TW548940B

TW548940B - Generation of a mathematically constrained key using a one-way function

Info

Publication number: TW548940B
Application number: TW089124542A
Authority: TW
Inventors: Eric J Sprunk
Original assignee: Gen Instrument Corp
Priority date: 1999-11-29
Filing date: 2000-11-20
Publication date: 2003-08-21
Also published as: DE60025401T2; EP1234404B1; WO2001047178A3; EP1234404A2; WO2001047178A2; KR20020060243A; ATE315292T1; AU5074201A; DE60025401D1; US20040234074A1; CA2392077A1; CN1402920A

Description

548940 A7 B7 五、發明說明（發明背景本發明係有關一種製作密碼鍵値用之方法及裝置。單向 ^數及質數測試是用以提供高度保密之模數。例如，可提供用於Rlvest，Shamir及Adleman (RSA)公共鍵値加密碼通 =之模數。本發明可用於編密碼資料，該資料係經由類如 :星分佈網路或有線電視網路的寬頻帶通訊網路與解碼器族群繫的’或者用於任何其它安全裝置。提了之擊入訊與寬頻帶通訊網路之解碼器族群聯繫之視訊、音訊及其它資料是在磁頭端的一或更多之密碼鍵値下加密碼^以八供對貝料心存取控制。在可定位址的接收器製造時產生種子資料並將之載入該等接收器。一旦含這些密碼鍵値訊$在通訊網路上展開時，此將容許該等接收器接著處咸等訊息。總之，有敵意的入侵者可透過各種已知的攻方法（例如晶片之去封囊、探測等）獲得種子資料。一旦侵者具有此種子資訊，其將具有將送至該接收器之所有息解密之潛力，因而永久地或在長時期内傷害該接收器隨侵在接收器製造時克服此問題的一個方式是由接收器處使用預足功能之預植以推導出種子。然後縱使預植種子後爲入侵者所發現，除非入侵者知遒預定功能，否則入者無法獲得種子。逆此預足功能可爲單向函數。一單向函數基本上是不可〜的，以致經該單向函數處理之輸入資料無法由未授權之人員所恢復。單向函數可包含分佈隨機功能，在一或更多的編密碼通則下將輸入資料加密碼，而且例如使用互斥或 -4- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐 548940 五、發明說明（2 經濟部智慧財產局員工消費合作社印制农 (X 0 R )功把和最後加密碼之資料與輸入資料混雜在一起。因而’對於種子，在無單向函數之作用下以嘗試錯誤入侵基本上不可能回復受單向函數處理以獲得種子之預植。一般而言’讀取儲存的資訊（例如從晶片）而非用以產生儲存的資訊之預植的載入訊息之入侵者透過單向函數 (one-way function，下文簡稱〇 WF )面對著倒退地工作以改造預植心載入訊息。因爲該入侵者無法執行此一單向函數<逆向作用，且因其沒有用以將預植種子載入晶片之原預植載入訊息，故其無法將有效種子載入在接收器中之晶片。通常此OWF之使用僅在生產解碼器之工廠，而非網路中發生。因而在此領域中之解碼器通常並不接收使用此方法之訊息。當預植種子爲對應於例如資料編密碼標準 Encryption Standard，下文簡稱DES)之位元申或鍵値時，上述將預植種子供至解碼器之方法係很適當的。有效 D E S鍵値基本上包含任何隨機的5 6位元_。因此，受向函數處理之DES键値產生可用做另_des鍵値之輸叫資料。在該DES键値於許多情況下可提供適當之安全性時，以RS A键値可達到與公共键値編密碼相關聯之不安全特性。 R S A公共鍵値金碼系統爲在公共鍵値密碼使用法中廣使用之標準。由此一系統，將訊息γ加密碼以獲得密碼字X=YK2(模數N)。公共鍵値是由（K2，n)所界定，其中的單出同泛文 (請先閱讀背面之注咅？事項再填寫本頁) ，裝 l·---訂---------· 5- 548940 A7

經濟部智慧財產局員工消費合作社印製五、發明說明（3 ) K 2爲公共指數，模數N爲二大質數p及Q之乘積。此外， K2<N，且K 2對尤拉Totient cp=(P-l).(Q-l)爲相對質數。若兩個整數無共同之質因數，則互爲相對質數。亦即，其等唯一之共同因數爲i。系統之安全性係基於將N分解因數爲P及Q兩個分量之困難。在解密操作時，訊息γ從密碼文字X回復成Y=XK1 (模數N )，其中K 1爲私人鍵値或私人才曰數’而Κ2 ΐ=Κ1模數（φ )。因爲對於大數目（例如5 6位元及更長之位元串），質數之發生率較低且較不可能發生，故受單向函數處理之有效 RSA鍵値Κ2極不可能產生另一有效的rsA鍵値。圖1顯示在位元長度與質數百分比間之已知的漸近線關係。很特別地，質數定理述及對於X値，小於X的質數之數目是漸近似地等於X除以X之對數。X軸1 i 〇顯示在質數中之位元數，而y軸1 2 〇顯示爲質數之百分比。例如，對於5 6位元之二進位數，僅有約全部數目之〇〇25 %爲質數的。如曲線1 3 0所示，此比例隨位元長度降低。即使將單向函數用於隨機之產生，隨機產生的數目爲質數之概率也是依此同一比例。以單向函數處理R S A鍵値將產生有效的R S A鍵値是不太可能的。同樣地，因爲單向函數的輸出最好以隨機數模式化，該輸出將滿足任何不致發生的數學限制是不太可能的，質數性僅爲一例。因此，希望能提供一種使用單向函數製作數學限制式键値（類如有效的R S A鍵値）用之計算式地有效率系統。此一系統應提供一種高度安全編了密碼之鍵値，例如預植種 -6 - 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） (請先閱讀背面之注咅？事項再填寫本頁) _裝--------訂---------. 548940 A7

請先閱讀背面之注意事項

經濟部智慧財產局員工消費合作社印製 548940 五、發明說明（5 ) X解密以回復明確的資_γ=χΚ1(模數N)。最好是將隨機位元_知八4 i 1 ^ , 甲、、、田刀成數個片段以獲得預植的資料，然後由單向函數獨立地處g " 乂地處理各片段以獲得對應的處理 U片&。知處理過的片段組合以獲得處理過之位元率，然後就整個測試類如質數性之數學限制條件。 -般而言，本發明並非是特別用於rsa 須製作數學限制键値之處。美於暂齡、D疋J應用在學限制鍵値之-例。對於存二L、、疋SA键値僅爲數 ;存在及出現類如橢圓曲線密碼系統之通則的任意特性之其它限制都將會涵括於此。 -種在此所示用以製作密碼鍵値K2之特殊編碼方法包括產生第一組隨機値Pre_p(類如512位元之位元串）之步驟至/ Pre P値4分係以第_單向函數處理以獲得對應値P。Pre-P最好包含由單向函數個別處理之數値（例如位元）組。P値受到類如質數性的數學限制滿足度之測試。若P不滿足此限制，乃重複上述步驟以形成新的p 値，直到滿足該限制爲止。最後形成做爲p値及其它變數 P及K1之函數的鍵値K2。很特別地，第二組隨機値_可與pre_p値類似之方式處理’以導出亦滿足數學限制之卩値。然後形成了模數 N = PQ及尤拉Totientφ=(P-l)(Q_1)。接著使用單向函數處理第三組隨機値pre_Ki以導出値。然後決足K 1對φ是否爲相對質數。若如山心通則指出K1及φ必最大公約數（（}(：：]〇)爲i，則此條件滿足。若此條件不滿足，則形成其它尺1値，直到滿足條件爲止。本紙張尺度適用中國國家標準(Hs)A4規格（i10 X 297公爱· (請先閱讀背面之注咅？事項再填寫本頁)

