Tiêu chuẩn quốc gia TCVN 7817-4:2010 Công nghệ thông tin - Kỹ thuật an ninh quản lý khoá - Cơ chế

TIÊU CHUẨN QUỐC GIA

TCVN 7817-4:2010

ISO/IEC 11770-4:2006

CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - QUẢN LÝ KHÓA - PHẦN 4: CƠ CHẾ DỰA TRÊN BÍ MẬT YẾU

Information technology - Security techniques - Key management - Part 4: Mechanisms based on weak secrets

Lời nói đầu

TCVN 7817-4 : 2010 hoàn toàn tương đương với ISO/IEC 11770-4 : 2006.

TCVN 7817-4 : 2010 do Tiểu ban Kỹ thuật Tiêu chuẩn quốc gia TCVN/JTC1/SC27 "Kỹ thuật mật mã" biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 7817 bao gồm các TCVN sau:

...

...

...

- TCVN 7817-2:2010 Công nghệ thông tin - Kỹ thuật an ninh - Quản lý khóa, phần 2: Cơ chế sử dụng kỹ thuật đối xứng.

- TCVN 7817-3:2007 Công nghệ thông tin - Kỹ thuật mật mã - Quản lý khóa, phần 3: Các cơ chế sử dụng kỹ thuật không đối xứng.

- TCVN 7817-4:2010 Công nghệ thông tin - Kỹ thuật an ninh - Quản lý khóa, phần 4: Cơ chế dựa trên bí mật yếu.

CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - QUẢN LÝ KHÓA - PHẦN 4: CƠ CHẾ DỰA TRÊN BÍ MẬT YẾU

Information technology - Security techniques - Key management - Part 4: Mechanisms based on weak secrets

1. Phạm vi áp dụng

Tiêu chuẩn này quy định các cơ chế thiết lập khóa dựa trên bí mật yếu, tức là bí mật được con người ghi nhớ dễ dàng và do đó nó được chọn từ tập các khả năng khá nhỏ. Tiêu chuẩn này quy định các kỹ thuật mật mã thiết lập một hoặc nhiều khóa bí mật dựa trên bí mật yếu dẫn xuất từ một mật khẩu đã nhớ, trong khi ngăn chặn tấn công vét cạn ngoại tuyến liên quan đến bí mật yếu. Cụ thể là các cơ chế này được thiết kế để đạt được một trong ba mục đích sau:

1) Thỏa thuận khóa được xác thực bằng mật khẩu cân bằng: thiết lập một hoặc nhiều khóa bí mật giữa hai thực thể dùng chung bí mật yếu. Tại cơ chế thỏa thuận khóa được xác thực bằng mật khẩu cân bằng, các khóa bí mật dùng chung là kết quả của việc trao đổi dữ liệu giữa hai thực thể, tại đó khóa bí mật dùng chung được thiết lập với điều kiện hai thực thể sử dụng cùng bí mật yếu và không có thực thể nào trong hai thực thể đó biết trước được giá trị của khóa bí mật dùng chung.

...

...

...

CHÚ THÍCH: Kiểu cơ chế thỏa thuận khóa này không có khả năng bảo vệ bí mật yếu của thực thể A khỏi sự thăm dò từ thực thể B, nhưng lại tăng phí tổn cho kẻ tấn công muốn biết bí mật yếu của A từ B. Do đó, kiểu cơ chế này thường được dùng cho giao tiếp giữa máy trạm (A) và máy chủ (B).

3) Lấy lại khóa được xác thực bằng mật khẩu: thiết lập một hoặc nhiều khóa bí mật cho một thực thể (A) liên kết với một thực thể khác (B), trong đó A dùng bí mật yếu và B sử dụng bí mật mạnh liên kết với bí mật yếu của A. Trong cơ chế lấy lại khóa được xác thực bằng mật khẩu, các khóa bí mật có thể lấy lại được bởi A (không nhất thiết phải nhận từ B), là kết quả của việc trao đổi dữ liệu giữa hai thực thể. Trong đó khóa bí mật được thiết lập với điều kiện hai thực thể cùng dùng bí mật yếu và liên kết với bí mật mạnh. Tuy nhiên, mặc dù bí mật mạnh của B liên kết với bí mật yếu của A, thì bí mật mạnh (bản thân nó) không chứa thông tin đầy đủ cho phép xác định phép bí mật yếu hoặc khóa bí mật thiết lập trong cơ chế.

CHÚ THÍCH: Kiểu cơ chế lấy lại khóa này được sử dụng khi A không có bộ lưu trữ an toàn cho bí mật mạnh và yêu cầu sự hỗ trợ từ B để lấy lại bí mật mạnh. Kiểu cơ chế này thường được sử dụng cho giao tiếp giữa máy trạm (A) và máy chủ (B).

Tiêu chuẩn này không bao gồm các vấn đề chủ chốt khác như:

- Quản lý vòng đời của bí mật yếu, bí mật mạnh và khóa bí mật đã thiết lập.

- Các cơ chế để lưu trữ, nén, xóa, hủy,... bí mật yếu, bí mật mạnh và các khóa bí mật đã thiết lập.

CHÚ THÍCH: Các khóa được tạo hoặc lấy lại thông qua việc sử dụng bí mật yếu không thể an toàn hơn khi dựa vào tổng số các bí mật yếu mà chúng có. Vì vậy các cơ chế quy định trong tiêu chuẩn này được khuyến khích sử dụng trong môi trường an ninh thấp.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn dưới đây rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi.

...

...

...

ISO/IEC 10118-3:2004, Information technology - Security techniques - Hash-functions - Part 3: Dedicated hash-functions. (Công nghệ thông tin - Kỹ thuật an ninh - Hàm băm - Phần 3: Các hàm băm dành riêng).

3. Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các định nghĩa sau:

3.1. Thỏa thuận khóa được xác thực bằng mật khẩu tăng cường (augmented password-authenticated key agreement)

Thỏa thuận khóa được xác thực bằng mật khẩu tăng cường trong đó thực thể A sử dụng mật khẩu dựa trên bí mật yếu và thực thể B xác minh dữ liệu nhận được từ hàm một chiều của bí mật yếu mà A đang dùng để thỏa thuận và xác thực một hoặc nhiều khóa bí mật dùng chung.

3.2. Thỏa thuận khóa được xác thực bằng mật khẩu cân bằng (balanced password-authenticated key agreement)

Thỏa thuận khóa được xác thực bằng mật khẩu cân bằng trong đó thực thể A và B cùng chia sẻ một bí mật yếu dựa trên mật khẩu chung để thỏa thuận và xác thực một hoặc nhiều khóa bí mật dùng chung.

3.3. Tấn công vét cạn (brute-force attack)

Kiểu tấn công vào hệ thống mật mã sử dụng phép vét cạn tập các khóa, mật khẩu hoặc dữ liệu khác.

...

...

...

Hàm băm thỏa mãn các đặc tính sau: không thể tính toán để tìm ra hai đầu vào khác nhau mà ánh xạ tới cùng một đầu ra.

CHÚ THÍCH: Khả năng tính toán phụ thuộc vào môi trường và yêu cầu bảo mật cụ thể.

[ISO/IEC 10118-1:2000]

3.5. Tấn công theo từ điển (trên hệ thống mật khẩu) (dictionary attack (on a password - based system))

Tấn công vào hệ thống mật mã sử dụng phép tìm kiếm danh mục mật khẩu.

CHÚ THÍCH: Tấn công theo từ điển trên hệ thống mật khẩu sử dụng danh sách các giá trị mật khẩu đã lưu hoặc danh sách các từ ngữ được lấy trong từ điển ngôn ngữ tự nhiên.

3.6. Tham số miền (domain parameter)

Mục dữ liệu chung và được nhận biết bởi hoặc có thể truy cập tới tất cả các thực thể trong miền.

CHÚ THÍCH: Tập tham số miền có thể chứa các mục dữ liệu như thẻ định danh hàm băm, độ dài thẻ băm, độ dài của phần thông điệp phản hồi, tham số trường hữu hạn, tham số đường cong elliptic, hoặc các tham số khác quy định cho các vấn đề an ninh của tên miền.

...

...

...

3.7. Xác thực khóa tường minh từ A tới B (explicit key authentication from A to B)

Đảm bảo cho thực thể B rằng A là thực thể duy nhất khác B có quyền sở hữu khóa đúng.

CHÚ THÍCH: Xác thực khóa không tường minh từ A tới B và xác nhận khóa từ A tới B kết hợp với nhau suy ra xác thực khóa tường minh từ A tới B.

[TCVN 7817-3:2007]

3.8. Hàm băm (hash tunction)

Hàm ánh xạ các chuỗi bit thành các chuỗi bit có độ dài cố định, thỏa mãn hai tính chất sau đây:

- Không có khả năng tính toán được đầu vào từ một đầu ra cho trước;

- Không có khả năng tính toán được đầu vào nào khác đầu vào cho trước mà lại có chung đầu ra.

CHÚ THÍCH: Khả năng tính toán phụ thuộc vào môi trường và yêu cầu bảo mật cụ thể.

...

...

...

3.9. Mật khẩu băm (hashed password)

Kết quả của việc áp dụng hàm băm cho mật khẩu.

3.10. Xác thực khóa không tường minh từ A tới B (implicit key authentication from A to B)

Đảm bảo cho thực thể B rằng A là thực thể duy nhất khác B có khả năng có quyền sở hữu khóa đúng.

[TCVN 7817-3:2007]

3.11. Khóa (key)

Chuỗi biểu tượng điều khiển các thao tác của phép biến đổi mật mã (ví dụ như mã hóa, giải mã, tính toán hàm kiểm tra mật mã hoặc xác minh chữ ký).

[TCVN 7817-3:2007]

3.12. Thỏa thuận khóa (key agreement)

...

...

...

[TCVN 7817-1:2007]

3.13. Xác nhận khóa từ A tới B (key confirmation from A to B)

Đảm bảo đối với thực thể B rằng thực thể A là có quyền sở hữu khóa đúng.

[TCVN 7817-3:2007]

3.14. Kiểm soát khóa (key control)

Khả năng lựa chọn khóa hoặc các tham số sử dụng trong việc tính toán khóa.

