Interested Article - ACE Encrypt

ACE ( Advanced Cryptographic Engine ) — набор программных средств, реализующих шифрование в режиме схемы шифрования с открытым ключом, а также в режиме цифровой подписи. Соответствующие названия этих режимов — «ACE Encrypt» и «ACE Sign». Схемы являются вариантами реализации схем Крамера-Шоупа. Внесённые изменения нацелены на достижение наилучшего баланса между производительностью и безопасностью всей системы шифрования.

Авторы

Все алгоритмы , написанные в ACE, основаны на алгоритмах, разработанных (Victor Shoup) и Рональдом Крамером (Ronald Cramer). Полная спецификация алгоритмов написана Виктором Шоупом. Реализация алгоритмов выполнена Томасом Швейнбергером(Thomas Schweinberger) и Медди Нассей (Mehdi Nassehi), их поддержкой и развитием занимается Виктор Шоуп. Томас Швейнберг принимал участие в составлении документа спецификаций ACE, а также написал руководство пользователя.
Рональд Крамер в настоящее время находится в университете Орхуса, Дания . Он принимал участие в работе, относящейся к ACE Encrypt пока находился в ETH в Цюрихе , Швейцария .
Медди Нассей и Томасом Швейнбергер работали над проектом ACE в исследовательской лаборатории IBM в Цюрихе, Швейцария, но в настоящее время закончили своё пребывание там.
Виктор Шоуп работает в исследовательской лаборатории IBM в Цюрихе, Швейцария.

Безопасность

Доказательство безопасности схемы шифрования и схемы цифровой подписи в ACE проводится с использованием обоснованных и естественных допущений. Четырьмя основными допущениями являются:

Допущение Диффи-Хеллмана
Сильное допущение RSA
Стойкость к коллизиям на второй прообраз в SHA-1
Псевдо-случайность режима сумматора/счётчика MARS

Основные обозначения и терминология

Приведём определения некоторых обозначений и терминов, используемых в данной статье.

Основные математические обозначения

$Z$ — множество целых чисел.
$F_{2}[T]$ — множество одномерных полиномов с коэффициентами в конечном поле $F_{2}$ с числом элементов поля — 2.
$Aremn$ — такое целое число $r\in \left\{0,...,n-1\right\}$ , для которого $A\equiv r(modn)$ при целом $n>0$ и $A\in Z$ .
$Aremf$ — такой полином $r\in F_{2}[T]$ с $deg(r)<deg(f)$ , такой что $A\equiv r(modf)$ при $A,f\in F_{2}[T],f\neq 0$ .

Основные строковые обозначения

$A^{\ast }$ — множество всевозможных строк.
$A^{n}$ — множество всевозможных строк длины n.
Для $x\in A^{\ast }L(x)$ — длина строки $x$ . Обозначения для длины нулевой строки — $\lambda _{A}$ .
Для $x,y\in A^{\ast }$ $x||y$ — результат конкатенации строк $x$ и $y$ .

Биты, байты, слова

$b{\stackrel {\mathrm {def} }{=}}\left\{0,1\right\}$ — множество битов.
Рассмотрим множества вида $b,b^{n_{1}},(b^{n_{1}})^{n_{2}},...$ . Для такого множества A определим нулевой элемент:

$0_{b}{\stackrel {\mathrm {def} }{=}}0\in b$ ;
$0_{A^{n}}{\stackrel {\mathrm {def} }{=}}(0_{A},...,0_{A})\in A^{n}$ для $n>0$ .

Определим $B{\stackrel {\mathrm {def} }{=}}b^{8}$ как множество байтов, а $W{\stackrel {\mathrm {def} }{=}}b^{32}$ как множество слов.

Для $x\in A^{\ast }$ с $A\in \left\{b,B,W\right\}$ и $l>0$ определим оператор заполнения:

$pad_{l}(x){\stackrel {\mathrm {def} }{=}}{\begin{cases}x,&L(x)\geq l\\x||0_{A^{l-L(x)}},&L(x)<l\end{cases}}$ .