548940 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明（6 ) 然後可利用Euclid's之延伸通則，亦即K^tKf1 (模數φ )形成鍵値Κ 2。可在Κ 2及Ν下將資料Υ編上密碼，例如使用 X = γΚ2 (模數Ν )。例如，類如電視節目之資料可在編碼器編上密碼。同時根據本發明，提供了一種製作密碼键値Κ 1用之解碼方法。最後用在編碼器以導出Κ 2之pre-P、pre-Q及pre_ K1値係供至解碼器。在該解碼器，以先前使用的單向函數分別處理pi:e-P及pre_Q以形成Ρ及q。然後如前地形成模數N = PQ。使用相同之單向函數處理用在編碼器之第三組隨機値 pre-Kl以導出Κ 1値。然後可使用κ丄及N將編了密碼之資料解密。例如，可使用γ^χο(模數N)將資料χ解密。編了密碼之訊息X可經具有解碼器族群之寬頻帶通訊網路從該編碼器傳送至解碼器，p、pre_Q&pre_Ki可以當做種子載入的訊息區域地儲存在解碼器中的晶片，例如内部地或在智慧卡中。亦呈現出對應的編碼裝置及解碼裝置。圖式簡述圖1示出質數理論。圖2示出根據本發明之且有訊網路。 /、有編碼奈及解碼器之寬頻帶通圖3示出根據本發明之編碼器。圖4 ( a ) tf出根據本發明的編圖4⑻示出根據本發明的圖邵分\ (a )、爲碼万法之第二部 -9- i紙張尺度適用中國國規格(2$ x 297公釐） (請先閱讀背面之注意事項再填寫本頁) tr---------· 548940

分。圖5示出根據本發明之解碼器，及圖6示出根據本發明之解碼方法。發明之詳細説明、本發+明係有關一種使用單向函數並測試數學限制條件 (類如免數）以製作數學限制的鍵値（類如R s A密碼鍵値及模數）之方法及裝置。類如寬頻帶有線電視或衛星分佈網路之條件式存取 (conditional aCcess，下文簡稱CA)系統將訊息中之資訊傳送至儲存該資訊之確信的組件。CA系統之入侵者藉移除及重送使用該組件之正常訊息傳遞語法及處理的資訊，有時可非法地繁衍或複製確信的組件。因此對於所儲存的資訊希望以防止其做爲合法的資訊傳遞訊息再使用之形式存在。此問題是稱之爲「資訊傳遞及再使用問題」。典型的單向函數（0WF)具有一或更多輸入im， IN2 ’…’及一輸出out。其顯著的單向特性爲： •已知所有輸入INI，IN2，…，則很容易計算〇υτ ;不過 •已知OUT及至少1個遺失的輸入in 1或ΙΝ2或…，要計算遺失的輸入在計算上是不可行的。计算的不可行意謂不知道有較祇嘗試遺失的變數之全部可能値以決定正確値之更好的方法。在本發明中，可使用具有一個輸入及一個輸出之簡單〇WF ’其中0UT = 0WF(IN)很容易計算，不過in=〇wF(OUT)-1 則不然。 -10- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） (請先閱讀背面之注咅？事項再填寫本頁} ▼裝 I I I I 訂-- - ------^ 經濟部智慧財產局員工消費合作社印製 54S940 A7 B7 五、發明說明（8 在類如有線電視網路、雷旦彡却苏次减/「弘衫、運動新聞及其它視訊、音 1/二服務J)之寬頻帶通訊網路係基於付費而提供碼器族群中獲授權的解碼器。爲防止未獲員務觀賞或別的舉動，該服務在—或更多的密碼鍵碼。在授權的解碼器提供種子或預植資料(例二η入訊息)用來製作密碼鍵値，俾解密編了密碼列：，可將種予或預植資料儲存在解碼器内部之 3了中。因此，在許多解碼器中最敏感之資訊 ::二各解碼器唯一的識別碼之公共單元位址組不可變之身分。在解碼器内之全部密碼之功犯可爲基於某種形式之種子而成。在過去’入侵者由一組件析取種子並將之載入多個達複：或繁衍！全組件之目標。此-過程通常稱系仃些解碼条是設計成接受下列形式之種子入訊息：單元位址+種子_1+種子_2+種子_3+種子_4 在此訊息中提供了四個種子僅係做爲—例。可使用較少或更多之種子。例如此訊息所載入之五段資訊可原封的將之置於解碼器記憶體的五個區域中。在解碼器送入領域後’入fe者可找出進入這五個記憶區並移除資訊之方式。因爲，資訊容許原種子载人訊息之產生，此種人侵使得「示彳稱者」製作未獲授權的繁衍解碼器單元。因並將網路經營者收入及其它之損失，故此爲重大的問題。、可使用預植種子取代在種子載人m所用之種子。該 -11 - 297公釐）訂本紙張尺度_巾_ 548940 A7 五、發明說明（9 預植载入訊息可具有下列形式：單凡位址+預植種子_1 +預植種子-2 +預植種子_3 +預植種子-4 §在解碼器收到預植載入訊息時，使用Ο WF處理預植種子以產生種子： ^ 單元位址[儲存]=單元位址[接收] 種子-1 [儲存]= 〇WF(預植種子·i [接收]) 種子-2[儲存]= 〇wf(預植種子-2[接收]) 種子_3 [儲存] = 〇WF(預植種子d [接收]) 種子_4[儲存]= 〇WF(預植種子-4[接收]) 此一方法提供較高之安全度，乃因入侵者要計算從安全組件記憶體所析取的種子之預植種子現在是計算上不可行了。例如爲從種子_ 1計算預植種子_丨，入侵者必須計算預植種子- l= 〇WF_1(種子-1) 總之，一旦所選的〇 WF足夠強，此爲不能防守的問題。很特別地，DES基礎的OWF業經仔細研究且認定爲相當可靠的。此OWF方法解決了 DES鍵値傳遞之資訊傳遞及再利用的問題。注意到當使用此OWF方法時，基本上是假設透過〇WF 通過有效的DES键値將形成亦爲有效DES键値之輸出。若此不實，則種子將非有效的D E S鍵値，造成其等無效用。使用任何適當的隨機位元來源及普通的程序很容易製作 D E S键値： -12- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） (請先閱讀背面之注意事項再填寫本頁) ▼裝--------訂--------- 經濟部智慧財產局員工消費合作社印製 548940 A7 __ B7 五、發明說明（10) 步驟1 ·產生5 6個隨機位元。步驟2·將所有56當成有效DES键値使用。在此所用「隨機」一詞是涵括「假隨機」。要瞭解到在實際上純隨機程序是很難達成的。 R S A鍵値係採用下列複雜的數値程序而極迥異製作的：步驟1 ·選取（很大的）模數尺寸，例如1024位元。步驟2 ·如下概略性地產生5 1 2位元之質數p ·· a) 產生512隨機位元。 b) 將這些位元組合成數目P。 c) 測試P是否爲質數。 d) 若爲質數，保留P並前往步驟3。 e) 若非質數，回至步驟2a。步驟3.對另一個512位元之質數Q重複步驟2。步驟4·形成1024位元模數N = P.Q。步驟 5.形成尤拉 Totient，cp(PHI)=(p_i).(Q_i)。步驟6.隨機地產生键値K1，其中κΐ對（P-1).(Q_1)必須爲相對質數： a) 產生1024隨機位元。 b) 將這些位元組合成數目K1。 c) 測試K 1對（P-l).(Q-l)是否爲相對質數。 d) 若爲相對質數，前往步驟7。若不是，則回至步驟 6 a ° 步驟7·使用Euclid’s延伸通則，從鍵値κ 1及（pd).(Q-l) 導出鍵値K 2。 -13- 適用1國國家標準（CNS)A4規格mo X 297公釐） (請先閱讀背面之注意事項再填寫本頁)