[TCVN 7817-1:2007]

3.15. Hàm dẫn xuất khóa (key derivation function)

Hàm sử dụng các bí mật dùng chung hoặc các tham số đã biết khác nhau làm đầu vào và cho đầu ra là một hay nhiều bí mật dùng chung mà có thể được sử dụng làm khóa.

...

...

...

Quá trình tạo sẵn khóa bí mật dùng chung cho một hoặc nhiều thực thể, thiết lập khóa bao gồm thỏa thuận khóa, chuyển khóa và lấy lại khóa.

3.17. Quản lý khóa (key management)

Quản trị và sử dụng để tạo ra, đăng ký, chứng thực, hủy bỏ, phân bổ, cài đặt, lưu trữ, nén, thu hồi, dẫn xuất và phá hủy vật liệu khóa theo quy định an ninh.

[TCVN 7817-1:2007]

3.18. Lấy lại khóa (key retrieval)

Quá trình thiết lập khóa cho một hoặc nhiều thực thể (được gọi là thực thể lấy khóa) với một hoặc nhiều thực thể khác (không bắt buộc có khả năng tiếp cận khóa sau khi quá trình kết thúc) và quá trình này thường đòi hỏi việc xác thực đối với thực thể lấy lại khóa bởi các khóa kia.

3.19. Thẻ khóa (key token)

Thông điệp thiết lập khóa gửi từ thực thể này đến thực thể khác trong suốt quá trình thực hiện cơ chế thiết lập khóa.

3.20. Hàm kiểm tra thẻ khóa (key token check function)

...

...

...

3.21. Hệ số thẻ khóa (Key token factor)

Giá trị được giữ bí mật và có thể được sử dụng kết hợp với bí mật yếu để tạo ra thẻ khóa.

3.22. Hàm tạo thẻ khóa (key token generation function)

Hàm tận dụng hệ số thẻ khóa và các số tham số khác làm đầu vào, đầu ra là thẻ khóa trong suốt quá trình thiết lập khóa.

3.23. Xác thực khóa hai chiều (mutual key authentication)

Đảm bảo cho mỗi trong hai thực thể rằng chỉ có thực thể kia có khả năng có quyền sở hữu khóa đúng.

3.24. Hàm một chiều (one-way function)

Hàm với đặc tính là dễ dàng tính toán đầu ra với đầu vào cho trước nhưng không có khả năng tính toán đầu vào với đầu ra cho trước.

[TCVN 7817-3:2007]

...

...

...

Chuỗi các từ, cụm từ, số hoặc ký tự bí mật để sử dụng xác thực thực thể và là bí mật yếu dễ nhớ.

3.26. Thỏa thuận khóa được xác thực bằng mật khẩu (password-authenticated key agreement)

Quá trình thiết lập một hoặc nhiều khóa bí mật dùng chung giữa hai thực thể sử dụng phần thông tin dựa trên mật khẩu chia sẻ (có nghĩa là cả hai cùng chia sẻ mật khẩu hoặc một thực thể có mật khẩu và thực thể còn lại có dữ liệu xác minh mật khẩu) và không thực thể nào có thể đoán trước được giá trị các khóa bí mật dùng chung.

3.27. Lấy lại khóa được xác thực bằng mật khẩu (password-authenticated key retrieval)

Quá trình lấy lại khóa trong đó thực thể A dùng bí mật yếu bằng mật khẩu và thực thể B sở hữu bí mật mạnh liên kết với bí mật yếu từ A. Hai thực thể đó sử dụng các bí mật riêng của chúng, thỏa thuận khóa bí mật mã khóa đó có thể lấy lại lại từ A (không nhất thiết phải nhận từ B).

3.28. Thẻ khóa được làm rối bằng mật khẩu (password-entangled key token)

Thẻ khóa được sinh ra từ bí mật yếu và hệ số thẻ khóa.

3.29. Dữ liệu xác minh mật khẩu (password verification data)

Dữ liệu mà được dùng để xác minh các thông tin về thực thể của một mật khẩu cụ thể.

...

...

...

Hàm sử dụng mật khẩu và các tham số khác làm đầu vào và đầu ra là phần tử ngẫu nhiên.

3.31. Salt

Biến ngẫu nhiên được thêm vào như là đầu vào thứ hai cho hàm mã hóa hoặc hàm một chiều, để tạo ra dữ liệu xác minh mật khẩu.

3.32. Bí mật (secret)

Giá trị mà chỉ có thực thể tạo ra giá trị đó biết.

3.33. Hàm dẫn xuất giá trị bí mật (Secret value derivation function)

Hàm sử dụng hệ số thẻ khóa, thẻ khóa và vài tham số khác làm đầu vào và đầu ra là một giá trị bí mật (để tính một hoặc nhiều khóa bí mật).

3.34. Khóa bí mật (secret key)

Khóa được sử dụng trong kỹ thuật mã hóa đối xứng bởi một tập các thực thể xác định.

...

...

...

Bí mật với mức độ thích hợp của entropy để việc dò soát kiểu vét cạn bí mật này là không khả thi, thậm chí với các dữ liệu cho trước cho phép đoán trước chính xác bí mật để phân biệt với các giả định sai.

CHÚ THÍCH: Điều này là có thể, ví dụ: bằng cách sử dụng ngẫu nhiên các bí mật từ một tập các giá trị có độ lớn thích hợp với phân bố xác suất đều đặn.

3.36. Bí mật yếu (Weak secret)

Bí mật mà con người có thể ghi nhớ dễ dàng, đặc trưng của phương pháp này là entropy của bí mật bị giới hạn, vì vậy việc dò soát kiểu vét cạn bí mật này là khả thi, các dữ liệu cho trước cho phép phán đoán chính xác bí mật để phân biệt với các giả định sai.

4. Ký hiệu và từ viết tắt

a₁, a₂ Hệ số đường cong elliptic

A,B Định danh phân biệt của thực thể

b, b_i bit (tức là 0 hoặc 1)

BS2I Hàm biến đổi chuỗi bit thành số nguyên

...

...

...

C,C_DL,C_EC Hàm tạo ra thẻ khóa dựa trên mật khẩu và hệ số thẻ khóa

D,D_DL,D_EC Hàm tạo ra thẻ khóa chỉ dựa trên duy nhất hệ số thẻ khóa

E Đường cong elliptic được xác định bởi hai hệ số đường cong elliptic a₁ và a₂

F(q) Trường hữu hạn có q phần tử

FE2I Hàm biến đổi phần tử trường thành số nguyên

FE2OS Hàm biến đổi phần tử trường thành chuỗi octet

g,g₁,g_a,g_b Các phần tử có bậc nhân r trong F(q)

G,G_a,G_b Các điểm có bậc r trên E thuộc trường F(q)

g_q-1 Phần tử có bậc nhân là q-1 trong F(q)

...

...

...

H Hàm băm lấy chuỗi octet làm đầu vào và cho đầu ra là chuỗi bit. Ví dụ: hàm băm được định nghĩa trong ISO/IEC 10118-3

h(x, L_K) Hàm băm lấy chuỗi octet x và số nguyên L_k (chỉ ra độ dài theo bit của đầu ra) làm đầu vào và cho đầu ra là chuỗi bit có độ dài L_k. Ví dụ: hàm băm được định nghĩa trong ISO/IEC 10118-3.

I2FE Hàm biến đổi số nguyên thành phần tử trường

I2OS Hàm biến đổi số nguyên thành chuỗi octet

I2P Hàm biến đổi số nguyên thành điểm trên đường cong E

J,J_DL,J_EC Hàm tạo ra phần tử xác minh mật khẩu từ mật khẩu

k Phần phụ đại số hoặc là tỉ số (q-1)/r trong các tham số miền DL hoặc tỉ số #E/r trong các tham số miền EC

K Hàm dẫn xuất khóa từ giá trị bí mật và tham số dẫn xuất khóa

K₁,K₂,.. Các khóa bí mật được thiết lập trong một cơ chế thiết lập khóa

...

...

...

m Một số nguyên

M_i Một octet được biểu diễn giá trị mã hex từ 00 đến FF

mod Phép toán đồng dư, trong đó y = a mod b là định nghĩa cho số nguyên duy nhất y trong 0 ≤ y < b và (a -y) là một bội số nguyên của b

n Một số nguyên

o_A­, o_A', o_B­, o_B' Chuỗi bit, dùng để xác định một quá trình xác nhận khóa

OS2I Hàm biến đổi chuỗi octet thành số nguyên

p,p_i Số nguyên tố lẻ

P₁,P₂,... Chuỗi octet tham số dẫn xuất khóa

q Số phần tử trong trường hữu hạn F(q). Trong cấu hình EC, q hoặc là p hoặc là 2^m đối với các số nguyên m ≥ 1. Trong cấu hình DL, q chính là p.

...

...

...

r Bậc của nhóm sẽ được sử dụng (là số nguyên tố hoặc chia hết cho (q-1) trong cấu hình DL và chia hết cho #E trong cấu hình EC)

R, R_1DL, R_1EC, R_2DL, R_2EC  Các hàm dẫn xuất phần tử ngẫu nhiên từ mật khẩu.

s_A, s_B Các hệ số thẻ khóa của thực thể A và B tương ứng với các thẻ khóa w_A và w_B

CHÚ THÍCH: Các hệ số thẻ khóa nên được tạo một cách ngẫu nhiên từ một tập các chọn lựa làm cho tối đa hóa độ khó trong việc lấy lại hệ số thẻ khóa bởi các phương pháp tìm kiếm xung đột. Các phương pháp tạo số ngẫu nhiên được quy định trong ISO/IEC 18031.

T Hàm kiểm tra tính hợp lệ của thẻ khóa

V, V_A, V_B, V_ADL, V_AEC, V_BDL, V_BEC Hàm tạo các giá trị bí mật

w_A, w_B Các thẻ khóa hoặc các thẻ khóa đã được làm rối bằng mật khẩu của các thực thể A và B, tương ứng với các hệ số thẻ khóa s_A và s_B; chúng là các số nguyên trong cấu hình DL và các điểm trong cấu hình EC.

[x] x Y Toán tử nhân trong cấu hình EC có đầu vào là một số nguyên X và một điểm Y trên đường cong E và tạo ra một điểm Z trên đường cong E, trong đó Z = [x] + Y = Y + Y + ... + Y, với x-1 lần số hạng Y nếu x là dương. Các toán tử thỏa mãn [0] x Y = 0_E (điểm ở vô cực) và [-x] x Y = [x] x (-Y).

z Giá trị bí mật được sử dụng để dẫn xuất khóa, đây là một số nguyên trong cấu hình DL và là một điểm trong cấu hình EC

...

