TWI608722B - Public key certificate method - Google Patents
Public key certificate method Download PDFInfo
- Publication number
- TWI608722B TWI608722B TW105119690A TW105119690A TWI608722B TW I608722 B TWI608722 B TW I608722B TW 105119690 A TW105119690 A TW 105119690A TW 105119690 A TW105119690 A TW 105119690A TW I608722 B TWI608722 B TW I608722B
- Authority
- TW
- Taiwan
- Prior art keywords
- key
- initial
- update
- public key
- hash function
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本發明是有關於一種公開金鑰憑證方法,特別是指一種在不需更新數位憑證的前提下也能滿足資訊安全要求的更新金鑰的方法。
在利用公開金鑰密碼技術所達成的數位簽章(digital signature)中,文件的發送者以私密金鑰對文件進行數位簽章;而文件的接收者利用對應私密金鑰的公開金鑰來對數位簽章進行驗證,以確認數位簽章是否為真。
然而,其中的關鍵是:文件的接收者如何能確定所取得的公開金鑰的真偽?於是,公開金鑰基礎建設(public key infrastructure, PKI)便因應而生。在公開金鑰基礎建設中,文件的發送者在一可被信任的憑證機構(certification authority, CA)註冊對應的身份資訊(identify)與公開金鑰,文件的接收者再從憑證機構接收其所簽發的包含文件的發送者對應的身份資訊與公開金鑰的數位憑證(digital certificate)。
現有的數位憑證只能支援固定的私密金鑰與公開金鑰,所以若文件的發送者的私密金鑰被破解,或基於其他安全或管理的原因,例如數位憑證已過有效期限,文件的發送者需要向憑證機構要求更新數位憑證及公開金鑰。然而,數位憑證更新的程序是很耗通訊成本的,因此,有必要研發在不需更新數位憑證的前提下,也能滿足資訊安全要求的更新公開金鑰與私密金鑰的方法。
因此,本發明之目的,即在提供一種公開金鑰憑證方法。
於是,本發明公開金鑰憑證方法,由一憑證機構裝置、一發送端裝置,及一接收端裝置實施。該憑證機構裝置對應一憑證機構公開金鑰與一憑證機構私密金鑰,該發送端裝置對應一身份資訊及至少一初始金鑰對,其中每一初始金鑰對包含一初始公開金鑰與一初始私密金鑰。該公開金鑰憑證方法包含一步驟(a)、一步驟(b)、一步驟(c),及一步驟(d)、一步驟(e)、一步驟(f),及一步驟(g)。
該步驟(a)是該憑證機構裝置根據一雜湊函數,計算該雜湊函數的至少相關於至少一初始公開金鑰與一初始字串的一第一雜湊函數值。
該步驟(b)是該憑證機構裝置利用該憑證機構私密金鑰,對一包含該第一雜湊函數值的訊息進行簽章而產生一憑證機構簽章。
該步驟(c)是該憑證機構裝置產生一包含該身份資訊、該至少一初始公開金鑰及該憑證機構簽章的數位憑證。
該步驟(d)是該發送端裝置決定出至少一分別對應該至少一初始金鑰對的更新金鑰對,其中每一更新金鑰對包含一更新公開金鑰與一更新私密金鑰,且該發送端裝置還根據一更新私密金鑰及一初始私密金鑰的其中至少一者決定出一更新字串,其中該第一雜湊函數值等於該雜湊函數的至少根據至少一更新公開金鑰與該更新字串所計算出的一第二雜湊函數值。
該步驟(e)是該接收端裝置利用該憑證機構公開金鑰驗證該數位憑證,並據以獲得該第一雜湊函數值。
該步驟(f)是該接收端裝置根據該至少一更新公開金鑰與該更新字串計算該第二雜湊函數值。
該步驟(g)是該接收端裝置藉由判斷是否該第一雜湊函數值等於該第二雜湊函數值來驗證該至少一更新公開金鑰,其中若該接收端裝置判斷出該第一雜湊函數值等於該第二雜湊函數值,則判定該至少一更新公開金鑰為真,否則為偽。
本發明之功效在於:文件的發送者能在不需更新數位憑證的前提下,產生能滿足資訊安全要求的更新金鑰對。
1‧‧‧發送端裝置
2‧‧‧接收端裝置
3‧‧‧憑證機構裝置
41~45‧‧‧步驟
本發明之其他的特徵及功效,將於參照圖式的實施方式中清楚地呈現,其中:圖1是一方塊圖,說明實施本發明公開金鑰憑證方法的一憑證機構裝置、一發送端裝置,及一接收端裝置;及圖2是一流程圖,說明本發明公開金鑰憑證方法的步驟流程。
在本發明被詳細描述之前,應當注意在以下的說明內容中,類似的元件是以相同的編號來表示。
參閱圖1,本發明公開金鑰憑證方法是由連接至一通訊網路的一憑證機構裝置3、一發送端裝置1,及一接收端裝置2來實施。該憑證機構裝置3可為一電腦伺服器,並由一憑證機構管理,且對應一憑證機構公開金鑰與一憑證機構私密金鑰;該發送端裝置1與該接收端裝置2可為個人電腦、智慧型手機等等,且分別為文件的發送者與文件的接收者所持用。
參閱圖2,圖2說明本發明公開金鑰憑證方法的步驟流程。本發明公開金鑰憑證方法包含一產生數位憑證階段(步驟41~43)及一更新金鑰階段(步驟44~45)。
