CNS 14381-3-2007 Information technology - Security techniques - Key management - Part 3 Mechanism using asymmetric techniques《信息技术－安全技术－金钥管理－第3部：使用非对称技术的机制》.pdf

《CNS 14381-3-2007 Information technology - Security techniques - Key management - Part 3 Mechanism using asymmetric techniques《信息技术－安全技术－金钥管理－第3部：使用非对称技术的机制》.pdf》由会员分享，可在线阅读，更多相关《CNS 14381-3-2007 Information technology - Security techniques - Key management - Part 3 Mechanism using asymmetric techniques《信息技术－安全技术－金钥管理－第3部：使用非对称技术的机制》.pdf（47页珍藏版）》请在麦多课文档分享上搜索。

1、1 印月969月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 35.040 X6033-314381-3經濟部標準檢驗局印 公布日期 修訂公布日期 969月14日 月日 (共47頁)資訊技術安全技術金鑰管理第 3 部：使用非對稱技術之機制 Information technology Security techniques Key management Part 3: Mechanism using asymmetric techniques 目錄 節次 頁次 1. 適用範圍 . 2 2. 引用標準 . 3 3 用語釋義 3 4. 符號與縮寫 . 5 5. 需求 .

2、6 6. 密鑰協議 . 6 6.1 金鑰協議機制 1 7 6.2 金鑰協議機制 2 8 6.3 金鑰協議機制 3 9 6.4 金鑰協議機制 4 .11 6.5 金鑰協議機制 5 .12 6.6 金鑰協議機制 6 .13 6.7 金鑰協議機制 7 .15 7. 密鑰傳送 17 7.1 金鑰傳送機制 1 .17 7.2 金鑰傳送機制 2 .18 7.3 金鑰傳送機制 3 .20 7.4 金鑰傳送機制 4 .22 7.5 金鑰傳送機制 5 .23 7.6 金鑰傳送機制 6 .25 8. 公鑰傳送 27 8.1 無受信賴第三方之公鑰分配 .27 8.1.1 公鑰傳送機制 127 8.1.2 公鑰傳送機

3、制 228 8.2 使用受信賴第三方之公鑰分配 30 8.2.1 公鑰傳送機制 330 附錄 A (參考 ) 金鑰建立機制之性質 .32 附錄 B (參考 ) 金鑰建立機制之範例 .33 2 CNS 14381-3, X 6033-3 B.1 非互動 Diffie- Hellman 金鑰協議 33 B.2 身分基礎機制 .33 B.3 ElGamal 金鑰協議 34 B.4 Nyberg-Rueppel 金鑰協議 .34 B.5 Diffie-Hellman 金鑰協議 .35 B.6 Matsumoto-Takashima-Imai A(0)金鑰協議 .35 B.7 Beller-Yacobi

4、 協定 35 B.8 ElGamal 金鑰傳送 36 B.9 具發送者簽章的 ElGamal 金鑰傳送 .36 B.10 RSA 金鑰傳送 37 附錄 C (參考 ) 橢圓曲線基礎之金鑰建立機制範例 .38 C.1 Diffie-Hellman 型式的非互動金鑰協議 .39 C.2 ElGamal 型式的金鑰協議 39 C.3 延續 Nyberg-Rueppel 的金鑰協議 .39 C.4 Diffie-Hellman 型式的金鑰協議 .40 C.5 Matsumoto-Takashima-Imai 型式 A(0)的金鑰協議 40 C.6 ElGamal 型式的金鑰傳送 40 C.7 具發送者

5、簽章之 ElGamal 型式的金鑰傳送 40 附錄 D (參考 ) 參考書目 42 附錄 E (參考 ) 專利資訊 .44 英中名詞對照表 45 1. 適用範圍 本標準定義基於非對稱密碼技術之金鑰管理機制，其具體地描述使用非對稱技術可達到下列目的： (1) 個體 (entity)A 與 B 之間可以藉由金鑰協議，建立對稱密碼技術之共享密鑰(shared secret key)。在密鑰協議機制中，這把密鑰 (secret key)是兩個個體 A 與 B間資料交換之結果，而且他們兩者皆無法預先決定這把共享密鑰值。 (2) 個體 A 與 B 之間可以藉由金鑰傳送 (transport)，建立對稱密碼

6、技術之共享密鑰。在密鑰傳送機制中，個體 A 選擇這把密鑰，並且透過非對稱技術來適當地保護，將其傳送給另一個體 B。 (3) 透過金鑰傳送之方式，可以讓其他個體取得某個個體之公鑰 (public key)。在公鑰傳送機制中，個體 A 之公鑰必須以可鑑別的方式來傳送給其他個體，但不需要具備秘密性。 本標準中之某些機制，是基於相對應之 CNS 13789-3 的鑑別 (authentication)機制。 本標準並未涵蓋某些金鑰管理之觀點，例如： (1) 金鑰生命週期管理。 (2) 產生或驗核 (validate)非對稱金鑰對之機制。 3 CNS 14381-3, X 6033-3 (3) 儲存、歸