...

...

p Một chuỗi octet dựa trên mật khẩu thường bắt nguồn từ một mật khẩu hoặc một mật khẩu băm, các thẻ định danh của một hoặc nhiều thực thể, thẻ định danh của mỗi phiên giao tiếp nếu nhiều hơn một phiên được thực hiện đồng thời, tùy chọn các giá trị Salt và các dữ liệu khác.

CHÚ THÍCH: Yêu cầu cần thiết là đưa một hay nhiều định danh thực thể và một định danh của phiên liên lạc vào giá trị p, điều này tránh được cơ chế thiết lập khóa bị hư hỏng bởi kiểu tấn công chia sẻ khóa chưa biết được trình bày trong [TC05].

#E Số điểm trên đường cong elliptic E

|| Toán tử ghép nối được áp dụng cho chuỗi octet

0_E Điểm vô cực trên đường cong elliptic E

5. Các yêu cầu

Giả thiết rằng các thực thể nhận biết được định danh của các thực thể khác. Điều này có thể thực hiện bằng cách lồng định danh vào trong thông tin trao đổi giữa hai thực thể, hoặc có thể nhận ra ngay từ ngữ cảnh sử dụng cơ chế.

Giả thiết rằng các thực thể nhận biết được tập các tham số miền chung được sử dụng để tính toán ra tập các hàm trong cơ chế thiết lập khóa. Mỗi cơ chế có thể sử dụng với một trong hai tập tham số miền khác nhau, tùy thuộc vào việc cơ chế vận hành trên nhóm giá trị nhân trong dãy F(q) hoặc trên nhóm phần tử cộng trong đường cong elliptic xác định trên dãy F(q). Trong trường hợp đầu, cơ chế được cho là hoạt động trong cấu hình DL (lôgarit rời rạc) và trong trường hợp thứ hai, cơ chế được cho là hoạt động trong cấu hình EC (đường cong elliptic).

CHÚ THÍCH: Điều quan trọng cơ bản để thực hiện chính xác thao tác trong các cơ chế là bất kỳ tham số miền nào đều được giữ chính xác bởi mỗi bên tham gia. Khi bất kỳ bên tham gia nào vô tình hay cố ý sử dụng tham số miền bị lỗi có thể tạo lỗi trong các cơ chế, kéo theo bên thứ ba khám phá ra được khóa bí mật đã thiết lập.

...

...

...

Tập các tham số miền DL bao gồm:

F(q) - Trường hữu hạn trên q phần tử.

q - Số phần tử trong F(q), đây là một số nguyên tố.

r - Bậc của nhóm phần tử sẽ được sử dụng thuộc trường hữu hạn, đây là ước số nguyên của q-1.

g - Phần tử nhân bậc r thuộc F(q) (g gọi là phần tử sinh của nhóm con gồm r phần tử trong F(q)).

g_q-1 - Phần tử nhân bậc q-1 thuộc F(q).

CHÚ THÍCH: Phương pháp tạo g_q-1 có thể tìm thấy trong chương 4 của [MvV96] và [Ka86].

k - Giá trị bằng (q-1)/r, được gọi là phần phụ đại số, thỏa mãn k = 2 p₁ p₂ … p_t trong đó số nguyên tố p_i > r và i = 1, 2,..., t. (Khi t = 0 thì k = 2).

Tập các tham số miền EC bao gồm:

...

...

...

q - Số phần tử trong F(q), có giá trị

- p nếu là số nguyên tố lẻ; hoặc,

- 2^m đối với số nguyên dương m ≥ 1.

a₁, a₂ - Hai hệ số đường cong, các phần tử F(q) được xác định trên đường cong elliptic E.

E - Đường cong elliptic xác định bởi hệ số đường cong elliptic a₁, a₂. Và được xác định bởi một trong hai phương trình sau cùng với điểm 0_E gọi là điểm vô cực:

- Y² = X³ + a₁X + a₂ trên trường F(p),

- Y² + XY = X³ + a₁X² + a₂ trên trường F(2^m),

#E - Số các điểm trên E.

r - Bậc của nhóm mong muốn, đó là số nguyên chia hết cho #E.

...

...

...

k - Giá trị bằng #E/r, được gọi là phần phụ đại số, thỏa mãn k = 2ⁿ p₁ p₂...p_t trong đó n = {0, 1, 2} và số nguyên tố p_i > r và i = 1, 2,…, t. (Khi t = 0 thì k = 2ⁿ).

Khi các thực thể sử dụng một cơ chế cụ thể trong cấu hình EC, giả định rằng các thực thể nhận biết được hình thức biểu diễn điểm, nghĩa là điểm được biểu diễn dưới dạng nén hoặc không nén hoặc dạng mẫu lai. Các quy định kỹ thuật về biểu diễn điểm xem thêm trong ISO/IEC 18033-2.

Trong đặc tả kỹ thuật các cơ chế của tiêu chuẩn này, phương pháp tạo số ngẫu nhiên tuân theo ISO/IEC 18031 và phương pháp tạo số nguyên tố tuân theo ISO/IEC 18032.

Cũng giả thiết rằng các thực thể nhận biết được một hàm băm H chung, ví dụ: hàm băm riêng được quy định trong ISO/IEC 10118-3.

6. Thỏa thuận khóa được xác thực bằng mật khẩu

Điều khoản này quy định ba cơ chế thỏa thuận khóa được xác thực bằng mật khẩu. Cơ chế đầu tiên quy định trong điều 6.1 là cơ chế thỏa thuận khóa được xác thực bằng mật khẩu cân bằng đòi hỏi hai thực thể dùng chung một bí mật yếu. Các cơ chế thứ hai và thứ ba, quy định tại điều 6.2 và 6.3 là các cơ chế thỏa thuận khóa được xác thực bằng mật khẩu tăng cường đòi hỏi một trong hai thực thể có dữ liệu xác minh bí mật yếu từ thực thể khác.

Tất cả ba cơ chế thỏa thuận khóa được xác thực bằng mật khẩu đều được thực hiện tiếp theo sau quá trình khởi tạo và quá trình thiết lập khóa.

Quá trình khởi tạo: Hai thực thể tham gia đồng ý sử dụng một tập các tham số miền hợp lệ, một tập các tham số dẫn xuất khóa và một tập các hàm, tất cả đều được công khai. Hai thực thể cũng đồng ý sử dụng hoặc bí mật yếu dựa trên mật khẩu chia sẻ mà chỉ họ biết hoặc thông tin dựa trên mật khẩu chia sẻ, nghĩa là một thực thể có bí mật yếu dựa trên mật khẩu và thực thể còn lại có dữ liệu xác minh mật khẩu tương ứng.

Quá trình thiết lập khóa:

...

...

...

2) Kiểm tra tính hợp lệ của thẻ khóa: tùy thuộc vào các thao tác trong quá trình sản xuất thẻ khóa ở bước 1, từng thực thể liên quan lựa chọn một phương pháp thích hợp để xác nhận là đã nhận được các thẻ khóa dựa trên tham số miền. Nếu có bất kỳ xác nhận nào thất bại, đầu ra sẽ là “không hợp lệ” và quá trình dừng lại.

3) Thu được khóa bí mật dùng chung: từng thực thể trong hai thực thể liên quan áp dụng một hàm dẫn xuất giá trị bí mật nhất định để sở hữu riêng hệ số thẻ khóa, các thẻ khóa và/hoặc mật khẩu chia sẻ hoặc dữ liệu xác minh mật khẩu của thực thể khác nhằm tạo ra được giá trị chia sẻ bí mật. Mỗi thực thể áp dụng thêm một hàm dẫn xuất khóa với giá trị chia sẻ bí mật và các tham số dẫn xuất khóa để thu được một hoặc nhiều khóa bí mật dùng chung.

4) Kiểm tra xác minh khóa: hai thực thể liên quan sử dụng thiết lập khóa bí mật dùng chung với các bước trên thì nhận được khóa cho mỗi bên. Bước này là tùy chọn trong cơ chế 1 nhưng bắt buộc trong cơ chế 2 và 3.

6.1. Cơ chế thỏa thuận khóa 1

Đây là cơ chế thỏa thuận khóa được thiết kế theo thỏa thuận khóa được xác thực bằng mật khẩu cân bằng trong đó thiết lập một hay nhiều khóa bí mật dùng chung giữa hai thực thể A và B với kiểm soát khóa kết nối và chia sẻ đầu tiên chuỗi octet dựa trên mật khẩu p. Cơ chế này cung cấp xác thực khóa không tường minh hai chiều và tùy chọn xác nhận khóa tường minh hai chiều.

Cơ chế này làm việc được trên cả hai cấu hình DL và EC.

CHÚ THÍCH: Cơ chế này dựa trên [Jab96] và cơ chế được gọi là {DL,EC}BPKAS-SPEKE trong [IEEEP1363.2].

6.1.1. Tham số được chia sẻ trước

Thỏa thuận khóa giữa hai thực thể A và B diễn ra trong môi trường chứa các tham số sau đây:

...

...

...

- Tập các tham số miền hợp lệ (tham số miền DL hoặc tham số miền EC) quy định trong Điều 5.

- Hàm dẫn xuất phần tử ngẫu nhiên, R.

- Hàm tạo thẻ khóa, D.

- Hàm kiểm tra thẻ khóa, T.

- Hàm dẫn xuất giá trị bí mật, V.

- Hàm dẫn xuất khóa, K.

- Giá trị Boolean b cho biết liệu phép nhân phần phụ đại số có được yêu cầu hay không. Nếu b=1, thì phép nhân phần phụ đại số được yêu cầu, nếu khác thì không được yêu cầu.

- Một hoặc nhiều chuỗi octet tham số dẫn xuất khóa {P₁, P₂, ...}, trong đó A và B phải cùng chấp nhận sử dụng giá trị P_i .

- Độ dài của khóa bí mật dùng chung, L_K.

...

...

...