在該產生數位憑證階段,首先,在步驟41,文件的發送者操作該發送端裝置1在該憑證機構裝置3註冊一關於文件的發送者的身份資訊,及至少一初始金鑰對,其中每一初始金鑰對包含一初始公開金鑰與一初始私密金鑰。
接著,在步驟42,該憑證機構裝置3根據一雜湊函數(hash function),計算該雜湊函數的至少相關於至少一初始公開金鑰與一初始字串的一第一雜湊函數值CHash(初始公開金鑰,初始字串,...),其中CHash表示該雜湊函數,且較佳地,該雜湊函數為一變色龍雜湊函數(Chameleon hash function),且CHash的參數列中的「...」用於表示CHash為一可變參數函數。然後,該憑證機構裝置3利用該憑證機構私密金鑰,對一包含該第一雜湊函數值的訊息進行簽章而產生一憑證機構簽章。
接著,在步驟43,該憑證機構裝置3產生一包含該身份資訊、該至少一初始公開金鑰,及該憑證機構簽章的數位憑證。
在該憑證機構裝置3產生該數位憑證之後,文件的接收者即可操作該接收端裝置2從該憑證機構裝置3取得該數位憑證,並利用該憑證機構公開金鑰來驗證該數位憑證,若包含於該數位憑證的憑證機構簽章為真,則包含於該數位憑證的該至少一初始公開金鑰為真,否則為偽。
然而,若文件的發送者因為該至少一初始私密金鑰被破解,或基於其他安全或管理的原因,而需要更新金鑰時,則需執行該更新金鑰階段。
在該更新金鑰階段,首先,在步驟44,該發送端裝置1決定出至少一分別對應該至少一初始金鑰對的更新金鑰對,其中每一更新金鑰對包含一更新公開金鑰與一更新私密金鑰;且該發送端裝置1還根據一更新私密金鑰及一初始私密金鑰的其中至少一者決定出一更新字串,其中該第一雜湊函數值CHash(初始公開金鑰,初始字串,...)等於該雜湊函數的至少相關於至少一更新公開金鑰與該更新字串的一第二雜湊函數值CHash(更新公開金鑰,更新字串,...)。
特別地,在步驟45,持用該接收端裝置2的文件的接收者能藉由以下方式來驗證該至少一更新公開金鑰的真偽:首先,該接收端裝置2利用該憑證機構公開金鑰驗證從該憑證機構裝置3取得的該數位憑證,並據以獲得該第一雜湊函數值。接著,該接收端裝置2根據該雜湊函數及從該發送端裝置1取得的該至少一更新公開金鑰與該更新字串,計算該第二雜湊函數值。接著,在一實施方式中,若該接收端裝置2判斷出該第一雜湊函數值等於該第二雜湊函數值,則判定該至少一更新公開金鑰為真,否則為偽;而在另一實施方式中,若該接收端裝置2判斷出該第一雜湊函數值等於該第
二雜湊函數值且一對應一更新金鑰對的零知識證明(zero-knowledge proof)為真,則判定該至少一更新公開金鑰為真,否則為偽。
基於變色龍雜湊函數的特性及該更新字串的計算方式,有心人很難在有限的時間內利用有限的運算資源計算出至少一偽造私密金鑰、至少一偽造公開金鑰,及一偽造字串,而使得CHash(初始公開金鑰,初始字串,...)等於CHash(偽造公開金鑰,偽造字串,...),或者使得該零知識證明為真。
也就是說,該發送端裝置1在更新金鑰之後,並不需向該憑證機構裝置3要求更新數位憑證以更新數位憑證中的公開金鑰,而是將該至少一更新公開金鑰與該更新字串傳送給該接收端裝置2,讓該接收端裝置2藉由驗證是否該第一雜湊函數值等於該第二雜湊函數值,及該零知識證明是否為真來驗證該至少一更新公開金鑰的真偽。此外,在本發明公開金鑰憑證方法中,公開金鑰的更新次數並不受限制。
特別地,本發明公開金鑰憑證方法可用於解決一些環境中客戶端(client)無法或不易連線上該憑證機構裝置3來更新數位憑證及公開金鑰的問題。此外,本發明公開金鑰憑證方法的更新金鑰對具有向前安全(forward secrecy)的性質,所以可與一些計
算較輕量但不具向前安全之安全協議搭配,如此可兼具輕計算量及向前安全的特性。
以下將以六個實施例來進一步說明本發明公開金鑰憑證方法。為了方便敘述,茲先將該等實施例共用的部分符號定義如下:CHash(...):變色龍雜湊函數;Sig CA (...):憑證機構簽章;DCert U :數位憑證;Pub1 U,0:第一初始公開金鑰;Priv1 U,0:第一初始私密金鑰;Pub2 U,0:第二初始公開金鑰;Priv2 U,0:第二初始私密金鑰;Pub1 U,i :第i次金鑰更新的第一更新公開金鑰;Priv1 U,i:第i次金鑰更新的第一更新私密金鑰;Pub2 U,i :第i次金鑰更新的第二更新公開金鑰;Priv2 U,i :第i次金鑰更新的第二更新私密金鑰;r 0:初始字串;r i :第i次金鑰更新的更新字串;:除了公開金鑰外的產生數位憑證所需的必要資訊;ZK-proof(知識K):在知識K上的零知識證明;及
字串A||字串B:字串A與字串B的聯結。
第一實施例是基於“Krawczyk,H.,Rabin,T.:‘Chameleon signatures’.Seventh ISOC Network and Distributed System Security Symp.,San Diego,CA,USA,2000,pp.42-53.”所提出的變色龍雜湊函數所發展出來的。在本實施例中,p與q為滿足p=kq+1的兩質數,且q為大質數,g是中序(order)為q的子群的產生子(generator);變色龍雜湊函數的形式定義為CHash(Y,m,r)≡g h(m,Y) Y r mod p,其中h(...)為一密碼式雜湊函數(cryptographic hash function)。
