可防止公鑰替換攻擊之短簽章方案 - 政大學術集成

全文

(1)國立政治大學資訊科學系 Department of Computer Science National Chengchi University. 碩士論文 Master Thesis. 可防止公鑰替換攻擊之短簽章方案 An Improved Short Signature Scheme Secure Against Key Substitution Attacks. 研究生 : 嚴守瑜指導教授：左瑞麟. 中華民國一百零六年十二月 December 2017.

(2) 可防止公鑰替換攻擊之短簽章方案. An Improved Short Signature Scheme Secure Against Key Substitution Attacks. 研究生：嚴守瑜. Student：Shou-Yu Yen. 指導教授：左瑞麟. Advisor：Raylin Tso. 國立政治大學資訊科學系碩士論文. A Thesis submitted to Department of Computer Science National Chengchi University in partial fulfillment of the Requirements for the degree of Master in Computer Science. 中華民國一百零六年十二月 December 2017.

(3)

(4)

(5) 可防止公鑰替換攻擊之短簽章方案. 摘要數位簽章隨著電腦等運算設備的普及，已廣泛的應用到各個生活及職場領域，如 : IC 卡、智慧卡、RFID、數位現金、線上支付、行動商務、行動裝置身分驗證、文書軟體…等。而縮短數位簽章的技術愈趨受到重視，對於無線設備而言，減少通信傳輸的位元數以節省電力或增加通信成功率，對於人類在低頻寬通信或低計算能力系統中，可帶來一定的效益。. Boneh 等學者基於雙線性配對(Bilinear Pairing)率先提出短簽章後，開啟了各方學者連續多年的討論與研究，其中 Tso 等學者提出的短簽章方案在計算量方面有著顯著的突破，但因僅考慮單一用戶的環境，未考慮在多用戶的情況下使用者公鑰有被偽造的可能，Chen 及 Kong 等學者分別以不同的公鑰替換攻擊方式，破解了 Tso 的短簽章方案。本篇論文改良了 Tso 的短簽章方案，並在隨機預言機模型(Random Oracle Model)上驗證其安全性，證明此新的方案除了能有效防禦公鑰替換攻擊外，還能具備足夠的安全性。. I.

(6) An Improved Short Signature Scheme Secure Against Key Substitution Attacks. Abstract Digital Signature is getting popular along with the computing devices such as computers. It has been widely used in various fields of life and workplaces, such as IC cards, smart cards, RFID, digital cash, online payment, mobile commerce, mobile identity verification, document software …etc. And the technology of shortened digital signature is getting increasing attention. For wireless communication, it can bring certain benefits in the field of low bandwidth communication and low computing power. system. which. reducing. the. number. of. bits. transmitted. by. the. communication to save power or increase the success rate of communications.. Boneh and Lynn firstly proposed a short signature based on bilinear pairing. After this, many scholars started discussions and research for many years. Among them, the Tso’s short signature scheme had a good performance in computation. However, this scheme was only considered for a single user environment, not considered for the case of multi-user. Chen and Kong et al respectively proposed the attack modes with replacement of public keys to break Tso’s short signature scheme. In this paper, we improve Tso's short signature scheme and verifies its security in the Random Oracle Model. It proves that the new scheme not only can effectively resist the public-key replacement attack, but also has enough security.. II.

(7) 致謝在政大的日子又即將告一段落，能夠順利的完成這篇論文，首要感謝的就是我的指導教授 – 左瑞麟老師。當年，左老師如同雪中送炭般地在我學途上最無助時，給予最適切、最即刻的救援，使我能夠在工作時程與修業時限這雙重壓力下，拼上學位考試的最後一塊拼圖。另外也要感謝所有的口試委員，謝謝各位老師在百忙之中撥空翻閱我的文章也傾聽我的簡報，並給予詳盡的評點意見，使這篇論文能夠更臻完善。. 再來要感謝蔡子傑老師以及博士班的張賀翔學長、韓建淳學弟與研究室的學弟們，大家帶著我熟悉研究所裡的文化與氛圍，使我能充分掌握研究學問的方法。而與我同屆的幾位同學也在此學程前半場中，伴我攻讀學分、找尋論文方向，我亦不勝感激。. 最後，要誠心的感謝我身旁的家人與朋友，他們在我最灰心喪志的時期，給了幾針強心劑似的鼓勵；也在我迷惘躊躇之時建議了最合適的方向。尤其是我的妻子，從入學考試前的準備，一路走來直到學位口試後的論文修改，都不曾間斷陪伴我、支持著我。. 對於在本系「讀好讀滿」的我而言，這在職專班的學位可真是集結眾人之力並且求來不易，我理當珍惜。而更可貴的是這過程中有著許多的甘甜回憶，它們已經成為我生涯中成長的基模、堅持的動力。. 謝謝你們，謝謝政大!. III.

(8) 目錄. 摘要................................................................ I 致謝.............................................................. III 目錄............................................................... IV 圖目錄.............................................................. V 表目錄............................................................. VI 第一章緒論......................................................... 1 1.1 研究背景.................................................... 1 1.2 研究動機與目的.............................................. 2 1.3 本文貢獻.................................................... 3 1.4 論文架構.................................................... 3 第二章背景知識..................................................... 4 2.1 數位簽章(Digital Signature)................................. 4 2.2 雙線性配對(Bilinear Pairing)................................ 6 2.3 密碼雜湊函式(Hash).......................................... 7 2.4 隨機預言機模型(Random Oracle Model)......................... 8 2.5 k-CAA 難問題 ................................................ 9 2.6 選擇訊息攻擊(Chosen Message Attack)........................ 10 第三章相關文獻.................................................... 11 3.1 BLS 短簽章法 ............................................... 11 3.2 TOO 短簽章法 ............................................... 13 3.3 TOO 法的破解方式(一) ....................................... 15 3.4 TOO 法的破解方式(二) ....................................... 18 第四章改良方案.................................................... 20 4.1 定義參數................................................... 20 4.2 產生金鑰................................................... 21 4.3 產生簽章................................................... 21 4.4 驗證簽章................................................... 22 第五章安全性證明.................................................. 23 5.1 環境設定................................................... 23 5.2 查詢雜湊函式............................................... 25 5.3 查詢簽章................................................... 28 5.4 偽造與驗證................................................. 30 第六章結論及未來展望.............................................. 32 參考文獻........................................................... 33. IV.

(9) 圖目錄圖 5.2 查詢雜湊函式各類狀況及機率分析樹狀圖………………………………25. V.

(10) 表目錄表 4.1 各參數定義對照表……………………………………………………… 20 表 5.2 H-List 在各狀況下之結果分析表………………………………………27. VI.

