ACE-kryptering

ACE ( Advanced Cryptographic Engine ) er et sæt softwareværktøjer , der implementerer kryptering i den offentlige nøglekrypteringsskematilstand, såvel som i den digitale signaturtilstand. De tilsvarende navne for disse tilstande er "ACE Encrypt" og "ACE Sign". Kredsløbene er implementeringer af Cramer-Shope kredsløbene. Ændringerne har til formål at opnå den bedste balance mellem ydeevne og sikkerhed for hele krypteringssystemet.

Forfattere

Alle algoritmer skrevet i ACE er baseret på algoritmer udviklet af Victor Shoup og Ronald Cramer. Den fulde specifikation af algoritmerne blev skrevet af Victor Shoup. Algoritmerne er implementeret af Thomas Schweinberger og Mehdi Nassehi og vedligeholdt og udviklet af Victor Shope. Thomas Schweinberg bidrog til ACE-specifikationsdokumentet og skrev også brugermanualen.
Ronald Kramer er i øjeblikket ved Aarhus Universitet, Danmark . Han var involveret i arbejde relateret til ACE Encrypt, mens han var på ETH i Zürich , Schweiz .
Maddy Nassey og Thomas Schweinberger arbejdede på ACE-projektet på IBM Research Lab i Zürich, Schweiz, men har nu afsluttet deres ophold der.
Victor Shoup arbejder på IBM Research Lab i Zürich, Schweiz.

Sikkerhed

Beviset for sikkerheden af krypteringsskemaet og det digitale signaturskema i ACE udføres ved brug af rimelige og naturlige antagelser. De fire hovedantagelser er:

Diffie-Hellman antagelse
Stærk RSA-antagelse
Kollisionsmodstand mod det andet præbillede i SHA-1
Pseudo-tilfældighed af MARS adder/tæller-tilstand

Grundlæggende notation og terminologi

Lad os give definitioner af nogle notationer og termer, der bruges i denne artikel.

Grundlæggende matematisk notation

$Z$ er et sæt af heltal. er mængden af endimensionelle polynomier med koefficienter i et endeligt felt med antallet af feltelementer - 2. er et heltal , for hvilket heltal og . er sådan et polynomium med , sådan at ved .
$F_{2}[T]$ $F_{2}$
$Aremn$ ${\displaystyle r\in \left\{0,...,n-1\right\))$ $A\equiv r(modn)$ $n>0$ $A\in Z$
$Aremf$ $r\in F_{2}[T]$ $grader(r)<grad(f)$ $A\equiv r(modf)$ $A,f\in F_{2}[T],f\neq 0$

Grundlæggende strengnotation

$A^{\ast }$ - et sæt af forskellige linjer. er mængden af alle mulige strenge med længden n. For — længden af strengen . Notationen for længden af nul-strengen er . For er resultatet af strengsammenkædning og .
$A^{n}$
$x\in A^{\ast }L(x)$ $x$ $\lambda _{A}$
$x,y\in A^{\ast }$ $x||y$ $x$ $y$

Bits, bytes, ord

$b{\stackrel {\mathrm {def} }{=}}\left\{0,1\right\}$ - mange stykker.
Overvej sæt af formularen . For et sådant sæt A definerer vi nul-elementet: $b,b^{n_{1}},(b^{n_{1}})^{n_{2}},...$

$0_{b}{\stackrel {\mathrm {def} }{=}}0\in b$ ; for .
$0_{A^{n}}{\stackrel {\mathrm {def} }{=}}(0_{A},...,0_{A})\in A^{n}$ $n>0$

Lad os definere det som et sæt bytes, men som et sæt ord. $B{\stackrel {\mathrm {def} }{=}}b^{8}$ $W{\stackrel {\mathrm {def} }{=}}b^{32}$

For med og vi definerer påfyldningsoperatøren: $x\in A^{\ast }$ ${\displaystyle A\in \left\{b,B,W\right\))$ $l>0$

$pad_{l}(x){\stackrel {\mathrm {def} }{=}}{\begin{cases}x,&L(x)\geq l\\x||0_{A^{lL (x)}},&L(x)<l\end{cases}}$ .