· ·1 ϋ ϋ ϋ ϋ ^OJI I 1 1 -ϋ I 經濟部智慧財產局員工消費合作社印製 548940 A7 B7 五、發明說明（11 ) 步驟8.捨棄p，Q及很重要）。步驟9 .保留下列以用於R s A編寫密碼： (請先閱讀背面之注意事項再填寫本頁) a) K1 b) K2 Ο 模數N = 步驟2及3爲有關本發明在DE S键値製作上問題的差異。滿足數學限制條件（類如質數性）數目之隨機產生爲概略的程序，會產生許多非質數之數目。此係因質數相當稀少（如先前關於圖1所討論者），且因沒有直接產生質數之已知方法。取而代之者，產生隨機數目並測試其等是否爲質數。當找到質數時，即可停止搜尋。總之，如下列討論所顯示的，r S A公共鍵値的製作有問題。鍵値之「熵」可定義成對N位元鍵値尺寸之有效鍵値數目。N位元之最大的「熵」鍵値具有2 N有效鍵値。不論如何受限制的鍵値是較不具熵量的，因而限制愈緊將降低熵。因固定的鍵値僅有單一値，故其爲退化式熵量（亦即，具有「零熵」）。DES鍵値、rsA模數、RSA键値 K 1及R S A鍵値K 2全可依熵從最低熵量至最高熵量排序如下：RSA键値K2、RSA模數、RSA键値K1及DES鍵値。經濟部智慧財產局員工消費合作社印製這些熵之排序來自下列考量： •由於N位元尺寸之DES鍵値具有2N有效鍵値，d E S键値爲最大熵量。任何N位元數目爲有效键値。 •因係經隨機選取的，R S A键値K i爲中高的熵，不過對 (P-l)’(Q-l)受限（寬鬆地）爲相對質數。隨機選取値對同樣 -14- 本紙張尺度適用中國國豕標準（CNS)A4規格（210 X 297公着)"麵 -- 經濟部智慧財產局員工消費合作社印製 548940 A7 ~_______B7 __ 五、發明說明（12 ) 尺寸l(P-l).(Q-l)爲相對質數是相當可能的，所以祇有相當少的値爲無效的。 '口係以貝數製作，R S A模數具有中低的熵。在數字領域中質數係不平常的，因而如圖i所示，其等之製作不太可说發生。須經多次嘗試以產生單一有效的尺S a模數。 •因一個有效的K 2値是直接從鍵値κ丨及模數N推導出來而非隨機地產生，故RSA键値〖2具有零熵。因此键値K2 具有退化的璃。對於傳統的56位元之DES鍵値，僅需產生56隨機位元俾具備好的鍵値。此係因5 6位元鍵値的全部256可能値爲擁有同等安全度的合法D ε S鍵値。總之，以基於數字理論之原理’此並非爲其情況。若產生了 Ν位元之候選r s a 模數’大郅分時間其並非有效之模數且必須捨棄。例如 R S A公共鍵値模數必須是二大質數之乘積，因此每次須 k Ec機產生的位元組合成候選的键値，並須做進一步測試以知曉其是否眞的是有效的鍵値。在R S A中，此一測試是決定組合的位元是否構成質數。在其它通則中，除質數測試外還有其它測試，且這些可能才口外地複雜。本發明提供之系統在進一步做類如質數性的有效測試之前的最初隨機位元產生階段期間進行〇 w F操作。然後，若找出有效數（例如質數），則已捕獲輸出該有效數的OWF之輸入。例如，若將8位元鍵値當做Γ迷你式DE S」，則有2 5 6 個合法的尺寸8位元之鍵値（亦即，2 8= 2 5 6 )。若以各爲4 -15- 本紙張尺度· t目g家鮮（CNS)A4麟（210—χ 297公釐) ' ~ *^--------1T--------- (請先閱讀背面之注意事項再填寫本頁) 548940 A7

I 訂 _ 請先閱讀背之注意事項再填寫裝

本衣頁I

I

548940 A7 B7 五、發明說明（14 ) 隨機的位元來源或者來自OWF的輸出是無關緊要的，因兩者皆可用。因隨機位元很容易以相當高速率產生，基於此緣故D E S鍵値的製作極有效率且有彈性地應用。相較之下，RSA键値K2全然排斥做爲0W]F的輸出，因其對於要由隨機模式程序產生的獨自之有效K2値是視而不見的。由於較低的熵，RSA鍵値K1較無意願接受〇WF之輸出。不過若來自多次嘗試之多個輸出爲可用的，獲得有效的κι可能是可行的。僅具有一個0WF輸出之應用（類如種子載入）無法以RSA鍵値K1動作。不過攸圖1看到者’當做r S A模數使用時，所知的隨機數或OWF輸出僅具有非常小成爲有效之概率。rsa模數爲键値製作的一部分且首先產生，因此RS A键値的製作很缓fe且典效率。還有更糟的是即使找出了有效模數，在未成爲無效模數時不能通過〇WF是極爲可能的。經濟部智慧財產局員工消費合作社印製 (請先閱讀背面之注咅？事項再填寫本頁) 使用有效的R S A模數且透過〇 ^ ρ向後操作以導出計算模數之輸入並無可能。此意謂著透過單向函數向後操作在定義上是不可計算的。將0WF輸出直接用做RSA模數是完全不可行的。因此不能使用傳統的〇WF種子載入訊息方式，而留下資訊傳遞及再使用之問題。本發明解決之問題是在0WF之輸出獲得有效的RSA模數。此後，"RSA鍵値製作"或"鍵値製作，，一詞應包含RS a 模數及鍵値製作程序兩者，且所説明的oWF係 -17- 本紙張尺度適用中國國家標準（CNS)^ii"(21〇 χ 297公爱） 548940 A7

