ISO/IEC 9796:1991
(Main)Information technology — Security techniques — Digital signature scheme giving message recovery
Information technology — Security techniques — Digital signature scheme giving message recovery
Technologies de l'information — Techniques de sécurité — Schéma de signature numérique rétablissant le message
General Information
- Status
- Withdrawn
- Publication Date
- 18-Sep-1991
- Withdrawal Date
- 18-Sep-1991
- Drafting Committee
- ISO/IEC JTC 1/SC 27/WG 2 - Cryptography and security mechanisms
- Current Stage
- 9599 - Withdrawal of International Standard
- Start Date
- 21-Jul-2000
- Completion Date
- 12-Feb-2026
Relations
- Effective Date
- 15-Apr-2008
ISO/IEC 9796:1991 - Information technology -- Security techniques -- Digital signature scheme giving message recovery
ISO/IEC 9796:1991 - Technologies de l'information -- Techniques de sécurité -- Schéma de signature numérique rétablissant le message
ISO/IEC 9796:1991 - Technologies de l'information -- Techniques de sécurité -- Schéma de signature numérique rétablissant le message
Get Certified
Connect with accredited certification bodies for this standard
BSI Group
BSI (British Standards Institution) is the business standards company that helps organizations make excellence a habit.
Bureau Veritas
Bureau Veritas is a world leader in laboratory testing, inspection and certification services.
DNV
DNV is an independent assurance and risk management provider.
Sponsored listings
Frequently Asked Questions
ISO/IEC 9796:1991 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology — Security techniques — Digital signature scheme giving message recovery". This standard covers: Information technology — Security techniques — Digital signature scheme giving message recovery
Information technology — Security techniques — Digital signature scheme giving message recovery
ISO/IEC 9796:1991 is classified under the following ICS (International Classification for Standards) categories: 35.030 - IT Security; 35.040 - Information coding. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 9796:1991 has the following relationships with other standards: It is inter standard links to ISO/IEC 9796-3:2000. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
ISO/IEC 9796:1991 is available in PDF format for immediate download after purchase. The document can be added to your cart and obtained through the secure checkout process. Digital delivery ensures instant access to the complete standard document.
Standards Content (Sample)
INTERNATIONAL
STANDARD
First edi tion
1991-09- 15
Information technology - Security
techniques - Digital signature scheme giving
message recovery
Technoiogies de i’information - Techniques de s&urit@ - Schema de
signature num&ique retablissant le message
_-- _~-_-- -------- ---m-p
-~--
-~----
--
-- --_-
-- --
z- .-
-- -
=
=
- T=
=
=
= I
=
z
Z
I
E I
=
5 =
Z
I
= Z
Reference number
=
zz=
Z
=z
-.- @ --
~- ~-._
-_-_._-.-.--._-- --
ISWIEC 9796:1991(E)
ISO/IEC 9796 : 1991 (E)
Contents
Page
. . .
Ill
Foreword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iv
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 Scope .
2 Definitions .
3 Symbols and abbreviations .
4 General overview .
5 Signature process .
6 Verification process .
Annexes
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
A Example of a public-key System for digital signature
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6 Illustrative examples related to annex A
C Some precautions taken against various potential attacks
related to annex A . . . . . . . . . . . . . .-.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D Biblioaraohv
Y I l
0 ISO/IEC 1991
All rights resen/ed. NO part of this publication may be reproduced or utilized in any form
or by any means, electronie or mechanical, including photocopying and microfilm, without
Permission in writing from the publisher.
l CH-l 211 Geneve 20 l Switzerland
lSO/IEC Copyright Office l Case postale 56
Printed in France
ii
ISO/IEC 9796 : 1991 (E)
Fareword
ISO (the International Organization for Standardization) and IEC (the
International Eiectrotechnical Commission) ferm the specialized System
for wor-ldwide standardization. National bodies that are members of ISO
or IEC participate in the development of International Standards through
technical committees established by the respective organization to deal
with particular fields of technical activity. ISO and IEC technical com-
mittees collaborate in fields of mutual interest. Other international or-
ganizations, gover-nmental and non-governmental, in liaison with ISO
and IEC, also take part in the work.
In the field of information technology, ISO and IEC have established a
joint technical committee, ISO/IEC JTC 1. Draft International Standards
adopted by the joint technical committee ar-e circulated to national bod-
ies for voting. Publication as an International Standard requires ap-
proval by at least 75 % of the national bodies casting a vote.
International Standard ISO/IEC 9796 was prepared by Joint Technical
Committee ISO/IEC JTC 1, Information technology.
Annexes A, ß, C and D arc for information only.
ISO/IEC 9796 : 1991 (E)
Introduction
A digital sig nature in electronie exchange of information is a counterpart to a
handwritten signature in classical mail.
Most digital signature schemes are based upon a parti cular public-key System.
oper ,ati ons:
Any public-key System includes three basic
- a process producing pairs of keys : a secret key and a public key;
- a process using a secret key ;
- a process using a public key.
In any public-key digital signature scheme, the secret key is involved in a
signature process for signing messages, and the public key is involved in a
verification process for verifying signatures. A pair of keys for a digital
signature scheme thus consists of a “secret signature key” and a “public
verification key”.
Two types of digital signature schemes are clearly identified.
- When the verification process needs the message as part of the input,
the scheme is named a “signature scheme with appendix”. The use of a
hash-function is involved in the calculation of the appendix.
- When the verification process reveals the message together with its
specific redundancy (sometimes called the “shadow sf a message”), the
scheme is named a “signature scheme giving message recovery”.
This International Standard specifies a scheme for digital signature of
messages of limited length.
This digital signature scheme allows a minimal resource requirement for
verification. lt does not involve the use of a hash-function and it avoids the
known attacks against the generic algorithm in use.
The message need not be in a natura1 language. lt may be any arbitrary string
of bits of limited length. Examples of such messages are cryptographic key
materials and the result of hashing another, longer message, which is also
called the “imprint of a message”. A characteristic example is a structured set
of a few strings of bits generated by cryptographic Software and hardware,
one of these strings coding control information produced within the hardware-
NOTE - The use of this International Standard may involve patented items.
INTERNATIONAL STANDARD ISO/IEC 9796 : 1991 (EI
Information technology - Security techniques -
Digital signature scheme giving message recovery
1 Scope 3 Symbols and abbreviations
MP Padded message
This International Standard specifies a digital signature
scheme giving message recovery for messages of limited
ME Extended message
length and using a public-key System.
MR Extended message with redundancy
This digital signature scheme includes
IR Intermediate integer
- a signature process using a secret signature key
Signature
c
and a signature function for signing messages;
Length of the signature in bits
ks
- a verification process using a public verification key
and a verification function for checking signatures 1R’ Recovered intermediate integer
while recovering messages.
MR’ Recovered message with redundancy
MP’ Recovered padded message
During the signature process, messages to be signed are
padded and extended if necessary. Artificial redundancy is
Sign Signature function under control of the secret
then added, depending upon the message itself. No
signature key
assumption is made as to the possible presence of natura1
redundancy in the messages. The artificial redundancy is
Verif Verification function under control of the public
revealed by the verification process. The removal of this
verification key
artificial redundancy gives message recovery.
mod z Arithmetic computation modulo z
This International Standard does not specify the key
Nibble
P
production process, the signature function and the
17 Permutation of the nibbles
verification function. Annex A gives an example of a
public-key System including key production, signature
m Byte
function and verification function. The various Steps of
S Shadow of the bytes
these operations are illustrated by examples in annex B.
XII Y Concatenation of strings of bits Xand Y
Some Parameters in the scheme are related to security :
XQY Exclusive-or of strings of bits Xand Y
this International Standard does not specify the values to
be used in Order to resch a given level of security.
NOTES
However, this International Standard is specified in such a
way as to minimize the required changes in its use if
1 All integers (and all strings of bits or bytes) are written with
some of these Parameters have to be modified.
the most significant digit (or bit or byte) in left Position.
