基於免憑證的定時釋出加密系統以及其在可認證電子郵件系統之應用 - 政大學術集成
55
0
0
全文
(2) 基於免憑證的定時釋出加密系統以及 其在可認證電子郵件系統之應用 Certificateless Timed-Release Encryption and Its Application to Certified Email System 研 究 生:林欣瑤. Student:Shin-Yau Lin. 指導教授:左瑞麟. Advisor:Ray-Lin Tso. 政 治 大. 國立政治大學 資訊科學系 碩士論文. 學. ‧ 國. 立. ‧ sit. y. Nat. n. er. io. A Thesis submitted ato Department of Computer v Science i l National n C hChengchi University U e n gofcthe h iRequirements in partial fulfillment for the degree of Master in Computer Science. 中華民國一百零一年七月 July 2012.
(3) 基於免憑證的定時釋出加密系統以及 其在可認證電子郵件系統之應用. 摘要. 本論文提出了一個免憑證加密系統的方案,並且將此方案實作出來,使得此 方案更具實用性。此方案主要架構為免憑證加密系統,利用此系統的特性消除傳. 政 治 大 加密系統的私鑰託管問題,有效的結合了兩項系統的優點,並且提高了這兩種系 立. 統公開金鑰密碼系統中需要公開金鑰憑證認證的麻煩,也不會產生基於身分認證. ‧ 國. 學. 統的安全性及方便性。本論文的協定中,在基於身分認證加密系統的公鑰部分還 加入了階級以及時間戳記的概念,用以限制接收方取得部份私鑰的能力,並且也. ‧. 將接收方的部分公鑰加入其中,來增加部份私鑰的安全性。另外此協定也加入了. sit. y. Nat. 提早解密金鑰的部分,可讓傳送方在傳出密文後更改解密時間,而不需要重新使. n. al. er. io. 用新的公鑰加密資訊,便可提早讓接收方取得相對應的明文資訊。. Ch. engchi. i n U. v.
(4) Certificateless Timed-Release Encryption and Its Application to Certified Email System. Abstract. In this paper, we propose a new certificateless public key encryption system, and implement it for securing e-mail systems. Certificateless cryptography, which is in. 政 治 大 certificates to guarantee the立 authenticity of public key. It does rely on the use of a contrast to traditional public key crypto-systems, does not require the use of. ‧ 國. 學. trusted third party (TTP) who is in possession of a master key, just like the identity-based public key cryptography. However, certificateless public key. ‧. crypto-system does not suffer from the key escrow property, whereas, it is a problem. sit. y. Nat. in the identity-based public key crypto-systems. Moreover, in our system, we add. n. al. er. io. some new properties like level and time-stamp to limit the ability of receivers and to. i n U. v. promote the safety of the system. Time-stamp ensures that the ciphertext cannot be. Ch. engchi. decrypted before the indicated time and a level ensures that only the user with the corresponding identity and level can decrypt the ciphertext. In addition, a new feature is also introduced which is called the time-release encryption. Time-release encryption allows the encrypter to publish a release key so that the ciphertext can be decrypted by the receiver before the time indicated in the time-stamp when necessary..
(5) 致謝 一轉眼兩年的時間就這樣過去了,在政大的這兩年中,不只學到了學術上的 知識,回想起剛開學時,實驗室還在整修,而同學們也都還互相不熟悉。剛好從 日本來了一位短暫停留的研究生 Yanai,在短短一個月中,我們便與這位日本朋 友建立了良好的友誼,也交到了一位外國朋友。可是天下無不散之宴席,很快的 我即將離開這個熟悉的校園。 首先,我要誠摯的感謝我的指導教授左瑞麟老師,謝謝老師總是不厭其煩的 告訴我錯誤的部分,並且耐心的教導我研究的內容並且指引我研究的方向,才能. 政 治 大 我研究內容有疑問的時候與我討論,並且想出解決方法。還有學長士峰、致諺及 立. 讓我能夠順利的通過口試。再來,我要感謝我們實驗室的凱彬、承峰、漢光,在. ‧ 國. 學. 圖學的明諺,謝謝你們陪我共同度過在這政大的兩年時光,因為有你們讓我的生 活變得多采多姿。最後,我要謝謝我的家人,因為有你們的鼓勵和支持,我才能. ‧. 夠有現在的成就。. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v.
(6) 目錄 圖目錄 ...................................................................................................................................... iii 第一章. 緒論.......................................................................................................................... 1. 1.1 研究背景 ......................................................................................................................... 1 1.2 研究動機與目的 ............................................................................................................. 4 1.3 本文貢獻 ......................................................................................................................... 5 1.4 論文架構 ......................................................................................................................... 6 第二章. 背景介紹.................................................................................................................. 7. 政 治 大. 2.1 雙線性配對 ..................................................................................................................... 7. 立. 2.1.1 雙線性配對(Bilinear Pairing) ................................................................................. 7. ‧ 國. 學. 2.1.2 相關數論介紹 .......................................................................................................... 8 2.2 近代密碼學簡介 ........................................................................................................... 10. ‧. 2.2.1 對稱式金鑰加密系統(Symmetric Key Encryption Cryptography):................... 11. Nat. sit. y. 2.2.2 公開金鑰加密系統(Public Key Encryption Cryptography): .............................. 12. n. al. er. io. 2.2.3 基於身分認證的加密系統(Identity-based Encryption Cryptography): ............. 13. i n U. v. 2.2.4 免憑證公鑰加密系統(Certificateless Public Key Cryptography): ..................... 15. Ch. engchi. 第三章 相關文獻介紹 ........................................................................................................... 17 3.1 Hwang 等學者提出的 Timed-Release Encryption with Pre-open Capability and Its Application to Certified E-mail System ............................................................................... 17 3.2 Al-Riyami 等學者提出的 Certificateless Public Key Cryptography .......................... 19 3.3 Yang 等學者提出的 An Improved Certificateless Authenticated Key Agreement Protocol ............................................................................................................................... 21 第四章 研究方法 ................................................................................................................... 24 4.1 提案方式 ....................................................................................................................... 24 第五章 安全性分析與系統實作 ........................................................................................... 30. i.
(7) 5.1 證明方法介紹 ............................................................................................................... 30 5.1.1 攻擊者介紹 ............................................................................................................ 30 5.1.2 Random Oracle Model ........................................................................................... 31 5.2 安全性證明 ................................................................................................................... 32 5.4 系統實作 ....................................................................................................................... 39 5.4.1 實作環境 ................................................................................................................ 39 5.4.2 系統流程 ................................................................................................................ 39 第六章 結論及未來展望 ....................................................................................................... 45 第七章 參考文獻 ................................................................................................................... 46. 立. 政 治 大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. ii. i n U. v.
(8) 圖目錄 圖 一 密碼系統...................................................................................................... 10 圖 二 對稱式金鑰加密系統 ................................................................................. 11 圖 三 公開金鑰加密系統 ..................................................................................... 12 圖 四 基於身分認證加密系統 ............................................................................. 14 圖 五 免憑證公鑰加密系統 ................................................................................. 16 圖 六 Yang 等學者的協定 .................................................................................... 23. 政 治 大. 圖 七 使用者 i 取得部分私密金鑰流程圖 .......................................................... 26. 立. 圖 八 接收方向 KGC 取得部分私鑰解密 ........................................................... 28. ‧ 國. 學. 圖 九 傳送方提早公開解密金鑰給接收方解密 ................................................. 29 圖 十 使用者使用系統流程 ................................................................................. 40. ‧. 圖 十一 KGC 計算使用者部分私鑰 Di 流程 ...................................................... 41. y. Nat. sit. 圖 十二 使用者新增畫面 ..................................................................................... 42. n. al. er. io. 圖 十三 使用者列表 ............................................................................................. 42. i n U. v. 圖 十四 索取部分金鑰 Di 值 ................................................................................ 43. Ch. engchi. 圖 十五 使用 3DES 加密的私鑰 Di ..................................................................... 43 圖 十六 部分私鑰 Di 的內容 ................................................................................ 43 圖 十七 使用私鑰 Si 將文件解密 ......................................................................... 44. iii.
(9) 第一章. 緒論. 本章節大致介紹關於本篇論文的研究背景,詳細的介紹本論文的研究動機及目的 以及本篇論文的貢獻,並且介紹本論文的基本架構。. 1.1 研究背景. 政 治 大. 密碼學一開始使用於軍事戰爭中,在雙方交戰時為了避免讓敵方取得我方的. 立. 軍事機密,因此開始產生了一些簡單的密碼學,但隨著時代及資訊科技的進步,. ‧ 國. 學. 密碼學的發展也越來越快。在電腦科技發展迅速的現在,密碼學已轉為主要針對 電腦通訊傳輸以及電腦資料安全上的主要工具,並且不只將此使用於軍事戰爭中,. ‧. 也在許多的商業行為活動下,提升了電子商務的資訊安全性。. y. Nat. sit. 在 1976 年,Diffie 和 Hellman[1]提出了非對稱式的公開金鑰加密系統的概念,. n. al. er. io. 這項發表使得密碼學的領域及其應用變得更加的廣泛。由原來的對稱式金鑰加密. i n U. v. 系統,也就是加密及解密使用相同的鑰匙的觀念轉換到公開金鑰加密系統,亦即,. Ch. engchi. 加密與解密所使用的鑰匙分別為不同的一對鑰匙,這個概念改變了密碼學及網際 網路訊息傳輸的發展。由於公開金鑰加密系統能解決傳統的對稱式金鑰加密系統 所出現的密鑰分配問題、金鑰管理困難的問題及不可否認性的問題,因此公開金 鑰加密系統很快的在網際網路傳輸訊息的使用上普及。善用公開金鑰加密系統所 擁有之不可否認性的特性,因此也發展出了數位簽章(digital signature) [3]的理論。 隨著數位簽章的發展越來越進步,使用率越來越高,隨之電子商務行為及 E 化 的政府機關也逐漸的在許多的國家中普及。在這種環境的前提下,訊息的傳輸方 式需要更有效更安全,或更有彈性的協議來避免訊息被竊聽。 1.
