Tiêu chuẩn quốc gia TCVN 7817-3:2007 Công nghệ thông tin - Kỹ thuật mật mã quản lý khoá

Số thao tác khóa công khai: Là số lượng phép tính toán khi thực hiện phép biến đổi phi đối xứng. Ví dụ "2,1" có nghĩa là thực thể A cần 2 phép tính toán đối với hàm F và thực thể B cần 1 phép tính toán đối với hàm F trong cơ chế thỏa thuận khóa 2.

Các tính chất của các Cơ chế thỏa thuận khóa:

Cơ chế

1

2

3

4

5

6

...

...

...

Số lần truyền

0

1

1

2

2

2

2

Xác thực khóa ẩn

...

...

...

B

A,B

Không

A,B

A,B

A,B

Xác nhận khóa

Không

Không

...

...

...

Không

opt

opt

A,B

Xác thực thực thể

Không

Không

(A)

Không

...

...

...

B

A,B

Số thao tác khóa công khai

1,1

2,1

3(2),2

2,2

2,2

2,2

...

...

...

Các tính chất của các cơ chế vận chuyển khóa:

Cơ chế

1

2

3

4

5

6

Số lần truyền

...

...

...

1

1

2

3

3

Xác thực khóa ẩn

B

B

B

...

...

...

A,B

A,B

Xác nhận khóa

Không

B

B

A

(A),B

A,B

...

...

...

A

A

A

B

A đáp B

(A),B

Xác thực thực thể

Không

(A)

...

...

...

B

A,B

A,B

Số thao tác khóa công khai

1,1

2,2

2,2

4,4

4,4

...

...

...

Phụ lục B

(tham khảo)

Một số ví dụ về các cơ chế thiết lập khóa

Thông tin cung cấp ở phụ lục này đưa ra các ví dụ về các cơ chế thiết lập khóa đã mô tả trong các phần trước của tiêu chuẩn này.

Trước hết, chúng ta lấy một ví dụ về hàm F, cùng với các tập G và H thỏa mãn 5 tính chất đã liệt kê ở trên, các tham số được chọn một cách thích hợp.

Cho p là một số nguyên tố lớn, G là tập các phần tử của trường Galois có p phần tử ký hiệu là F_p, và tập H = {1,…,p-2}. Cho g là phần tử nguyên thủy của F_p. Thiết lập hàm F như sau:

F(h,g) = g^h mod p

Hàm F có tính chất giao hoàn với đối số là h như sau:

...

...

...

Số nguyên tố p phải đủ lớn để F(.,g) có thể được coi là hàm một chiều. Cho thực thể X có khóa riêng là h_X thuộc H, khóa riêng này chỉ được biết bởi X, và một khóa công khai là p_X = g^hX mod p được biết bởi tất cả các thực thể.

CHÚ THÍCH: Các chú thích khi lựa chọn tham số:

- Đối với nguyên tố là module logarithm rời rạc: Kích cỡ của số nguyên tố nên được chọn sao cho việc tính logarithm rời rạc trong nhóm cyclic là không thể thực hiện. Một vài điều kiện khác về số nguyên tố lớn có thể được áp đặt để làm cho việc tính logarithm rời rạc là không thể.

- Khuyến cáo để chọn p là số nguyên tố mạnh sao cho p -1 có thừa số là một số nguyên tố lớn hoặc chọn g là một phần tử sinh của một nhóm có bậc nguyên tố lớn q.

- Đối với hợp số là module logarithm rời rạc: nên chọn modulus được tạo từ hai số nguyên tố lẻ khác nhau và chúng được giữ bí mật. Kích cỡ của số nguyên tố nên được chọn sao cho việc phân tích modulus là không thể tính toán được. Một vài điều kiện khác về chọn các số nguyên tố có thể được áp đặt để làm cho việc phân tích modulo là không thể về mặt tính toán.

B.1 Lược đồ thỏa thuận khóa Diffie-Hellman không tương tác

Đây là một ví dụ về Cơ chế thỏa thuận khóa 1.

Kiến thiết khóa (A1): Thực thể A sử dụng khóa riêng h_A của mình và khóa công khai p_B của B để tính toán ra khóa bí mật dùng chung:

K_AB = p_B^hA  mod p

...

...

...

K_AB = p_A^hB mod p

B.2 Cơ chế dựa trên sự định danh

Đây là một ví dụ về Cơ chế thỏa thuận khóa 1, cơ chế này dựa trên các tiêu chí sau:

- Khóa công khai của một thực thể có thể được nhận từ sự kết hợp giữa định danh và chứng chỉ.

- Tổ chức chứng thực (CA) không tiến hành kiểm tra trực tiếp nhưng chỉ có CA mới có thể phục hồi được một khóa công khai hợp lệ.