Оператор преобразования

Оператор преобразования $I_{src}^{dst}:src\rightarrow dst$ выполняет преобразования между элементами $Z,F_{2}[T],b^{\ast },B^{\ast },W^{\ast }$ .

Схема шифрования

Пара ключей шифрования

В схеме шифрования ACE задействованы два типа ключей:
открытый ключ ACE: $(P,q,g_{1},g_{2},c,d,h_{1},h_{2},k_{1},k_{2})$ .
закрытый ключ ACE: $(w,x,y,z_{1},z_{2})$ .
Для заданного параметра размера $m$ , такого что $1024\leq m\leq 16384$ , компоненты ключей определяются следующим образом:
$q$ — 256-битное простое число.
$P$ — m-битное простое число, такое что $P\equiv 1(modq)$ .
$g_{1},g_{2},c,d,h_{1},h_{2}$ — элементы $\left\{1,...,P-1\right\}$ (чей мультипликативный порядок по модулю $P$ делит $q$ ).
$w,x,y,z_{1},z_{2}$ — элементы $\left\{0,...,q-1\right\}$ .
$k_{1},k_{2}$ — элементы $B^{\ast }$ , для которых $L(k_{1})=20l^{\prime }+64$ и $L(k_{2})=32\left\lceil l/16\right\rceil +40$ , где $l=\left\lceil m/8\right\rceil$ и $l^{\prime }=L_{b}(\left\lceil (2\left\lceil l/4\right\rceil +4)/16\right\rceil )$ .

Генерация ключа

Алгоритм. Генерация ключа для схемы шифрования ACE.
Вход: параметра размера $m$ , такой что $1024\leq m\leq 16384$ .
Выход: пара открытый/закрытый ключ.

Сгенерировать случайное простое число $q$ , такое что $2^{255}<q<2^{256}$ .
Сгенерировать случайное простое число $P$ , $2^{m-1}<P<2^{m}$ , такое что $P\equiv 1(modq)$ .
Сгенерировать случайное целое число $g_{1}\in \left\{2,...,P-1\right\}$ , такое что $g_{1}^{q}\equiv 1(modP)$ .
Сгенерировать случайные целые числа $w\in \left\{1,...,q-1\right\}$ и $x,y,z_{1},z_{2}\in \left\{0,...,q-1\right\}$
Вычислить следующие целые числа в $\left\{1,...,P-1\right\}$ :

$g_{2}\leftarrow g_{1}^{w}remP$ ,

$c\leftarrow g_{1}^{x}remP$ ,

$d\leftarrow g_{1}^{y}remP$ ,

$h_{1}\leftarrow g_{1}^{z_{1}}remP$ ,

$h_{2}\leftarrow g_{1}^{z_{2}}remP$ .
Сгенерировать случайные байтовые строки $k_{1}\in B^{20l^{\prime }+64}$ и $k_{2}\in B^{2\left\lceil l/16\right\rceil +40}$ , где $l=L_{B}(P)$ и $l^{\prime }=L_{B}(\left\lceil (2\left\lceil l/4\right\rceil +4)/16\right\rceil )$ .
Вернуть пару открытый/закрытый ключ

$((P,q,g_{1},g_{2},c,d,h_{1},h_{2},k_{1},k_{2}),(w,x,y,z_{1},z_{2}))$

Представление шифротекста

Шифротекст в схеме шифрования ACE имеет вид

$(s,u_{1},u_{2},v,e)$ ,

где компоненты определяются следующим образом:
$u_{1},u_{2},v$ — целые числа из $\left\{1,...,P-1\right\}$ (чей мультипликативный порядок по модулю $P$ делит $q$ ).
$s$ — элемент $W^{4}$ .
$e$ — элемент $B^{\ast }$ .
$s,u_{1},u_{2},v$ назовём преамбулой , а $e$ — криптограммой . Если текст — строка из $l$ байт, то тогда длина $e$ равна $l+16\left\lceil l/1024\right\rceil$ .