(10) 而在 1984 年,Shamir[4]提出了基於身分認證的加密系統 IBE (identity-based cryptography),此系統以另一種方式使用了公開金鑰加密系統,並且解決了公開 加密系統中需使用公開金鑰基礎建設 PKI (Public key infrastructure)及需要憑證管 理中心 CA (certificate authority)的條件。因傳統公開金鑰加密系統需要向 PKI 取 得公開金鑰憑證的資訊,而在取得前必須先有認證之過程,而 IBE 則省略了這 些過程。IBE 中用戶的公鑰是公開的,而用戶的公鑰便是用戶的公開身分資訊。 用戶的公開身分資訊可用姓名+地址,手機電話號碼,身分證字號,或是 e-mail 等資訊來做為辨識,我們則稱這些資訊為 ID。我們在使用基於身分認證的加密. 政 治 大 也不需要對公鑰的真實性做驗證,他人直接便可使用其公鑰。但在基於身分認證 立. 系統進行保密與認證時,因已知對方的公開身分資訊,所以不需在資料庫中尋找,. 的加密系統中,所有使用者的私鑰都是由私鑰生成中心 PKG (Private key. ‧ 國. 學. generation center)所產生。私鑰生成中心(PKG)利用系統主要密鑰(master key)而產. y. Nat. 此在安全性上也會造成金鑰託管的危險。. ‧. 生每個使用者的私鑰,因為如此私鑰生成中心(PKG)則知道每個用戶的私鑰,因. er. io. sit. 為了解決基於身分認證的加密系統(IBE)所產生私鑰託管的問題,因此由 Al-Riyami 和 Paterson[3]提出了免憑證公鑰加密系統(certificateless public key. al. n. v i n cryptography)。免憑證公鑰加密系統與需要使用 PKI 的傳統公鑰加密系統相比, Ch engchi U 免憑證公鑰加密系統與基於身分認證的加密系統(IBE)一樣不需要公鑰憑證,但. 是免憑證公鑰加密系統卻消除了基於身分認證的加密系統(IBE)所存在的私鑰託 管問題。免憑證公鑰加密系統結合了傳統的公鑰加密系統及基於身分認證的加密 系統(IBE)兩套系統中的優點,並且在一定程度上解決了兩套系統中的缺點。 雖然免憑證公鑰加密系統依舊存在著一個第三方的密鑰生成中心 KGC(key generation center),KGC 一樣擁有系統主要密鑰(master key),但是與私鑰生成中 心(PKG)不同的地方在於 KGC 是根據用戶的身分及主要密鑰去計算用戶的部分 私鑰,用戶收到部分私鑰後,再將接收到的部分私鑰與用戶自行挑選的密鑰產生 2.
(11) 完整的私鑰,因此 KGC 便無法得到使用者完整的私鑰內容,因而達到克服基於 身分認證的加密系統(IBE)所存在的私鑰託管問題。. 立. 政 治 大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 3. i n U. v.
(12) 1.2 研究動機與目的 在資訊科技及網際網路發展迅速的時代,有許多的個人及商業資訊都已數位 化,雖然網際網路的發達及資訊的數位化使得我們的生活更加便利,但也使得個 人或公司的機密資訊較容易為他人所取得。為了降低資訊被盜取的可能,便產生 了像防火牆之類的方式來保護機密資訊,可是在機密資訊傳遞的情況下,機密資 訊被從中竊取的機率增加,甚至會有被從中竄改的可能。在這些安全性的需求下 便產生了許多不同的安全性運輸的協定或方式,像是 SSL 的安全性通道使得第 三者無法取得資訊或是使用加密演算法,使得第三者取得文件但也無法解讀文件. 政 治 大 加密方式從最早的對稱式金鑰加密系統(Symmetric Key Cryptography),這種 立. 內容。. ‧ 國. 學. 加密方式由於無法解決密鑰分配的問題,而產生後來的公開金鑰加密系統(Public Key Cryptography),另外,由於在公開金鑰密碼系統中公鑰憑證驗證的麻煩,才. ‧. 又出現了基於身分認證的加密系統(Identity-Based Encryption Cryptography)的加. sit. y. Nat. 密方案。. al. er. io. 基於身分認證加密系統則是不需使用公開金鑰憑證,只需使用關於個人資料. v. n. 的資訊做為公開金鑰。這種加密系統省去了公開金鑰憑證的麻煩,因此在實際的. Ch. engchi. i n U. 操作設計下,這種加密方式更容易實現在實際應用上。這種加密系統方便且容易 應用,可是這種系統卻產生了私鑰託管的問題,因此本篇文章使用免憑證的加密 系統(Certificateless Public Key Cryptography)來化解私鑰託管的問題。免憑證加密 系統具有一項優點是有部分私鑰依舊由密鑰生成中心 PKG 所產生,在此系統中 的使用者具有另一部份的私鑰。基於數學上的難問題,他人無法由密鑰生成中心 所產生的部分私鑰推出使用者的機密值,因而達到資訊的安全性。並且可以利用 完整私鑰內容需要密鑰生成中心所提供的部分私鑰的條件,控制接收方取得完整 私鑰的時間點,因此可以做事先的文件傳送的部分,而不用擔心接收方提早得到 資訊。 4.
(13) 1.3 本文貢獻. 本篇論文設計一個可實際運用在網際網路上的免憑證加密系統,並且實作這 個系統。文章中利用免憑證加密系統的特性,解決了在基於身分認證的加密系統 上私鑰託管的問題,使得免憑證加密系統在網際網路上的使用變得更加的廣闊。 本論文除了消除了第三章中所提到的各種協定中的缺點外,使得文獻中的所有優 點都被善加的利用,成為更加安全且有效利用的協定。 本研究結合了文獻[11][12][13]的優點。在這些文獻中我們發現了在使用秘密資. 政 治 大 時間點之後才能取得相對應的私鑰。但如果傳送方想要提早公開加密內容的資訊, 立 訊交換時可在接收方的公鑰資訊上加上時間戳記,讓接收方只能在傳送方設定的. ‧ 國. 學. 則可不需透過 KGC 傳遞部分私鑰,而使用提早公開傳送方的機密值的方式,便 可達到提早公布資訊的結果。在本論文中還加入了階級的概念,使得接收方的個. ‧. 人身分及階級被傳送方所限制。. sit. y. Nat. 我們利用了文獻[12]的概念修改了文獻[11],使得我們協定的效能更好,花費. al. er. io. 的時間較低。並且取代了文獻[12]中無法提早公開加密內容資訊的問題,並且將. v. n. 文獻[13]中在基於身分認證的加密系統中的公鑰裡,加入使用者的部分公鑰,用. Ch. engchi. i n U. 以增加安全性。本篇論文將第三章中所提到的文獻優點集結,讓免憑證加密系統 可運用的範圍更廣,在實際的傳輸上速度更快,安全性更佳,但卻不會增加使用 者的麻煩。. 5.
(14) 1.4 論文架構. 在本論文中,共分為六個章節來做探討,各章節內容架構大致如下: ●第一章為緒論。以本篇論文的研究背景、研究動機及研究貢獻做簡單的介紹。 ●第二章為背景介紹,介紹關於後續會使用到的雙線性配對函數、在密碼學上的 相關數學問題及數學上的難問題與定義做簡單的介紹,並對近代的加密系統 做一完整的介紹。 ●第三章為相關文獻介紹,介紹對過去三篇相關文獻做簡要的介紹。. 政 治 大 ●第五章為安全性分析與系統實作,對於本篇論文提出的方式分析系統的安全性 立 ●第四章為研究方法,介紹本篇論文主要提出的使用方式及解決方法。. ‧ 國. 學. 及探討實作結果。. ●第六章為結論與未來展望,對本篇論文做一完整的總結外,並提出此系統在未. ‧. 來能夠改進及探討的部分。. n. er. io. sit. y. Nat. al. Ch. engchi. 6. i n U. v.
(15) 第二章. 背景介紹. 現今許多的加密方案中,都是使用到雙線性配對的運算,並且在這個運算下去實 作。因此在本章中將會簡單的介紹雙線性配對的基本概念以及關於現代密碼學的 基本介紹。. 2.1 雙線性配對. 立. 政 治 大. 本節將會介紹簡單雙線性配對的基本概念,並且針對雙線性配對的幾種數學. ‧ 國. 學. 難問題做介紹。. ‧. 2.1.1 雙線性配對(Bilinear Pairing). sit. y. Nat. io. al. n. 一些相關的基本運算。. er. 本篇文章中的演算法部分主要是使用雙線性配對的性質來計算,下面為介紹. Ch. i n U. v. 雙線性配對是一線性映射函數(Bilinear Map),由一個群對應到另外一個群,. engchi. 其中的 G1 是一個循環式(Cyclic)的加法群(Additive Group),而 G2 是一個循環式 的乘法群(Multiplicative Group),G1 及 G2 當中的序(Order)皆為一質數 q,P 是 G1 的生成元(Generator),雙線性配對可表示為 e:G1×G1G2。假設離散對數問題(將 在 2.1.2 中介紹)在 G1 及 G2 的群中都非常得困難,則我們可以得到下面三個性 質: (1) 雙線性(Bilinear): 所有的 P, Q∈G1,所有的 a, b∈Zq*,我們會得到 e(aP, bQ)=e(P, Q) ab (2) 非退化性(Non-degenerate): 如果 P 是 G1 中的生成元,那 e(P, P)也會是 G2 的生成元,且滿足 e(P, P)≠1 7.