7、檔 (archive)、刪除或銷毀金鑰等機制。 雖然本標準並未明確地討論如何將某個體之非對稱金鑰對中之私鑰 (private key)，從受信賴第三方 (trusted third party)分配到提出請求之個體，但金鑰傳送機制卻可以達到此目的。 本標準並未包含金鑰管理機制中所使用轉換 (transformation)之實作。 備考： 為了達到金鑰管理訊息的鑑別性 (authenticity)，可以透過金鑰建立協定，或使用公鑰簽章系統來簽署金鑰交換訊息，用以提供鑑別性。 2. 引用標準 本標準所引用下列標準之內容，適用於本標準，鼓勵以本標準為基礎之協議各方，儘可能使用下列各標準之最新版本。

8、CNS 13204-2 資訊處理系統開放系統互連基本參考模型第 2 部：安全架構 CNS 13915-8 資訊技術開放系統互連目錄系統第 8 部：鑑別框架 CNS 13789-3 實體鑑別機制第 3 部：使用公開金鑰演算法之實體鑑別 CNS 14105-1 資訊技術安全技術雜湊函數第 1 部：概說 CNS 14334-1 資訊技術開放系統互連開放系統之安全框架：概說 3. 用語釋義 本標準採用下列之定義。 3.1 非對稱密碼技術：密碼技術使用兩種 相關之轉換，分別為以公鑰所定義之公開轉換，和以私鑰所定義之私密轉換。這兩種轉換具有下列性質：給定 公開轉換，欲推導出私密轉換，在計算上是不可行的。

9、備考： 基於非對稱密碼技術之系統， 可能是加密 (encipherment)系統、簽章系統、合併加密與簽章 (signature)的系統、或是金鑰協議系統。非對稱密碼技術有四種基本的轉換：簽章系統的簽署 (sign)與查證 (verify)，以及加密系統的加密 (encipher)與解密 (decipher)。簽章與解密轉換是由其所屬個體來秘密持有，而相對應的查證與加密轉換則是公開的。現存的非對稱密碼系統 (如 RSA)，可達到四個基本功能只需兩個轉換：一個是針對簽署與解密訊息的私密轉換；另一個是針對查證與加密訊息公開轉換。然而，由於這並不符合金鑰分隔的原理，因此本標準中的這四個基本轉換與相對

10、應的金鑰都是保持分隔的。 3.2 非對稱加密系統：基於非對稱密碼技 術之系統，使用公開轉換來加密，以及使用私密轉換來解密。 3.3 非對稱金鑰對：相關的金鑰對，其中私鑰定義私密轉換，而公鑰定義 公開轉換。 3.4 憑證機構 (certification authority, CA)：負責產 生並指定公鑰憑證 (public key certificate)的受信賴中心。憑證機構可選項地產生並指定金鑰 (key)給個體。 3.5 密碼核對 (check)函數：密碼轉換需要輸入密鑰與任意字串，然後輸出密碼核對值。如果無密鑰的相關資訊，則應無法計算出正確的核對值 CNS 13789-1。 3.6 密

11、碼核對值：針對資料單元執行密碼轉換所導出的資訊 CNS 13789-4。 3.7 解密 (decipherment)：對應至加密的逆轉 CNS 14381-1。 4 CNS 14381-3, X 6033-3 3.8 數位簽章：資料單元附加的資料或密 碼轉換，允許資料單元的接收者查驗資料單元的來源 (origin)與完整性 (integrity)，並且保護資料單元的發送者 (sender)與接收者 (recipient)免於第三方的偽造，或是保護發送者免於被接收者的偽造。 3.9 區別識別符 (distinguishing identifier) ：可以明確地區 別個體的資訊 CNS 1438

12、1-1。 3.10 加密：透過密碼演算法來對資料進行 (可逆的 )轉換，以產生密文 (ciphertext)。例如：隱藏資料的資訊內容 CNS 14381-1。 3.11 個體鑑別：證實個體正如他所宣稱的 CNS 13789-1。 3.12 A 對 B 的個體鑑別：個體 B 可以保證個體 A 的身分 (identity)。 3.13 從 A 到 B 之外顯的金鑰鑑別：個體 B 可以保證只有個體 A 持有正確的金鑰。 備考： 從 A 到 B 之內隱金鑰 (implicit key)鑑別加上從 A 到 B 的金鑰確認(confirmation)，則意謂著從 A 到 B 之外顯金鑰 (explici