Konverteringsoperator

Konverteringsoperatoren udfører konverteringer mellem elementer . $I_{src}^{dst}:src\rightarrow dst$ ${\displaystyle Z,F_{2}[T],b^{\ast },B^{\ast},W^{\ast ))$

Krypteringsskema

Krypteringsnøglepar

ACE-krypteringsskemaet bruger to typer nøgler:
ACE offentlig nøgle: . ACE privat nøgle: . For en given størrelsesparameter , således at , er nøglekomponenterne defineret som følger: — 256-bit primtal. er en m-bit prime, sådan at . er elementer (hvis multiplikativ orden modulo dividerer ). - elementer . er elementer for hvilke og , hvor og . $(P,q,g_{1},g_{2},c,d,h_{1},h_{2},k_{1},k_{2})$
$(w,x,y,z_{1},z_{2})$
$m$ $1024\leq m\leq 16384$
$q$
$P$ $P\equiv 1(modq)$
${\displaystyle g_{1},g_{2},c,d,h_{1},h_{2))$ ${\displaystyle \left\{1,...,P-1\right\))$ $P$ $q$
${\displaystyle w,x,y,z_{1},z_{2))$ ${\displaystyle \left\{0,...,q-1\right\))$
$k_1, k_2$ ${\displaystyle B^{\ast ))$ $L(k_{1})=20l^{\prime }+64$ $L(k_{2})=32\left\lceil l/16\right\rceil +40$ $l=\left\lceil m/8\right\rceil$ $l^{\prime }=L_{b}(\left\lceil (2\left\lceil l/4\right\rceil +4)/16\right\rceil )$

Nøglegenerering

Algoritme. Nøglegenerering til ACE-krypteringsskemaet.
Input: størrelsesparameter , sådan at . Udgang: offentligt/privat nøglepar. $m$ $1024\leq m\leq 16384$

Generer et tilfældigt primtal, således at . $q$ $2^{255}<q<2^{256}$
Generer et tilfældigt primtal , , sådan at . $P$ ${\displaystyle 2^{m-1}<P<2^{m))$ $P\equiv 1(modq)$
Generer et tilfældigt heltal , således at . $g_{1}\in \left\{2,...,P-1\right\}$ $g_{1}^{q}\equiv 1(modP)$
Generer tilfældige heltal og ${\displaystyle w\in \left\{1,...,q-1\right\))$ $x,y,z_{1},z_{2}\in \left\{0,...,q-1\right\}$
Beregn følgende heltal i : ${\displaystyle \left\{1,...,P-1\right\))$
$g_{2}\leftarrow g_{1}^{w}remP$ ,

$c\leftarrow g_{1}^{x}remP$ ,

$d\leftarrow g_{1}^{y}remP$ ,

$h_{1}\leftarrow g_{1}^{z_{1}}remP$ ,

$h_{2}\leftarrow g_{1}^{z_{2}}remP$ .
Generer tilfældige byte-strenge og , hvor og . $k_{1}\in B^{20l^{\prime }+64}$ ${\displaystyle k_{2}\in B^{2\left\lceil l/16\right\rceil +40))$ $l=L_{B}(P)$ $l^{\prime }=L_{B}(\left\lceil (2\left\lceil l/4\right\rceil +4)/16\right\rceil )$
Returner et offentligt/privat nøglepar
$((P,q,g_{1},g_{2},c,d,h_{1},h_{2},k_{1},k_{2}),(w,x,y ,z_{1},z_{2}))$

Ciphertext repræsentation

Chifferteksten i ACE-krypteringsskemaet er

$(s,u_{1},u_{2},v,e)$ ,

hvor komponenterne er defineret som følger: er heltal fra (hvis multiplikativ orden modulo dividerer ). - element . - element . lad os kalde det en præambel og - et kryptogram . Hvis teksten er en streng af bytes, så er længden .
$u_{1},u_{2},v$ ${\displaystyle \left\{1,...,P-1\right\))$ $P$ $q$
$s$ $W^{4}$
$e$ ${\displaystyle B^{\ast ))$
$s,u_{1},u_{2},v$ $e$ $l$ $e$ $l+16\left\lceil l/1024\right\rceil$

