1、1 印行年月94年10月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 13789-5類號 X6010-5資訊技術安全技術實體鑑別機制第 5 部:使用零資訊技術機制 ICS 35.040.00 經濟部標準檢驗局印行 公布日期 修訂公布日期 93年1月9日 年 月 日 (共51頁)Information technology Security technigues Entity authentication Part 5: Mechanisms using zero knowledge techniques 1. 適用範圍:本標準規定三種使用零資訊技術(zero knowledge
2、 technique)的個體鑑別機制。本標準中所提到的機制,都提供單方鑑別(unilateral authentication)的功能。這些機制皆依照零資訊的準則來建構,但是在選取所有參數方面,根據附錄1中零資訊的嚴格定義,這些機制並不是零資訊機制。 第一種是基於身分(identity)基礎之個體鑑別機制。一個可信賴認證機構(trusted accreditation authority)提供每一個宣稱者(claimant)一份經由其認證機構的私鑰與宣稱者的身分資料所計算而得的私密認證資訊(private accreditation information)。 第二種是使用離散對數的憑證基礎(
3、certificate-based) 之個體鑑別機制。在這個機制中,每個宣稱者都有一對公鑰(public key)與私鑰(private key)。查證宣稱者身分的查證者必須擁有該宣稱者之公開查證金鑰(public verification key)的可信賴複本(trusted copy)。雖然關於如何取得可信賴複本,已超出本標準的範圍,但是這可以透過可信賴第三者所簽署之憑證來分送達到。 第三種是使用非對稱加密系統(asymmetric encipherment system)的憑證基礎之個體鑑別機制。每個宣稱者都擁有一對關於此非對稱加密系統的公鑰與私鑰。查證宣稱者身分的每個查證者必須擁有該宣
4、稱者之公鑰的可信賴複本。雖然關於如何取得可信賴複本,已超出本標準的範圍,但是這可以透過可信賴第三者所簽署之憑證來分送達到。 2. 用語釋義 本標準使用下列的用語。 下列術語定義於本系列標準第1部(CNS 13789-1實體鑑別機制第1部:一般模型): (1) 非對稱密碼技術(asymmetric cryptographic technique); (2) 非對稱加密系統(asymmetric encipherment system); (3) 非對稱金鑰對(asymmetric key pair); (4) 詰問(challenge); (5) 宣稱者(claimant); (6) 解密(de
5、cipherment); (7) 可區別識別符(distinguishing identifier); (8) 加密(encipherment); (9) 私鑰(private key); 2 CNS 13789-5, X 6010-5 (10) 個體鑑別 (entity authentication); (11) 公鑰 (public key); (12) 公開查證金鑰 (public verification key); (13) 隨機數 (random number); (14) 符記 (符記 ); (15) 可信賴第三者 (trusted third party); (16) 單方鑑別
6、 (unilateral authentication); (17) 查證者 (verifier)。 下列術語定義於 CNS 14105-1 資訊技術安全技術雜湊函數第 1 部:概說 : (18) 雜湊函數 (hash-function):將任意長度位元串對映成固 定長度的位元串之函數,並且滿足下列二個持性: (a) 給定一個輸出值而欲找出其對應的輸入值,是計算上不可行的; (b) 給定一個輸入值而欲找出第二個輸入值,使其對應相同的輸出值,是計算上不可行的。 此外,本標準尚使用以下的定義: (19) 認證機構 (accreditation authority):一群個體中所有成員都信賴的個體,
7、該個體負責產生私密認證資訊。 (20) 認證多重性參數 (accreditation multiplicity parameter):正整數,該值等於由認證機構所提供給任一個體之秘密認證資訊的項目個數。 (21) 交換多重性參數 (exchange multiplicity parameter):正整數,該值用以決定鑑別機制時,進行一次鑑別所需交換個體鑑別資訊的次數。 (22) 識別資料 (identification data):分派給個體並且用以識別個體的一連串資料項目,其中這些資料項包括個體的可區別識別符。 (23) 私密認證指數 (private accreditation expon
8、ent):只有認證機構知道的值,用來產生宣稱者的私密認證資訊。這個值應秘密保存,並且與公開認證查證指數相關。 (24) 私密認證資訊 (private accreditation information):由認證機構所提供給宣稱者的私密資訊。依此資訊,宣稱者隨後可以證實當中的知識,並藉以建立宣稱者自己的身分。 (25) 私密解密轉換 (private decipherment transformation):由非對稱加密系統以及非對稱金鑰對之私鑰所共同決定的解密轉換。 (26) 公開認證查證指數 (public accreditation verification exponent):一群個體