13、t key)鑑別。 3.14 從 A 到 B 之內隱金鑰鑑別：個體 B 可以保證只有個體 A 可能持有正確的金鑰。 3.15 金鑰 (key)：一連串的符號，這些符號會控制密碼轉換的運算，例如：加密、解密、密碼核對函數計算、簽章計算或簽章查證 CNS 14381-1。 3.16 金鑰協議：個體間建立共享密鑰的過程，而他們任一方都無法預先決定該把金鑰值。 3.17 從 A 到 B 的金鑰確認 (key confirmation from A to B)：個 體 B 可以保證個體 A 持有正確的金鑰。 3.18 金鑰控制：在金鑰計算中，具有選擇所使用之金鑰或參數的能力。 3.19 金鑰建立：使一個

14、或一個以上的個體，可以共享密鑰的過程。金鑰建立包含金鑰協議與金鑰傳送。 3.20 金鑰符記 (token)：在執行金鑰管理機制期間，從一個個體傳送至其他個體之金鑰管理訊息。 3.21 金鑰傳送：將金鑰從一個體傳送至其他個體之過程，而此傳送過程要受到適當的保護。 3.22 相互個體鑑別：提供雙方個體之彼此身分保證的個體鑑別。 3.23 單向函數 (one-way function)：函數具以下性質，從給定的輸入值，欲計算出輸出值，在計算上是容易的，但要從給定的輸出值找到相對應的輸入值，在計算上為不可行。 3.24 私鑰 (private key)：個體之非對稱金鑰對中，只有該個體可以 使用的那把

15、金鑰。 備考： 在非對稱簽章系統中，私鑰定義簽章轉換；而在非對稱加密系統中，私鑰定義解密轉換。 3.25 公鑰 (public key)：個體之非對稱金鑰對中，對外公開的那把金鑰。 備考： 在非對稱簽章系統中，公鑰定義查證轉換；而在非對稱加密系統中，公鑰定義加密轉換。眾所皆知的金鑰並不必然是所有人皆可取得。此金鑰可僅被事先指定群體內之所有成員來取得。 3.26 公鑰憑證 (public key certificate)：個體的公鑰資訊，由憑證機構所簽署且無法5 CNS 14381-3, X 6033-3 偽造。 3.27 公鑰資訊：至少包含個體之可區別識別符與公鑰之資訊。公鑰資訊僅限於有關一個

16、個體的資料，以及一把該個體之公鑰。公鑰資訊可包含其他靜態資訊，這些資訊是關於憑證機構、個體、公鑰、金鑰使用限制、有效期間或所使用的相關演算法。 3.28 密鑰 (secret key)：由特定個體集合所使用之對稱密碼技術的金鑰。 3.29 序號 (sequence number)：時變參數，其值取自於在某期間內不會重複的特定序列 CNS 14381-1。 3.30 簽章系統：基於非對稱密碼技術之系統，使用私密轉換來簽署，並且使用公開轉換來查證。 3.31 時戳 (time stamp)：用來表示其共同時間參考的時間點之資料項。 3.32 時戳機構 (time stamping authorit

17、y)：當產生安全時戳時，被信賴提供包含時間的證據之受信賴第三方 CNS 14510-1。 3.33 時變參數：用來查證訊息 並不是重演 (replay)之資料項，例如：隨機數 (random number)、序號或時戳。 3.34 受信賴第三方 (trusted third party)：在安全相關活動中，其他個體所信賴安全機構或其代理者 CNS 14334-1。 4. 符號與縮寫 本標準使用下列之符號與縮寫： A, B 個體 A, B 之可區別識別符。 BE 已加密的資料區塊。 BS 已簽署的資料區塊。 CA 憑證機構。 ACert 個體 A 之公鑰憑證。 AD 個體 A 之私密解密轉換。

18、Ad 個體 A 之私密解密金鑰。 AE 個體 A 之公開加密轉換。 Ae 個體 A 之公開加密金鑰。 ),( ghF 金鑰協議函數。 f 密碼核對函數。 )(ZfK密碼核對值，該值是利用密碼核對函數 f 所產生出來的結果，其中輸入值為密鑰 K 與任意資料字串 Z。 g 使用金鑰協議函數 F 之所有個體所公開共享的共同元素 Ah 個體 A 的私鑰協議金鑰 (private key agreement key)。 hash 雜湊函數 (hash function)。 H 元素集合。 G 元素集合。 6 CNS 14381-3, X 6033-3 K 對稱密碼系統之密鑰。 ABK 個體 A 與 B

19、間所共享之密鑰。 備考： 在實際實作上，使用共享密鑰於對稱密碼系統之前，可先做進一步處理。 KT 金鑰符記。 AiKT 個體 A 在處理階段 i 後所發送的金鑰符記。 Ap 個體 A 之公鑰協議金鑰 (public key agreement key)。 APKI 個體 A 之公鑰資訊。 r 在機制期間內所產生的隨機數。 Ar 在金鑰協議機制中，個體 A 所發出的隨機數。 AS 個體 A 之私密簽章轉換。 As 個體 A 的私密簽章金鑰 private signature key)。 Texti 選項的 (optional)資料欄位，其使用已超出本標準的範圍。 TVP 時變參數，例如：隨機數、