(11) 第一章緒論. 本章節將介紹本篇論文的研究背景、研究動機目的與貢獻，以及論文架構。. 1.1 研究背景. 密碼學始於古時軍事戰爭中，乃雙方交戰時為了保全軍事機密而產生的保密與解譯的學問。然而後續發展至今，雖仍保有戰爭勝敗關鍵的地位(資訊情報戰)，但也促進了近代資訊科學的發展，尤其是電腦與網路安全所使用的技術，如存取控制與資訊的機密性，人們隨時隨地都可發現「它」已被廣泛地應用在日常生活中，如 ATM 自動櫃員機的晶片卡、電腦使用者存取密碼、電子商務及當下最夯的線上支付、電子錢包...等。密碼學的主要應用領域已從戰爭等具破壞性的軍事用途，擴大且涵蓋了通訊傳輸以及資料安全等建設性與便民性的商業用途，在許多的商業行為活動下，提升了電子商務的資訊安全性。. 在密碼學及資訊安全的領域中，有一種能確保傳輸時檔案完整性與身份識別的技術 - 數位簽章(Digital Signature)，是一電子式的簽名機制，主要運用雜湊函式 (Hash)與加密演算法來實現，即根據資料檔案的內容，運算出一個驗證值供接收端驗證，可確保檔案來源正確且內容完整傳遞。這項技術隨著電腦等運算設備的普及，已廣泛的應用到各個生活及職場領域，從 IC 卡[23][21]、數位現金[16]、智慧卡[18]、數位內容付款機制[19]、RFID 的應用[22]，以及近代熱門的行動商務數位版權管理 [20]與行動裝置身分驗證[17]等，甚至是我們每天工作或研究都會使用到的文書軟體 – Microsoft office 也是運用數位簽章來防止他人假冒特殊文件的建立，以及防止文件在建立者不知情的情況下遭到攔截或變更。. 近代較常用的數位簽章機制為 RSA 或 DSA，其中 RSA 的簽名較大，為 1024 個 bits，而 DSA 較小，為 320 個 bits。在 2001 年，由 Dan Boneh 等學者率先提出一種短簽章方法[2]，它的簽名大小約只有 DSA 的一半 – 160 bits，並且具有相同的安全 1.

(12) 級別，短簽章對於人類在低頻寬通信，或低計算能力系統中鍵入簽章有顯著的效益。例如，對於 PDA、行動電話、RFID 芯片和傳感器等無線設備而言，其主要的通訊限制是電源壽命，因此減少通信傳輸的位元數以節省電力，對於延長電池壽命是十分重要的。另外，對許多傳輸設備而言，在不同的環境條件下的通信品質並非都是可靠的，因此傳輸所需的位元數必須盡可能的減少。. Boneh 的論文將簽章研究帶領至新的方向，例如 : 2004 年 Zhang[5]、Boyen [3]等學者，2007 至 2009 間 Kang[7]、Huang[13]、Tso[9]等學者，以及 2014 至 2016 年間 Ducas[6]、Fan[14]、Hung[15]、Boyen[12]等學者們分別提出各式的短簽章改良方案，這些文獻成果皆能減少通訊時所需用到的資料量，有效地提升傳輸效率。透過觀察此類研究，我們不難發現，部分密碼學研究的方向，正符合現代資訊科學及人類生活發展的趨勢，人們對資訊的需求量以驚人的速度爆發成長，僅十數年便有千倍的上升，為了跟上這一波資訊洪流而不被淘汰，我們除了提升傳輸、儲存技術等之外，減少通訊的成本(如封包量、耗能)與錯誤率，也是重要的技術研發方向。因此如何有效且安全的縮短數位簽章長度，即是本篇論文所要研究的議題。. 1.2 研究動機與目的. Boneh 等學者基於雙線性配對(Bilinear Paring)而提出短簽章後，開啟了各方學者的討論與研究，其中 Tso 等學者提出的短簽章方案[9]在簽章產生與驗證方面，其計算量都優於其他方案。Tso 運用雙線性配對的性質，巧妙地設計金鑰及簽章產生方式，以節省 Boneh 短簽章方案所需要的特殊雜湊函數-MapToPoint[2](即將任意字串或訊息轉換成橢圓曲線上的某個點)等相關之運算時間。. 然而 Tso 等學者提出的短簽章僅考慮單一用戶的環境，未考慮在多用戶的情況下使用者公鑰有被偽造的可能。因此在 2011 年，Chen 等學者[1]提出 Tso 的方案將因產生簽章的雜湊函式過於簡單而產生漏洞，可由金鑰替換的攻擊法破解之；同年， Kong 等學者[4]則也針對 Tso 短簽章的雜湊函式提出了替換公鑰的破解方式。而本篇 2.

(13) 論文的目的則在於改良 Tso 的短簽章方法，使其除了能有效防禦提出攻擊的文獻外，還能具備足夠的安全性。. 1.3 本文貢獻. 本文中，我們構建了一個高效且可靠的短簽章方案，並在雙線性配對的隨機預言機(Random Oracle)模型中驗證了它的安全性。這方案的簽名大小與 Boneh 方案中的簽名大小相同(160 位元)，且計算成本與 Tso 的方案一樣低廉，並且能有效的防禦 Tso 方案的安全性漏洞。. 1.4 論文架構. 在本論文中，共分為六個章節來做探討，各章節內容架構如下：. ●第一章為緒論，以本篇論文的研究背景、研究動機及研究貢獻做簡單的介紹。 ●第二章為背景知識，說明本篇論文會使用到的相關學術名詞。 ●第三章為相關文獻，介紹對過去數篇相關文獻做簡要的介紹。 ●第四章為改良方案，描述本篇論文主要提出的使用方式及解決方法。 ●第五章為安全性證明，對於本篇論文提出之方式，進行系統安全性分析。 ●第六章為結論與未來展望，包含本篇論文總結與未來相關的探討。. 3.

(14) 第二章背景知識我們在本篇論文中所涉獵的範疇皆屬於「現代密碼學」，該門學說起源於 20 世紀末出現的大量相關理論，涵括了資訊發布的不可抵賴性(數位簽章)、資訊完整性驗證(訊息驗證碼)、以及在分散式計算中產生的源自於內部或外部的攻擊之所有資訊保密與安全問題。而與其相對應的則是「古典密碼學」，主要關注於資訊的保密書寫與傳遞，以及與其相對應的破譯方法。就現世而言，古典密碼學是屬實用性藝術，而現代密碼學則是門可以系統化學習的科學，在現代的密碼體系中，將安全性條件分成五種：. 1. 機密性：資訊內容除了傳送方與接收方外不應該讓第三者獲得； 2. 完整性：確保接收方得到的資訊內容是完整的； 3. 可用性：防止未經授權的第三者獨占系統或使系統當機，使得合法的使用者無法使用系統； 4. 可驗證性：接收方可以確認資訊內容為傳送方所送出； 5. 不可否認性：傳送方不可否認自己所發出的資訊。. 2.1 數位簽章(Digital Signature). 一般而言，密碼機制的具體運作由兩部分決定：演算法與金鑰。而在現代密碼學中，金鑰可分成「對稱式金鑰」及「非對稱式金鑰」，本文的研究內容屬於後者，亦可稱為「公開金鑰密碼系統」，指的是某人使用加密金鑰加密後所獲得的資料，只能用該加密金鑰相對應且唯一的解密金鑰才能夠解密，並且不能從其中一把金鑰計算出另外一把。因此若公開其中一把金鑰，並不會對另外一把產生危害，故公開的金鑰稱為公鑰，而不公開的密鑰則為私鑰。. 4.