五、發明說明（15 ) 假設爲具有64位元輸入及輸出。可使用較少或較多之位元。此外，錯誤更正可使用檢查位元。 (請先閱讀背面之注意事項再填寫本頁) 可如下使用OWF製作RS A键値及模數。在傳統上，隨機键値製作爲與如何使用所製作之有效鍵値不同之程序。因DES键値很容易製作且即使緊接著通過〇WF仍有效，故此程序可行。不過當使用傳統上製作的RS a键値時，將键值的製作與種子載入訊息的產生分開是不可能的。根據本發明，種子載入訊息OWF是併入RSA键値及模數產生之本身程序中。此係在程序中三個特別處所完成的，導致以下之修改的RSA键値及模數產生程序：步驟1·選擇（大的）模數尺寸，例如1024位元。步驟2·如下地概略性產生5 1 2位元質數P : a) 產生512(=8 · 64)隨機位元。 b) 將各6 4位元組合成8件或片段，稱爲Pre-P^.Pre-Ps。 c) 將Pre-P^.Pre-Ps分別通過〇 WF 以形成〇 d) 將？卜.？8組回512位元數目P。 e) 測試P是否爲質數。 f) 若P爲質數，保留P及Pre_P1...Pre_P8並前往步骤3 0 g) 若P非質數，捨棄Pre-PhPre-Ps並回至步驟2a。經濟部智慧財產局員工消費合作社印製步騍3·對質數Q重複步驟2以在過程中形成Pre-Q^.Pre-Qs。

步騍4.形成1024位元模數N = P · Q 步驟5.形成 Euler Totient=(P-l).(Q-l) 步驟6.隨機產生鍵値ΚΙ，其中K1對（P-1HQ-1)須爲相對質數： 18- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） 54894〇 A7 B7 五、發明說明（16 ) a) 產生1024隨機位元。 b) 將各64位元組合成16個數目Pre-Kli...Pre-ΚΙ]^。 c) 將卩代_；01...?代-：016分別通過0買？以形成〖11...1^116〇 d) 將Kl^Kl%組合成1024位元數目K1。 e) 測試K1對（P-lV(Q-l)是否爲相對質數。 f) 若爲相對質數，前往步驟7。若否，則回至步驟 6 a 〇步驟7 ·由Euclid's之延伸通則從鍵値K 1及（P-l).(Q-l)導出键値K 2。步驟8·捨棄P，Q及（P-1)*(Q_1)(重要）。步驟9·保留下列俾在OWF訊息傳遞&RS A密碼編寫中使用： a) Pre-K^...Pre-ΚΙ^ b) K2 c) Pre-P1...Pre-P8 d) Pre-Qi—Pre-Qg 以上本發明之程序容許了〇WF輸出的有效RSA键値之製作。現在OWF已整合至鍵値製作本身之過程，例如在 P，Q及K1產生之過程。 OWF RSA键値製作程序可如下用以解決資訊傳遞及再使用問題。目的是將模數N及鍵値K 1傳送至接收器/解碼器。因键値K2僅在磁頭端將用做訊息之密碼編寫，故接收器不需要鍵値K 2。鍵値K 1僅在解碼器中用做爲訊息解密0 -19- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） (請先閱讀背面之注意事項再填寫本頁) ------l---訂---------. 經濟部智慧財產局員工消費合作社印製 548940 A7 經濟部智慧財產局員工消費合作社印製五、發明說明（17 步驟1·使用上述之OWF程序，產生RSA鍵値變數Pre-Kli Pre_Q8 及 K2。該〇WF 可具有64位元輸入及輸出。步骤2·形成下列形式之rsA預植載入訊息：單元位址+ Pre-Pp · .Pre-Pg+Pre-Qi pre_Q8+Pre_K1 卫 preK1 π 步驟3 ·將R S A預植載入訊息送至訊息接收器（例如，解碼器）。現在訊息接收器（例如解碼器）進行所有處理。注意該解碼器必須有用於上述键値製作之〇 W F。該0 W F可供至在使用各種方法的解碼器族群中之解碼器。例如，在製造解碼杏時使用智慧卡寺將〇 W F安裝於非揮發性記憶體中，或經由通訊網路下載。可將〇 WF本身編上密碼以防止中途截取及危害。解碼器進行下列步骤以導出用於將編上密碼的視訊、音訊或其它資料解密之K1及N: 步驟1 ·處理Pre-I^..Pre-P8: a)將 Pre-Pp.-Pre-Ps通過OWF 以形成Pr.p。。 b )捨棄 Pre-Pp.Pre-Ps(重要）。 c) 重組Pi—Ps以形成P。步驟2 ·處理 Pre_Q1...Pre-Q8: a) 將 Pre-Qp.Pre-Qs 通過 OWF 以形成 QpQs。 b) 捨棄Pre-Ch—Pre-Qs(重要）。 c) 重組Q^.Qs以形成Q。步驟3 .處理P及Q : -20- 本紙張尺度適用中國國家標準（CNS)A4規格（210 χ 297公釐） (請先閱讀背面之注意事項再填寫本頁) 一裝

I I IB1 一一0> I ^1 ϋ ϋ i·— iBBl n I p. 經濟部智慧財產局員工消費合作社印製 548940 A7 __________ B7 五、發明說明（18 ) a) 將P與Q相乘以形成模數N。 b) 捨棄P及Q(重要）。步驟 4.處理 Pre-Klh.Pre-Klk a) 將Pre-Kl^.Pre-KlM通過〇WF以分別形成〖1卜玉116。 b) 捨棄 Pre-Klh.Pre-KlM(重要）。 c) 重組ΚΙρ,.ΚΙπ以形成K1。在此點，訊息接收器/解碼器具有所要的資訊，其係藉 RSΑ種子載入訊息資訊通過〇WF而導出的。若入侵者無意中取出了模數N及键値K1，因首先未將模數n分解因數則 P及Q無法形成，故其不能形成有效的RS A預植載入訊息。此爲RSA的安全性所根據的「困難問題」。第二，即使已知P，Q 或K1，由於使用〇WF，Pre-Pb.Pre.Pf ρ&ι • ••Pre-Q8及 Pre-Kl^.Pre-Klw無法導出。。本發明於下列附圖中説明。圖2示出根據本發明具有一編碼器及解碼器之寬頻帶通訊網路。編碼器一般示於2 〇〇，而解碼器一般示於2 6 〇。可在有線電視或衛星分佈網路之頭端提供編碼器2 〇〇 ,而解碼器2 6 0表示在解碼器族群中的一解碼器，例如在用户家。編碼器200包含一键値及模數產生器2〇5，且選擇性地含多工器（MUX) 240。键値及模數產生器205使用單向函數以產生許多預植之片段：Pre-P# Pre-P8，Pre-Qg Pre-Q^Pre-Kj-l 至 pre_Ki_16 。視需要可將不同的單向函數用於不同片段組。例如，1 一第一單向函數可用於Pre—P# Pre_p8 (Pre_p)，—第二單向 (請先閱讀背面之注音？事項再填寫本頁)

