電子文件長期安全探討(II)

行政院國家科學委員會專題研究計畫 成果報告

2 年 2 博 2 碩--電子文件長期安全探討(2/2) 研究成果報告(完整版)

計 畫 類 別 ： 個別型

計 畫 編 號 ： NSC 95-2221-E-011-019-

執 行 期 間 ： 95 年 08 月 01 日至 96 年 07 月 31 日 執 行 單 位 ： 國立臺灣科技大學資訊管理系

計 畫 主 持 人 ： 吳宗成 共 同 主 持 人 ： 何煒華

計畫參與人員： 博士班研究生-兼任助理：許駿鵬、鄔正豪 碩士班研究生-兼任助理：陳孝勇、林建光

報 告 附 件 ： 出席國際會議研究心得報告及發表論文

處 理 方 式 ： 本計畫可公開查詢

中 華 民 國 96 年 10 月 19 日

行政院國家科學委員會補助專題研究計畫 ■成 果 報 告

□期中進度報告 電子文件長期安全探討(2/2)

計畫類別：■個別型計畫 □ 整合型計畫 計畫編號：NSC 95-2221-E-011-019 -

執行期間：2006 年 08 月 01 日至 2007 年 07 月 31 日

計畫主持人：吳宗成 共同主持人：何煒華

計畫參與人員：許駿鵬、鄔正豪、林孝勇、林建光

成果報告類型(依經費核定清單規定繳交)：□精簡報告 ■完整報告

本成果報告包括以下應繳交之附件：

□赴國外出差或研習心得報告一份

□赴大陸地區出差或研習心得報告一份

■出席國際學術會議心得報告及發表之論文各一份

□國際合作研究計畫國外研究報告書一份

處理方式：除產學合作研究計畫、提升產業技術及人才培育研究計畫、

列管計畫及下列情形者外，得立即公開查詢

□涉及專利或其他智慧財產權，□一年□二年後可公開查詢 執行單位：國立臺灣科技大學資訊管理系

中 華 民 國 96 年 10 月 10 日

計畫中文摘要

電子文件(eDocument)具有容易拷貝且不易分辨複本與正本的特性。機敏性電子文件的基本 安全需求有：(1)機密性(confidentiality) — 防制未授權揭露，(2) 完整性(integrity)—防制未 授權更改或替換，(3) 鑑別性(authenticity)—防制非法假冒，(4) 不可否認(non-repudiation)—

防制否認。此外，在現行法律系統規範下，商業或政府應用所產生的電子文件還需兼顧長 期保存(例如，至少五年、或十年以上)的要求，而「長期安全」(long term security)旨在探討 如何長期維持技術議題與非技術議題之下的實務安全需求。本計畫為二年期，針對電子文 件保護提出可行的密碼學解決方案與系統模式，以符合長期安全的實務需求。在第一年計 畫中，我們已經探討一些常被實務應用系統所採用之密碼演算法，諸如 DES、AES、MD5、

SHA-1、RSA、ElGamal、橢圓曲線(EC)等的安全度分析；同時，也評析這些密碼演算法在 長期安全議題下所面臨的破密攻擊與可能的修補方案。基於第一年的分析結果，我們在第 二年計畫中針對機密性、完整性、鑑別性、不可否認分別提出符合長期安全的可行系統模 式；同時，也提出一個基於公開金鑰基礎建設(PKI-based)的長期安全系統模式，並進一步 探討金鑰管理(key management)與憑證管理(certificate management)等議題之探討。

關鍵詞：長期安全、公開金鑰基礎建設(PKI)、金鑰管理、憑證管理

Abstract

Electronic document (eDocument for short) has the properties that it is easy to copy from the origin, and it is indistinguishable between the origin and the copy. Basic security requirements for sensitive eDocument are: (1) confidentiality –to protect from unauthorized disclosure, (2) integrity –to protect from unauthorized modification, (3) authenticity –to protect from illegal impersonation, and (4) non-repudiation –to protect from repudiation. Furthermore, eDocument produced by commercial or governmental application requires to preserve for a long time (e.g., at least 5 years or more than 10 years) under the current legal system. Long term security concerns with the achievement of practical security requirements (in technical issues and non-technical issues) for a long time. In this two-year project, we intend to propose feasible cryptographic solutions and system models (including encryption/decryption techniques, digital signature schemes and PKI-based key management issues) for eDocument protection, so as to compliance with the practical requirements in long term security. In the first year of the project, we concerned on investigating the security analyses of some well-known cryptographic algorithms, such as DES, AES, MD5, SHA-1, RSA, ElGamal, and Elliptic Curve (EC) cryptosystems that are mostly adopted in practical applications. Meanwhile, some well-known attacks and possible repairs on these algorithms for long term security issues are surveyed. Based on the analysis result of the first year, we propose feasible system models for long term confidentiality, integrity, authenticity, and non-repudiation in the second year of the project. Also, a PKI-based long term security system model is proposed, where key management and certificate management issues are further considered.

Keywords: long term security, public key infrastructure (PKI), key management, certificate management

目錄

一、前言 ... 1

二、研究目的 ... 1

三、文獻探討 ... 2

四、研究方法 ... 3

五、結果與討論... 6

六、參考文獻 ... 6

七、計畫成果自評... 7

八、可供推廣之研發成果資料表 ... 8 附件一、ISC 論文發表--具長期安全之電子文件系統

附件二、出席國際學術會議心得報告

一、前言

隨著資訊科技的蓬勃發展，為個人、企業、政府等相關實務之電子化或資訊化環 境帶來催化作用。電子化或資訊化的內涵並非只是將人工作業單純地改由利用資訊科 技的自動化作業而已，而是在於能讓實體文件資料虛擬化或系統化，輔與組織管理及 流程再造，促成生產效能的增加、成本的降低與資源的分享，進而達到具整合性與競 爭性的策略目標[2]。因此，個人、企業、政府機構均投入相當多的經費與人力資源，