(15) 使用公鑰密碼來鑑別數位訊息的技術，稱之為「數位簽章」，又可稱為公鑰數位簽章。一套數位簽章通常會定義兩種互補運算，一個用於簽名，另一個則用在驗證上，它是個獨一無二的數值，兼具「可確認性」及「不可否認性」（不需要筆跡專家驗證）等雙重屬性，能用於網路上的身分確認，若公鑰能通過其驗證，那人們即可確認對應公鑰的正確性。. 定理 1 : 數位簽章. 一般而言，數位簽章必須依照下列程序運行:. (1) 產生金鑰 (Key Generation) :. (PK, SK) KeyGen(α). 一種金鑰生成的演算法，針對待簽名的訊息，輸入系統參數α後，輸出簽名者的公鑰/私鑰配對（PK，SK）。. (2) 產生簽章 (Signature Generation) : σ  Sign(SK, m) 即「利用私鑰將訊息簽名」，方法為輸入系統參數、簽名者的私鑰 SK 與訊息 m，然後產生簽章 σ。. (3) 驗證 (Verification) : {accept, reject}  Verify(PK, m, σ) 驗證訊息簽章的效力，將所輸入的系統參數、公鑰 PK、訊息 m 和簽章 σ 進行運算，若計算的結果與原先加密的訊息相符，即表示 σ 是 m 上的有效簽名，反之，則表示驗證失敗。. 5.

(16) 2.2 雙線性配對(Bilinear Pairing). 近期諸多的簽章方案中，皆討論到或直接使用「雙線性配對」來運算與實作，因此我們將在分節介紹雙線性配對與相關項目的基本概念。. 雙線性配對是由一個群對應到另外一個群的雙線性映射函數(Bilinear Map)，其設定是這兩組群皆符合循環式(Cyclic)特性，且其中的 G1 為加法群 (Additive Group)，而另一個群 G2 則是乘法群(Multiplicative Group)，兩群的序(Order)皆為一質數 q， G1 的生成元(Generator)是 P。雙線性配對可表示為 e：G1 × G1 → G2，且具備三個性質：. . 雙線性(Bilinear)：所有的 P,Q ∈ G1，所有的 a,b ∈ Zq*，我們會得到 e(aP,bQ) = e(P,Q)ab = e(bP,aQ)；. . 非退化性(Non-degenerate)：如果 P 是 G1 中的生成元，那 e(P,P)也會是 G2 的生成元，且滿足 e(P,P)≠1；. . 可計算性(Computable)：如果所有的 P,Q ∈ G1，則能在可計算出的時間內求出 e(P, Q) ∈ G2。. 6.

(17) 2.3 密碼雜湊函式(Hash). 密碼雜湊函式，又可稱作訊息摘要函式，或簡稱為雜湊函式- Hash。它不一定使用到金鑰，但和許多重要的密碼演算法相關。密碼學上使用的雜湊函式通常須滿足以下安全特性 :. . 單向性 : Hash 可將輸入的資料轉換輸出成固定長度的雜湊值，這個過程是單向的，難以逆向操作。亦即由輸入值 x 計算 y = h(x)是容易的，但由 y 反推 x 是困難的。. . 抗強碰撞性 : 若任意選取兩個訊息 m1、m2，使得 Hash 後的值 h(m1) = h(m2)，則表示存在碰撞。可防止這類碰撞發生的特性，稱之為抗強碰撞性。. . 抗弱碰撞性 : 先給定一個訊息 m1，再尋找另一個訊息 m2，若可使 Hash 後的值 h(m1) = h(m2)，則說明此狀況下存在著碰撞。而防止這類碰撞發生的特性，則稱之為抗弱碰撞性。. 以下介紹兩種近期常用的雜湊函式，皆亦適用於本論文的論述與計算內。. SHA-2 是一種密碼雜湊函式演算法的標準，屬於 SHA 演算法之一，是 SHA-1 的後繼者。全名是安全雜湊演算法 2（Secure Hash Algorithm 2），由美國國家安全局研發，美國國家標準與技術研究院（NIST）於 2001 年發布。其下又可再分為六個不同的演算法標準，包括了：SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA512/256。. SHA-3 為 2015 年 8 月 5 日由 NIST 通過 FIPS 202 正式發表的第三代安全雜湊演算法(Secure Hash Algorithm 3)，在硬體實作上面，它比起 SHA-2 演算法有著更好的表現。SHA3-256 在 CPU 上的效能約為 8.59 cpb（每位元組周期數，cycles per byte）；而 SHA-2 各項標準中，SHA-512/256 與 SHA3-256 輸出位元(output bits size)皆為 256 bits，其 CPU 運效能約為 5.12 cpb [10]。. 7.

(18) 2.4 隨機預言機模型(Random Oracle Model). 密碼學將像是黑箱般產出數據的函數稱為隨機預言機（Random oracle），對任何輸入都能回傳一個真正均勻隨機的輸出值，並且對於相同的輸入，該預言機每次都會用同一方法輸出。它可被視為完美的雜湊函式，在假設雜湊函式皆為完全隨機的情況下，任何一個機率多項式都沒辦法自行計算出此雜湊函式的輸出值，故必須向外在的 random oracle 查詢此雜湊函式的輸出值。. Bellare 等學者[8]在 1993 年指出雜湊函數可被視為隨機函數，人們可在隨機預算機模式下，證明使用雜湊函數簽章機制的安全性，其精神即是運用 Random Oracle 的輸出值以及一個假設可以破解目標系統的演算法，使其來破解某個公認的難問題，而又因目前的難問題尚無法解決(即找出答案)，因此我們可藉由反證法，證明某簽章演算法是安全的。我們將運用此一論點來證明本篇論文方案的安全性。. 8.

(19) 2.5 k-CAA 難問題. 多數密碼學的系統安全性建於高複雜性的難題上，不外乎為數學理論上的因數分解及離散對數問題。而雙線性配對的環境下，離散對數問題在 G1 及 G2 的群中都非常難解，為了方便論述，先介紹離散對數問題(Discrete Logarithm Problem ,DLP)。. 定理 2 : 離散對數問題(DLP). 我們定義一個乘法群 G = Zp*，其生成元 g ∈ G、序為 p-1，在所有乘法群 G 中的元素 y 均可表示為 y = gx(mod p)，而 1≤ x ≤ p-1。而我們必須在給定(y, g, p)的前提下，由這三個數值找到能滿足 gx = y(mod p)的 x 值，此一問題就稱為離散對數問題。. 而本篇論文將運用 Mitsunari 等學者 [11]在 2002 年所提出 k-CAA 難問題 (Collusion Attack Algorithm with k traitors problem)，來處理安全性驗證時的幾種狀況。此難問題的定義如下:. 定理 3 : k-CAA 難問題. . 設P是某加法群G1的生成元(generator)，則 x ∈ Z∗q ，且 h1,…,hk ∈ Z∗q ；. . 若提供P、xP及k組配對(h1,(1/x+h1)P),… ,(hk, (1/x+hk)P),須找出新的配對 (h∗,(1/x+h*)P)，且該h∗ ∉ {h1, … ,hk}。. . 上述的答案必須在可運算的多項式時間(polynomial time)內計算出來，這樣的挑戰我們稱之為k-CAA難問題。. 9.

