GM∕T 0079-2020 可信计算平台直接匿名证明规范.pdf
《GM∕T 0079-2020 可信计算平台直接匿名证明规范.pdf》由会员分享,可在线阅读,更多相关《GM∕T 0079-2020 可信计算平台直接匿名证明规范.pdf(26页珍藏版)》请在咨信网上搜索。
1、ICS 35.040 CCS L 80 中华人民共和国密码行业标准G/T 0079-2020 可信计算平台直接匿名证明规范Direct anonymous attestation specification for trusted computing platform 2020-12-28发布息伍葡且17.1飞守,-、.1 f.I) , 1、., 阔地币崎唱也31沪if/J涂层蜜真伪2021-07-01实施国家密码管理局发布G/T 0079-2020 目次qLqun-JP07Lqu yl464 1i少少数函助辅与构数结参据线数曲口圆接椭明明证证名名匿匿接接!能口直直件.功接文五伺细细)用义配u
2、mwmw惜他引定缩法名名优势性和与算匿匿吵吵武围范语号码接接AB刘范规术符密直直录录考前1234567附附参GM/T 0079一2020目U昌本文件按照GB/T1.1-2020(标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由密码行业标准化技术委员会提出并归口。本文件起草单位:中国科学院软件研究所、国民技术股份有限公司、清华同方股份有限公司、北京华电卓识信息安全测评技术中心有限公司、兴唐通信科技有限公司。本文件主要起草人:冯登国、秦宇、初晓博、张振峰、冯伟、赵世军、陈小峰、美臻、杨糠、汪丹、刘鑫、郑
3、必可、刘峰、张倩颖、常德显、刘韧、吴秋新、邵健雄、王微谨、杨波、张英骏。G/T 0079-2020 可信计算平台直接匿名证明规范1 范围本文件规定了可信计算平台的直接匿名证明协议的功能、接口和数据结构。本文件适用于可信计算平台直接匿名证明协议应用、匿名证明服务和匿名证明系统研发。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 32918-2016 (所有部分)信息安全技术SM2椭圆曲线公钥密码算法GM/T 0012 可信密码模块接口
4、规范GM/ Z 4001 密码术语3 术语和定义GM/ Z 4001界定的以及下列术语适用于本文件。3. 1 可信密码模块trusted cryptography module; TC 构建可信计算平台的基础硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。3.2 签署密钥endorsement key; EK 可信密码模块内部用于标识自身身份的密钥对,其用途只能用于加解密。根据上下文的不同情境,这个术语可能代表一个密钥对、密钥对中的公钥或者代表密钥对中的私钥。3.3 3.4 3.5 3.6 3.7 TC服务模块TC service module 可信密码模块向应用程序提供服务的
5、软件中间件。直接匿名证明direct anonymous aUestation; DAA 可信计算平台所使用的匿名身份鉴别方案。基于椭圆曲线的直接匿名证明elliptic curve -based direct anonymous aUestation 基于椭圆曲线密码学方案的直接匿名证明方案。证明方prover 直接匿名证明中的证明方,一般包含主机和可信密码模块两个部分。主机host 直接匿名证明中证明方拥有的内嵌可信密码模块的安全主机。GM/T 0079-2020 3.8 凭证颁发方issuer 直接匿名证明中,为可信密码模块颁发凭证的参与方。3.9 验证方verifier 直接匿名证明中
6、,验证远程可信密码模块身份的参与方。4 符号与缩略语4. 1 符号(g丁: g丁生成的循环群。、kJP:椭圆曲线上点P的走倍爪,# ECFI) :ECFI)中点的数目,又称为ECFI)的阶。gERG:从集合G中随机选择元素g。HASH:标准密码杂凑函数。4.2 缩略语2 下列缩略语适用于本文件。TCM:可信密码模块CTrustedCryptography Module) EK:签署密钥CEndorsementKey) TSM:TCM服务模块CTCMService Module) DAA:直接匿名证明CDirectAnonymous Attestation) ECDAA:基于椭圆曲线的直接医名证