積極推動電子化或資訊化工作。

建置資訊系統以遂行管理實務或提供服務是資訊化的首要步驟。一個資訊系統是 由五個基本元件組成[1]：軟體(software)、硬體(hardware)、資料(data)、人員(people)、

程序(procedure)，而資料是資訊系統的核心，也是資訊系統的價值所在，而建立安全 的傳輸或儲存環境，遂行資料或資源的分享，方能顯現資料的應用價值。一個好的資 訊系統應能提供使用者正確、及時、完整、可存取、與具相關性的資料[2]。因此，除 了考量運算效能與可靠度之外，涵蓋技術面與管理面的資訊安全議題更是資訊系統之 建置與營運成功與否的關鍵指標。

在實務應用上，資料通常以電子文件型式存在。私人企業機構常見的有價值資料 包括營運計畫書、產品訂單、人事薪資等，政府機構常見的有價值資料包括機關往來 的公文書與執行業務所需建立的資料庫等[2]。有別於私人企業機構的電子文件保護工 作，政府機構所處理或主管的電子文件保護機制尚須特別兼具以下幾個特性：

(1) 開放性：政府機構所擁有的檔案或公文書依資訊公開法相關規定，為保障民眾權 益應可提供調閱服務，而依政府機構電腦處理個人資料保護法規定又需兼顧個人 隱私權益。電子文件保護機制的採用不僅是單純的「保護」而已，尚須兼顧開放 式的調閱或查詢服務功能。

(2) 長期性：政府機構所擁有的檔案或公文書其保存期限可長達一、二十年，但電子 文件保護機制卻往往受限於資訊科技或資訊系統的可用性。從以往實務經驗得 知，大多數電子文件保護機制的存活時間都要比檔案或公文書的保存期限要來得 短。

(3) 法律性：政府機構的檔案或公文書具有適法性的問題，這些檔案或公文書可回溯 作為爭議或責任歸屬之判定基礎，檔案或公文書的調閱或查詢也需依據相關法律 規範(例如檔案法、行政程序法等)加以取用。電子文件保護機制應能維護原檔案 或公文書的適法性，甚至應能提供鑑識證據以作為適法性的證明。

二、研究目的

電子文件保護或資源分享涉及三項重要資訊安全課題：(1) 如何保護資料在傳輸 或儲存時不會被未授權取用、更改或替代；(2) 不可否認性安全服務的證據保全，即 訊息傳遞事件相關的資訊，諸如發送方、接收方、時間、訊息內容等相關資訊的數位 簽章為該訊息傳遞事件之不可否認證據；(3) 如何控管系統的文件存取者的身分不會 被假冒，資料不會被非法運用。從 1980 年代起，產業界與學術界對密碼學機制的研究 發展蔚為風潮，其應用領域也從原本侷限於國防與軍事活動的封閉用途，推廣到結合 電子化政府與電子商務的多元應用。近年來，我國政府推動電子化政府或電子商務相

關建設，卓然有成，在資通技術之整備度(readiness)世界評比排名上更是名列前茅。儘 管如此，與美國、英國、法國、德國、澳洲等先進國家相比較之下，我國電子化政府 或電子商務在資訊安全技術的發展與應用上，仍存有許多努力空間。

電子文件保護機制除了須滿足機密性、完整性、鑑別性、不可否認性等資訊安全 目標外，尚須兼顧開放性、長期性、法律性等實務應用需求。在實務上需要達到長期 安全的應用範圍中，需要加解密之長期安全的應用例子包括政府機密、醫療紀錄、產 品秘方等；需要數位簽章之長期安全的應用例子包括購屋記錄、婚姻文件、個人報稅 紀錄等。考慮破密分析的趨勢(尤其是預測採用量子計算之破密方法)，數位簽章技術 的長期安全性可以從雜湊鏈(hash chain)的設計觀念著手，而加解密技術可以加長金鑰 長度來達成長期安全，亦可能從改善憑證管理方式來強化電子簽章與檔案之長期安全 性。以數位簽章為例，長期安全可能的解決方向，其一為更新舊有的數位簽章與簽署 模組(軟硬體)，其二為發展新的數位簽章機制，例如雜湊鏈的設計觀念或簽署時將對 文件及其所保留的簽章歷史(signature history)一併簽署而成新的簽章。

金鑰長度需衡量受保護資訊的價值、生命週期與破密分析攻擊。對攻擊者而言，

耗費鉅資破解金鑰僅得到很少的價值，這是沒有意義的。所以類似憑證管理中心 (certification authority, CA)的金鑰長度要求是必需較長的。再者，若金鑰的生命週期或 受保護的資訊僅需要數天或數星期之安全期限，則沒有必要採用需要數年方能破解的 金鑰。以目前來說，需要被保護超過三十年以上的簽章文件，需要的金鑰長度較長，

若是被保護的文件是短天數的，則僅需要短期金鑰。本計畫從政府機構所產出之電子 文件生命週期的角度，亦即製作與傳輸、歸檔與保存、調閱與擷取、銷毀等階段，分 別探討這些電子文件所需採用的保護機制及其欲達成的安全需求。

要達成電子文件的長期安全可分為兩個方向，第一是密碼技術的長期安全，此方 向著重於演算法與金鑰長度的安全性；另一個方向是當演算法或金鑰長度已經無法滿 足所需的安全性時，文件的發起者、憑證管理中心、時戳機構、遞送機構要如何處理 發出的文件、憑證、時戳與不可否認證據。而有關文件的接收者如何驗證文件，本計 畫提出適當的技術解決此問題，並降低再處理的成本。因此，本計畫探討密碼演算法 的安全性與金鑰長度的預測，再研究金鑰管理，結合憑證管理中心、時戳機構與遞送 機構，以達到長期安全的需求。