2 The hexadecimal notation, with the digits 0 to 9 and A to F,
is used in table 1 and in annex B.
2 Definitions
For the purposes of this International Standard, the
4 General overview
following definitions apply.
The next two clauses specify
2.1 message: String of bits of limited length.
- the signature process in clause 5;
2.2 signature: String of bits resulting from the signature
- the verification process in clause 6.
process.
ISO/IEC 9796 : 1991 (EI
Number z multiplied by sixteen shall be less than or equal
and keep secr ‘et its own
Esch signing entity shall use
verification to number k,+3. Consequently, the number of bits of the
signature key correspondi ng to its own p ublic
key. message to be signed shall be at most 8 times the largest
integer less than or equal to (k,+3)/16.
Messages to be signed shall be padded and extended if
5.2 Extension
necessary. Redundancy is then added according to rules
specified in clause 5. From the extended messages with
Number t, to be used later on, is the least integer such
redundancy, signatures shall be computed using the
that a string of 2t bytes includes at least IQ-1 bits.
secret signature key as specified in clause 5.
The extended message AK is obtained by repeating the z
Esch verifying entity should know and use the public
bytes of MP, as many times as necessary, in Order and
verification key specific to the signing entity. A signature
concatenated to the left, until forming a string of t bytes.
shall be accepted if and only if the verification process
specified in clause 6 is successful.
For i valued from 1 to t and j equal to i-l (mod z) plus one
(j is therefore valued from 1 to z), the j-th byte of Mf
NOTE - The production and the distribution of keys fall outside
equals the j-th byte of MP.
the scope of this International Standard.
Mf= . . . m,II . . . m2 II ml
c- t bytes ->
NOTE - Number z is less than or equal to number t. The equality
5 Signature process
may occur only if k, is congruent to 13, 14, 15, 0 or 1 mod 16.
Figure 1 summarizes the signature process.
5.3 Redundancy
The extended message with redundancy MR is obtained
Message
by interleaving the t bytes of ME in odd positions and t
bytes of redundancy in even positions. Altered by index r,
the least significant nibble of the Zz-th byte of /WR Codes
the message length by its value and its Position.
For ivalued from 1 to f,
- the (21-1 )-th byte of AAR equals the I-th byte of AE;
- the 2j-th byte of LW’ equals the image of the i-th
byte of ME according to the shadow S specified in
table 1, except for the 2z-th byte of AAR which equals
the exclusive-or of index xwith the shadow of the z-th
byte of ME
MR = .“. S(mJ 63 r II mZII . . . S(m2) II m2 II S(mIj 11 rn1
G 2 t bytes --- >
NOTE - The computation of the 2 bytes of MR ImiZ1 to MQ)
from the z bytes of MP (mp, to mp,) is performed by applying
Signature
successively the following three formulae for ivalued from 7 to t.
Figure 1 - Signature process
:= (i-l mod 7)+l ; /YI+;-~ := mpj; ,mraj := S(UI/Z;)
i
Finally, the Zr-th byte is altered by index I-.
NOTE -A good implementation of the signature process shouid
:= r03 mr2,
rnc2z
physically protect the operations in such a way that there is no
direct access to the signature function under control of the
secret signature key.
5.4 Truncation and forcin
The intermediate integer IR is coded by a string of k, bits
5.1 Padding
where the most significant bit is valued to 1 and where
the ks--l least significant bits are those of MR, except for
The message is a string of bits. This string of bits is
the least significant byte which is replaced. If ,UZ II ~1 is the
padded to the left by 0 to 7 zeroes so as to obtain a string
least significant byte of MR, then the least significant byte
of z bytes. Index r, to be used Iater on, is the number of
of IR shall be ,UI II 6.
padded zeroes plus one. Index f is thus valued from 1 to 8.
Consequently, in the padded message denoted by MP, the 5.5 Signature production
8z+l -r least significant bits are information bearing.
The signature 2 is obtained as a string of k, bits by
applying to IR the signature function under control of the
MP= mz II rnzBl II . . . m2 II ml
secret signature key.
m, = (r-1 padded z eroes) I I (9-r information bits)
C = Sign( IR)
ISOIIEC 9796 : 1991 (E)
Table 1 - Permutation n and shadow S
/
P
0 1 2 3 4 5 6 7 8 9 A B C D E F
/
l7@) E 3 5 8 2
9 4 F 0 D B 6 7 A C 1
If nibble p consists of the bits a4 a3 a2 al,
then under the Permutation 17, its image denoted by n(p) consists of the bits
~~@Z~~CI~~JCBI; ~4G3+@Z3~Cl31; ?Q@~SJ@+CBI; a3CBa2@al.
If byte m consists of the nibbles p2 pl, then under the shadow S, its image denoted by S(m) consists of the nibbles U(U~) nee(,).
specified in table 1, if ~4 II ~3 II ~2 II 6 are the four least
6 Verification process
significant nibbles of IR’, then the least significant byte of
MR’shall be n-l(& II ~2.
Figure 2 summarizes the verification process.
MR’= rnzt II rnzt-l II . . . rn2 II ml
Signature
NOTE - The strings MR and MR’ may be unequal. The string
MR’ consists of the k,-1 least significant bits of MR padded by 0
Signature opening to 15 zeroes in the most significant bits.
I
II
From the 2f bytes of MR ‘, t sums are computed.
According to the shadow S specified in table 1, the I-th
sum equals the exclusive-or of the 2i-th byte with the
shadow of the (2i---1 )-th byte.
1 Redundancy checking 1 1 m2j 0 S(m2;-1)
I 1
No 1 Reiect
The signature C shall be rejected if the t sums are null.
\
Number z is recovered as the Position of the first non-null
Recovered message
sum. The recovered padded message MP’ is the string of
(Signature accepted)
the z least significant bytes in odd positions in MR’.
Figure 2 - Verification process
MP’ = rnzz-l II rnzz-3 II . . . rn2i-1 II . . . Q II rnl
Index r is recovered as the value of the least significant
6.1 Signature opening
nibble of the first non-null sum.
The signature C is transformed into the recovered
The signature C shall be rejected if index r is not valued
intermediate integer IR’ by applying to C the verification
from 1 to 8, and also if the r-l most significant bits of MP’
function under control of the public verification key.
are not all null.
IR’ = Verif( C )
m2z-1 = (r-1 padded z
eroes) II (9-r information bits)
The signature C shall be rejected if IR’ is not a string of k,
The message is recovered as the string of the 8z+l-r least
bits where the most significant bit is valued to 1 and
significant bits of MP’.
where the least significant nibble is valued to 6.
6.3 Redundancy checking
6.2 Message recovery
The signature C shall be accepted if and only if the ksl
The recovered message with redundancy MR’ is the
least significant bits of MR’ are equal to the k,-1 least
string of 2t bytes where the l-k, (mod 16) most
significant bits of another extended message with redun-
significant bits are null and where the I+l least significant
dancy computed from the recovered padded message
bits are those of IR’, except for the least significant byte
MP’ according to 5.2 and 5.3.
which is replaced. According to the Permutation fl
ISO/IEC 9796 : 1991 (EI
Annex A
(informative)
Example of a public-key System
for digital signature
The public verification exponent may be standardized in
A. 1 Definitions
specific applications.
Modulus: Integer constructed as the product of two
NOTE - Values 2 and 3 may have some practical advantages.
primes.
Public verification key : Modulus and verification
A.3.2 Secret Prime factors and public modulus
exponent.
Secret signature key : Signature exponent.
Esch signing entity shall secretly and randomly select two
distinct odd primes p and g subject to the following
conditions.
A.2 Symbols and abbreviations
- If v is odd, then p-l and q-l shall be coprime to v.
RR Representative element
- If v is even, then (p-l )/2 and (q-l)/2 shall be
IS Resulting integer
coprime to v. Moreover, p and g shall not be
Modulus
n
congruent to each other mod 8.
