數值簽章設計與服務器協助秘密計算之研究

Abstract

在本博士論文中，我們探討在公開金匙密碼學中，有關數值簽章的兩個主 要議題。其中之一是針對如何設計出具有加密功能的有效數值簽章法，提 出低明文擴充率的解決之道；另外一個議題為數值簽章法，設計出有效的 服務器協助祕密計算協定。所謂公開金匙密碼學之驗證式加密法就是具有 公開金匙加密功能的數值簽章法。驗證式加密法對於傳遞重要且機密的訊 息應用上十分有用，所以設計好的驗證式加密法，是一個十分重要的議題 。在本論文中，我們針對植基於離散對數難題之驗證式加密法，提出低明 文擴充率的解決方法。我們所面臨的第一個挑戰就是明文擴充的問題，於 是我們提出新的構想，以建構低明文擴充率之驗證式加密法，新的驗證式 加密法之明文擴充率至多兩倍。包含我們的方法在內，目前現存的驗證式 加密法，都受到存在式偽造簽章攻擊法與盲目簽章攻擊法的威脅。為了移 去這些威脅，我們提出適用於驗證式加密法的一般解法，我們提出的一般 式解法，所需增加的額外計算成本低廉，而且絲毫不擴張明文擴充率。然 而驗證式加密法至此仍不適用於簽署長的訊息，即使長的訊息已先被切割 成許多訊息塊來簽署。為了串接這些訊息塊，我們為所有的驗證式加密法 提出低計算成本的訊息塊串接法，而且採用我們串接法，新的明文擴充率 仍維持和原先擴充率一樣。數值簽章法並不適合只具有限計算能力的設備 使用，其中主要的困難是這些設備無法在合理的時間內完成數值簽章法， 所以我們第二個議題是透過服務器協助祕密計算協定來克服這個困難。為 模指數運算的服務器協助祕密計算協定，我們提出兩個適用於RSA數值簽 章法的有效服務器協助祕密計算協定。我們的協定不只可以對抗被動式攻 擊法，更可以防止主動式攻擊法與 Gollmann攻擊法。在安全考量方面， 服務器協助祕密計算協定必須有驗證最後計算結果的措施，以防範主動式 攻擊法的威脅，但舊有的驗證措施會導致選擇祕密資料的限制；為了去除 此一限制，我們提出一套新的驗證措施。在密碼分析方面，我們提出兩套 主動式攻擊法以破解兩個舊有的服務器協助祕密計算協定：協定 3與協 定 4。此外，我們採取服務器協助祕密計算的精神，提出一個服務器協助 金匙分配協定。 In this dissertation, we investigate two major issues about signatures in public key cryptography. One is to provide with low message expansion to design efficient signature schemes integrated with public key cryptosystems. The other is to efficient server-aided secret computation protocol for signature schemes. Authenticated encryption schemes in public key cryptography digital signature schemes integrated with the public key cryptosystems. They are useful to transmit critical and data in insecure networks. To design good authenticated encryption schemes is an important issue. In this dissertation, provide solutions with low message expansion to design authenticated encryption schemes based on the discrete logarithm problem. The first challenge is the message expansion, so we propose an idea to construct authenticated encryption schemes low message expnasion. The message expansion ratio of the new schemes is at most two. Besides our scheme, all of the other proposed authenticated encryption schemes are also damaged by existential forgery attacks and blind signature attacks. To the damage, we propose a general approach to enhance the of these proposed schemes. The computation cost we should pay a little and the message expansion is also the same. On the hand, these schemes are not suitable for signing long messages if the message is divided into many blocks. To linkup these with little additional computation cost, we provide a message linkage mechanism. Moreover, adopting our linkage, the message expansion is still the same. Finally, we provide a complete solution to construct efficient authenticated encryption schemes low message expansion. The digital signature schemes are not suitable for the devices with limited computation power. The major difficulty is the devices cannot execute the signature in reasonable time. Our next issue is to overcome this through server-aided secret computation protocols. To find efficient and secure protocols for