6.1.2. Các hàm

6.1.2.1. Hàm dẫn xuất phần tử ngẫu nhiên R

Hàm dẫn xuất phần tử ngẫu nhiên R lấy chuỗi octet x làm đầu vào và tạo ra đầu ra là phần tử nhóm được chọn R(x). Cơ chế thỏa thuận khóa 1 có thể sử dụng bất kỳ một trong bốn hàm R sau: R_1DL, R_1EC, R_2DL và R_2EC.

- R_1DL tương ứng khi cơ chế sử dụng tham số miền DL, tức là hoạt động trên nhóm phần tử nhân xác định trên F(q). Với tham số miền DL cho trước (bao gồm k và q) và chuỗi octet x làm đầu vào thì ta có R_1DL:

R_1DL(x) = (BS2l(H(x)))^k mod q.

- R_1EC tương ứng khi cơ chế sử dụng tham số miền EC, tức là hoạt động trên nhóm phần tử cộng thuộc đường cong elliptic xác định trên F(q). Với tham số miền EC cho trước (bao gồm k) và chuỗi octet x làm đầu vào thì ta có R_1EC:

R_1EC(x) = [k] x l2P(BS2l(H(x))).

- R_2DL tương ứng khi cơ chế sử dụng tham số miền DL, tức là hoạt động trên nhóm phần tử nhân xác định trên F(q). Với tham số miền DL cho trước (bao gồm q), hai phần tử ngẫu nhiên thuộc nhóm con bậc r trong F(q) là g_a và g_b và chuỗi octet x làm đầu vào thì ta có R_2DL:

R_2DL(x) = g_a * g_b ^BS2I(H(x)) mod q.

...

...

...

R_2EC(x) = G_a + [BS2l(H(x))] x G_b.

Hàm BS2I (chuyển chuỗi bit thành số nguyên) và I2P (chuyển số nguyên thành điểm) được miêu tả trong Phụ lục A.

CHÚ THÍCH 1: Bốn lựa chọn cho hàm R có các đặc điểm hiệu suất và giả thiết bảo mật khác nhau. Về hiệu suất, R₂ được sử dụng khi k >> r, nhưng khi sử dụng phần phụ đại số k nhỏ, R₁ lại nhanh hơn R₂.

CHÚ THÍCH 2: Khuyến cáo rằng nếu kết quả của R_1DL(x) hoặc R_2DL(x) là 1, hoặc nếu kết quả của R_1EC(x) hoặc R_2EC(x) là 0_E, thì đầu ra là “không hợp lệ" và quá trình dừng lại. Căn cứ vào đặc tính ngẫu nhiên của hàm băm H, xác suất xảy ra trường hợp này là rất ít. Tuy nhiên không điểm yếu bảo mật nào bị phát hiện, bởi vì nếu hàm R cho đầu ra không ngừng có giá trị 1 trong cấu hình DL hoặc điểm 0_E trong cấu hình EC, thì giao thức sẽ hủy bỏ khi chạy hàm kiểm tra thẻ khóa T.

6.1.2.2. Hàm tạo thẻ khóa D

Hàm tạo thẻ khóa D lấy số nguyên x và phần tử nhóm y làm đầu vào và tạo ra đầu ra là nhóm phần tử D(x, y). Cơ chế thiết lập khóa 1 có thể được sử dụng một trong các hàm D sau: D_DL và D_EC:

- D_DL tương ứng với cơ chế sử dụng các tham số miền DL, tức là hoạt động trên nhóm phần tử nhân xác định trên F(q). Cho trước tham số miền DL (bao gồm q) và hai đầu vào x từ {1,.., r-1} và số nguyên y là đầu ra hàm R, trong đó D_DL  tính như sau:

D_DL(x, y) = y^x mod q.

- D_EC tương ứng với cơ chế sử dụng các tham số miền EC, tức là hoạt động trên nhóm phần tử cộng thuộc đường cong elliptic xác định trên F(q). Cho trước tham số miền EC và hai đầu vào x từ {1,…, r - 1} và điểm Y là đầu ra hàm R, trong đó D_EC tính như sau:

...

...

...

6.1.2.3. Hàm kiểm tra thẻ khóa T

Hàm kiểm tra thẻ khóa T lấy phần tử nhóm x làm đầu vào và tạo ra đầu ra là giá trị Boolean T(x). Cơ chế thỏa thuận khóa 1 sử dụng một trong các hàm T sau, T_DL và T_EC:

- T_DL tương ứng với cơ chế sử dụng các tham số miền DL, tức là hoạt động trên nhóm phần tử nhân thuộc F(q). Cho trước tham số miền DL (bao gồm q) và chuỗi dữ liệu x, trong đó T_DL được xác định như sau:

- Nếu x không biểu diễn số nguyên, T_DL(x) = 0,

- Nếu x ≤ 1, T_DL(x) = 0,

- Nếu x ≥ q -1, T_DL(x) = 0.

- Trường hợp còn lại, T_DL(x) = 1.

- T_EC tương ứng với cơ chế sử dụng tham số miền EC, tức là hoạt động trên nhóm phần tử cộng thuộc đường cong elliptic xác định trên F(q). Với tham số miền EC (bao gồm 0_E) cho trước, giá trị n Î {0, 1, 2}, cho k = 2ⁿ p₁ p₂ ... p_t và chuỗi dữ liệu X, T_EC được xác định như sau:

- Nếu X không biểu diễn một điểm trên E, T_EC(X) = 0,

...

...

...

- Trường hợp còn lại, T_EC(X) = 1.

6.1.2.4. Hàm dẫn xuất giá trị bí mật V

Hàm dẫn xuất giá trị bí mật V hoạt động trên số nguyên x và phần tử nhóm đã chọn y với giá trị Boolean b làm đầu vào và tạo ra đầu ra là phần tử nhóm V(x, y, b). Cơ chế thỏa thuận khóa 1 có thể chọn một trong các hàm V sau, V_DLvà V_EC:

- V_DL tương ứng với cơ chế sử dụng tham số miền DL, tức là hoạt động trên nhóm phần tử nhân trên F(q). Cho trước tham số miền DL (bao gồm k và q) với ba đầu vào: x từ {1,…, r - 1}, y từ {2,…, q - 2} và b từ {0, 1}, V_DL được xác định như sau:

V_DL (x, y, b) =  mod q

- V_EC tương ứng với cơ chế sử dụng tham số miền EC, tức là hoạt động trên nhóm phần tử cộng thuộc đường cong elliptic trên F(q). Cho trước tham số miền EC (bao gồm k) và ba đầu vào: x từ {1,…, r - 1} điểm Y ¹ 0_E và b từ {0, 1}, V_EC được xác định như sau:

V_EC(x, Y, b) = [k^b * x] x Y.

6.1.2.5. Hàm dẫn xuất khóa K

Hàm dẫn xuất khóa K thao tác trên chuỗi octet x, độ dài (tính bằng bit) L_K của đầu ra hàm K và chuỗi octet tham số dẫn xuất khóa P từ {P₁, P₂, ...} làm đầu vào, tạo ra đầu ra là chuỗi bit K(x, P, L_k). Cơ chế thỏa thuận khóa 1 sử dụng hàm một chiều là hàm K:

...

...

...

CHÚ THÍCH 1: Việc chuyển đổi đầu ra cho hàm băm được quy định trong ISO/IEC 10118 - 3 là mã băm H với chiều dài bit cho trước. Xem ISO/IEC 10118 - 3 để biết thêm chi tiết.

CHÚ THÍCH 2: Giá trị của L_K phụ thuộc vào ứng dụng sử dụng khóa dẫn xuất. Nếu đầu ra của hàm dẫn xuất khóa K là một khóa mã hóa đối xứng, thì L_K là giá trị của chiều dài khóa của cơ chế mã hóa đối xứng cụ thể.

6.1.3. Thao tác thỏa thuận khóa

Cơ chế này yêu cầu cả hai A và B chấp nhận một dãy bốn bước, từ A1 - A4 và B1 - B4 (các bước tương ứng với A và B). Các bước tùy chọn là A3, A4, B3 và B4.

Xây dựng thẻ khóa (A1)

A tiến hành các bước sau:

- Tính g₁ = R(p) làm cơ sở cho thẻ khóa.

- Chọn một số nguyên s_A ngẫu nhiên từ {1,…, r - 1} làm hệ số thẻ khóa.

- Tính w_A = D(s_A, g₁) là thẻ khóa.

...

...

...

Xây dựng thẻ khóa (B1)

B tiến hành các bước sau:

- Tính g₁ = R(p) làm cơ sở cho thẻ khóa.

- Chọn một số nguyên s_B ngẫu nhiên từ {1,…, r - 1} làm hệ số thẻ khóa.

- Tính w_B = D(s_B, g₁) là thẻ khóa.

- Chuyển w_B cho A.

Thu được khóa bí mật dùng chung (A2)

A tiến hành các bước sau:

- Nhận w_B từ B.

...

...

...

- Tính z = V(s_A, w_B, b) là giá trị bí mật dùng chung.

- Tính K_i = K(GE2OS_x(z), P_i, L_K) cho từng tham số dẫn xuất khóa P_i là khóa bí mật dùng chung.

Thu được khóa bí mật dùng chung (B2)

B tiến hành các bước sau:

- Nhận w_A từ A.

- Kiểm tra tính hợp lệ của w_A bằng T(w_A): Nếu T(w_A) = 0, đầu ra sẽ "không hợp lệ" và quá trình dừng lại; nếu không thì:

- Tính z = V(s_B, w_A, b) là giá trị bí mật dùng chung.

- Tính K_i = K(GE2OS_x(z), P_i, L_k) cho từng tham số dẫn xuất khóa P_i là khóa bí mật dùng chung.

CHÚ THÍCH: Cơ chế không quy định thứ tự nào giữa A1 và B1 hoặc A2 và B2, ngoài ra theo tính logic yêu cầu cần tính toán giá trị trước khi sử dụng giá trị đó nên A1 và B1 phải xuất hiện trước A2 và B2.

...

...

...

A thực hiện các bước sau (A3):

- Tính o_A = H(hex(03) II GE2OS_x(w_A) II GE2OS_x(w_B) II GE2OS_x(z) II GE2OS_X(g₁)) và

- Chuyển o_A cho B.

B thực hiện các bước sau (B3):

- Nhận o_A từ A.