Cho (n,y) là khóa kiểm tra công khai của CA trong cơ chế chữ ký số có phục hồi thông điệp ở Phụ lục A của ISO/IEC 9796. Do n được tạo ra từ hai số nguyên tố p và q và được giữ bí mật bởi CA nên y là số nguyên tố cùng nhau với lcm(p-1,q-1).

Lấy O là một số nguyên lớn theo module n và g = O^y mod n.

Lấy l_x là kết quả của phép dư bổ sung (đặc tả ở ISO/IEC 9796) của thông tin công khai trên thực thể X có chứa ít nhất một định danh riêng biệt của X và có thể thêm một số serial, thời gian hiệu lực, tem thời gian và một số phần tử dữ liệu khác. Khi đó cặp quản lý khóa của X là (h_x,p_x) trong đó h_X là số nguyên nhỏ hơn n và:

p_x = g^hx (mod p).

...

...

...

Cert_x = s_xO^hx (mod n).

Trong đó s_x là một số nguyên sao cho:

s_x^yl_x = 1(mod n).

Kiến thiết khóa (A1): A tính toán khóa công khai của B như sau:

P_B = Cert_B^y.l_B mod n

Và tính giá trị khóa bí mật dùng chung như sau:

K­_AB = P_B^hA = g^hAhB mod n

Kiến thiết khóa (B)1: B tính toán khóa công khai của A như sau:

P_A = Cert_A^y.l_A mod n

...

...

...

K­_AB = P_A^hB = g^hAhB mod n

CHÚ THÍCH: Cơ chế dựa trên định danh trước một lần truyền hoặc hai lần truyền sử dụng cùng một cách cài đặt mô tả ở tài liệu tham khảo [8], [19] của Phụ lục D (Tài liệu tham khảo).

B.3 Thỏa thuận khóa Elgamal

Đây là ví dụ về Cơ chế thỏa thuận khóa 2.

Cần kiểm tra rằng p là một số nguyên tố mạnh sao cho p -1 có thừa số là một nguyên tố lớn và các lũy thừa thì không có dạng 0, +1, -1 mod p.

Kiến thiết thẻ khóa (A1): Thực thể A sinh ngẫu nhiên và bí mật giá trị r thuộc {1,…,p -2}, tính g^r mod p và tạo một thẻ khóa KT_A1 gửi tới B:

KT_A1 = g^r mod p

Kiến thiết khóa (A2): Tiếp đến, A tính khóa bí mật chia sẻ:

KT_AB = (p_B)^r mod p = g^hBr mod p

...

...

...

KT_AB = (g^r)^hB = g^hBr mod p

B.4 Thỏa thuận khóa Nyberg-Rueppel

Đây là ví dụ về Cơ chế thỏa thuận khóa 3. Hệ chữ ký và hệ thỏa thuận khóa được chọn theo cách sao cho hệ chữ ký được xác định bởi các khóa (h_x,p_x).

Cho q là ước nguyên tố lớn của p-1, g là một phần tử thuộc F_p có bậc là q và tập H = {1,…,q-1}. Cặp khóa phi đối xứng của X được sử dụng cho quá trình trao đổi khóa và ký là (h_x,p_x), trong đó h_x là một phần tử thuộc H và p_x = g^hx (mod p).

Nhằm ngăn chặn việc sử dụng lặp lại các thẻ khóa cũ, thí dụ này sẽ sử dụng một tem thời gian hoặc một số seri TVP và một hàm băm mật mã hash, nó ánh xạ các chuỗi bit có độ dài bất kỳ vào các số nguyên ngẫu nhiên trong một tập lớn của {1,…,p-1}, ví dụ, trong H.

Kiến thiết khóa (A1.1): Đầu tiên, thực thể A sinh ngẫu nhiên và bí mật r thuộc H và tính

e = g^r mod p

Tiếp đó, A tính khóa bí mật dùng chung là:

KT_AB = (p_B)^r mod p

...

...

...

e' = e. hash (K_AB || A || TVP) mod p

Chữ ký thẻ khóa (A1.2): A tính toán chữ ký của thẻ khóa:

y = r - h_Ae' mod q

Cuối cùng, A tạo thẻ khóa KT_­A1 và gửi tới B:

KT_A1 = A || e || TVP || y

Kiến thiết khóa (B1.1): Thực thể B tính khóa bí mật dùng chung sử dụng khóa riêng dùng để thỏa thuận khóa h_B như sau:

KT_AB = e^hB mod p

Bằng cách sử dụng khóa bí mật dùng chung K_AB vừa tính được, B tính giá trị kiểm tra mật mã trên trên định danh phân biệt của người gửi A và TVP rồi tính:

e' = e. hash (K_AB || A || TVP) mod p

...