對應步驟41:該發送端裝置1在該憑證機構裝置3註冊一第一初始金鑰對:(,Priv1 U,0≡x10),及一第二初始金鑰對:(,Priv2 U,0≡x20),其中x10 ,x20 。
對應步驟42與43:該憑證機構裝置3產生,其中為第一雜湊函數值,I為對應該發送端裝置1的身份資訊。
對應步驟44:在第i次金鑰更新,該發送端裝置1決定出一對應該第一初始金鑰對的第一更新金鑰對(,Priv1 U,i ≡x1 i ),及一對應該第二初始金鑰對的第二更新金鑰對(,Priv2 U,i ≡x2 i ),並決定出r i =[h(Pub2 U,0,Pub1 U,0)+x10.r 0-h(Pub2 U,i ,Pub1 U,i )]x1 i -1mod q,其中x1 i ,x2 i 。經由數學推導能證明第一雜湊函數值CHash(Pub1 U,0,Pub2 U,0,r 0)等於第二雜湊函數值
,其推導過程不在此贅述。
對應步驟45:該接收端裝置2利用該憑證機構公開金鑰驗證從該憑證機構裝置3取得的DCert U 的真偽,並據以獲得CHash(Pub1 U,0,Pub2 U,0,r 0)。接著,該接收端裝置2判斷是否第一雜湊函數值CHash(Pub1 U,0,Pub2 U,0,r 0)等於第二雜湊函數值CHash(Pub1 U,i ,Pub2 U,i ,r i ),且判斷是否ZK-proof(log g Pub1 U,i )為真。若上述的判斷結果均為肯定的,則該接收端裝置2判定Pub1 U,i 與Pub2 U,i 均為真,否則判定均為偽。
特別地,基於本實施例中的變色龍雜湊函數的特性及該更新字串的計算方式,有心人很難在有限的時間內利用有限的運算資源計算出一第一偽造私密金鑰、一第一偽造公開金鑰、一第二偽造私密金鑰、一第二偽造公開金鑰,及一偽造字串,而使得CHash(Pub1 U,0,Pub2 U,0,r 0)等於CHash(第一偽造公開金鑰,第二偽造公開金鑰,偽造字串),並使得ZK-proof(log g Pub1 U,i )為真。
第二實施例是基於“G.Ateniese and B.de Medeiros,Identity-based chameleon hash and applications,FC 2004,LNCS 3110,pp.164-180,Springer-Verlag,2004”所提出的變色龍雜湊函數所發展出來的。在本實施例中,p與q為滿足p=2q+1的兩個大質數,g是序為q的二次剩餘(quadratic residues)Q p 的子群的產生子,且Q p ;變色龍雜湊函數的形式定義為CHash(Y,m,r≡(t,s))≡t-(Y e g s mod p)mod q,其中t,s ,e=h(m,t),h(...)為一密碼式雜湊函數。
對應步驟41:該發送端裝置1在該憑證機構裝置3註冊一第一初始金鑰對:(,Priv1 U,0≡x10),及一第二初始金鑰對:(,Priv2 U,0≡x20),其中x10 ,x20 。
對應步驟42與43:該憑證機構裝置3產生
,其中CHash(Pub1 U,0,Pub2 U,0,r 0≡(t 0,s 0))≡為第一雜湊函數值,I為對應該發送端裝置1的身份資訊,t 0 與s 0 分別為t與s的初始值。
對應步驟44:在第i次金鑰更新,該發送端裝置1決定出一對應該第二初始金鑰對的第二更新金鑰對(,Priv2 U,i ≡x2 i ),並令r i ≡(t i ,s i ),其中t i =CHash(Pub1 U,0,Pub2 U,0,r 0≡(t 0,s 0))+(g k' mod p)mod q,e i =h(Pub2 U,i ,t i ),s i =k'-e i .x10 mod q,k'[1,q-1],x2 i 。經由數學推導能證明第一雜湊函數值CHash(Pub1 U,0,Pub2 U,0,r 0≡(t 0,s 0))等於第二雜湊函數值
,其推導過程不在此贅述。
對應步驟45:該接收端裝置2利用該憑證機構公開金鑰驗證從該憑證機構裝置3取得的DCert U 的真偽,並據以獲得第一雜湊函數值CHash(Pub1 U,0,Pub2 U,0,r 0≡(t 0,s 0))。接著,該接收端裝置2判斷是否第一雜湊函數值CHash(Pub1 U,0,Pub2 U,0,r 0≡(t 0,s 0))等於第二雜湊函數值CHash(Pub1 U,0,Pub2 U,i,r i ≡(t i ,s i ))。若上述的判斷結果為肯定的,則該接收端裝置2判定Pub2 U,i 為真,否則判定為偽。
特別地,基於本實施例中的變色龍雜湊函數的特性及該更新字串的計算方式,有心人很難在有限的時間內利用有限的運算資源計算出一第二偽造私密金鑰、一第二偽造公開金鑰,及一偽
造字串,而使得CHash(Pub1 U,0,Pub2 U,0,r 0≡(t 0,s 0))等於CHash(Pub1 U,0,第二偽造公開金鑰,偽造字串)。
第三實施例是基於“Chen,F.Zhang,and K.Kim,Chameleon hashing without key exposure,ISC 2004,LNCS 3225,pp.87-98,Springer-Verlag,2004.”所提出的變色龍雜湊函數所發展出來的。在本實施例中,變色龍雜湊函數的形式定義為CHash(I,y,m,(g a ,y a ))=(gI) h(m) y a ,其中y=g x ,a ,h(...)為一密碼式雜湊函數,g是中序為q的子群的產生子,p與q是大質數,且q可整除p-1,I=h(ID S ∥ID R ||ID T ),ID S 與ID R 分別是對應該發送端裝置1與該接收端裝置2的身份資訊,ID T 是交易身份資訊(transaction identity),並可隨著金鑰的更新而改變其值。