Необходимо ввести функцию $CEncode$ , которая представляет шифротекст в виде байтовой строки, а также обратную функцию $CDecode$ . Для целого $l>0$ , символьной строки $s\in W^{4}$ , целых $0\leq u_{1},u_{2},v<256^{l}$ , и байтовой строки $e\in B^{\ast }$ ,

$CEncode(l,s,u_{1},u_{2},v,e){\stackrel {\mathrm {def} }{=}}I_{W^{\ast }}^{B^{\ast }}(s)||pad_{l}(I_{Z}^{B^{\ast }}(u_{1}))||pad_{l}(I_{Z}^{B^{\ast }}(u_{2}))||pad_{l}(I_{Z}^{B^{\ast }}(v))||e\in B^{\ast }$ .

Для целого $l>0$ , байтовой строки $\psi \in B^{\ast }$ , для которой $L(\psi )\geq 3l+16$ ,

$CDecode(l,\psi ){\stackrel {\mathrm {def} }{=}}(I_{B^{\ast }}^{W^{\ast }}({\Bigl [}\psi {\Bigr ]}_{0}^{16}),I_{B^{\ast }}^{Z}({\Bigl [}\psi {\Bigr ]}_{16}^{16+l}),I_{B^{\ast }}^{Z}({\Bigl [}\psi {\Bigr ]}_{16+l}^{16+2l}),I_{B^{\ast }}^{Z}({\Bigl [}\psi {\Bigr ]}_{16+2l}^{16+3l}),{\Bigl [}\psi {\Bigr ]}_{16+3l}^{L(\psi )})\in W^{4}\times Z\times Z\times Z\times B^{\ast }$ .

Процесс шифрования

Алгоритм. Асимметричный процесс шифрования ACE.
Вход: открытый ключ $(P,q,g_{1},g_{2},c,d,h_{1},h_{2},k_{1},k_{2})$ и байтовая строка $M\in B^{\ast }$ .
Выход: байтовая строка — шифротекст $\psi \$ , полученный из $M$ .

Сгенерировать случайное $r\in \left\{0,...,q-1\right\}$ .
Сгенерировать преамбулу шифротекста:
1. Сгенерировать $s\in W^{4}$ .
2. Вычислить $u_{1}\leftarrow g_{1}^{r}remP$ , $u_{2}\leftarrow g_{2}^{r}remP$ .
3. Вычислить $\alpha \ \leftarrow UOWHash^{\prime }(k_{1},L_{B}(P),s,u_{1},u_{2})\in Z$ ; заметим, что $0<\alpha \ <2^{160}$ .
4. Вычислить $v\leftarrow c^{r}d^{\alpha \ r}remP$ .
Вычислить ключ для операции симметричного шифрования:
1. ${\tilde {h_{1}}}\leftarrow h_{1}^{r}remP$ , ${\tilde {h_{2}}}\leftarrow h_{2}^{r}remP$ .
2. Вычислить $k\leftarrow ESHash(k,L_{B}(P),s,u_{1},u_{2},{\tilde {h_{1}}},{\tilde {h_{2}}})\in W^{8}$ .
Вычислить криптограмму $e\leftarrow SEnc(k,s,1024,M)$ .
Закодировать шифротекст:

$\psi \ \leftarrow CEncode(L_{B}(P),s,u_{1},u_{2},v,e)$ .
Вернуть $\psi \$ .

Перед запуском процесса симметричного шифрования входное сообщение $M\in B^{\ast }$ разбивается на блоки $M_{1},...,M_{t}$ , где каждый блок кроме, возможно, последнего имеет 1024 байт. Каждый блок шифруется потоковым шифратором. Для каждого зашифрованного блока $E_{i}$ вычисляется 16-байтовый код аутентификации. Получаем криптограмму

$e=E_{1}||C_{1}||...||E_{t}||C_{t}$ .