20、時戳或序號。 AV 個體 A 的公開查證轉換。 Av 個體 A 的公開查證金鑰 (public verification key)。 w 單向函數 (one-way function)。 數位簽章。 | 兩個資料元素的序連 (concatenation)。 備考 1. 簽章轉換本身並無訂定假設。在具訊息復原的簽章系統 (signature system with message recovery)中， )(mSA代表簽章 本身；而在具附件的簽章系統(signature system with appendix)中， )(mSA代表訊息 m 和簽章 。 2. 非對稱密碼系統的金鑰，以小寫字母 (

21、意指該把金鑰的函數 )，並且以其持有者的識別符為索引來表示，例如：個體 A 的公開查證金鑰以Av 表示；而相對應的轉換則以大寫字母與其持有者的識別符為索引來表示，例如：個體 A 的公開查證轉換以AV 來表示。 5. 需求 假設個體欲知彼此所宣稱的身分。此可透過兩個體間彼此交換內含識別符的資訊來達成，或可透過機制使用的全景來達到此假設。查證身分意謂去核對所接收到之識別符欄位，是否與某個已知的 (受信賴的 )值或與先前所期望的一致 。如果某個個體已經註冊公鑰，則個體應確保註冊該把金鑰的個體，確實持有相對應的私鑰 (參照第1 部的金鑰註冊 )。 6. 密鑰協議 金鑰協議是在兩個體 A 與 B 間建立

22、共享密鑰的過程，而且此兩個體皆無法預先決定所共享密鑰值。金鑰協議機制可提供內隱金鑰鑑別；在金鑰建立的全景中，內隱金鑰鑑別意謂執行金鑰協議機制後，只有已識別的個體可以持有正確的共享密鑰。 A 與 B 兩個體間的金鑰協議由這兩個體所共享的全景來達成。此全景由下列物件所7 CNS 14381-3, X 6033-3 組成：集合 G、集合 H 及函數 F。函數 F 應滿足下列需求： (1) F 接收兩個輸入值 (即 h 與 g)，並且運算出結果 y，其中 h 為 H 內的一個元素、g 為 G 內的一個元素以及 ),( ghFy = 。 (2) F 滿足此交換條件： ),(,(),(,( ghFhFgh

23、FhFABBA= 。 (3) 從 ),(1ghF 、 ),(2ghF 及 g 欲求出 ),(,(21ghFhF ，在計算上為不可行。這意謂著 ),( gF 是單向函數。 (4) 個體 A 與 B 共享 G 內的元素 g，而且 g 可為眾所皆知的。 (5) 個體可以根據此設定，有效地計算出函數值 ),( ghF ，並且有效地產生 H 內的隨機元素。 根據特定的金鑰協議機制而定，可加入更多的條件。 備考 1. 可能函數 F 的範例參照附錄 B。 2. 在金鑰協議機制的實作中，共享密鑰可先 做進一步的處理。衍生共享密鑰(derived shared secret key)可透過下列二種方式來導出：

24、(1)直接從共享密鑰ABK 中擷取位元，或 (2)將共享密鑰ABK 與選項的其他非秘密資料輸入至單向函數，並且從其輸出值擷取位元。 3. 核對所收到的函數值 ),( ghF 是否為弱值，通常都是必要的。如果遇到弱值，則應放棄此協定。有關 Diffie-Hellman 金鑰協議的範例請參照附錄 B.5 節。 6.1 金鑰協議機制 1 本金鑰協議機制是在兩個體 A 與 B 之間，透過相互內隱金鑰鑑別，以非互動(non-interactive)方式來建立共享密鑰。應滿足下列需求： (1) 每個個體 X 都有 H 內的私鑰協議金鑰Xh ，以及公鑰協議金鑰 ),( ghFPXX= 。 (2) 每個個體可

25、以存取其他個體之公鑰協議金鑰的鑑別複本。此可使用第 8 節的機制來達成。 圖 1 金鑰協議機制 1 A B鑰構造(A1)KAB鑰構造(B1)KAB“金鑰構造 (Key Construction) (A1)”A 使用自己擁有的私鑰協議金鑰Ah 與 B 的公鑰協議金鑰BP 來計算共享密鑰 ),(BAABPhFK = 。 8 CNS 14381-3, X 6033-3 “金鑰構造 (B1)”B 使用自己擁有的私鑰協議金鑰Bh 以及 A 的公鑰協議金鑰AP 來計算共享密鑰 ),(ABABPhFK = 。 根據 F 需求 (2)的結果，這二個金鑰ABK 的計算值必須相等。 備考： 本金鑰協議機制具有下列