對應步驟41:該發送端裝置1在該憑證機構裝置3註冊一第一初始金鑰對:(,Priv1 U,0≡x10),及一第二初始金鑰對:(,Priv2 U,0≡x20),其中x10 ,x20 。
對應步驟42與43:該憑證機構裝置3產生
,其中為第一雜湊函數值,a 0 為a的初始值,且I 0=h(ID S ||ID R ||ID T0),其中ID T0為ID T 的初始值。
對應步驟44:在第i次金鑰更新,該發送端裝置1決定出一對應該第二初始金鑰對的第二更新金鑰對(,Priv2 U,i ≡x2 i ),並令,其中,
,I i =h(ID S ||ID R ||ID Ti ),ID Ti 為對應第i次金鑰更新的ID T 的值,a i 為對應第i次金鑰更新的a的值,x2 i 。經由數學推導能證明第一雜湊函數值等於第二雜湊函數值,其推導過程不在此贅述。
對應步驟45:該接收端裝置2利用該憑證機構公開金鑰驗證從該憑證機構裝置3取得的DCert U 的真偽,並據以獲得第一雜湊函數值。接著,該接收端裝置2判斷是否第一雜湊函數值等於第二雜湊函數值,且判斷是否為真。若上述的判斷結果均為肯定的,則該接收端裝置2判定Pub2 U,i 為真,否則判定為偽。
特別地,基於本實施例中的變色龍雜湊函數的特性及該更新字串的計算方式,有心人很難在有限的時間內利用有限的運算資源計算出一第二偽造私密金鑰、一第二偽造公開金鑰,及一偽造字串,而使得等於CHash(I i ,Pub1 U,0,第二偽造公開金鑰,偽造字串),並使得為真。
第四實施例是基於“Identity-Based Chameleon Hash Scheme Without Key Exposure Xiaofeng Chen,Fangguo Zhang,Haibo Tian,and Kwangjo Kim 2009.”所提出的變色龍雜湊函數所發展出來的。在本實施例中,變色龍雜湊函數的形式定
義為CHash(ID,I,m,r)=aP+h(m)H(I),其中,a ,I為區隔每次不同的交易的辨識資訊,ID為對應該發送端裝置1的身份資訊,h(...)為一密碼式雜湊函數;H:{0,1}*→G 1為一全域抗碰撞雜湊函數(full-domain collision-resistant hash function),其中G 1 為由P產生的序為質數q的GDH群(gap-Diffie-Hellman group);r=(aP,e(aP Pub ,Q ID )),其中e:G 1×G 1→G 2為一雙線性配對函數(bilinear pairing function),G 2是序為q的循環乘法群,P Pub =x P,Q ID =H(ID),x 為整數。
對應步驟41:該發送端裝置1在該憑證機構裝置3註冊一第一初始金鑰對:(),其中x10 。
對應步驟42與43:該憑證機構裝置3產生
,其中CHash(ID,I 0,Y 0,r 0≡(a 0 P,e(a 0 P Pub ,Q 1D )))≡a 0 P+h(Y 0)H(I 0)為第一雜湊函數值,I 0 為I的初始值,a 0 為a的初始值。
對應步驟44:在第i次金鑰更新,該發送端裝置1決定出一對應該第一初始金鑰對的第一更新金鑰對 ,Priv1 U,i ≡x1 i ),並令r i ≡(a i P,e(a i P Pub ,Q ID )),其中a i P=a 0 P+h(Y 0)H(I 0)-h(Y i )H(I i ),e(a i P Pub ,Q ID )=e(a i P,S ID ),S ID ≡x1 i Q ID ,I i 為對應第i次金鑰更新的I值。經由數學推導能證明第一雜湊函數值CHash(ID,I 0,Y 0,r 0≡(a 0 P,e(a 0 P Pub ,Q ID )))等於第二雜湊函數值CHash(ID,I i ,Y i ,r i ≡(a i P,e(a i P Pub,Q ID )))≡a i P+h(Y i )H(I i ),其推導過程不在此贅述。
對應步驟45:該接收端裝置2利用該憑證機構公開金鑰驗證從該憑證機構裝置3取得的DCert U 的真偽,並據以獲得第一雜湊函數值CHash(ID,I 0,Y 0,r 0≡(a 0 P,e(a 0 P Pub ,Q ID )))。接著,該接收端裝置2判斷是否第一雜湊函數值CHash(ID,I 0,Y 0,r 0≡(a 0 P,e(a 0 P Pub ,Q ID )))等於第二雜
湊函數值CHash(ID,I i ,Y i ,r i ≡(a i P,e(a i P Pub ,Q ID )))。若上述的判斷結果為肯定的,則該接收端裝置2判定Pub1 U,i 為真,否則判定為偽。
特別地,基於本實施例中的變色龍雜湊函數的特性及該更新字串的計算方式,有心人很難在有限的時間內利用有限的運算資源計算出一第一偽造私密金鑰、一第一偽造公開金鑰,及一偽造字串,而使得CHash(ID,I 0,Y 0,r 0≡(a 0 P,e(a 0 P Pub ,Q ID )))等於CHash(ID,I i ,第一偽造公開金鑰,偽造字串)。