$L(e)=L(M)+16\left\lceil L(M)/m\right\rceil$ . Заметим, что если $L(M)=0$ , то $L(e)=0$ .

Алгоритм. Симметричный процесс шифрования ACE.
Вход: $(k,s,M,m)\in W^{8}\times W^{4}\times Z\times B^{\ast }$ $m>0$
Выход: $e\in B^{l}$ , $l=L(M)+16\left\lceil L(N)/m\right\rceil$ .

Если $M=\lambda _{B}$ , тогда вернуть $\lambda _{B}$ .
Проинициализировать генератор псевдо-случайных чисел:

$genState\leftarrow InitGen(k,s)\in GenState$

Сгенерировать ключ $k_{AXU}AXUHash$ :

$(k_{AXU},genState)\leftarrow GenWords((5L_{b}(\left\lceil m/64\right\rceil )+24),genState).$ .

$e\leftarrow \lambda _{B},i\leftarrow 0$ .
Пока $i<L(M)$ $i<L(M)$ , выполнять следующее:
1. $r\leftarrow min(L(M)-i,m)$ .
2. Сгенерировать значения масок для шифрования и MAC:
  1. $(mask_{m},genState)\leftarrow GenWords(4,genState)$ .
  2. $(mask_{e},genState)\leftarrow GenWords(r,genState)$ .
3. Зашифровать текст: $enc\leftarrow {\Bigl [}M{\Bigr ]}_{i}^{i+r}\oplus mask_{e}$ .
4. Сгенерировать аутентификационный код сообщения:
  1. Если $i+r=L(M)$ , тогда $lastBlock\leftarrow 1$ ; иначе $lastBlock\leftarrow 0$ .
  2. $mac\leftarrow AXUHash(k_{AXU},lastBlock,enc)\in W^{4}$ .
5. Обновить шифротекст: $e\leftarrow e||enc||I_{W^{\ast }}^{B^{\ast }}(mac\oplus mask_{m})$ .
6. $i\leftarrow i+r$ .
Вернуть $e$ .

Процесс дешифрования

Алгоритм. Процесс дешифрования ACE.
Вход: открытый ключ $(P,q,g_{1},g_{2},c,d,h_{1},h_{2},k_{1},k_{2})$ и соответствующий закрытый ключ $(w,x,y,z_{1},z_{2})$ , байтовая строка $\psi \in B^{\ast }$ .
Выход: Расшифрованное сообщение $M\in B^{\ast }\cup {Reject}$ .

Дешифровать шифротекст:
1. Если $L(\psi )<3L_{B}(P)+16$ , тогда вернуть $Reject$ .
2. Вычислить:
  
  $(s,u_{1},u_{2},v,e)\leftarrow CDecode(L_{B}(P),\psi )\in W^{4}\times Z\times Z\times Z\times B^{\ast }$ ;
  
  заметим, что $0\leq u_{1},u_{2},v<256^{l}$ , где $l=L_{B}(P)$ .
Подтвердить преамбулу шифротекста:
1. Если $u_{1}\geq P$ или $u_{2}\geq P$ или $v\geq P$ , тогда вернуть $Reject$ .
2. Если $u_{1}^{q}\neq 1remP$ , тогда вернуть $Reject$ .
3. $reject\leftarrow 0$ .
4. Если $u_{2}\neq u_{1}^{w}remP$ , тогда $reject\leftarrow 1$ .
5. Вычислить $\alpha \leftarrow UOWHash^{\prime }(k_{1},L_{B}(P),s,u_{1},u_{2})\in Z$ ; заметим, что $0\leq \alpha \leq 2^{160}$ .
6. Если $v\neq u_{1}^{x+{\alpha }y}remP$ , тогда $reject\leftarrow 1$ .
7. Если $reject=1$ , тогда вернуть $Reject$ .
Вычислить ключ для процесс симметричного дешифрования:
1. ${\tilde {h_{1}}}\leftarrow u_{1}^{z_{1}}remP$ , ${\tilde {h_{2}}}\leftarrow u_{1}^{z_{2}}remP$ .
2. Вычислить $k\leftarrow ESHash(k_{2},L_{B}(P),s,u_{1},{\tilde {h_{1}}},{\tilde {h_{2}}})\in W^{8}$ .
Вычислить $M\leftarrow SDec(k,s,1024,e)$ ;заметим, что $SDec$ может вернуть $Reject$ .
Вернуть $M$ .

