安全性證明

會證明我們的簽章方法在 Random Oracle Model 面對 Type I 攻擊者及 Type II 攻擊者能夠符合定義3 並滿足 EUF-ACMA 的安全概念。

5.3.1 Unforgeability against Type I Adversary

若存在一 Ty 攻擊者A_I 那我們可以假設存在另一

‧

1. CreateUser：輸入為使用者的身份識別 ，若 已被建立在 CreateUser-List

中，則不會發生任何事。否則， 、 ，接著設置

輸入為使用者的身份識別 ，若 已被 CreateUser Oracle 建立且

2. PartialKeyExtract： ID_i ID_i t

‧

4. SecretValueExtract：輸入為使用者的身份識別 ，若 已被 CreateUser

Oracle 建立且 ，則 會回覆 給 。否則， 則回覆 表示此模擬終

會回覆一隨機 會紀錄所有的 input/output 於 -List -List)。

‧

Crea eUser Ora ，

(

SID_i ID_i

)

Sign Query。

) 得到一合法的簽章

‧

滿足 Generic Signature

小節我們可以得知我們的簽章方法

‧

在 PublicKeyReplace Oracle 替換了 ′ ∗

KID

‧

Assumption (KEA)，其定義如下[9,23]：

定理 7：

(The Knowledge of Exponent Assumption)，令

ID∗

D 被計算出來

在攻擊者A_I 開金鑰的情況下，我們會利用到 The Knowledge of Expon

g為一質數有序群(prime order group) g g

k =log 為一秘密參數。針對任意的機率多項式時間

的生成元。令 (probabilistic

polynomial time, PPT)之演算法^{A，若A的輸入為g和ga(a是此範圍}

[

^{0, g −1}

]

^中隨機

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

計算出

(

^x_ID^∗P,x_ID^∗bP

)

^=PK_ID^{′ ∗}

因此根據 KEA，若攻擊者A_I能從

(

^P,^Ppub

)

=

(

^P,^bP

)

或從 ( ) ( )

(

^∗_,1^{, ∗}_,2

)

∗ = _{ID ID}

ID PK PK 計算出

(

^rPK(_ID^∗_,1)^,rPK(_ID^∗_,2)

)

^=PK′_ID^{∗，我們即可假設攻擊者}AI

PK

ID∗

x 或r，因此挑戰者C即有辦法從而得知，則挑戰者C即可計算出D ∗並 能夠求出 ID

解決 CDH 難問題。

46

‧

5.3.2 Unforgeability against Type II Advers 若 金鑰，所以 yExtract Oracle 不會被詢問， (consistency)

與避免衝突 ，我們假定挑戰者

‧

‧

CreateUser Oracle 建立，則分兩種情況討論， ID_i C′

會利用 CreateUser-List 中的

(

DID_i

)

‧

Sign Query。

(6) 得到一合法的簽章σ ⁼

(

^{U ,V}

)

並回覆給A 。 _II 法滿足 Generic Signature

小節我們可以得知我們的簽章方

‧

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

5.4 效能分析

   

根據表 5.4，由於 Zhang[25]與 Tso[21]的方法皆是 ID-based signature，所以都會有 金鑰控管的問題，然而，我們提出的方法是基於免憑證簽章的概念，所以我們不會有 此方面的問題。在效能運算方面，1Exp 代表一次的指數運算，1EC 代表一次的橢圓曲 線運算，1e 代表一次的雙線性配對運算，所以由表 5.4 我們可以發現我們的方法在簽 章跟驗證階段的效能運算都不會太差，甚至還要更好，但我們最主要的優勢就是我們 在可訊息回覆的情況下沒有金鑰控管的問題。(註：*為有限制訊息長度之簽章方法)