此外,在另一實施方式中,該第一初始金鑰對可為(Pub1 U,0≡x10 P≡Y 0,Priv1 U,0≡x10),且該第一更新金鑰對可為(Pub1 U,i ≡x1 i P≡Y i ,Priv1 U,i ≡x1 i ),其運用的方式類似上述,故不在此贅述。
第五實施例是基於“Key-Exposure Free Chameleon Hashing and Signatures Based on Discrete Logarithm Systems Xiaofeng Chen,Fangguo Zhang,Haibo Tian,Baodian Wei,and Kwangjo Kim 2009.”所提出的變色龍雜湊函數所發展出來的。在本實施例中,變色龍雜湊函數的形式定義為CHash(L,m,r)=g a I h(m),其中a ,I=h(Y,L),L為對應該發送端裝置1的擴充身份資訊(customized identity),r=(g a ,Y a ),h:{0,1}*→{0,1} k 為一抗碰撞的雜湊函數,g是中序為q的子群的產生子,p與q為大質數,且q可整除p-1。
對應步驟41:該發送端裝置1在該憑證機構裝置3註冊一第一初始金鑰對:(,Priv1 U,0≡x10),其中x10 。
對應步驟42與43:該憑證機構裝置3產生
,其中I=h(Y,L 0),為第一雜湊函數值,L 0 為L的初始值,a 0 為a的初始值。
對應步驟44:在第i次金鑰更新,該發送端裝置1決定出一對應該第一初始金鑰對的第一更新金鑰對(,Priv1 U,i ≡x1 i ),並令,其中,,L i 為對應第i次金鑰更新的L值。經由數學推導能證明第一雜湊函數值等於第二雜湊函數值,其中I i =h(Y,L i ),其推導過程不在此贅述。
對應步驟45:該接收端裝置2利用該憑證機構公開金鑰驗證從該憑證機構裝置3取得的DCert U 的真偽,並據以獲得第一雜湊函數值。接著,該接收端裝置2判斷是否為真,且判斷是否第一雜湊函數值等於第二雜湊函數值。若上述的判斷結果均為真,則該接收端裝置2判定Pub1 U,i 為真,否則判定為偽。
特別地,基於本實施例中的變色龍雜湊函數的特性及該更新字串的計算方式,有心人很難在有限的時間內利用有限的運算資源計算出一第一偽造私密金鑰、一第一偽造公開金鑰,及一偽造字串,而使得等於CHash(L i ,第一偽造公開金鑰,偽造字串),並使得為真。
第六實施例是基於橢圓曲線密碼學(elliptic curve cryptography)所發展出來的。在本實施例中,令G 1 為在橢圓曲線上的序為質數q的循環加法群,且P為G 1 的產生子;變色龍雜湊函數的形式定義為CHash(Y,m,r)≡h(m,Y)P+rY,其中h(...)為一密碼式雜湊函數。
對應步驟41:該發送端裝置1在該憑證機構裝置3註冊一第一初始金鑰對:(Pub1 U,0≡x10 P,Priv1 U,0≡x10),及一第二初始金鑰對:(Pub2 U,0≡x20 P,Priv2 U,0≡x20),其中x10 ,x20 。
對應步驟42與43:該憑證機構裝置3產生,其中CHash(Pub1 U,0,Pub2 U,0,r 0)≡h(Pub2 U,0,Pub1 U,0)P+r 0 Pub1 U,0為第一雜湊函數值,I為對應該發送端裝置1的身份資訊。
對應步驟44:在第i次金鑰更新,該發送端裝置1決定出一對應該第一初始金鑰對的第一更新金鑰對(Pub1 U,i ≡x1 i P,Priv1 U,i ≡x1 i ),及一對應該第二初始金鑰對的第二更新金鑰對(Pub2 U,i ≡x2 i P,Priv2 U,i ≡x2 i ),並決定出r i =[h(Pub2 U,0,Pub1 U,0)+x10.r 0-h(Pub2 U,i ,Pub1 U,i )]x1 i -1mod q,其中x1 i ,x2 i 。經由數學推導能證明第一雜湊函數值CHash(Pub1 U,0,Pub2 U,0,r 0)等於第二雜湊函數值CHash(Pub1 U,i ,Pub2 U.i ,r i )≡h(Pub2 U,i ,Pub1 U,i )P+r i Pub1 U,i ,其推導過程不在此贅述。
對應步驟45:該接收端裝置2利用該憑證機構公開金鑰驗證從該憑證機構裝置3取得的DCert U 的真偽,並據以獲得CHash(Pub1 U,0,Pub2 U,0,r 0)。接著,該接收端裝置2判斷是否第一雜湊函數值CHash(Pub1 U,0,Pub2 U,0,r 0)等於第二雜湊函數值
CHash(Pub1 U,i ,Pub2 U,i ,r i ),且判斷是否ZK-proof(log P Pub1 U,i )為真。若上述的判斷結果均為肯定的,則該接收端裝置2判定Pub1 U,i 與Pub2 U,i 均為真,否則判定均為偽。
特別地,基於本實施例中的變色龍雜湊函數的特性及該更新字串的計算方式,有心人很難在有限的時間內利用有限的運算資源計算出一第一偽造私密金鑰、一第一偽造公開金鑰、一第二偽造私密金鑰、一第二偽造公開金鑰,及一偽造字串,而使得CHash(Pub1 U,0,Pub2 U,0,r 0)等於CHash(第一偽造公開金鑰,第二偽造公開金鑰,偽造字串),並使得ZK-proof(log P Pub1 U,i )為真。
