この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
3.1
容量
メッセージの回復可能な部分の署名内で使用可能なビット数を示す正の整数
3.2
証明書ドメイン
単一の認証局 (CA) によって作成された公開鍵証明書を使用するエンティティのコレクション、または単一のセキュリティ ポリシーの下で動作する CA のコレクション
3.3
証明書ドメイン パラメータ
証明書ドメインに固有で、証明書ドメインのすべてのメンバーによって認識され、同意されている暗号化パラメータ
3.4
耐衝突ハッシュ関数
- 同じ出力にマッピングされる任意の 2 つの異なる入力を見つけることは、計算上不可能です。
[出典: ISO/IEC 10118-1]
3.5
ハッシュコード
ハッシュ関数の出力であるビットの文字列
[出典: ISO/IEC 10118-1]
3.6
ハッシュ関数
- 与えられた出力に対して、この出力に対応する入力を見つけることは計算上不可能です。
- 与えられた入力に対して、同じ出力にマッピングされる 2 番目の入力を見つけることは計算上不可能です。
[出典: ISO/IEC 9797-2]
3.7
マスク生成機能
- 入力ではなく出力の一部が与えられた場合、出力の別の部分を予測することは計算上不可能です。
3.8
メッセージ
任意の長さのビットの文字列
[出典: ISO/IEC 14888-1]
3.9
メッセージ代表者
メッセージの関数として導出され、署名を生成するために秘密署名キーと結合されるビット文字列
3.10
かじる
連続する 4 ビットのブロック (半オクテット)
3.11
回復不可能な部分
署名とともに保存または送信されるメッセージの一部。メッセージ回復が合計の場合は空
3.12
オクテット
8 ビットの文字列
3.13
秘密鍵
そのエンティティによってのみ使用されるべきエンティティの非対称鍵ペアの鍵
[出典: ISO/IEC 9798-1]
3.14
秘密署名鍵
秘密署名の変換を定義する秘密鍵
[出典: ISO/IEC 9798-1]
3.15
公開鍵
公開できるエンティティの非対称鍵ペアの鍵
[出典: ISO/IEC 9798-1]
3.16
公開鍵システム
- 秘密署名鍵と公開検証鍵で構成される鍵ペアを生成する方法。
- 署名生成、メッセージ代表Fと秘密署名鍵から署名∑を生成する方法。
- signature opening 、署名∑と公開検証鍵から復元されたメッセージの代表F*を取得する方法
注記 1:この関数の出力には、署名を開く手順が成功したか失敗したかに関する指示も含まれます。
3.17
公開検証キー
公開検証変換を定義する公開鍵
[出典: ISO/IEC 9798-1]
3.18
回収可能な部分
署名で伝えられるメッセージの一部
3.19
塩
署名方式 2 のメッセージ代表の生成中に署名エンティティによって生成されるランダム データ項目
3.20
サイン
署名プロセスの結果のビット列
[出典: ISO/IEC 14888-1]
3.21
トレーラー
長さ 1 または 2 オクテットのビットの文字列で、メッセージ代表の生成中にメッセージの回復可能な部分の最後に連結されます。
参考文献
| [1] | M Bellare と P Rogaway, 「ランダム オラクルは実用的です: 効率的なプロトコルを設計するためのパラダイム」。中:コンピュータと通信のセキュリティに関する第 1 回年次会議の議事録、ACM, 1993 年、pp.62-73 |
| [2] | M Bellare と P Rogaway, 「最適な非対称暗号化 – RSA で暗号化する方法」。 In: A. De Santis (編集者), Advances in Cryptology – Eurocrypt '94 , Lecture Notes in Computer Science 950 (1995), Springer-Verlag, pp.92-111 |
| [3] | M Bellare および P Rogaway, 「デジタル署名の正確なセキュリティ: RSA および Rabin で署名する方法」。 In: UM Maurer (編集者), Advances in Cryptology – Eurocrypt '96 , Lecture Notes in Computer Science 1070 (1996), Springer-Verlag, pp.399-416 |
| [4] | J.-S. Coron, 「完全なドメイン ハッシュの正確なセキュリティについて」。 In: M. Bellare (編集者), Advances in Cryptology - Crypto 2000 , Lecture Notes in Computer Science 1880 (2000), Springer-Verlag, pp.229-235 |
| [5] | J.-S. Coron, D. Naccache, および JP Stern, 「RSA パディングのセキュリティについて」。 In: MJ Wiener (編集者), Advances in Cryptology – Crypto '99 , Lecture Notes in Computer Science 1666 (1999), Springer-Verlag, pp.1-18 |
| [6] | J.-S. Coron, D. Naccache, M. Tibouchi, および R.-P.ワインマン。 「ISO 9796-2 および Europay-Mastercard-Visa 署名の実用的な暗号解析」。 In: S. Halevi (編集者), Advances in Cryptology – Crypto 2009 , Lecture Notes in Computer Science 5677 (2009), Springer-Verlag, pp.428-444 |
| [7] | M.Girault および J.-F. Misarsky, 「ISO 9796-1 を修復するために提案された対策の暗号解析」。 In: B. Preneel (編集者), Advances in Cryptology - Eurocrypt 2000 , Lecture Notes in Computer Science 1807 (2000), Springer-Verlag, pp.81-90 |
| [8] | F. Grieu, 「ISO/IEC 9796-1 署名方式に対する選択されたメッセージ攻撃」。 In: B. Preneel (編集者), Advances in Cryptology – Eurocrypt 2000 , Lecture Notes in Computer Science 1807 (2000), Springer-Verlag, pp.70-80 |
| [9] | IEEE Std 1363-2000, 公開鍵暗号の標準仕様 |
| [10] | IEEE Std 1363a-2004, 公開鍵暗号の標準仕様 — 修正 1: 追加の技術 |
