安全性模組

第五章安全性與效能分析

5.2 安全性模組

國

立政治大學

‧

N a tio na

l C h engchi U ni ve rs it y

5.2 安全性模組

此小節我們將針對免憑證簽章機制的安全性定義做討論，並根據攻擊者能力的不同，利用 Random Oracle Model 設計出兩種 Game。

5.2.1 Security Definition

根據 Al-Riyami 等學者的定義[1]，免憑證簽章的安全性通常會根據攻擊者的能力不同分成兩種情況討論，如下所述：

Type I 攻擊者

此種情況是假設 PKG 是公正的 TTP，這類型的攻擊者無法從 PKG 那裡得到 PKG 所生成的部份私密金鑰，但攻擊者 _I能夠偽造簽名者的私密金鑰以及有能力替換簽名者的公開金鑰，此種攻擊者我們歸為 Type I 攻擊者。

Type II 攻擊者

此種情況是假設 PKG 不是公正的 TTP，這類型的攻擊者可輕易地從 PKG 那裡得到 PKG 所生成的部份私密金鑰，但無法得到與簽名者相對應的私密金鑰以及替換簽名者的公開金鑰，基於這種假設的攻擊者我們歸為 Type II 攻擊者。

AII

若免憑證簽章系統可以抵擋此兩種攻擊者的攻擊，則我們可以說此系統是安全的。

此外，我們會根據攻擊者能力的不同設計出兩種 Game，每個 Game 將有五個 Random Oracle 會被攻擊者詢問，以下是我們對這五個 Oracle 的定義：

‧

已被建立在 CreateUser List 中，則 Oraclec

Partial-Private-Key-Extract、Set-Secret-Value、Set-Public-Key partial private key public key

不會發生任何事。否則，此會執行免憑證簽章的

CreateUser List。此兩種情況皆會輸出PK_ID 2. PartialKeyExtract

ID，若ID D

已被建立在中，此

會回覆相對應的。否則，回覆一個錯誤信號。

輸入為使用者的身份識別

CreateUser List Oracle partial private key _ID "⊥"

3. SecretValueExtract：

ID，若ID已被建立在中，此

會回覆相對應的。否則，回覆一個錯誤信號。

：輸入為使用者的身份識別

CreateUser List Oracle secret value x_ID "⊥"

4. PublicKeyReplace

以及一隨機的public key P ′K_ID，若ID

‧

5.2.2 Security Model

在 1988 年的時候，Goldwasser、Micali and Revist 提出了一個關於數位簽章安全性的概念： Existential Unforgeability Against Adaptive Chosen Message Attacks (EUF-ACMA)[11]，若我們能夠在攻擊者任意選擇訊息攻擊模式(Adaptively chosen message attack)下證明簽章的安全性，我們就稱該簽章方法滿足 EUF-ACMA。因此，

為了證明免憑證簽章機制能夠滿足 EUF-ACMA 的安全概念，我們針對 Type I 攻擊者以及 Type II 攻擊者分別設計了兩個 Game： Game 1 及 Game 2，其定義如下：

AI A_II

Game 1：

這個 Game 是由一挑戰者以及進行 Adaptively chosen message attack 的 Type I 攻擊者所參與，其 Game 的流程如下：

‧

3. A 從未向 PartialKeyExtract Oracle 及 SecretValueExtract Oracle 詢問過_I ID 。 ^∗ 定義1：若在機率式多項式演算法時間內，攻擊者有微乎其微的機率可以在 Game 1

Type I 攻擊者是安全的。

Game 2：

這個 Game 是由一挑戰者以及進行 Adaptively chosen message attack 的 Type II 攻擊者所參與，其 Game 的流程如下：

msk C params msk

AII

‧ 國

立政治大學

‧

N a tio na

l C h engchi U ni ve rs it y

定義2：若在機率式多項式演算法時間內，攻擊者A 有微乎其微的機率可以在 Game 2_II 中獲得勝利，我們則可以說此免憑證簽章面對 Type II 攻擊者是安全的。

定義3：若在機率式多項式演算法時間內，此免憑證簽章在面對上述 Type I 攻擊者及 ype II 攻擊者的情況下是安全的，我們則可以說此免憑證簽章機制滿足 Existential Unforgeability Against Adaptive Chosen Message Attacks (EUF-ACMA)的安全概念。

‧

會證明我們的簽章方法在 Random Oracle Model 面對 Type I 攻擊者及 Type II 攻擊者能夠符合定義3 並滿足 EUF-ACMA 的安全概念。

5.3.1 Unforgeability against Type I Adversary

若存在一 Ty 攻擊者A_I 那我們可以假設存在另一

在文檔中可訊息回復之免憑證簽章機制之研究 - 政大學術集成 (頁 42-47)

第五章 安全性與效能分析

5.2 安全性模組

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

‧

‧

‧

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

‧

第五章安全性與效能分析

立政治大學

立政治大學