26、性質： (1) 回合數： 0。因此共享密鑰一定會有相同的值 (參照第 6 節的備考 2)。 (2) 金鑰鑑別：本機制提供相互內隱金鑰鑑別。 (3) 金鑰確認：本機制未提供金鑰確認。 (4) 此為金鑰協議機制，因為所建立的金鑰是分別由 A 與 B 所供應的私鑰協議金鑰Ah 與Bh 的單向函數。然而，某個個體 在選擇其私鑰之前，可得知另一個體的公鑰。由於此個體可選擇大約 s 位元的所建立金鑰，因此其所必須花費的成本是在發現其他個體的公鑰以及選擇自己的私鑰之間，產生s2 個私鑰協議金鑰的候選值。 (5) 範例：有關 Diffie-Hellman 金鑰協議範例，參照附錄 B.5 節。 6.2 金鑰協議

27、機制 2 本金鑰協議機制採單回合，以及從 B 到 A 之內隱金鑰鑑別，來建立 A 與 B 共享的密鑰，但是並無從 A 到 B 個體鑑別 (即 B 不知與誰建立共享密鑰 )。應滿足下列需求： (1) 個體 B 具有在 H 內的私鑰協議金鑰Bh 以及公鑰協議金鑰 ),( ghFPBB= 。 (2) 個體 A 可以存取 B 之公鑰協議金鑰BP 的鑑別複本。此可透過第 8 節的機制來達成。 圖 2 金鑰協議機制 2 A B鑰構造(A2)KAB鑰構造(B1)KAB鑰符記構造(A1)KTA1“金鑰符記構造 (A1)”A 隨機並秘密地產生在 H 內的 r、計算 ),( grF ，並且發送金鑰符記 Textg

28、rFKTA|),(1= 給 B。 9 CNS 14381-3, X 6033-3 “金鑰構造 (A2)”A 進一步計算出金鑰 ),(BABPrFK = 。 “金鑰構造 (B1)”B 從所接收到的金鑰符記1AKT 擷取出 ),( grF ，並且計算共享密鑰),(,( grFhFKBAB= 。 根據 F 需求 2 的結果，這兩個金鑰ABK 的計算值必須相等。 備考：本金鑰協議機制具有下列性質： (1) 回合數： 1。 (2) 金鑰鑑別：本機制提供從 B 到 A 之內隱金鑰鑑別 (即除了 A 以外， B 是唯一能計算共享密鑰的個體 )。 (3) 金鑰確認：本機制未提供金鑰確認。 (4) 此為金鑰協議

29、機制，因為所建立的金鑰是分別由 A 的隨機數 r 與 B 的私鑰協議金鑰的單向函數。然而，因為個體 A 在選擇隨機數 r 之前，可得知個體 B 的公鑰，所以個體 A 可選擇大約 s 位元的所建立金鑰，因此他所必須花費的成本是在發現個體 B 的公鑰及所發送的1AKT 之間，產生 2s個隨機數 r 的候選值。 (5) 範例：本金鑰協議機制的範例 (稱為 ElGamal 金鑰協議 )在第 B.3 節中描述。 (6) 金鑰使用：由於 B 從未經鑑別的個體 A 接收到金鑰ABK ，個體 B 的安全使用ABK 會受限於不需信賴個體 A 之鑑別功能，例如：解密與產生訊息鑑別碼(message authent

30、ication code)。 6.3 金鑰協議機制 3 本金鑰協議機制在單回合中利用相互內隱金鑰鑑別以及 A 對 B 的個體鑑別，來建立 A 與 B 共享的密鑰。應滿足下列需求： (1) 個體 A 具有非對稱簽章系統 ),(AAVS 。 (2) 個體 B 可以存取公開查證轉換AV 的鑑別複本。此可使用第 8 節的機制來達成。 (3) 個體 B 具有持金鑰 ),(BBPh 的金鑰協議系統。 (4) 個體 A 可以存取 B 之公鑰協議金鑰BP 的鑑別複本。此可使用第 8 節的機制來達成。 (5) TVP： TVP 應為時戳或是序號兩者之一。如果使用時戳，則需要安全且同步的鐘訊；如果使用序號， 則需

31、要有能力來維護與查證雙邊計數器 (bilateral counter)。 (6) 個體 A 與 B 已經針對下列達成協議：密碼核對函數 f (例如： CNS 13398 所標準化的函數 )，以及將ABK 當做金鑰併入核對函數的方法。 10 CNS 14381-3, X 6033-3 圖 3 金鑰協議機制 3 A B鑰構造(A1.1)鑰符記簽章(A1.2)KABKTA1KAB鑰構造(B1.1)簽章查證(B1.2)“金鑰構造 (A1.1)”A 隨機並秘密地產生在 H 內的 r，並計算 ),( grF 。 A 計算共享密鑰為 ),(BABPrFK = 。 個體 A 可以使用這把共享密鑰ABK ，利用