Алгоритм. Операция дешифрования $SDec$ .
Вход: $(k,s,m,e)\in W^{8}\times W^{4}\times Z\times B^{\ast }$ $m>0$
Выход: Расшифрованное сообщение $M\in B^{\ast }\cup {Reject}$ .

Если $e=\lambda _{B}$ , тогда вернуть $\lambda _{B}$ .
Проинициализировать генератор псевдо-случайных чисел:

$genState\leftarrow InitGen(k,s)\in GenState$
Сгенерировать ключ $k_{AXU}AXUHash$ :

$(k_{AXU},genState^{\prime })\leftarrow GenWords((5L_{b}(\left\lceil m/64\right\rceil )+24),genState).$ .
$M\leftarrow \lambda _{B},i\leftarrow 0$ .
Пока $i<L(e)$ $i<L(e)$ , выполнять следующее:
1. $r\leftarrow min(L(e)-i,m+16)-16$ .
2. Если $r\leq 0$ , тогда вернуть $Reject$ .
3. Сгенерировать значения масок для шифрования и MAC:
  1. $(mask_{m},genState)\leftarrow GenWords(4,genState)$ .
  2. $(mask_{e},genState)\leftarrow GenWords(r,genState)$ .
4. Подтвердить аутентификационный код сообщения:
  1. Если $i+r+16=L(M)$ , тогда $lastblock\leftarrow 1$ ; иначе $lastblock\leftarrow 0$ .
  2. $mac\leftarrow AXUHash(k_{AXU},lastBlock,{\Bigl [}e{\Bigr ]}_{i}^{i+r})\in W^{4}$ .
  3. Если ${\Bigl [}e{\Big ]}r_{i+r}^{i+r+16}\neq I_{W^{\ast }}^{B^{\ast }}(mac\oplus mask_{m})$ , тогда вернуть $Reject$ .
5. Обновить текст: $M\leftarrow M||({\Bigl [}e{\Bigr ]}_{i}^{i+r})\oplus mask_{e})$ .
6. $i\leftarrow i+r+16$ .
Вернуть $M$ .

Схема цифровой подписи

В схеме цифровой подписи ACE задействованы два типа ключей:
открытый ключ цифровой подписи ACE: $(N,h,x,e^{\prime },k^{\prime },s)$ .
закрытый ключ цифровой подписи ACE: $(p,q,a)$ .
Для заданного параметра размера $m$ , такого что $1024\leq m\leq 16384$ , компоненты ключей определяются следующим образом:
$p$ — $\left\lfloor m/2\right\rfloor$ -битное простое число, для которого $(p-1)/2$ — тоже простое.
$q$ — $\left\lfloor m/2\right\rfloor$ -битное простое число, для которого $(q-1)/2$ — тоже простое.
$N$ — $N=pq$ и может иметь как $m$ , так и $m-1$ бит.
$h,x$ — элементы $\left\{1,...,N-1\right\}$ (квадратичные остатки по модулю $N$ ).
$e^{\prime }$ — 161-битное простое число.
$a$ — элемент $\left\{0,...,(p-1)(q-1)/4-1\right\}$
$k^{\prime }$ — элементы $B^{184}$ .
$s$ — элементы $B^{32}$ .

