Table of Contents. List of Tables List of Figures Foreword by R.L. Rivest. 1 Overview of Cryptography 1

Transcription

1 List of Tables List of Figures Foreword by R.L. Rivest Preface xv xix xxi xxiii 1 Overview of Cryptography Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Information security and cryptography : : : : : : : : : : : : : : : : : : Background on functions : : : : : : : : : : : : : : : : : : : : : : : : : Functions (1-1, one-way, trapdoor one-way) : : : : : : : : : : : : Permutations : : : : : : : : : : : : : : : : : : : : : : : : : : : : Involutions : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Basic terminology and concepts : : : : : : : : : : : : : : : : : : : : : : Symmetric-key encryption : : : : : : : : : : : : : : : : : : : : : : : : Overview of block ciphers and stream ciphers : : : : : : : : : : : Substitution ciphers and transposition ciphers : : : : : : : : : : : Composition of ciphers : : : : : : : : : : : : : : : : : : : : : : Stream ciphers : : : : : : : : : : : : : : : : : : : : : : : : : : : The key space : : : : : : : : : : : : : : : : : : : : : : : : : : : Digital signatures : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Authentication and identification : : : : : : : : : : : : : : : : : : : : : Identification : : : : : : : : : : : : : : : : : : : : : : : : : : : : Data origin authentication : : : : : : : : : : : : : : : : : : : : : Public-key cryptography : : : : : : : : : : : : : : : : : : : : : : : : : Public-key encryption : : : : : : : : : : : : : : : : : : : : : : : The necessity of authentication in public-key systems : : : : : : : Digital signatures from reversible public-key encryption : : : : : : Symmetric-key vs. public-key cryptography : : : : : : : : : : : : Hash functions : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Protocols and mechanisms : : : : : : : : : : : : : : : : : : : : : : : : : Key establishment, management, and certification : : : : : : : : : : : : : Key management through symmetric-key techniques : : : : : : : Key management through public-key techniques : : : : : : : : : : Trusted third parties and public-key certificates : : : : : : : : : : Pseudorandom numbers and sequences : : : : : : : : : : : : : : : : : : Classes of attacks and security models : : : : : : : : : : : : : : : : : : Attacks on encryption schemes : : : : : : : : : : : : : : : : : : Attacks on protocols : : : : : : : : : : : : : : : : : : : : : : : : Models for evaluating security : : : : : : : : : : : : : : : : : : : Perspective for computational security : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : 45 v

2 vi Table of Contents 2 Mathematical Background Probability theory : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Basic definitions : : : : : : : : : : : : : : : : : : : : : : : : : : Conditional probability : : : : : : : : : : : : : : : : : : : : : : Random variables : : : : : : : : : : : : : : : : : : : : : : : : : Binomial distribution : : : : : : : : : : : : : : : : : : : : : : : Birthday attacks : : : : : : : : : : : : : : : : : : : : : : : : : : Random mappings : : : : : : : : : : : : : : : : : : : : : : : : : Information theory : : : : : : : : : : : : : : : : : : : : : : : : : : : : Entropy : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Mutual information : : : : : : : : : : : : : : : : : : : : : : : : Complexity theory : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Basic definitions : : : : : : : : : : : : : : : : : : : : : : : : : : Asymptotic notation : : : : : : : : : : : : : : : : : : : : : : : : Complexity classes : : : : : : : : : : : : : : : : : : : : : : : : : Randomized algorithms : : : : : : : : : : : : : : : : : : : : : : Number theory : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : The integers : : : : : : : : : : : : : : : : : : : : : : : : : : : : Algorithms in Z : : : : : : : : : : : : : : : : : : : : : : : : : : The integers modulo n : : : : : : : : : : : : : : : : : : : : : : : Algorithms in Z n : : : : : : : : : : : : : : : : : : : : : : : : : The Legendre and Jacobi symbols : : : : : : : : : : : : : : : : : Blum integers : : : : : : : : : : : : : : : : : : : : : : : : : : : Abstract algebra : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Groups : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Rings : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Fields : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Polynomial rings : : : : : : : : : : : : : : : : : : : : : : : : : : Vector spaces : : : : : : : : : : : : : : : : : : : : : : : : : : : Finite