-21 -

經濟部智慧財產局員工消費合作社印製 548940 A7 _ B7 五、發明說明（19 ) ㈡數可用於Pre_Q# pre_Q8 (pre_Q)，及一第三單向函數可用万；Pre-Krl至pre-Kr16(Pre_K)。對一組内之各片段使用不同的單向函數亦是可能的。鍵値及模數產生器2〇5使用預植資料以產生rsa键値 K2及RSA模數N。編密碼器23〇使用K2&N以將明朗之貝料Y編上密碼’因而提供對應的加密碼之資料X編密碼备2 3 〇根據X=YK2 (模數N )實現了 r s A公共鍵値密碼系統。如所提及者，明朗之資料γ可包含視訊、音訊或其它資料。汪意未編密碼之資料可與至解碼器2 6 〇及網路中其它的解碼斋之編了密碼之資料相聯繫。例如，可提供之層狀分佈服務，其中所有解碼器獲得接收程式規劃的基本層級之授權，而僅特殊的解碼器獲得在額外付費時接收一或更多層級的頟外費用程式規劃之授權。在此情況，僅有額外費用之程式需編密碼。視惝況可爲編碼器2 〇〇的一部分之控制中心2 j 〇可控制鍵値及模數產生器2 〇 5之處理。控制中心2丨〇可視情況提供會计決算之能力，例如維持有關那些解碼器是獲得接收加金碼的#料之授權紀錄。例如，控制中心2工〇可保有付費、帳單及其它相關資訊之磁軌。在解碼器2 6 0 (例如透過晶片）提供了在鍵値及模數產生斋205之相同預植資料。此步驟通常僅在解碼器26〇之製造過私中發生。加密碼之資料X係供至Μυχ 240，以便跨過頻道250與解碼器260聯繫。例如，頻道250可包含與 -22- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） (請先閱讀背面之注音？事項再填寫本頁} ，裝-----1—訂---------^wl. 548940 A7 五、發明說明（2〇 ) 解碼器族群聯繫之有線電視分佈網路或衛星分佈網路。啕如編了密碼或未編密碼之程式的其它資料及/或控制資= 可與加密碼之資料X在MUX 240多工化。貝在解碼器260，解多工器（DEMUX) 27〇收到來自頻道 250之傳輸資料。DEMUX27〇將加密碼之資料乂供至二= 碼器26 5。在DEMUX 270收到之其它資料依需求遞送。二植資料是例如經由在解碼器中儲存預植載入訊息的晶片^ 鍵値及模數產生器275中受處理，其中該預植資料^由用於編碼器2〇〇的相同單向函數之處理，以導出密碼鍵值 K1及模數N。K1&N係供至解密碼器26 5，將用以將加密碼之資料X解密，俾回復明朗之資料γ。口在解碼器260視需要提供控制中心2 82，以控制在鍵値及模數產生器275之處理。可依需求使用傳統電路對明朗之資料γ做進—步處理。例如，若明朗之資料γ包含視訊資料，則可能需要進行傳技統（視訊解壓縮處理。有關此處理之細節是在熟知此項藝之人士理解範圍内。在亦注意在圖2所示者爲單一解碼器26〇，不過典型上解碼器族群中將有數千個接收來自類如編碼器2q^單頭端編碼器的資料之解碼器。個實可圖3示出根據本發明之編碼器。編碼器2〇〇，包含許多㈣示之不同處理。總之，應樂見可使用共用之電路來施不同之處理，包含共用之微處理器及記憶體儲存元件及/或其它軟體，靱體及/或硬體。再者，這些處理通常 -23- 本紙張尺度適用中國國家⑽X 297公爱） 548940 五、發明說明（21 ) =做是圖2的鍵值及模數產生器2〇5及編密碼器23〇之部編碼器200,包含一與匯流排3〇5聯繫之中央處理單元 (咖”！。。-随機位元產生器⑴使用任何已知之隨機 '貝料產生方法產生隨機位元串。例如，可產生512位元及 1024位元之位元串。一位元細分器/組合器32〇可將隨機位兀串細分成許多片段。例如，可使用八個相等的片段。當使用單向函數處理各片段時，通常希望各片段具有提供所需安全度之長度，類如64位元或更長。若片段太短，縱然使用單向函數處理片段，安全層級可能不夠。總 t，當各片段之長度增加時，隨機產生之位元串或其次集合將爲質數或符合另-必要的數學限制之概略降低，因而增加了計算時間。因此，在安全與計算時間之間有折衷。單向函數3 2 5獨自地處理來自位元細分器/組合器32〇之各位元片段。可使用任何已知的單向函數。例如，可使用一或更多^DES鍵値及前授隨機資科將各片段編上密碼。然後單向函數3 2 5所處理之片段在位元細分器/組合器320組合成單一位元串。例如，當使用八個64位元片段時，可將片段鏈結或者組合以獲得新的512位元長度位元串。在單向函數處理之前及/或之後可视情況將片段隨機重新排序以提供進一步之安全。在解碼器須使用對應之重新排序。新組合過的位元申可供至質數測試器3 4 5，其可實行任 -24- 本紐尺度賴巾關家標準（CNS)A4規格（210 X 297公釐 548940 A7

五、發明說明（22 ) 經濟部智慧財產局員工消費合作社印制衣何已知的質數測試方法以決定處理過的位元事是否爲質數再者，縱若完全確定無法決定質數性，要達到位元串爲貝數之所要的可仏度是可能的，例如99 9999 %可信。例如’ 一種質數測試法使用了稱爲「見證（WITNESS)」之通則’其係在i 9 7 5年5月第七屆計算理論年度a c Μ研口寸會雨文集由Miller G.所著「質數性之Reimann's假設及測試」以及1980年1 2月數字理論雜誌Rabin, M·所著「質數性測試之概略性通則」中討論到的。該通則接收要做質數測試的數目輸入” n，，以及某一整數” a ’’，而a < η，如下列虛擬數碼之説明：見證（a，η) 1 * 令bkhk-i···%爲（η-1)之二進制表示。 2 . d 1 3 . 對i — k降爲0 4. x — d 5. d 一（dxd)模 η 6 * 若且χ*1且χ辛η-1 7 · 則回到眞（TRUE ) 8 .若 bi= 1 9 .則 d ( d x a )模 η 10. 若d辛1 11. 則回到眞工2·回至僞（FALSE) 若回到眞，則” n ”很明確地非質數。若回到僞，則，· η -25- 本紙張尺度適用中國國家標準（CNS)A4規格（21G χ 297公爱）'' '------ (請先閱讀背面之注咅？事項再填寫本頁) 裝 -11 -|叮· 111111· 548940 A7 B7