Det er nødvendigt at introducere en funktion , der repræsenterer chifferteksten som en byte-streng, såvel som en invers funktion . For heltal , tegnstreng , heltal og bytestreng , $CEncode$ $CDecode$ $l>0$ $s\in W^{4}$ ${\displaystyle 0\leq u_{1},u_{2},v<256^{l))$ ${\displaystyle e\in B^{\ast ))$

$CEncode(l,s,u_{1},u_{2},v,e){\stackrel {\mathrm {def} }{=}}I_{W^{\ast }}^{B^ {\ast }}(s)||pad_{l}(I_{Z}^{B^{\ast }}(u_{1}))||pad_{l}(I_{Z}^{B^ {\ast }}(u_{2}))||pad_{l}(I_{Z}^{B^{\ast }}(v))||e\in B^{\ast }$ .

For en heltalsbytestreng , for hvilken $l>0$ ${\displaystyle \psi \in B^{\ast ))$ $L(\psi )\geq 3l+16$

$CDecode(l,\psi ){\stackrel {\mathrm {def} }{=}}(I_{B^{\ast }}^{W^{\ast}}({\Bigl [}\ psi {\Bigr ]}_{0}^{16}),I_{B^{\ast }}^{Z}({\Bigl [}\psi {\Bigr]}_{16}^{16+ l}),I_{B^{\ast }}^{Z}({\Bigl [}\psi {\Bigr ]}_{16+l}^{16+2l}),I_{B^{\ ast ))^{Z}({\Bigl [}\psi {\Bigr ]}_{16+2l}^{16+3l}),{\Bigl [}\psi {\Bigr ]}_{16+ 3l}^{L(\psi )})\in W^{4}\ gange Z\ gange Z\ gange Z\ gange B^{\ast }$ .

Krypteringsproces

Algoritme. Asymmetrisk ACE-krypteringsproces.
Input: offentlig nøgle og bytestreng . Output: byte streng - chiffertekst hentet fra . $(P,q,g_{1},g_{2},c,d,h_{1},h_{2},k_{1},k_{2})$ $M\in B^{\ast }$
$\psi \$ $M$

Generer tilfældigt . ${\displaystyle r\in \left\{0,...,q-1\right\))$
Generer chiffertekst præamble:
1. Generer . $s\in W^{4}$
2. Beregn ,. _ $u_{1}\leftarrow g_{1}^{r}remP$ $u_{2}\leftarrow g_{2}^{r}remP$
3. Beregn ; bemærk det . $\alpha \ \leftarrow UOWHash^{\prime }(k_{1},L_{B}(P),s,u_{1},u_{2})\in Z$ $0<\alpha \ <2^{160}$
4. Beregn . $v\leftarrow c^{r}d^{\alpha \ r}remP$
Beregn nøglen til den symmetriske krypteringsoperation:
1. ${\tilde {h_{1}}}\leftarrow h_{1}^{r}remP$ , . ${\tilde {h_{2}}}\leftarrow h_{2}^{r}remP$
2. Beregn . $k\leftarrow ESHash(k,L_{B}(P),s,u_{1},u_{2},{\tilde {h_{1))},{\tilde {h_{2)) })\in W^{8}$
Beregn kryptogram . $e\leftarrow SEnc(k,s,1024,M)$
Indkode chiffertekst:
$\psi \ \leftarrow CEncode(L_{B}(P),s,u_{1},u_{2},v,e)$ .
Retur . $\psi \$

Inden den symmetriske krypteringsproces startes, er inputmeddelelsen opdelt i blokke , hvor hver blok, måske undtagen den sidste, har 1024 bytes. Hver blok er krypteret med en stream-chiffer. For hver krypteret blok beregnes en 16-byte godkendelseskode. Vi får et kryptogram $M\in B^{\ast }$ ${\displaystyle M_{1},...,M_{t))$ $E_{i}$

${\displaystyle e=E_{1}||C_{1}||...||E_{t}||C_{t))$ .

