CERTIFICATELESS 簽章系統

(Certificateless Public Key Cryptography) [1]。這種密碼系統的主要概念便是希望除去傳 統公開金鑰系統中的認證過程。

在免憑證密碼系統中，就如同 ID-Based 密碼系統一般，不再需要有 CA 對使用者公 鑰發送憑證。除此之外，此系統還解決了 ID-Based 中的 Key Escrow 問題。因為

Certificateless 系統融合了 PKI 和 ID-BASED 系統的優點，因此在 Al-Riyami 之後，許多 學者也發表了 Certificateless 的密碼系統。 [2,11,12,17,18]

在免憑證密碼系統中同樣必須有個公正的第三方，在這裡稱為 KGC，全名是 Key

2.6.1 Certificateless Public Key Cryptography

Al-Riyami 和 Paterson 在 2003 年發表的 CL-PKC 系統中，主要包含了七個演算法

，分別是Setup，Partial-Private-Key-Extract， Set-Secret-Value，Set-Private-Key，

Set-Public-Key，Encrypt 以及 Decrypt。

‧

3. Set-Secret-Value

此演算法主要是由使用者執行，產生屬於自己一個 Secret Value x_A，且這個 Secret Value 只有使用者自己知道。

4. Set-Private-Key

使用者在計算出自己的 Secret Value x_A後，利用x_A及從 KGC 收到的 Partial Private Key _A及D_A計算出自己的 Private Key

‧

2.6.2 Certificateless Public Key Signature

Al-Riyami 和 Paterson 同樣地改寫了原本的 CL-PKC 系統，使其用於電子簽章系統，

而此簽章系統一樣包含了七個演算法：Setup，Partial-Private-Key-Extract，Set-Secret-Value，

Set-Private-Key，Set-Public-Key，Sign，Verify

其中 Setup，Partial-Private-Key-Extract，Set-Secret-Value，Set-Private-Key，

Set-Public-Key 這幾個演算法部分和 CL-PKC 中的一樣，但 Setup 中只需要產生一個 Hash Function H * + G ，除此之外只需要設計 Sign 和 Verify 這兩個演算法：

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

1. Sign：

在使用者得到簽章用的私鑰後，簽章用的演算法。

對一份文件 M 作簽名，且私鑰為S_A，執行以下步驟 1. 選取亂數 ∈

2. 計算r ê( ) ∈ G 3. v H( r) ∈ 4. U uS_A ∈ G 5. 輸出簽名為 𝑈 v

2. Verify：

驗證者收到簽章者 ID、文件 M 及簽章 𝑈 𝑣 後利用簽章者的 public key _{A A} 以此演算法做簽章的驗證。

1. 檢視ê( _A ) ê( _A )是否成立，如果成立便執行下一個步驟。

2. 計算r ê(U ) ê( _{A A})^v

3. 檢視v H( r)是否成立，如果成立表示簽名為真。

2.6.3 系統安全性

在免憑證簽章系統中，破壞者可能企圖去偽造簽章，而根據Al-Riyami和K. Paterson的 文獻[1] 將可能的破壞者分為兩種，我們在分析免憑證簽章演算法安全性的時候，將會 分兩種攻擊者來做個別討論，如下所述：

1. Type I 攻擊者:

此種攻擊者沒有能力取得KGC的master-key部分。但A1在向KGC要求公鑰、部分私 鑰後，會想辦法更換簽章者公鑰的部分來達到破壞的目的。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

2. Type II 攻擊者：

我們稱這種類型的攻擊者為 A2，此種攻擊者可以取得 KGC 的 Master Key，但是能 力以內沒有辦法去替換使用者的公鑰部分。

‧

理事務。由此可見，Proxy Signature 在實際上的運用範圍，可以說是相當廣泛，而且 Proxy Signature 可以由一般的簽章方式改寫而成。基於這些原因，許多學者致力於 Proxy Signature 的發展，並且為了因應各種不同的情況生成許多不同的 Proxy Signature，像是 Proxy Multi-Signature [34]、Designated Verifier Proxy Signature [17]、ID-Based Proxy Signature [35]等等。

1. Unforgeability

只有原始簽章者所指派的代理者可以產生合法的代理簽章，除此之外其他人皆不能 產生合法的代理簽章。

2. Proxy signer deviation

代理簽章者無法在原始簽章者不知情的情況下產生一份代理簽章。

3. Secret key dependence

代理簽章者的代理簽章金鑰必須和原簽章者的私鑰有一定的關連性。

4. Verifiability

在文檔中 免憑證代理簽名及其代理盲簽名擴張 - 政大學術集成 (頁 28-33)