Length of the modulus in bits
k
Prime factors of the modulus The public modulus n is the product of the secret Prime
PI (7
factors p and g.
V Verification exponent
n=pq
S Signature exponent
The length of the modulus is k. Number k shall equal k,+l.
Icm(a, 6) Least common multiple of integers a and b
Jacobi Symbol of a with respect to n
(al n)
NOTES
NOTE - Let p be an odd Prime, and let a be a positive integer.
Some additional conditions on the choice of primes may weil
The Legendre Symbol of integer a with respect to Prime p is
be taken into account in Order to deter factorization of the
defined by the following formula.
modulus.
(a I p) = a(pl)D mod p
2 Some forms of the modulus simplify the modulo reduction
When integer a is not a multiple of p, then the Legendre Symbol
and need less table storage. These forms are
of integer a with respect to Prime p is valued to either +l or -1
= 2645
of length : k = 64~ bits,
depending on whether integer a is or is not a Square modulo p. F
x, y, - : n
The Legendre Symbol of multiples of p with respect to Prime p is
= 264x+c of length : k = 64x+l bits,
F
x, y, -b : n
null.
where: 1 ~vG!x and ~<2~~~-*~<2c.
Let n be an odd positive integer, and let a be a positive integer.
The Jacobi Symbol of integer a with respect to integer n is the In the negative forms, all the bits of the y most significant bytes
are valued to one, up to a quarter of the length of the modulus.
product of the Legendre Symbols of integer a with respect to
the Prime factors of n.
In the positive forms, after a Single most significant bit valued to
Therefore if n = p q, then (a I n) = (a I p) (a I 41.
one, all the bits of the y most significant bytes are valued to
Zero, up to a quarter of the length of the modulus.
The Jacobi Symbol of any integer a with respect to any integer n
L
may be efficiently computed without the Prime factors of n.
A.3.3 Secret signature exponent
A.3 Key production
The secret signature exponent is the least positive integer
s such that SV-1 is a multiple of
A.3.1 Public verification exponent
- Icm(p1, ~1) if v is odd ;
Esch signing entity shall select a positive integer v as its
- F Icm(p-1, s-1) if v is even.
public verification exponent.
ISO/IEC 9796 : 1991 (E)
A.4 Signature function A. 5 Verification function
The intermediate integer IR is a string of k-l bits
The signature C is a positive integer less than n/2 which
computed as described in 5.4.
shall be raised to the power v modulo n for obtaining the
resulting integer IS.
The representative element of IR with respect to n is
denoted by RR.
The recovered intermediate integer IR’ is then defined by
the following decoding.
- If v is odd, then RR is IR.
- If IS is congruent to 6 mod 16, then IR’ is IS.
- If v is even and if (IR I n) = +l, then RR is IR.
- If n-E is congruent to 6 mod 16, then IR’ is n-IS.
- If v is even and if (IR I n) = -1, then RR is IR/2.
Moreover, when v is even,
-If v is even, then the Jacobi Symbol of RR with respect
NOTE
to n is forced to +l.
- if IS is congruent to 3 mod 8, then IR’ is 21s;
- if n--E is congruent to 3 mod 8, then IR’ is 2(n--IS).
RR shall be raised to the power s modulo n. The signature
C is either the result or its complement to n, the least one.
The signature C shall be rejected in all the other cases, and
C = min ( RRS mod n, n--(RRS mod n) } also if IR’ does not lie in the range from 2k-2 to 2k-1-1.
This defines the signature function “Sign”. This defines the verification function “Verif”.
C = Sign( IR ) IR’ = Verif( C )
ISO/IEC 9796 : 1991 IE)
Annex B
(informative)
Illustrative examples
related to annex A
The hexadecimal notation is used.
BA.3 Example 1
B.l Examples with public exponent three
This example illustrates paddi ng, extension and truncation
B.l.1 Key production
for signing a message of 100 bits.
C BBAA 9988 7766 5544 3322 1100
The public verification exponent v is 3.
Signature process
Therefore the secret Prime factors are both congruent to
2 mod 3.
After padding four zeroes to the left, the padded message
BA091 06C 754EB6FE BBC21479 9FFl B8DE
P=
MP is a string of 13 bytes. Therefore z=l3 and r=5.
1 B4CBB7A 7A782B15 7Cl BC1 52 90AlA3AB
MP= OC BBAA9988 77665544 33221100
=
1 6046EB39 E03BEAB6 21 D03C08 B8AE6B66
CFF955B6 4B4F48B7 EEI 52A32 6BF8CB25
The extended message ME results by repeating the 13
successive bytes of MP, in Order and concatenated to the
The public modulus n of 513 bits is of the form 25’2 + c,
left, until obtaining a string of 32 bytes.
with 2c > 2384 > c (ferm F, y + with x = 8 and y = 16).
I I
ME= 55443322 11
...
ISOICEI
NORME
INTERNATIONALE
Première édition
1991-09-15
Technologies de l’information - Techniques de
sécurité - Schéma de signature numérique
rétablissant le message
Information technology - Security techniques - Digital signature
scheme giving message recovery
Numéro de référence
ISCYCEI 9796: 199 1 (F)
ISO/CEI 9796: 1991 (F)
Sommaire
Page
. . .
Avant-propos . III
iv
Introduction .
1 Domaine d’application .
2 Définitions .
3 Symboles et abréviations .
4 Vue générale .
5 Opération de signature .
6 Opération de vérification .
Annexes
A Exemple d’un système à clé publique pour signature numérique . 4
B Exemples explicatifs se rapportant à l’annexe A .
C Quelques précautions prises contre diverses attaques potentielles
se rapportant à l’annexe A . 11
D Bibliographie . 12
0 ISO/CEI 1991
Tous droits réservés. Aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou
mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
ISOKEI Bureau du copyright l Case postale 56 l Cl-i-121 1 Genève 20 l Suisse
Imprimé en France
ii
ISO/CEI 9796: 1991 (F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CEI (Com-
mission électrotechnique internationale) forment le système spécialisé
de normalisation mondiale. Les organismes nationaux membres de
I’ISO ou de la CEI participent au développement de Normes internatio-
nales par l’intermédiaire des comités techniques créés par I’organi-
sation concernée afin de s’occuper des différents domaines particuliers
de l’activité technique. Les comités techniques de I’ISO et de la CEI
collaborent dans des domaines d’intérêt commun. D’autres organi-
sations internationales, gouvernementales ou non gouvernementales,
en liaison avec I’ISO et la CEI participent également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CEI ont
créé un comité technique mixte, I’ISOKEI JTC 1. Les projets de Nor-
mes internationales adoptés par le comité mixte sont soumis aux orga-
nismes nationaux pour vote. Leur publication comme Normes
internationales requiert l’approbation de 75 % au moins des organismes
nationaux votants.
La Norme internationale ISOKEI 9796 a été élaborée par le comité
technique ISOKEI JTC ‘l, TecIwologies de l’information.
Les annexes A, B, C et D sont donnees uniquement à titre d’information.
lSO/CEl 9796: 1991 (F)
Introduction
Une s ignature numérique en écha
nge é lectronique d e l’in for matio n est une
contre
partie d’une signature manue Ile en courrier class #iq ue.
La plupart des schémas de signature numérique sont basés sur un système
particulier à clé publique. Tout système à clé publique comporte trois
opérations de base :
- une production de paires de clés : une clé secrète et une clé publique;
- une opération mettant en œuvre une clé secrète;
- une opération mettant en œuvre une clé publique.
Dans tout schéma de signature numérique à clé publique, la clé secrète est
mise en œuvre dans l’opération de signature pour signer des messages, et la
clé publique est mise en œuvre dans l’opération de vérification pour vérifier
des signatures. Une paire de clés pour un schéma de signature numérique se
compose donc d’une ((clé secrète de signature)) et d’une ((clé publique de
vérification )).