Генерация ключа

Алгоритм. Генерация ключа для схемы цифровой подписи ACE.
Вход: параметра размера $m$ , такой что $1024\leq m\leq 16384$ .
Выход: пара открытый/закрытый ключ.

Сгенерировать случайные простые числа $p,q$ , такие что $(p-1)/2$ и $(q-1)/2$ — тоже простые, и

$2^{m_{1}-1}<p<2^{m_{1}}$ , $2^{m_{2}-1}<q<2^{m_{2}}$ , и $p\neq q$ ,

где

$m_{1}=\left\lfloor m/2\right\rfloor$ и $m_{1}=\left\lceil m/2\right\rceil$ .
Положить $N\leftarrow pq$ .
Сгенерировать случайное простое число $e^{\prime }$ , где $2^{160}\leq e^{\prime }\leq 2^{161}$ .
Сгенерировать случайное $h^{\prime }\in \left\{1,...,N-1\right\}$ , при условии $gcd(h^{\prime },N)=1$ и $gcd(h^{\prime }\pm 1,N)=1$ , и вычислить $h\leftarrow (h^{\prime })^{-2}remN$ .
Сгенерировать случайное $a\in \left\{0,...,(p-1)(q-1)/4-1\right\}$ и вычислить $x\leftarrow h^{a}remN$ .
Сгенерировать случайные байтовые строки $k^{\prime }\in B^{184}$ , и $s\in B^{32}$ .
Вернуть пару открытый ключ/закрытый ключ

$((N,h,x,e^{\prime },k^{\prime },s),(p,q,a))$ .

Представление подписи

Подпись в схеме цифровой подписи ACE имеет вид $(d,w,y,y^{\prime },{\tilde {k}})$ , где компоненты определяются следующим образом:
$d$ — элемент $B^{64}$ .
$w$ — целое число, такое что $2^{160}\leq w\leq 2^{161}$ .
$y,y^{\prime }$ — элементы $\left\{1,...,N-1\right\}$ .
${\tilde {k}}$ — элемент $B^{\ast }$ ;заметим, что $L({\tilde {k}})=64+20L_{B}(\left\lceil (L(M)+8)/64\right\rceil )$ , где $M$ — подписываемое сообщение.

Необходимо ввести функцию $SEncode$ , которая представляет подпись в виде байтовой строки, а также обратную функцию $SDecode$ . Для целого $l>0$ , байтовой строки $d\in B^{64}$ , целых $0\leq w\leq 256^{21}$ и $0\leq y,y^{\prime }<256^{l}$ , и байтовой строки ${\tilde {k}}\in B^{\ast }$ ,

$SEncode(l,d,w,y,y^{\prime },{\tilde {k}}){\stackrel {\mathrm {def} }{=}}d||pad_{21}(I_{Z}^{B^{\ast }}(w))||pad_{l}(I_{Z}^{B^{\ast }}(y))||pad_{l}(I_{Z}^{B^{\ast }}(y^{\prime }))||{\tilde {k}}\in B^{\ast }$ .

Для целого $l>0$ , байтовой строки $\sigma \in B^{\ast }$ , для которой $L(\sigma )\geq 2l+53$ ,

$CSecode(l,\sigma ){\stackrel {\mathrm {def} }{=}}({\Bigl [}\sigma {\Bigr ]}_{0}^{64},I_{B^{\ast }}^{Z}({\Bigl [}\sigma {\Bigr ]}_{64}^{85}),I_{B^{\ast }}^{Z}({\Bigl [}\sigma {\Bigr ]}_{85}^{85+l}),I_{B^{\ast }}^{Z}({\Bigl [}\sigma {\Bigr ]}_{85+l}^{85+2l}),{\Bigl [}\sigma {\Bigr ]}_{85+2l}^{L(\sigma )})\in B^{64}\times Z\times Z\times Z\times B^{\ast }$ .