32、發送者之區別識別符 A 以及序號 (或時戳 TVP )的序連，計算出密碼核對值。 “金鑰符記簽章 (A1.2)”A 使用其私密簽章轉換AS 來簽署密碼核對值。 A 接著建構金鑰符記，其中包含發送者之區別識別符 A、金鑰輸入值 ),( grF 、 TVP、已簽署的密碼核對值及一些選項的資料 1|)|(|),(|1TextTVPAfSTVPgrFAKTABKAA= ， A 並且將其發送給 B。 “金鑰構造 (B1.1)”B 從所接收到的金鑰符記擷取出 ),( grF ，並且使用其私鑰協議金鑰Bh 來計算共享密鑰 ),(,( grFhFKBAB= 。 個體 B 使用這把共享密鑰ABK ，針對發送者之

33、區別識別符 A 以及 TVP，計算出密碼核對值。 “簽章查證 (B1.2)”B 使用發送者的公開查證轉換AV 來查證 A 的簽章，並且也查證所收到之金鑰符記1AKT 的完整性與來源性。然後 B (透過檢查 TVP)驗核符記的時效性。 備考： 本金鑰協議機制具有下列性質： (1) 回合數： 1。 (2) 金鑰鑑別：本機制提供從 B 到 A 之外顯金鑰鑑別，以及從 B 到 A 之內隱金鑰鑑別。 (3) 金鑰確認：本機制提供從 A 到 B 的金鑰確認。 (4) 此為金鑰協議機制，因為金鑰是分別由 A 所供應的隨機數 r 與 B 的私鑰協議11 CNS 14381-3, X 6033-3 金鑰的單向函

34、數所建立。然而，因為個體 A 在選擇隨機數 r 之前，可得知個體 B 的公鑰，所以個體 A 可選擇大約 s 位元的所建立金鑰，因此他所必須花費的成本是在發現個體 B 的公鑰及所發送的1AKT 之間，產生s2 個隨機數 r 的候選值。 (5) TVP：提供 A 對 B 的個體鑑別，並且防制金鑰符記的重演。 (6) 範例：本金鑰協議機制的範例 (稱為 Nyberg-Rueppel 的金鑰協議 )在第 B.4 節中描述。 (7) 公鑰憑證：若使用 Text1 來傳送 A 的公鑰憑證，則本節一開始的需求 (2)就可以被放寬為 B 持有 CA 之公開查證金鑰的鑑別複本。 6.4 金鑰協議機制 4 本金鑰

35、協議機制採二回合，以及個體 A 與 B 的聯合金鑰控制，來建立 A 與 B 共享的密鑰，其中這兩個個體不用事 先交換金鑰資訊。本機制未提供個體鑑別和金鑰鑑別。 圖 4 金鑰協議機制 4 A B鑰構造(A2)KAB鑰構造(B2)KAB鑰符記構造(A1)KTA1鑰符記構造(B1)KTB1“金鑰符記構造 (A1)”A 隨機並秘密地產生在 H 內的Ar 、計算 ),( grFA、建構金鑰符記 1|),(1TextgrFKTAA= ，然後將其發送給 B。 “金鑰符記構造 (B1)”B 隨機並秘密地產生在 H 內的Br 、計算 ),( grFB、建構金鑰符記 2|),(1TextgrFKTBB= ，然後將

36、其發送給 A。 “金鑰構造 (A2)”A 從所接收到的金鑰符記1BKT 擷取出 ),( grFB，並計算共享密鑰),(,( grFrFKBAAB= 。 “金鑰構造 (B2)”B 從所接收到的金鑰符記1AKT 擷取出 ),( grFA，並計算共享密鑰),(,( grFrFKABAB= 。 備考： 本金鑰協議機制具有下列性質： 12 CNS 14381-3, X 6033-3 (1) 回合數： 2。 (2) 金鑰鑑別：本機制未提供金鑰鑑別。然而，在利用其他方法來查證金鑰符記之鑑別性的環境之中，得使用本機制。例如：個體之間可使用第二通信通道，來交換金鑰符記的雜湊碼 (hash-code)。亦參照公鑰

37、傳送機制 2。金鑰確認：本機制未提供金鑰確認。 (3) 此為金鑰協議機制，因為所建立的金鑰是分別由 A 與 B 所供應之隨機數Ar 與Br 的單向函數。然而，因為個體 B 在選擇隨機數Br 之前可得知 ),( grFA，個體B 可選擇大約 s 位元的已建立金鑰，成本是在接收1AKT 到發送1BKT 之區間，產生s2 個Br 的候選值。 (4) 範例：本機制的範例 (稱為 Diffie-Hellman 金鑰協議 )在第 B.5 節中描述。 6.5 金鑰協議機制 5 本金鑰協議機制 採二回合，以及相互內隱金鑰鑑別和聯合金鑰控制，來建立 A與 B 之間的共享密鑰。應滿足下列需求： (1) 每個個體