...

...

e = g^yp_A^e mod p

B.5 Thỏa thuận khóa Diffie-Hellman

Đây là ví dụ về cơ chế thỏa thuận khóa 4.

Cần kiểm tra rằng p là một số nguyên tố mạnh sao cho p-1 có thừa số là một nguyên tố lớn và các lũy thừa không có dạng 0, +1, -1 mod p.

Kiến thiết thẻ khóa (A1): Thực thể A sinh ngẫu nhiên và bí mật giá trị r_A thuộc {1,…,p-2}, tính g^rA mod p rồi tạo ra thẻ khóa KT_A1 và gửi tới B:

KT_A1­­ = g^rA mod p

Kiến thiết thẻ khóa (B1): Thực thể B sinh ngẫu nhiên và bí mật giá trị r_B thuộc {1,…,p-2}, tính g^rB mod p rồi tạo ra thẻ khóa KT_B1 gửi tới A:

KT_B1­­ = g^rB mod p

Kiến thiết khóa (A2): Thực thể A tính khóa bí mật dùng chung:

...

...

...

Kiến thiết khóa (B2): Thực thể B tính khóa bí mật dùng chung:

K_AB = (g^rA)^rB mod p= g^rArB mod p

B.6 Lược đồ thỏa thuận khóa Matsumoto-Takashima-Imai A(0)

Đây là ví dụ về Cơ chế thỏa thuận khóa 5.

Cho p là một số nguyên tố an toàn và kiểm tra rằng các lũy thừa không có dạng 0, +1, -1 mod p.

Kiết thiết thẻ khóa (A1): Thực thể A sinh ngẫu nhiên và bí mật giá trị r_A thuộc {1,…,p-2}, tính thẻ khóa KT­_A1 và gửi tới B:

KT_A1 = g^rA mod p

Kiến thiết thẻ khóa (B1): Thực thể B sinh ngẫu nhiên và bí mật giá trị r_B thuộc {1,…,p-2}, tính thẻ khóa KT­_B1 và gửi tới A:

KT_B1 = g^rB mod p

...

...

...

K_AB = w(KT_A1^hB,p_A^rB) = KT_A1^hBp_A^rB mod p

Kiến thiết khóa (A2): Thực thể A tính khóa bí mật dùng chung:

K_AB = w(p_B^rA,KT_A1^hA) = KT_A1^hBp_A^rB mod p

B.7 Giao thức Beller-Yacobi

Phần phụ lục này mô tả về giao thức Beller-Yacobi gốc được dùng để minh họa cho Cơ chế thỏa thuận khóa 6.

CHÚ Ý: Lược đồ này không tương thích hoàn toàn với cơ chế thỏa thuận khóa 6 bởi vì nó được tối ưu cho các tình huống đặc biệt. Cụ thể, nó sử dụng cơ chế chữ ký EIGamal và sử dụng thêm thuật toán mã hóa đối xứng để chuyển khóa kiểm tra chữ ký của B và chứng chỉ số của B tới A trong một cách tin cậy, bảo đảm tính ẩn danh (anonymity) của B.

Cho enc: K x M ® C là một hàm mã hóa kinh điển, ví dụ như DES, trong đó K là không gian khóa, M là không gian thông báo,và C là không gian mã.

Giả sử S_x ký hiệu phép toán chữ ký EIGamal của thực thể X. Quá trình ký được mô tả dưới đây nhấn mạnh sự khác biệt giữa 2 thao tác trực tuyến (on-line) và không trực tuyến (off-line) được yêu cầu trong họ EIGamal của các cơ chế chữ ký.

Chúng ta sử dụng P_x và C_x để ký hiệu khóa công khai và chứng chỉ số của thực thể X. Phép mã hóa khóa công khai của thực thể X (sử dụng khóa P_x) được ký hiệu là E_X­ (bình phương module trong trường hợp của Rabin).

...

...

...

u = g^rB mod p

Kiến thiết thẻ khóa (A1): A chọn một số ngẫu nhiên r_A và tính KT­_A1 rồi gửi tới B:

KT_A1 = (r_A || A || C_A)

Xử lý thẻ khóa (B1): B tạo chữ ký số

BS = (u,v) = S_B(r_A || A)

Sau đó chọn một giá trị ngẫu nhiên X_B và tạo KT_B1 rồi gửi tới A:

KT_B1 = E_A(BS) enc (u,(B || P_B || C_­B || x_B))

Kiến thiết khóa (B2): Khóa bí mật dùng chung chính là phần chữ ký của B, u.

