol. 435, Advances in Cryptology, pp 628-631, Berlin, Springer Verlag, 1990

[21] C.P. Schnorr, Efficient identification and signatures for smart cards, in Proc. Crypto '89, G. Brassard, Ed., Lecture Notes in Computer Science, Vol. 435, Advances in Cryptology, pp 239-252, Berlin, Springer Verlag, 1990

...

...

...

[23] ISO/IEC 8825-1:2002, Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)

[24] ISO/I EC 9798-1:1997, Information technology - Security techniques - Entity authentication - Part 1: General

[25] ISO/IEC 10118-3:2004, Information technology -Security techniques -Hash-functions - Part 3: Dedicated hash-functions

[26] ISO/IEC 11770-3:1999, Information technology- Security techniques - Key management - Part 3: Mechanisms using asymmetric techniques

[27] ISO/IEC 14888-2, Information technology - Security techniques - Digital signature with appendix - Part 2: Integer factorization based mechanisms

[28] ISO/IEC 15946-1:2008, Information technology- Security techniques - Cryptographic techniques based on elliptic curves - Part 1: General

[29] ISO/IEC 18032, Information technology - Security techniques - Prime number generation

[30] ISO/IEC 18033-1:2005, Information technology - Security techniques - Encryption algorithms - Part 1: General

[31] ISO/IEC 18033-2, Information technology - Security techniques - Encryption algorithms - Part 2: Asymmetric ciphers

...

...

...

Mục Lục

Lời nói đầu

1  Phạm vi áp dụng

2  Thuật ngữ và định nghĩa

3  Ký hiệu và chữ viết tắt

4  Các cơ chế dựa trên định danh

4.1  Yêu cầu an toàn đối với môi trường

4.2  Tạo khóa

4.3  Trao đổi xác thực một chiều

...

...

...

5.1  Yêu cầu an toàn đối với môi trường

5.2  Tạo khóa

5.3  Trao đổi xác thực một chiều

6  Các cơ chế dựa trên lôgarit rời rạc đối với số nguyên tố

6.1  Yêu cầu an toàn đối với môi trường

6.2  Tạo khóa

6.3  Trao đổi xác thực một chiều

7  Các cơ chế dựa trên lôgarit rời rạc đối với hợp số

7.1  Yêu cầu an toàn đối với môi trường

...

...

...

7.3  Trao đổi xác thực một chiều

8  Các cơ chế dựa trên hệ mật phi đối xứng

8.1  Yêu cầu an toàn đối với môi trường

8.2  Trao đổi xác thực một chiều

8.3  Trao đổi xác thực lẫn nhau

9  Các cơ chế dựa trên lôgarit rời rạc đối với đường cong elliptic