三、文獻探討

探討密碼演算法與金鑰長度的安全性時，應考量的重要因素之一是分解因數或解 離散對數問題的演算法。Number Field Sieve (NFS) [3, 4, 6, 13]是目前所熟知之分解因 數或解離散對數問題的演算法，演算法執行的時間取決於被分解數目的長度，或是離 散對數問題的域的大小。在相同長度的情況下，分解因數所需的時間是近似於解離散 對數所需的時間，但解離散對數較分解因數難。2001 年 Lenstra 與 Verheul [8]提出密碼 金鑰長度取決於下列四項因素：

(1) 生命週期：資訊預期所需的保護時間；

(2) 安全邊際：防止攻擊成功的可接受程度；

(3) 計算環境：預期攻擊者可用的計算資源；

(4) 破密分析(cryptanalysis)：預期破密分析的發展。

根據上述四項四項因素，Lenstra 與 Verheul 預測 2020 年時使用最短的金鑰長度分 別為：

(1) 對稱金鑰至少 86 位元；

(2) 單向雜湊函數 172 位元；

(3) RSA 模數至少 1881 位元；

(4) 離散對數的有限域至少 1472 位元、子群長度至少 151 位元；

(5) 橢圓曲線的有限域至少 188 位元。

RSA 實驗室在 1995 年建議使用最短的金鑰長度為 768 位元，企業使用的金鑰長 度為 1024 位元，根(root)金鑰為 2048 位元。這些建議並沒有考慮文件的生命週期，而 僅提出定期更新金鑰長度的建議。RSA 因數分解的歷史紀錄中[9]，其中所分解的整數 有許多是特殊的型式，但是分解方法與這些特殊型式的整數無關。RSA 因數分解最新 進展是 2003 年 12 月由德國與其他各國研究團隊共同分解 576 位元的整數。假設 Moore 定律在未來世代仍為有用的情況下，在西元 2015 年一千萬美金的機器約花十天可以找 出 80 位元對稱金鑰；目前一千萬美金的機器約花三百億年方能找出 112 位元對稱金鑰。

從歷史紀錄推估，576 位元的破解時間是 512 位元的 10.9 倍，記憶體需求是 3.3 倍；768 位元的破解時間是 512 位元的 6100 倍，記憶體需求是 77 倍；1024 位元的破 解時間是 512 位元的七百萬倍，記憶體需求是 2650 倍；預估 2037 年可以分解 1024 位元的整數。

Lenstra 與 Shamir [7]於 2000 年提出客製用途的設備，可以取代傳統的個人電腦，

該設備稱為 TWINKLE，此設備的建置費用每台約為五千美金。預估利用 5000 台 TWINKLE 與 80,000 台個人電腦，約需六個月分解 768 位元的整數。分解 1024 位元的 難度是分解 768 位元的 1400 倍。

2001 年 12 月 IBM Almaden 研究中心及 Stanford 大學的科學家成功地利用量子電 腦計算出 15 的質因數(3 和 5) [5, 10, 12]，這個實驗顯示量子計算(quantum computing) 的一大突破，亦是第一個證實 Shor 演算法[11]的實驗。Shor 演算法(1994 年)是解決因 數分解的量子演算法(quantum algorithm)。長整數的因數分解對現今的電腦而言仍是個 很困難的問題，整數每增加一個位元的長度，要找出其因數的時間得增加數倍。但是 根據 Shor 演算法，量子電腦分解因數所多花的時間為常數時間。目前的公開金鑰密碼 系統大都是基於解離散對數及因數分解的困難度，未來量子電腦若是能夠解決這些問 題，則目前的公開金鑰密碼系統都將會變得不夠安全，不過基於資訊理論(information theory)安全性的密碼系統仍然能夠保持安全。

四、研究方法

本計畫為二年期計畫，針對電子文件保護提出可行的密碼學解決方案與系統模 式，以符合長期安全的實務需求。在第一年計畫中，我們已經探討一些常被實務應用 系統所採用之密碼演算法，諸如 DES、AES、MD5、SHA-1、RSA、ElGamal、橢圓曲 線(EC)等的安全度分析；同時，也評析這些密碼演算法在長期安全議題下所面臨的破 密攻擊與可能的修補方案。在第二年計畫中，我們針對機密性、完整性、鑑別性、不 可否認性分別提出符合長期安全的可行系統模式；同時，也提出一個基於公開金鑰基 礎建設(PKI-based)的長期安全系統模式，並進一步納入金鑰管理(key management)與憑 證管理(certificate management)等議題之探討。以下說明本年度計畫的研究方法與進行

步驟，其中研究議題包括金鑰管理、數位時戳服務、憑證管理中心、不可否認服務、

簽章鏈等技術，以達到長期安全的要求，並降低處理的成本。

(一) 相關議題之研析 1. 金鑰管理

金鑰管理對安全的金鑰產生分配與儲存是很重要的，在實務上大多數的攻擊都是 針對金鑰管理而非密碼演算法本身。為了防止長期分析的攻擊，每把金鑰必需有使用 期限，金鑰的效期必需比破密分析的預期時間來得短。換句話說，金鑰長度必需足夠 長，使得金鑰效期屆滿之前，破密分析成功的機率很低。金鑰的有效期限取決於金鑰 所使用的環境，金鑰有效期限決定適當的金鑰長度。藉由預估破密分析的強度與受保 護資訊的價值，決定金鑰的有效期限與長度。

簽章驗證應該檢查金鑰效期，不應該接受一把過期的私密簽章金鑰所簽署的文 件。如果被簽署的文件其保存期限超過金鑰效期，則應該使用長期安全簽章演算法與 數位時戳服務達成簽章系統的完整性。金鑰效期屆滿時，應該銷毀舊的金鑰，以保有 舊有訊息的安全性。然而一把過期的金鑰可能需要保留一段時間，以驗證簽章的有效 性或對密文解密。如果金鑰是足夠長的且尚未被破解，則使用者可以繼續使用相同的 金鑰，憑證管理中心發行新的憑證給相同的金鑰。金鑰置換將增加密碼系統的安全性，

