一种人机分离设计的金匙信托加密系统

摘要

本发明系与「资讯安全」有关，更详而言之，尤指一种人机分离设计的金匙信托加密系统。在本发明中之所以强调人机分离设计之特点，是因为相关研究中的如此设计是首度提出，其更能完全符合实际应用之所需。在1970年代时期，通讯的保密都是使用「单一金匙加密系统」来达成(最有名的就是DES系统)，其设计上都是只用一个相同的金匙来完成加密与解密的动作，而其缺点也是在于通讯的双方如何确保事前能够安全地协调出共同的金匙。在1976年，Diffie与Hellman发表了「公开金匙加密系统」的概念。在这个概念中，认为可以将加密系统的金匙以成对的方式设计，一个为公开金匙，一个为秘密金匙。当某人要传送讯息给对方之前，先以对方的公开金匙将讯息加密，然后就只有知道秘密金匙的对方才可以解出该讯息。如此即可确保通讯的机密性，而且也不再需要事先协调共同金匙的过程。当此概念被提出后，Rivest,Shamir,Adlemen三人即很快地设计出符合此一精神的加密系统(即现今所称的RSA系统)。虽然是为了资讯安全的理由而对通讯资料加密，但相对地，不法份子也可利用其来反制的监控，藉由密码系统之协助，可以对其非法行为进行秘密通讯而逍遥法外。因此，「金匙信托加密系统」的概念便应运而生。所谓的金匙信托加密系统就是允许在"特定情况下"，由特定单位在可信赖金匙托管中心的协助下，能够将通讯密文解开，以便加以监控。这样的系统设计必须提供足够的安全通讯，但在必要时又能让进行监控。在本发明中，即针对金匙信托加密系统设计上的缺失加以修正，扩大其应用层面。