Процесс генерирования подписи

Алгоритм. Генерирование цифровой подписи ACE.
Вход: открытый ключ $(N,h,x,e^{\prime },k^{\prime },s)$ и соответствующий закрытый ключ $(p,q,a)$ и байтовая строка $M\in B^{\ast }$ , $0\leq L(M)\leq 2^{64}$ .
Выход: байтовая строка — цифровая подпись $\sigma \in B^{\ast }$ .

Произвести следующие действия для хеширования входных данных:
1. Сгенерировать случайно ключ хеша ${\tilde {k}}\in B^{20m+64}$ , такой что $m=L_{b}(\left\lceil (L(M)+8)/64\right\rceil )$ .
2. Вычислить $m_{h}\leftarrow I_{W^{\ast }}^{Z}(UOWHash^{\prime \prime }({\tilde {k}},M))$ .
Выбрать случайное ${\tilde {y}}\in \left\{1,...,N-1\right\}$ , и вычислить $y^{\prime }\leftarrow {\tilde {y}}^{2}remN$ .
Вычислить $x^{\prime }\leftarrow (y^{\prime })^{r^{\prime }}h^{m_{h}}remN$ .
Сгенерировать случайное простое число $e$ , $2^{160}\leq e\leq 2^{161}$ , и его подтверждение корректности $(w,d)$ : $(e,w,d)\leftarrow GenCertPrime(s)$ . Повторять этот шаг до тех пор, когда $e\neq e^{\prime }$ .
Положить $r\leftarrow UOWHash^{\prime \prime \prime }(k^{\prime },L_{B}(N),x^{\prime },{\tilde {k}})\in Z$ ; заметим, что $0\leq r<2^{160}$ .
Вычислить $y\leftarrow h^{b}remN$ , где

$b\leftarrow e^{-1}(a-r)rem(p^{\prime }q^{\prime })$ ,

и где $p^{\prime }=(p-1)/2$ и $q^{\prime }=(q-1)/2$ .
Закодировать подпись:

$\sigma \leftarrow SEncode(L_{B}(N),d,w,y,y^{\prime },{\tilde {k}})$ .

Замечания

В схемах шифрования и цифровой подписи ACE используются некоторые вспомогательные функции(такие как, например, UOWHash,ESHash и другие), описание которых выходит за рамки данной статьи. Подробнее о данных функциях можно найти в .

Реализация, применение и производительность

Схема шифрования ACE рекомендована проектом NESSIE (New European Schemes for Signatures, Integrity and Encryption) как асимметричная схема шифрования. Пресс-релиз датирован февралем 2003.
Обе схемы были реализованы в ANSI C, с использованием пакета GNU GMP. Тесты были проведены на двух платформах: Power PC 604 model 43P под системой AIX и 266 MHz Pentium под системой Windows NT. Таблицы показателей приведены ниже:
Таблица 1. Временные затраты на базовые операции.

	Power PC		Pentium
	Размер операнда(байт)		Размер операнда(байт)
	512	1024	512	1024
Умножение	3.5 * 10^(-5) сек	1.0 * 10^(-4) сек	4.5 * 10^(-5) сек	1.4 * 10^(-4) сек
Возведение в квадрат	3.3 * 10^(-5) сек	1.0 * 10^(-4) сек	4.4 * 10^(-5) сек	1.4 * 10^(-4) сек
Потенцирование	1.9 * 10^(-2) сек	1.2 * 10^(-1) сек	2.6 * 10^(-2) сек	1.7 * 10^(-1) сек

Таблица 2. Производительность схем шифрования и цифровой подписи.

	Power PC		Pentium
	Постоянные затраты (мсек)	МБит/сек	Постоянные затраты (мсек)	МБит/сек
Шифрование	160	18	230	16
Дешифрование	68	18	97	14
Подпись	48	64	62	52
Подпись (начальная установка)	29		41
Верификация	52	65	73	53