$L(e)=L(M)+16\venstre\lceil L(M)/m\right\rceil$ . Bemærk at hvis , så . $L(M)=0$ $L(e)=0$

Algoritme. Symmetrisk ACE-krypteringsproces.
Input: Output: , . $(k,s,M,m)\in W^{8}\times W^{4}\time Z\times B^{\ast }$ $m>0$
${\displaystyle e\in B^{l))$ $l=L(M)+16\venstre\lceil L(N)/m\right\rceil$

Hvis , så vend tilbage . $M=\lambda _{B}$ $\lambda _{B}$
Initialiser pseudo-tilfældig talgeneratoren:

$genState\leftarrow InitGen(k,s)\in GenState$

Generer nøgle : $k_{AXU}AXUHash$

$(k_{AXU},genState)\leftarrow GenWords((5L_{b}(\left\lceil m/64\right\rceil)+24),genState).$ .

$e\leftarrow \lambda _{B},i\leftarrow 0$ .
Indtil videre skal du gøre følgende: $i<L(M)$
1. $r\leftarrow min(L(M)-i,m)$ .
2. Generer maskeværdier til kryptering og MAC:
  1. $(mask_{m},genState)\leftarrow GenWords(4,genState)$ .
  2. $(mask_{e},genState)\leftarrow GenWords(r,genState)$ .
3. Krypter tekst: . ${\displaystyle enc\leftarrow {\Bigl [}M{\Bigr ]}_{i}^{i+r}\oplus mask_{e))$
4. Generer meddelelsesgodkendelseskode:
  1. Hvis , så ; ellers . $i+r=L(M)$ $lastBlock\leftarrow 1$ $lastBlock\leftarrow 0$
  2. $mac\leftarrow AXUHash(k_{AXU},lastBlock,enc)\in W^{4}$ .
5. Opdater chiffertekst: . $e\leftarrow e||enc||I_{W^{\ast }}^{B^{\ast }}(mac\oplus mask_{m})$
6. $i\leftarrow i+r$ .
Retur . $e$

Dekrypteringsproces

Algoritme. ACE-dekrypteringsproces.
Input: offentlig nøgle og tilsvarende privat nøgle , byte streng . Output: Afkodet besked . $(P,q,g_{1},g_{2},c,d,h_{1},h_{2},k_{1},k_{2})$ $(w,x,y,z_{1},z_{2})$ ${\displaystyle \psi \in B^{\ast ))$
$M\in B^{\ast }\cup {Afvis}$

Dekrypter chiffertekst:
1. Hvis , så vend tilbage . $L(\psi )<3L_{B}(P)+16$ $Afvis$
2. Beregn:
  ${\displaystyle (s,u_{1},u_{2},v,e)\venstrepil CDecode(L_{B}(P),\psi )\in W^{4}\ gange Z\ gange Z\ gange Z\ gange B^{\ast ))$ ;
  
  bemærk at , hvor . ${\displaystyle 0\leq u_{1},u_{2},v<256^{l))$ $l=L_{B}(P)$
Valider chiffertekst præamblen:
1. Hvis eller eller , så vend tilbage . $u_{1}\geq P$ $u_{2}\geq P$ $v\geq P$ $Afvis$
2. Hvis , så vend tilbage . $u_{1}^{q}\neq 1remP$ $Afvis$
3. $reject\leftarrow 0$ .
4. Hvis , så . $u_{2}\neq u_{1}^{w}remP$ $reject\leftarrow 1$
5. Beregn ; bemærk det . $\alpha \leftarrow UOWHash^{\prime }(k_{1},L_{B}(P),s,u_{1},u_{2})\in Z$ ${\displaystyle 0\leq \alpha \leq 2^{160))$
6. Hvis , så . $v\neq u_{1}^{x+{\alpha }y}remP$ $reject\leftarrow 1$
7. Hvis , så vend tilbage . $reject=1$ $Afvis$
Beregn nøglen til den symmetriske dekrypteringsproces:
1. ${\tilde {h_{1}}}\leftarrow u_{1}^{z_{1}}remP$ , . ${\tilde {h_{2}}}\leftarrow u_{1}^{z_{2}}remP$
2. Beregn . $k\leftarrow ESHash(k_{2},L_{B}(P),s,u_{1},{\tilde {h_{1))},{\tilde {h_{2))}) \i W^{8}$
Beregn , bemærk, at kan vende tilbage . $M\leftarrow SDec(k,s,1024,e)$ $SDec$ $Afvis$
Retur . $M$