綜上所述,本發明公開金鑰憑證方法,藉由將變色龍雜湊函數導入數位憑證中,並藉由驗證變色龍雜湊函數的至少相關於至少一初始公開金鑰與一初始字串的第一雜湊函數值,及至少相關於至少一更新公開金鑰與一更新字串的第二雜湊函數值的相等性,以及驗證對應該第一更新金鑰對的零知識證明,文件的發送者能在不需更新數位憑證的前提下,產生能滿足資訊安全要求的更新金鑰對,故確實能達成本發明之目的。
惟以上所述者,僅為本發明之實施例而已,當不能以此限定本發明實施之範圍,凡是依本發明申請專利範圍及專利說明書內容所作之簡單的等效變化與修飾,皆仍屬本發明專利涵蓋之範圍內。
41~45‧‧‧步驟
Claims (8)
- 一種公開金鑰憑證方法,由一憑證機構裝置、一發送端裝置,及一接收端裝置實施,該憑證機構裝置對應一憑證機構公開金鑰與一憑證機構私密金鑰,該發送端裝置對應一身份資訊及至少一初始金鑰對,其中每一初始金鑰對包含一初始公開金鑰與一初始私密金鑰,該公開金鑰憑證方法包含以下步驟:(a)該憑證機構裝置根據一雜湊函數,計算該雜湊函數的至少相關於至少一初始公開金鑰與一初始字串的一第一雜湊函數值;(b)該憑證機構裝置利用該憑證機構私密金鑰,對一包含該第一雜湊函數值的訊息進行簽章而產生一憑證機構簽章;(c)該憑證機構裝置產生一包含該身份資訊、該至少一初始公開金鑰及該憑證機構簽章的數位憑證;(d)該發送端裝置決定出至少一分別對應該至少一初始金鑰對的更新金鑰對,其中每一更新金鑰對包含一更新公開金鑰與一更新私密金鑰,且該發送端裝置還根據一更新私密金鑰及一初始私密金鑰的其中至少一者決定出一更新字串,其中該第一雜湊函數值等於該雜湊函數的至少根據至少一更新公開金鑰與該更新字串所計算出的一第二雜湊函數值;(e)該接收端裝置利用該憑證機構公開金鑰驗證該數位憑證,並據以獲得該第一雜湊函數值; (f)該接收端裝置根據該至少一更新公開金鑰與該更新字串計算該第二雜湊函數值;及(g)該接收端裝置藉由判斷是否該第一雜湊函數值等於該第二雜湊函數值來驗證該至少一更新公開金鑰,其中若該接收端裝置判斷出該第一雜湊函數值等於該第二雜湊函數值,則判定該至少一更新公開金鑰為真,否則為偽。
- 如請求項1所述的公開金鑰憑證方法,還包含一步驟(h):該接收端裝置還藉由驗證一對應一更新金鑰對的零知識證明來驗證該至少一更新公開金鑰。
- 如請求項2所述的公開金鑰憑證方法,該發送端裝置對應一包含一第一初始公開金鑰與一第一初始私密金鑰的第一初始金鑰對,及一包含一第二初始公開金鑰與一第二初始私密金鑰的第二初始金鑰對,其中在步驟(d),該發送端裝置決定出一對應該第一初始金鑰對並包含一第一更新公開金鑰與一第一更新私密金鑰的第一更新金鑰對,及一對應該第二初始金鑰對並包含一第二更新公開金鑰與一第二更新私密金鑰的第二更新金鑰對,並根據該第一更新私密金鑰及該第一初始私密金鑰決定出一更新字串,且該第一雜湊函數值相關於該第一初始公開金鑰、第二初始公開金鑰,及該初始字串,該第二雜湊函數值相關於該第一更新公開金鑰、該第二更新公開金鑰,及該更新字串。
- 如請求項1所述的公開金鑰憑證方法,該發送端裝置對應一包含一第一初始公開金鑰與一第一初始私密金鑰的第一初始金鑰對,及一包含一第二初始公開金鑰與一第二初 始私密金鑰的第二初始金鑰對,其中在步驟(d),該發送端裝置決定出一對應該第二初始金鑰對並包含一第二更新公開金鑰與一第二更新私密金鑰的第二更新金鑰對,並根據該第一初始私密金鑰決定出一更新字串,且該第一雜湊函數值相關於該第一初始公開金鑰、第二初始公開金鑰,及該初始字串,該第二雜湊函數值相關於該第一初始公開金鑰、該第二更新公開金鑰,及該更新字串。
- 如請求項2所述的公開金鑰憑證方法,該發送端裝置對應一包含一第一初始公開金鑰與一第一初始私密金鑰的第一初始金鑰對,及一包含一第二初始公開金鑰與一第二初始私密金鑰的第二初始金鑰對,其中在步驟(d),該發送端裝置決定出一對應該第二初始金鑰對並包含一第二更新公開金鑰與一第二更新私密金鑰的第二更新金鑰對,並根據該第一初始私密金鑰決定出一更新字串,且該第一雜湊函數值相關於該身份資訊、該第一初始公開金鑰、第二初始公開金鑰,及該初始字串,該第二雜湊函數值相關於該身份資訊、該第一初始公開金鑰、該第二更新公開金鑰,及該更新字串。
- 如請求項1所述的公開金鑰憑證方法,該發送端裝置對應一包含一第一初始公開金鑰與一第一初始私密金鑰的第一初始金鑰對,其中在步驟(d),該發送端裝置決定出一對應該第一初始金鑰對並包含一第一更新公開金鑰與一第一更新私密金鑰的第一更新金鑰對,並根據該第一更新私密金鑰決定出一更新字串,且該第一雜湊函數值相關於 該身份資訊、該第一初始公開金鑰,及該初始字串,該第二雜湊函數值相關於該身份資訊、該第一更新公開金鑰,及該更新字串。
- 如請求項2所述的公開金鑰憑證方法,該發送端裝置對應一包含一第一初始公開金鑰與一第一初始私密金鑰的第一初始金鑰對,其中在步驟(d),該發送端裝置決定出一對應該第一初始金鑰對並包含一第一更新公開金鑰與一第一更新私密金鑰的第一更新金鑰對,並根據該第一初始私密金鑰決定出一更新字串,且該第一雜湊函數值相關於該身份資訊、該第一初始公開金鑰,及該初始字串,該第二雜湊函數值相關於該身份資訊、該第一更新公開金鑰,及該更新字串。
- 如請求項1所述的公開金鑰憑證方法,其中該雜湊函數為一變色龍雜湊函數。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW105119690A TWI608722B (zh) | 2016-06-23 | 2016-06-23 | Public key certificate method |