Kiến thiết khóa và xác thực thực thể (A2): A giải mã thẻ khóa E­­_A(BS) để tìm khóa phiên u, sau đó sử dụng hàm mã đối xứng enc để giải mã

...

...

...

bằng cách sử dụng khóa phiên u để lấy các thành phần: định danh B, khóa công khai P_B của B, chứng chỉ số C_B của B. A kiểm tra chứng chỉ C_B và thành công thì sau đó nó sử dụng hàm kiểm tra V­_B để kiểm tra chữ ký BS của B. Nếu quá trình kiểm tra thành công thì A chấp nhận u là khóa bí mật dùng chung.

B.8 Vận chuyển khóa EIGamal

Phần này là một ví dụ về Cơ chế vận chuyển khóa 1.

Một số nguyên tố thích hợp p và bộ tạo g trên trương Z_P được lựa chọn và đưa ra công khai. Các khóa dùng để thỏa thuận khóa công khai và bí mật của B lần lượt là, h­_B và

P_B = g^hB mod p

Kiến thiết thẻ khóa (A1): A có một khóa K (trong đó 0 < K < p) và muốn truyền an toàn sang cho B. Trước hết, A tạo ngẫu nhiên và bí mật một số nguyên r, 1 < r < p-1 và mã hóa K như sau:

BE = K (p_B)^r mod p

Tiếp đó A tạo ra thẻ khóa:

KT_A1 = BE || g^r mod p

...

...

...

Tái thiết thẻ khóa (B1): B phục hồi khóa K sử dụng khóa để thỏa thuận khóa bí mật h­_B bằng cách tính:

K = BE. (g^r)^hB mod p

B.9 Vận chuyển khóa EIGamal có chữ ký của bên gửi

Đây là ví dụ về Cơ chế vận chuyển khóa 2.

Một số nguyên tố thích hợp p và bộ tạo g thuộc Z_P được lựa chọn và công bố công khai. Các khóa dùng để thỏa thuận khóa công khai tương ứng của B là h­_B và:

p_B = g^hB mod p

Các phép biến đổi ký công khai và bí mật của A tương ứng ký hiệu là S_A và V­_A, (S_A,V_A) có thể được thể hiện ở bất cứ hệ chữ ký nào như chữ ký RSA còn việc kiểm tra chữ ký được đưa ra trong ISO/IEC 9796.

Mã hóa khóa (A1.1): A có một khóa K và muốn gửi nó theo cách an toàn đến B. Trước tiên A tạo ngẫu nhiên và bí mật một số nguyên r trong khoảng (1,…,p-2) sau đó mã hóa khối dữ liệu khóa A || K như sau:

BE = (A || K) (p_B)^r mod p

...

...

...

Kiến thiết thẻ khóa (A1.2): A tạo ra một khối dữ liệu khóa bao gồm định danh riêng biệt của bên nhận, có thể có tem thời gian hoặc một số tuần tự TVP, g^r và khối đã mã hóa BE. Tiếp đó A ký khối dữ liệu khóa bằng phép ký bí mật S­_A của mình rồi gửi sang cho B:

KT_A1 = S_A (B || TVP || g^r || BE)

Kiểm tra thẻ khóa (B1.1): B sử dụng phép kiểm tra công khai của bên gửi V_A để kiểm tra chữ ký số của thẻ khóa KT_A1 nhận được. Tiếp đó B kiểm tra định danh bên nhận B và trường tùy chọn TVP.

Giải mã khóa (B1.2): B tiến hành giải mã khối BE sử dụng khóa để thỏa thuận khóa bí mật h_B của nó bằng cách tính:

A || K = BE (g^r)^hB mod p

Tiếp đó B kiểm tra đinịh danh của bên gửi A. Nếu tất cả kiểm tra đều thỏa mãn thì B chấp nhận khóa K.

B.10 Vận chuyển khóa theo RSA

Đây là ví dụ về Cơ chế vận chuyển khóa 1.

Hệ mật phi đối xứng của B bao gồm một module RSA n = pq, thành phần công khai e và thành phần bí mật d sao cho ed = 1 mod (p-1)(q-1). Giả sử rằng có một bản sao tin cậy của các tham số hệ mật (e,n) của B.

...

...

...

KT_A1 = E_B (A || K) = (A || K)^r mod n

Tái thiết thẻ khóa (B1): B nhận được khối khóa và tính toán:

(KT­_A1)^d mod n = (A || K)

Bên nhận B có thể phân tách thông điệp từ một thông điệp ngẫu nhiên bằng các kiểm tra một điều kiện bù trong nội dung thông điệp A || K.

Giả sử rằng định danh A trong thông điệp phục hồi này có một số giá trị bù có thể dùng để kiểm tra hoặc định dạng mong muốn thì B sẽ kiểm tra xem định danh phục hồi được A có đúng với định dạng mong muốn hay không và chấp nhận thông điệp này chỉ khi các kiểm tra thỏa mãn.