(16) (3) 可計算性(Computable): 如果所有的 P, Q∈G1 則存在有效率的演算法可計算 e(P, Q)∈G2. 2.1.2 相關數論介紹. 密碼系統的安全性大多是建立在計算複雜度很高的難題上,大多都為數學理 論上的因數分解及離散對數問題,以下為本篇論文會使用到的數學上的難問題。. 定理一:. 政 治 大. 離散對數問題(Discrete Logarithm Problem ,DLP):. 立. 首先定義一個乘法群 G = Zp*,接著找到一個生成元(generator) g ∈ G,其序. ‧ 國. 學. (order)為 p-1,所有在乘法群 G 中的元素 y 均可表示為 y=gx (mod p),而 1≤ x ≤ p-1。 給定 y, g, p,一般相信由 y, g, p 找到 x 滿足 gx = y (mod p)是困難的,此一問題為. ‧. 離散對數問題。. n. al. er. io. sit. y. Nat 定理二:. i n U. v. 計算性 Diffie-Hellman 難問題(Computational Diffie-Hellman Problem, CDHP):. Ch. engchi. 令 p 為很大的質數,G 為一個乘法循環群,其序(order)為 q, g 是循環群 G 的生成元(generator)且 p=2q+1,在已知 g、ga(mod p) 、及 gb(mod p)的條件下, 算出 gab(mod p)是非常困難的,這個問題即為計算性 Diffie-Hellman 難問題。. 定理三: 橢圓曲線下的計算性 Diffie-Hellman 難問題(Elliptic Curve Computational Diffie-Hellman Problem, ECCDHP): 8.
(17) G1 為一加法循環群,其序(order)為 q,且 a,b∈ Zq*,如果 P∈G1 且 P 為 G1 的 生成元(generator),在已知 P、aP、及 bP 的條件下,要求出解 abP 的問題是非常 困難的,這個問題即為在橢圓曲線下的計算性 Diffie-Hellman 難問題。. 定理四: 雙線性 Diffie-Hellman 難問題(Billnear Diffie-Hellman Problem, BDHP): G1 為一加法循環群,其序(order)為 q,G2 為一乘法循環群,其序(order)也為 q,且 e 是一個 bilinear map e:G1×G1G2。如果 a,b,c∈ Zq*,P∈G1 且 P 為 G1 的 生成元(generator),在已知 P、aP、bP、cP 的條件下,要求得 e(P, P) abc∈G2 的問. 政 治 大 題是非常困難的,這個問題即為雙線性 Diffie-Hellman 難問題。 立. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 9. i n U. v.
(18) 2.2 近代密碼學簡介. 密碼學主要是研究如何秘密地傳送訊息的科學。直到近代之前的密碼學純粹 指加密演算法,是將可理解的訊息轉換成難以理解的訊息,只有收到訊息的接收 方才可利用解密演算法將訊息轉換成原本的形式。 一個用來加解密的系統稱為一個密碼系統(Cryptosystem)。加密前可解讀之 訊息稱之為明文(Plaintext),加密後的不可直接解讀之訊息稱為密文(Ciphertext)。 其大概架構為圖一。. 立. 政 治 大 圖 一 密碼系統. ‧ 國. 學. 在古典密碼學中,有兩個較為著名的加密方式,其一是換位加密法. ‧. (Permutation Cipher)。主要是藉由改變字母順序達到加密效果的加密法,例如將. sit. y. Nat. 「encryption system」改寫為「onpecyinrt mteyss」,而接收方在收到這份訊息後. io. er. 可利用解密本查到字母的調換順序,由此達到解密的效果。. 另外一種則是替換加密法(Substitution Cipher),例如著名的凱撒加密法,是. al. n. v i n C。 將全部的字母替換成第三個字母 「encryption system」改寫為「gpetarvkqp h例如 e n,將 gchi U uauvgo」,只有接收方知道如何將此訊息解密,在收到訊息後便可輕易的得到原 本的訊息,因而達到機密性。 這兩種加密方式都是前人為了確保訊息的機密性而發展出的一些簡單的加 密方式,但是這兩種都並不是十分安全,可能在傳送的過程中,除了傳送方和接 收方外,有第三者擷取到資訊並且破解文件的內容,因此不足以提供足夠的機密 性。 在現代的密碼體系中,大致將安全性的條件分成了五種: 1. 機密性:資訊內容除了傳送方與接收方外不應該讓第三者獲得 10.
(19) 2. 完整性:確保接收方得到的資訊內容是完整的 3. 可用性:防止未經授權的第三者獨占系統或使系統當機,使得合法的使 用者無法使用系統 4. 可驗證性:接收方可以確認資訊內容為傳送方所送出 5. 不可否認性:傳送方不可否認自己所發出的資訊 由於古典密碼學只達成機密性的安全性要求,因此近代為了滿足這些安全性 的密碼系統便不斷的提出不同的加密協定,而目前這些密碼系統大致分成「對稱 式金鑰加密系統」、「公開金鑰加密系統」,而在公開金鑰加密系統下,又分為. 政 治 大. 「傳統公開金鑰加密系統」、「基於身分認證的加密系統」以及「免憑證公鑰加. 立. 密系統」。. ‧ 國. 學. 2.2.1 對稱式金鑰加密系統(Symmetric Key Encryption Cryptography):. ‧ sit. y. Nat. 在使用這種加密系統前,傳送方與接收方必須先決定一對雙方共同持有的公. n. al. er. io. 共金鑰。在傳送訊息前,傳送方會利用這把金鑰對訊息加密,而接收方接到此加 密後的密文後便利用相同的金鑰對密文解密。如圖二。. Ch. engchi. i n U. v. 在這種加密系統中要確保的就是這把金鑰不能被第三者所取得,而在對稱式 金鑰密碼系統中比較有名的就是 DES 密碼系統[7]及 AES 密碼系統[8]。. 圖 二 對稱式金鑰加密系統. 11.
(20) 2.2.2 公開金鑰加密系統(Public Key Encryption Cryptography):. 公開金鑰加密系統又稱為「非對稱式金鑰加密系統」,這種密碼系統的特色 不同於對稱式金鑰密碼系統,最大的特色就是加密與解密所使用的金鑰為兩種不 同的金鑰。 在 1976 年,Diffie 和 Hellman[1]提出了非對稱式的公開金鑰加密系統[3] 的概 念。這種密碼系統的金鑰是成對的方式存在,雖是一對不同的值但卻具有數學相 關性質的一對金鑰。在這種加密系統中,兩把金鑰分別稱為「公開金鑰」以及「私. 政 治 大 為解密者所有,並且從數學計算中無法從「公開金鑰」推算出「私密金鑰」的數 立 密金鑰」。「公開金鑰」顧名思義便是公開給所有的使用者,而「私密金鑰」只. 值。. ‧ 國. 學. 在公開金鑰加密系統中,公鑰是開放式,可讓系統中所有的參與者皆可取得,. ‧. 但私鑰的部分只有自己擁有。一般使用此方案的加解密方式為:其他使用者利用. y. Nat. 公鑰將訊息加密給接收方,而接收方利用自己的私鑰去對訊息解密,如圖三。較. n. er. io. al. sit. 為著名的系統為 RSA[9]、ElGamal[10] 等。. Ch. engchi. i n U. 圖 三 公開金鑰加密系統. 12. v.
(21) 2.2.3 基於身分認證的加密系統(Identity-based Encryption Cryptography):. 而在 1984 年,Shamir[4]提出了基於身分認證的加密系統 IBE (identity-based cryptography),此系統以另一種方式使用了公開金鑰加密系統,並且解決了公開 金鑰加密系統中需使用公開金鑰基礎建設 PKI (Public key infrastructure)及需要憑 證管理中心 CA (certificate authority)的條件。在基於身分認證的加密系統中所使 用的公開金鑰的部分是利用使用者本身獨一無二的資訊來產生個別的公開金鑰,. 政 治 大 則是由可信任的第三方扮演私鑰產生中心 PKG(Private Key Generator)的角色來 立. 這些資訊像是電子郵件帳號、身分證字號、行動電話號碼…等等。而私鑰的部分. 產生相對應公開金鑰的私密金鑰,在此系統架構下的使用者可以減少在傳統公開. ‧ 國. 學. 金鑰系統中,使用者需對公鑰做認證及取得公鑰憑證的手續。. ‧. 下列幾點要點為基於身分認證的加密系統(IBE)優於傳統基於公開金鑰基礎. sit. y. Nat. 建設(PKI)的公鑰系統優點:. io. 號碼,身分證字號,電子郵件地址等。. n. al. Ch. 2.免除了需要憑證機構的麻煩。. engchi. er. 1.不需公鑰憑證,而且公鑰可由較容易計算及取得的資訊中得到,如:電話. i n U. v. 3.容易分配所有的使用者公鑰,並且不需額外花費時間交換公鑰,因為所有 的公鑰資訊接可直接取得。. 13.
(22) 圖 四 基於身分認證加密系統 在基於身分認證的加密系統中,因已知對方的公開身分資訊,而公開金鑰的. 政 治 大. 部分是公開且可以明顯辨識的型態,所以不需在資料庫中尋找,公開金鑰不需要. 立. 利用傳統的基於 PKI 架構中的憑證來讓其他使用者相信這份公開金鑰,也不需. ‧ 國. 學. 要對公鑰的真實性做驗證,他人直接便可使用其公鑰。因此使用者彼此溝通之前, 就不用再牢記每一位使用者所使用相對應的公鑰。. ‧. 但在基於身分認證的加密系統中,所有使用者的私鑰都是由私鑰生成中心. Nat. sit. y. PKG (Private key generation center)所產生。私鑰生成中心(PKG)利用系統主要密. n. al. er. io. 鑰(master key)而產生每個使用者的私鑰,因為如此私鑰生成中心(PKG)則知道每. i n U. v. 個用戶的私鑰,一旦遇到不誠實的 PKG 或者是針對 PKG 的破壞者或攻擊者,則. Ch. engchi. 所有使用者的私密金鑰則會遭到竊取或盜用,在安全性上也就會產生如中間者攻 擊或 PKG 不可信任時的危險,而這就是所謂的「私鑰託管」問題。 在另外一個部分來看,PKG 對於使用者產生的私密金鑰必須透過一個安全 不會被竊聽的通道來傳遞給使用者。而要在此系統中加入時戳的設計,便需要在 每一個時間間隔中都必須重新建立一個新的安全性通道,如果使用者使用人數增 加,系統則會面臨到效能上的問題。. 14.