fields : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Basic properties : : : : : : : : : : : : : : : : : : : : : : : : : : The Euclidean algorithm for polynomials : : : : : : : : : : : : : Arithmetic of polynomials : : : : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : 85 3 Number-Theoretic Reference Problems Introduction and overview : : : : : : : : : : : : : : : : : : : : : : : : : The integer factorization problem : : : : : : : : : : : : : : : : : : : : : Trial division : : : : : : : : : : : : : : : : : : : : : : : : : : : : Pollard s rho factoring algorithm : : : : : : : : : : : : : : : : : : Pollard s p? 1 factoring algorithm : : : : : : : : : : : : : : : : Elliptic curve factoring : : : : : : : : : : : : : : : : : : : : : : : Random square factoring methods : : : : : : : : : : : : : : : : : Quadratic sieve factoring : : : : : : : : : : : : : : : : : : : : : : Number field sieve factoring : : : : : : : : : : : : : : : : : : : : The RSA problem : : : : : : : : : : : : : : : : : : : : : : : : : : : : : The quadratic residuosity problem : : : : : : : : : : : : : : : : : : : : : Computing square roots in Z n : : : : : : : : : : : : : : : : : : : : : : : Case (i): n prime : : : : : : : : : : : : : : : : : : : : : : : : : : Case (ii): n composite : : : : : : : : : : : : : : : : : : : : : : : 101

3 vii 3.6 The discrete logarithm problem : : : : : : : : : : : : : : : : : : : : : : Exhaustive search : : : : : : : : : : : : : : : : : : : : : : : : : Baby-step giant-step algorithm : : : : : : : : : : : : : : : : : : : Pollard s rho algorithm for logarithms : : : : : : : : : : : : : : : Pohlig-Hellman algorithm : : : : : : : : : : : : : : : : : : : : : Index-calculus algorithm : : : : : : : : : : : : : : : : : : : : : : Discrete logarithm problem in subgroups of Z : : : : : : : : : : 113 p 3.7 The Diffie-Hellman problem : : : : : : : : : : : : : : : : : : : : : : : Composite moduli : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Computing individual bits : : : : : : : : : : : : : : : : : : : : : : : : : The discrete logarithm problem in Z p individual bits : : : : : : The RSA problem individual bits : : : : : : : : : : : : : : : : The Rabin problem individual bits : : : : : : : : : : : : : : : The subset sum problem : : : : : : : : : : : : : : : : : : : : : : : : : : The L 3 -lattice basis reduction algorithm : : : : : : : : : : : : : : Solving subset sum problems of low density : : : : : : : : : : : : Simultaneous diophantine approximation : : : : : : : : : : : : : Factoring polynomials over finite fields : : : : : : : : : : : : : : : : : : Square-free factorization : : : : : : : : : : : : : : : : : : : : : : Berlekamp s Q-matrix algorithm : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Public-Key Parameters Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Generating large prime numbers naively : : : : : : : : : : : : : : Distribution of prime numbers : : : : : : : : : : : : : : : : : : : Probabilistic primality tests : : : : : : : : : : : : : : : : : : : : : : : : Fermat s test : : : : : : : : : : : : : : : : : : : : : : : : : : : : Solovay-Strassen test : : : : : : : : : : : : : : : : : : : : : : : Miller-Rabin test : : : : : : : : : : : : : : : : : : : : : : : : : : Comparison: Fermat, Solovay-Strassen, and Miller-Rabin : : : : : (True) Primality tests : : : : : : : : : : : : : : : : : : : : : : : : : : : Testing Mersenne numbers : : : : : : : : : : : : : : : : : : : : : Primality testing using the factorization of n? 1 : : : : : : : : : Jacobi sum test : : : : : : : : : : : : : : : : : : : : : : : : : : : Tests using elliptic curves : : : : : : : : : : : : : : : : : : : : : Prime number generation : : : : : : : : : : : : : : : : : : : : : : : : : Random search for probable primes : : : : : : : : : : : : : : : : Strong primes : : : : : : : : : : : : : : : : : : : : : : : : : : : NIST method for generating DSA primes : : : : : : : : : : : : : Constructive techniques for provable primes : : : : : : : : : : : : Irreducible polynomials over Z p : : : : : : : : : : : : : : : : : : : : : : Irreducible polynomials : : : : : : : : : : : : : : : : : : : : : : Irreducible trinomials : : : : : : : : : : : : : : : : : : : : : : : Primitive polynomials : : : : : : : : : : : : : : : : : : : : : : : Generators and elements of high order : : : : : : : : : : : : : : : : : : Selecting a prime p and generator of Z : : : : : : : : : : : : : : 164 p 4.7 Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : 165