Algoritme. dekrypteringsoperation . Input: Output: Afkodet besked . $SDec$
$(k,s,m,e)\in W^{8}\times W^{4}\time Z\times B^{\ast }$ $m>0$
$M\in B^{\ast }\cup {Afvis}$

Hvis , så vend tilbage . $e=\lambda _{B}$ $\lambda _{B}$
Initialiser pseudo-tilfældig talgeneratoren:
$genState\leftarrow InitGen(k,s)\in GenState$
Generer nøgle : $k_{AXU}AXUHash$
$(k_{AXU},genState^{\prime })\leftarrow GenWords((5L_{b}(\left\lceil m/64\right\rceil )+24),genState).$ .
$M\leftarrow \lambda _{B},i\leftarrow 0$ .
Indtil videre skal du gøre følgende: $i<L(e)$
1. $r\leftarrow min(L(e)-i,m+16)-16$ .
2. Hvis , så vend tilbage . $r\leq 0$ $Afvis$
3. Generer maskeværdier til kryptering og MAC:
  1. $(mask_{m},genState)\leftarrow GenWords(4,genState)$ .
  2. $(mask_{e},genState)\leftarrow GenWords(r,genState)$ .
4. Bekræft meddelelsesgodkendelseskode:
  1. Hvis , så ; ellers . $i+r+16=L(M)$ $lastblock\leftarrow 1$ $lastblock\leftarrow 0$
  2. ${\displaystyle mac\leftarrow AXUHash(k_{AXU},lastBlock,{\Bigl [}e{\Bigr]}_{i}^{i+r})\in W^{4))$ .
  3. Hvis , så vend tilbage . ${\Bigl [}e{\Big ]}r_{i+r}^{i+r+16}\neq I_{W^{\ast }}^{B^{\ast }}(mac \oplus maske_{m})$ $Afvis$
5. Opdateringstekst: . $M\leftarrow M||({\Bigl [}e{\Bigr ]}_{i}^{i+r})\oplus mask_{e})$
6. $i\leftarrow i+r+16$ .
Retur . $M$

Digital signaturordning

Den digitale ACE-signaturordning bruger to typer nøgler:
den offentlige ACE-digitale signaturnøgle: . ACE digital signatur privat nøgle: . For en given størrelsesparameter , således at , er nøglernes komponenter defineret som følger: — et -bit-primtal, for hvilket også er primtal. — -bit primtal for hvilket — også er primtal. — og kan have både og bits. er elementer (kvadratiske rester modulo ). — 161-bit primtal. -element - elementer . - elementer . $(N,h,x,e^{\prime },k^{\prime },s)$
$(p,q,a)$
$m$ $1024\leq m\leq 16384$
$s$ $\left\lfloor m/2\right\rfloor$ $(p-1)/2$
$q$ $\left\lfloor m/2\right\rfloor$ $(q-1)/2$
$N$ $N=pq$ $m$ $m-1$
$h,x$ $\left\{1,...,N-1\right\}$ $N$
${\displaystyle e^{\prime ))$
$-en$ ${\displaystyle \left\{0,...,(p-1)(q-1)/4-1\right\))$
$k^{{\prime }}$ $B^{184}$
$s$ $B^{32}$

Nøglegenerering _

Algoritme. Nøglegenerering til ACEs digitale signaturordning.
Input: størrelsesparameter , sådan at . Udgang: offentligt/privat nøglepar. $m$ $1024\leq m\leq 16384$