通常硬體速度加快，則必需增加金鑰長度。

當演算法或金鑰長度已經無法滿足所需的安全性時，原有的文件要保留原始狀 態，讓接收者或仲裁者可以驗證文件最初狀態的效力。被簽署的文件與被加密的文件 相較之下，被簽署的文件的處理較為複雜，除了要保留發起者原始的簽章、不可否認 證據與時戳之外，驗證簽章、驗證不可否認證據與驗證時戳的公開簽章金鑰都應予保 留，如此方能驗證發起者當時所簽署文件的效力。因為簽章演算法或金鑰長度簽章已 經無法滿足安全性需求，所以必須再處理文件的簽章，也有可能必須再處理不可否認 證據與時戳，因此會涉及發起者、遞送機構、時戳機構與憑證管理中心。

我們在設計 PKI-based 的長期安全系統模型時，採用類似雜湊鏈的觀念，設計簽 章鏈，保留原始的簽章，並再使用新的簽章演算法或新的私密簽章金鑰重新計算新的 簽章，例如原始簽章是 Sign_KR1[Hash(Document)]，產生新簽章是 Sign_KR2[Hash(KR₁||

Hash(Document))]，其中 Sign_KR1、Sign_KR2表示使用原始私密簽章金鑰 KR₁與新私密簽 章金鑰 KR₂的簽章演算法，Hash(Document)表示文件的雜湊碼。接收者或仲裁者先驗 證原始簽章的效力，然後再驗證新簽章的效力。當然再驗證原始簽章與新簽章之前，

都要驗證憑證與時戳的效力，如有必要還需驗證不可否認證據的效力。在我們所提出 的模型中，整合簽章、憑證、時戳與不可否認證據的再處理過程，降低再處理過程與 驗證文件的複雜度。

2. 數位時戳服務

使用數位時戳服務有助於強化數位簽章的完整性，維護每份文件數位簽章的正確 性。下列三種情況皆須具有數位時戳服務，方能確保數位簽章機制能正常的運作：

(1) 私密簽章金鑰有可能因意外被破解而不再繼續使用原有私密簽章金鑰，在此之前 簽署者可能已經使用這把私密簽章金鑰簽署過文件，所以必須要能檢查的確是在 停止使用金鑰之前，簽署這些文件，唯有在金鑰停止使用之前的這段時間內，所 產生的數位簽章才有效力。利用其對應的公開簽章金鑰驗證數位簽章之前，必須 先確認文件的簽章產生時間，因此私密簽章金鑰的使用時間與簽章產生時間具有

關連性。藉由安全的數位時戳服務，可以確保時間的正確性。

(2) 有些簽署者可能事後會後悔對某些重要文件進行簽署，因此謊報私密簽章金鑰被 破解，進而註銷公開/私密簽章金鑰對，企圖否認這些簽章的效力。數位時戳服務 可以明顯區別簽署文件與註銷金鑰對的時間，所有註銷金鑰對之前的簽章仍具有 效力，簽署者無法事後不承認其簽章的效力，達到簽署的不可否認性。

(3) 因為電腦計算能力的提升，導致私密簽章金鑰不夠安全，而必須更新公開/私密簽 章金鑰對。在此情況下，使用數位時戳服務，仍會使得由舊的私密簽章金鑰所產 生之簽章仍具有效力。

基於上述理由，數位簽章系統的長期安全保護必須能抵抗金鑰破解、金鑰註銷、

金鑰長度不足、憑證屆滿、簽章演算法衰弱等問題；而數位時戳服務能指出是否在破 解、註銷或屆滿之前產生簽章。數位時戳服務可由公正的時戳機構 TSA 提供時間的證 明，最簡單的作法是 Sign_TSA(Time,Hash(Document))，作為時戳符記(timestamp token)，

其中 Sign_TSA表示使用 TSA 之私密簽章金鑰的簽章演算法，Hash(Document)表示文件 的雜湊碼。數位時戳應具有公正性、容易計算、可以區分不同 TSA 所發出的時戳。

不公正的 TSA 會提供追溯時戳，讓偽造的時戳證明具有效力。另外，當 TSA 私 密簽章金鑰被破解時，所有發出的時戳皆無效。因此，在設計 PKI-based 的長期安全 系統模式時，我們參考 ISO 18014 系列與 IETF RFC 3161 的標準，考量時戳的長期安 全性，避免因時戳機構所發出的時戳無效，導致簽章系統無法達成長期安全的要求。

3. 憑證管理中心

使用者必需能夠安全的獲得金鑰對，以符合他們的安全需求，必需有一個方法去 查詢其他人的公開金鑰，使用者必需能夠合法地獲得其他人的公開金鑰，否則入侵者 能變更目錄上的公開金鑰或假冒其他使用者，因此必需使用憑證，而憑證必需是不能 偽造的，必需以安全的方式處理憑證的發行。特別是憑證管理中心必需鑑別申請憑證 使用者的身分與公開金鑰。

憑證管理中心為使用者所信任之公正機構，進行簽發並管理 X.509 格式之公開金 鑰憑證及維護憑證管理中心註銷清冊及憑證廢止清冊。憑證的主要內容包括(1) 簽發 的憑證管理中心 (2) 憑證用戶之名稱或身分 (3) 用戶的公開金鑰 (4) 憑證之有效期 間 (5) 憑證用途 (6) 憑證管理中心的數位簽章。憑證的主要目的是提供公開金鑰的證 明，驗證公開金鑰的憑證相當於驗證憑證管理中心的簽章。