4 viii Table of Contents 5 Pseudorandom Bits and Sequences Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Background and Classification : : : : : : : : : : : : : : : : : : : Random bit generation : : : : : : : : : : : : : : : : : : : : : : : : : : Pseudorandom bit generation : : : : : : : : : : : : : : : : : : : : : : : ANSI X9.17 generator : : : : : : : : : : : : : : : : : : : : : : : FIPS 186 generator : : : : : : : : : : : : : : : : : : : : : : : : : Statistical tests : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : The normal and chi-square distributions : : : : : : : : : : : : : : Hypothesis testing : : : : : : : : : : : : : : : : : : : : : : : : : Golomb s randomness postulates : : : : : : : : : : : : : : : : : : Five basic tests : : : : : : : : : : : : : : : : : : : : : : : : : : : Maurer s universal statistical test : : : : : : : : : : : : : : : : : Cryptographically secure pseudorandom bit generation : : : : : : : : : : RSA pseudorandom bit generator : : : : : : : : : : : : : : : : : Blum-Blum-Shub pseudorandom bit generator : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Stream Ciphers Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Classification : : : : : : : : : : : : : : : : : : : : : : : : : : : Feedback shift registers : : : : : : : : : : : : : : : : : : : : : : : : : : Linear feedback shift registers : : : : : : : : : : : : : : : : : : : Linear complexity : : : : : : : : : : : : : : : : : : : : : : : : : Berlekamp-Massey algorithm : : : : : : : : : : : : : : : : : : : Nonlinear feedback shift registers : : : : : : : : : : : : : : : : : Stream ciphers based on LFSRs : : : : : : : : : : : : : : : : : : : : : : Nonlinear combination generators : : : : : : : : : : : : : : : : : Nonlinear filter generators : : : : : : : : : : : : : : : : : : : : : Clock-controlled generators : : : : : : : : : : : : : : : : : : : : Other stream ciphers : : : : : : : : : : : : : : : : : : : : : : : : : : : : SEAL : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Block Ciphers Introduction and overview : : : : : : : : : : : : : : : : : : : : : : : : : Background and general concepts : : : : : : : : : : : : : : : : : : : : : Introduction to block ciphers : : : : : : : : : : : : : : : : : : : : Modes of operation : : : : : : : : : : : : : : : : : : : : : : : : Exhaustive key search and multiple encryption : : : : : : : : : : Classical ciphers and historical development : : : : : : : : : : : : : : : Transposition ciphers (background) : : : : : : : : : : : : : : : : Substitution ciphers (background) : : : : : : : : : : : : : : : : : Polyalphabetic substitutions and Vigenère ciphers (historical) : : : Polyalphabetic cipher machines and rotors (historical) : : : : : : : Cryptanalysis of classical ciphers (historical) : : : : : : : : : : : DES : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Product ciphers and Feistel ciphers : : : : : : : : : : : : : : : : : DES algorithm : : : : : : : : : : : : : : : : : : : : : : : : : : : DES properties and strength : : : : : : : : : : : : : : : : : : : : 256

5 ix 7.5 FEAL : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : IDEA : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : SAFER, RC5, and other block ciphers : : : : : : : : : : : : : : : : : : : SAFER : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : RC5 : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Other block ciphers : : : : : : : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Public-Key Encryption Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Basic principles : : : : : : : : : : : : : : : : : : : : : : : : : : RSA public-key encryption : : : : : : : : : : : : : : : : : : : : : : : : Description : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Security of RSA : : : : : : : : : : : : : : : : : : : : : : : : : : RSA encryption in practice : : : : : : : : : : : : : : : : : : : : Rabin public-key encryption : : : : : : : : : : : : : : : : : : : : : : : : ElGamal public-key encryption : : : : : : : : : : : : : : : : : : : : : : Basic ElGamal encryption : : : : : : : : : : : : : : : : : : : : : Generalized ElGamal encryption : : : : : : : : : : : : : : : : : : McEliece public-key encryption : : : : : : : : : : : : : : : : : : : : : : Knapsack public-key encryption : : : : : : : : : : : : : : : : : : : : : : Merkle-Hellman knapsack encryption : : : : : : : : : : : : : : : Chor-Rivest knapsack encryption : : : : : : : : : : : : : : : : : Probabilistic public-key encryption : : : : : : : : : : : : : : : : : : : : Goldwasser-Micali probabilistic