- Tính o'_A = H(hex(03) II GE2OS_x(w_A) II GE2OS_x(w_B) II GE2OSx(z) II GE2OSX(g₁)) và

- Nếu o_A ¹ o’_A thì đầu ra là “không hợp lệ”, quá trình dừng lại.

Xác minh khóa (B4 và A4) (tùy chọn)

B thực hiện các bước sau (B4):

...

...

...

- Chuyển o_B cho A.

A thực hiện các bước sau (A4):

- Nhận o_B từ B.

- Tính o’_B= H(hex(04) II GE2OS_x(w_A) II GE2OS_x(w_B) II GE2OS_x(z) II GE2OSX(g₁)) và

- Nếu o_B ¹ o'_B thì đầu ra là “không hợp lệ”, quá trình dừng lại.

CHÚ THÍCH: Các thực thể A và B có thể tự do chọn A3 và B3 hoặc A4 và B4. Tuy nhiên B3 phải xuất hiện sau A3 hoặc A4 phải xuất hiện sau B4.

Hàm GE2OSX (chuyển nhóm phần tử thành chuỗi octet) được mô tả trong Phụ lục A.

CHÚ THÍCH: Phần tử nhóm trong cơ chế này là điểm trên đường cong E trong cấu hình EC, hoặc một số nguyên trong dãy [1, q - 1] thuộc cấu hình DL.

6.2. Cơ chế thỏa thuận khóa 2

...

...

...

Cơ chế này làm việc trên cấu hình DL.

CHÚ THÍCH 1: Trong ứng dụng sử dụng thỏa thuận khóa được xác thực bằng mật khẩu tăng cường, A đóng vai trò máy trạm và B đóng vai trò máy chủ.

CHÚ THÍCH 2: Cơ chế này dựa trên [Wu02] và cơ chế được gọi là DLAPKAS-SRP6 trong [IEEEP1363.2].

6.2.1. Tham số được chia sẻ trước

Thỏa thuận khóa giữa hai thực thể A và B diễn ra trong một môi trường bao gồm các tham số sau:

- Tập các tham số miền DL, bao gồm g_q-1 và q, xác định trong Điều 5.

- Chuỗi octet dựa trên mật khẩu p, sử dụng bởi A.

- Phần tử xác minh mật khẩu v = J(p) sử dụng bởi B, trong đó J là hàm dẫn xuất phần tử xác minh mật khẩu.

- Hàm tạo thẻ khóa D, sử dụng bởi A.

...

...

...

- Hai hàm dẫn xuất giá trị bí mật, V_A và V_B tương ứng với từng thực thể.

- Hàm dẫn xuất khóa, K.

- Một hoặc nhiều chuỗi octet tham số dẫn xuất khóa {P₁, P₂, ...}, trong đó A và B phải thỏa thuận cùng sử dụng giá trị P_i.

- Số nguyên c sao cho c = (BS2l(H(l2OS(g_{q - 1}) II l2OS(q))) mod q.

- Độ dài của khóa bí mật dùng chung L_K.

Hàm BS2I (chuyển chuỗi bit thành số nguyên) và I2OS (chuyển số nguyên thành chuỗi octet) xác định trong Phụ lục A.

6.2.2. Các hàm

6.2.2.1. Hàm dẫn xuất phần tử xác minh mật khẩu J

Hàm dẫn xuất phần tử xác minh mật khẩu J hoạt động trên chuỗi octet dựa trên mật khẩu p làm đầu vào và tạo ra đầu ra là số nguyên J(p). Cơ chế thỏa thuận khóa 2 sử dụng hàm J như sau:

...

...

...

J(p) = g_q-1^BS2I(H(p)) mod q.

Hàm BS2I (chuyển chuỗi bit thành số nguyên) được xác định trong phụ lục A.

6.2.2.2. Hàm tạo thẻ khóa D

Hàm tạo thẻ khóa D lấy số nguyên x từ {1, .... q - 2} làm đầu vào và tạo ra đầu ra là số nguyên D(x). Cơ chế thỏa thuận khóa 2 sử dụng hàm D như sau:

- Cho trước tham số miền DL (bao gồm g_q-1 và q) và đầu vào x từ {1,…,q - 2} thì D được tính như sau:

D(x) = g_q-1^x mod q.

6.2.2.3. Hàm tạo thẻ khóa được làm rối bằng mật khẩu C

Hàm tạo thẻ khóa được làm rối bằng mật khẩu C hoạt động trên ba đầu vào: số nguyên c, số nguyên x từ {1,…, q - 2} và đầu ra của hàm dẫn xuất phần tử xác minh mật khẩu v = J(p) và tạo ra đầu ra là số nguyên C(x, v, c). Cơ chế thỏa thuận khóa 2 sử dụng hàm C như sau:

- Cho trước tham số miền DL (bao gồm cả g_q-1 và q) và ba đầu vào: số nguyên c, x từ {1,…,q - 2} và đầu ra v của hàm J, khi đó C được tính như sau:

...

...

...

6.2.2.4. Hàm dẫn xuất giá trị mật V_A và V_B

1) Hàm dẫn xuất giá trị mật V_A hoạt động trên sáu đầu vào: số nguyên c, chuỗi octet dựa trên mật khẩu p, số nguyên x_A từ {1,...,q-2}, số nguyên v là đầu ra của hàm dẫn xuất phần tử xác minh mật khẩu J, số nguyên y_A là đầu ra của hàm tạo thẻ khóa D, số nguyên y_B là đầu ra của hàm tạo thẻ khóa được làm rối bằng mật khẩu C và tạo ra đầu ra là số nguyên V_A(c, p, x_A, v, y_A, y_B).

2) Hàm dẫn xuất giá trị mật V_B hoạt động trên bốn đầu vào: số nguyên x_B từ {1,…, q-2}, số nguyên v là đầu ra của hàm dẫn xuất phần tử xác minh mật khẩu J, số nguyên y_A là đầu ra của hàm tạo thẻ khóa D, số nguyên y_B là đầu ra của hàm tạo thẻ khóa được làm rối bằng mật khẩu C và tạo ra đầu ra là số nguyên V_B(x_B, v, y_A, y_B).

3) V_A và V_B thỏa mãn điều kiện V_A(c, p, x_A, v, y_A, y_B) = V_B(x_B, v, y_A, y_B).

Cơ chế thỏa mãn khóa 2 có thể sử dụng V_A và V_B theo sau:

1) Cho trước tham số miền DL (bao gồm g_q-1 và q), số nguyên c, chuỗi octet dựa trên mật khẩu p, số nguyên x_A từ {1,…, q - 2}, đầu ra v của hàm J, đầu ra y_A  của hàm D, đầu ra y_B của hàm C, khi đó V_A được tính như sau:

- Tính u₁ = BS2l(H(p)),

- Tính u₂ = BS2l(H(I2OS(y_A) II l2OS(y_B))) và

- Tính V_A(c, p, x_A, v, y_A, y_B) =  mod q.

...

...

...

- Tính u = BS2l(H(l2OS(y_A) II l2OS(y_B))) và

- Tính V_B (x_B, v, y_A,  y_B) = mod q.

Hàm I2OS (chuyển số nguyên thành chuỗi octet) và BS2I (chuyển chuỗi bit thành số nguyên) được miêu tả trong Phụ lục A.

6.2.2.5. Hàm dẫn xuất khóa K

Hàm dẫn xuất khóa K tương tự như đã xác định trong Điều 6.1.2.5.

6.2.3. Thao tác thỏa thuận khóa

Cơ chế này yêu cầu cả hai A và B chấp nhận dãy bốn bước, từ A1 - A4 và B1 - B4 (các bước tương ứng với A và B). Các bước tùy chọn là A4 và B4.

Xây dựng thẻ khóa (A1)

A tiến hành các bước sau:

...

...

...

- Tính w_A = D(s_A) là thẻ khóa.

- Chuyển w_A cho B.

Xây dựng thẻ khóa được làm rối bằng mật khẩu (B1)

B tiến hành các bước sau:

- Nhận w_A từ A.

- Kiểm tra nếu 1 < w_A < q-1, nếu không đúng thì đầu ra là “không hợp lệ”, quá trình dừng lại, nếu đúng thì tiếp tục,

- Chọn số nguyên s_A ngẫu nhiên từ {1,.... q - 2} là hệ số thẻ khóa.

- Tính w_B = C(s_B, v, c) là thẻ khóa được làm rối bằng mật khẩu.

- Chuyển w_A cho A.

...

...

...

A tiến hành các bước sau:

Nhận w_B từ B.

Kiểm tra nếu 1 < w_B < q-1, nếu không đúng thì đầu ra là "không hợp lệ”, quá trình dừng lại, nếu đúng thì tiếp tục,

- Tính z = V_A (c, p, s_A, v, w_A, w_B) là giá trị thỏa thuận bí mật.

- Tính K_i = K (I2OS(z), P_i, L_K) là khóa bí mật dùng chung cho từng tham số dẫn xuất khóa P_i.

Thu được khóa bí mật dùng chung (B2)

B tiến hành các bước sau:

- Tính z = V_B (s_B, v, w_A, w_B) là giá trị thỏa thuận bí mật.

- Tính K_i = K(l2OS(z), P_i, L_K) là khóa bí mật dùng chung cho từng tham số dẫn xuất khóa P_i.

...

...

...

A thực hiện các bước sau (A3):

- Tính o_A = H(hex(04) II I2OS(w_A) II I2OS(w_B) II I2OS(z) II I2OS(v)) và

- Chuyển o_A cho B.

B thực hiện các bước sau (B3):

- Nhận o_A từ A.

- Tính o'_A = H(hex(04) II I2OS(w_A) II I2OS(w_B) II I2OS(z) II I2OS(v)) và

- Nếu o_A ¹ o'_A thì đầu ra là “không hợp lệ”, quá trình dừng lại.

Xác minh khóa (B4 và A4) (tùy chọn)

B thực hiện các bước sau (B4):

...

...

...

- Chuyển o_B cho A.

A thực hiện các bước sau (A4):

- Nhận o_B từ B.

- Tính o'_B = H(hex(03) II I2OS(W_A) II I2OS(w_B) II I2OS(z) II I2OS(v)) và

- Nếu o_B ¹ o'_B thì đầu ra là “không hợp lệ", quá trình dừng lại.