(20) 2.6 選擇訊息攻擊(Chosen Message Attack). 密碼分析(Cryptanalysis) ，也稱密碼破解，是門和密碼學同時進步的技術，通常是指找出密碼系統的秘密鑰匙或是破解未知的密文。而在本論文中破解數位簽章即意指偽造出訊息的簽名。實際上個密碼破解的手段與技巧則隨著時代的演進變得復雜且多元化，且有著不盡相同的效力，對密碼系統亦帶來不同的威脅。在攻擊行動中，攻擊者能通過觀察或研究簽名者所使用的系統，來獲得關於這個系統的資訊並破解之。. 而選擇訊息攻擊(Chosen Message Attack)則是指 - 攻擊者 T 在攻擊中途向簽名者 S 詢問以獲得指定訊息的雜湊值與簽章後，可搭配公鑰及簽章演算法，計算出偽造的訊息與其相對應的簽章，執行步驟如下:. . 設定 : 簽名者 S 透過系統公開參數α產生公鑰 PK 與私鑰 SK，並將α與 PK 傳送給攻擊者 T，SK 只有簽名者 S 知道。. . 詢問 : 針對任一訊息 m，在一有限的多項式時間內，攻擊者 T 可以向簽名者 S 詢問相關的雜湊值 Hm 及簽名值σm，而簽名者 S 會回覆答案給攻擊者 T。. . 偽造 : 針對訊息 m*，攻擊者偽造出一個簽章σ *，如滿足以下條件，定義為攻擊成功。. ✓. Ture  Verify(α, PK, m*, σ* )。. ✓. T 從未向 S 詢問過 m*的簽章值σ*。. 10.

(21) 第三章相關文獻本章將介紹本論文中所引用到的部分相關文獻，各篇所提到的數位簽章方式皆與本研究方法相關。. 3.1 BLS 短簽章法. Dan Boneh 等學者在 2001 年提出短數位簽章法，特色是可使用較短的簽章 (160 bits，以下簡稱 BLS 法)來完成簽章作業，並且因具備這種輕量封包需求的特性，故被預期可使用於網路資訊匱乏、通訊不佳等環境，是可與耐延遲網路 (Delaytolerant network)結合的數位簽章演算法，程序如下:. (1)環境設定 :. . e、G1、G2、P、q 為各系統參數且符合本文 2.2 節雙線性配對的特性；. . 訊息 m ∈ {0,1}*；. . H: {0,1}*  G1 為一密碼雜湊函式，用途是將訊息字串轉換成向量空間的元素。. (2)產生金鑰(KeyGen) :. . 隨機挑選出整數 x，作為私鑰。x R Z*q；. . 計算 Y = xP，作為公鑰。. (3)產生簽章(Signature Generation) :. . 向雜湊函式 H 輸入訊息 m，與私鑰 x 運算後產生簽章σ。 σ = x H(m)。. 11.

(22) (4)驗證(Verification) :. . 輸入訊息 m 及簽章σ，判斷 e(H(m), Y) = e(σ, P)是否成立，成立表示驗證成功，σ為訊息 m 的有效簽章，反之表示無效。. {accept, reject}  Verify(Y, m, σ)。驗證運算過程如下: e(H(m), Y) = e(x-1σ, xP) = ⅇ(σ, p)x. −1 x. = e(σ,P). 12.

(23) 3.2 TOO 短簽章法. 繼 Dan Boneh 提出的 BLS 短簽章法後，Raylin Tso 等學者於 2009 年也提出改良方案 -"Efficient Short Signatures from Pairing" (以下簡稱 TOO 法)，它與 BLS 法的差別在於簽章的產生及驗證方式，TOO 法不需將計算結果轉換為向量空間上的座標值，因此在每次計算中皆可省下 1 個運算的單位時間。能更進一步地的減少簽章與驗證所需要的計算成本，有效地提升短簽章的效率。. 簽章方法設定如下 : G1、G2 是序為 q 的雙線性群，即 ⅇ̂ : G1×G1 → G2；而 P 是 G1 的生成元，再設 n 為任一非零整數，密碼雜湊函式為 H : {0,1}∗→{0,1}n。. (1)產生金鑰(KeyGen):. . 在序 q 範圍內隨機挑選 n 個非零整數 a1,a2,……,an ∈ Z∗q；. . 再計算 V1 = a1P, V2 = a2P,…… , Vn = anP ∈ G1；. . 公鑰為< V1,V2,……,Vn >；私鑰為< a1, a2, …… , an >。. (2)產生簽章(Signature Generation):. . H(m) = (y1,y2,…,yn)，yi ∈ {0,1}，1 ≤ i ≤ n；. . 訊息m ∈ {0,1}∗；. . n 簽章σ = cP = (ĉ −1 mod q)P = (Σi=1 ai・yi)-1 P。. (3)驗證(Verification):. . n 設U =Σi=1 yi・Vi；檢查 ⅇ̂ (U,σ) = ⅇ̂ (P,P)是否成立，成立則驗證成功。. . 計算過程如下所示: ⅇ̂ (U,σ) n = ⅇ̂ (Σi=1 yi·Vi,cP). 13.

(24) n = ⅇ̂ (Σi=1 ai·yiP,^c−1P). = ⅇ̂ (ĉ P, ĉ −1P) −1. = ⅇ̂ (p, p)ĉ⋅ĉ = ⅇ̂ (P,P). 14.