(23) 2.2.4 免憑證公鑰加密系統(Certificateless Public Key Cryptography):. 為了解決基於身分認證的加密系統(IBE)所產生私鑰託管的問題,因此由 Al-Riyami 和 Paterson[3]提出了免憑證公鑰加密系統(certificateless public key cryptography)。免憑證公鑰加密系統與需要使用 PKI 的傳統公鑰加密系統相比, 免憑證公鑰加密系統與基於身分認證的加密系統(IBE)一樣不需要公鑰憑證,但 是免憑證公鑰加密系統卻消除了基於身分認證的加密系統(IBE)所存在的私鑰託 管問題。免憑證公鑰加密系統結合了傳統的公鑰加密系統及基於身分認證的加密. 政 治 大 雖然免憑證公鑰加密系統依舊存在著一個第三方的密鑰生成中心 KGC(key 立. 系統(IBE)兩套系統中的優點,並且在一定程度上解決了兩套系統中的缺點。. generation center),KGC 一樣擁有系統主要密鑰(master key),但是與私鑰生成中. ‧ 國. 學. 心(PKG)不同的地方在於 KGC 是根據用戶的身分及主要密鑰去計算用戶的部分. ‧. 私鑰,用戶收到部分私鑰後,再將接收到的部分私鑰與用戶自行挑選的密鑰產生. io. er. 身分認證的加密系統(IBE)所存在的私鑰託管問題。. sit. y. Nat. 完整的私鑰,因此 KGC 便無法得到使用者完整的私鑰內容,因而達到克服基於. 而 Al-Riyami 和 Paterson 提出的免憑證公鑰加密系統主要包含了七個演算法,. al. n. v i n 分別是設定,部分私鑰提取,設定秘密數值,設定私密金鑰,設定公開金鑰,加 Ch engchi U 密步驟及解密步驟,下列分別對各個演算法流程做簡單的介紹。. 設定:這個部分主要由密鑰生成中心(KGC)所執行。目的在產生一串公開系統參 數以及 KGC 的主要密鑰的部分。 部分私鑰提取:此部分依舊為 KGC 所執行的部分,主要的工作在產生每個使用 者的部分私密金鑰。 設定秘密數值:此部分由使用者自行執行,產生屬於自己個人的秘密數值,且此 秘密數值只有使用者自己知道。 15.
(24) 設定私密金鑰:使用者計算完秘密數值後,利用秘密數值及從 KGC 收到的部分 私鑰,共同產生出自己的完整私鑰。 設定公開金鑰:使用者計算出自己的完整私鑰後,接著為計算出自己的公開金 鑰。 加密步驟:在設定完所有的公開金鑰及私密金鑰後,此部分則是針對文件做加密 動作。 解密步驟:這部分則是對加密的文件做相對應的解密動作。. 立. 政 治 大. ‧ y. sit. io. n. al. er. ‧ 國. 學. Nat. 圖 五 免憑證公鑰加密系統. Ch. engchi. 16. i n U. v.
(25) 第三章 相關文獻介紹. 本章節對於研究中所使用到的相關文獻做詳細的介紹,並提出文獻與本方案的優 缺點提出討論。. 3.1 Hwang 等學者提出的 Timed-Release Encryption with Pre-open Capability and Its Application to Certified E-mail System. 立. 政 治 大. 此文獻由 Hwang 等學者所提出[11],本論文使用此文獻作為研究的主要架. ‧. ‧ 國. 學. 構。. 設定:密鑰生成中心(KGC)產生一串公開系統參數< q, G1, G2, e , n, P ,S, H1, H2 >,. y. Nat. sit. G1 為一個加法群,G2 為一個乘法群,q 為 G1,G2 的序,n 是一個大於 0 的整數,. n. al. er. io. P∈G1 且 P 是 G1 的生成元,S 是 KGC 的公鑰且 S =sP,s∈Zq*為 KGC 的主要密鑰,. i n U. v. e 是一個 bilinear map e:G1×G1G2。明文長度為 n-bits,明文範圍為 M={0,1}n,. Ch. engchi. 而密文範圍為 C= G1×G1×{0,1}n,單向雜湊函數 H1:{0,1}*G1,H2:G2{0,1}n。. 時間戳記提取: KGC 計算時間戳記為 Qt = H1(t),系統時間到之後則會輸出 TSt=sQt,其中,t 為傳送方所設定的解密時間,而接收方需在此時間後方可解密。. 設定公開金鑰: A 使用私密金鑰 xA 產生公開金鑰 Y=xAP 供其他使用者使用。. 加密步驟:傳送方決定時間 t 後,然後選擇 v∈R Zq*來做為提早解密的金鑰,再選 擇一亂數 r ∈R Zq*並且依照下列方式加密訊息 M。 17.
(26) 計算出密文 C=<rP, vP, M⊕H2(gt)>,其中 gt = e(rY + vS , Qt ) 產生提早解密金鑰:若傳送方想要提早給他人解密金鑰,則需計算出 Vt=vQt,並 且將此結果提供給需要解密的使用者或是公開這項資訊。. 解密步驟:在正常情況下,解密需由伺服器根據時間到之後 TSt 公佈出來,解密 者依照下面的方式將文件解密。 我們假設密文 C = <U , V , W > ,則明文為 M=W⊕H2(e(U, xQt).e(V, TSt)) 若傳送方提前公開解密金鑰 Vt,則密文解密方式為 M=W⊕H2(e(U, xQt).e(Vt, S)) 我們由以下公式可以確定這演算法的正確性: gt. = e(rY + vS , Qt ) = e(rY, Qt )∙ e(vS, Qt )= e(rxP, Qt )∙ e(vsP, Qt ). 政 治 大. = e(rxP, Qt )∙ e(P, vsQt ) = e(rP, xQt )∙ e(vP, sQt). 立. = e(U, xQt )∙ e(V, TSt )此為正常解密之步驟. = e(rY + vS , Qt ) = e(rY, Qt )∙ e(vS, Qt )= e(rxP, Qt )∙ e(vsP, Qt ). ‧ 國. 學. gt. = e(rxP, Qt )∙ e(P, vsQt ) = e(rP, xQt )∙ e(vP, sQt) = e(rP, xQt )∙ e(vQt, sP). ‧. = e(U, xQt).e(Vt, S)此為提前解密之步驟. y. Nat. sit. 文獻優點:傳送方不需將解密金鑰資訊提供給伺服器,而是使用傳送方及伺服器. al. er. io. 個別的兩把金鑰中的其中一把解密,並且在傳送方傳送資訊給伺服器之後,若想. v. n. 將其資訊提早公開或者提供給接收方,可公開提早解密金鑰,而不需透過伺服器 給與部份私鑰後才可解密。. Ch. engchi. i n U. 文獻缺點:解密時需要進行兩個雙線性配對的運算,所以需要耗費較多的時間以 及資源,並且在這篇文章中的解密金鑰需由伺服器公布,因此還具有金鑰託管的 問題。. 18.
(27) 3.2 Al-Riyami 等學者提出的 Certificateless Public Key Cryptography. 此文獻由 Al-Riyami 等學者所提出[12],本文中所使用的方案內容為文獻中的 basic CL-PKE Scheme 方案,並且將此方案運用於本文的加解密流程。. 設定:密鑰生成中心(KGC)產生一串公開系統參數<k, q, n, G1, G2, P, Ppub, e, H1, H2>,k 是一個安全參數,而 q 是一個 k-bits 的質數,n 是一個大於 0 的整數,G1 是一個加法群,G2 是一個乘法群,其中皆包含質數 q,P∈G1 且 P 是 G1 的生成元,. 政 治 大 e:G ×G G 。明文長度為 立 n-bits,明文範圍為 M={0,1} ,而密文範圍為 C=. Ppub 是 KGC 的公鑰且 Ppub =sP,s∈Zq*為 KGC 的主要密鑰,e 是一個 bilinear map 1. 1. n. 2. ‧. ‧ 國. 學. G1×{0,1}n,單向雜湊函數 H1:{0,1}*G1,H2:G2{0,1}n。. 部分私鑰提取:使用者 A 的 ID 為 IDA,IDA∈{0,1}*,KGC 會計算 A 的公鑰 QA =. al. er. io. sit. y. Nat. H1(IDA)∈G1,輸出部分私鑰 DA = sQA∈G1,並且確認 e(DA ,P) = e(QA ,Ppub)。. v. n. 設定秘密數值:選定一個亂數 xA∈Zq*,而 xA 則為 A 的祕密數值。. Ch. engchi. i n U. 設定私密金鑰:在此系統中 A 最後的私密金鑰為 A 的祕密數值與 IBE 的部分私 鑰結合的結果,SA=xADA=xAsQA∈G1。. 設定公開金鑰:在此系統中 A 最後的公開金鑰為 A 的原本公鑰與 IBE 部分公鑰 的共同組合,A 最後的公開金鑰為 PA=<XA,YA>,其中 XA =xAP 而 YA=xA Ppub =xAsP。 加密步驟:在下列的加密步驟中我們使用 A 的 IDA∈{0,1}*,並使用 A 的公鑰 PA=<XA,YA>對明文 M∈M 加密: 19.
(28) 1. 先確認 XA,YA∈G1,然後判斷 e(XA, Ppub)的結果與 e(YA, P)是否相等。 2. 計算 QA = H1(IDA)∈G1。 3. 選擇一亂數 r ∈Zq*。 4. 計算並輸出密文 C=<rP,M⊕H2(e(QA, YA)r)> 解密步驟:我們假設密文 C = <U,V> ∈C,使用 A 的私鑰 SA 對密文 C 解密。 計算 V⊕H2(e(SA,U)) = V⊕H2(e(xAsQA, rP)) = V⊕H2(e(QA, xAsP)r) = V⊕H2(e(QA, YA)r) = M⊕H2(e(QA, YA)r⊕H2(e(QA, YA)r) =M. 立. 政 治 大. ‧ 國. 學. 文獻優點: 在加密及解密的運算上皆只需要一個雙線性配對的運算,並且使用 簡單的 XOR 運算計算明文及單向雜湊函數值,便可以達到免憑證的安全加密方. ‧. 式。. 文獻缺點: 若傳送方需要將資訊提早公開則需要要求伺服器更改部分私鑰取得. y. Nat. n. er. io. al. sit. 時間,再由伺服器提供部分私鑰給接收方解密。. Ch. engchi. 20. i n U. v.