經濟部智慧財產局員工消費合作社印製可爲質數。再者，如在1990年麻州劍橋MIT刊物中由C〇rmen τ，

Leiserson，C·及Rivest，R·所著通則介紹討論著，可由任音地選擇之n a ’’値重複引用見證。若在任何點回到眞，，，^，，不是質數。若連續回到僞n s π次，則，，η ”爲質數之概略至少爲卜。因而，對於足夠大之” s ”値，可建立” η，，爲質數之對應可信度。特別地，可由質數測試器3 4 5測試二個5 1 2位元之位元串，Ρ及Q。一旦已找出位元串Ρ及Q爲充分地質數，則其等供至模數計算器350以形成RSA模數N = P.Q。注意根據本發明可使用任何做爲任何數學限制（不限於質數性）測試用之功能。此外，尤拉Totient功能355係用以形成乘積9 = 。尤拉Totient表示小於N且對N爲相對質數的正整數之數目。一旦φ決定了，在功能360進行Euclid’s之（基本）通則以形成K1及φ之最大公約數（GCD)，將於説明圖4(a)及 4(b)時做進一步解釋。若正整數C爲A及B之除數，正整數C爲A及B兩個整數之GCD，且A及B之任何除數爲c之除數。在功能3 6 5執行EuclicTs延伸通則以獲得键値κ 2。編密碼器230使用K2及N以將資料Χ=γΚ2 (模數N)編上密碼。CPU 310及記憶體3 40可用來控制其它功能，並依需求提供資料之中間及/或最後儲存。此外，可經由匯流排3 0 5或其它裝置提供要在編密碼器2 3 0中編密碼之資 -26- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） ^請先閱讀背面之注音？事項再填寫本頁} _ 裝--------訂--------- 548940 A7 B7 五、發明說明（24 料。圖4 ( a) 7F出根據本發明的編碼方法之第一部分。在方塊 4 〇〇產生了例如具有5 1 2位元長度之隨機位元串。在方塊 405 ’將孩等位元組合成許多預植種子之次集合，Pre-Pi 至Pre-Ps。例如，可使用八個各具有6 4位元長度之次集合。在方塊4 1 〇，以單向函數處理各次集合以獲得對應之次集合Ρι至Ps。因爲使用了單向函數，基本上不可能分別從次集合P gP 8導出預植種子之次集合Pre_Pi至pre_p8。在方塊4 1 5 ’組合處理過的次集合p丨至p 8以形成5 1 2位元長度之位元串P。在方塊4 2 0，測試P以決定其是否爲具充分可信度之質數。若否，則在方塊4〇〇重複處理，且捨棄預植之資料。若是，則在方塊4 5 5繼續處理。分別在對應於方塊400、405、410及415之方塊430、 43 5、440及445導出對應之位元串Q。特別在方塊430產生了另一 512位元隨機位元_。在方塊435，將該位元串組合成Pre_Q8i次集合。在方塊440，以單向功能分別處理Pre-Q8&獲得對應之處理過的次集合Q工至 Q 8。在方塊445將h至Q8組合以形成512位元之位元串Q。在對應於方塊420之方塊450，就Q是否具充分可信度之質數做決定。若否，則在方塊4 0 0重複處理，並捨棄預植之資料。若是，則在方塊4 5 5繼續處理。選擇性地，可在方塊4 2 0及4 5 0進行用在任何所要的數學限制之測試。在方塊455，形成了 RSA模數N = P*Q，而在方塊460， -27- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） (請先閱讀背面之注意事項再填寫本頁) 裝--------訂---------· 經濟部智慧財產局員工消費合作社印制衣經濟部智慧財產局員工消費合作社印製 548940 A7 --------B7 __ — 五、發明說明（25 ) 形成了尤拉Totient cp=(P-l).(Q_l)。在方塊465，處理在圖 4(b)之方塊A繼續。注意用於方塊410及440之單向函數可爲相同的；總之，此並非需要。再者，甚至以不同的單向函數處理各次集合，及/或使用二或更多之單向函數處理單一次集合或整個位元_是可能的。包括使用附增的、傳統的編密碼步驟之其它變化對熟知此項技藝之人士將是很明顯的。圖4(b)示出根據本發明之圖4(a)編碼方法之第二部刀。處理在方塊5 0 0繼績。在方塊5 0 5產生了具有例如 1024位元長度之隨機位元串。在方塊5 j 〇。將該位元串細分成十六個各具有64位元長度之預植種子次集合pre_K]rl 至Ρα-Κγΐό。在方塊515，以單向函數處理各64位元次集合以獲得對應之處理過的次集合ΚΓ1至Kr16。用於方塊515之單向函數可與用在圖4(a)的方塊410及440之相同或相異的單向函數。在方塊5 2 0組合處理過的次集合〖1_1至1^1-16以形成RSA键値K1。在方塊525 ’就K1對φ是否爲具充分可信度之相對質數做成決定。當Euclid，s基本通則指出GCD(K1，φ)=1時，Κ 1 對φ爲相對質數〇若GCD(K1，φ) * 1，在方塊5 0 5開始重複處理，且捨棄預植之資料。若GCD(K1，φ) = 1，在方塊 5 3 0繼績處理’在該處使用Euclid’s延伸通則以形成R S A 键値K2=Ki_l模數φ。在方塊5 3 5以Κ 2及Ν將訊息Υ編上密碼以形成密碼文字 Χ=ΥΚ2·(模數Ν)。在方塊540捨棄Ρ，Q及φ。若此資訊存 -28- 本紙張尺度適用中關家標準（CNS)A4規格（210 X 297公釐) 一 — (請先閱讀背面之注意事項再填寫本頁)

548940 經濟部智慧財產局員工消費合作社印製 A7 五、發明說明（26 於記憶體内，因入侵者可能可以獲得此資訊，故此步驟很重要。最後，在方塊5 5 〇，將編上密碼之訊息X傳送至解碼器族群。 >王意預植片段价卜匕至Pre_p8、Pre_Qg pre_Q8及pre & ^ 至Pre-Kr16亦例如經由晶片供至解碼器族群。此步驟通常與涉及在編碼器處理之前步驟無關聯。三個位元串P、q及K1之預植資料最好是供至解碼器。總之，將少於所有三個位元串之預植資料供至解碼器以實施本發明是可能的。因加於入侵者之負擔增加，系統之安全仍有改進。圖5不出根據本發明之解碼器。解碼器6〇〇包含一與匯肌排6 0 5相聯繫之cpu 6〇2。位元細分器/組合器6丨〇、單向函數615、記憶體620及模數計算器625通常對應於圖 3編碼器200'之相同名稱的元件。單向函數615處理了例如經由晶片供至解碼器6〇〇之預植片段，以獲得對應之處理片段。接著，位元細分哭/組合器61〇組合個別之處理過的片段以形成p、q&ki。在功能625計算了 RSA模數N。在解密碼器26 5使用將所收到的加密碼之資料X解密，以回復明朗之 Υ=χκι(模數N)。 CPU 602及記憶體62〇可用來控制其它之解碼器功能> 並依需要提供十間及最終之資料儲存。再者，可以個 =元或件、用〈組件（包括軟體、靱體及/或硬體）製成各解碼本紙張尺度翻巾關家鮮（CNS)A4規格（21G x -------—Αν ^—訂·-------- (請先閱讀背面之注意事項再填寫本頁) -29« 548940 五、發明說明（27 圖6示出根據本發明之解碼方法。例如來自晶片、智慧、寺用於編碼器之個別預植片段亦可用在解碼器。 4=V由單向函數處理預植片段pre-p灿心8以對應的處理過片段Ρι〇8。此爲與用在圖4⑷方塊目同之單向函數。在方塊71〇組合處理過的片段p至形成p。同樣地’纟方塊715由單向函數處理預植之 ^又Pre_Qi至pre_Qs以分別獲得處理過的片段I至此 2用在圖4(a)方塊44()相同之單向函數。在方塊72〇組理過的片奴Q 4 Q 8以形成Q。在方塊7 2 5形成了模數 N=P·Q 〇在方塊730，由單向函數處理預植之片段加士巧至加 $ 以分別獲得處理過之片段Ki_UKrl6。此爲與用在圖❿）〈万塊515相同〈單向函數。在方塊732，捨棄了 ‘Κι」至Pr^KH6。在方塊7 3 5組合處理過的片段Kr ι至A· 16 以形成RSA键値κι。最後，在方塊74〇 #Κ1&Ν將加上密碼之資料X解密以獲得γ=χια(模數N)。山一如所提到者，在、編碼器處理不同的片段及/或完整的位凡串使用相異的單向函數是可能的。因此，在解碼器應使用相同的對應單向函數或諸功能以獲取原㈣片段及位元串此外，在處理所給的位元串時連續地使用多於一個單向ώ數疋可能的。再者’其它已知的編密碼法可與本發明同時使用。消 A7 B7 訂、因此，可看出本發明提供了一種製作數學上限制的键値足万法及裝置，類如使用單向函數及做數學上限制條件 •30- 本紙張尺度適用中關家標準（CNS)A4規格⑽χ 297公髮） 548940 A7