(25) 3.3 TOO 法的破解方式(一). 然而 TOO 法接著面對數篇文獻的挑戰，如“Key substitution attacks on TSO et al.’s short signature scheme”[1]一文即是由 Chun-Hua Chen 與 Jonathon Tsai 於 2011 年所提出的相關攻擊論文，其中的要點在於運用金鑰替換攻擊法(Key substitution attack)來破解 TOO 法，分為兩種模式:. 第一種是強密鑰替換攻擊法(Strong-Key Substitution，以下簡稱 SKS)，針對同一個訊息 m，除原本的公鑰外，偽造者(攻擊方)還能找到另外的公鑰來跟簽章 σ 完成認證，但在這期間內則無法找到任何一把私鑰跟這支新的公鑰匹配；第二種則為弱密鑰替換攻擊法(Weak-Key Substitution，以下簡稱 WKS)，對同一個訊息 m，除了原本的公鑰外，偽造者(攻擊方)還能找到其他的公鑰來跟簽章 σ 完成認證，並且在這期間還可再找到另一把私鑰跟這支新的公鑰批配。此篇的作者認為，TOO 法可分別被上述的 SKS 及 WKS 法破解:. (1) 強密鑰替換攻擊法(SKS) - 因為 TOO 的 hash 組成元素非 1 即 0。而在為 0 的時候，與這個位置相匹配的公鑰即使被替換掉也不會影響到 Hash 計算出簽章的結果，因此能以 SKS 法成功破解，偽造出有效的簽章及另一副公鑰。. . 產生金鑰 : 私鑰 = < a1,a2,……,an > ∈ Z∗q；公鑰 = < V1,V2,……,Vn >，V1 = a1P，……,Vn = anP；偽造的公鑰 = Vn’。. . 產生簽章 : H(m) = (y1,y2,…,yn)，yi ∈ {0,1}，1 ≤ i ≤ n，設 yn = 0； n σ = (Σi=1 ai・yi)-1P n = (Σi=1 ai・yi + an・yn)-1P n−1 = (Σi=1 ai・yi + 0 )-1P. 15.

(26) n−1 = (Σi=1 ai・yi)-1P。. . 驗證 : n U = Σi=1 yi・Vi n−1 = Σi=1 yi・Vi + yn・Vn n−1 = Σi=1 yi・Vi + yn・Vn’ n−1 = Σi=1 yi・Vi + 0 n−1 = Σi=1 yi・Vi ；. = U’。因 U' = U，故證明在沒有惡意簽署人的情況下可用 SKS 方法偽造出的公鑰 V'可以通過驗證，故破解成功。. (2) 弱密鑰替換攻擊法(WKS)– 根據 TOO 法設定，我們可根據私鑰來計算出公鑰，並承續前項提到 TOO 法有著 “當 Hash 元素為 0 時，即可替換公鑰進行驗證”的特性。故攻擊者可根據持有自己的私鑰，加上變造過且有效的公鑰，進而計算出一把新的私鑰。. . 產生金鑰 : 私鑰 = < a1,a2,……,an > ∈ Z∗q；公鑰 = < V1,V2,……,Vn >，V1 = a1P，……,Vn = anP；偽造的私鑰 = an’ 偽造的公鑰 = Vn’。. . 產生簽章 : H(m) = (y1,y2,…,yn)，yi ∈ {0,1}，1 ≤ i ≤ n，設 yn = 0； n σ = (Σi=1 ai・yi)-1P n−1 = (Σi=1 ai・yi + an・yn)-1P n−1 = (Σi=1 ai・yi + an’・yn)-1P n−1 = (Σi=1 ai・yi + 0 )-1P. 16.

(27) n−1 = (Σi=1 ai・yi)-1P。. . 驗證 : n U = Σi=1 yi・Vi n−1 = Σi=1 yi・Vi + yn・Vn n−1 = Σi=1 yi・Vi + yn・Vn’ n−1 = Σi=1 yi・Vi + 0 n−1 = Σi=1 yi・Vi ；. =U’。. 因 U' = U，故證明在有惡意簽署人的情況下所用 WKS 方法偽造出的公鑰 V'亦可通過驗證，故破解成功。. 17.

(28) 3.4 TOO 法的破解方式(二). 在此介紹另一篇攻擊 TOO 法的文獻。Fanyu Kong、Lei Wu、Jia Yu 等人在 2011 年提出“Another Attack on Tso’s Short Signature Scheme Based on Bilinear Pairings”[4]，此論文運用漢明權重(hamming weight)來破解 TOO 法，步驟如下:. (1) 產生新的公鑰 . 將 TOO 法中的 H(m) = (y1,y2,…,yn)內的元素 y 分成兩類: D = y 的值為 1 的總和； D'= y 的值為 0 的總和。. . 隨機選出 P1~Ps-1 的整數，接著計算變造後的公鑰；變造後的 D 群公鑰為: V'1 = V1 + V2 + ...+ VS - P1 - P2 ...- Ps-1； V'2 = P1 ... V'S = Ps-1. 變造後的 D'群公鑰是: V*1 = V1； V*2 = V2 ... V*S = Vs. (2) 驗證新的公鑰 . 同 TOO 法的驗證方式，需確認 e(U',σ) = e(P, P)是否成立: U' = D 群的 yV'總和 + D'群的 yV*總和 *. = 1 * V'的總和 + 0 * V 的總和. = (V1 + V2 +...+ Vs - P1 - P2 -...- Ps-1) + P1 + P2 +...+ Ps-1 +0 18.

(29) = V1 + V2 + ... + Vs = U. . 因 U' = U，故證明偽造出來的公鑰 V'也是可以通過驗證的，破解成功。. 19.

(30) 第四章改良方案此章節將詳細介紹本文所提出的方案內容，我們根據 Tso 等學者所提出的 TOO 法為基礎，並參考 Chen 及 Kong 等學者所提出之攻擊論點，進而改良得到更具安全性的短簽章方法，以下將依序說明:. 4.1 定義參數. 我們將運用到雙線性配對(bilinear pairing)及密碼雜湊函式(Hash)來進行相關運算及驗證，下表是本論文中各項相關的參數與定義:. 表 4.1 各參數定義對照表 G1. 滿足雙線性配對 ⅇ̂ : G1 × G1 → G2 的加法群. G2. 滿足雙線性配對 ⅇ̂ : G1 × G1 → G2 的乘法群； G1 與 G2 可稱為雙線性群數對(Bilinear Groups). P. G1 的生成元(generator). q. G1、G2 的序(order). k. 本方案的安全參數， q ≥ 2k. n. 金鑰的位元長度，為任一非零之整數，q ≥ 2k = n. a. 私鑰. V. 公鑰. m. 訊息. H. 雜湊函式，H : {0,1}∗→{0,1}n. y. 雜湊函式 H 中各個位元. ĉ. 求簽章時所需要計算的參數，為私鑰(a)及雜湊函式之各位元素(y)相乘再跟序(q)做模運算後之總和. c. 求簽章時所需要計算的參數，為ĉ的倒數與序(q)做模運算之結果. σ. 訊息 m 的簽章. U. 驗證簽章時需要先計算的參數，為公鑰(V)及雜湊函式之各位元素(y) 相乘再跟序(q)做模運算後之總和. qh. 本方案在安全性驗證時，攻擊方可向簽名方詢問雜湊函式的最多次數. qs. 本方案在安全性驗證時，攻擊方可向簽名方詢問簽章的最多次數. 20.