Deux types de schémas de signature numérique ont été clairement identifiés.
- Quand l’opération de vérification exige le message comme élément
d’entrée, le schéma est un ((schéma de signature avec appendice». Une
fonction de hachage est utilisée au cours du calcul de l’appendice.
- Quand l’opération de vérification révèle à la fois le message et sa
redondance spécifique, parfois appelée ((l’ombre du message)), le schéma
est un ((schéma de signature rétablissant le message)).
La présente Norme internationale prescrit un schéma de signature n umé rique
de messages de Ion gueur limitée.
Le présent schéma de signature numérique permet de minimiser les
ressources requises pour vérifiér. II ne fait pas appel à une fonction de hachage
et il évite les attaques connues contre l’algorithme spécifique utilisé.
Le message peut ne pas être formulé en langage naturel. N’importe quel train
de bits de longueur limitée convient. Des exemples de tels messages sont des
éléments de mise à la clé ou le résultat du hachage d’un autre message plus
long, ce qui est encore appelé «l’empreinte d’un message)). Un exemple carac-
téristique est un ensemble structuré de quelques trains de bits provenant de
logiciel et matériel cryptographiques, l’un de ces trains codant une information
de contrôle produite dans le matériel.
NOTE - La présente Norme internationale peut impliquer l’emploi d’éléments brevetés.
ISO/CEI 9796 : 1991 (F)
NORME INTERNATIONALE
Technologies de l’information - Techniques
de sécurité - Schéma de signature numérique
rétablissant le message
1 Domaine d’application 3 Symboles et abréviations
La présente Norme internationale prescrit un schéma de MP Message complété
signature numérique qui rétablit le message quand sa
Message étendu
ME
longueur est limitée et qui utilise un système à clé
publique.
MR Message étendu avec redondance
Le présent schéma de signature numérique comprend IR Entier intermédiaire
- une opération de signature mettant en œuvre une
Signature
c
clé secrète de signature et une fonction de signature
Longueur de la signature en bits
pour signer des messages; ks
- une opération de vérification mettant en œuvre IR’ Entier intermédiaire rétabli
une clé publique de verification et une fonction de
MR‘ Message rétabli avec redondance
vérification pour contrôler des signatures tout en
rétablissant les messages.
MP’ Message complété rétabli
Pendant l’opération de signature, les messages à signer
Sign Fonction de signature sous contrôle de la clé
sont complétés et étendus si nécessaire. Puis on y ajoute
secrète de signature
une redondance artificielle dépendant du message. II n’y a
Vérif Fonction de vérification sous contrôle de la clé
pas d’hypothése sur la présence de redondance naturelle
publique de vérification
dans les messages. L’opération de vérification révèle la
redondance artificielle. En enlevant cette redondance
mod z Calcul arithmétique modulo z
artificielle, on rétablit le message.
Quartet
P
La présente Norme internationale ne spécifie pas I’opé-
Permutation des quartets
n
ration de production des clés, la fonction de signature et
la fonction de vérification. L’annexe A donne un exemple
m Octet
de système à clé publique comprenant une production de
clés, une fonction de signature et une fonction de
S Ombre des octets
vérification. Les différentes étapes de ces opérations sont
XII Y Concaténation des trains de bits X et Y
expliquées par des exemples dans l’annexe B.
X@Y Ou-exclusif des trains de bits X et Y
Certains paramétres du schéma sont liés à la sécurité: la
présente Norme internationale ne prescrit pas les valeurs
à leur donner pour atteindre un niveau donne de sécurité. NOTES
Toutefois, la présente Norme internationale est prescrite
1 Les entiers (et les trains de bits ou d’octets) s’écrivent avec
de façon à limiter les changements entraînés par une
le chiffre (ou le bit ou l’octet) de poids fort à gauche.
éventuelle modification de ces paramètres.
2 La notation hexadécimale avec les chiffres 0 à 9 et A à F est
utilisée dans le tableau 1 et dans l’annexe B.
2 Définitions
4 Vue générale
Pour les besoins de la présente Norme internationale, les
définitions suivantes s’appliquent.
Les deux articles suivants prescrivent
2.1 message: Train de bits de longueur limitée.
- l’opération de signature à l’article 5;
2.2 signature: Train de bits résultant de l’opération de
- l’opération de vérification à l’article 6.
signature.
ISO/CEI 9796 : 1991 (F)
Le nombre z multiplié par seize doit être inférieur ou égal
Chaque entité qui signe doit utiliser et garder secrète sa
au nombre k,+3. Par conséquent, le nombre de bits du
propre clé de signature qui correspond à sa propre clé
message à signer doit être au plus 8 fois le plus grand
publique de vérification.
entier inférieur ou égal à (k,+3)/16.
Les messages à signer doivent être complétés et étendus
si nécessaire. Puis de la redondance y est ajoutée selon 5.2 Extension
des règles prescrites à l’article 5. A partir du message
Le nombre tutilisé par la suite est le plus petit entier .tef
étendu avec redondance, la signature doit être calculée
qu’un train de 2t octets contienne au moins k,-1 bits.
grâce à la clé secrète de signature selon l’article 5.
Le message étendu ME s’obtient en répétant les z octets
Chaque entité qui vérifie devrait connaître et utiliser la clé
de MP autant de fois qu’il le faut, dans l’ordre et chaînés
publique de vérification spécifique à l’entité qui signe. Une
sur la gauche, jusqu’à former un train de t octets.
signature doit être acceptée si et seulement si l’opération
de vérification prescrite à l’article 6 est réussie.
Pour ;Valant de 1 à t et i égal à i-l (mod z) plus un (jvaut
donc de 1 à z), le i-ième octet de ME est égal au j-ième
NOTE - La production et la distribution de clés ne font pas
octet de MP.
l’objet de la présente Norme internationale.
ME= . . . m,II . . . m2 II ml
<- t octets ->
5 Opération de signature NOTE - Le nombre z est inférieur ou égal au nombre t. L’égalité
n’est possible que si k, est congru à 13, 14, 15, 0 ou 1 mod 16.
La figure 1 résume I ‘opération de signature.
5.3 Redondance
Message
Le message étendu avec redondance MR s’obtient en
entrelaçant les t octets de ME en positions impaires et t
octets de redondance en positions paires. Altéré par
l’index r, le quartet de poids faible du 2z-ième octet de MR
code la longueur du message par sa valeur et sa position.
Pour ;Valant de 1 à t,
- le (2i-l)-ième octet de MR est égal au i-ième octet
de ME;
Redondance
I I
- le 2Lième octet de MR est égal à l’image du iième
Troncature et forçage
octet de ME selon l’ombre S prescrite au tableau 1, à
I I
part le 2z-ième octet de MR qui est égal au ou-exclusif
de l’index ravec l’ombre du z-ième octet de ME.
Production de la signature
,
l
MR = . . . S(mJ 0 Al mJI . . . S(m2) II m2 II S(mI) II n?l
< 2 t octets >
NOTE - Le calcul des 2t octets de MR (rn~-~, à mr,) à partir des z
Signature
octets de MP (mp, à mp,) s’effectue en appliquant successive-
Figure 1 - Opération de signature ment les trois formules suivantes pour jvalant de 1 à t.
:= (i-1 mod d+l ; mr2i,l := mpj; mr2,- := S(mp,d
i
NOTE - Une bonne réalisation de l’opération de signature
Enfin, le 2z-ième octet est altéré par l’index r.
devrait protéger physiquement les calculs pour qu’il n’y ait pas
:= r@ mr2,
m2z
d’accès direct à la fonction de signature sous contrôle de la clé
secrète de signature.