Generer tilfældige primtal sådan, at og er også primtal, og $p,q$ $(p-1)/2$ $(q-1)/2$
$2^{m_{1}-1}<p<2^{m_{1}}$ , , og , $2^{m_{2}-1}<q<2^{m_{2}}$ $p\neq q$

hvor
$m_{1}=\venstre\lgulv m/2\højre\rgulv$ og . $m_{1}=\left\lceil m/2\right\rceil$
Sæt . $N\leftarrow pq$
Generer et tilfældigt primtal , hvor . ${\displaystyle e^{\prime ))$ $2^{160}\leq e^{\prime }\leq 2^{161}$
Generer tilfældige , givet og , og beregn . ${\displaystyle h^{\prime }\in \left\{1,...,N-1\right\))$ $gcd(h^{\prime },N)=1$ $gcd(h^{\prime }\pm 1,N)=1$ $h\leftarrow (h^{\prime })^{-2}remN$
Generer tilfældigt og beregn . $a\in \left\{0,...,(p-1)(q-1)/4-1\right\}$ $x\leftarrow h^{a}remN$
Generer tilfældige byte-strenge , og . $k^{\prime }\in B^{184}$ $s\in B^{32}$
Returner et offentligt nøgle/privat nøglepar
$((N,h,x,e^{\prime },k^{\prime },s),(p,q,a))$ .

Præsentation af signaturen

Signaturen i ACEs digitale signaturskema har formen , hvor komponenterne er defineret som følger: — element . er et heltal sådan, at . - elementer . er ; bemærk at , hvor er beskeden, der skal underskrives. $(d,w,y,y^{\prime },{\tilde {k)))$
$d$ $B^{64}$
$w$ $2^{160}\leq w\leq 2^{161}$
${\displaystyle y,y^{\prime ))$ $\left\{1,...,N-1\right\}$
${\tilde {k))$ ${\displaystyle B^{\ast ))$ $L({\tilde {k)))=64+20L_{B}(\left\lceil (L(M)+8)/64\right\rceil )$ $M$

Du skal introducere en funktion , der repræsenterer signaturen som en byte-streng, såvel som en invers funktion . For heltal , byte streng , heltal og , og byte streng , $SEncode$ $SDecode$ $l>0$ $d\in B^{64}$ $0\leq w\leq 256^{21}$ ${\displaystyle 0\leq y,y^{\prime }<256^{l))$ ${\tilde {k}}\in B^{\ast }$

$SEncode(l,d,w,y,y^{\prime },{\tilde {k))){\stackrel {\mathrm {def} }{=}}d||pad_{21}( I_{Z}^{B^{\ast }}(w))||pad_{l}(I_{Z}^{B^{\ast }}(y))||pad_{l}(I_{ Z}^{B^{\ast }}(y^{\prime }))||{\tilde {k}}\in B^{\ast }$ .

For en heltalsbytestreng , for hvilken $l>0$ $\sigma \in B^{\ast }$ $L(\sigma )\geq 2l+53$

$CSecode(l,\sigma ){\stackrel {\mathrm {def} }{=}}({\Bigl [}\sigma {\Bigr ]}_{0}^{64},I_{B^ {\ast }}^{Z}({\Bigl [}\sigma {\Bigr ]}_{64}^{85}),I_{B^{\ast }}^{Z}({\Bigl [ }\sigma {\Bigr ]}_{85}^{85+l}),I_{B^{\ast }}^{Z}({\Bigl [}\sigma {\Bigr]}_{85+ l}^{85+2l}),{\Bigl [}\sigma {\Bigr]}_{85+2l}^{L(\sigma )})\in B^{64}\ gange Z\ gange Z \time Z\time B^{\ast }$ .