encryption : : : : : : : : : : : : Blum-Goldwasser probabilistic encryption : : : : : : : : : : : : : Plaintext-aware encryption : : : : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Hash Functions and Data Integrity Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Classification and framework : : : : : : : : : : : : : : : : : : : : : : : General classification : : : : : : : : : : : : : : : : : : : : : : : Basic properties and definitions : : : : : : : : : : : : : : : : : : Hash properties required for specific applications : : : : : : : : : One-way functions and compression functions : : : : : : : : : : : Relationships between properties : : : : : : : : : : : : : : : : : Other hash function properties and applications : : : : : : : : : : Basic constructions and general results : : : : : : : : : : : : : : : : : : General model for iterated hash functions : : : : : : : : : : : : : General constructions and extensions : : : : : : : : : : : : : : : Formatting and initialization details : : : : : : : : : : : : : : : : Security objectives and basic attacks : : : : : : : : : : : : : : : : Bitsizes required for practical security : : : : : : : : : : : : : : : Unkeyed hash functions (MDCs) : : : : : : : : : : : : : : : : : : : : : Hash functions based on block ciphers : : : : : : : : : : : : : : : Customized hash functions based on MD4 : : : : : : : : : : : : : Hash functions based on modular arithmetic : : : : : : : : : : : : Keyed hash functions (MACs) : : : : : : : : : : : : : : : : : : : : : : MACs based on block ciphers : : : : : : : : : : : : : : : : : : : 353

6 x Table of Contents Constructing MACs from MDCs : : : : : : : : : : : : : : : : : : Customized MACs : : : : : : : : : : : : : : : : : : : : : : : : : MACs for stream ciphers : : : : : : : : : : : : : : : : : : : : : Data integrity and message authentication : : : : : : : : : : : : : : : : : Background and definitions : : : : : : : : : : : : : : : : : : : : Non-malicious vs. malicious threats to data integrity : : : : : : : : Data integrity using a MAC alone : : : : : : : : : : : : : : : : : Data integrity using an MDC and an authentic channel : : : : : : Data integrity combined with encryption : : : : : : : : : : : : : : Advanced attacks on hash functions : : : : : : : : : : : : : : : : : : : : Birthday attacks : : : : : : : : : : : : : : : : : : : : : : : : : : Pseudo-collisions and compression function attacks : : : : : : : : Chaining attacks : : : : : : : : : : : : : : : : : : : : : : : : : : Attacks based on properties of underlying cipher : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Identification and Entity Authentication Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Identification objectives and applications : : : : : : : : : : : : : Properties of identification protocols : : : : : : : : : : : : : : : : Passwords (weak authentication) : : : : : : : : : : : : : : : : : : : : : Fixed password schemes: techniques : : : : : : : : : : : : : : : Fixed password schemes: attacks : : : : : : : : : : : : : : : : : Case study UNIX passwords : : : : : : : : : : : : : : : : : : : PINs and passkeys : : : : : : : : : : : : : : : : : : : : : : : : : One-time passwords (towards strong authentication) : : : : : : : : Challenge-response identification (strong authentication) : : : : : : : : : Background on time-variant parameters : : : : : : : : : : : : : : Challenge-response by symmetric-key techniques : : : : : : : : : Challenge-response by public-key techniques : : : : : : : : : : : Customized and zero-knowledge identification protocols : : : : : : : : : Overview of zero-knowledge concepts : : : : : : : : : : : : : : : Feige-Fiat-Shamir identification protocol : : : : : : : : : : : : : GQ identification protocol : : : : : : : : : : : : : : : : : : : : : Schnorr identification protocol : : : : : : : : : : : : : : : : : : : Comparison: Fiat-Shamir, GQ, and Schnorr : : : : : : : : : : : : Attacks on identification protocols : : : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Digital Signatures Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : A framework for digital signature mechanisms : : : : : : : : : : : : : : Basic definitions : : : : : : : : : : : : : : : : : : : : : : : : : : Digital signature schemes with appendix : : : : : : : : : : : : : : Digital signature schemes with message recovery : : : : : : : : : Types of attacks on signature schemes : : : : : : : : : : : : : : : RSA and related signature schemes : : : : : : : : : : : : : : : : : : : : The RSA signature scheme : : : : : : : : : : : : : : : : : : : : Possible attacks on RSA signatures : : : : : : : : : : : : : : : : RSA signatures in practice : : : : : : : : : : : : : : : : : : : : : 435