(29) 3.3 Yang 等學者提出的 An Improved Certificateless Authenticated Key Agreement Protocol 此文獻由 Yang[13]等學者所提出,本論文將此文獻中所提出的 IBE 公鑰中加 入了使用者原先的公鑰,使得原先公鑰不能被竄改。. 設定:密鑰生成中心(KGC)產生一串公開系統參數< G1, G2, e, P, P0, H1, H2, n >,G1 是一個加法群,G2 是一個乘法群,其中皆包含質數 q,而 q 是一個 k-bits 的質數,k 是一個安全參數, e 是一個 bilinear map e:G1×G1G2,P∈G1 且 P. 政 治 大. 是 G1 的生成元,P0 是 KGC 的公鑰且 P0 =sP,s∈Zq*為 KGC 的主要密鑰,單向雜. 立. 湊函數 H1:{0,1}*×G1G1,H2:{0,1}*×{0,1}*×G1×G2×G1×G1×G1{0,1}n,n. ‧ 國. 學. 是一個大於 0 的整數,明文長度為 n-bits。. ‧. 設定秘密數值:使用者 i 的 ID 為 IDi,IDi ∈{0,1}*,使用者 i 選定一個亂數. y. Nat. n. er. io. al. sit. xi ∈ Zq*,再計算出 Xi=xiP,並將 Xi 的結果送至 KGC。. Ch. i n U. v. 部分私鑰提取:KGC 會計算 i 的公鑰 Qi = H1(IDi, xiP),輸出部分私鑰 Di = sQi, 並將 Di 傳送給使用者 i。. engchi. 設定私密金鑰:使用者 i 最後的私密金鑰為 i 的祕密數值與 IBE 的部分私鑰 結合的結果,Si=xiDi。. 設定公開金鑰:使用者 i 最後的公開金鑰為 i 的原本公鑰與 IBE 部分公鑰的 共同組合,i 最後的公開金鑰為 Pi=<Xi,Yi>,其中 Xi =xiP 而 Yi=xi Qi。. 下面為使用者 A、B 使用此協定的例子: 21.
(30) 使用者 A 於設定階段: QA = H1(IDA, xAP) DA = sQA PA=<XA,YA>=<xAP, xAQA > SA=xADA 使用者 B 於設定階段: QB = H1(IDB, xBP) DB = sQB PB=<XB,YB>=<xBP, xBQB > SB=xBDB. 政 治 大 使用者 A、B 分別產生會議金鑰: 立 ‧. TA=aP. ‧ 國. a∈R Zq*. 學. 使用者 A:. sit. y. Nat. 將 XA,YA,TA 送至使用者 B. io. er. 收到使用者 B 送出的 XB,YB,TB KAB= e(aP0+SA, TB+YB). al. n. h=aTB. Ch. engchi. K= H2(QA, QB, h, KAB, e(DA, QB), xATB, aXB) 使用者 B: b∈R Zq* TB=bP 將 XB,YB,TB 送至使用者 A 收到使用者 A 送出的 XA,YA,TA KAB= e(TA+YA, bP0+SB) h= bTA K= H2(QA, QB, h, KAB, e(DB, QA), bXA, xBTA) 22. i n U. v.
(31) 政 治 大. 圖 六 Yang 等學者的協定. 立. ‧ 國. 學. 文獻優點: 將接收方的部分長期公鑰放入基於身分認證的加密系統中的公鑰之 中,除了可以確保接收方的部分長期公鑰為真正的使用者外,更重要的是可以避. ‧. 免中間者攻擊的情形發生。. sit. y. Nat. 文獻缺點: 使用者雙方的會議金鑰雖然是安全的,但其中有部分資訊是不重要. io. n. al. er. 的,因此花不必要的時間及資源做額外的資訊運算。. Ch. engchi. 23. i n U. v.
(32) 第四章 研究方法. 本篇文章主要為設計一個利用免憑證加密系統傳遞一份重要文件。與傳統 的加密系統不同的是不需做公開金鑰憑證的驗證,也不需做公開金鑰的傳遞。. 4.1 提案方式. 本提案方式包含了第三章所提到的三篇文獻[11][12][13]的協定部分。根據文獻 [11]. 政 治 大. 的協定,我們可以將時間戳記放入 IBE 的公鑰之中,並且接收方可使用 KGC. 立. 產生的部分私鑰或是傳送方給予的提早解密金鑰兩把金鑰的其中一把解密。而文. ‧ 國. 學. 獻[12]的協定,使用免憑證的加密系統以及簡單的 XOR 運算來對文件加密及解密。 再加上文獻[13]的協定,將接收方的部分長期公鑰放入 IBE 系統中的公鑰,用以. ‧. 增加安全性。在下面的提案方式中,又加上了階級的條件,讓階級與使用者的個. sit. y. Nat. 人身分共同用來限制使用者的解密條件。例如,使用者 i 為政治大學的學生,因 此具有 nccu 的階級權限,此使用者 i 必須同時具有他個人的解密資訊及 nccu 的. io. n. al. er. 權限才能取得解密金鑰。若使用者 i 已畢業於政治大學,則使用者 i 便不具有 nccu 的權限,因此不能再向 KGC 取得解密金鑰。. Ch. engchi. i n U. v. 此提案包含三個部分,分別為網頁、密鑰生成中心(KGC)、及資料庫,並於下列 分別說明其用途。. 網頁(使用者登記):所有的使用者在使用本系統前可先於網頁上註冊基本資料, 以方便其他使用者方便取得使用者的 IBE 公開金鑰及判斷使用者在 IBE 系統中 的不同階級。. 密鑰生成中心(KGC):產生使用者的部分私鑰。. 24.
(33) 資料庫:主要存放所有使用者的基本資料及提供 PKG 使用者的公開金鑰。其中 包含使用者的 ID,所擁有的權限階級,以及使用者的部分公鑰等資訊。. 下列為本提案主要的協定部分:. 參數設定:密鑰生成中心(KGC)產生一串公開系統參數<k, q, n, G1, G2, P, Ppub, e,H1,H2>,k 是一個安全參數,而 q 是一個 k-bits 的質數,n 是一個大於 0 的整數, G1 是一個加法群,G2 是一個乘法群,其序為 q,P∈G1 且 P 是 G1 的生成元,Ppub 是 KGC 的公鑰且 Ppub =sP,s∈Zq*為 KGC 的主要密鑰,e 是一個 bilinear map e: G1×G1G2。明文長度為 n-bits,明文範圍為 M={0,1}n,而密文範圍為 C= G1×{0,1}n,. 政 治 大. 單向雜湊函數 H1:{0,1}*G1,H2:G2{0,1}n。. 立. * 設定秘密數值:使用者 i 的 ID 為 ID, i IDi∈{0,1}*,使用者 i 選定一個亂數 xi∈Zq ,. ‧ 國. 學. 其為秘密數值,再計算出 Xi=xiP,並將 Xi 的結果透過公開通道送至 KGC。. ‧. 部分私鑰提取:KGC 會計算 i 的公鑰 Qi = H1(IDi||level||Timestamp||xiP),輸出部. sit. y. Nat. 分私鑰 Di = sQi,並將 Di 傳送給使用者 i,為了 Di 的安全性,在這裡使用一個對. io. er. 稱式金鑰將 Di 加密,然後將部分私鑰 Di 加密後送出給解密者,在此系統中傳送 方可在接收方的 IBE 公開金鑰中加入階級區分(level)和時間戳記(Timestamp),用. n. al. Ch. i n U. v. 以限定接收方解密的權限及時間。接收方欲取得部份私鑰 Di 需先登入網站後選. engchi. 取一亂數 k,並將 kP 值傳送給 KGC,而 KGC 利用 Diffie-Hellman 密鑰交換方式, 可計算出會議金鑰 ksP,然後使用金鑰 ksP 將使用者的部分私鑰 Di 加密傳至使用 者,使用者接收到加密的 Di 後使用相同的會議金鑰 ksP 解密,如圖七。. 25.
(34) 圖 七 使用者 i 取得部分私密金鑰流程圖. 政 治 大 設定私密金鑰:使用者 i 立 最後的私密金鑰為 i 的祕密數值與 IBE 的部分私鑰結合. ‧ 國. 學. 的結果,Si=xiDi。. ‧. 設定公開金鑰:使用者 i 最後的公開金鑰為 Pi=<Xi,Yi>,其中 Xi =xiP 而 Yi=xi Ppub。. sit. y. Nat. 加密步驟:在下列的加密步驟中我們使用 A 的 IDA∈{0,1}*,並使用 A 的公鑰. er. io. PA=<XA,YA>對明文 M∈M 加密:. al. 1. 先確認 XA,YA∈G1,然後判斷 e(XA, Ppub)的結果與 e(YA, P)是否相等。. n. v i n Ch = H (ID ||level||Timestamp)∈G i U e n g c h。其中,ID. 2. 計算 QA. 1. A. 1. A 為使用者. A 的 email. 帳號,level 可輸入學校名稱或是公司名稱,Timestamp 為輸入使用者 A 可 取得解密金鑰的日期。 3. 選擇 v∈R Zq*來做為提早解密的金鑰。 4. 計算並輸出密文 C=<vP, M⊕H2(e(QA, YA)v)>. 產生提早解密金鑰:若傳送方想要提早給接收方解密金鑰,也就是傳送方想要在 KGC 給使用者 i 產生 i 的私鑰 Di 之前給接收方解密,則需計算出 Vt=v Ppub,並 且將此結果提供給需要解密的使用者或是公開這項資訊。. 26.