Phụ lục C

(tham khảo)

Ví dụ về các cơ chế thiết lập khóa dựa trên đường cong elliptic

...

...

...

Cơ sở toán học của đường cong elliptic:

Một đường cong elliptic E là một đường cong bậc ba thông thường trên một trường K. Một đường cong elliptic có thể được mô tả theo một tập nghiệm (x,y) (với x,y Î K) của phương trình:

Y² = X³ + aX + b

với một điểm mở rộng q là vô cùng.

Các đường cong elliptic có khả năng thực hiện như một phép toán nhị phân: E ÿ E ® E, ánh xạ mỗi cặp (P₁,P₂) của một điểm trên E vào điểm thứ ba P₁ · P₂. Với phép toán này thì E là một nhóm abelian với phần tử trung hòa q.

Cho P là một điểm nào đó trên đường cong E, tạo ra nhóm <P> có lực lượng hữu hạn q với phép toán của nhóm "·". Khi đó, mỗi phần tử thuộc <P> là một lũy thừa P^[k] nào đó của P, trong đó P^[k] là tích k lần (P · P · P · …·P).

Phép mũ rời rạc F(.,P) trên <P> được định nghĩa như sau:

F(k,P) = P^[k] với k Î {1,…,q-1}

Chú thích đến giá trị tùy ý h với k Î {1,…,q-1} trong đẳng thức:

...

...

...

Trong đó nhóm <P> được tạo ra bởi P là một nhóm abelian.

Mặt khác, cho một điểm tùy ý Q nào đó Î <P> thì số xác định duy nhất x Î {1,…,q-1} với Q = P^[x] được coi như là logarithm rời rạc của Q dựa trên P.

Tầm quan trọng mật mã của đường cong elliptic bắt nguồn từ việc khó đoán biết để xác định được logarit rời rạc trên đường cong dựa trên trường hữu hạn. Với hiểu biết hiện nay, điều này còn khó hơn việc phân tích các số nguyên hoặc tính logarit rời rạc trên trường GF(p). Điều này tạo nên khả năng thực thi một hệ thống khóa công khai dựa trên đường cong elliptic với số lượng tham số nhỏ hơn nhiều so với các hệ thống khóa công khai trước đây.

Ký hiệu:

Các khái niệm trên dẫn đến cần làm rõ một số ký hiệu sử dụng trong phụ lục này. Sau đây là giải thích một số ký hiệu:

K là một trường hữu hạn có đúng pⁿ phần tử, trong đó p là một số nguyên tố lớn hơn 3, n là một số nguyên dương

E là một đường cong elliptic trên K và P là một điểm trên E tạo nên một nhóm <P> của phần tử q. Giả sử rằng q là một số nguyên tố và tập H = {1,…,q-1}.

Mỗi thực thể X có một khóa bí mật h_x thuộc H chỉ được biết bởi X và một khóa công khai P_X = G^{hX} được biết bởi tất cả các thực thể khác.

Chú thích rằng các khóa bí mật chỉ là các số nguyên thông thường, ngược lại các khóa công khai là các điểm trên một đường cong. Điều này nói lên rằng hệ thống khóa công khai xây dựng dựa trên các logarit rời rạc theo modulo của một số nguyên tố, trong đó cả khóa bí mật và khóa công khai là đối tượng của cùng một kiểu. Có sự khác nhau giữa hai kiểu khóa trong một đường cong, đó là lý do tại sao phải đưa ra một hàm bổ sung ánh xạ các điểm thuộc <P> vào các số nguyên thuộc H, đây tương tự như một bản dịch chuyển các giao thức ở Phụ lục B sang dạng sử dụng đường cong elliptic.

...

...

...

k ® P^[k] ® p(P^[k])

là hàm một chiều.

CHÚ THÍCH:

1. Tham số chủ yếu về an toàn của hệ khóa công khai dựa trên đường cong elliptic là kích cỡ của số nguyên tố q. Số nguyên q phải đủ lớn sao cho F(.,P) có thể được xem như là hàm một chiều. Với các thuật toán được biết hiện nay, F(.,P) được coi là hàm một chiều nếu q có kích cỡ q > 2¹⁶⁰.

2. Không giống như các hệ thống thuật toán ligarit rời rạc dựa trên GF(p) (như DSA), có thể chọn các tham số q và pⁿ xấp xỉ bằng nhau.

3. Có một vài điều kiện đối với p và q (chẳng hạn p ¹ q) và các tham số đường cong a và b phải được lựa chọn sao cho không có khả năng tính toán được các logarit rời rạc trên đường cong elliptic.