表 5.4 效能分析與比較表。

Key escrow problem Sign Verify

本小節我們將會把我們的簽章方法與 Zhang[25]及 Tso[21]的簽章方法做效能上的 分析與比較，其比較結果如下所述：

Our Scheme1* N 1Exp+2EC 1e+1Exp

Our Scheme2 N 1Exp+2EC 1e+1Exp

Zhang’s Scheme [25]1* Y 1Exp+2EC 2e+1Exp+1EC

Zhang’s Scheme [25]2 Y 1Exp+2EC 2e+1Exp+1EC

Tso’s Scheme [21]1* Y 1Exp+1EC 1e+1Exp+1EC

Tso’s Scheme [21]2 Y 1Exp+1EC 1e+1Exp+1EC

52

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第六章結論與未來展望 

本論文中我們提出了第一個可訊息回復的免憑證簽章，並證明其安全性滿足 EUF-ACMA 的安全概念，在效能上與其他相關研究比較亦有不錯的表現。

由於我們的方法是基於免憑證簽章的架構，因此不只改善了傳統數位簽章在憑證

回復之特性，簡化了訊息及簽章在傳送時的總長度，因此我們的簽章方法相當適用 以頻寬為主要考量的行動網路服務以及需要大量對短訊息做簽章的相關應用。由於

們提出的可訊息回復之免憑證簽章實作於行動通訊網路上的電子交易、訊息認證等方 面的應用上。

管理上的問題亦解決了基於身份認證之簽章所產生的金鑰控管問題，同時由於具有訊 息

於

智慧型手機已漸漸普及，行動服務勢必為未來發展的重點，因此未來我們希望能將我

53

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

參考文獻 

, “Efficient and

NCS 3778, pp.515–532, 2005.

14-532, 2001.

62–73, 1993 .

[1] S. Al-Riyami, K. Paterson, “Certificateless public key cryptography”, Advances in Cryptology-Asiacrypt’03, Springer-Verlag, LNCS 2894, pp.452-473, 2003.

[2] G. Bertoni, L. Breveglieri, L. Chen, P. Fragneto, K. Harrison, and G. Pelosi, “A pairing SW implementation for smart-cards”, Advances in Journal of Systems and Software, Vol. 81(7), pp.12401247, 2008.

[3] F. Bao, R. Deng, and H. Zhu, “Variations of Diffie-Hellman Problem”, In Proceedings of ICICS 2003, Springer-Verlag, LNCS 2836, pp.301-312,2003.

[4] D. Boneh and M. Franklin,”Identity-base encryption from Weil pairing”, Advances in Cryptology- CRYPTO 2001, Springer-Verlag, LNCS 2139, pp.213-239, 2001.

[5] P. S. L. M. Barreto, B. Libert, N. McCullagh, and J. Quisquater

provably-secure identity-based signatures and signcryption from bilinear maps”, Advances in Cryptology -ASIACRYPT’05, L

[6] D. Boneh, B. Lynn, and H. Shacham,”Short signature from Weil pairing”, Advances in Cryptology- ASIACRYPT 2001, Springer-Verlag, LNCS 2248, pp.5

[7] M. Bellare and P. Rogaway, “Random Oracles are Practical: A Paradigm for Designing Efficient Protocols”, Advances in 1st Conference on Communications Security, ACM, pp

[8] W. Diffie, and M. Hellman, “New directions in cryptography”, IEEE Transactions on Information Theory 22, pp.644-654, 1976.

54

‧

[9] I. Damgard,“Towards practical public key systems secure against chosen ciphertext attacks”, Advances in Cryptology-CRYPTO’91, pp.445–456,1991.

[10] T. ElGamal, “A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms”, Advances in Cryptology-CRYPTO'84, Springer-Verlag, LNCS 196,

nd R. L. Rivest, “A digital signature scheme secure against

ol for tripartite Diffie-Hellman,” In proceedings of

putation, ol. 48, pp.203-209, 1987.

ringer-Verlag, LNCS 0950, pp.182-193, 1995.