在設計 PKI-based 的長期安全系統模式，我們依據 ITU-T X.509 標準設計系統參 色與其所負責的工作內容。

4. 不可否認服務

ISO 13888 系列標準中不可否認服務是建立某一特殊事件或行動之責任歸屬的證 據，有兩種主要的證據類型，與所使用的密碼技術有關：

(1) 安全信封(secure envelope)：由證據產生機構使用對稱密碼技術產生安全信封，其 方法是使用個體 X 的密鑰 x，並透過對稱完整性技術計算資料 y，以產生附加於 資料 y 之後的密碼檢查值

CHK

SENV

y

y

CHK

y

) ( y

CHK

(2) 數位簽章：由證據產生者或證據產生機構使用非對稱密碼技術產生數位簽章。

針對不可否認符記交換，不可否認機制提供每一種不可否認服務特定的協定。不 可否認符記包含安全信封及/或數位簽章以及可選擇的額外的資訊。不可否認符記可以

被儲存為不可否認資訊，將來遇到糾紛時提供糾紛雙方或判決者作為仲裁之用。

此外，在 PKI-based 的長期安全系統的環境中，我們考量額外的資訊讓不可否認 資訊更加完整，例如：由時戳機構 TSA 所提供可信賴時戳的證據。

(二) 執行步驟

本年度計畫主要是解決演算法或金鑰長度已經無法滿足安全需求時，設計一套技 術，以符合文件的發起者、憑證管理中心、時戳機構、遞送機構處理已發出的文件、

憑證、時戳與不可否認證據的需求，我們依照下列步驟完成本年度的研究：

(1) 蒐集與分析金鑰管理、憑證管理、數位時戳服務、不可否認服務等相關標準，例 如 ISO、IEEE、IETF、NIST FIPS 等標準。

(2) 蒐集與分析金鑰管理、數位時戳服務、憑證管理、不可否認服務等相關論文或技 術報告。

(3) 蒐集與分析雜湊鏈的相關論文或技術。

(4) 探討金鑰管理與憑證管理的議題與技術。

(5) 整合數位時戳服務、不可否認服務與數位簽章的技術，設計 PKI-based 的長期安 全之電子文件系統模型，分析與探討所達到機密性、完整性的長期安全。

(6) 撰寫期末成果報告，主要內容包括相關的文獻研究說明、技術探討及新設計的 數位簽章系統。

五、結果與討論

基於 PKI，我們提出一個具長期安全特性之電子文件系統。在我們所提出之系統 中，整合數位時戳服務、不可否認服務與數位簽章的技術，具有下列特性：

(1) 在文件生命週期的各個階段中，電子文件皆可確保完整性、鑑別性及不可否認性 等安全需求。

(2) 因為金鑰長度不足或證憑到期而換發公鑰憑證時，電子文件產生者無需進行重新 簽署電子文件，由歸檔服務管理者採用更安全的金鑰長度重新簽署電子文件，提 升安全強度，避免電子文件遭受篡改或破解。

(3) 使用簽章鏈之概念，加速簽章查證之效率，且提昇電子文件與金鑰管理之彈性。

六、參考文獻

[1] 吳宗成：系統分析與設計，三民書局，1995年。

[2] 謝清佳、吳琮璠：資訊管理 –理論與實務，智勝文化事業公司，2003年。

[3] Aoki, K., Kida Y., Shimoyama, T., and Ueda, H., “GNFS factoring statistics of RSA-100,110,…,150”,NTT Laboratory and Rikkyo University Fujitsu Laboratory, available at http://eprint.iacr.org/2004/095.ps.gz.

[4] Buchmann,J.,Loho,J.,and Zayer,J.,“An implementation ofthegeneralnumberfield sieve”,Advancesin Cryptology -- Crypto’93,Vol.773,1993,pp.159-165.

[5] IBM, “IBM’s test-tube quantum computer makes history - first demonstration of Shor’s historic factoring algorithm”, available at http://domino.research.ibm.com/

comm/pr.nsf/pages/news.20011219_quantum.html.

[6] Lenstra,A.K.,Lenstra,H.W.,and Manasse,Jr.M.S.,and Pollard,J.M.,“Thenumber field sieve”, Proceedings of the 22nd Annual ACM Symposium on the Theory of Computation, pp. 564-572, 1993.

[7] Lenstra, A.K., and Shamir, “A., Analysis and Optimization of the TWINKLE Factoring Device”,Advancesin Cryptology -- EUROCRYPT’2000,2000,pp.35-52.

[8] Lenstra, A.K., and Verheul, E.R., “Selecting cryptographic key sizes”, Journal of Cryptology, Vol. 14, No. 4, 2001, pp. 255-293.

[9] RSA Bulletins, “A cost-based security analysis of symmetric and asymmetric key lengths”,No.13,2000.

[10] Schewe,P.,Riordon,J.,and Stein B.,“A quantum computerhasfactored thenumber 15”,PhysicsNewsUpdate , No. 570 #4, 2001.

[11] Shor,P.W.,“Algorithmsforquantum computation:discrete logarithm and factoring”, Proceedings of the 35th Annual Symposium on the Foundations of Computer Science, 1994, pp.124-134.

[12] Vandersypen, Lieven M.K., Steffen, M., Breyta, G., Yannoni, C.S., Sherwood, M.H., and Chuang, I.L., “Experimental realization of Shor’s quantum factoring algorithm using nuclearmagneticresonance”,Nature,Vol.414,2001,pp.883-887.

[13] Weber,D.,“Computing discretelogarithmswith thegeneralnumberfield sieve”,2nd International Algorithmic Number Theory Symposium, Vol. 1122, 1996.