5.4 Troncature et forçage
5.1 Remplissage
L’entier intermédiaire IR est codé par un train de I$ bits où
le bit de poids fort vaut 1 et où les ksl bits de poids faible
Le message est un train de bits. Ce train de bits est
sont ceux de MR, à part l’octet de poids faible qui est
complété sur la gauche par 0 à 7 zéros pour obtenir un
remplacé. Si ~2 II ~1 est l’octet de poids faible de Ml?, alors
train de z octets. L’index r utilisé par la suite vaut un de
l’octet de poids faible de IR doit être ~1 II 6.
plus que le nombre de zéros de remplissage. L’index r a
donc une valeur de 1 à 8.
5.5 Production de la signature
Par conséquent, dans le message complét& noté par MP,
les 8z+l -r bits de poids faible sont de l’information.
La signature C est le train de k, bits obtenu en appliquant à
IR la fonction de signature sous contrôle de la clé secrète
MP= m, II rn*l II . . . m2 II ml
de signature.
m, = (r-1 zéros de remplissage) Il (9-r bits d’information) C = Sign( IR)
ISO/CEI 9796 : 1991 (FI
- Permutation net ombre S
Tableau 1
5 6 7 8 9 A B C D E F
P 0 1 2 3 4
/
8 9 4 2 F 0 D B 6 7 A C 1
l7@d E 3 5
I
Si le quartet p comprend les bits a4 a3 a2 al, alors selon la permutation n, son image notée par I~(U) comprend les bits
a4@a2ealel; a4ea3eaI@l; a4@a3ea2@1; a303a2eal.
Si l’octet m comprend les quartets h ccl, alors selon l’ombre S, son image notee par S(m) comprend les quartets nGu2) fl@,).
quatre quartets de poids faible de IR’, alors l’octet de poids
6 Opération de vérification
faible de MR’doit être n-Y& II ~2.
La figure 2 résume l’opération de vérification.
MR’= mzt II rnzt-l II . . . 4 II ml
Signature
NOTE - Les trains MR et MR’ peuvent être différents. Le train
MR’ comprend les ksl bits de poids faible de MR complétés en
poids forts par 0 à 15 zéros.
A partir des 2t octets de MR’, t sommes sont calculées.
Selon l’ombre S prescrite au tableau 1, la I-ième somme
est égale au ou-exclusif du 2kième octet avec l’ombre du
Rétablir le message
(2i-1 )-iéme octet.
\
Oui Non 1
m2j Ci3 S(m2j.-j)
v f
La signature C doit être rejetée quand les t sommes sont
Contrôler la redondance
nulles.
Le nombre z est rétabli par la position de la première
Y
somme non nulle. Le message complété rétabli MP’ est le
Message rétabli
train des z octets de MR’ en positions impaires de poids
(Signature acceptée)
faible.
Figure 2 - Opération de vérification
MP’= ~~1 II rn2M II . . . ~i-1 II . . . Q II ml
L’index r est rétabli par la valeur du quartet de poids faible
6.1 Ouvrir la signature
de la première somme non nulle.
La signature C est transformée en l’entier intermédiaire
La signature C doit être rejetée quand l’index r ne vaut pas
rétabli Wen appliquant à C la fonction de vérification sous
de 1 à 8, et aussi quand les r-l bits de poids fort de MP’
contrôle de la clé publique de vérification.
ne sont pas tous nuls.
IR’ = Vérif( C)
mzzel = (r-l zéros de remplissage) II (9-r bits d’information)
La signature C doit être rejetée quand IR’ n’est pas un
Le message est rétabli par le train des 8z+ 1 -r bits de poids
train de k, bits où le bit de poids fort vaut 1 et où le quartet
faible de MP’.
de poids faible vaut 6.
6.3 Contrôler la redondance
6.2 Rétablir le message
La signature C doit être acceptée si et seulement si les
Le message rétabli avec redondance MR’ est le train de 2t
ksl bits de poids faible de MR’ sont égaux aux ks-1 bits
octets où les l-k, (mod 16) bits de poids forts sont nuls et
de poids faible d’un autre message étendu avec
où les ksl bits de poids faible sont ceux de IR’, h part
redondance calculé à partir du message complété rétabli
l’octet de poids faible qui est remplacé. Selon la permu-
MP’ conformément à 5.2 et 5.3.
tation fl prescrite au tableau 1, si ~4 II ~3 II ~2 II 6 sont les
ISO/CEI 9796 : 1991 (F)
Annexe A
(informative)
Exemple d’un système à clé publique
pour signature numérique
L’exposant public de vérifica tion peut être normalisé dans
A. 1 Définitions
des applications spécifiques.
Module: Entier construit comme le produit de deux
- Les valeurs 2 et 3 peuvent présenter des avantages
NOTE
nombres premiers.
pratiques.
Clé publique de vérification: Module et exposant de
vérification.
A.3.2 Facteurs premiers secrets et module public
Clé secrète de signature: Exposant de signature.
Chaque entité qui signe doit secrètement choisir au hasard
deux nombres premiers impairs distincts p et g respectant
les contraintes suivantes.
A.2 Symboles et abréviations
doivent être
- Si v est impair, alors p-l et q-l
RR Élément représentatif
premiers avec v.
IS Entier résultant
- Si v est pair, alors (p-l)/2 et (q-1 )/2 doivent être
n Module
premiers avec v. De plus, p et g ne doivent pas être
congrus l’un à l’autre modulo 8.
k Longueur du module en bits
Facteurs premiers du module
P8 cl
Le module public n est le produit des facteurs premiers
V Exposant de vérification
secrets p et g.
S Exposant de signature
n=pq
ppcm(a, b) Plus petit commun multiple des entiers a et b
La longueur du module est k. Le nombre k doit valoir k,+l .
Symbole de Jacobi de a par rapport à n
(a1 n)
NOTES
NOTE - Soit n un nombre premier impair, et a un entier positif.
1 Certaines autres contraintes peuvent être prises en compte
La formule suivante définit le symbole de Legendre de l’entier a
dans le choix des nombres premiers de façon à décourager la
par rapport au nombre premier p.
mise en facteurs du module.
(a I p) = a(pi)n mod p
2 Certaines formes du module simplifient la réduction modulo
Quand l’entier a n’est pas un multiple de p, alors le symbole de
tout en utilisant moins de mémoire. Ces formes sont
Legendre de l’entier a par rapport au nombre premier p vaut +l
ou -1 selon que l’entier a est ou n’est pas un carré modulo p.
F ,: n=2 64X-c de longueur * . k = 64x bits
,
x y,
Le symbole de Legendre des multiples de p par rapport au
F = 264x+c de longueur : k = 64x+1 bits,
nombre premier p est nul. x, y, + : n
où : 1 5 y 5 2.x et c < 264x -8y c 2c.
Soit n un entier positif impair, et a un entier positif. Le symbole
Dans les formes négatives, tous les bits des y octets de poids
de Jacobi de l’entier a par rapport à l’entier n est le produit des
fort sont à un, jusqu’à un quart de la longueur du module.
symboles de Legendre de l’entier a par rapport aux facteurs
premiers de n.
Dans les formes positives, après un bit à 1 isolé en poids fort,
Par conséquent, si n = tous les bits des y octets de poids fort sont à zéro, jusqu’à un
p Q, alors (a I n) = (a I pl (a I 4).
quart de la longueur du module.
Le symbole de Jacobi de tout entier a par rapport à tout entier n
peut être efficacement calcule sans les facteurs premiers de n.
A.3.3
Exposant secret de signature
L’exposant secret de signature est le plus petit entier
A.3 Production de clés
soit un multiple d e
positif s tel que sw
A.3.1 Exposant public de vérification
- ppcm(p1, g-1) si v est impair;
Chaque entité qui sig ne doit choisir un entier positif v
- k ppcm@--1 , el) si v est pair.
comme exposant publi c de vérification
ISO/CEI 9796 : 1991 (F)
A.5 Fonction de vérification
A.4 Fonction de signature
La signature C est un entier positif inférieur à n/2 qu’il faut
L’entier intermédiaire IR est un train de k-l bits calculé
élever à la puissance v modulo n pour obtenir l’entier
selon 5.4.
résultant IS.
