計畫編號 NSC 95-2221-E-011-019 計畫名稱 電子文件長期安全探討(2/2) 出國人員姓名
服務機關及職稱 吳宗成(台灣科技大學資訊管理系教授)
會議時間地點 時間:2006 年 12 月 3 日~7 日 地點:中國上海 會議名稱 ASIACRYPT 2006
發表論文題目
一、 參加會議經過
(一) 緣由
亞 洲 密 碼學 會 議 (ASIACRYPT , 每 年十 二月 舉 辦 ,簡 稱 亞 密 )與 美 洲 密碼 會 議 (CRYPTO,每年八月舉辦,簡稱美密)、及歐洲密碼學國際會議(EUROCRYPT,每年五 月 舉 辦 , 簡 稱 歐 密 ) 並 列 三 大 國 際 密 碼 會 議 , 是 由 國 際 密 碼 研 究 學 會 (International Association for Cryptologic Research,IACR)所主辦的三大國際密碼會議。亞密每年在亞 洲各國輪流主辦,是在亞洲地區舉辦中
密碼學相關研究水準最高的會議。
亞密的主辦國是由 ASC(Asiacrypt Steering Committee)會員國代表投票決定,隨後舉 辦前必須向 IACR 理事會報告核備主辦國及地點、大會主席、議程主席等,並由 IACR 理事會對議程主席做最後確認。由於 IACR 非常重視論文評選過程與論文品質,故對議 程主席特別要求需具有該領域及在國際上有傑出表現的學者才能擔任,且基於培養新人 之理念,IACR 規定議程主席之人選只能擔任一次。
本屆(第十二屆)的亞密會議 Asiacrypt’06於中國上海市富豪環球東亞酒店(Regal International East Asia Hotel)舉行,會議日期為 12 月 3 日至 12 月 7 日,由上海交通大學 計算機科學系主辦,中國科學院、中國密碼學會、及中國自然科學基金會等單位資助。
大會主席為斐定一教授,議程主席為來學嘉教授,議程委員共 31 位(來自 18 個不同的 國家),我國由成大電機系賴溪松教授應邀擔任議程委員。由於亞密為全世界公認密碼學 領域水準最高且最重要的國際會議之一,故本次會議投稿論文篇總數為 314 篇(來自 39 個國家或地區),被接受的論文數目為 30 篇(錄取率為 9.5%),每篇論文至少由 3 位審 查委員評審,因此所發表的論文皆極具重要的研究價值與影響力。
本次會議開幕時,中國教育部副部長 Qidi Wu 也利用傳真稿發表他的歡迎致辭。他 表示,目前大陸已有一億參佰萬的網路使用者,是全球第二大的網路人口,而中國在密 碼方面的研究超過 25 年歷史,對世界密碼研究和資訊安全也做出重大貢獻,例如:蕭國 鎮和 Massey 的 stream cipher 理論、來學嘉發展出來的 IDEA 加密法、及王小雲對 MD5 和 SHA-1 的安全分析等。此次是亞密第二次在中國舉辦,相信它能提昇大陸境內對於密
作交流,以促進資訊安全的發展。
(二) 出席 ASC 會議
ASC 會議於 12 月 4 日 22:00 開始在富豪環球東亞酒店由 ASC 主席韓國 Kwangjo Kim 教授主持,IACR 由 Tom Berson 和 Arjen Lenstra 代表 IACR 列席指導,參加人員有我 國、日本、韓國、印度、馬來西亞、紐西蘭、澳洲、中國、新加坡等九國代表,共約 18 人與會,我國由成大賴溪松教授及台科大吳宗成教授(中華民國資訊安全學會理事長)
代表與會。會議首先由本屆亞密會議主席斐定一教授介紹 Asiacrypt 2006 的辦理狀況。斐 教授表示,本屆會議註冊參加人數為 176 人(含學生人數 50 人) ,其中大陸人員有 46 人,
從海外到大陸的人員有 130 人。2007 年亞密會議大會主席將由來自馬來西亞的 Raphael Phan 擔任,該屆會議也獲得沙巴旅遊局全力贊助。2008 年的亞密會議原本預定由新加坡 主辦,但是新加坡建議的議程主席名單經 IACR 並未被審核接受,經過討論後,新加坡 將不主辦 Asiacrypt 2008 年的會議。本次會議經過討論後,由來自澳洲墨爾本大學的 Lynn Batten 教授擔任議程主席,所以 Asiacrypt 2008 年確定在澳洲墨爾本舉辦。經討論後,
Asiacrypt 2009 大會建議由日本主動提案,應該會在日本舉辦。另外,大家似乎亦有達成 默契與共識,未來亞洲地區每個國家每九年主辦一次。由於我國已在 2003 年舉辦亞密,
故可能在 2012 年有機會再次主辦。
與會 ASC 委員針對主辦國所提出人選與 IACR 理事會的決定人選產生衝突時,亦交 換一些意見,但 IACR 代表表示需一段時間後才能決定,故在本次會議中並無具體結論。
