系統效能

在這個章節裡我們會對上面所提到的系統架構，利用一般的網路來模擬，首 先說明我們的測試環境：

中央處理器 Intel 2.4-GHz Pentium 4 記憶體 256 MB

作業系統 Mircosoft Windows XP Professional

程式軟體 Borland JBuilder 8.0 with J2SDK version 1.4.2 統計與製圖軟體 Mircosoft Excel 2000

表格 1 是我們測試時所設定的環境及參數。由定理四很清楚的發現，其安 全參數有一定限制在，故我們設定了這些參數但也不失去其安全性。在不同長度 的隨機字串下，將 m 與產生出來的 one-time pad 長度 n 這兩者固定後，安全性就 固定下來了。但還必須滿足mlog₂w≤ 與n ，由下表的設定看來是都滿足

這兩個限制的。而在不同大小的區塊中所對應出來的初始金鑰長度 ，也

可由這兩個限制發現，我們不必共享一把比訊息長度長的初始金鑰。

100 w>

log2

m w

隨機字串長度 m w mlog2w n 安全性 2MB 128 3 2× ¹⁵− 1 ^≈2176 2 ¹⁵ 2¹⁵×2⁻⁶⁴ ≈2⁻⁴⁹ 4MB 128 7 2× ¹⁵− 1 ^≈2304 2 ¹⁵ 2¹⁵×2⁻⁶⁴ ≈2⁻⁴⁹ 8MB 128 15 2× ¹⁵− 1 ≈²⁴³² 2 ¹⁵ 2¹⁵×2⁻⁶⁴ ≈2⁻⁴⁹ 16MB 128 31 2× ¹⁵− 1 ≈2560 2 ¹⁵ 2¹⁵×2⁻⁶⁴ ≈2⁻⁴⁹ 32MB 128 63 2× ¹⁵− 1 ^≈2688 2 ¹⁵ 2¹⁵×2⁻⁶⁴ ≈2⁻⁴⁹ 64MB 128 127 2× ¹⁵−1 ^≈2816 2 ¹⁵ 2¹⁵×2⁻⁶⁴ ≈2⁻⁴⁹

表格 1

我們由上面所設定的參數下，對於不同的隨機字串長度能夠傳遞多少訊息來 做一個模擬。表格 2 所表示的是我們藉由調整隨機字串的長度，在不同的長度 下能夠傳送多少訊息，平均每個訊息所花費的時間為何。我們測量當溝通雙方接 收到相同的隨機字串長度為 2MB~64MB，每次都計算出長度 n( )的 one-time pad。並且以十分鐘的時間為單位來測量，所得到的效能為：在花費約十分鐘的 情況下，每接受到相同的隨機字串長度為 2MB 時能產生 bits 的 one-time pad 為 79 個，平均每個 pad 花費 7.555 秒。

215

215

隨機字串長度 單位區塊 R(i)大小 總耗費時間 訊息總數 平均傳送時間 2MB 2 bits ¹⁷ 596.893 sec 79 個 7.555 sec 4MB 2 bits ¹⁸ 601.673 sec 31 個 19.408 sec 8MB 2 bits ¹⁹ 601.047 sec 20 個 30.052 sec 16MB 2 bits ²⁰ 602.374 sec 11 個 54.761 sec 32MB 2 bits ²¹ 599.219 sec 8 個 74.902 sec 64MB 2 bits ²² 627.781 sec 4 個 156.945 sec

表格 2

隨機字串長度 比例 總共接收隨機字串長度 失去隨機字串長度

2MB 0.617188 3.24MB 1.24 MB 4MB 0.603708 6.62 MB 2.62 MB 8MB 0.605911 13.2 MB 5.2 MB 16MB 0.695348 23.01 MB 7.01 MB 32MB 0.747861 42.78 MB 10.78 MB 64MB 0.692986 92.35 MB 28.35 MB

表格 3

在表格 3 中所要表達的是，我們實作方法的效能。因為我們的方法主要是 兩個使用者之間先接收隨機字串，然後在經由取交集的動作來使雙方擁有相同的 隨機字串。經由模擬實驗的結果在總共聽取 3.24MB 的隨機字串時，才會得到 2MB 相同的隨機字串，這樣的比例是 0.617，而我們多聽取沒用的隨機字串是 1.24MB。如果比例越高的話那我們模擬的效能就會越好。

我們將表格 2 用折線圖的方式表現如圖表 13。上方的圖為，在花費時間約 十分鐘的情況下，接受相同的隨機字串長度為 2MB~64MB 時，所能得到的 one-time pad 個數。而在下方的圖為每個 one-time pad 的平均傳遞的時間。很清 楚的可以看到，隨著隨機字串越長所能得到的個數就越少。但是如果我們都以 2MB 的長度為單位，雖然可以得到很好的效能，攻擊者卻很容易的可以儲存住 整個隨機字串的資訊，所以並非以 2MB 為單位就是好的，必須要考量攻擊者的 能力在何種程度。在實作的考量上攻擊者並不一定擁有無限的計算能力，對於我 們所設計的架構，也可加上一些時間的因素進去。如果攻擊者無法很快的解出密 文，但又持續接收隨機字串的訊息，當他的儲存空間達到飽和後。若仍沒有解密 出任何密文而又想繼續聽取隨機字串，那麼勢必要將之前所儲存的資訊刪除掉，