Signaturgenereringsproces

Algoritme. Generering af ACE digital signatur.
Input: offentlig nøgle og tilsvarende privat nøgle og bytestreng , . Output: byte streng - digital signatur . $(N,h,x,e^{\prime },k^{\prime },s)$ $(p,q,a)$ $M\in B^{\ast }$ ${\displaystyle 0\leq L(M)\leq 2^{64))$
$\sigma \in B^{\ast }$

Udfør følgende handlinger for at hashe inputdata:
1. Generer tilfældig hash-nøgle sådan, at . ${\tilde {k}}\in B^{20m+64}$ $m=L_{b}(\left\lceil (L(M)+8)/64\right\rceil )$
2. Beregn . $m_{h}\leftarrow I_{W^{\ast }}^{Z}(UOWHash^{\prime \prime}({\tilde {k)),M))$
Vælg en tilfældig , og beregn . ${\tilde {y}}\in \left\{1,...,N-1\right\}$ $y^{\prime }\leftarrow {\tilde {y}}^{2}remN$
Beregn . $x^{\prime }\leftarrow (y^{\prime })^{r^{\prime }}h^{m_{h}}remN$
Generer et tilfældigt primtal , og dets validering : . Gentag dette trin indtil . $e$ $2^{160}\leq e\leq 2^{161}$ $(w,d)$ $(e,w,d)\leftarrow GenCertPrime(s)$ ${\displaystyle e\neq e^{\prime ))$
Sæt ; bemærk det . $r\leftarrow UOWHash^{\prime \prime \prime }(k^{\prime },L_{B}(N),x^{\prime },{\tilde {k)))\i Z$ $0\leq r<2^{160}$
Beregn hvor $y\leftarrow h^{b}remN$
$b\leftarrow e^{-1}(ar)rem(p^{\prime }q^{\prime })$ ,

og hvor og . $p^{\prime }=(p-1)/2$ $q^{\prime }=(q-1)/2$
Indkode signatur:
$\sigma \leftarrow SEncode(L_{B}(N),d,w,y,y^{\prime },{\tilde {k)))$ .

Noter

ACE-kryptering og digitale signaturordninger bruger nogle hjælpefunktioner (såsom for eksempel UOWHash, ESHash og andre), hvis beskrivelse ligger uden for denne artikels omfang. Flere detaljer om disse funktioner kan findes i [1] .

Implementering, anvendelse og ydeevne

ACE-krypteringsskemaet anbefales af NESSIE-projektet (New European Schemes for Signatures, Integrity and Encryption) som et asymmetrisk krypteringsskema. Pressemeddelelsen er dateret februar 2003.
Begge skemaer blev implementeret i ANSI C ved hjælp af GNU GMP-pakken. Testene blev udført på to platforme: Power PC 604 model 43P under AIX-system og 266 MHz Pentium under Windows NT-system. Tabeller med indikatorer er angivet nedenfor:
Tabel 1. Tid brugt på grundlæggende operationer.

	Power pc		Pentium
	Operand størrelse (bytes)		Operand størrelse (bytes)
	512	1024	512	1024
Multiplikation	3,5 * 10^(-5) sek	1,0 * 10^(-4) sek	4,5 * 10^(-5) sek	1,4 * 10^(-4) sek
Kvadrering	3,3 * 10^(-5) sek	1,0 * 10^(-4) sek	4,4 * 10^(-5) sek	1,4 * 10^(-4) sek
Potentiering	1,9 * 10^(-2) sek	1,2 * 10^(-1) sek	2,6 * 10^(-2) sek	1,7 * 10^(-1) sek

Tabel 2. Ydelse af kryptering og digitale signaturordninger.

	Power pc		Pentium
	Faste omkostninger (msec)	Mbps	Faste omkostninger (msec)	Mbps
Kryptering	160	atten	230	16
Dekryptering	68	atten	97	fjorten
Underskrift	48	64	62	52
Signatur (indledende indstilling)	29		41
Verifikation	52	65	73	53

Litteratur

↑ ACE: The Advanced Cryptographic Engine, T. Schweinberger og V. Shoup, manuskript 2000 . Dato for adgang: 17. december 2010. Arkiveret fra originalen den 28. juli 2011. (ubestemt)