| [11] | ISO/IEC 9796-3:2006, 情報技術 - セキュリティ技術 - メッセージ回復を提供するデジタル署名方式 - 3: 離散対数ベースのメカニズム |
| [12] | ISO/IEC 9797-2:2002, 情報技術 - セキュリティ技術 - メッセージ認証コード (MAC) - 2:専用のハッシュ関数を使った仕組み |
| [13] | ISO/IEC 9798-1:1997 1) ,情報技術 - セキュリティ技術 - エンティティ認証 - 1: 一般 |
| [14] | ISO/IEC 1488, 情報技術 - セキュリティ技術 - 付録付きデジタル署名 |
| [15] | J. Jonsson, 「RSA-PSS 署名スキームとその変形のセキュリティ証明」。第 2 回 NESSIE ワークショップの議事録、ロイヤル ホロウェイ、ロンドン大学、2001 年 9 月。完全版は IACR 暗号アーカイブ 2001/053 で入手可能 |
| [16] | B. Kaliski, 「署名方式のハッシュ関数ファイアウォールについて」。 In: B. Prenee, Cryptographers' Track RSA Conference 2002 、コンピューター サイエンスの講義ノート 227, Springer-Verlag, pp.1-16 |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
capacity
positive integer indicating the number of bits available within the signature for the recoverable part of the message
3.2
certificate domain
collection of entities using public key certificates created by a single Certification Authority (CA) or a collection of CAs operating under a single security policy
3.3
certificate domain parameters
cryptographic parameters specific to a certificate domain and which are known and agreed by all members of the certificate domain
3.4
collision-resistant hash-function
- it is computationally infeasible to find any two distinct inputs which map to the same output
[SOURCE: ISO/IEC 10118-1]
3.5
hash-code
string of bits which is the output of a hash-function
[SOURCE: ISO/IEC 10118-1]
3.6
hash-function
- for a given output, it is computationally infeasible to find an input which maps to this output;
- for a given input, it is computationally infeasible to find a second input which maps to the same output
[SOURCE: ISO/IEC 9797-2]
3.7
mask generation function
- it is computationally infeasible to predict, given one part of an output but not the input, another part of the output
3.8
message
string of bits of any length
[SOURCE: ISO/IEC 14888-1]
3.9
message representative
bit string derived as a function of the message and which is combined with the private signature key to yield the signature
3.10
nibble
block of four consecutive bits (half an octet)
3.11
non-recoverable part
part of the message stored or transmitted along with the signature; empty when message recovery is total
3.12
octet
string of eight bits
3.13
private key
key of an entity's asymmetric key pair which should only be used by that entity
[SOURCE: ISO/IEC 9798-1]
3.14
private signature key
private key which defines the private signature transformation
[SOURCE: ISO/IEC 9798-1]
3.15
public key
key of an entity's asymmetric key pair which can be made public
[SOURCE: ISO/IEC 9798-1]
3.16
public key system
- key production, a method for generating a key pair made up of a private signature key and a public verification key;
- signature production, a method for generating a signature ∑ from a message representative F and a private signature key;
- signature opening, a method for obtaining the recovered message representative F* from a signature ∑ and a public verification key
Note 1 to entry: The output of this function also contains an indication as to whether the signature opening procedure succeeded or failed.