38、X 具有在 H 內的私鑰協議金鑰Xh 以及公鑰協議金鑰 ),( ghFPXX= 。 (2) 每個個體可以存取其他個體之公鑰協議金鑰的鑑別複本。此可使用第 8 節的機制來達成。 (3) 個體雙方已針對共同的單向函數 w 達成協議。 圖 5 金鑰協議機制 5 A B鑰構造(A2)KAB鑰構造(B2)KAB鑰符記構造(A1)KTA1鑰符記構造(B1)KTB1“金鑰符記構造 (A1)”A 隨機並秘密地產生在 H 內的Ar ，計算 ),( grFA並發送金鑰符記 1|),(1TextgrFKTAA= 給 B。 “金鑰符記構造 (B1)”B 隨機並秘密地產生在 H 內的Br ，計算 ),( grFB並發送

39、金鑰符記 2|),(1TextgrFKTBB= 給 A。 “金鑰構造 (B2)”B 從所接收到的金鑰符記1AKT 擷取出 ),( grFA，並計算共享密鑰13 CNS 14381-3, X 6033-3 ),(),(,(ABABABPrFgrFhFwK = ，其中 w 是單向函數。 “金鑰構造 (A2)”A 從所接收到的金鑰符記1BKT 擷取出 ),( grFB，並計算共享密鑰),(,(),( grFhFPrFwKBABAAB= 。 備考： 本金鑰協議機制具有下列性質： (1) 回合數： 2。 (2) 金鑰鑑別：本機制提供相互內隱金鑰鑑別。如果資料欄位 Text2 包含用金鑰ABK 計算得的密

40、碼核對值 (針對已知的資料 )，則本機制提供從 B 到 A 之外顯金鑰鑑別。 (3) 金鑰確認：如果資料欄位 Text2 包含用金鑰ABK 所計算得的密碼核對值 (針對已知的資料 )，則本機制提供從 B 到 A 的金鑰確認。 (4) 此為金鑰協議機制，因為所建立的金鑰分別由 A 與 B 所供應之隨機數Ar 與Br的單向函數。然而，因為個體 B 在選擇隨機數Br 之前可得知 ),( grFA，個體 B可選擇大約 s 位元的已建立金鑰，成本是在接收1AKT 到發送1BKT 的區間，產生s2 個隨機數Br 的候選值。 (5) 範例：本金鑰協議機制的範例 (稱為 Matsumoto-Takashima

41、- Imai A(0)金鑰協議方法 )在第 B.6 節中描述。其他範例如 Goss 協定。 (6) 函數 w 必須隱藏其輸入值，以使得欲從此函數值，及其中一個輸入，計算出其他輸入的有價值部分為不可行。此可藉由使用 CNS 14105-1 的雜湊函數來達成 (不需要抗碰撞雜湊函數 (collision-resistant hash-function)。 (7) 公鑰憑證：如果 Text1 與 Text2 分別包含個體 A 與 B 之金鑰協議金鑰的公鑰憑證，則本節一開始的需求 2 就可以更換為：每個個體持有 CA 之公開查證金鑰的鑑別複本。 6.6 金鑰協議機制 6 本金鑰協議機制利用二回合，以及

42、 相互內隱金鑰鑑別與聯合金鑰控制，來建立A 與 B 之間的共享密鑰。此係植基於併用非對稱加密與簽章系統二者。應滿足下列需求： (1) 個體 A 具有轉換 ),(AADE 的非對稱加密系統。 (2) 個體 B 具有轉換 ),(BBVS 的非對稱簽章系統。 (3) 個體 A 可以存取 B 之公開查證轉換BV 的鑑別複本。此可使用第 8 節的機制來達成。 (4) 個體 B 可以存取 A 之公開加密轉換AE 的鑑別複本。此可使用第 8 節的機制來達成。 14 CNS 14381-3, X 6033-3 圖 6 金鑰協議機制 6 A B鑰符記處(A2)KAB鑰符記構造(B2)KAB鑰符記構造(A1)KT

43、A1鑰符記處(B1)KTB1“金鑰符記構造 (A1)”A 產生隨機數Ar ，並發送金鑰符記 1|1TextrKTAA= 給 B。 “金鑰符記處理 (B1)”B 產生隨機數Br ，並使用其私密簽章轉換BS 來簽署由可區別識別符 A、隨機數Ar 、隨機數Br 及一些選項資料 Text2 所組成的資料區塊)2|( TextrrASBSBAB= 。 之後 B 使用 A 的公開加密轉換AE 加密由他自己的可區別識別符 B(選項的 )、已簽署區塊 BS 及一些選項的資料 Text3 所組成之資料區塊，並將金鑰符記4|)3|(1TextTextBSBEKTAB= 回送給 A。 “金鑰構造 (B2)”此共享密