7、明CElliptic Curve-based DAA) GM/T 0079-2020 5 密码算法本文件采用国家密码管理主管部门认可的密码算法。6 直接匿名证明功能6.1 概述直接匿名证明用于TCM安全芯片的匿名身份证明。功能模型说明了系统的参与方的构成、作用与目标,以及直接匿名证明的整体流程。功能算法说明了实现模型规定各方所必须执行的原子算法以及有关的参数选择等。6.2 模型6.2.1 系统组成ECDAA系统主要由凭证颁发方CIssuer)、证明方(Prover)和验证方(Verifier)三方面的参与者构成见图1,其中证明方根据ECDAA计算位置不同而分为主机和TCM安全芯片,两者协同计算
8、共同完成了匿名凭证申请和匿名证明过程。I 主机| ;1TCM 1.系统初始化凭证颁发方3.证明图1系统组成和基本流程在ECDAA系统中,凭证颁发方负责初始化ECDAA系统参数,为TCM安全芯片颁发ECDAA凭证,验证TCM安全芯片的身份是否已经被撤销。一般而言,TCM安全芯片的生产厂商可以作为凭证颁发方,对于不同厂商的TCM芯片可以选择不同的ECDAA系统参数。也可以采用一个独立的权威机构充当凭证颁发方,集中式管理TCM匿名凭证。证明方平台是硬件上嵌入TCM安全芯片,支持ECDAA规范的安全PC、笔记本等可信计算平台。证明方平台主要功能是TCM匿名凭证的申请、TCM匿名身份的证明,证明方平台驱
9、动TCM通过执行TCM_ECDAA-Ioin命令和相关主机计算向凭证颁发方请求匿名身份凭证;证明方平台执行TCM_ECDAA_Sign命令和相关主机计算向验证方平台匿名证明TCM数字身份。验证方平台主要是通过验证证明方平台提供的证明数据,认证证明方平台TCM身份,保证证明方平台的确是采用安全芯片TCM作为平台的身份。在验证TCM匿名身份的同时,需要向凭证颁发方请求验证TCM数字身份是否已经被撤销。在ECDAA系统中,TCM安全芯片的匿名身份私钥f只允许保存在TCM芯片内部,不允许被导出。TCM的匿名身份私钥和匿名证明凭证可以存在多个,但是推荐只使用一个匿名身份私钥和凭证。TCM匿名证明过程(包
10、括证明和验证)只有TCM所有者才能执行,并且只有TCM所有者才能够清除不安全的匿名私钥。TCM匿名身份凭证可以保存在芯片外部的主机平台,或者其他存储设备中。3 GM/ T 0079一2020证明方平台的核心计算功能由TCM的TCM_ECDAA_Join和TCM_ECDAA_Sign命令来完成,应当只有较高的权限才能执行这些ECDAA命令。ECDAA命令是非常耗费TCM和主机计算资源的命令,它需要大量的TCM芯片内部资源来完成一系列计算操作。在TCM安全芯片执行ECDAA命令过程中,需要禁止其他TCM命令操作执行。6.2.2 基本流程ECDAA系统各个参与者之间主要通信流程包含如下步骤:a) 系
11、统初始化:设置ECDAA系统的公共参数,生成凭证颁发方用于颁发匿名凭证的公私钥对。b) 凭证颁发:证明方向凭证颁发方申请和获得匿名凭证。c) 证明:证明方利用匿名凭证以及对应私钥创建E岳各证明数据。d) 验证:验证方验证特定消息是由合法TCM正确签名的。唱-6.2.3 安全目标ECDAA系统、接解户的问题是可信计算平台jTCM芯片用户如何向远程验证方证明自身平台的确使用可信密码羔块Y1M,也即是TCM安全芯片如何认证自身的问题。在扒证CM身份的同时,还需要保护平台屠份,去,要求远程验证方无法知道TCM安全芯片确切的身份、无法链接多次TCM会1 ,1 话。为了满服t述废全需求,ECDAA系统需要
12、实现如下安全目标:a) 不i伪 造性:只有配备TCM芯片并依赖f芯片申请了匿名身份凭证飞证明庐才能进行ECDAA,其他任何攻击者都无法伪造EC9AA证明数据。b) 嘻名1啡在TCM呆被攻破的情况下,往意用户通过协议数据无法联得当前TCM的唯一性而识。c) 有可封联性:验证方平台冗法建立两俨ECD升A证明会话间的关联性,也p陡对仔两个不同的z1月会舌,验证方平台无法判定是管来F81L个寸CM。d) 恶;TG;M检测:哥TCM拥有的匿名凭证对应的私钥被泄露后,验证方中可及时发现该类泄露。6.3 算法6.3.1 系统初始化1该算法用于凭证、颁发方主成椭圆曲线系统公开参数和自身持有俏粉、密信息,其输入
13、、输出和算法流程如下:4 a) 输入:安全参数1、凭证颁发方可JE钥灯l。钥公钥走。和凭证颁发方公共参数签名密钥私b) 输出:公共参数g=Cq,b,户,gl,g z ,e,丸,h2,w,H1,Hz,H3,-孔,T 1 , T 2 , T 3 , T U ) ,凭证颁发方对公共参数的签名cre=signkI (issuerSetti昭S)和凭证颁发方秘密信息lS走=r。c) 算法流程:1) 按照直接匿名证明系统参数Cq,a ,b,且lg2)。其中,b和Fq共同定义了椭圆曲线ECFq) ,gI ,g2分别是ECFq )的基点,其阶均为素数户。2) 选择双线性映射运算e:G1XG2G丁。其中乱,G2