(三) IACR 的傑出講座
IACR 每年均對密碼研究具有貢獻的學者,頒給一個傑出講座,並請得獎者分別在三 大會議中(亞密、美密及歐密)報告。今年傑出講座由丹麥 Arhus University 的 Ivan Damgard 教授獲得,發表講座主題為 “ThePast,Presentand FutureofMultiparty Computation” 。 Damgard 首先針對多方計算(Multiparty Computation)的已知理論結果做一些回顧,接著檢 視多方計算現在與未來在實務上的應用,例如廣播加密等,他也說明為何 MPC 在一些應 用上為何發展那麼慢的可能原因。最後他以實際參與過多方計算的計畫與協定,提出一 些具體的例子及未來發展建議。
(四) 大會邀請演講
我國主辦 2003 年亞密會議時,邀請到 Adi Shamir 教授發表專題演講,當時演講講題 為“Stream Ciphers:Dead orAlive”。今年 Adi Shamir 再次應邀在亞密發表專題演講,講題 為“Random Graphsin Cryptography”。Shamir 認為,很多密碼學的程序是可以利用隨機圖 (random graph)加以模型化,藉著隨機圖分析的有效演算法,將可以用來加速一般化的密 碼分析,包括分析串流加密器的週期性結構(the cycle structure of stream ciphers)、發現雜 湊函數的碰撞(the discovery of collisions in hash functions)、塊狀密碼器的時間/記憶體平衡 的應用(the application of time/memory tradeoffs to block ciphers)等,甚至可應用到 Pollard’s rho 分解因數的方法(the factorization ofnumbersby Pollard’srho method)。密碼學和隨機 圖的介面是一個非常吸引人的主題,且已被研究很多年。可惜的是,在隨機圖上的演算 技巧,不是未被發表,就是在密碼學的領域未被知道。在此演講中, Shamir 很完整的對
隨機圖之循環偵測的演算法及利用圖形涵蓋(cover)技術的反向演算法,這些演算法在密
所接受的 30 篇論文,分成 10 個場次(session)發表。每個場次之主題與主持人(session chair)分別如下:
會 議 中 的 第 一 篇 論 文 “Finding SHA-1 Characteristics: General Results and Applications”得到最佳論文獎,此篇論文主要的貢獻是找到一個比較有效率碰撞的攻擊 方法,並找到了二個 blocks 碰撞對於 64-step SHA 新的特性,目前世界找的到的只有
國家 投稿篇數 國家 投稿篇數 國家 投稿篇數
Canada 4 Nigeria 3 Austria 2
USA 40 Denmark 1 Egypt 2
Brasil 1 UK 5 Israel 4
Switzerland 8 France 14 Turkey 1 Netherlands 6 Sweden 2 Iran 5 Luxenburg 1 German 7 Israel 4 Belgium 8 Poland 1 Saudi Arabia 1 Spain 2 Macedonia 1 Ethiopia 2 Potugal 2 Czech 2 Malaysia 3 Singapore 5 China 93 Japan 23
Pakistn 1 Russia 3 Korea 35 India 5 Hongkong 2 Taiwan 6 Indonesia 1 Australia 14 New Zealand 1
Finland 2
主題 主持人 主題 主持人
Attacks on Hash Functions
Arjen K. Lenstra Biometrics and ECC Computation
Tanja Lange Stream Ciphers and
Boolean Functions
Henri Gilbert ID based schemes Rei
Safavi-Naini Public-Key Schemes Chi Sung Laih Construction of Hash
Function
Yvo G.
Desmedt RSA and
Factorization
Kwangjo Kim Protocols Serge Vaudenay Block Ciphers Raphael C.W.