J. Stern, “Security proofs for signature schemes”, Advances in Cryptology- Eurocrypt’96, Springer-Verlag, LNCS 1070, pp. 387-398,1996.

pp.10-18, 1985.

[11] S. Goldwasser, S. Micali, a

adaptive chosen-message attacks”, Advances in SIAM Journal of Computing Vol.17(2), pp. 281-308, 1988.

[12] F. Hess. “Efficient Identity Based Signature Schemes Based on Pairings”, In Proceedings of SAC 2002, LNCS 2595, Springer-Verlag, pp. 310-324, 2002.

[13] A. Joux, “A one round protoc

ANTS 4, Springer-Verlag, LNCS 1838, pp.385-393, 2000.

[14] N. Koblitz, ”Elliptic curve cryptosystems”, Advances in Mathematics of Com v

[15] V. Miller, ”Use of elliptic curves in cryptosystems”, Advances in CRYPTO 85, Springer-Verlag, LNCS 218,pp.417-426, 1985.

[16] K. Nyberg and R. A. Ruepple, “Message recovery for signature schemes based on the discrete logarithm problem”, Advance in Cryptology-Eurocrypt’94, Sp

[17] D. Pointcheval and

55

‧

[18] A. Shamir, “Identity-based cryptosystems and signature schemes”, Advances in Cryptology- CRYPTO’84, LNCS 0196, pp.47–53, 1984.

[19] K. Shim, “Efficient ID-based authenticated key agreement protocol based on the

ciples and Practice,” 3^rd ed.,

age recovery”, Proceedings of the 6th International Conference on

X. Huang, “Efficient and short certificateless signatures”, In

assumption”, Advances in Cryptology ePrint Archive: Report 007/479.

nger-Verlag, LNCS 2727,

tures

pp.45–56, 2005.

Weil pairing”, Advance in Electronics Letters 39 (8), pp. 653-654, 2003.

[20] W. Stallings,”Cryptography and Network Security: Prin Prentice Hall,2003.

[21] R. Tso, C. Gu, T. Okamoto, and E. Okamoto, “Efficient ID-based digital signatures with mess

Cryptology and Network Security (CANS2007), Springer-Verlag, LNCS 4856, pp.

47-59, 2007.

[22] R. Tso, X. Yi, and

proceedings of CANS’08, LNCS 5339, pp. 64-79, 2008.

[23] J. Wu, and D.R. Stinson “An efficient identification protocol and the knowledge-of-exponent

2

[24] F. Zhang, and K. Kim, “Efficient ID-based Blind Signature and Proxy Signature from Bilinear Pairings”, Proceedings of ACISP ’03, Spri

pp.312–323, 2003.

[25] F. Zhang, W. Susilo, and Y. Mu, “Identity-based partial message recovery signa (or How to shorten ID-based signatures)”, Advances in FC’05, Springer-Verlag, LNCS 3570,

56

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

57

ard 1363-2000, “Standard Specifications for Public Key Cryptography”,

料 庫 - 電 子 簽 章 法 Available at

，公開金鑰憑證註銷之研究，國立成功大學資訊工程系碩士論文，2006 年。

[29] 陳冠穎，公開金鑰基礎建設之探討與實務研究，世新大學資訊管理系碩士論文，

2002 年。

[30] 陳坤男，使用霍夫曼樹建立具實用性的憑證廢止機制，國立東華大學資訊工程系 碩士論文，2004 年。

[31] 羅建民，無需撤銷公開金鑰之密碼系統，國立成功大學資訊工程系碩士論文，2004 年。

[26] IEEE Stand

Available from http://grouper.ieee.org/groups/1363, 2000.

[27] 全 國 法 規 資

“http://law.moj.gov.tw/LawClass/LawContent.aspx?pcode=J0080037”(2010.11).

[28] 林滔天

在文檔中 可訊息回復之免憑證簽章機制之研究 - 政大學術集成 (頁 47-0)