| US15/626,388 US10263773B2 (en) | 2016-06-23 | 2017-06-19 | Method for updating a public key |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW105119690A TWI608722B (zh) | 2016-06-23 | 2016-06-23 | Public key certificate method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI608722B true TWI608722B (zh) | 2017-12-11 |
| TW201801491A TW201801491A (zh) | 2018-01-01 |
Family
ID=60678057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105119690A TWI608722B (zh) | 2016-06-23 | 2016-06-23 | Public key certificate method |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10263773B2 (zh) |
| TW (1) | TWI608722B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2020267271A1 (en) * | 2019-11-16 | 2021-06-03 | Wildfi Pty Ltd | System and method for secure storage and distribution of encryption keys |
| CN111935091A (zh) * | 2020-07-08 | 2020-11-13 | 山东大学 | 抗泄露的前向安全的云数据完整性远程校验方法及系统 |
| JPWO2022085154A1 (zh) | 2020-10-22 | 2022-04-28 | ||
| CN113779606A (zh) * | 2021-09-15 | 2021-12-10 | 杭州溪塔科技有限公司 | 一种降低隐私泄露风险的信息校验方法及系统 |
| US20230145340A1 (en) * | 2021-11-08 | 2023-05-11 | Adobe Inc. | Distributing and synchronizing encrypted data for multi-regional accessibility |
| CN114978524B (zh) * | 2022-04-21 | 2024-04-12 | 浪潮云信息技术股份公司 | 一种基于离散对数的多重变色龙哈希方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050085931A1 (en) * | 2000-08-31 | 2005-04-21 | Tandy Willeby | Online ATM transaction with digital certificate |
| US20060265590A1 (en) * | 2005-05-18 | 2006-11-23 | Deyoung Dennis C | Digital signature/certificate for hard-copy documents |
| TW201403377A (zh) * | 2012-06-26 | 2014-01-16 | Ologn Technologies Ag | 用於裝置之應用程式特定識別之系統、方法及設備 |
| TW201502855A (zh) * | 2013-03-29 | 2015-01-16 | Ologn Technologies Ag | 使用安全加強晶片之用於資料之安全儲存之系統、方法及裝置 |
| TWI476629B (zh) * | 2012-12-26 | 2015-03-11 | Chunghwa Telecom Co Ltd | Data security and security systems and methods |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE602005002652T2 (de) * | 2005-08-05 | 2008-07-10 | Sap Ag | System und Verfahren für das Erneuern von Schlüsseln, welche in Public-Key Kryptographie genutzt werden |
-
2016
- 2016-06-23 TW TW105119690A patent/TWI608722B/zh not_active IP Right Cessation
-
2017