七、計畫成果自評

本計畫蒐集與分析相關標準與文獻，其中金鑰管理、數位時戳服務、憑證 管理中心等分析結果，可作為國內發展 PKI 架構與推行數位簽章之參考依據。

此外，基於 PKI 架構，我們提出具長期安全特性之電子文件系統，並發表於第 17 屆全國資訊安全會議(Information Security Conference，簡稱 ISC)，論文名稱：

具長期安全之電子文件系統，頁碼：702-713，詳細內容請參閱附件。ISC 為國 內 資訊 安 全 相 關 研 究 的重 要 會 議 之 一 ， 由中 華 民 國 資 訊 安 全學 會(Chinese Cryptology and Information Security Association，簡稱 CCISA)所舉辦，每年定期 於五月或六月舉行，平均每屆參加人數約二百餘人。我們亦進一步將研究成果 改寫為英文論文，並投稿至國際期刊或會議中。

可供推廣之研發成果資料表

□ 可申請專利 ■可技術移轉 日期：96 年 10 月 10 日

國科會補助計畫

計畫名稱：電子文件長期安全探討(2/2) 計畫主持人：吳宗成

計畫編號：NSC 95-2221-E-011-019 學門領域：資訊安全

技術/創作名稱 具長期安全之電子文件系統

發明人/創作人 ^吳宗成

中文：電子文件(eDocument)具有容易拷貝且不易分辨複本與原本 的特性。基於公開金鑰基礎建設(PKI-based)，我們提出具長期安全 之電子文件系統，以長期確保機密性、完整性、鑑別性、不可否認 等安全性；此外，本系統模式亦考量金鑰管理(key management)與 憑證管理(certificate management)議題。

技術說明 英文：Electronic document (eDocument for short) has the properties that it is easy to copy from the origin, and it is indistinguishable

between the origin and the copy. Based on public key infrastructure, we propose a long term security system model for confidentiality, integrity, authenticity, and non-repudiation, respectively. Also, key management and certificate management issues are considered in the proposed system.

可利用之產業 及 可開發之產品

電子公文系統

技術特點

具長期安全特性之電子文件系統乃基於公開金鑰基礎建設 (public key infrastructure，簡稱 PKI)，具有下列特性：

(1) 在文件生命週期的各個階段中，電子文件皆可確保完整性、鑑 別性及不可否認性等安全需求。

(2) 因為金鑰長度不足或證憑到期而換發公鑰憑證時，電子文件產 生者無需進行重新簽署電子文件，由歸檔服務管理者採用更安 全的金鑰長度重新簽署電子文件，提升安全強度，避免電子文 件遭受篡改或破解。

(3) 使用簽章鏈之概念，加速簽章查證之效率，且提昇電子文件與 金鑰管理之彈性。

推廣及運用的價值

具長期安全特性之電子文件系統除了加速文件流程，亦解決紙本文 件保存與保存空間的問題。此外，本系統亦可以長期確保電子文件 之機密性、完整性、鑑別性、不可否認等安全性。

※ 1.每項研發成果請填寫一式二份，一份隨成果報告送繳本會，一份送 貴單位研 發成果推廣單位（如技術移轉中心）。

※

※ 3.本表若不敷使用，請自行影印使用。

第十七屆資訊安全會議 2007 Information Security Conference

具長期安全之電子文件系統¹

吳宗成^a,b、蔡國裕^a、尤弘任^a、許駿鵬^a

a國立台灣科技大學資訊管理系

b資通安全研究與教學中心, 中央研究院資訊科學研究所 {[email protected],

(D9009107, M9309112, D9509304)@mail.ntust.edu.tw}

摘要

由於數位技術的蓬勃發展，電子文件之應用快速增加。然而，綜觀目前已發表之電 子文件相關研究文獻，多著重於探討電子文件長期歸檔後且可以正確地顯示與閱讀。關 於確保電子文件之長期安全相關的研究付之闕如，亦即確保電子文件在經過長期歸檔 後，可達到完整性(integrity)、鑑別性(authenticity)及不可否認性(non-repudiation)等安全 特性。因此，基於公開金鑰基礎建設(public key infrastructure，PKI)，我們將提出一個具 長期安全特性之電子文件系統。在我們所提出之系統中，電子文件經過長期歸檔後，可 確保其完整性、鑑別性及不可否認性。此外，在換發公鑰憑證後，無需要求原電子文件 產生者重新簽署電子文件，減少原電子文件產生者之負擔。

關鍵詞：長期安全、公開金鑰基礎建設、電子文件系統 一、緒論

電子文件之發展為評估電子化的指標之一，個人、企業及政府紛紛將相關實體文件 資料電子化。然而，由於電子文件之快速增加，亦帶來許多與傳統紙本文件截然不同之 問題。紙本文件與電子文件皆需保存並定期維護，以避免企業單位或政府機關的珍貴文 件因時間流逝而消失殆盡。電子文件之歸檔大致與紙本文件相同，皆需要定期維護並包 含相關之修復作業以避免資料遺失。然而，電子文件與紙本文件最大不同點為需要透過 額外設備或儀器才能閱讀電子文件上所記載之資訊，紙本文件則不需要。再者，電子文 件必須保存於磁性儲存媒體之中，而磁性儲存媒體經常因為各種原因而導致磁性消失，

造成無法讀取保存於其中之電子文件，導致所儲存之資訊遺失。而資訊科技與軟硬體平 台世代交替之快速，亦難確保閱讀電子文件所需的軟硬體平台是否可以相容。

因此，許多研究學者針對上述問題提出許多數位保存技術以避免資訊遺失，分為技 術保存(technology preservation)、技術模擬(technology emulation)、囊封(encapsulation)及 資訊移植(information migration)等四種方法。前兩種方法克服技術環境過時問題，而後 兩種方法則是克服檔案格式過時問題。技術保存之方法是藉由保存應用軟體、作業系統 及硬體平台來避免資訊遺失，亦即將整個環境保存下來。技術模擬之方法是藉由模擬器 的方式以避免資訊遺失，亦即在新軟硬體環境中設計開發能讀取過時之電子文件的系統 程式，此系統程式即為模擬器。囊封之方法則是將如何讀取電子文件的方法一起保存，