經濟部智慧財產局員工消費合作社印製類如質數性）之測試的R s A密碼键値及模數。在一個具體實施例中，本發明獲得了 RSA系統及一或更多單向函數兩者之安全性效益。本發明特別地適用於出入管制的寬頻帶通訊網路，其中預植種子資料係供至網路上之特殊解碼器。在例示用之具體實施例中，在類如磁頭端之編碼器使用單向函數處理預植之資料並測試決定其是否爲質數。若如此，因而得到兩個質數p&Q並用以形成rsa模數贝及岔碼鍵値K 2。在有線或衛星電視網路中類如視訊、音訊或其它資料之資料γ被編上密碼以獲得編了密碼之資料模數N)，並在網路上傳送至解碼器族群。在製造過程期間或安裝之時，解碼器例如經本地區之晶片接收預植之資料，該資料係在解碼器中使用键値製作過程所用之相同單向函數處理，以獲得模數N&RSA键値 κ 1。K 1是使用Euclid's延伸通則從κ 2導出的。編上密碼之資料X受到解密以回復明朗之資料γ=χΚ1 (模數Ν)。最好將隨機位元♦細分成數片段以獲得預植之資料，然後以單向函數獨立地處理各片段俾獲得得對應的處理過t片段。組合該等處理過之片段以獲得質數性測試用之處理過的位元串。若獲知其爲具充分可信度之質數，則使用該位元_。不然的話，在獲得可接受的位元_之前，則進行連續的重複。再者，選擇足夠長之位元_片段以提供足夠之安全度，不過要足夠短以避免要獲得質數位元_ 多次重複所引起的過度計算時間。 -31 - 本紙張尺度適用中國國家標準（CNS)A4規袼（210x 297公釐） ------------·裝———訂--------- C請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 548940 五、發明說明（29 ) 雖已由各種特殊的具體實施例説明本發明。熟知此項技藝之人士將樂見到可對其做許多改造及變更，如在申請專利範園所説明的不致偏離本發明之精神及範圍。例如，在與有線或衛星電視寬頻帶通訊網路一起討論本發明時，將樂於見到可使用類如區域網路（)、都备區域網路（MANS)、寬廣區域網路（WANS)、互連網路: 企業内部網路及網際網路之其它網路。再者，應樂見到在例示中所用之位元争長度及每一位一夢的片段數目僅爲例子。通常有關此點的唯一需要是向函數所處理的片段之最小位元串長度須大到(例如 6 4位元）足以維持高度的安全性。 ^ 再=，可在製造鍵値製作器及/或在解碼器時以連續或並行處理万式同時地以例如單向函數進行多：處理。 η f又〈此外，雖然最好以單向函數處理p、q&ki的每―個，不過並不需如此。例如，若僅有一或更多的以-或更多的單向函數處理，將仍可達安全度效益。疋再者，、在以產生位元申及位元之形式討論處理時，可睁字底數表示。。十進位或十六進位之任何數本紙適财關家鮮（CNS)A4雜 ·裝--------訂--------- C請先閱讀背面之注咅？事項再填寫本頁} -32-

Claims

548940 經濟部智慧財產局員工消費合作社印制衣 A8 B8 C8 D8 六、申請專利範圍 1. 一種用以產生密碼鍵値尺2之方法，包含之步驟爲： (a) 產生一第一組數値； (b) 以一第一單向函數處理至少該第一組數値的—部分，俾獲得對應値P ; (c) 測試p値對一數學限制之滿足性； (d) 在該步驟（c)若P値滿足該數學限制，則形成做爲P値的函數之該密碼鍵値K 2 ;以及 (e )在該步驟（c )若P値不滿足該數學限制，依需要重複該等步驟（a)、（b)及（c)以得到滿足在該步驟（()）之該數學限制的P値，並形成做爲p値的函數之該密碼鍵數K2。 2·如申請專利範圍第1項之方法，其中：至少該第一組數値之一爲隨機產生的。 3·如申請專利範園第1項之方法，其中：键値κ 2爲— Rivest，Shamir 及 Adleman (USA)鍵値。 4. 如申請專利範圍第1項之方法，其中：該數學限制係與橋圓曲線密碼系統相關聯的。 5. 如申請專利範圍第1項之方法，包含尚有之步躁爲： (f) 將訊息Y編上密碼以形成做爲鍵値κ 2的函數之加了密碼之訊息X ; (g) 經一寬頻帶通訊網路將該加了密碼之訊息χ傳送至一解碼器族群中之解碼器；以及 (h )將用於解密該加了密碼之訊息χ之資料供予該解碼器。 -33- 本紙張尺度適用中國國家標準（CNS)A4規格（210 χ 297公釐） (請先閱讀背面之注音？事項再填寫本頁)

548940 A8 B8 C8 D8 經濟部智慧財產局員工消費合作社印製六、申請專利範圍 6·如申請專利範圍第1項之方法，其中：該步驟（b )包含以該第一單向函數處理至少該第一組數値的一部分之步驟’俾獲得對應的第一組處理過之數値0 7·如申請專利範圍第6項之方法，其中該步驟（b )尚包含之步驟爲：組合該第一組處理過之數値以形成該P値。 8·如申請專利範圍第1項之方法，其中：該數學限制在所要的質數性可信度下爲質數性的。 9·如申請專利範圍第8項之方法，包含尚有之步驟爲： (f) 從一第二組數値產生一第二値Q; (g) 形成 cp = (P-l).(Q-l); (h ) 產生一第三組數値； (i) 以一單向函數處理至少該第三組數値的、卟分以獲得一對應値K 1 ; (j) 測試K1値對φ之相對質數性；及 (k) 若在該步驟（j)未找到K1値對^爲相對質數、需要重複該步驟（h)、（i)及（j)，以獲得對^爲相所視之K1値。。歼質數 10·如申請專利範圍第9項之方法，其中：該步驟（i )包含以該單向函數能處理至少今筮— 、必罘三#且數値的一邵分之步驟。 11.如申請專利範圍第9項之方法，其中：當K 1値與φ之最大公約數爲1時，該步驟（j )決& 了 K1 (請先閱讀背面之注咅？事項再填寫本頁) ------I 訂---- I---- _ -34- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） 548940 A8 B8 C8 D8 六'申請專利範圍値對φ爲相對質數。 (請先閱讀背面之注意事項再填寫本頁) 12.如申請專利範圍第9項之方法，其中：至少*亥弟一組數値的，部分爲隨機產生的。 I3·如申請專利範圍第9項之方法，其中：在該步驟（f)由一單向函數處理至少該第二組數値的一部分以產生該第二値Q。 14.如申請專利範圍第9項之方法，其中：至少該第三組數値的一部分爲隨機產生的。 15·如申請專利範圍第9項之方法，包含尚有之步驟爲： (l) 形成一模數N = PxQ ;及 (m) 將訊息Y編上密碼以形成做爲鍵値κ 2及模數N的函數之加了密碼之訊息X。 I6·如申請專利範圍第1 5項之方法，其中：該步驟（m )包含將該訊息Y編上密碼以形成加了密碼之訊息X=YK2(模數N)之步驟。 17· —種在一解碼器將加了密碼之訊息X解碼之方法，包含之步驟爲：經濟部智慧財產局員工消費合作社印製 (a)以一第一函數處理至少一第一組數値的一部分，以獲得對應的第一組處理過之數値； (b )從該第一組處理過之數値形成一 p値； (c )從一第二組數値產生密碼键値Κ 1 ;及 (d )將加了密碼之訊息X解密成該密碼键値κ 1及該P 値之函數；其中： (i )該加了密碼之訊息X是在一編碼器上被加密爲密碼 -35- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公爱1 ~' 548940 A8 B8 C8

六、申請專利範圍經濟部智慧財產局員工消費合作社印製鍵値K2之函數，（ii)鍵値K2是在該編碼器上由含一第二組數値之數値所產生的，及（iii)以對應於該步驟（a ) 的該第一單向函數之一第一單向函數處理至少該第三組數値的一部分，以獲得滿足一數學限制之對應的第三組處理過的數値。 18.如申請專利範圍第i 7項之方法，其中：至少該第二組數値之一爲隨機產生的。 19·如申請專利範園第i 7項之方法，其中：鍵値 K 1 爲一 Rivest，Shamir 及 Adleman (RSA)键値。 20·如申請專利範園第i 7項之方法，其中：該數學限制係與橢圓曲線密碼系統相關聯的。 21·如申請專利範園第1 7項之方法，其中：該加了密碼之訊息X係從編碼器經由寬頻帶通訊網路傳送至含該解碼器之解碼器族群。 22·如申請專利範圍第i 7項之方法，其中：至少該第一組數値之一爲隨機產生的。 23.如申請專利範圍第1 7項之方法，其中：至少該第三組數値之一爲隨機產生的。 24·如申請專利範圍第1 7項之方法，其中：該數學限制在所要的質數性可信度下爲質數性的。 25·如申請專利範圍第1 7項之方法，其中該步驟（b)尚包含之步驟爲：組合該第一組處理過的値以形成該p値。 26·如申請專利範圍第1 7項之方法，其中： -36 - 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公董） (請先閱讀背面之注咅？事項再填寫本頁)

--------訂--------- 隐. 548940 A8 B8 C8 D8 六、申請專利範圍該步驟（C)包含由一單向函數處理至少該第二組數値的一部分以獲得對應的第二組處理過數値之步骤。請先閱讀背面之注意事項再填寫本頁} 27. 如申清專利範園第2 6項之方法，其中該步驟（d )包含之步驟爲：組合該第二組處理過之數値以形成键値K i。 28. 如申請專利範圍第1 7項之方法，包含尚有之步驟爲： (d )提供一第四組數値； (e ) 由一早向函數處理至少該第四組數値的一^邵分以獲得一對應値Q ;以及 (f) 形成一模數N = P X Q以用於將加了密碼之訊息X 解密。 29. 如申請專利範圍第2 8項之方法，其中：為弟四組數値與第三組數値相同。 30·如申請專利範圍第2 8項之方法，其中： K2及K1之關係爲 K2=K1]模數 φ，而 q> = (P-l).(Q-l)。 31·如申請專利範圍第2 8項之方法，其中：至少該第四組數値的一部分爲隨機產生的。經濟部智慧財產局員工消費合作社印製 32·如申請專利範圍第2 8項之方法，其中是由訊息γ在編碼器根據：X=YK2 (模數N )形成該加了密碼之訊息X，尚包含之步驟爲： (g) 使用該密碼键値Κ1及該模數Ν根據XK1 (模數將加了密碼之訊息X解密以獲得該訊息γ。 33. —種製作密碼键値K 2用之編碼器方法，包含：用以產生一第一組數值之裝置； -37 - 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公爱) ' -- 548940 經濟部智慧財產局員工消費合作社印制衣 A8 B8 C8 D8 六、申請專利範圍由一第一單向函數處理至少該第一組數値的一部分以獲得一對應値P用之裝置；測試該P値對一數學限制的滿足性用之裝置；及若該P値滿足該數學限制，用以形成做爲該p値的函數之該密碼键値K 2之裝置；其中若該P値不滿足該數學限制，該產生裝置產生一新的第一組數値，該處理裝置處理該新的第一組數値，且該測試裝置測試該新的P値對該數學限制之滿足性直至該P値滿足該數學限制上，而且該形成裝置配合形成做爲該P値的函數之該密碼鍵値K 2。 34. —種用以解碼加了密碼之訊息X之解碼器，包含：產生一第一組數値用之裝置：由一第一單向函數處理至少該第一組數値的一部份以獲得一對應的第一組處理過的數値用之裝置；用以由該第一組處理過的數値形成一 P値之裝置；用以由一第二組數値產生一密碼键値K1之裝置；及用以將加了密碼之訊息K 1解密成該密碼鍵値κ 1及該 P値的函數之裝置；其中： (i )該加了密碼之訊息X是在一編碼器上被加密爲密碼鍵値K2之函數，（ii)键値K2是在編碼器上由其一組數値產生的，及（i i i )以對應於該步驟（b )的該第一單向函數之一第一單向函數處理至少該鍵値K2的該組數値之一部分，以獲得滿足一數學限制之對應組的處理過數値。 -38- 本紙張尺度適用中國國家標準（CNS)A4規格（210 X 297公釐） (請先閱讀背面之注意事項再填寫本頁)