- 2017-06-19 US US15/626,388 patent/US10263773B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050085931A1 (en) * | 2000-08-31 | 2005-04-21 | Tandy Willeby | Online ATM transaction with digital certificate |
| US20060265590A1 (en) * | 2005-05-18 | 2006-11-23 | Deyoung Dennis C | Digital signature/certificate for hard-copy documents |
| TW201403377A (zh) * | 2012-06-26 | 2014-01-16 | Ologn Technologies Ag | 用於裝置之應用程式特定識別之系統、方法及設備 |
| TWI476629B (zh) * | 2012-12-26 | 2015-03-11 | Chunghwa Telecom Co Ltd | Data security and security systems and methods |
| TW201502855A (zh) * | 2013-03-29 | 2015-01-16 | Ologn Technologies Ag | 使用安全加強晶片之用於資料之安全儲存之系統、方法及裝置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10263773B2 (en) | 2019-04-16 |
| US20170373847A1 (en) | 2017-12-28 |
| TW201801491A (zh) | 2018-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI608722B (zh) | Public key certificate method | |
| US9160530B2 (en) | Method and apparatus for verifiable generation of public keys | |
| CN111342973B (zh) | 一种安全的pki与ibc之间的双向异构数字签名方法 | |
| CN102170352B (zh) | 使用具有温特尼茨单次签名的ecdsa的方法 | |
| CN107733648B (zh) | 一种基于身份的rsa数字签名生成方法及系统 | |
| CN108551392B (zh) | 一种基于sm9数字签名的盲签名生成方法及系统 | |
| JP3522447B2 (ja) | 認証交換方法および付加型公衆電子署名方法 | |
| CN109005035B (zh) | 一种网联汽车远程匿名签发验证通信系统 | |
| US9634840B2 (en) | Digital signature technique | |
| CN108989054B (zh) | 一种密码系统及数字签名方法 | |
| US9705683B2 (en) | Verifiable implicit certificates | |
| CN107707358A (zh) | 一种ec‑kcdsa数字签名生成方法及系统 | |
| CN110086599B (zh) | 基于同态变色龙哈希函数的哈希计算方法及签密方法 | |
| WO2012170131A1 (en) | Digital signatures with implicit certificate chains | |
| WO2012170130A1 (en) | Implicitly certified public keys | |
| JP2013539295A (ja) | メッセージ復元を伴うデジタル署名の認証された暗号化 | |
| EP2792098B1 (en) | Group encryption methods and devices | |
| CN104767612A (zh) | 一种从无证书环境到公钥基础设施环境的签密方法 | |
| CN113360943A (zh) | 一种区块链隐私数据的保护方法及装置 | |
| CN115834056A (zh) | 一种无证书有序聚合签名方法、系统及相关装置 | |
| CN111654366A (zh) | 一种安全的pki与ibc之间的双向异构强指定验证者签名方法 | |
| Ra et al. | A study on KSI-based authentication management and communication for secure smart home environments | |
| US20150006900A1 (en) | Signature protocol | |
| CN116566626A (zh) | 环签名方法和设备 | |
| CN112989436B (zh) | 一种基于区块链平台的多重签名方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |