Fiat和Naor於 [1]提出了一個廣播加密(Broadcast Encryption)方法,對於n個參與 者的網路當中,此機制保證可以對任何n個參與者的子集合T作廣播,並且除T外的不超 過k個參與者集合起來,也無法得知該廣播的訊息。除此之外,我們定義:對於一個廣 播加密機制,考慮其所有可作廣播的集合T,若聚集除T外的不超過k個參與者,也無法 解密該廣播的訊息,則稱這樣的一個機制為k-resilient。
定義 2.2.1:(k-resilient)
對於一個廣播加密機制,考慮其所有可作廣播的集合T,若聚集除T外的不超過k 個參與者,也無法解密該廣播的訊息,則稱這樣的一個機制為k-resilient。
□
在 Fiat 和 Naor 的廣播加密方法中,於系統初始時,需要一個 TA 來產生並分派金 鑰給所有的參與者,這些金鑰稱作prearranged key,我們簡稱為pre-key。利用這些 pre-key,每個參與者可以廣播(加密過後的訊息)給包含自己的任意數量的參與者,並 且解密任何廣播給包含自己的子集合的訊息。
依不同的密碼學假設,Fiat 和 Naor 首先提出了不同的1-resilient機制。其中各 個1-resilient機制會因為其假設的強弱不同,而需要在各個節點儲存不同的 pre-key 量。如表 1 所示,當不作任何密碼學的假設時,w=n+1,在各個1-resilient機制中,
它需要在各個節點需要儲存最多的 pre-key;當假設單向雜湊函數存在時,w=log n ;當 假設 extracting root modulo composite 很難時,w=1,此時各個節點需要儲存最少的 pre-key。
Fiat 和 Naor 提出了兩個k-resilient機制的廣播加密方法:One Level 機制以及 Multi-Level 機制。兩者都是由1-resilient機制所生成,並且,都需要在每次作安全 廣播時,傳送額外的訊息(1-resilient機制則否)。另外,One Level 機制及 Multi-Level 機制皆是採用了 PHF 的概念,其中 PHF(N;n,m,w)可以用作產生一個滿足w-resilient 的機制。
以下歸納整理此兩種機制於n個參與者,滿足k-resilient時,每個參與者所需要 儲存的 pre-key 量,以及每個參與者為了廣播單一訊息所"實際"需要廣播的訊息量。
表 1 One Level 與 Multi-Level 的比較
所需儲存的 pre-key 量 廣播所需的訊息量 One Level Ο( logk n w⋅ ) Ο( log )k3 n
Multi-Level Ο( log logk k n w⋅ ) Ο( logk2 2klog )n 資料來源:[1]
說明:當不預作任何密碼學假設時,w=n+1;當假設單向雜湊函數存在時,w=log n ;當 假設 Factoring 很難時,w=1。
於本節剩下的部分,我們將簡單介紹One Level機制的運作方式,並且證明其滿足 k-resilient的特性。這裡的介紹是參考自 [1]。
假設我們有一個 PHF(l;n,m,k) F: f1,..., f ,l f :U->{1,…,l m},以及l⋅m個適用於n 個參與者的1-resilient機制:R(i,j),1≤i≤l,1≤j≤m。則以下的建構方式可以產生n 個參與者的k-resilient機制,稱之為 One Level 機制。
對於每一個參與者x U∈ ,我們都給予其在R i f x ,1( , ( ))i ≤i≤l所應獲得的 pre-key。
當要傳送訊息M給一個U的子集合T時,傳送端自行生成亂數字串M1,...,M ,滿足l
1
l i
i= M M
⊕ = 。爾後,對於 1≤i≤l,1≤j≤m,傳送端利用R(i,j)傳送M 給一個擁有特殊i 權限的集合{x∈T f x| ( )i = j}。
則每一個參與者x∈T,都可以獲得M1,...,M ,並且經由 XOR 運算來獲得原始訊息l M。
定理 2.2.2:
以上所述的機制(One Level 機制)為一個k-resilient機制。
證明:
對於所有收集不超過k個參與者且不含T中參與者的集合S來說,我們可以找到一 個在S上具有一對一特性的函式, fi ,1≤i≤l。
在1-resilient機制R i j( , ),1≤ ≤ 中,j m S最多只擁有一個參與者所擁有的 pre-key。故對於R i j( , ),1≤ ≤ ,j m S皆無法得知M 。 i
因此,即使所有的Mi',i' ≠i都被取得,S仍然無法獲得原始的訊息M = ⊕li=1Mi。 Q.E.D.
由以上的討論可知,若R i j 需要每個參與者儲存( , ) w的 pre-key 量,則 One Level 機制需要每個參與者儲存l⋅w的 pre-key 量,並且需要廣播的訊息量為l⋅m⋅ R i j 所需( , ) 傳送的訊息量=l⋅m⋅1=l⋅m。
Fiat 和 Naor 證明了一個機率式的建構 PHF 方式,其中若m=2k2, l=klogn,則
成功建構出 PHF(l;n,m,k)的機率大於等於 1 1 k
−n 。
總結 One Level 機制,它需要每個參與者儲存Ο( logk n w⋅ )的 pre-key 量,需要廣 播的訊息量則為Ο( log )k3 n 。
若想要了解Multi-Level機制的運作過程,請見 [1]。
三 、 ESBM (the Efficient Secure Broadcast Model)
於本章,我們將介紹一個適用在 PHF-based 臨界密碼系統的安全廣播模組:ESBM。
於 3.1 節,我們介紹 ESBM 於 share renewal 時所扮演的作用與角色。在 3.2 以及 3.3 節,我們分別以文字描述與演算法的方式,說明 ESBM 的運作過程。3.4 節,我們針對 ESBM 作安全性分析,而 3.5 節,我們針對 ESBM 作容錯能力分析。其中安全性是指除了 ESBM 找到的 renewable subset 外,沒有其他任何一點能夠解密該 renewable subset 之間傳送的加密訊息;而容錯能力則是試著去找到一個下限,滿足若少於該下限的點發 生錯誤或不存在,則 EBSM 將不會失敗,亦即可傳回一組 renewable subset 及其 common key。