3.17
public verification key
public key which defines the public verification transformation
[SOURCE: ISO/IEC 9798-1]
3.18
recoverable part
part of the message conveyed in the signature
3.19
salt
random data item produced by the signing entity during the generation of the message representative in Signature scheme 2
3.20
signature
string of bits resulting from the signature process
[SOURCE: ISO/IEC 14888-1]
3.21
trailer
string of bits of length one or two octets, concatenated to the end of the recoverable part of the message during message representative production
Bibliography
| [1] | M. Bellare and P. Rogaway, ‘Random oracles are practical: a paradigm for designing efficient protocols’. In: Proceedings of the first annual conference on Computer and Communications Security, ACM, 1993, pp.62-73 |
| [2] | M. Bellare and P. Rogaway, ‘Optimal asymmetric encryption – how to encrypt with RSA’. In: A. De Santis (editor), Advances in Cryptology – Eurocrypt ’94, Lecture Notes in Computer Science 950 (1995), Springer-Verlag, pp.92-111 |
| [3] | M. Bellare and P. Rogaway, ‘The exact security of digital signatures: How to sign with RSA and Rabin’. In: U.M. Maurer (editor), Advances in Cryptology – Eurocrypt ’96, Lecture Notes in Computer Science 1070 (1996), Springer-Verlag, pp.399-416 |
| [4] | J.-S. Coron, ‘On the exact security of full domain hashing’. In: M. Bellare (editor), Advances in Cryptology – Crypto 2000, Lecture Notes in Computer Science 1880 (2000), Springer-Verlag, pp.229-235 |
| [5] | J.-S. Coron, D. Naccache, and J.P. Stern, ‘On the security of RSA padding’. In: M.J. Wiener (editor), Advances in Cryptology – Crypto ’99, Lecture Notes in Computer Science 1666 (1999), Springer-Verlag, pp.1-18 |
| [6] | J.-S. Coron, D. Naccache, M. Tibouchi, and R.-P. Weinmann. ‘Practical Cryptanalysis of ISO 9796-2 and Europay-Mastercard-Visa Signatures’. In: S. Halevi (editor), Advances in Cryptology – Crypto 2009, Lecture Notes in Computer Science 5677 (2009), Springer-Verlag, pp.428-444 |
| [7] | M. Girault and J.-F. Misarsky, ‘Cryptanalysis of countermeasures proposed for repairing ISO 9796-1’. In: B. Preneel (editor), Advances in Cryptology – Eurocrypt 2000, Lecture Notes in Computer Science 1807 (2000), Springer-Verlag, pp.81-90 |
| [8] | F. Grieu, ‘A chosen messages attack on the ISO/IEC 9796-1 signature scheme’. In: B. Preneel (editor), Advances in Cryptology – Eurocrypt 2000, Lecture Notes in Computer Science 1807 (2000), Springer-Verlag, pp.70-80 |
| [9] | IEEE Std 1363-2000, Standard specifications for public key cryptography |
| [10] | IEEE Std 1363a-2004, Standard specifications for public key cryptography — Amendment 1: Additional techniques |
| [11] | ISO/IEC 9796-3:2006, Information technology ― Security techniques ― Digital signature schemes giving message recovery ― 3: Discrete logarithm based mechanisms |
| [12] | ISO/IEC 9797-2:2002, Information technology ― Security techniques ― Message Authentication Codes (MACs) ― 2: Mechanisms using a dedicated hash-function |
| [13] | ISO/IEC 9798-1:1997 1) , Information technology ― Security techniques ― Entity authentication ― 1: General |
| [14] | ISO/IEC 14888 (all parts), Information technology ― Security techniques ― Digital signatures with appendix |
| [15] | J. Jonsson, ‘Security proofs for the RSA-PSS signature scheme and its variants’. Proceedings of the 2nd NESSIE Workshop, Royal Holloway, University of London, September 2001. Full version available in IACR cryptology archive 2001/053 |
| [16] | B. Kaliski, ‘On hash function firewalls in signature schemes’. In: B. Preneel (editor), Cryptographers' Track RSA Conference 2002, Lecture Notes in Computer Science 2271 (2002), Springer-Verlag, pp.1-16 |