國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第一章 緒論
1.1 研究背景
密碼學一直以來都是數位通訊、電腦網路、資訊安全等應用上的重要工具,密碼 學也促進了電腦科學,特別是在於電腦與網路安全上所使用的技術,例如存取控制與 資訊的機密性,日常生活中也隨處可見其相關的應用,例如 ATM 的晶片卡、電腦使用 者的存取密碼、電子商務等。
隨著網際網路應用的發達與普及,許多消費者開始使用網路進行交易,於是各企 業紛紛投入電子商務活動,在現今的電子商務環境中,商業交易行為必須依賴電子文 件與數位簽章來確立其該有的權利與義務,因此數位簽章一直在電子商務中扮演著極 為重要的角色,也是現在數位化環境中各種應用的重要基礎。
為了規範在電子商務環境下使用數位簽章所產生的風險,我國電子簽章法就有明 文規定[27],數位簽章須以一定之程序產生及驗證才能和實體之簽名蓋章具有同等之法 律效力。根據資訊安全管理的國際標準ISO 17799 定義,數位簽章亦須符合資訊安全中 的確認性、完整性以及不可否認性三種安全服務,其分別如下所述:
z 確認性:能確保簽章者即為簽署訊息之本人。
z 完整性:能確保訊息在網路傳送的過程中,不會遭偽造或竄改。
z 不可否認性:防止存心不良的使用者否認其所做過的事,即簽章者不可否認 其所簽署過的訊息。
1
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
1.2 研究動機與目的
在傳統的簽章機制中,為了驗證公開金鑰確實屬於簽章者所擁有,我們需要一個 具有公信力的第三方 (Trusted Third Party, TTP) 來核發數位憑證,藉由驗證此數位憑 證來驗證使用者的公開金鑰。但憑證註銷 (Certificate Revocation) 等等的問題會造成 TTP 過多的負擔[29,31],另外,對簽名的驗證者來說,憑證的驗證也增加了許多的計 算成本(Computation Cost)。
在 1984 年的時候,Shamir 提出了第一個基於身份認證的簽章方法 (ID-based Signature) [18],ID-based signature 的優點是允許簽名者以個人資訊來當作他的公開金 鑰,例如 email address、姓名、電話號碼等,如此驗證者就不需要透過憑證去驗證公 開金鑰的合法性,也大幅地減少了 TTP 的計算量與記憶體空間。在 ID-based 架構下,
由於 TTP 負責提供使用者的私密金鑰,所以在這裡我們稱 TTP 為 PKG (Private Key Generator) ,然而,由於所有使用者的私密金鑰皆是由 PKG 所生成,所以 ID-based signature 可能會有金鑰託管的問題(Key escrow problem)。我們可以說 PKG 是私密金 鑰的控管中心,由於私密金鑰皆是由 PKG 所生成, PKG 知道所有使用者的私密金鑰,
這樣將使得 PKG 的權限過大,假如今天 PKG 遭受駭客入侵控制,惡意的 PKG 即可偽 造所有使用者的簽名,因此使用者就可以否認之前所簽過的訊息,這並不符合數位簽 章中的不可否認性,假如使用者人數一多,這會造成相當嚴重的安全性問題。
為了解決 ID-based signature 金鑰託管的問題,在 2003 年的時候,Al-Riyami 等學 者提出了免憑證簽章的概念(Certificateless signature) [1],它同時具有傳統簽章與 ID-based signature 的優點,既可解決金鑰控管的問題,也可保有 ID-based signature 免 憑證的特點,其主要的差異在於簽名者的私密金鑰並不是完全由 PKG 所生成,所以 PKG 無法得知簽名者的私密金鑰。
2
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
一般的簽章演算法中明文是直接暴露的,當簽名者對訊息 m 簽名產生簽章 s,簽 名者會將訊息 m 以及簽章 s 一起傳送給驗證者,這是因為驗證者必須要有訊息 m 才可 以去驗證簽章 s 是否合法。因此,具有訊息回復功能的數位簽章是指原始訊息不需要 與簽章一起傳送給驗證者,且驗證者可在驗證階段利用一些公開參數與簽章即可回復 原始的訊息,這類型的簽章其目的就是為了能簡化簽章在傳送時的長度。
在 1993 年的時候,Nyberg 等學者提出了第一個具有訊息回復之數位簽章[16],此 方法是基於離散對數問題(Discrete Logarithm Problem),自此以後,關於訊息回復這方 面的簽章研究也陸續地被提出。在 2005 年的時候,Zhang 等學者提出了第一個具有訊 息回復之 ID-based signature[25],基於 Zhang 等學者以及 Barreto 等學者[5]的概念,在 2007 年的時候,Tso 等學者提出了更有效率的可訊息回復之 ID-based signature[21],而 我們的方法同樣也是基於 Zhang 等學者的概念下去做延伸。因此,本論文的研究動機 就是為了解決 ID-based signature 架構下本身存在的問題,我們改良了 Zhang 等學者的 方法,提出了基於免憑證架構下可訊息回復的簽章方法。
3
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
1.3 論文架構
在本論文中,共分為六個章節來做探討,各章節內容架構大致如下:
z 第一章為緒論。以本篇論文的研究背景與研究動機做一簡單、完整的說明。
z 第二章我們將對傳統數位簽章、基於身份認證之簽章、免憑證簽章做完整的說明,
同時對於後續需使用到的雙線性配對函數、密碼學上的計算難題以及相關數學知 識與定義做一簡單、完整的介紹。
z 第三章我們將對過去兩篇相關的文獻做簡要的介紹。
z 第四章為介紹我們所提出的可訊息回復之免憑證簽章協定。
z 第五章將介紹我們使用到的證明方法,並針對我們所提出的協定做安全性證明與 效率分析,並與過去相關的方法做一比較。
z 第六章為結論與未來展望。
4