4. Có rất nhiều khả năng tạo ra p, phương pháp đơn giản là chiếu các điểm trên <P> lên trục tọa độ và "đọc" phần tử trường này như là một số nguyên theo mod q.

C.1 Thỏa thuận khóa không tương tác kiểu Diffie-Hellman

Đây là một ví dụ về Cơ chế thỏa thuận khóa 1.

...

...

...

K_AB = (P_B)^[hA].

Kiến thiết khóa (B1): B tính một khóa bí mật dùng chung bằng cách sử dụng khóa dùng để thỏa thuận khóa bí mật h_B của nó và khóa dùng để thỏa thuận khóa công khai P_A của A như sau:

K_AB = (P_A)^[hB].

C.2 Thỏa thuận khóa kiểu EIGamal

Đây là ví dụ về Cơ chế thỏa thuận khóa 2.

Kiến thiết thẻ khóa (A1): A tạo ngẫu nhiên và bí mật một giá trị r thuộc H và tính thẻ khóa như sau:

KT_A1 = (P)^[r].

rồi gửi nó cho B.

Kiến thiết khóa (A2): A tính một khóa bí mật dùng chung như sau:

...

...

...

Kiến thiết khóa (B2): B sử dụng khóa bí mật của mình để tính toán một khóa bí mật dùng chung như sau:

K_AB = (KT_A1)^[hB] = (P^[r])^[hB] = (P)^[r.hB]

C.3 Thỏa thuận khóa theo Nyberg-Rueppel

Đây là ví dụ về Cơ chế thỏa thuận khóa 3.

Giao thức được sử dụng không phải là bản sao chép dạng 1-1 của giao thức ở phần B.3 nhưng dựa trên ý tưởng cơ bản của B.3.

Một hệ chữ ký và một hệ thỏa thuận khóa được chọn sao cho hệ chữ ký được xác định bởi các khóa (h_x,P_x).

Để ngăn ngừa việc dùng lại các thẻ khóa cũ thì ví dụ này sử dụng một tem thời gian hoặc một số tuần tự TVP và một hàm băm mã hash, chẳng hạn như có sự ánh xạ từ chuỗi bít có độ dài tùy ý đến các số nguyên thuộc H.

Kiến thiết khóa (A1.1): A tạo ngẫu nhiên và bí mật giá trị r thuộc H và tính:

R = P^[r]

...

...

...

K_AB = (P_B)^[r]

A sử dụng khóa bí mật dùng chung này và tính giá trị kiểm tra mật mã tại điểm R, định danh riêng biệt của người gửi A và số tuần tự hoặc tem thời gian TVP:

e = hash(R || K_AB || A || TVP)

Ký thẻ khóa (A1.2): A tính chữ ký như sau:

KT_A = (R || A || TVP || y)

Và gửi nó cho B.

Kiến thiết khóa (B1.1): B tính khóa bí mật dùng chung sử dụng khóa để thỏa thuận khóa bí mật h_B của mình như sau:

K_AB = R^[hB]

B lại sử dụng khóa bí mật dùng chung bí mật này để tính giá trị kiểm tra mật mã đối với định danh riêng biệt của bên gửi A và giá trị TVP như sau:

...

...

...

Kiểm tra chữ ký (B1.2): B kiểm tra tính hợp lệ của TVP và sử dụng khóa công khai của bên gửi P_A để kiểm tra sự bằng nhau:

R = P^[y].(P_A)^[e].

C.4 Thỏa thuận khóa theo kiểu Diffie-Hellman

Phần này là ví dụ về Cơ chế thỏa thuận khóa 4.

Kiến thiết thẻ khóa (A1): Thực thể A sinh ngẫu nhiên và bí mật giá trị r_A thuộc H, tính thẻ khóa KT­_A1 và gửi tới B:

KT_A1 = P^[rA]

Kiến thiết thẻ khóa (B1): Thực thể B sinh ngẫu nhiên và bí mật giá trị r_B thuộc H, tính thẻ khóa KT_B1 gửi tới A:

KT_B1 = P^[rB]

Kiến thiết khóa (A2): Thực thể A tính khóa bí mật dùng chung:

...

...

...

Kiến thiết khóa (B2): Thực thể B tính khóa bí mật dùng chung:

KT_AB = (P^[rA])^[rB] = P^[rA][rB]

C.5 Thỏa thuận khóa theo kiểu Matsumoto-Takashima A(0)

Đây là ví dụ về Cơ chế thỏa thuận khóa 5.