Hàm I2OS (chuyển số nguyên thành chuỗi octet) được miêu tả trong Phụ lục A.

CHÚ THÍCH: Thực thể B phải xác minh bằng chứng của thực thể A về khóa thỏa thuận trước khi nhận bất kỳ thông tin nào thu được từ khóa thỏa thuận. Do đó A3/B3 phải thực hiện trước A4/B4.

6.3. Cơ chế thỏa thuận khóa 3

Đây là cơ chế thỏa thuận khóa được thiết kế theo thỏa thuận khóa được xác thực bằng mật khẩu tăng cường, trong đó thiết lập một hay nhiều khóa bí mật dùng chung giữa hai thực thể A và B với kiểm soát khóa kết nối. Trong cơ chế này, A có chuỗi octet dựa trên mật khẩu p và B có dữ liệu xác minh mật khẩu v tương ứng với p. Cơ chế này cung cấp thỏa thuận khóa tường minh một chiều và tùy chọn xác nhận khóa hai chiều.

...

...

...

CHÚ THÍCH 1: Trong các ứng dụng sử dụng thỏa thuận khóa được xác thực bằng mật khẩu tăng cường, thực thể A phải đóng vai trò máy trạm và thực thể B phải đóng vai trò máy chủ.

CHÚ THÍCH 2: Cơ chế này dựa trên [Kw00] và [Kw03] và cơ chế được gọi là {DL, EC}APKAS-AMP trong [IEEEP1363.2).

6.3.1. Tham số được chia sẻ trước

Thỏa thuận khóa giữa hai thực thể A và B diễn ra trong một môi trường chứa các tham số sau:

- Chuỗi octet dựa trên mật khẩu p được sử dụng bởi A.

- Tập các tham số miền hợp lệ (tham số miền DL hoặc tham số miền EC) xác định trong Điều 5.

- Phần tử xác minh mật khẩu v = J(p) sử dụng bởi B, trong đó J là hàm dẫn xuất phần tử xác minh mật khẩu.

- Hàm tạo thẻ khóa D, sử dụng bởi A.

- Hàm tạo thẻ khóa được làm rối bằng mật khẩu C, được sử dụng bởi B.

...

...

...

- Hai hàm dẫn xuất giá trị bí mật V_A và V_B tương ứng với từng thực thể.

- Hàm dẫn xuất khóa K.

- Một hoặc nhiều chuỗi octet tham số dẫn xuất khóa {P₁, P₂,...}, trong đó A và B phải cùng chấp nhận sử dụng giá trị P_i.

- Độ dài của khóa bí mật dùng chung, L_K.

6.3.2. Các hàm

6.3.2.1. Hàm dẫn xuất phần tử xác minh mật khẩu J

Hàm dẫn xuất phần tử xác minh mật khẩu J lấy chuỗi octet dựa trên mật khẩu p làm đầu vào và tạo ra đầu ra là phần tử nhóm được chọn J(p) xác định trên F(q). Cơ chế thỏa thuận khóa 3 có   thể sử dụng một trong các hàm J_DL và J_EC sau:

- J_DL thỏa mãn sao cho cơ chế sử dụng các tham số miền DL, tức là hoạt động trên nhóm phần tử nhân trên F(q). Cho trước các tham số miền DL (bao gồm g và q) và chuỗi octet dựa trên mật khẩu p thì J_DL được tính như sau:

J_DL(p) = g ^BS2I(H(p)) mod q.

...

...

...

J_EC(p) = [BS2l(H(p))] x G.

Hàm BS2I (chuyển chuỗi bit thành số nguyên) được xác định trong Phụ lục A.

6.3.2.2. Hàm tạo thẻ khóa D

Hàm tạo thẻ khóa D hoạt động trên số nguyên x từ {1,…, r - 1} làm đầu vào và tạo ra đầu ra là nhóm phần tử D(x) đã chọn. Cơ chế thỏa thuận khóa 3 có thể sử dụng một trong hai hàm D_DL và D_EC:

- D_DL tương ứng với cơ chế sử dụng tham số miền DL, tức là hoạt động trên nhóm phần tử nhân xác định trên F(q). Cho trước tham số miền DL (bao gồm g và q) và đầu vào x từ {1,…, r - 1}, trong đó D_DL tính như sau:

D_DL(x) = g^x mod q.

- D_EC tương ứng với cơ chế sử dụng tham số miền EC, tức là hoạt động trên nhóm phần tử cộng thuộc đường cong elliptic xác định trên F(q). Cho trước tham số miền EC (bao gồm G) và đầu vào x từ {1,…, r - 1}, trong đó D_EC tính như sau:

D_EC(x) = [x] x G.

6.3.2.3. Hàm tạo thẻ khóa được làm rối bằng mật khẩu C

...

...

...

- C_DL tương ứng với cơ chế sử dụng tham số miền DL, tức là hoạt động trên nhóm phần tử nhân xác định trên F(q). Cho trước tham số miền DL (bao gồm q) và ba đầu vào bao gồm: số nguyên x từ {1,…,r- 1} và đầu ra v của hàm J, đầu ra y của hàm D, khi đó C_DL được tính như sau:

- Tính e = BS2I(H(I2OS(1) II GE2OSX (y))),

- Tính C_DL(x,v,y) = (v*y^e)^x mod q,

- Kiểm tra C_DL(x,v,y) bằng 1 hoặc (q - 1) thì đầu ra là “không hợp lệ”, quá trình sẽ dừng lại. Nếu không thì C_DL(x,v,y) là giá trị cần.

- C_EC tương ứng với cơ chế sử dụng tham số miền EC, tức là hoạt động trên nhóm phần tử cộng thuộc đường cong elliptic xác định trên F(q). Cho trước tham số miền EC và ba đầu vào: số nguyên x từ {1,…,r - 1} và đầu ra V của hàm J, đầu ra Y của hàm D, khi đó C_EC tính như sau:

- Tính e = BS2I(H(I2OS(1) II GE2OS_x (Y))),

- Tính C_EC(x,V ,Y) =[x] x (V + [e] x Y),

- Kiểm tra nếu [4] x C_EC(x, V, Y) = 0_E thì đầu ra là "không hợp lệ”, quá trình sẽ dừng lại. Nếu không thì C_EC(x,V,Y) là giá trị cần.

Hàm BS2I (chuyển chuỗi bit thành số nguyên) và hàm I2OS (chuyển số nguyên thành chuỗi octet) và hàm GE2OS_x (chuyển phần tử nhóm thành chuỗi octet) được miêu tả trong Phụ lục A.

...

...

...

Hàm kiểm tra thẻ khóa T tương tự đã xác định trong Điều 6.1.2.3.

6.3.2.5. Hàm dẫn xuất giá trị mật V_A và V_B

1) Hàm dẫn xuất giá trị mật V_A hoạt động trên bốn đầu vào: chuỗi octet dựa trên mật khẩu p, số nguyên x_A từ {1,…,r-1}, y_A(hoặc y_A) của hàm D, số y_B(hoặc Y_B) của hàm C và tạo ra đầu ra là phần tử nhóm V_A(p, x_A, y_A, y_B)

2) Hàm dẫn xuất giá trị mật \/_B hoạt động trên ba đầu vào: số nguyên x_B từ {1,…, r-1}, y_A(hoặc y_A) của hàm D, số y_B (hoặc Y_B) của hàm C và tạo ra đầu ra là phần tử nhóm V_B(x_B, y_A, y_B).

3) V_A và V_B thỏa mãn điều kiện V_A(p, x_A, y_A, y_B) = V_B(x_B, y_A, y_B).

Cơ chế thỏa thuận khóa 3 có thể sử dụng một trong hai hàm V_A là: V_ADL và V_AEC và sử dụng một trong hai hàm v_B là: V_BDL và V_BEC như sau:

1. V_ADL thỏa mãn cơ chế sử dụng tham số miền DL, tức là hoạt động trên  nhóm nhân trên F(q). Cho trước tham số miền DL (bao gồm r và q), chuỗi octet dựa trên mật khẩu p, số nguyên x_A từ {1,…, r-1}, đầu ra y_A từ {2,…, q-2}, đầu ra y_B từ {2,…,q-2} thì khi đó V_ADL được tính như sau:

- Tính e = BS2I(H(I2OS(1) II GE2OS_X (y_A))),

- Tính d = BS2I(H(I2OS(2) II GE2OS_X (y_A) II GE2OS_X (y_B))).

...

...

...

- Tính V_ADL(p, x_A, y_A, y_B) = y_B^u mod q.

- Đầu ra V_ADL(p, x_A, y_A, y_B).

2. V_BDL thỏa mãn cơ chế sử dụng tham số miền DL, tức là hoạt động trên nhóm nhân trên F(q). Cho trước tham số miền DL (bao gồm g và q), số nguyên x_B từ {1,…, r - 1}, đầu ra y_A từ (2,…, q - 2}, đầu ra y_B từ {2,…,q - 2} thì khi đó V_BDL được tính như sau:

- Tính d = BS2I(H(I2OS(2) II GE2OS_X (Y_A) II GE2OS_x (y_B))).

- Tính V_BDL(x_B, y_A, y_B) =  mod q.

- Đầu ra V_BDL(x_B,y_A,y_B)

3. V_AEC thỏa mãn cơ chế sử dụng tham số miền EC, tức là hoạt động trên nhóm cộng thuộc đường cong elliptic trên F(q). Cho trước tham số miền EC (bao gồm r), chuỗi octet dựa trên mật khẩu p, số nguyên x_A từ {1,…,r- 1}, điểm Y_A (¹0_E) trên E, đầu ra Y_B (¹0_E) trên E thì khi đó V_AEC được tính như sau:

- Tính e = BS2I(H(I2OS(1) II GE2OS_X (Y_A))),

- Tính d = BS2I(H(I2OS(2) II GE2OS_x (Y_A) II GE2OS_x (Y_B))),

...

...

...

- Tính V_AEC (p, x_A, Y_A, Y_B) = [u] x Y_B,

- Đầu ra V_AEC(p, x_A, Y_A, Y_B).