(31) 4.2 產生金鑰. 金鑰的產生是首要步驟，使用者可透過下列次序求得本方案中所使用的公鑰與私鑰:. (1) 在序(q)的範圍內隨機挑選 n 個非零的整數，也就是 a1,a2,…,an ∈ Z∗q；. (2) 定義私鑰 a = < a1, a2, …, an >；. (3) 計算 V1 = a1P, V2 = a2P,…, Vn = anP ∈ G1，公鑰 V = < V1,V2,…,Vn >；. 4.3 產生簽章. 下一步則是要對訊息 m ∈ {0,1}∗計算數位簽章，將依下列步驟進行 :. (1) 計算 H(m,V) = (y1, y2,…, yn)，在此我們將訊息m及公鑰V帶入hash中運算出各y值，其中 yi ∈ {0,1}，1 ≤ i ≤ n；. n (2) 計算 ĉ = Σi=1 ai・yi mod q；. (3) 計算 c = ĉ −1 mod q；. (4) 計算 σ = cP ∈ G1，σ即為訊息m的簽章。. 21.

(32) 4.4 驗證簽章. 對簽章(σ)進行驗證時，則依照下列步驟進行:. (1) 計算 H(m,V) = (y1,y2,…,yn)，在此 yi ∈ {0,1}，1 ≤ i ≤ n；. (2) 計算 U = Σni=1 yi・Vi；. (3) 檢查 ⅇ̂ (U,σ) = ⅇ̂ (P,P)是否成立，成立則驗證成功，反之則驗證失敗。. (4) 正確性驗證過程如下 :. ⅇ̂ (U,σ) n = ⅇ̂ (Σi=1 yi·Vi, cP) n = ⅇ̂ (Σi=1 ai·yiP, ĉ −1P). = ⅇ̂ (ĉ P, ĉ −1P) −1. = ⅇ̂ (p, p)ĉ⋅ĉ = ⅇ̂ (P,P). 22.

(33) 第五章安全性證明接下來我們要於本章節對前述的改良方案進行安全性驗證，在 Random Oracle Model 的模式條件下，憑藉著 k-CAA 難問題來證明本論文提出的短簽章之無法偽造性 (Unforgeability)，與攻擊方的各種嘗試破解法之結果，運用兩者間的矛盾來驗證此論文所提出的短簽章方案具備可靠的安全性。. 5.1 環境設定. 首先我們設計兩個可透過特定的機制互通訊息並獨自運算的角色 : 攻擊者 F 與簽名者 A。F 將透過多次向 A 查詢資料，試圖破解 A 提供的短簽章方案；而 A 還另外持有 k-CAA 難問題(我們在此將常數 k 替換成另一個變數 qs，成為 qs-CAA 難問題)，A 將該難問題的參數包裝於回覆給 F 的答覆之中，試圖利用 F 計算出該難問題的解答。以下是兩個角色的設定:. (1)攻擊者 F – 嘗試破解本方案的人，其目標是破解本文所提出的短簽章方法，也就是製造出偽造的訊息(m*)與偽造的簽章(σ*)。我們假設 F 需遵守以下規則:. . 針對任一訊息m，可隨時向A詢問的雜湊函式與簽章，且在詢問同一個訊息m的資訊時，必定要在查詢過m的雜湊函式之後，才可查詢m的簽章。. . 可在最多查詢qh次的雜湊函式、最多查詢qs次的簽章以及在多項式可運算的時間(polynomial time)內，以選擇訊息攻擊(chosen message attack)之方式試圖破解本文的短簽章方案，若F可透過每次查詢得到的雜湊函式與簽章組合，計算出偽造的訊息與簽章(m*,σ*)並通過驗證，則定義F攻擊成功，假設其成功機率為ϵ。. . 根據章節4.1中的設定，n是金鑰的長度，而F未經查詢雜湊函式即求得偽造簽章的機率為1/2n，是個非常微小到可以忽略的數值，本文將略過此狀況，不納入研究。. . 根據前述，F最多可查詢簽章次數(qs)是個遠小於金鑰長度(n)的數值，亦可記 23.

(34) 做 : qs. < qh << n-1 。. (2)簽名者 A – 使用本文方案來為訊息簽署的人，但另外有著 qs-CAA 難問題。 A 將該難問題的解答設計為本方案內被偽造的訊息及其相對應之短簽章，若 F 能計算出偽造的訊息、簽章，則替 A 解決了它的 qs-CAA 難問題，A 的特性如下:. . A將盡可能供攻擊方F足夠的資訊量，即A必須隨時且即時的回答來自攻擊方F任何查詢雜湊函式或簽章之請求。. . 為了讓A能有齊全的準備來對應F的各種要求與情況，我們設計一暫存空間 : H-List，該清單最初始狀態是空的，它將能記錄所有的運算結果，供往後F查詢時，可從其中找尋相對應的答案。. . 在遇到特定情況時，將由A來宣告該次實驗失敗並終止(詳述於後)。. . 同章節 2.5 中的定理 3 ， A 的 qs-CAA 難問題為. : 提供 P 、 xP 及. {(h1,(1/x+h1)P),… ,(hqs, (1/x+hqs) P)}等元素,要找出(h∗,(1/x+h*)P)，且該 h∗ ∉ {h1, … ,hqs}。 . A在回答攻擊方的查詢請求時，將於特定狀況下(詳述於後)，把qs-CAA難問題的元素帶入於答覆內，試圖讓攻擊方在嘗試破解本文的短簽章方案的同時，也能找出A自身難問題的解答。我們設F可成功找出A的qs-CAA難問題解答的機率為ϵ’，將計算ϵ與ϵ’之關係如後。. 24.

(35) 5.2 查詢雜湊函式. F 可隨時向 A 詢問雜湊函式 Hash，以破解本文方案而產生偽造的訊息(m*)及簽章(σ*)，而 A 為了要回應這類的查詢，將以拋擲硬幣的方式來計算出各次查詢的答案且儲存在 H-List 中，並回覆給 F。另外，為了後續的驗證及運算，A 將依據章節 4.2 的設定，進行以下準備工作 :.  將 qs-CAA 難問題的 x 設為私鑰的最末一位數，私鑰重新設計 a = < a1, a2, …, aqs ,…. , an-1, x > ， {a1, a2, …, an-1} 是隨機整數；  計算公鑰 Vn = an P，發行給 F. 接著我們分析 F 針對訊息 mi 向 A 進行第 i 次查詢雜湊函式所對應的發生機率與回覆內容，各種結果如下列樹狀圖所示:. 圖 5.2 查詢雜湊函式各類狀況及機率分析樹狀圖. 首先，A 將拋擲一枚公正的硬幣，輸出的結果是ζi ∈ {0, 1}，而其機率為: Pr[ζi = 1] = Pr[ζi = 0] = 1/2。. . ζi = 0，A隨機的挑選n個bits的數列ωi = (yi,1 , … , yi,n−1 , yi,n )，其中 yi,j ∈ {0, 1}，且1 ≤ j ≤ n−1，特別要注意的是，在此我們將yi,n 的值設為 n−1 0，接著A計算ĉi = Σj=1 aj·yi,j mod q。最後，將該次的mi、ωi、ĉi、ζi等數值. 25.