此方法包括在新一代之平台上開發能讀取此電子文件的應用軟體。最後，資訊移植之方 法是藉由人工或電腦自動化的方式，將保存於過時平台上之資訊，轉送至新一代平台上

1 本研究接受國科會計畫編號NSC 95-2221-E-011-019、NSC 95-2218-E-001-001 及NSC 95-2218-E-011-015 之部分經費補助

第十七屆資訊安全會議 2007 Information Security Conference

加以保存，如將保存於磁性儲存媒體上之資訊移植至光學儲存媒體進行保存，或在不造 成資訊遺失前提下，以新檔案格式重新撰寫過時檔案格式之電子文件[14]。

然而，在考量電子文件之長期保存時，亦需考量破密分析相關技術，確保電子文件 在經過長期保存之後，仍能滿足完整性(integrity)、鑑別性(authenticity)及不可否認性 (non-repudiation)等安全特性。目前有關電子文件歸檔之研究文獻大部分皆為研究如何透 過標準化的協定，採用通用之資料儲存格式以歸檔電子文件[4, 8, 13, 14, 20, 22]，以確保 電子文件在經過長期歸檔後，仍能正確無誤地顯示與閱讀，缺乏如何在電子文件經過長 期歸檔後，確保電子文件未遭受篡改之相關安全議題的研究。因此，我們以公開金鑰基 礎建設(public key infrastructure，PKI)[1-3, 5, 6, 9, 15, 19]為基礎，提出涵蓋電子文件各生 命週期之電子文件系統，以達到電子文件之長期安全，其中所採用之金鑰或演算法的使 用週期，可以採用美國所公布的金鑰管理標準[17]。再者，為確保所傳送或儲存之文件 資訊遭受可以能的攻擊，如偽造或重送攻擊，我們亦採用簽章機制[21]與時戳服務機制 [9-11]，其中簽章機制可以確保鑑別性、完整性及不可否認性；時戳服務機制可以提供 電子文件在某一特定時間前存在之證據。在我們所提出之電子系統中，電子文件在經過 長期歸檔後，仍能滿足完整性、鑑別性及不可否認性，且無需要求原電子文件產生者在 換發新公鑰憑證後，重新簽署電子文件，避免造成原電子文件產生者之額外負擔。

二、具長期安全之電子文件系統

我們所提出之系統分為系統初始、電子文件產生、電子文件歸檔、電子文件檢索、

電子文件移轉及電子文件銷毀等階段。系統參與角色之工作內容與符號定義說明如下：

CA： 憑證機構(certificate authority)，負責產生、發行、管理及維護公鑰憑證。

RA： 註冊機構(registration authority)，接受憑證申請並負責查核使用者所需宣 告之身分，並產生通過查核之使用者的公鑰憑證。

TSA： 時戳機構(time-stamp authority)，提供可信賴之時戳服務，TSA所提供之 時戳用證明某一電子文件在某一特定時間前即已存在證據。

DP： 文件產生者(document producer)，負責製作電子文件並簽署電子文件，

以產生簽章。

DocA： 文件審核者(document approver)，負責查證DP之電子文件與簽章，並於 查證無誤後，簽署該電子文件，以產生新簽章。

TraA： 移轉審核者(transferring approver)，負責查證移轉清單中檢附之簽章與審 核移轉清單的內容。

DesA： 銷毀審核者(destruction approver)，負責查證銷毀清單中檢附之簽章，並 審核銷毀清單之內容。若無異常，簽署銷毀清單與檢附之簽章，以產生 新簽章，並傳送給歸檔服務管理者進行後續銷毀作業。

DD： 文件銷毀者(document destructor)，負責執行電子文件之實體銷毀作業，

並產生邏輯銷毀日誌Log_LDes與實體銷毀日誌Log_PDes。

ASM： 歸檔服務管理者(archiving services manager)，負責提供電子文件之歸 檔、檢索、移轉即銷毀等相關服務，包含查證相關申請文件、檢查服務 申請之授權及產生相關日誌等。

LDB： 日誌資料庫(log database)，由ASM負責管理維護LDB。ASM將所產生 的日誌存放於 LDB 中，用於後續相關稽核作業，亦可協助仲裁糾紛。

ADB： 歸檔資料庫(archiving database)，存放可歸檔之電子文件，此歸檔資料庫

第十七屆資訊安全會議 2007 Information Security Conference

由 ASM 負責管理維護。

Log

Log

Log

m ： 原始電子文件，由文件產生者所產生之電子資料。

M ： 可歸檔電子文件，因處理公務或因公務而產生之各類文件，送交歸檔服

M

文件之簽章等。

M

子文件之簽章等。

M

文件之簽章等。

cert ： 公鑰憑證(public key certificate)，憑證相關資訊包含序號、公鑰、持有者

DBuf ： 銷毀暫存區，於進行銷毀作業時，DBuf為儲椠邏輯銷毀之已歸檔電 子文件，經過一段時間後才執行實際的銷毀動作，避免因人為疏失或政 策錯誤。

h(x) ： 單向雜湊函數，其中x為輸入值為任意長度之訊息；輸出為固定長度之

Sig

Ver(x) ： 簽章查證函數，其輸入值為簽章與簽署者公鑰；輸出值為true或false，

分別代表該簽章為合法或不合法。

TS(x,y)： 為時間戳記產生函數，以提供可信賴的時間來源；其中x為輸入值為時

TsVer(x,y)：為時間戳記查證函數；其中x為輸入值為時間戳記，y為時戳機構公鑰；

輸出值為 true 或 false，分別代表該時間來源為正確或不正確。

2.1 系統初始階段

在系統初始階段，參與角色必須先向註冊機構RA註冊，並取得由憑證機構CA所簽 發之公鑰憑證cert。首先，系統參與角色產生私密金鑰(簡稱私鑰)與公開金鑰(簡稱公 鑰)。私鑰由系統參與角色秘密保存，公鑰則傳送至RA申請cert。註冊完成後，由CA簽 發並公佈cert，如圖1所示。詳細步驟說明如下：