14、分别是以gl,g2为生成元的循环群,其阶均为素数户,GT是扩域Fk上以gT为生成元的户阶循环群,走为椭圆曲线的嵌入度。运算e应满足如下性质:一-对于所有的PG1,Q G2,所有的L,m z川满足:eCLP,mQ)=eCP ,Q)IIII; 一一存在PG1,QG2,使得e(凹,mQ)手1G1一一存在一种有效的算法计算eCP,Q)。3) 选择rEnZ;以及hI马乱,h2EnG1 ,计算w =g。GM/T 0079-2020 4) 选择杂凑函数H1Q,l恍Q,1 21、H2Q,16乙、H3Q,l祷G2、H4Q, 1锯Z卢。5) 计算双线性映射Tj二eCgj,g2) 、Tz=eChj,g2)、T3=e
15、C仇,gz)和Tw=eCh2)。6) 计算密码杂凑值Hp=HASHC户)、HJ= HASH Chj)和HkO=HASHC走。 ),根据 Hp、H1和HkO生成TCM_ECDAA_ISSUER数据结构(按附录A定义)的issuerSettings= CH户,Hhl ,H ko ) ,并用走-1对其签名生成cre=signk-;-ICissuerSettings)。7) 输出系统公共参数g川=Cq,b,户,gJ酌,e,丸,仇,HJ,Hz,H3,I-丸, Tj,Tz凡,T w)对公共参数的签名cre= signk-;I CissuerSettings)和秘密信息isk二八6.3.2 系统初始化2该算
16、法用于证明方主机和T输入、输出和算法流程如下:a) b) c) 1) 2) 6.3.3 凭证该算法a) b) 1) 2) 3) 4) 6.3.4 凭证颁发算法2:=CHASHCp) ,HASH 8章)。具体e,然后根据AA_diges-sJ =r J +cfCmod ) ,最后该算法用于凭证颁发方为证明方生成匿名凭证,其输入、输出和算法流程如下:a) 输入:证明方生成的凭证申请comm=CC,c,勺,sr,nT,n/)、凭证颁发方的秘密信息isk=r和公共参数gp走。b) 输出:C部分)匿名凭证CA,x,r)。c) 算法流程:凭证颁发方首先验证n/的值是否是由自己生成且没有重放,随后凭证颁发方
17、验证comm是否有效,验证方式为:计算R=hV hS/ C-c和c;,=HjCg户走,C,R),验证c= H 2 Cc;, , n/ ,nT)。然后随机选择r,x RZ户,计算A= Cg1 C h )1/(r+r) ,将CA,x,)发送给证明方主机。5 G/T 0079-2020 6.3.5 凭证颁发算法3该算法用于证明方存储匿名凭证,其输入、输出和算法流程如下:a) 输入:凭证颁发方为证明方生成的(部分)匿名凭证cre=(A,立,r)、验证所需信息U.T以及公共参数g户走。b) 输出:若匿名凭证有效,则输出有效否则输出无效。c) 算法流程:证明方计算r=r+r (mod川,验证e(A ,wg
18、z ) =e(gIF问,g2)是否成立。如果成立,将re=(A,工,r)可信存储。并输出有效否则输出无效。6.3.6 证明算法该算法用于证明方进行匿名证明,生成匿名证明所需的信息,其输入、输出和算法流程如下:a) 输入:凭证颁发方为证明方生成的匿名凭证cre= (A ,.T , r )、验证所需信息町、待签名的消息m(内含验证方提供的挑战随机数人验证方的基本名的n和公共参数g。b) 输出:证明信息=(B,K,T,c,句,儿,.勺,儿,T)。c) 算法流程:下述步骤1)-5)可以在算法调用前预计算1) TCM随机选择rfERZp,计算并输出R=h;I;2) 主机选择aE主Zp计算T=Ah2; 3
19、) 主机计算b二.T+r(mod户),选择(r.r , r a , r b ) ER Z X Z X Z ,计算R=T-hl,R=T ,R 2 =e (RR ,g 2)R ; 4) 如果bsn=,主机随机选择d?Z卢并计算B=h1d ,K =Fd ,R, =Rd;如果bsn手,主机计算B= e (h 1 , H 3 (bsn ) ) ,K = e (F , H 3 (bs) ,R 1= e (R ,H 3 (bsn) ; 5) 主机计算c,=H,(g户走,B,K,T,R, ,R2),当步骤1)由TCM预计算时;6) 主机向TCM 输入(句,m,bsn), TCM随机选择T?O,l2,计算c=