Kiến thiết thẻ khóa (A1): Thực thể A sinh ngẫu nhiên và bí mật giá trị r_A thuộc H, tính thẻ khóa KT_A1 và gửi tới B:

KT_­A1 = P^[rA]

Kiến thiết thẻ khóa (B1): Thực thể B sinh ngẫu nhiên và bí mật giá trị r_B thuộc H, tính thẻ khóa KT_B1 và gửi tới A:

KT_­B1 = P^[rB]

Kiến thiết khóa (B2): Thực thể B tính khóa bí mật dùng chung:

...

...

...

Trong đó w là hàm một chiều.

Kiến thiết khóa (A2): Thực thể A tính khóa bí mật dùng chung:

KT_AB = w(KT_B1^[hA].P_B^[rA]).

C.6 Vận chuyển khóa theo kiểu EIGamal

Phần này là một ví dụ về Cơ chế vận chuyển khóa 1.

Kiến thiết thẻ khóa (A1): A có một khóa K Î H và muốn truyền an toàn sang cho B. Trước hết, A tạo ngẫu nhiên và bí mật một số nguyên r Î H và tính một điểm trên đường cong P^[r] rồi mã hóa khóa K như sau:

BE = (K. p((p_B)^[r]))mod q

Tiếp đó A tạo ra thẻ khóa:

KT_A1 = BE || (p_B)^[r])

...

...

...

Tái thiết thẻ khóa (B1): Để phục hồi khóa K, thực thể B xác định điểm trên đường cong P^[r] sử dụng khóa để thỏa thuận khóa bí mật h_B bằng cách tính: (p_B)^[r] = (p_B^[r])^[hB] và bước tiếp đến là tìm ra: p((p_B)^[r])).

Cuối cùng B thu được khóa K bằng cách tính

K = (BE). p(((p_B^[r])^[hB] ))^-1 mod q

C.6 Vận chuyển khóa theo kiểu EIGamal có chữ ký bên gửi

Đây là ví dụ về Cơ chế vận chuyển khóa 2.

Các khóa dùng thỏa thuận khóa công khai và bí mật h_B của B tương ứng là:

P_B = (P)^[hB].

Các phép biến đổi ký công khai và bí mật của A tương ứng ký hiệu là S_A và V_A, (S_A,V_A) có thể được thể hiện ở bất cứ hệ chữ ký nào như chữ ký RSA còn việc kiểm tra chữ ký được đưa ra trong ISO/IEC 9796.

Mã hóa khóa (A1.1): A có một khóa K và muốn gửi nó theo cách an toàn đến B. Trước tiên A tạo ngẫu nhiên và bí mật một số nguyên r Î H và tính hai điểm trên đường cong P^[r] và (P_B)^[r] rồi mã hóa khối dữ liệu khóa A || K như sau:

...

...

...

Chú thích rằng K phải được chọn theo cách sao cho giá trị (A || K) phải nhỏ hơn số nguyên tố q.

Kiến thiết thẻ khóa (A1.2): A tạo ra một khối dữ liệu khóa bao gồm định danh riêng biệt của bên nhận B, có thể có tem thời gian hoặc một số tuần tự TVP và khối đã mã hóa BE. Tiếp đó A ký khối dữ liệu thẻ bằng phép ký bí mật S­_A của mình rồi gửi thẻ khóa thu được sang cho B:

KT­_A1 =  S_A (B || TVP || p^[r] || BE)

Kiểm tra thẻ khóa (B1.1): B sử dụng phép kiểm tra công khai của bên gửi V_A để kiểm tra chữ ký số của thẻ khóa KT_­A1 nhận được. Tiếp đó B kiểm tra định danh bên nhận B và trường tùy chọn TVP.

Giải mã khóa (B1.2): B tiến hành giải mã khối BE sử dụng khóa để thỏa thuận khóa bí mật h_B của nó bằng cách tính:

A || K =(BE).p(((p^[r])^[hB]))^-1 mod q

Tiếp đó B kiểm tra định danh của bên gửi A. Nếu tất cả kiểm tra đều thỏa mãn thì B chấp nhận khóa K.

TÀI LIỆU THAM KHẢO

...

...

...

[2] ANSI X9.30 199x, "Public Key Cryptography Using Irrevarsible Algorithm for the Financial Services Industry, Part 3: Certificate Management for DSA".

[3] ANSI X9.30 199x, "Public Key Cryptography Using Irrevarsible Algorithm for the Financial Services Industry, Part 4: Management of symmetric algorithm keys using RSA".

[4] Beller M,J., Yacobi Y., "Fully-fledged two-way public authentication and key agreement for low-cost terminals", Electronic Letters Vol 19 no. 11 (27 May '93), pp 999-1001.

[5] RIPE, "Integrity Primitives for Secure Information Systems" - Final Report of RACE Integrity Primitives Evaluation (RIPE-RACE 1040). LNCS 1007, A. Bosselaers, B. Preneel, Eds Springer-Verlag, 1995.