主权项

一种人机分离设计的金匙信托加密系统,该方法包含有:1.通讯设备之注册及金匙托管流程步骤1通讯设备在开始启用之前,必须向第一金匙信托中心注册;步骤2第一金匙信托中心会对每一个注册的通讯设备设定一个秘密金匙KEsin[1,Q-1],并依其计算出对应之序号EIDs;EIDs=GKEsmodP.然后,将(EIDs,KEs)烧录在通讯设备上,并记录下来;2.个人之帐号申请及金匙托管流程步骤1使用者持IC卡向第二金匙信托中心办理登记,其自由选择一个核心暗号Xi,在IC卡上以Xi为参数透过排列组合函数H0将个人身份资料及核心暗号加密成介于[1,P-1]一相当大之通行码PWi;PWi=H(Xi,Personal Information…).再以此PWi计算出MEi;MEi=GPWimodP.然后将MEi及IC卡上的相关资料传送给第二金匙信托中心;步骤2第二金匙信托中心核对其IC卡上的身份资料及联合发卡中心签章;如果确认无误,将MEi与现在时间STi结合成使用者帐号UIDi;UIDi=(STi,MEi).并以第二金匙信托中心的秘密金匙SK与一个随机乱数Nin[1,Q-1],将UIDi加以签章为(SGi,1,SGi,2);SGi,1=UIDi.GNmodP,SGi,2=SK.SGi,1+NmodQ.于是,第二金匙信托中心为该使用者指定其个人金匙KUiin[1,Q-1],随同签章値(SGi,1,SGi,2)、注册时戳STi、及公开资料P、Q、G、PK,在其IC卡上开档存入;步骤3最后,第二金匙信托中心将(UIDi,KUi)记录下来,完成帐号申请及使用者金匙托管程序;3.送讯方的作业程序步骤1使用者将个人的IC卡置入任一通讯设备,通讯设备便在[1,P-1]的范围内随机产生合乱数Re,并计算出CM=GRe modP.CM是用来要求使用者证明其身份的一个质问讯息(Challenge Message);步骤2于是,使用者将核心暗号Xi输入其IC卡,并以前述相同之方法计算出PWi=H(Xi,Personal Information…),MEi=GPWimodP,UIDi=(STi,MEi).另外,针对通讯设备的质问讯息计算出RM=CMPWimodP.然后,将UIDi、RM、及IC卡上的签章(SGi,1,SGi,2)送交通讯设备;步骤3通讯设备以IC卡所回应的RM及UIDi中的MEi验证其身份;RM≡MEiRemodP.并检查其IC卡的签章(SGi,1,SGi,2)是否符合;UIDi≡G-SGi,2.PK-SGi,1.SGi,1modP.如果无误,则代表该使用者UIDi使用了正确的PWi,其身份无误;步骤4于是,通讯设备要求使用者将通讯双方事先协议好的通讯金匙CK输入,通讯设备便会对通讯内容M以特定加密函数E0加密为密文C;C=ECK(M).步骤5为了要让执法单位能够在监听过程中解得通讯内容,因此通讯设备要将该通讯金匙CK隐含其中;于是,通讯设备以其秘密金匙KEs及使用者的个人金匙KUi,配合通讯日期DATE及一个随机乱数in[1,Q01],透过下列的计算将通讯金匙CK隐含于ECK1.ECK2之中;ECK1=CK.G modP,DE=(KEi⊕DATE)modQ,DU=(KEi⊕DATE)modQ,ECK2=DE.mboxDU.mboxECK1+modQ.步骤6同时,为了确保通讯的完整性与安全性,通讯设备更进一步计算出四个检查値EA1.EA2.EA3.EA4;其中,将送讯方的现在时刻T,以通讯设备的秘密金匙KEs,配合一个随机乳数in[1,Q-1],加密为EA1.EA2;EA1=T.GmodP,EA2=KEs.EA1+modQ.另外,将使用者身份UIDi、通讯设备序号EIDs、通讯密文C、通讯金匙CK及其加密値ECK1.ECK2.及前述两个检查値EA1.EA2,以特定的单向赫序函数f0计算成介于[1,P-1]之値,并以通讯设备的秘密金匙KEs,配合一个随机乱数Upsilon in[1,Q-1],加密为EA3.EA4;EA3=f(UIDi,EIDs,C,CK,ECK1,ECK2,EA1,EA2).GUpsilonmodP,EA4=KEs.EA3+UpsilonmodQ.步骤7最后,将上述附加资讯组mbox成LEAF=(ECK1,ECK2,UIDi,EIDs,EA1 ,EA2,EA3,EA4),将(LEAF,C)传送给收讯方;4.收讯方的作业程序步骤1首先,收讯方的通讯设备同样会要求使用者将通讯双方事先协议好的通讯金匙CK输入;步骤2不过,通讯设备在解出通讯明文之前,必须先核对检查値以确保通讯的完整性与安全性;于是,以检查値EA1.EA2及传送端的通讯设备序号EIDs,解出其传送时间T;G-EA2.EIDSEA1.EA1modP=G-KEscdot EA1-.GKEscdot EA1.T.GmodP=T.然后,比较其与收讯方的现在时刻T'之时差是否在规定的有限値xi内;T-T≦xi如果是在合理的时限内,则进一步以检查値EA3.EA4及送讯方的通讯设备序号EIDs,解出比较其値与f(UIDi,EIDs,C,CK,ECK1,ECK2,EA1,EA2)结果相符合;f=(UIDi,EIDs,C,CK,ECK1,ECK2,EA1,EA2)≡G-EA4.EIDSEA3.EA3.mod P如此即能确认LEAF与密文C的关联性,确保通讯的完整性;步骤3在确保通讯完整性与安全性的情况下,收讯方的通讯设备才会依使用者输入的通讯金匙CK,以特定解密函数D0将密文C解密得出明文M;M=DCK(C).5.通讯的监控程序步骤1执法单位向司法机关提出申请,针对特定使用者UIDi、在特定通讯设备EIDs、及特定日期DATE的监听授权;步骤2第一金匙信托中心即根据授权凭证,依其通讯设备序号EIDs查出对应之托管金匙KEs,并计算出部份解密金匙K如下DE=(KEs⊕DATE)modQ,K=GDEmodP.然后将此部份解密金匙K连同授权凭证交予第二金匙信托中心;步骤3第二金匙信托中心即根据授权凭证,依其被监听对象UIDs查出对应之托管金匙KUi,并结合第一金匙信托中心所授与的部份解密金匙K而计算出完整的解密金匙K如下DU=(KUi⊕DATE)modQ,barK=KDUmodP=GDEcdot DUmodP.然后将此完整解密金匙barK,交予执法单位;步骤4于是,执法单位即可以此金匙barK,配合其监听通讯中的ECK1.ECK2解得其通讯金匙CK;C-ECK2.barKECK1.ECK1modP=G-(DEcdot DUcdot ECK1)-.GDEcdot DUcdot ECK1.CK.GmodP=CK.然后使用此通讯金匙CK,以特定解密函数D0将密文C解密,即可得出明文M;M=DCK(C)。图示简单说明:第一图系金匙信托标准架构中主要互动关系。第二图系LEAF的结构。第三图系Clipper晶片金匙的产生与托管过程。第四图系金匙信托加密系统的资料复原用途。第五图系本发明之重要诸元关系图。