L’élément représentatif de IR par rapport à n s’appelle RR.
L’entier intermédiaire rétabli IR’ est alors défini par le
- Si v est impair, alors RR vaut IR.
décodage suivant.
- Si v est pair et si (IR I n) = +l, alors RR vaut IR.
- Si IS est congru à 6 mod 16, alors IR’ vaut IS.
- Si v est pair et si (IR I n) = -1, alors RR vaut lR/Z.
- Si n-6 est congru à 6 mod 16, alors IR’vaut n--E.
NOTE - Si v est pa ir, alors le symbole de de RR par
De plus, quand v est pair,
rapport à n est force à +l.
- si IS est congru à 3 mod 8, alors IR’vaut 21s;
II faut élever RR à la puissance s modulo n. La signature C
- si n-E est congru à 3 mod 8, alors IR’vaut 2(MS).
est le résultat ou bien son complément à n, le plus petit
des deux.
La signature C doit être rejetée dans tous les autres cas,
et aussi quand IR’ n’est pas compris entre 2k-2 et 2k-1-1.
C = min { RRS mod n, n-(RRS mod n) )
Ceci définit la fonction de signature Gign». Ceci définit la fonction de vérification «Vérif».
2 = Sign( IR ) IR’ = Vérif( C)
ISO/CEI 9796 : 1991 (F)
Annexe B
(informative)
Exemples explicatifs
se rapportant à l’annexe A
La notation hexadécimale est utilisée.
8.1.3 Exemple 1
B.1 Exemples avec l’exposant public trois
Cet exemple explique le remplissa ge, I’exten sion et la
B.1.1 Production des clés
troncature pou r signer un message d e 100 bits.
C BBAA 9988 7766 5544 3322 1100
L’exposant public de vérification est v = 3.
Opération de signature
Les facteurs premiers secrets p et q sont donc tous les
deux congrus à 2 modulo 3.
Après remplissage par quatre zéros à gauche, le message
BA09106C 754EB6FE BBC21 479 9FFl B8DE
P= complété MP est un train de 13 octets. Ainsi, z=13 et r=5.
1 B4CBB7A 7A782B15 7Cl BCI 52 90AlA3AB
MP= OC BBAA9988 77665544 33221100
=
1 6046EB39 E03BEAB6 21 DO3CO8 B8AE6B66
CFF955B6 4B4F48B7 EE152A32 6BF8CB25
Le message étendu ME s’obtient en répétant les 13 octets
...
ISOICEI
NORME
INTERNATIONALE
Première édition
1991-09-15
Technologies de l’information - Techniques de
sécurité - Schéma de signature numérique
rétablissant le message
Information technology - Security techniques - Digital signature
scheme giving message recovery
Numéro de référence
ISCYCEI 9796: 199 1 (F)
ISO/CEI 9796: 1991 (F)
Sommaire
Page
. . .
Avant-propos . III
iv
Introduction .
1 Domaine d’application .
2 Définitions .
3 Symboles et abréviations .
4 Vue générale .
5 Opération de signature .
6 Opération de vérification .
Annexes
A Exemple d’un système à clé publique pour signature numérique . 4
B Exemples explicatifs se rapportant à l’annexe A .
C Quelques précautions prises contre diverses attaques potentielles
se rapportant à l’annexe A . 11
D Bibliographie . 12
0 ISO/CEI 1991
Tous droits réservés. Aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou
mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
ISOKEI Bureau du copyright l Case postale 56 l Cl-i-121 1 Genève 20 l Suisse
Imprimé en France
ii
ISO/CEI 9796: 1991 (F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CEI (Com-
mission électrotechnique internationale) forment le système spécialisé
de normalisation mondiale. Les organismes nationaux membres de
I’ISO ou de la CEI participent au développement de Normes internatio-
nales par l’intermédiaire des comités techniques créés par I’organi-
sation concernée afin de s’occuper des différents domaines particuliers
de l’activité technique. Les comités techniques de I’ISO et de la CEI
collaborent dans des domaines d’intérêt commun. D’autres organi-
sations internationales, gouvernementales ou non gouvernementales,
en liaison avec I’ISO et la CEI participent également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CEI ont
créé un comité technique mixte, I’ISOKEI JTC 1. Les projets de Nor-
mes internationales adoptés par le comité mixte sont soumis aux orga-
nismes nationaux pour vote. Leur publication comme Normes
internationales requiert l’approbation de 75 % au moins des organismes
nationaux votants.
La Norme internationale ISOKEI 9796 a été élaborée par le comité
technique ISOKEI JTC ‘l, TecIwologies de l’information.
Les annexes A, B, C et D sont donnees uniquement à titre d’information.
lSO/CEl 9796: 1991 (F)
Introduction
Une s ignature numérique en écha
nge é lectronique d e l’in for matio n est une
contre
partie d’une signature manue Ile en courrier class #iq ue.
La plupart des schémas de signature numérique sont basés sur un système
particulier à clé publique. Tout système à clé publique comporte trois
opérations de base :
- une production de paires de clés : une clé secrète et une clé publique;
- une opération mettant en œuvre une clé secrète;
- une opération mettant en œuvre une clé publique.
Dans tout schéma de signature numérique à clé publique, la clé secrète est
mise en œuvre dans l’opération de signature pour signer des messages, et la
clé publique est mise en œuvre dans l’opération de vérification pour vérifier
des signatures. Une paire de clés pour un schéma de signature numérique se
compose donc d’une ((clé secrète de signature)) et d’une ((clé publique de
vérification )).
Deux types de schémas de signature numérique ont été clairement identifiés.
- Quand l’opération de vérification exige le message comme élément
d’entrée, le schéma est un ((schéma de signature avec appendice». Une
fonction de hachage est utilisée au cours du calcul de l’appendice.
- Quand l’opération de vérification révèle à la fois le message et sa
redondance spécifique, parfois appelée ((l’ombre du message)), le schéma
est un ((schéma de signature rétablissant le message)).
La présente Norme internationale prescrit un schéma de signature n umé rique
de messages de Ion gueur limitée.
Le présent schéma de signature numérique permet de minimiser les
ressources requises pour vérifiér. II ne fait pas appel à une fonction de hachage
et il évite les attaques connues contre l’algorithme spécifique utilisé.
Le message peut ne pas être formulé en langage naturel. N’importe quel train
de bits de longueur limitée convient. Des exemples de tels messages sont des
éléments de mise à la clé ou le résultat du hachage d’un autre message plus
long, ce qui est encore appelé «l’empreinte d’un message)). Un exemple carac-
téristique est un ensemble structuré de quelques trains de bits provenant de
logiciel et matériel cryptographiques, l’un de ces trains codant une information
de contrôle produite dans le matériel.
NOTE - La présente Norme internationale peut impliquer l’emploi d’éléments brevetés.
ISO/CEI 9796 : 1991 (F)
NORME INTERNATIONALE
Technologies de l’information - Techniques
de sécurité - Schéma de signature numérique
rétablissant le message
1 Domaine d’application 3 Symboles et abréviations
La présente Norme internationale prescrit un schéma de MP Message complété
signature numérique qui rétablit le message quand sa
Message étendu
ME
longueur est limitée et qui utilise un système à clé
publique.
MR Message étendu avec redondance
Le présent schéma de signature numérique comprend IR Entier intermédiaire
- une opération de signature mettant en œuvre une
Signature
c
clé secrète de signature et une fonction de signature
Longueur de la signature en bits
pour signer des messages; ks
- une opération de vérification mettant en œuvre IR’ Entier intermédiaire rétabli
une clé publique de verification et une fonction de
MR‘ Message rétabli avec redondance
vérification pour contrôler des signatures tout en
rétablissant les messages.