步驟1： 系統參與角色產生公鑰與私鑰。

步驟2： 系統參與角色將公鑰與身分資訊傳送給RA申請cert。

步驟3： RA鑑別該系統參與角色之身分，查證所提出申請之公鑰與相關的身分資 訊。

步驟4： 身分鑑別通過後，RA通知CA簽發cert。

步驟5： CA將TSA之數位時戳附加於cert中，以協助判斷該cert之有效起訖期間。

步驟6： CA簽發cert，憑證相關資訊包含序號、公鑰、持有者身分、cert之有效期 間、CA名稱及CA之簽章等。

第十七屆資訊安全會議 2007 Information Security Conference

系統參與角色

圖1：系統初始階段示意圖 2.2 電子文件產生階段

文件產生者DP製作原始電子文件m完成後，首先使用自己私鑰簽署m，以產生對應

m之簽章。其次，將m與簽章一同傳送給文件審核者DocA。收到m與DP之簽章後，DocA

步驟1： DP製作原始電子文件m。

步驟2： DP在m製作完成後，簽署m產生具DP之簽章的電子文件m₁ = m ||

Sig

步驟3： DP將m1傳送至時戳機構TSA請求時戳服務，證明電子文件之簽章產生時 間。

步驟4： TSA於m1加上時戳，產生具時戳之電子文件m2 = m1 || TS(SKTSA

, h(m

步驟5： DP收到m2之後，將m2傳送給DocA。

步驟6： DocA首先經由TSA之公鑰與簽章查證函式TsVer(PKTSA

, Ts(h(m

, Sig

步驟7： DocA簽署m₂，產生具DocA之簽章的電子文件m3 = m2 || SigDocA(h(m2))。

步驟8： DocA將m3傳送至TSA請求時戳服務，證明確認審核之簽章產生時間。

步驟9： TSA於m3加上時戳，產生具時戳之電子文件m4

= m

|| TS(SK

步驟10：DocA收到m4之後，再將m4傳送給DP。

步驟11：DP首先使用TSA之公鑰與簽章查證函式T_S

Ver(PK

, TS(h(m

, Sig

若所產生之電子文件還需其他電子文件審核者DocA′的簽核，則僅需執行上述步驟5 至步驟11即可。其中，步驟6則更改為DocA′向憑證機構CA要求已簽署之電子文件審核

註冊機構 憑證機構

1.產生公私鑰對

2.申請憑證 6.核發憑證

3.身份鑑別

5.時戳 4.通知簽發憑證

時戳機構

第十七屆資訊安全會議 2007 Information Security Conference

者的公鑰憑證Cert_DocA，查證已簽署之電子文件審核者的簽章，其餘執行步驟相同。

4. m2 = m1 || TS(SKTSA, h(m1))

DP DocA

1.產生原始電子文件m 2.產生m1 = m || SigDP(h(m)) 11.查證SigDocA(h(m2))與TS(h(m3))

TSA

8.m3

9. m4 = m3 || TS(SKSTA, h(m3)) 3.m1

7.產生m3 = m2 || SigDocA(h(m2 )) 10.m4

6.查證TsVer(PKSTA, TS(h(m1))) 和SigDP(h(m))

5. m2

圖 2：電子文件產生階段示意圖 2.3 電子文件歸檔階段

在電子文件歸檔階段中，歸檔審核者AA收到可歸檔電子文件M後，首先查證M中簽 章之有效性，並簽署M以產生具AA之簽章的可歸檔電子文件。其次，AA將M與簽章傳 送給歸檔服務管理者ASM。隨後，ASM確認AA是否具申請歸檔作業之權限。若查證通 過，ASM簽署M與AA所簽署之簽章，產生具ASM所簽署之簽章且保存於歸檔資料庫 ADB。此外，ASM產生此次歸檔作業日誌Log_Arc，保存於日誌資料庫LDB。最後，ASM 將其所簽署之簽章與TSA時戳作為歸檔收據回傳給AA，如圖3所示。詳細步驟說明如下：

步驟1： AA查證M中簽章之有效性，如電子文件產生階段所示。

步驟2： AA簽署M，產生具AA之簽章的可歸檔電子文件M₁ = M || Sig_AA(h(M))。

步驟3： AA將M1傳送至TSA請求時戳服務，證明歸檔審核之簽章產生時間。

步驟4： TSA於M1加上時戳，產生具時戳之可歸檔電子文件M2 = M1 || TS(SKTSA,

h(M

步驟5： AA收到M2之後，將M2傳送給ASM。

步驟6： ASM首先使用TSA之公鑰與簽章查證函式T_S

Ver(PK

步驟7： ASM簽署M₂，產生具ASM之簽章的可歸檔電子文件M₃ = M₂ ||

Sig

步驟8： ASM將M₃傳送至TSA請求時戳服務，證明歸檔作業之簽章產生時間。

步驟9： TSA於M3加上時戳，產生具時戳之可歸檔電子文件M4 =M3 || TS(SKTSA,

h(M

步驟10：ASM收到M₄之後，將M₄儲存於歸檔資料庫ADB。

步驟11：ASM產生此次歸檔作業日誌LogArc，並儲存於日誌資料庫LDB。

步驟12：ASM產生歸檔收據Rec_AA = Sig_ASM(h(M₂)) || TS(h(M₃))。

步驟13：ASM將RecAA傳送給AA。

步驟14：AA首先使用TSA之公鑰與簽章查證函式TS

Ver(PK