(35) 解密步驟:在正常情況下,解密需由伺服器根據時間到之後將 DA 利用之前建立 好的會議金鑰 ksP 將 DA 加密後提供給解密者,如圖七,解密者得到 DA 後依照下 面的方式將文件解密。 我們假設密文 C = < vP, M⊕H2(e(QA, YA)v)>=<U,V> ∈C,A 將 xADA 組合成 SA, 並使用 A 的私鑰 SA 對密文 C 解密。 計算 V⊕H2(e(SA,U)) = V⊕H2(e(xAsQA, vP)) = V⊕H2(e(QA, xAsP)v) = V⊕H2(e(QA, YA)v) = M⊕H2(e(QA, YA)v⊕H2(e(QA, YA)v) =M. 政 治 大 若傳送者提前公開解密金鑰 V ,則密文解密方式為下列方式: 立 t. ‧ 國. 學. 計算 V⊕H2(e(xAQA, Vt)) = V⊕H2(e(xAQA, vsP)). = V⊕H2(e(QA, xAsP)v). ‧. = V⊕H2(e(QA, YA)v). = M⊕H2(e(QA, YA)v⊕H2(e(QA, YA)v). Nat. sit. y. =M. n. al. er. io. 下面為使用者 A(傳送方)、使用者 B(接收方)使用此協定的例子:. 初始設定:. Ch. engchi. i n U. v. 使用者 B 於網頁上輸入基本資料,假設電子郵件為 [email protected],服務 單位為 nccu,則使用者 B 的 IDB 為 [email protected],階級範圍為 nccu。. 使用者 A 加密: 使用者 A 於網頁上輸入基本資料,並且取得使用者 B 的 IDB 及 XB。選擇一 亂數 v ∈Zq*。計算出 QB = H1([email protected]||nccu||07-12-2012||xBP),其中的解 密時間則為 2012 年 7 月 12 日。加密者 A 使用 PB=<XB,YB>=<xBP, xBPpub>加密明 文 M,產生密文 C,加密公式如下: C=<vP,M⊕H2(e(QB, YB)v)> 並將密文 C 及可提取部分私鑰時間通知使用者 B。 27.
(36) 使用者 B 解密: 使用者 B 接收到密文 C,並且登入網站取得 KGC 所提供的部分私鑰,KGC 使用當天的時間戳記及使用者 B 的階級產生出對應於 QB 的 DB= sQB,並將 KGC 所計算出的 DB 藉由會議金鑰將 DB 加密傳至使用者 B,如圖七,使用者 B 計算 出最後解密私鑰 SB=xBDB,使用 SB 將密文 C=( vP,V)解密,產生明文 M,解密公 式如下,如圖八: V⊕H2(e(SB, vP))= V⊕H2(e(xBsQB, vP)) = V⊕H2(e(QB, xBsP)v) = V⊕H2(e(QB, YB)v). 政 治 大. = M⊕H2(e(QB, YB)v⊕H2(e(QB, YB)v) =M. 立. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 八 接收方向 KGC 取得部分私鑰解密. 若傳送者提前公開解密金鑰 Vt,則使用者 B 須計算出 QB=H1([email protected]||nccu||07-12-2012||xBP),並且依照下列的公式解密,如圖 九: V⊕H2(e(xBQB, Vt)) = V⊕H2(e(xBQB, vsP)) = V⊕H2(e(QB, xBsP)v) = V⊕H2(e(QB, YB)v) = M⊕H2(e(QB, YB)v⊕H2(e(QB, YB)v) 28.
(37) =M. 圖 九 傳送方提早公開解密金鑰給接收方解密. 立. 政 治 大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 29. i n U. v.
(38) 第五章 安全性分析與系統實作. 本章節將會針對上一章節所提出的免憑證系統做安全性分析,並且利用到 Random Oracle Model 證明工具設計出一套安全性模組,然後針對免憑證加密系 統中的 TypeI 和 TypeII 兩種攻擊者去進行安全性假設,並將其假設導入至 BDH 難問題上,使用矛盾證明的方式來證明我們的加密方式為安全的。. 政 治 大. 5.1 證明方法介紹. 立. ‧ 國. 學. 本小節介紹在免憑證加密系統中,攻擊者可能企圖去取得使用者的部分私鑰 或者是攻擊使用者,而根據 Al-Riyami 和 K.Paterson 的文獻[3]將可能的攻擊者分. ‧. 為兩種,我們在分析演算法的時候,將會分兩種攻擊者來做個別討論。本小節除. y. Nat. sit. 了介紹兩種攻擊者外,也介紹關於 Random Oracle Model 的概念以及如何利用這. n. al. er. io. 個模組來證明演算法的安全性。. 5.1.1 攻擊者介紹. Ch. engchi. i n U. v. TypeI 攻擊者: 通常假設這種攻擊者為 A1,在本研究中,我們定義這種攻擊者有以下幾種 特點: ●A1 沒有能力取得 KGC 的主要密鑰 ●A1 不能得到目標 ID 的部分私密金鑰和使用者的祕密數值 ●A1 可替換目標 ID 的公鑰,PA’=xA’P,但替換時須同時提供相對應的秘密數 30.
(39) 值 xA’ TypeII 攻擊者: 通常假設這種攻擊者為 A2,在本研究中,我們定義 A2 通常有以下幾種特點: ●A2 可以取得 KGC 的主要密鑰 ●A2 沒有辦法去替換使用者的公鑰部分 ●A2 不需要提取目標 ID 的部分私密金鑰,因 A2 已知所有使用者的私鑰. 5.1.2 Random Oracle Model. 政 治 大 1993 年,Bellare 及 Rogway 指出雜湊函數可被視為隨機函數,使用雜湊函 立 [14]. 數的加密機制可以在 Random Oracle Model 下證明其安全性。為了證明一個加密. ‧ 國. 學. 演算法的安全性,我們必須導入 random oracle 的概念,random oracle 可以被視. ‧. 為完美的雜湊函數,在假設雜湊函數皆為完全隨機的情況下,任何一個機率多項. y. Nat. 式都沒辦法自行計算出此雜湊函數的輸出值,因此必須向外在的 random oracle. er. io. sit. 詢問此雜湊函數的輸出值。而 Random Oracle Model 的精神就是以可以藉由控制 此外在的 random oracle 的輸出值以及一個假設可以破解目標系統的演算法,使. al. n. v i n 其來破解某個公認的難問題,因為目前的難問題尚無解決方法 ,因此藉由反證法, Ch engchi U 可以證明我們欲證明的加密演算法式安全的。. 31.
(40) 5.2 安全性證明. 此小節針對上個章節提出的加密演算法設置 Random Oracle Model 的模型, 用以證明此演算法的安全性。並且根據上個小節所提出的攻擊者的能力不同,利 用 Random Oracle Model 設計出兩個 Game。. 在下面的 Game 中,我們簡稱上個章節所提出的系統為 CTRE,並且假設攻 擊者 A 為 TypeI 攻擊者,攻擊者 B 則為 TypeII 攻擊者,而攻擊者 F 則為 BDH 的. 政 治 大 Game2 則是針對 TypeII 攻擊者做安全性證明。 立. 攻擊者進行下面 Game 的流程。Game1 是針對 TypeI 攻擊者做安全性證明,而. ‧ 國. 學. Game1:攻擊者 A 為提案方式的攻擊者,目標則是破解選定密文攻擊(IND-CCA). ‧. 的攻擊。所謂的選定密文攻擊是指攻擊者在開始攻擊之前可以選擇一些密文並從. sit. y. Nat. 系統中獲得相對應的明文。攻擊者 F 提供提案方式的系統參數給攻擊者 A,並且. n. al. er. io. 將方案推倒至 BDH 難問題上。. Ch. engchi. i n U. v. 設定:挑戰者 C 給攻擊者 F 一個 BDH 的難問題,其中 BDH 參數為< q, G1, G2, e >,這個參數對應到 BDH 難問題中的< P, aP, bP, cP >問題,因此攻擊者 F 會收到 參數< q, G1, G2, e, P, aP, bP, cP >。攻擊者 F 選擇一個機密數值 x∈ Zq*,然後計算 出公鑰 X=xP。接著攻擊者 F 會給攻擊者 A 一串 CTRE 的系統參數< q, n, G1, G2, P, Ppub, e, H1, H2>,其中的 n 為 H2 中所對應到的明文長度,而在參數中的 Ppub=aP。 攻擊者 F 依照下列的方式模擬 random oracle H1 及 H2,目標則是輸出 e(P, P)abc 的結果。. H1-queries:攻擊者 A query H1 關於< IDi, li, ti, Pi>的資訊,則攻擊者 F 必須在列 32.
(41) 表中找尋是否有參數值符合< IDi, li, ti, Pi, ki, Qi>,我們將這串資訊稱為 H1list,在 H1list 中一開始的資訊為空的。攻擊者 F 在 H1-queries 回答前會先產生一個亂數 j, 且 1≤j≤qh1,其中,qh1 為可 query 的最多次數,j 為 query 的次數到第 j 次。 1.如果 query < IDi, li, ti, Pi>並發現其< IDi, li, ti, Pi>的資訊已存在於 H1list 中, 並且具有下列參數< IDi, li, ti, Pi, ki, Qi>,則會回傳 H1list 中的 Qi =H1 (IDi || li || ti || Pi )。 2.否則,攻擊者 F 會選擇一個隨機的亂數 ki ∈ Zq*,然後計算 Qi = kiP。並且 將產生新的參數< IDi, li, ti, Pi, ki, Qi>加入到 H1list 中。 3.注意:如果 query < IDj, lj, tj, Pj>則攻擊者 F 會回答 Qj = cP 而不是 kjP。. 政 治 大. 立. ‧ 國. 學. H2-queries:在任何時間下,攻擊者 A 都可以任意的 query random oracle H2。攻 擊者 F 必須在列表中找尋是否有參數值符合< gi, hi >,我們將這串資訊稱為. ‧. H2list。. y. Nat. 1.若於 query gi 時發現 gi 的資訊已在 H2 中被 query 過,則攻擊者 F 會回傳在. io. sit. H2list 中的 hi =H2 (gi )。. n. al. er. 2.否則,攻擊者 F 會選擇一個亂數 hi ∈ {0,1}n,然後將參數< gi, hi >加入到 list. Ch. H2 之中,並會回傳 hi。. engchi. i n U. v. 接著攻擊者 A 做 extraction oracle 和 decryption oracle 的 queries,以及 key replacement,攻擊者 F 將會模擬下面的 random oracle。. Extraction-queries:攻擊者 A query 關於 Qi 的資訊,包含 Qi 的部分金鑰 Di。攻 擊者 F 必須在列表中找尋是否有參數值符合< IDi, Qi, Di>,我們將這串資訊稱為 Exlist。 1.如果 Qi = Qj,攻擊者 F 會回傳錯誤,並且會停止執行。 33.