4. V_BEC thỏa mãn cơ chế sử dụng tham số miền EC, tức là hoạt động trên nhóm cộng thuộc đường cong elliptic trên F(q). Cho trước tham số miền EC (bao gồm cả G), số nguyên x_B từ {1,… r-1}, điểm Y_A(¹0_E) trên E, đầu ra Y_B (¹0_E) trên E thì khi đó V_BEC được tính như sau:

- Tính d = BS2I(H(I2OS(2) II GE2OS_x (Y_A) II GE2OS_X (Y_B)))

- Tính V_BEC(x_B, Y_A, Y_B) = [x_B] x (Y_A + [d] x G),

- Đầu ra V_BEC (x_B, Y_A, Y_B).

Hàm I2OS (chuyển số nguyên thành chuỗi octet) và BS2I (chuyển chuỗi bit thành số nguyên) và hàm GE2OS_x (chuyển phần tử nhóm thành chuỗi octet) được miêu tả trong Phụ lục A.

6.3.2.6. Hàm dẫn xuất khóa K

Hàm dẫn xuất khóa K tương tự đã xác định trong Điều 6.1.2.5.

...

...

...

Cơ chế này yêu cầu cả hai A và B chấp nhận dãy bốn bước, từ A1 - A4 và B1 - B4 (các bước tương ứng với A và B). Các bước tùy chọn là A4 và B4.

Xây dựng thẻ khóa (A1)

A tiến hành các bước sau:

- Chọn số nguyên s_A ngẫu nhiên từ {1,…, r- 1} là hệ số thẻ khóa.

- Tính w_A = D(s_A) là thẻ khóa.

- Chuyển w_A cho B.

Xây dựng thẻ khóa được làm rối bằng mật khẩu (B1)

B tiến hành các bước sau:

- Nhận w_A từ A.

...

...

...

- Chọn số nguyên s_B ngẫu nhiên từ {1,…, r-1} làm hệ số thẻ khóa.

- Tính w_B = C(s_B, v, w_A) là thẻ khóa được làm rối bằng mật khẩu (nếu đầu ra hàm C là “không hợp lệ" thì quay lại tìm s_B khác với giá trị thích hợp), sau đó.

- Chuyển w_B cho A.

Thu được khóa bí mật dùng chung (A2)

A tiến hành các bước sau:

- Nhận w_B từ B.

- Kiểm tra tính hợp lệ của w_B sử dụng T(w_B): nếu T(w_B) = 0, thì đầu ra là “không hợp lệ”, quá trình dừng lại, nếu khác thì tiếp tục,

- Tính z = V_A(p, s_A, w_A, w_B) là giá trị thỏa thuận bí mật.

- Tính K_i = K(GE2OS_x(z), P_i, L_k) là khóa bí mật dùng chung cho từng tham số dẫn xuất khóa P_i.

...

...

...

B tiến hành các bước sau:

- Tính z = V_B(s_B, w_A, w_B) là giá trị thỏa thuận bí mật.

- Tính K_i = K(GE2OS_x(z), P_i, L_k) là khóa bí mật dùng chung cho từng tham số dẫn xuất khóa P_i.

Xác minh khóa (A3 và B3) (bắt buộc)

A thực hiện các bước sau (A3):

- Tính o_A = H(I2OS(4) II GE2OS_x(w_A) II GE2OS_x(w_B) II GE2OS_x(z)) và

- Chuyển o_A cho B.

B thực hiện các bước sau (B3):

-  Nhận o_A từ A.

...

...

...

- Nếu o_A ¹o’_A thì đầu ra là "không hợp lệ”, quá trình dừng lại.

Xác minh khóa (B4 và A4) (tùy chọn)

B thực hiện các bước sau (B4):

- Tính o_B = H(I2OS(3) II GE2OS_x(w_A) II GE2OS_x(w_B) II GE2OS_x(z)) và

- Chuyển o_B cho A.

A thực hiện các bước sau (A4):

- Nhận o_B từ B.

 - Tính o'_B = H(I2OS(3) II GE2OS_x(w_A) II GE2OS_x(w_B) II GE2OS_x(z)) và

 - Nếu o_B ¹ o'_B thì đầu ra là "không hợp lệ”, quá trình dừng lại.

...

...

...

CHÚ THÍCH 1: Phần tử nhóm trong cơ chế này là điểm trên đường cong E trong cấu hình EC, hoặc là số nguyên thuộc dãy [1, q - 1) trong cấu hình DL.

CHÚ THÍCH 2: Thực thể B phải xác minh bằng chứng của thực thể A về khóa thỏa thuận trước khi nhận bất kỳ thông tin nào thu được từ khóa thỏa thuận. Do đó A3/B3 phải thực hiện trước B4/A4.

CHÚ THÍCH 3: Dựa trên kiểu tấn công phân tích Pohlig-Hellman, giá trị bí mật thấp nhất một hoặc hai bit của B là s_B có thể bị nhận ra bởi kẻ tấn công, khi k được chia cho 2 hoặc 4.

7. Lấy lại khóa được xác thực bằng mật khẩu

Điều này quy định cơ chế lấy lại khóa được xác thực bằng mật khẩu. Trong cơ chế, thực thể A có bí mật yếu dẫn xuất từ mật khẩu và thực thể còn lại B có bí mật mạnh liên kết với bí mật yếu của A. Sử dụng các bí mật tương ứng của mình, hai thực thể thương lượng một khóa bí mật, có thể lấy lại từ A nhưng không nhất thiết phải nhận từ B.

Kết quả của quá trình này là A có được giá trị của khóa bí mật được dẫn xuất từ bí mật yếu của A và bí mật mạnh của B. Thực thể B không cần biết bí mật của A hoặc khóa bí mật nhận được. Bí mật của B liên kết với bí mật của A, nhưng (trong chính bản thân nó) không chứa đủ thông tin để cho phép xác định bí mật của A hoặc khóa bí mật đã thiết lập, ngay cả với tấn công vét cạn.

CHÚ THÍCH: Trong ứng dụng sử dụng lấy lại khóa được xác thực bằng mật khẩu, A đóng vai trò máy khách và B đóng vai trò máy chủ.

Thao tác lấy lại khóa được xác thực bằng mật khẩu được thực hiện tiếp theo sau quá trình khởi tạo và quá trình thiết lập khóa

Quá trình khởi tạo: Hai thực thể tham gia đồng ý sử dụng tập các tham số miền hợp lệ và tập các hàm, tất cả đều được công khai. Thực thể A thiết lập một bí mật yếu dựa trên mật khẩu và thực thể còn lại B thiết lập một bí mật mạnh liên kết với bí mật yếu của A.

...

...

...

1) Tạo và trao đổi thẻ khóa: Thực thể A lựa chọn một hệ số thẻ khóa, kiến tạo thẻ khóa được làm rối bằng mật khẩu và chuyển thẻ khóa đó cho thực thể B. Sau khi nhận được thẻ khóa được làm rối bằng mật khẩu từ A, thực thể B kiến tạo một thẻ khóa và chuyển nó cho A.

2) Kiểm tra tính hợp lệ của thẻ khóa (tùy chọn): tùy thuộc vào các thao tác trong quá trình tạo ra thẻ khóa, từng thực thể liên quan lựa chọn một phương pháp thích hợp để chấp nhận các đóng góp khóa đã nhận và tham số miền. Nếu bất kỳ chấp nhận nào thất bại, đầu ra sẽ là “không hợp lệ" và chấm dứt quá trình.

3) Thu được khóa bí mật dùng chung: A áp dụng các thao tác giải mã trên chính hệ số thẻ khóa của A và thẻ khóa của B để tạo ra được giá trị bí mật và có thể áp dụng thêm một hàm dẫn xuất khóa với giá trị bí mật và một hoặc nhiều tham số dẫn xuất khóa để thu được một hoặc nhiều khóa bí mật dùng chung.

7.1. Cơ chế lấy lại khóa 1

Cơ chế lấy lại khóa này được thiết lập giống khi lấy lại khóa được xác thực bằng mật khẩu. Nó sử dụng mật khẩu được dẫn xuất từ bên khởi tạo cho các dạng thay đổi của thỏa thuận khóa Diffie- Hellma. Thực thể B xác định khóa và phân phối nó cho A.

Cơ chế làm việc trên cả cấu hình DL và cấu hình EC.

CHÚ THÍCH: Cơ chế dựa trên [FK00] và cơ chế được gọi là {DL,EC}PKRS-1 trong [IEEEP1363.2].

7.1.1. Tham số được chia sẻ trước

Thao tác lấy lại khóa yêu cầu hai thực thể A và B thực hiện trong môi trường bao gồm các tham số:

...

...

...

- Chuỗi octet dựa trên mật khẩu p chỉ A biết.

- Số nguyên bí mật s_B trong {1,…, r - 1} được sử dụng cho hệ số thẻ khóa của B và chỉ B biết.

- Hàm dẫn xuất phần tử ngẫu nhiên R, sử dụng bởi A.

- Hàm tạo thẻ khóa D, sử dụng bởi cả A và B.

- Hàm kiểm tra thẻ khóa, T.

- Hàm dẫn xuất giá trị bí mật V, sử dụng bởi A.

- Hàm dẫn xuất khóa K, sử dụng bởi A.

- Một hoặc nhiều chuỗi octet tham số dẫn xuất khóa {P₁, P₂,...},

- Độ dài của khóa bí mật, L_K.

...

...

...

7.1.2.1. Hàm dẫn xuất phần tử ngẫu nhiên R

Đây là các hàm R_1DL hoặc R_1EC đã được xác định trong Điều 6.1.2.1.

7.1.2.2. Hàm tạo thẻ khóa D

Hàm tạo thẻ khóa D giống như quy định trong Điều 6.1.2.2.

7.1.2.3. Hàm kiểm tra thẻ khóa T

Hàm kiểm tra thẻ khóa T giống như quy định trong Điều 6.1.2.3.

7.1.2.4. Hàm dẫn xuất giá trị bí mật V

Hàm dẫn xuất giá trị bí mật V lấy số nguyên x và phần tử nhóm được chọn y làm đầu vào và tạo ra đầu ra là phần tử nhóm V(x, y). Cơ chế lấy lại khóa 1 sử dụng một trong hai hàm V sau: V_DL và V_EC.

- V_DL thích hợp với cơ chế sử dụng tham số miền DL, tức là hoạt động trên nhóm phần tử nhân xác định trên F(q). Cho trước tham số miền DL (bao gồm r và q), hai đầu vào: x từ {1,…,r-1} và y từ {2,…,q-2}, khi đó V_DL được tính như sau:

...