44、鑰是由內含在已簽署區塊 BS 中之 B 的全部或部分簽章 所組成 (參照第 4 節的備考 1)。 “金鑰符記處理 (A2)”A 使用其私密解密轉換AD 來解密金鑰符記1BKT ，選項地核對發送者的識別符 B，以及使用 B 的公開查證轉換BV 來查證已簽署區塊 BS 的數位簽章。之後 A 核對接收者的識別符 A，以及已簽署區塊 BS 中的隨機數Ar ，是否與符記1AKT 中的隨機數Ar 一致。如果所有核對皆成功，則 A 接受已簽署區塊BS 中之 B 的全部或部分簽章 ，並作為共享密鑰。 備考：本金鑰協議機制具有下列性質： (1) 回合數目： 2。 (2) 金鑰鑑別：本機制提供從 A 到 B 之內

45、隱金鑰鑑別，以及從 B 到 A 之外顯金鑰鑑別。 (3) 金鑰確認：如果資料欄位 Text3 包含使用金鑰ABK 所計算得的密碼核對值 (針對已知的資料 )，則本機制提供從 B 到 A 的金鑰確認。 (4) 此為金鑰協議機制，因為所建立的金鑰是分別由 A 與 B 所供應之隨機數Ar 與Br 的單向函數。然而，因為個體 B 在選擇隨機數Br 之前可得知 ),( grFA，個體15 CNS 14381-3, X 6033-3 B 可選擇大約 s 位元的已建立金鑰，成本是在接收1AKT 到發送1BKT 之區間，產生s2 個隨機數Br 的候選值。 (5) 範例：本機制是從第 B.7 節中所描述之 Be

46、ller 與 Yacobi 的二回合協定所推導出來的。 (6) 公鑰憑證：如果 Text1 與 Text4 分別包含個體 A 之加密金鑰的公鑰憑證，以及個體 B 之查證金鑰的公鑰憑證，則本節一開始的需求 3 與 4 就可以被放寬為：每個個體持有 CA 之公開查證金鑰的鑑別複本。 (7) 本方案的一個顯著特性為： B 方的身分可對竊聽者保持匿名，在本方案應用的主要環境 (即無線環境 )之中特別有利。 6.7 金鑰協議機制 7 本金鑰協議機制是植 基於 CNS 13789-3 的三回合鑑別機制 (three-pass authentication mechanism)，並利用三個回合，以及相互鑑別

47、建立個體 A 與 B 之間的共享密鑰。應滿足以下需求： (1) 每個個體 X 具有非對稱簽章系統 ),(XXVS 。 (2) 每個個體都可以存取其他個體之公開查證轉換的鑑別複本。此可使用第 8 節的機制來達成。 (3) 每個個體都持有共同的密碼核對函數 f。 圖 7 金鑰協議機制 7 A B鑰符記處與鑰構造(A2)KAB鑰符記構造(B2)KAB鑰符記構造(A1)KTA1鑰符記處與鑰構造(B1)KTB1KTA216 CNS 14381-3, X 6033-3 “金鑰符記構造 (A1)”A 隨機並秘密地產生在 H 內的Ar ，計算 ),( grFA，建構金鑰符記 1|),(1TextgrFKTAA

48、= 並發送給 B。 “金鑰符記處理與金鑰構造 (B1)”B 隨機並秘密地產生在 H 內的Br ，計 算 ),( grFB，計算共享密鑰 ),(,( grFrFKABAB= ，建構已簽署金鑰符記 3|)(|)(111TextDBfDBSKTABKBB= 並發送給 A，其 中 2|),(|),(1TextAgrFgrFDBAB= 。 藉由在1BKT 中發送 )(1DBfABK而提供金鑰確認。另一方面，如果雙方有共同的對稱加密系統，則金鑰確認可由符記的加密部分來獲得，如下：1BKT 由 ),( grFB後接 )(1DBSEBKAB來取代。 “金鑰符記處理 (A2)”A 使用 B 的公開查證金鑰來查證

49、金鑰符記1BKT 中 B 的簽章，查證 A 的可區別識別符與步驟 (A1)所傳送來之 ),( grFA。如果核對成功，則A 進一步計算出共享密鑰 ),(,( grFrFKBAAB= 。 A 使用ABK 來查證 )(1DBfABK。然後 A 建構已簽署金鑰符記5|)(|)(222TextDBfDBSKTABKAA= ，其中 4|),(|),(2TextBgrFgrFDBBA= ，並將其發送給 B 。 金鑰確認係由發送2AKT 中的 )(2DBfABK來提供。或者也可以透過加密部分的符記而獲得，如下：以 )(2DBSEAKAB取代2AKT 。 “金鑰符記處理 (B2)”B 使用 A 的公開查證金鑰來查證金鑰符記2AKT 中 A 的簽章，然後查證 B 的可區別識別符以及前面步驟所 同意的交換值 ),( grFA和),( grFB。如果核對成功，則 B 使用 ),(,( grFrFKABAB= 來查證 )(2DBfABK。 備考： 本