[6] Diffie W., Hellman M.E., "News Directions in Cryptography", IEEE Trans. on Inform. Theory, vol. IT-22, pp. 644-654, Nov. 1976.

[7] EIGamal, T., "A Public Key Cryptosystem and a Signature Scheme Based on Descrete Logarithms", IEEE Trans. on Inform. Theory, vol. IT-31, pp. 469-472, July 1985.

[8] Girault M., Paillès J.C., "An Identity-based scheme providing zo-ro-knowledge authentication and authenticated key exchange", Proceedings of ESSORICS 90, pp. 173-184.

[9] ISO 8732:1998, Banking - Key Management (Wholesale).

[10] ISO/IEC 9594-8:1990, (CCITT X.509), "Information Technology - Open Systems Interconnection - The Directory - Authentication framework".

...

...

...

[12] ISO/IEC 10118-2:1994, "Information technology - Security techniques - Hash-functions - Part 2: Hash-functions using an n-bit block cipher algorithm".

[13] ISO/IEC 10118-3:1998, "Information technology - Security techniques - Hash-functions - Part 3: Dedicated hash functions".

[14] ISO/IEC 10118-4:1998, "Information technology - Security techniques - Hash-functions - Part 4: Mechanisms using modular arithmetic".

[15] ISO 11166-1:1994, "Banking - Key management by means of asymmetric algorithms - Part 1: Principles, Procedures and Formats".

[16] Matsumoto T., Takashima Y., Imai H., "On Seeking Smart Public-Key-Distribution Systems", Trans. of the IECE of Japan, vol. E69 no. 2. Feb. 1986 pp. 99-106.

[17] Manezes, A., "Elliptic Curve Public Key Cryptosystem" Kluwer Academic Publishers, 1993.

[18] Nyberg K., Rueppel R.A., "Message Recovery for Signature Schemes Based on the Discrete Logarithm Problem", Proceedings of Eurocrypt'94, Springer-Verlag, 1994.

[19] Okamotot E., "Proposal for identity-basded key distribution system", Electronic Letters, Vol. 22, no.24, 20 Nov. 1986, pp. 1283-1284.

[20] Tanake K., Okamoto E., "Key distribution system fo mail systems using ID-related information directory", Computers & Security, Vol. 10, 1991, pp. 25-23.

...

...

...

MỤC LỤC

Lời nói đầu

1 Phạm vi áp dụng

2 Tài liệu tiêu chuẩn

3 Thuật ngữ và định nghĩa

4 Ký hiệu và từ viết tắt

5 Các yêu cầu

6 Thỏa thuận khóa bí mật

6.1 Cơ chế thỏa thuận khóa 1

...

...

...

6.3 Cơ chế thỏa thuận khóa 3

6.4 Cơ chế thỏa thuận khóa 4

6.5 Cơ chế thỏa thuận khóa 5

6.6 Cơ chế thỏa thuận khóa 6

6.7 Cơ chế thỏa thuận khóa 7

7 Vận chuyển khóa bí mật

7.1 Cơ chế vận chuyển khóa 1

7.2 Cơ chế vận chuyển khóa 2

7.3 Cơ chế vận chuyển khóa 3

...

...

...

7.5 Cơ chế vận chuyển khóa 5

7.6 Cơ chế vận chuyển khóa 6

8 Vận chuyển khóa công khai

8.1 Phân phối khóa công khai không cần đến bên thứ ba tin cậy

8.2 Phân phối khóa sử dụng bên thứ ba tin cậy

Phụ lục A

Phụ lục B

B.1 Lược đồ thỏa thuận khóa Diffie-Hellman không tương tác

B.2 Cơ chế dựa trên sự định danh

...

...

...

B.4 Thỏa thuận khóa Nyberg-Rueppel

B.6 Lược đồ thỏa thuận khóa Matsumoto-Takashima-Imai A(0)

B.7 Giao thức Beller-Yacobi

B.8 Vận chuyển khóa EIGamal

B.9 Vận chuyển khóa EIGamal có chữ ký của bên gửi

B.10 Vận chuyển khóa theo RSA

Phụ lục C

C.1 Thỏa thuận khóa không tương tác kiểu Diffie-Hellman

C.2 Thỏa thuận khóa kiểu EIGamal

...

...

...

C.4 Thỏa thuận khóa theo kiểu Diffie-Hellman

C.5 Thỏa thuận khóa theo kiểu Matsumoto-Takashima A(0)

C.6 Vận chuyển khóa theo kiểu EIGamal

C.7 Vận chuyển khóa theo kiểu EIGamal có chữ ký của bên gửi

Tài liệu tham khảo