MP’ Message complété rétabli
Pendant l’opération de signature, les messages à signer
Sign Fonction de signature sous contrôle de la clé
sont complétés et étendus si nécessaire. Puis on y ajoute
secrète de signature
une redondance artificielle dépendant du message. II n’y a
Vérif Fonction de vérification sous contrôle de la clé
pas d’hypothése sur la présence de redondance naturelle
publique de vérification
dans les messages. L’opération de vérification révèle la
redondance artificielle. En enlevant cette redondance
mod z Calcul arithmétique modulo z
artificielle, on rétablit le message.
Quartet
P
La présente Norme internationale ne spécifie pas I’opé-
Permutation des quartets
n
ration de production des clés, la fonction de signature et
la fonction de vérification. L’annexe A donne un exemple
m Octet
de système à clé publique comprenant une production de
clés, une fonction de signature et une fonction de
S Ombre des octets
vérification. Les différentes étapes de ces opérations sont
XII Y Concaténation des trains de bits X et Y
expliquées par des exemples dans l’annexe B.
X@Y Ou-exclusif des trains de bits X et Y
Certains paramétres du schéma sont liés à la sécurité: la
présente Norme internationale ne prescrit pas les valeurs
à leur donner pour atteindre un niveau donne de sécurité. NOTES
Toutefois, la présente Norme internationale est prescrite
1 Les entiers (et les trains de bits ou d’octets) s’écrivent avec
de façon à limiter les changements entraînés par une
le chiffre (ou le bit ou l’octet) de poids fort à gauche.
éventuelle modification de ces paramètres.
2 La notation hexadécimale avec les chiffres 0 à 9 et A à F est
utilisée dans le tableau 1 et dans l’annexe B.
2 Définitions
4 Vue générale
Pour les besoins de la présente Norme internationale, les
définitions suivantes s’appliquent.
Les deux articles suivants prescrivent
2.1 message: Train de bits de longueur limitée.
- l’opération de signature à l’article 5;
2.2 signature: Train de bits résultant de l’opération de
- l’opération de vérification à l’article 6.
signature.
ISO/CEI 9796 : 1991 (F)
Le nombre z multiplié par seize doit être inférieur ou égal
Chaque entité qui signe doit utiliser et garder secrète sa
au nombre k,+3. Par conséquent, le nombre de bits du
propre clé de signature qui correspond à sa propre clé
message à signer doit être au plus 8 fois le plus grand
publique de vérification.
entier inférieur ou égal à (k,+3)/16.
Les messages à signer doivent être complétés et étendus
si nécessaire. Puis de la redondance y est ajoutée selon 5.2 Extension
des règles prescrites à l’article 5. A partir du message
Le nombre tutilisé par la suite est le plus petit entier .tef
étendu avec redondance, la signature doit être calculée
qu’un train de 2t octets contienne au moins k,-1 bits.
grâce à la clé secrète de signature selon l’article 5.
Le message étendu ME s’obtient en répétant les z octets
Chaque entité qui vérifie devrait connaître et utiliser la clé
de MP autant de fois qu’il le faut, dans l’ordre et chaînés
publique de vérification spécifique à l’entité qui signe. Une
sur la gauche, jusqu’à former un train de t octets.
signature doit être acceptée si et seulement si l’opération
de vérification prescrite à l’article 6 est réussie.
Pour ;Valant de 1 à t et i égal à i-l (mod z) plus un (jvaut
donc de 1 à z), le i-ième octet de ME est égal au j-ième
NOTE - La production et la distribution de clés ne font pas
octet de MP.
l’objet de la présente Norme internationale.
ME= . . . m,II . . . m2 II ml
<- t octets ->
5 Opération de signature NOTE - Le nombre z est inférieur ou égal au nombre t. L’égalité
n’est possible que si k, est congru à 13, 14, 15, 0 ou 1 mod 16.
La figure 1 résume I ‘opération de signature.
5.3 Redondance
Message
Le message étendu avec redondance MR s’obtient en
entrelaçant les t octets de ME en positions impaires et t
octets de redondance en positions paires. Altéré par
l’index r, le quartet de poids faible du 2z-ième octet de MR
code la longueur du message par sa valeur et sa position.
Pour ;Valant de 1 à t,
- le (2i-l)-ième octet de MR est égal au i-ième octet
de ME;
Redondance
I I
- le 2Lième octet de MR est égal à l’image du iième
Troncature et forçage
octet de ME selon l’ombre S prescrite au tableau 1, à
I I
part le 2z-ième octet de MR qui est égal au ou-exclusif
de l’index ravec l’ombre du z-ième octet de ME.
Production de la signature
,
l
MR = . . . S(mJ 0 Al mJI . . . S(m2) II m2 II S(mI) II n?l
< 2 t octets >
NOTE - Le calcul des 2t octets de MR (rn~-~, à mr,) à partir des z
Signature
octets de MP (mp, à mp,) s’effectue en appliquant successive-
Figure 1 - Opération de signature ment les trois formules suivantes pour jvalant de 1 à t.
:= (i-1 mod d+l ; mr2i,l := mpj; mr2,- := S(mp,d
i
NOTE - Une bonne réalisation de l’opération de signature
Enfin, le 2z-ième octet est altéré par l’index r.
devrait protéger physiquement les calculs pour qu’il n’y ait pas
:= r@ mr2,
m2z
d’accès direct à la fonction de signature sous contrôle de la clé
secrète de signature.
5.4 Troncature et forçage
5.1 Remplissage
L’entier intermédiaire IR est codé par un train de I$ bits où
le bit de poids fort vaut 1 et où les ksl bits de poids faible
Le message est un train de bits. Ce train de bits est
sont ceux de MR, à part l’octet de poids faible qui est
complété sur la gauche par 0 à 7 zéros pour obtenir un
remplacé. Si ~2 II ~1 est l’octet de poids faible de Ml?, alors
train de z octets. L’index r utilisé par la suite vaut un de
l’octet de poids faible de IR doit être ~1 II 6.
plus que le nombre de zéros de remplissage. L’index r a
donc une valeur de 1 à 8.
5.5 Production de la signature
Par conséquent, dans le message complét& noté par MP,
les 8z+l -r bits de poids faible sont de l’information.
La signature C est le train de k, bits obtenu en appliquant à
IR la fonction de signature sous contrôle de la clé secrète
MP= m, II rn*l II . . . m2 II ml
de signature.
m, = (r-1 zéros de remplissage) Il (9-r bits d’information) C = Sign( IR)
ISO/CEI 9796 : 1991 (FI
- Permutation net ombre S
Tableau 1
5 6 7 8 9 A B C D E F
P 0 1 2 3 4
/
8 9 4 2 F 0 D B 6 7 A C 1
l7@d E 3 5
I
Si le quartet p comprend les bits a4 a3 a2 al, alors selon la permutation n, son image notée par I~(U) comprend les bits
a4@a2ealel; a4ea3eaI@l; a4@a3ea2@1; a303a2eal.
Si l’octet m comprend les quartets h ccl, alors selon l’ombre S, son image notee par S(m) comprend les quartets nGu2) fl@,).
quatre quartets de poids faible de IR’, alors l’octet de poids
6 Opération de vérification
faible de MR’doit être n-Y& II ~2.
La figure 2 résume l’opération de vérification.
MR’= mzt II rnzt-l II . . . 4 II ml
Signature
NOTE - Les trains MR et MR’ peuvent être différents. Le train
MR’ comprend les ksl bits de poids faible de MR complétés en
poids forts par 0 à 15 zéros.
A partir des 2t octets de MR’, t sommes sont calculées.
Selon l’ombre S prescrite au tableau 1, la I-ième somme
est égale au ou-exclusif du 2kième octet avec l’ombre du
Rétablir le message
(2i-1 )-iéme octet.
\
Oui Non 1
m2j Ci3 S(m2j.-j)
v f
La signature C doit être rejetée quand les t sommes sont
Contrôler la redondance
nulles.
Le nombre z est rétabli par la position de la première
Y
somme non nulle. Le message complété rétabli MP’ est le
Message rétabli
train des z octets de MR’ en positions impaires de poids
(Signature acceptée)
faible.