(42) 2.如果 Qi 的資訊已被 query 過,則攻擊者 F 會在中 Exlist 找到 Di 的資訊, 並且將 Di 回傳。 3.否則,攻擊者 F 會從 H1-queries 之中取得< IDi, li, ti, Pi, ki, Qi>的資訊,並 且計算出 Di = kiPpub (=kiaP=aQi) ∈ G1,並且將參數< IDi, li, ti, Pi, ki, Qi, Di> 紀錄至 Exlist 之中,然後將結果回傳給攻擊者 A。. Decryption-queries:攻擊者 A 要求密文 Ci=<U, V>對應的明文 Mi,因此攻擊者 A query 關於 Qi 及 Pki=<Xi,Yi>的資訊,其中,Yi= xiPpub,Yi 可以是原始的公鑰或 是替換之後的公鑰。. 政 治 大. 立. ‧ 國. 學. A.攻擊者 F 得到 query 的要求後,會先檢查 Pki 是否為正確的資訊,若 Pki 的資訊為正確的,則會做下列的步驟:. ‧. 1.如果 Qi = Qj,攻擊者 F 會回傳錯誤,並且會停止執行。. y. Nat. 2.如果 Qi 在 H1list 中,則 Qi= kiP,而 ki 存在於 H1list 之中,所以攻擊者 F. io. sit. 可以查到 ki 的資料。. al. er. 3.否則,攻擊者 F 會先設定 Qi= kiP,再將 Qi 的資訊存入 H1list 之中。. n. v i n B.因為 e(Q , Y ) = e(k P, YC ) = e(vP, Y ) ,所以攻擊者 h e n g c h i U F 會先確認 e(vP, Y ) i. A. v. i. A. v. A. ki. A. ki. 是否存在於 H2list 之中。. 1.如果 e(vP, YA)ki 的結果存在於 H2list 之中,攻擊者 F 會在 H2list 之中找到 H2(e(vP, YA)ki)的結果,並將 H2(e(vP, YA)ki)的結果設為 T。明文結果即 為 Mi=V⊕T= V⊕H2(e(vP, YA)ki),攻擊者 F 最後會將 Mi 的結果輸出。 2.否則,攻擊者 F 會設一亂數 T’=H2(e(vP, YA)ki),並且將 T’的結果存入 H2list 之中,然後輸出明文 Mi=V⊕T’的結果。. Key-replacement:若攻擊者 A 要替換公鑰的部分,則攻擊者 A 須提供<Xi,Yi,Ski> 34.
(43) 的資訊,攻擊者 F 將替換的結果紀錄在 Krlist 中。. Challenge:攻擊者 A 產生兩個相等長度的訊息< M0, M1>,而且挑戰的目標為 Qi,須提供< M0, M1>,Qi,Pki 的資訊給攻擊者 F。 1.如果 Qi≠Qj,攻擊者 F 會回傳錯誤,並且會停止執行。 2.否則,攻擊者 F 會選擇一串字串 R∈ {0,1}n,然後回傳 C=<bP, R>給攻擊者 A。 依照系統方案,若要解密 C,則必須計算 R⊕H2(e(Si, bP))= R⊕H2(e(xiaQi, bP))。. 政 治 大 Guess:當攻擊者 A 成功猜出 bit b’的結果時,則 R⊕M = R⊕H (e(x aQ , bP)),而 立 b. 2. j. j. 基於 random oracle 的性質,H2(e(xiaQi, bP))有很大的機率在 H2-queries 的步驟之. ‧ 國. 學. 中被問過,所以攻擊者 F 可在 H2list 之中找到相對應的內容,其為 e(xjaQj, bP)。. ‧. 因為 Qj=cP,所以 e(Sj, bP)= e(xjaQj, bP)= e(xjacP, bP) = e(P, P)abcxj。又<Pkj,. y. Nat. Skj>=<Xj, Yj, Skj >=<xjP, xjPpub, xj>,如果 Pkj 是原始的 Pkj 值,則 xj 為攻擊者 F 的. er. io. sit. 自選值,若 Pkj 為攻擊者 A 產生的,則 xj 可由 Krlist 中找到。所以(e(P, P)abcxj) xj =e(P, P)abc 即為 BDH 問題的解答。. n. al. Ch. engchi. 35. i n U. v. -1.
(44) Game2:攻擊者 B 為提案方式的攻擊者,目標則是破解選定密文攻擊(IND-CCA) 的攻擊。攻擊者 F 提供提案方式的系統參數給攻擊者 B,並且將方案推倒至 BDH 難問題上。. 設定:挑戰者 C 給攻擊者 F 一個 BDH 的難問題,其中 BDH 參數為< q, G1, G1, e >,這個參數對應到 BDH 難問題中的< P, aP, bP, cP >問題,因此攻擊者 F 會收到 參數< q, G1, G2, e, P, aP, bP, cP >。攻擊者 F 選擇一個亂數 s∈ Zq*,然後計算出公 鑰 Ppub =sP。接著攻擊者 F 會給攻擊者 B 一串 CTRE 的系統參數< q, n, G1, G2, P, Ppub, e, H1, H2>,並將 s 值傳送給攻擊者 B,其中的 n 為 H2 中所對應到的明文長. 政 治 大 度,以及給攻擊者 B 公鑰 Y=aP。而攻擊者 F 依照下列的方式模擬 random oracle 立 H1 及 H2,目標則是輸出 e(P, P)abc 的結果。. ‧ 國. 學 ‧. H1-queries:攻擊者 B query H1 關於< IDi, li, ti, Pi>的資訊,則攻擊者 F 必須在列. y. Nat. 表中找尋是否有參數值符合< IDi, li, ti, Pi, ki, Qi>,我們將這串資訊稱為 H1list,在. io. sit. H1list 中一開始的資訊為空的。攻擊者 F 在 H1-queries 回答前會先產生一個亂數 j,. al. er. 且 1≤j≤qh1,其中,qh1 為可 query 的最多次數,j 為 query 的次數到第 j 次。. n. v i n 1.如果 query< ID , l , t , P >並發現其< ID , l , t , P >的資訊已存在於 H Ch engchi U i. i. i. i. i. i. i. i. 1. list. 中,. 並且具有下列參數< IDi, li, ti, Pi, Qi>,則會回傳 H1list 中的. Qi =H1 (IDi || li || ti || Pi )。 2.否則,攻擊者 F 會選擇一個隨機 ki ∈ Zq*,然後計算 Qi = kiP。並且 將產生新的參數< IDi, li, ti, Pi, Qi>加入到 H1list 中。 3.注意:如果 query< IDj, lj, tj, Pj>則攻擊者 F 會回答 Qj = cP 而不是 kjP。. H2-queries:在任何時間下,攻擊者 B 都可以任意的 query random oracle H2。攻 擊者 F 必須在列表中找尋是否有參數值符合< gi, hi >,我們將這串資訊稱為 36.
(45) H2list。 1.若於 query gi 時發現 gi 的資訊已在 H2 中被 query 過,則攻擊者 F 會回傳在 H2list 中的 hi =H2 (gi )。 2.否則,攻擊者 B 會選擇一個亂數 hi ∈ {0,1}n,然後將參數< gi, hi >加入到 H2list 之中,並會回傳 hi。. Decryption-queries:攻擊者 B 要求密文 Ci=<U, V>對應的明文 Mi,因此攻擊者 B query 關於 Qi 及 Pki=<Xi,Yi>的資訊,其中,當 Qi ≠ Qj 時,Xi= xiP,Yi= xiPpub。當 Qi = Qj 時,Xi= cP,Yi=cPpub。另外 Pki 必須是原始的公鑰。. 政 治 大 A.攻擊者 F 得到 query 的要求後,會先檢查 Pk 是否為正確的資訊且為原始 立 i. ‧ 國. 學. 而非攻擊者 B 自選之公鑰。若 Pki. 的資訊為正確的,則會做下列的步驟:. ‧. 1.如果 Qi = Qj,攻擊者 F 會回傳錯誤,並且會停止執行。. y. Nat. 2.如果 Qi 在 H1list 中,則 Qi= kiP,而 ki 存在於 H1list 之中,所以攻擊者 F. io. sit. 可以查到 ki 的資料。. al. er. 3.否則,攻擊者 F 會先設定 Qi= kiP,再將 Qi 的資訊存入 H1list 之中。. n. v i n B.因為 e(Q , Y ) = e(k P, YC ) = e(vP, Y ) ,所以攻擊者 h e n g c h i U F 會先確認 e(vP, Y ) i. A. v. i. A. v. A. ki. A. ki. 是否存在於 H2list 之中。. 1.如果 e(vP, YA)ki 的結果存在於 H2list 之中,攻擊者 F 會在 H2list 之中找到 H2(e(vP, YA)ki)的結果,並將 H2(e(vP, YA)ki)的結果設為 T。明文結果即 為 Mi=V⊕T= V⊕H2(e(vP, YA)ki),攻擊者 F 最後會將 Mi 的結果輸出。 2.否則,攻擊者 F 會設一亂數 T’=H2(e(vP, YA)ki),並且將 T’的結果存入 H2list 之中,然後輸出明文 Mi=V⊕T’的結果。. Challenge:攻擊者 B 產生兩個相等長度的訊息< M0, M1>,而且挑戰的目標為 Qi, 37.
