在網際網路的高度發展下,使用者經常會利用網路來互相傳送訊息。而在一 個開放性的網路環境下,想要得到一個安全的傳送訊息方式一直是密碼學上研究 的課題。不論是私密金鑰加密系統(Private Key Encryption System)或公開金鑰加 密系統(Public Key Encryption System),在金鑰被洩露的情況下都無法再保持密文 的私密性。如果能夠擁有在金鑰被洩露的情況下而密文仍無法被解密的特性,這 是相當令人著迷的。
在 一 般 的 公 開 金 鑰 系 統 中都 是 建 構 在 一 些 困 難 的 計 算 假 設 上( 如 RSA assumption)。因此 Maurer 在 92 年提出了不同以往的假設,也就是限制儲存空間 的模型(Bounded Storage Model),在此模型中主要是限制攻擊者的儲存空間,並 沒有去限制攻擊者的計算能力。基於這種模型所設計出來的加密系統,若攻擊者 無法完全儲存在加密過程中所使用的隨機字串時,那麼即使在日後金鑰被洩露 了,而之前的密文仍無法被解密。這樣的特性又稱為永久性的安全(Everlasting Security)。在此我們應用了 Lu 在[10]中所提的證明,將 Dziembowski 跟 Maurer 的 方法其安全性做了一個延伸,使其能夠抵擋動態攻擊(adaptive attack),即使金鑰 重覆的被使用,系統仍是安全的。並利用訊息驗證的觀念來達到一個不可捏造 (non-malleable)的的加密系統。然後在一般的網路上設計模擬了一個基於儲存限 制的訊息傳送系統。
第一節 研究動機
有很多人常會使用 ICQ、MSN 等軟體與他人溝通,而這些軟體多數都是以 明文(Plaintext)的方式在網路上傳送,對於一個惡意的攻擊者就可以在網路上竊 聽你所傳送的訊息。因此如何在一個開放性的環境下得到安全的秘密通訊方式,
這一直是在密碼學裡一個很基礎的問題。安全的秘密通訊其主要目標,是令傳送 者與接收者兩者間的通訊內容不會被攻擊者所得知。
過去的研究中,各種加密演算法被提了出來 (如 DES、AES、RSA、ElGamal 等)。但這些加密方法只要攻擊者儲存了加密過的密文,之後若能得到金鑰,那 就能夠將密文解密。因此這些演算法都無法提供永久性的安全。針對 DES 而言 已經可以利用特別設計的硬體在幾天內破解了,所以過去如果有攻擊者仍儲存著 當時的密文,現在就能夠將之解密而得到機密的資訊了。而對於公開金鑰系統的 安全性都是基於一個很難的計算假設(unproven assumption)上才是安全的,但這 樣的假設只適用於一般的電腦,如果將相同的問題移到量子計算的電腦上,那這 樣將會使得 RSA 假設變的不適用了。因此如果將來量子技術能夠有突破性的發 展而量子電腦能夠普及的話,那麼安全性基於因數分解(Factoring)與離散對數 (Discrete logarithm)的系統將不再安全了(如 RSA)。
如上所述,對於電腦系統與量子計算的的迅速發展,可能使一些基於公開金 鑰的加密方式變的不安全。而且對於密鑰洩露後是否能夠保持著密文的私密性,
這種令人嚮往的安全性使得這方面的研究相當重要。因此永久性安全系統的研究 在近幾年來也越來越多,我們可以發現在這樣的演算法下,其所使用的假設是不 同於過往基於一些很難的計算假設,他是基於限制攻擊者儲存空間的假設下所發 展 出 來 的 。 它 不 限 制 攻 擊 者 的 計 算 能 力 , 所 以 其 安 全 性 要 滿 足 理 論 安 全 (information-theoretic secrecy)。
第二節 研究目標與成果
限制儲存空間的模型提供了一種不同方向的安全性假設,而我們也可以針對 下面幾個重點來研究。一個安全性基於限制儲存空間的系統需要包含以下幾個部 份(Alice 跟 Bob 為使用者):
1. Alice 與 Bob 間必須先共同擁有一把短的私密金鑰 initial key K。
2. 一 個 可 以 不 停 的 傳 送 大 量 公 開 隨 機 字 串 的 主 機 R←⎯⎯⎯random {0,1} .t (t >攻擊者儲存空間)。
3. 一個金鑰衍生函數(derivation function),其輸入是隨機字串與初始金鑰,
輸出是與平均分佈(uniform distribution)成統計上鄰近(statistically close)。
4. 使用 one-time pad 這種擁有理論安全的加密方式,將衍生函數所衍生出來 的金鑰視為加密金鑰來進行加密。
而金鑰衍生函數的安全性,在於攻擊者無法儲存完整的隨機字串,所以即使在日 後得到初始金鑰,也無法做出相同的輸出結果。
本篇論文主要是研究各種永久性安全的演算法,我們希望能夠對各種演算法 都能夠熟悉。對於兩種不同的演算法 Ding-Rabin 的方法與 Dziembowski-Maurer 的方法,在此我們研究了後者的方法並將其安全性做了一個延伸使其能夠抵擋動 態攻擊,使這樣的系統其初始金鑰能夠重覆使用而系統仍是安全的。之後利用 HMAC 來對密文做驗證,並達到一個不可捏造(non-malleable)的性質。最後在一 般的網路上設計並模擬了一個基於儲存限制的訊息傳送系統。而我們利用特別設 計的資料結構與協定,使得在我們所設計的系統裡不需要做時間同步的機制,並 且詳細分析在現有的網路裡所實作出來的效能。
第三節 各章節介紹
在第二章裡我們將會介紹所需要的相關背景,對限制儲存模型(Bounded Storage Model)的定義做一個詳細的介紹。並介紹兩個基於儲存限制的方法及其 他相關研究。然後在第三章對接下來會用到的密碼學定義,做一個詳細的描述。
攻擊模型與訊息驗證的觀念也會在這裡介紹說明。第四章我們對 Dziembowski 跟 Maurer 的安全性做一個延伸,使得即使金鑰被重覆使用,而系統仍是安全的。
並且利用訊息驗證的觀念來加強原本的系統,使其能夠達到不可捏造的特性。第 五章對我們實作的系統做一個詳細的描述,並分析其效能。然後是總結。