因此會造成一些密文變成是永久性安全的。

我們所提出的架構中，在初始金鑰的分享是利用公開金鑰加密系統來完成 的，所以若攻擊者是無限計算能力時，這樣的共享金鑰方式就不安全。但現實生 活中攻擊者是被限制的，所以若攻擊者在解密得到初始金鑰所花費的時間，若比 我們傳送訊息的時間要來的久，那這次的傳送就還是安全的。當然我們也可以每 傳送一個訊息就變換一把初始金鑰，使攻擊者更難攻擊我們的系統，但這樣做也 提高了系統的負載程度。

單位時間所得訊息總數

2MB 4MB 8MB 16MB 32MB 64MB 隨機字串

2MB 4MB 8MB 16MB 32MB 64MB 隨機字串長度 趣之主機的負荷。此外廣播一般都只限制在 LAN(local area network)上，而 多點傳播可以應用到 LAN 上或是跨 WAN(wide area network)。但不幸的是 在 LAN 上做多點傳播是很容易的，在 WAN 就牽涉到繞送(routing)的問題，

所以如果要在 WAN 上做到多點傳播，必須使會用到的路由器(router)都有多

點傳播繞送協定(multicast routing protocol)，使其能夠幫忙傳送多點傳播封 包。

第六章 總結

在此論文中我們研究了 Dziembowski-Maurer 的方法並將其安全性做了一個 延伸使其能夠抵擋動態攻擊。並且使這樣系統中的初始金鑰，能夠重覆使用而系 統仍是安全的，之後提出一個擁有可以捏造性質的加密系統，其主要概念是利用 對密文做訊息驗證，在此我們所使用的訊息驗驗方法是 HMAC。我們也說明了這 個不可捏造的加密系統是可以抵擋 CCA 的。最後我們也設計了一個基於儲存限 制的訊息傳送系統架構，所使用的加密方法是我們在第四章所提到的演算法二，

並且在一般的乙太網路上模擬這樣的設計。而我們利用特別設計的資料結構與協 定，使得在我們所設計的系統裡不需要做時間同步的機制，然後分析所得到的效 能。

未來的研究方向，我們所提出的架構在傳送共享金鑰時，還是使用現有的公 開金鑰系統，利用加解密方式來共享初始金鑰。因此在共享金鑰這一部分，就必 須限制攻擊者的計算能力了。若能夠利用一個基於儲存限制的金鑰共享協定(key agreement protocol)，或是利用量子計算上的共享金鑰方式，那就能夠使得系統的 假設是完全不限制攻擊者的計算能力。

參考文獻

[1] Y. Aumann and M. O. Rabin. Information Theoretically Secure Communication in the Limited Storage Space Model. In Advances in Cryptology – Crypto’99, Lecture Notes in Computer Science, vol. 1666, pages 65-79. 1999.

[2] Y. Aumann, Y. Z. Ding, and M. O. Rabin. Everlasting Security in the Bounded Storage Model. In IEEE Transactions on Information Theory, vol.48, no.6, pages 1668-1680, 2000

[3] M. Bellare, R. Canetti and H. Krawczyk. Keying Hash Functions for Message Authentication. In Advances in Cryptology - Crypto’96, Lecture Notes in Computer Science, vol. 1109, pages 1-15, 1996.

[4] C. Cachin and U. Maurer. Unconditional security against memory bounded adversaries. In Advances in Cryptology – Crypto’97, Lecture Notes in Computer Science, vol. 1294, pages 292-306, 1997.

[5] Y. Z. Ding. Oblivious transfer in the bounded storage model. In Advances in Cryptology – Crypto’01, Lecture Notes in Computer Science, vol. 2139, pages 155-170, 2001.

[6] Y. Z. Ding. Provably Everlasting Security in the Bounded Storage Model. PhD thesis, Harvard University, 2001. available at

http://www.deas.harvard.edu/~zong.

[7] D. Dolev, C. Dwork, and M. Naor. Non-malleable Cryptography. SIAM J. Comp., vol. 30, no. 2, pages 391-437, 2000.

[8] S. Dziembowski and U. Maurer. Tight security proofs for the bounded-storage model. In Proceedings of the 34th Annual ACM Symposium on Theory of Computing, pages 341-350, 2002.

[9] Y. Z. Ding and M. O. Rabin. Hyper-encryption and everlasting security. In Proceedings of 19th Annual Symposium on Theoretical Aspects of Computer Science, pages 1-26, 2002.

[10] C. J. Lu. Hyper-encryption against Space-Bounded Adversaries from On-Line Strong Extractors. In Advances in Cryptology – Crypto’02, Lecture Notes in Computer Science, vol.2442, pages 257-271, 2002.

[11] C. S Laih, L. Harn and C. C. Chang. Contemporary Cryptography and It’s Applications. 旗標出版, 2003.

[12] U. Maurer. Conditional-perfect secrecy and a provably-secure randomized cipher.

Journal of Cryptology, vol. 5, no. 1, pages 53-66, 1992.

[13] U. Maurer. Secret key agreement by public discussion from common information.

IEEE Transactions on Information Theory, vol.39, pages 733-742, 1993.

[14] U. Maurer. Information-theoretically secure secret-key agreement by NOT authenticated public discussion. In Advances in Cryptology – Eurocrypt’97, Lecture Notes in Computer Science, vol.1233, pages 1209-225, 1997.

[15] A. J. Menezes, P. C. van Oorschot and S. A. Vanstone. HANDBOOK OF APPLIED CTYPROGRAPHY. CRC Press Inc. 1996.

[16] U. Maurer and S. Wolf. Information-Theoretic Key Agreement: From Weak to Strong Secrecy for Free. In Advances in Cryptology – Eurocrypt’00, Lecture Notes in Computer Science, vol.1807, pages 351-368, 2000.