20、H, (c ,m ,bsn ,rI T ) 以及SI二rf+cf,并输出(c,勺,nT); 7) 主机计算七=r.1十C.T(mod,Sa =几十ca(mod户),s =r +cb (mod) ,并输出证明信息= (B ,K , T ,c SI ,S,. ,s川s,nT)。6.3.7 验证算法该算法用于验证方验证证明方的匿名证明信息,其输入、输出和算法流程如下:a) 输入:公共参数g川、签名的消息、m、验证方的基本名bsn、证明方生成的匿名证明信息=(B,K,T,c,勺,儿,儿,s,nT)。b) 输出:若证明方的匿名证明信息验证通过,则输出有效否则输出无效。c) 算法流程:1) 验证方首先验证
21、SI,S.r,Sas是Z户上的元素,然后验证对于撤消列表上所有的值fK*BI, ; 2) 若bs子丘上且B手e(h, ,H 3 (bsn) ,输出无效3) 验证方首先计算R2=e (T ,gz w一()T ; T I T :l T: ,R , = BJ K -c ,再计算c;,=Ht(gp走,B,K,T,RR2)和c= H , (c ,m ,bsn ,n T) ,如果C手c输出无效否则输出有效。7 直接匿名证明接口7.1 概述TCM安全芯片应提供TCM_ECDAA_Setup、TCM_ECDAA_Join和TCM_ECDAA_Sign三个匿6 G/T 0079-2020 名证明命令支持,分别用
22、于ECDAA证明的凭证颁发过程和匿名证明过程。由于TCM_ECDAA_Join 和TCM_ECDAA_Sign这两个命令的运行将消耗TCM内部的多数资源,因而厂商可选择在它们执行期间禁用其他命令。对于通用的TCM芯片,不同于普通的TCM命令,在同一次凭证颁发会话中的TCM_ECDAAJoin或同一次证明-验证会话中的TCM_ECDAA_Sign将分为多个阶段执行。每个阶段完成一个原子操作,各原子操作合作才能构成完整的直接匿名证明功能。由于每个原子操作只进行少量的运算和存储,多阶段方式一方面可以最大限度地降低TCM的资源需求,另一方面可以缩短匿名证明过程独占TCM的时间,减小对于用户使用TCM的
23、影响。鉴于原子操作之间中断有可能使得TCM内部存储的公共参数发生变化,所以应在各执行阶段中检查公共参数的一致性。TCM芯片匿名证明实现上可以选择支持多个并行的匿名证明会话或仅支持单个匿名证明会话。如果仅支持单个匿名证明会话,则新调用的TCM_ECDAA_Setup命令将清除TCM内部原有的匿名证明数据结构。TCM必须验证公共参数的合法性。公共参数必须由合法的凭证颁发方签名,否则敌手可能选择特殊的公共参数来与TCM执行ECDAA协议,进而获取TCM的秘密值f的部分信息。本章规范了TCM匿名证明接口以及主要的内部运行流程,除下文规定的步骤之外,还应进行其他必要的运算和检查。例如,应检查通用参数(t
24、ag、paramSize、ordinal)和授权相关参数,详见表1、表2、表4、表5、表7、表8,并在发现错误的情况下按照普通TCM命令的相关规则予以处理。具体参数格式按GM/T0012的规定执行。7.2 TC_ECDAA_Setup命令7.2.1 接口输入参数定义接口输入参数定义TCM_ECDAA_Setup命令只能由TCM所有者向安全芯片TCM发起,命令执行前,TCM所有者需先执行TCM的授权会话功能,TCM分配相应授权会话句柄和序列号并返回给TCM所有者,然后TCM所有者才能按照表1所规范的命令格式执行TCM_ECDAA_Setup命令。表1规范了TCM_ECDAA_Setup命令接口的
25、输入参数。表1TC_ECDAA_Setup命令接口输入参数序号长度/字节类型名称说明1 2 TCM TAG Tag 命令类型标识2 4 UINT32 paramSize 输入参数的总长度(字节数)3 4 TCM COMMAND CODE ordinal 命令码4 4 TCM_HANDLE handle 匿名证明会话句柄5 BYTE Stage 命令执行阶段6 4 UINT32 inputSizeO l叩utDataO的长度(字节数)7 BYTE inputDataO 输入参数O8 4 UINT32 inputSize1 inputDatal的长度(字节数)9 BYTE inputData1 输
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GMT 0079-2020 可信计算平台直接匿名证明规范 GM 0079 2020 可信 计算 平台 直接 匿名 证明 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。