Phan
Signatures David Pointcheval
56-step 而已。
由於國內學者對於 ID based schemes、Public-Key Schemes、RSA and Factorization、
Protocols 、Signatures 等場次之相關研究主題,投入較多的心力,並有許多的研究成果 被提出,但較少利用標準安全驗證模型去驗證相關方法的安全性。因此,以下分別摘錄 說明這些場次所發表之論文所提出的論點與貢獻:
ID based schemes Session
HIBE with Short Public Parameters without Random Oracle,作者為 Sanjit Chatterjee、
Palash Sarkar。於 2005 年的歐洲密碼學會議(Eurocrypt 2005)中,Waters 提出以身分基底 (identity based encryption, IBE)的加密協定,且可在不需 random oracle 安全證驗模型中 證明所提出的方法是安全的。在此篇論文中,作者除將 Waters 所提出的身分基底加密 方法協定至推廣到階層式身分基底加密協定(hierarchical IBE),並證明其所提出的方法 同樣不需 random oracle 安全證驗模型仍是安全的。在效率上,本篇論文所提出的方法,
可以減少公開的參數。
Forward-Secure and Searchable Broadcast Encryption with Short Ciphertexts and Private Keys,作者為 Nuttapong Attrapadung、Jun Furukawa、Hideki Imai。本篇論文提出一個階 層式廣播加密方法(Hierarchical Identity- Coupling Broadcast Encryption, HICBE),利用 前推安全(forward-security)和關鍵字搜尋(keyword-searchability)特性,使得所提出的公開 金鑰廣播加密方法可有效的抵抗共謀攻擊。作者所提出的前推式安全廣播加密法主要的 特色在於,廣播加密的密文長度與使用者之私鑰長度皆較少,且這兩者與受系統使用者 人數成獨立的線性關係。本篇論文兩個最重要貢獻是,其一當固定密文長度時,使用者 私鑰的個數為 O(log2T);其二是當密有長度為非固定長度時,密文和使用者私鑰的長度 皆為 O(logT),其中,T 是整個協定可執行的總時間長度。本篇所提出的方法還有另一 個重要的特色,就是每次廣播時,可廣播給任意集合的使用者,因此很適用於動態式 (dynamic)網路環境。
On the Generic Construction of Identity-Based Signatures with Additional Properties,作者為 David Galindo、Javier Herranz、Eike Kiltz。於 2004 年的歐洲密碼學會議(Eurocrypt 2004) 中,Bellare 等學者已證明出以身分為基底的簽章機制能建構在任何以公開金鑰為基礎的 簽章機制中。在本論文中,作者證明以身分為基底的簽章機制亦可推廣到各種應用式的 簽章機制中,例如,代理簽章(proxy signature)、(部分地)盲簽章(blind signature)、可驗 證的加密簽章(verifiably encrypted signature)、不可否認簽章(undeniable signature)、前推 式安全簽章(forward-secure signature)、金鑰絕緣體制簽章(key insulated signature)、線上/
離線簽章(online/offline signature)、門檻式簽章(threshold signature)以及(有限的)聚合簽章 (aggregate signature),並且可在不需要雙線性或是一般的假設中,證明身分基底簽章其 在標準驗證模型下是安全的。
Public-Key schemes session
On the Provable Security of an Efficient RSA-Based Pseudorandom Generator,作者為 Ron
在近 25 年間已被廣泛的討論與研究,然而,這些研究中,最有效且可證明安全的方法 中,也僅能使 RSA 擬亂數列產生器反元數的複雜度接近 O(log n)位元,其中 n 為輸出值 之位元數。但是,這樣的運算效能還是難以應用在實務上。為了使 RSA 的模運算效能 更合乎實務的應用,本篇論文提出一個新的方法,使得運算複雜度降至(n)位元/乘法,
並利用 Fischlin 和 Schnorr 的方法,證明其所提出的方法所產生的擬亂數列是安全的。
On the Security of OAEP,作者為 Alexandra Boldyreva、Marc Fischlin。本篇論文主要是 出 OAEP 安全的證明模型,作者利用部份證明(partial instantiations)方法來證明 OAEP 的 安全性。在此方法中,利用函數家族(function family)的限制將兩個 random oracle 模型中 其中一個應用到 OAEP 中,並證明 OAEP 的方法是安全的。本篇論文為第一個提供
“non-trivial”安全結果,關於在標準架構下完全限制(fully instantiated)的 OAEP 可同時 限制兩種 random oracle 安全驗證模型。
Relationship Between Standard Model Plaintext Awareness and Message Hiding,作者為 Isamu Teranishi、Wakaha Ogata。近年來,Bellare 與 Palacio 已成功地定義在標準驗證模 型下之明文察覺(plaintext awareness),即“PA2”,並提出完全的(perfect)、統計的 (statistical)與計算的(computational)等三種 PA2 標準驗證模型準則。在本篇論文中,作者 主要是研究 PA2 標準驗證模型與在選擇密文攻擊下之難以區別性(Indistinguishability
Relationship Between Standard Model Plaintext Awareness and Message Hiding,作者為 Isamu Teranishi、Wakaha Ogata。近年來,Bellare 與 Palacio 已成功地定義在標準驗證模 型下之明文察覺(plaintext awareness),即“PA2”,並提出完全的(perfect)、統計的 (statistical)與計算的(computational)等三種 PA2 標準驗證模型準則。在本篇論文中,作者 主要是研究 PA2 標準驗證模型與在選擇密文攻擊下之難以區別性(Indistinguishability