(36) 記錄在H-List中，並將ωi回傳給F，ωi即為該次查詢之訊息(mi)所對應的雜湊函式值。. 由上述的設定可知，ζ i = 0表示在該次的查詢中，A回應給F的雜湊函式之尾數值是0，即H(m,V) = (y1, y2,…, yn-1, 0)，也表示私鑰a的尾數值x將不影響簽章的計算結果。. . ζi = 1，表該雜湊函式值的尾數是1，即H(m,V) = (y1, y2,…, yn-1, 1)，表示私鑰a的尾數值x將會影響簽章的計算結果，而為了能夠對應各種的狀況，我們依據BLS短簽章[2]文中在安全性驗證時對其各狀況機率常數之定義，將再次拋擲另一枚機率偏斜的硬幣，其輸出的結果計為πi ∈ {0, 1}，此兩種情況的機率與內容如下所列:. . Pr[πi = 1] = 1 – 1/qs. πi = 1，A挑選隨機的 hi ∈ {h1, … ,hk}，並且產出n−1個bit的數列 qs. ω i’= (yi,1, … ,yi,n − 1)，且 hi = Σj=1 aj·yi,j mod q。而根據A的環境設定，這些yi,j ∈ {0, 1}的數值是存在的，且整數數列Zq 也可用加法有效率的進行運算。因此，我們認為要找到數列ωi’並不困難。設yi,n = 1，則ωi = (yi,1 , … , yi,n)，同樣的，儲存該次的mi、ωi、ĉi、ζi等數值記錄於H-List內，並將該次訊息所對應的雜湊函式值ωi回傳給F。. . Pr[πi = 0] = 1/qs. πi = 0，A將產生隨機n個bit的數列ωi =. (yi,1 , …. , yi,n−1, yi,n)，. 其中yi,j ∈ {0, 1} ，而 1 ≤ j ≤ n − 1 ，且yi,n = 1。接下來A便可計 n−1 算ĉi =Σj=1 aj · yi,j mod q。假若計算的結果ĉ i ∈ {h1,… ,hqS}， A就. 需再挑選另一組n-1個bit的數列，直到重新計算出合適的ĉi為止。. 26.

(37) 綜合前述，A能依據上述三種不同狀況的設計，分別能將訊息mi相對應的雜湊方程式ωi計算出來，並儲存於H-List中且回傳給F，以答覆其查詢H的請求。彙整三種況狀的H-List如下表: 表 5.2 H-List在各狀況下之結果分析表. 27.

(38) 5.3 查詢簽章. 在我們設定之中，為了讓F能偽造出可破解本文所提出短簽章方案的訊息，我們讓F隨時於查詢過訊息 mi 的雜湊函式後，可再向A查詢mi的簽章。而接收A到F的查詢簽章請求時，將會從H-List中找尋相對應的簽章σi來答覆F。各種狀況及機率之分析同圖5.2，其各項內容詳述如下:. . ζi = 0，A可從H-List中找到先前因查詢Hash而計算過的ĉi值，進而求得ci = ĉi-1 mod q，接著計算簽章σi = ciP，我們便可回傳σi給F。此簽章的有效性驗證如下:. ⅇ̂ (Ui,σi) n = ⅇ̂ (Σi=1 yi·Vi , σi). = ⅇ̂ (ĉiP, ciP) −1. = ⅇ̂ (p, p)ĉ⋅ĉ = ⅇ̂ (P, P). 即證明該σi為mi的有效簽章。. . ζi = 1，且πi = 1時，A將運用自身qs-CAA難問題的設定計算出簽章σi。先前在5.1小節環境設定中提到過，我們將私鑰的最後一位數設計為x，即< a1, a2, …, aqs, x >，再加上可從H-List取得相對應的hi 值，便可再計算簽章σ i 並回傳給F，該σi運算過程及有效性的驗證分述如下:. σi = ciP = (ĉi−1 mod q )P n = (Σi=1 ai・yi)-1 P qs. = [(Σj=1 aij・yij)-1 + (1・x)-1] P = (hi + x)-1 P 28.

(39) = (1/x+hi)P. ⅇ̂ (Ui,σi) n = ⅇ̂ (Σi=1 yi·Vi , σi). = ⅇ̂ ((x+hi)P, 1/(x+hi)P) −1. = ⅇ̂ (p, p)(x+hi)⋅(x+hi) = ⅇ̂ (P, P). 即證明此處的σi為mi的有效簽章。. . ζi = 1，且πi = 0時，是我們專門設計來要讓F偽造攻擊的特殊狀況，在5.1 小節環境設定的定義中，此狀況下的簽章必須要由F偽造求得，並非由A提供給 F。因此，倘若F在此狀況下查詢了簽章，本實驗便無法繼續，A將立即回傳 “Failure”並終止本實驗行動，必須重新來過。. 29.

(40) 5.4 偽造與驗證. F 經由前面所描述的查詢雜湊函式，再進行查詢簽章等兩個動作，已可從 A 的 H-Lists 內求得各個訊息的參數，如 H(m∗,V*) = ω∗ = {y∗1, … ,y∗n}，並從這些足夠的資訊中偽造出(m∗, σ∗)。假若 F 偽造出的訊息 m 及簽章σ∗是有效的，則應滿足下方 *. 條件:. n ⅇ̂ (Σi=1 y∗i·Vi ,σ∗) = ⅇ̂ (P, P). 為了驗證 F 偽造的訊息 m∗與簽章σ∗，A 將從 H-List 中對照它們的ζ∗與π∗值，可能的遭遇情況有:. . 當ζ∗ = 0時，因雜湊函式值的尾數是0，表示F即使攻擊成功，對A破解自己的難問題也沒有幫助，故我們將這情況略過，不予以討論；. . 當ζ ∗ = 1且π ∗ = 1時，依照前一小節5.3中的設定，簽章是從A運用自身qsCAA難問題的設定計算出來的，而非由F偽造而得，在這此矛盾的現象下我們可確定該次的偽造攻擊失敗了，A將宣告終止此實驗，必須重新開始。. . 當 ζ ∗ = 1 且 π ∗ = 0 時，表示此時的 ĉ 值並不存在於 H-List 中，即 ĉ ∗ ∉ {h1,… ,hqS}，而(ĉ∗, σ∗) = (ĉ∗, 1/(x+ĉ*)P)就是F替A找到的qS-CAA難問題之解答。. 接著計算“A可藉由F來解決qS-CAA難問題的機率”，首先我們分析A可成功解答自身qs-CAA難問題的條件，如下：. . E1 : 對訊息m*而言，σ∗為一有效的簽章。 Pr[E1] = 1/2 · 1/qs = 1/2qs = ϵ 30.