(46) 須提供< M0, M1>,Qi,Pki 的資訊給攻擊者 F。 1.如果 Qi≠Qj,攻擊者 F 會回傳錯誤,並且會停止執行。 2.否則,攻擊者 F 會選擇一串字串 R∈ {0,1}n,然後回傳 C=<bP, R>給攻擊者 B。 依照系統方案,若要解密 C,則必須計算 R⊕H2(e(Si, bP))= R⊕H2(e(asQi, bP))。. Guess:當攻擊者 B 成功猜出 bit b’的結果時,則 R⊕Mb= R⊕H2(e(asQj, bP)),而 基於 random oracle 的性質,H2(e(asQi, bP))有很大的機率在 H2-queries 的步驟之 中被問過,所以攻擊者 F 可在 H2list 之中找到相對應的內容,其為 e(asQj, bP)。. 政 治 大 因為 Q =cP,所以 e(S , bP)= e(asQ , bP)= e(ascP, bP) = e(P, P) 立 j. j. 。又 s 為攻擊者 F. abcs. j. 的自選值,所以(e(P, P)abcs) s =e(P, P)abc 即為 BDH 問題的解答。 -1. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 38. i n U. v.
(47) 5.4 系統實作. 此小節將介紹本論文所提出的協定實作的結果。. 5.4.1 實作環境. 實作部分主要分為兩個部分,一為使用者網站登入環境及資料庫的存取,二 為主要協定的部分。使用者網站登入環境及資料庫的存取部分,使用 PHP 以及. 政 治 大 4GB 記憶體)執行,使用開發環境為 phpMyAdmin 2.10.3 的版本存取資料庫的資 立 MySQL 的語言撰寫,執行環境是利用個人電腦(2.50 GHz Pentium(R) Dual-Core,. ‧ 國. 學. 訊。主要協定的部分使用 JAVA 語言撰寫程式碼,執行環境是利用個人電腦(2.50 GHz Pentium(R) Dual-Core, 4GB 記憶體)執行,並且使用開發環境 NetBeans IDE. ‧. 7.1.2 版本來執行程式碼。. n. al. er. io. sit. y. Nat. 5.4.2 系統流程. Ch. engchi. i n U. v. 本論文將實作系統分為使用者使用介面及協定運算兩個部分。. 使用者使用介面 使用者進入系統初始網頁,並可在網頁上進行新增個人資訊,登入個人系統, 索取部分私鑰,以及更新系統使用者資訊列表等流程,如下圖十。. 39.
(48) 立. 政 治 大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. 圖 十 使用者使用系統流程. 40. v.
(49) 協定運算 使用者索取金鑰時,系統會執行此運算,並將運算的結果送至資料庫中,流 程如下圖十一。. 立. 政 治 大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 十一 KGC 計算使用者部分私鑰 Di 流程. 41.
(50) 實作流程畫面 下列為執行此實作系統的畫面,首先使用者於新增畫面輸入使用者資訊,如 圖十二。. 學. ‧ 國. 立. 政 治 大. 圖 十二 使用者新增畫面. ‧. Nat. n. al. er. io. sit. y. 接著,使用者的資訊會出現在使用者列表之中,如圖十三。. Ch. engchi. i n U. v. 圖 十三 使用者列表 若使用者需索取部分解密金鑰 D, i 則需向伺服器提供從傳送方取得的 Qi 值, 以及自行選取一亂數 k 並提供伺服器 kP 值,如下圖十四。. 42.
(51) 圖 十四 索取部分金鑰 Di 值 接收方取得使用 3DES 加密後的私鑰 Di,如圖十五。. 學. 圖 十五 使用 3DES 加密的私鑰 Di. ‧. ‧ 國. 立. 政 治 大. Nat. n. sit er. io. al. y. 接收方解密後取得私鑰 Di 的內容,如圖十六。. Ch. engchi. i n U. v. 圖 十六 部分私鑰 Di 的內容. 接收方使用最後的解密私鑰 Si=xiDi 將取得的文件解密,如圖十七。. 43.
(52) 圖 十七 使用私鑰 Si 將文件解密. 立. 政 治 大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 44. i n U. v.
(53) 第六章 結論及未來展望. 本論文提出了一個免憑證加密系統的方案,並且將此方案實作出來,使得此 方案更具實用性。此方案主要架構為免憑證加密系統,利用此系統的特性消除傳 統公開金鑰密碼系統中需要公開金鑰憑證認證的麻煩,也不會產生基於身分認證 加密系統的私鑰託管問題,有效的結合了兩項系統的優點,並且提高了這兩種系 統的安全性及方便性。本論文的協定中,在基於身分認證加密系統的公鑰部分還. 政 治 大 將接收方的部分公鑰加入其中,來增加部份私鑰的安全性。另外此協定也加入了 立. 加入了階級以及時間戳記的概念,用以限制接收方取得部份私鑰的能力,並且也. ‧ 國. 學. 提早解密金鑰的部分,可讓傳送方在傳出密文後更改解密時間,而不需要重新使 用新的公鑰加密資訊,便可提早讓接收方取得相對應的明文資訊。. ‧. 此系統目前主要針對協定加解密的部分實作,網頁設置的完整性及網頁的美. sit. y. Nat. 觀上則是我們未來的目標。另外,此協定在未來的應用上,因為此協定加入了階. al. er. io. 級的概念,因此也可以使用在學校、公司、或是政府機關的人員轉帳部分,或者. v. n. 是醫院的醫護人員取得病例的權限,又或者是公司機密文件的讀取權限上。希望. Ch. engchi. i n U. 可以在未來將此協定運用在這些部分,讓個人的隱私能安全有效的被保護,減少 個人資料外洩的危險。. 45.
(54) 第七章 參考文獻. [1] W. Diffie, M. E. Hellman, “New directions in cryptography”,. Information. Theory 22(6), IEEE Transactions on, pp.644-654 , 1976. [2] D. Boneh, M. K. Franklin, “Identity-based encryption from the weil pairing”, CRYPTO 2001, LNCS 2139, pp.213-229, 2001. [3] S. S. Al-Riyami, K. G. Paterson,”Certificateless public key. 政 治 大. cryptography”, ASIACRYPT 2003, Springer-Verlag, LNCS 2894, pp. 452-473,2003.. 立. [4] A. Shamir, ”Identity-based cryptosystems and signature schemes”, CRYPTO. ‧ 國. 學. 1985, LNCS 196 ,pp.47-53, 1985.. ‧. [5] M. Hou, Q. Xu, “Secure and efficient two-party authenticated key agreement protocol from certificateless public key encryption scheme”, NCM 2009,. Nat. sit. y. pp.894-897,2009.. n. al. er. io. [6] A. Kihidis, K. Chalkias, G. Stephanides, “Practical implementation of identity. i n U. v. based encryption for secure e-mail communication” Panhellenic Conference on. Ch. engchi. Informatics 2010, pp.101-106,2010.. [7] A. Shamir, “On the security of DES”. CRYPTO 1985,LNCS 218, pp.280-281,1985. [8] National Institute of standards and Technology, “The advanced encryption standard”, http://csrc.nist.gov/aes/ , 2000. [9] R. L. Rivest, A. Shamir, L. M. Adleman, “A method for obtaining digital signatures and public-key cryptosystems”, Communications, ACM 21(2), pp.120-126, 1978. 46.
(55) [10] T. ElGamal,” A public-key cryptosystem and a signature scheme based on discrete logarithms”, CRYPTO 1985, LNCS 196, pp.10-18,1985. [11] Y. H. Hwang, D. H. Yum, P. J. Lee, “Timed-release encryption with pre-open capability and its application to certified e-mail system”, ISC 2005, LNCS 3650, pp.344-358, 2005. [12] M. Geng, F. Zhang, M. Gao, “A secure certificateless authenticated group key agreement protocol”, Multimedia Information Networking and Security 2009, International Conference on , pp. 342−346, 2009.. 政 治 大 and E-Commerce, 2007,. [13] C. Wang, D. Long, Y. Tang, “An efficient certificateless signature from. 立 Symposium on, pp.236-238 ,2007. pairings”, Data, Privacy,. The First International. ‧ 國. 學. [14] M. Bellare, P. Rogaway, “Random oracles are practical: a paradigm for. ACM Conference on, pp.62-73, 1993.. Nat. sit. y. ‧. designing efficient protocols”, Computer and Communications Security 1993,. io. 士論文,2011年. er. [15] 詹省三,可訊息回覆之免憑證簽章機制之研究,國立政治大學資訊科學系碩. al. n. v i n [16] 林欣瑤,左瑞麟,關於免憑證密鑰交換機制的一些安全性分析,全國計算機 Ch engchi U 會議,2011年. 47.
(56)
Outline
相關文件
由於自簽的電子證書並非由知名憑證授權單位簽署,因此當使用者進入網 站時會被瀏覽器標注為不安全(例如使用 Google Chrome
由於 DEMATEL 可以讓我們很有效的找出各準則構面之因果關係,因此國內外 有許多學者皆運用了 DEMATEL
由於 Android 作業系統的開放性和可移植性,它可以被用在大部分電子產品 上,Android 作業系統大多搭載在使用了 ARM 架構的硬體設備上使裝置更加省電
圖 2.31 Piercentransit 系統輸出畫面 (十一)Washington Metropolitan Area Transit Authority(UW2).
Ethernet Module、RF Transceiver。Switching Power 為提供整個系統的電源,其輸入電 壓為 90V~264VAC,輸出 5VDC 為提供整個系統電源所需。RF Transceiver 所需的電 壓是 5VDC
近年來國內外許多學者也紛紛投入 RFID 安全性的研究,2003 年首先由 Weis 等 學者提出了 RFID 認證協定之論文,開啟了 RFID
韓愈〈師說〉系統地提出了「師道」的理論,以及論證「從師」的必要,期
畢業應通 過系辦規定 之「資訊證 照門檻」. 多修之學 分數得認