7 xi The Rabin public-key signature scheme : : : : : : : : : : : : : : ISO/IEC 9796 formatting : : : : : : : : : : : : : : : : : : : : : PKCS #1 formatting : : : : : : : : : : : : : : : : : : : : : : : : Fiat-Shamir signature schemes : : : : : : : : : : : : : : : : : : : : : : Feige-Fiat-Shamir signature scheme : : : : : : : : : : : : : : : : GQ signature scheme : : : : : : : : : : : : : : : : : : : : : : : The DSA and related signature schemes : : : : : : : : : : : : : : : : : : The Digital Signature Algorithm (DSA) : : : : : : : : : : : : : : The ElGamal signature scheme : : : : : : : : : : : : : : : : : : The Schnorr signature scheme : : : : : : : : : : : : : : : : : : : The ElGamal signature scheme with message recovery : : : : : : One-time digital signatures : : : : : : : : : : : : : : : : : : : : : : : : The Rabin one-time signature scheme : : : : : : : : : : : : : : : The Merkle one-time signature scheme : : : : : : : : : : : : : : Authentication trees and one-time signatures : : : : : : : : : : : : The GMR one-time signature scheme : : : : : : : : : : : : : : : Other signature schemes : : : : : : : : : : : : : : : : : : : : : : : : : : Arbitrated digital signatures : : : : : : : : : : : : : : : : : : : : ESIGN : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Signatures with additional functionality : : : : : : : : : : : : : : : : : : Blind signature schemes : : : : : : : : : : : : : : : : : : : : : : Undeniable signature schemes : : : : : : : : : : : : : : : : : : : Fail-stop signature schemes : : : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Key Establishment Protocols Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Classification and framework : : : : : : : : : : : : : : : : : : : : : : : General classification and fundamental concepts : : : : : : : : : : Objectives and properties : : : : : : : : : : : : : : : : : : : : : Assumptions and adversaries in key establishment protocols : : : : Key transport based on symmetric encryption : : : : : : : : : : : : : : : Symmetric key transport and derivation without a server : : : : : Kerberos and related server-based protocols : : : : : : : : : : : : Key agreement based on symmetric techniques : : : : : : : : : : : : : : Key transport based on public-key encryption : : : : : : : : : : : : : : : Key transport using PK encryption without signatures : : : : : : : Protocols combining PK encryption and signatures : : : : : : : : Hybrid key transport protocols using PK encryption : : : : : : : : Key agreement based on asymmetric techniques : : : : : : : : : : : : : Diffie-Hellman and related key agreement protocols : : : : : : : : Implicitly-certified public keys : : : : : : : : : : : : : : : : : : : Diffie-Hellman protocols using implicitly-certified keys : : : : : : Secret sharing : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Simple shared control schemes : : : : : : : : : : : : : : : : : : : Threshold schemes : : : : : : : : : : : : : : : : : : : : : : : : : Generalized secret sharing : : : : : : : : : : : : : : : : : : : : : Conference keying : : : : : : : : : : : : : : : : : : : : : : : : : : : : Analysis of key establishment protocols : : : : : : : : : : : : : : : : : : Attack strategies and classic protocol flaws : : : : : : : : : : : : 530

8 xii Table of Contents Analysis objectives and methods : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Key Management Techniques Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Background and basic concepts : : : : : : : : : : : : : : : : : : : : : : Classifying keys by algorithm type and intended use : : : : : : : : Key management objectives, threats, and policy : : : : : : : : : : Simple key establishment models : : : : : : : : : : : : : : : : : Roles of third parties : : : : : : : : : : : : : : : : : : : : : : : : Tradeoffs among key establishment protocols : : : : : : : : : : : Techniques for distributing confidential keys : : : : : : : : : : : : : : : Key layering and cryptoperiods : : : : : : : : : : : : : : : : : : Key translation centers and symmetric-key certificates : : : : : : : Techniques for distributing public keys : : : : : : : : : : : : : : : : : : Authentication trees : : : : : : : : : : : : : : : : : : : : : : : : Public-key certificates : : : : : : : : : : : : : : : : : : : : : : : Identity-based systems : : : : : : : : : : : : : : : : : : : : : : : Implicitly-certified