...

...

- V_EC thích hợp với cơ chế sử dụng tham số miền EC, tức là hoạt động trên nhóm phần tử cộng thuộc đường cong elliptic xác định trên F(q). Cho trước tham số miền EC (bao gồm r), hai đầu vào: x từ {1,... ,r-1} và điểm Y ¹ 0_E, khi đó V_EC được tính như sau:

V_EC(x, Y) = [x^-1 mod r] x Y.

7.1.2.5. Hàm dẫn xuất khóa K

Đây là hàm giống như hàm đã quy định trong Điều 6.1.2.5.

7.1.3. Thao tác lấy lại khóa

Cơ chế này yêu cầu thực thể A phải thực hiện hai bước A1 và A2, còn thực thể B thực hiện 1 bước B1.

Xây dựng thẻ khóa (A1)

A thực hiện các bước sau:

- Tính g₁ = R(p) làm phần tử cơ sở của thẻ khóa,

...

...

...

- Thẻ khóa là w_A = D(s_A, g₁)

- Gửi w_A cho thực thể B.

Xây dựng thẻ khóa (B1)

B thực hiện các bước sau:

- Nhận w_A từ thực thể A,

- Kiểm tra tính hợp lệ của w_A với T(w_A): nếu T(w_A) = 0 thì đầu ra “không hợp lệ”, quá trình dừng lại, nếu khác thì tiếp tục,

- Thẻ khóa là w_B = D(s_B, w_A)

- Gửi w_B cho thực thể A.

Dẫn xuất khóa bí mật (A2)

...

...

...

- Nhận được w_B từ thực thể B.

- Kiểm tra tính hợp lệ của w_B với T(w_B): nếu T(w_B) = 0 thì đầu ra “không hợp lệ", quá trình dừng lại, nếu khác thì tiếp tục,

 - Tính z = V(s_A, w_B) là mã hóa cứng.

- Tính khóa bí mật K_i = K(GE2OS_x(z), P_i, L_k) cho từng chuỗi octet tham số dẫn xuất khóa P_i trong {P₁, P₂,…}

Hàm GE2OS_x (chuyển phần tử nhóm thành chuỗi octet) được xác định trong Phụ lục A.

CHÚ THÍCH 1: Phần tử nhóm trong cơ chế này là điểm thuộc đường cong E trong cấu hình EC, hoặc là số nguyên thuộc dãy [1, q - 1] trong cấu hình DL.

CHÚ THÍCH 2: Dựa trên kiểu tấn công phân tích Pohlig-Hellman, một hoặc hai bit thấp nhất của giá trị bí mật s_B của thực thể B có thể bị nhận ra bởi người tấn công, khi k chia hết cho 2 hoặc 4.

Phụ lục A

...

...

...

Hàm chuyển đổi kiểu dữ liệu

Phụ lục này quy định hàm chuyển đổi kiểu dữ liệu được sử dụng bởi các cơ chế thiết lập khóa trong tiêu chuẩn này.

A.1 I2OS & OS2I

Mục này quy định hàm I2OS (chuyển đổi số nguyên thành chuỗi octet) và OS2I (chuyển đổi chuỗi octet thành số nguyên).

Hàm I2OS lấy đầu vào là số nguyên không âm x và tạo ra đầu ra duy nhất là chuỗi octet M_l-1, M_l-2...M₀ với chiều dài l. Trong đó l = [log256(x + 1)] là chiều dài của x tính bằng octet. Khi đó I2OS được tính như sau:

1. Viết x dưới dạng biểu diễn chuỗi đơn I chữ số 256 bit:

x = x_l-1 256 ^l-1  + x_l-2256 ^l-2 + ... + x₁ 256 + x₀,

trong đó 0 ≤ x_i < 256.

2. Giả sử octet M_i có giá trị x_i với 0 ≤ i ≤ l - 1.

...

...

...

Cho ví dụ: l2OS(10945) = 2A C1.

Hàm OS2I lấy chuỗi octet M_l-1, M_l-2 ...M₀ làm đầu vào và tạo ra đầu ra là một số nguyên không âm y. Hàm được tính như sau:

1. Lấy số nguyên y_i  có giá trị của octet M_i với 0 ≤ i ≤ l - 1.

2. Tính số nguyên y = y_l-1256 ^l-1 + y_l-2256 ^l-2 + ... + y₁ 256 + y₀.

3. Đầu ra là y.

Cho ví dụ: OS2l(2A C1) = 10945.

Chú ý rằng chuỗi octet có chiều dài bằng 0 (chuỗi octet rỗng) chuyển thành số nguyên 0 và ngược lại.

A.2 BS2I

Mục này xác định hàm BS2I (chuyển chuỗi bit thành số nguyên):

...

...

...

1. Lấy số nguyên y_i có giá trị của bit b_i với 0 ≤ i ≤ l - 1.

2. Tính số nguyên y = y_l-22 ^l-1 + y_l-2 2 ^l-2 + ... + y₁ 2 + y₀.

3. Đầu ra là y.

Ví dụ: nếu l = 19, BS2l(000 0010 1010 1100 0001) = 10945.

Chú ý rằng chuỗi bit có độ dài bằng 0 (chuỗi bit rỗng) thì sẽ chuyển thành số nguyên 0.

A.3 FE2I & I2FE

Mục này xác định hàm FE2I (chuyển phần tử trường thành số nguyên) và hàm I2FE (chuyển số nguyên thành phần tử trường).

Lấy một phần tử thuộc trường hữu hạn F(s^m) (trong đó s hoặc là p hoặc là 2) được biểu diễn bởi dãy {β_m-1, β_m-2, .... β₀} trong đó β_i là số nguyên thỏa mãn 0 ≤ β_i ≤ s - 1.

Hàm FE2I sử đụng phần tử trường {β_m-1, β_m-2, .... β₀} làm đầu vào và đầu ra là số nguyên không âm. Hàm được xác định như sau:

...

...

...

2. Tính số nguyên y = y_m-1s ^m-1 + y_m-2 s ^m-2 + ... + y₁ s + y₀.

3. Đầu ra là y.

Hàm I2FE lấy số nguyên không âm x làm đầu vào và đầu ra là trường phần tử {β_m-1, β_m-2, .... β₀}. Hàm được xác định như sau:

1. Viết x dưới dạng dãy s với m chữ số và được biểu diễn như sau:

x = x_m-1 s ^m-1 + x_m-2 s ^m-2 + ... + x₁s + x₀

trong đó 0 ≤ x_i < s (chú ý rằng một hoặc nhiều số đầu bằng 0 nếu x < s^m-1).

2. Lấy β_i có giá trị x_i với 0 ≤ i ≤ m - 1.

3. Đầu ra là {β_m-1, β_m-2, .... β₀}

A.4 FE2OS

...

...

...

Hàm FE2OS sử dụng dãy phần tử {β_m-1, β_m-2, .... β₀} làm đầu vào và tạo ra đầu ra là chuỗi octet y. Hàm được xác định như sau:

1. Chuyển dãy {β_m-1, β_m-2, .... β₀} thành số nguyên x bằng hàm FE2I.

2. Chuyển x thành chuỗi octet y bằng hàm I2OS.

A.5 GE2OS_x

Mục này xác định hàm GE2OS_x (chuyển phần tử nhóm thành chuỗi octet).

Hàm GE2OS_x sử dụng phần tử nhóm làm đầu vào và tạo ra đầu ra là chuỗi octet. Hàm được định nghĩa như sau:

Trong cấu hình DL, phần tử nhóm là phần tử trong F(q). Cho u là một phần tử nhóm, đầu ra sẽ là GE2OS_x(u):

1. Biểu diễn u dưới dạng phần tử trường.

2. Chuyển kết quả của bước (1) thành chuỗi octet bằng hàm FE2OS.

...

...

...

Trong cấu hình EC, phần tử nhóm là điểm trên đường cong elliptic E. Cho Q = (x_Q, y_Q) là một điểm trên E, trong đó x_Q là hoành độ x của Q và y_Q là tung độ y của Q; và cả hai x_Q và y_Q đều trong F(q). Với mục đích của cơ chế quy định trong tiêu chuẩn này thì hàm GE2OS_x(Q) chuyển hoành độ x của Q thành chuỗi octet và bỏ qua tung độ y của Q. Đầu ra của hàm GE2OS_x(Q) xác định như sau:

1. Biểu diễn x_Q dưới dạng phần tử trường.

2. Chuyển kết quả của bước (1) thành chuỗi octet bằng hàm FE2OS.

3. Đầu ra là kết quả của bước (2).

CHÚ THÍCH: Phép chuyển đổi không phải là ánh xạ 1 - 1. Ví dụ: phép chuyển đổi trên sẽ liên kết các điểm đường cong elliptic Q và -Q với cùng một chuỗi octet.

A.6 I2P

Mục này xác định hàm I2P (chuyển số nguyên thành điểm).

Cho trước tập tham số miền EC là (E, q, p, m, r, k, a_1, a₂), hàm I2P lấy số nguyên u làm đầu vào và tạo ra đầu ra là điểm T thuộc đường cong E trên F(q), trong đó T = l2P(u). Trong những quy định dưới đây, các toán tử cộng và nhân giữa các phần tử trường hữu hạn theo quy định trong ISO/IEC 15946-1.

1. Thiết lập v = BS2I(H(I2OS(u))) mod q.

...

...

...

2. Thiết lập l = u mod 2.

3. Nếu q là số nguyên tố (q = p) và đường cong E là Y² = X³ + a₁X + a₂ thuộc F(q). Điểm T được xác định như sau:

(a) Thiết lập x = v.

(b) Tính toán trường phần tử a = x³ + a₁x + a₂ mod p.

- Nếu a = 0, đầu ra là “không hợp lệ” quá trình phải ngừng lại.

(c) Tìm căn bậc hai β của a mod p (tức là một số nguyên β với 0 < β < p sao cho β² = a mod p) hoặc chứng minh không tồn tại căn bậc hai,

- Để kiểm tra tính tồn tại của căn bậc hai, tính d = a^(p-1)/2 mod p. Nếu thu được d = 1, thì β tồn tại. Ngược lại thì β không tồn tại.

- Nếu d ¹ 1 ta lập lại bước 1 với u = u + 1 mod p.