Figure 2 - Opération de vérification
MP’= ~~1 II rn2M II . . . ~i-1 II . . . Q II ml
L’index r est rétabli par la valeur du quartet de poids faible
6.1 Ouvrir la signature
de la première somme non nulle.
La signature C est transformée en l’entier intermédiaire
La signature C doit être rejetée quand l’index r ne vaut pas
rétabli Wen appliquant à C la fonction de vérification sous
de 1 à 8, et aussi quand les r-l bits de poids fort de MP’
contrôle de la clé publique de vérification.
ne sont pas tous nuls.
IR’ = Vérif( C)
mzzel = (r-l zéros de remplissage) II (9-r bits d’information)
La signature C doit être rejetée quand IR’ n’est pas un
Le message est rétabli par le train des 8z+ 1 -r bits de poids
train de k, bits où le bit de poids fort vaut 1 et où le quartet
faible de MP’.
de poids faible vaut 6.
6.3 Contrôler la redondance
6.2 Rétablir le message
La signature C doit être acceptée si et seulement si les
Le message rétabli avec redondance MR’ est le train de 2t
ksl bits de poids faible de MR’ sont égaux aux ks-1 bits
octets où les l-k, (mod 16) bits de poids forts sont nuls et
de poids faible d’un autre message étendu avec
où les ksl bits de poids faible sont ceux de IR’, h part
redondance calculé à partir du message complété rétabli
l’octet de poids faible qui est remplacé. Selon la permu-
MP’ conformément à 5.2 et 5.3.
tation fl prescrite au tableau 1, si ~4 II ~3 II ~2 II 6 sont les
ISO/CEI 9796 : 1991 (F)
Annexe A
(informative)
Exemple d’un système à clé publique
pour signature numérique
L’exposant public de vérifica tion peut être normalisé dans
A. 1 Définitions
des applications spécifiques.
Module: Entier construit comme le produit de deux
- Les valeurs 2 et 3 peuvent présenter des avantages
NOTE
nombres premiers.
pratiques.
Clé publique de vérification: Module et exposant de
vérification.
A.3.2 Facteurs premiers secrets et module public
Clé secrète de signature: Exposant de signature.
Chaque entité qui signe doit secrètement choisir au hasard
deux nombres premiers impairs distincts p et g respectant
les contraintes suivantes.
A.2 Symboles et abréviations
doivent être
- Si v est impair, alors p-l et q-l
RR Élément représentatif
premiers avec v.
IS Entier résultant
- Si v est pair, alors (p-l)/2 et (q-1 )/2 doivent être
n Module
premiers avec v. De plus, p et g ne doivent pas être
congrus l’un à l’autre modulo 8.
k Longueur du module en bits
Facteurs premiers du module
P8 cl
Le module public n est le produit des facteurs premiers
V Exposant de vérification
secrets p et g.
S Exposant de signature
n=pq
ppcm(a, b) Plus petit commun multiple des entiers a et b
La longueur du module est k. Le nombre k doit valoir k,+l .
Symbole de Jacobi de a par rapport à n
(a1 n)
NOTES
NOTE - Soit n un nombre premier impair, et a un entier positif.
1 Certaines autres contraintes peuvent être prises en compte
La formule suivante définit le symbole de Legendre de l’entier a
dans le choix des nombres premiers de façon à décourager la
par rapport au nombre premier p.
mise en facteurs du module.
(a I p) = a(pi)n mod p
2 Certaines formes du module simplifient la réduction modulo
Quand l’entier a n’est pas un multiple de p, alors le symbole de
tout en utilisant moins de mémoire. Ces formes sont
Legendre de l’entier a par rapport au nombre premier p vaut +l
ou -1 selon que l’entier a est ou n’est pas un carré modulo p.
F ,: n=2 64X-c de longueur * . k = 64x bits
,
x y,
Le symbole de Legendre des multiples de p par rapport au
F = 264x+c de longueur : k = 64x+1 bits,
nombre premier p est nul. x, y, + : n
où : 1 5 y 5 2.x et c < 264x -8y c 2c.
Soit n un entier positif impair, et a un entier positif. Le symbole
Dans les formes négatives, tous les bits des y octets de poids
de Jacobi de l’entier a par rapport à l’entier n est le produit des
fort sont à un, jusqu’à un quart de la longueur du module.
symboles de Legendre de l’entier a par rapport aux facteurs
premiers de n.
Dans les formes positives, après un bit à 1 isolé en poids fort,
Par conséquent, si n = tous les bits des y octets de poids fort sont à zéro, jusqu’à un
p Q, alors (a I n) = (a I pl (a I 4).
quart de la longueur du module.
Le symbole de Jacobi de tout entier a par rapport à tout entier n
peut être efficacement calcule sans les facteurs premiers de n.
A.3.3
Exposant secret de signature
L’exposant secret de signature est le plus petit entier
A.3 Production de clés
soit un multiple d e
positif s tel que sw
A.3.1 Exposant public de vérification
- ppcm(p1, g-1) si v est impair;
Chaque entité qui sig ne doit choisir un entier positif v
- k ppcm@--1 , el) si v est pair.
comme exposant publi c de vérification
ISO/CEI 9796 : 1991 (F)
A.5 Fonction de vérification
A.4 Fonction de signature
La signature C est un entier positif inférieur à n/2 qu’il faut
L’entier intermédiaire IR est un train de k-l bits calculé
élever à la puissance v modulo n pour obtenir l’entier
selon 5.4.
résultant IS.
L’élément représentatif de IR par rapport à n s’appelle RR.
L’entier intermédiaire rétabli IR’ est alors défini par le
- Si v est impair, alors RR vaut IR.
décodage suivant.
- Si v est pair et si (IR I n) = +l, alors RR vaut IR.
- Si IS est congru à 6 mod 16, alors IR’ vaut IS.
- Si v est pair et si (IR I n) = -1, alors RR vaut lR/Z.
- Si n-6 est congru à 6 mod 16, alors IR’vaut n--E.
NOTE - Si v est pa ir, alors le symbole de de RR par
De plus, quand v est pair,
rapport à n est force à +l.
- si IS est congru à 3 mod 8, alors IR’vaut 21s;
II faut élever RR à la puissance s modulo n. La signature C
- si n-E est congru à 3 mod 8, alors IR’vaut 2(MS).
est le résultat ou bien son complément à n, le plus petit
des deux.
La signature C doit être rejetée dans tous les autres cas,
et aussi quand IR’ n’est pas compris entre 2k-2 et 2k-1-1.
C = min { RRS mod n, n-(RRS mod n) )
Ceci définit la fonction de signature Gign». Ceci définit la fonction de vérification «Vérif».
2 = Sign( IR ) IR’ = Vérif( C)
ISO/CEI 9796 : 1991 (F)
Annexe B
(informative)
Exemples explicatifs
se rapportant à l’annexe A
La notation hexadécimale est utilisée.
8.1.3 Exemple 1
B.1 Exemples avec l’exposant public trois
Cet exemple explique le remplissa ge, I’exten sion et la
B.1.1 Production des clés
troncature pou r signer un message d e 100 bits.
C BBAA 9988 7766 5544 3322 1100
L’exposant public de vérification est v = 3.
Opération de signature
Les facteurs premiers secrets p et q sont donc tous les
deux congrus à 2 modulo 3.
Après remplissage par quatre zéros à gauche, le message
BA09106C 754EB6FE BBC21 479 9FFl B8DE
P= complété MP est un train de 13 octets. Ainsi, z=13 et r=5.
1 B4CBB7A 7A782B15 7Cl BCI 52 90AlA3AB
MP= OC BBAA9988 77665544 33221100
=
1 6046EB39 E03BEAB6 21 DO3CO8 B8AE6B66
CFF955B6 4B4F48B7 EE152A32 6BF8CB25
Le message étendu ME s’obtient en répétant les 13 octets
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...