public keys : : : : : : : : : : : : : : : : : : : Comparison of techniques for distributing public keys : : : : : : : Techniques for controlling key usage : : : : : : : : : : : : : : : : : : : Key separation and constraints on key usage : : : : : : : : : : : : Techniques for controlling use of symmetric keys : : : : : : : : : Key management involving multiple domains : : : : : : : : : : : : : : : Trust between two domains : : : : : : : : : : : : : : : : : : : : Trust models involving multiple certification authorities : : : : : : Certificate distribution and revocation : : : : : : : : : : : : : : : Key life cycle issues : : : : : : : : : : : : : : : : : : : : : : : : : : : : Lifetime protection requirements : : : : : : : : : : : : : : : : : : Key management life cycle : : : : : : : : : : : : : : : : : : : : Advanced trusted third party services : : : : : : : : : : : : : : : : : : : Trusted timestamping service : : : : : : : : : : : : : : : : : : : Non-repudiation and notarization of digital signatures : : : : : : : Key escrow : : : : : : : : : : : : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Efficient Implementation Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Multiple-precision integer arithmetic : : : : : : : : : : : : : : : : : : : Radix representation : : : : : : : : : : : : : : : : : : : : : : : : Addition and subtraction : : : : : : : : : : : : : : : : : : : : : : Multiplication : : : : : : : : : : : : : : : : : : : : : : : : : : : Squaring : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Division : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Multiple-precision modular arithmetic : : : : : : : : : : : : : : : : : : : Classical modular multiplication : : : : : : : : : : : : : : : : : : Montgomery reduction : : : : : : : : : : : : : : : : : : : : : : : Barrett reduction : : : : : : : : : : : : : : : : : : : : : : : : : : Reduction methods for moduli of special form : : : : : : : : : : : Greatest common divisor algorithms : : : : : : : : : : : : : : : : : : : 606

9 xiii Binary gcd algorithm : : : : : : : : : : : : : : : : : : : : : : : : Lehmer s gcd algorithm : : : : : : : : : : : : : : : : : : : : : : Binary extended gcd algorithm : : : : : : : : : : : : : : : : : : : Chinese remainder theorem for integers : : : : : : : : : : : : : : : : : : Residue number systems : : : : : : : : : : : : : : : : : : : : : : Garner s algorithm : : : : : : : : : : : : : : : : : : : : : : : : : Exponentiation : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Techniques for general exponentiation : : : : : : : : : : : : : : : Fixed-exponent exponentiation algorithms : : : : : : : : : : : : : Fixed-base exponentiation algorithms : : : : : : : : : : : : : : : Exponent recoding : : : : : : : : : : : : : : : : : : : : : : : : : : : : Signed-digit representation : : : : : : : : : : : : : : : : : : : : : String-replacement representation : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : Patents and Standards Introduction : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Patents on cryptographic techniques : : : : : : : : : : : : : : : : : : : : Five fundamental patents : : : : : : : : : : : : : : : : : : : : : : Ten prominent patents : : : : : : : : : : : : : : : : : : : : : : : Ten selected patents : : : : : : : : : : : : : : : : : : : : : : : : Ordering and acquiring patents : : : : : : : : : : : : : : : : : : : Cryptographic standards : : : : : : : : : : : : : : : : : : : : : : : : : : International standards cryptographic techniques : : : : : : : : : Banking security standards (ANSI, ISO) : : : : : : : : : : : : : : International security architectures and frameworks : : : : : : : : U.S. government standards (FIPS) : : : : : : : : : : : : : : : : : Internet standards and RFCs : : : : : : : : : : : : : : : : : : : : De facto standards : : : : : : : : : : : : : : : : : : : : : : : : : Ordering and acquiring standards : : : : : : : : : : : : : : : : : Notes and further references : : : : : : : : : : : : : : : : : : : : : : : : 657 A Bibliography of Papers from Selected Cryptographic Forums 663 A.1 Asiacrypt/Auscrypt Proceedings : : : : : : : : : : : : : : : : : : : : : : 663 A.2 Crypto Proceedings : : : : : : : : : : : : : : : : : : : : : : : : : : : : 667 A.3 Eurocrypt Proceedings : : : : : : : : : : : : : : : : : : : : : : : : : : 684 A.4 Fast Software Encryption Proceedings : : : : : : : : : : : : : : : : : : 698 A.5 Journal of Cryptology papers : : : : : : : : : : : : : : : : : : : : : : : 700 References 703 Index 755