(41) . E2 : A在本實驗結束前，都未宣告偽造失敗而中止實驗。 Pr[E2] = [1/2 + 1/2 · (1 - 1/qs)]qs = (1 – 1/2qS)qS. 因此，A可藉由F來解決qS-CAA難問題的機率應為 : AdvqS−CAAA = Pr[E1 ∧ E2] = Pr[E1] · Pr[E2|E1] = (1 – 1/2qS)qS·(1/2qS)ϵ. F可成功破解本文點簽章方案的機率為: ϵ = ϵ’[(1 – 1/2qS)qS·(1/2qS)]-1. 然而，A的qs-CAA難問題是無法在可運算時間內被破解的，即ϵ’ ≈ 0 。也因此 ϵ = ϵ’[(1 – 1/2qS)qS·(1/2qS)]-1 ≈ 0，表示攻擊者F近乎不可能的偽造出有效訊息與簽章，因此攻擊方無法以「選擇訊息」的攻擊方式來破解本論文的短簽章方案，即本方案具備一定的安全性。. 在另一方面，我們將計算簽章因素之一的雜湊函式設定為H(m,V)，其輸入是訊息與公鑰，假若公鑰(V)被更動或替換，則該雜湊函式將產出不同的簽章，是故「公鑰替換」等攻擊方式亦無法破解本文所提出的短簽章方法，證明結束。. 31.

(42) 第六章結論及未來展望在 BYOD(Bring Your Own Device)人手至少一機的時代，通訊儼然已成為當代人必須的生活資源，甚至可被稱為繼陽光、空氣、水和土壤等人類生活四大元素之後的第五元素，足以反映現代人們起居作息對網路的依賴性。而為了節省移動通訊設備 (如 PDF 或手機)的電力，我們需要具備高效率和低廉成本的簽名方案。. 在本文中，我們改良了 TOO 短簽章方案，並基於 k-CAA 問題，在隨機預言機模型(Random Oracle Model)中為我們的方案提供了嚴格的安全性證明。此方案適用於各種網路資訊匱乏或通訊資源珍貴的系統中，如物聯網(Internet of Things， IoT)，本文的短簽章方案便可更進一步地使其在低計算量或低儲存空間的架構與環境中實現，將運用延伸至更廣泛的情境；也因通訊、運算、儲存成本的降低，在普及率及使用頻率上應能獲得相對應之提升。. 32.

(43) 參考文獻 [1] Chun-Hua Chen, Jonathan Tsai, “Key substitution attacks on TSO et al.’s short signature scheme”, Proceedings of the 30th Workshop on Combinatorial Mathematics and Computation Theory, P.81-84, 2011.. [2] Dan Boneh, Ben Lynn, Hovav Shacham, “Short Signatures from the Weil Pairing”, Advances in Cryptology - ASIACRYPT 2001, P.516-534, 2001.. [3] Dan Boneh, Xavier Boyen, “Short Signatures Without Random Oracles”, Advances in Cryptology - EUROCRYPT 2004, volume 3027 of Lecture Notes in Computer Science, P.56-73, 2004.. [4] Fanyu Kong, Lei Wu, Jia Yu, “Another Attack on Tso’s Short Signature Scheme Based on Bilinear Pairings”, ISSN 1662-7482,Vols.63-64, P.785788, 2011.. [5] Fangguo Zhang, Reihaneh Safavi-Naini, Willy Susilo, “An efficient signature scheme from bilinear pairing and its application”, PKC’04, Lecture Notes in Computer Science 2947, P.277-290, 2004.. [6] Leo Ducas, Daniele Micciancio, “Improved Short Lattice Signatures in the Standard Model”, International Cryptology Conference : Advances in Cryptology–CRYPTO 2014, P.335-352, 2014.. [7] Li Kang, Xiaohu Tang, Xianhui Lu, Jia Fan, “A Short Signature Scheme in the Standard Model”, Cryptology ePrint Archive: Report 2007/398 , 2007.. 33.

(44) [8] Mihir Bellare, Phillip Rogaway, “Random oracles are practical: a paradigm. for. designing. efficient. protocols”,. Computer. and. Communications Security 1993, ACM Conference, P.62-73, 1993.. [9] Raylin Tso, Takeshi Okamoto, Eiji Okamoto, “Efficient Short Signatures from Pairing”, Information Technology : New Generations, P.417-422, 2009.. [10] SHA-2, Wikipedia, https://en.wikipedia.org/wiki/SHA-2.. [11]. Shigeo. MITSUNARI,. Ryuichi. SAKAI,. Masao. KASAHARA,. “New. Traitor. Tracing”, IEICE TRANS. FUNDAMENTALS, VOL.E85–A, P.481-484, 2002.. [12] Xavier Boyen, Qinyi Li, “Towards Tightly Secure Short Signature and IBE”, IACR Cryptology ePrint Archive, 2016.. [13]. Xinyi. Huang,. Yi. “Certificateless. Mu,. Willy. Signature. Susilo,. Duncan. Revisited”,. S.. Wong,. Information. Wei. Security. Wu1, and. Privacy - 12th Australasian Conference ACISP, P.308-322, 2007.. [14] Xiong Fan, Juan Garayy, Payman Mohassel, “Short and Adjustable Signatures”, Cryptology ePrint Archive: Report 2016/549, 2016.. [15] Ying-Hao Hung, Sen-Shan Huang, Yuh-Min Tseng, “A Short Certificatebased Signature Scheme with Provable Security”, ISSN 1392–124X (print), ISSN 2335–884X (online) INFORMATION TECHNOLOGY AND CONTROL, 2016.. [16] 陳維魁, 葉義雄, “單向雜湊函數在數位現金及電子選票上之應用”, 國立交通大學機構典藏, 2000. 34.

(45) [17] 張皓然, “數位生活-行動裝置身分驗證與安全機制介紹”, 金融聯合徵信第三十期專題報導, P.19-23, 2017. [18] 張惟淙, 楊中皇, “結合智慧卡的 ECDSA 數位簽章軟體設計與實現”, 第三屆危機管理國際學術研討會-會議論文, P.J19-J26, 2005.. [19] 高志中, “以 DR Signature 配合隨機式 RSA 部分盲簽章所建構之數位內容多受款者付款機制”, 中央大學資訊管理學系學位論文, P.1-56, 2006.. [20] 羅濟群,黃俊傑, “一個應用於行動商務環境中以群體為導向－提名式代理簽章機制為基底之數位版權管理架構”, 資訊管理學報 Vol. No.17, P.117-139, 2010.. [21] 楊中皇, 徐燕貞, 王雪莉, 葉鵬誌, 高儷芳, “IC 卡安全網路下單系統的設計與實現”, TANET 2000 台灣網際網路研討會-會議論文, P.82-86, 2000.. [22] 楊劍東, 宋祚忠, 邱棋鴻, “RFID 在遊艇裝備供應商庫存作業之應用研究”, 中國造船暨輪機工程學刊 - 25 卷 1 期, P.47–58, 2006.. [23] 葉杰榮, 謝祥尹, 謝劭杰, 楊中皇, “IC 卡安全電子郵件系統”, 第五屆資訊管理研究暨實務研討會-會議論文, P.203-210, 1998. 35.

(46)