9、之所有成員都同意的值,此值與模數決定了私密認證指數的值。 (27) 公開加密轉換 (public encipherment transformation):由非對稱加密系統以及非對稱金鑰對之公鑰所決定的加密轉換。 (28) 冗餘身分 (redundant identity):經由對個體的識別資料,使用 CNS 13799 資訊技術安全技術具訊息復原的數位簽章方案 所規範的技術,做附加冗餘而得到的一連串的資料項目。 3 CNS 13789-5, X 6010-5 (29) 回應 (response):由宣稱者所送給查證者的資料項目,使查證者可以藉此幫助檢查宣稱者的身分。 (30) 證據 (wit
10、ness):提供宣稱者身分之證據給查證者的資料項目。 3. 符號 本標準使用下列的符號。 下列的符號已描述於本系列標準第 1 部 (CNS 13789-1): A 個體 A 的可區別識別符; B 個體 B 的可區別識別符; Y|Z 資料項目 Y 與 Z 之序連的結果。 本標準使用下列一般的符號: d 詰問; D 回應; h 雜湊函數; r 隨機數; x 等於或小於a的最大整數; mod 若 i 是整數, n 是正整數,則 i mod n 表示唯一的整數 j,滿足下列二條件: (1) nj 0 ; (2) i-j 為 n 的整數倍。 第 4 節中的身分基礎機制,會使用以下的符號: AmAACCC
11、 ,.,21個體 A 的私密認證資訊; gcd 兩個整數的最大公因數。亦即 ),gcd( ba 表示 a 與 b 之共同因數中的最大正整數; AmAAIII ,.,21個體 A 的識別資料。AiI 為個體 A 之識別資料的第 i 個部分; AmAAJJJ ,.,21個體 A 的冗餘身分。AiJ 為個體 A 之冗餘身分的第 i 個部分; sk 由模數 n 所決定的整數,並且用來決定個體冗餘身分中各部分的最大位元長度; lcm 兩個整數的最小公倍數。亦即 ),( balcm 表示 a 與 b 之共同倍數中的最小正整數; m 認證多重性參數; n 模數,其值為二個質數 p 與 q 的乘積; p 用來
12、計算模數的質數; q 用來計算模數的質數; t 交換多重性參數; u 認證機構的私密認證指數; v 認證機構的公開認證查證指數; W 證據; mod* 若是 i 為整數且 n 為正整數,則 i mod* n 表示非負整數 j,其中 j 等於 i mod 4 CNS 13789-5, X 6010-5 n 與 n-i mod n 兩數中較小整數。若 i 與 j 為整數且 n 是正整數,則 )(mod*nji 若且為若 njni mod*mod* = 。 (a|n) 正整數 a 對正奇數 n 之 Jacobi 符號。 備考:令 p 為奇質數,則正整數 a 對 p 的 Legendre 符號記為 (
13、a|p),並且定義如下: papapmod)|(2/)1( = 當 a 不是 p 的倍數時,若 a 是某數的平方模 p,則 (a|p)為 1;若 a 不是為某數的平方模 p,則 (a|p)為 -1。若 a 是 p 的倍數時,則 a 對 p 的 Legendre 符號為為 0。 令 n 為正奇數且 a 為正整數,則 a 對 n 的 Jacobi 符號為 a 對所有 n 的質因數之 Legendre 符號的乘積。因此,若 pqn = ,則 a 對 n 的 Jacobi 符號為 (a|n)可定義為 )|)(|()|( qapana = 。 Jacobi 符號 (a|n)可以在不需知道 n 的質因數分
14、解情況下,有效的計算求得出該值。請參照附錄 66及附錄 6 8。 在第 5 節中的離散對數基礎機制 (discrete logarithm based mechanism),會使用下列的符號: g 正整數,並且為離散對數中的基底 (base); p 用來做為模數的質數; q 質數,且為 p-1 的因數; yx 個體 X 的公開查證金鑰; zx 個體 X 的私密認證金鑰。 在第 6 節中的可信賴公開轉換基礎機制 (trusted public transformation based mechanism),會使用下列的符號: XP 個體 X 的公開加密轉換; XS 個體 X 的私密解密轉換。 4
15、. 身分基礎的個體鑑別機制 本節規定身分基礎之個體鑑別機制。 4.1 規定的需求 為了在一群個體中使用此機制,則必須執行下列的步驟: (1) 每一個想扮演宣稱者或查證者的個體,必須具有產生隨機數的方法。 (2) 認證機構應該被指定給一群個體。該群體中的所有成員必須信賴這個認證機構,如此此機構才能對個體的身分做擔保。 (3) 必須選取一些用來支配個體鑑別機制運作的參數,並且必須使用可靠方法來使此群個體中的所有成員皆知道該選出來的參數。 (4) 每一個想在個體鑑別機制扮演宣稱者的個體,必須以某種方式來取得識別資料。本標準中,識 別資料為一位元串,其長度是受限於 (3)所選取的參數,並且根據所達成的
16、協議,識別資料可以唯一且有意義地識別個體。 (5) 每一個想在個體鑑別機制扮演宣稱者的個體,應該得到指定之認證機構所發 5 CNS 13789-5, X 6010-5 給的私密認證資訊。 (6) 如果選取一個使用雜湊函數的機制版本,則群體中的所有個體都必須對所規定之雜湊函數 (例如: CNS_(ISO 10118)所規定之一的雜湊函數 )的使用達成協議。 4.2 參數的選取 所選取的參數如下所述: (1) 公開認證查證指數 v。一些特定的值 (例如 2、 3 及 1216+ =65537)皆具有一些實質上的優點。 (2) 模數 n。這個正整數應由指定的認證機構來選取。 n 的值應為兩個質數 p
17、 與q 的乘積,而 p 與 q 的值應由認證機構秘密地保存。質數 p 與 q 的選取原則應為任何個體在僅知其乘積 n 的情況下,欲推導出 p 與 q 的值是不具可行性(feasibility)。所謂可行性是由鑑別機制使用的情況來定義。 p 與 q 的值應滿足下列限制: (a) 若 v 是奇數,則 1),1gcd(),1gcd( = vqvp ; (b) 若 v 是偶數,則 1),2/)1gcd(),2/)1gcd( = vqvp ,且 p-q 不應是 8 的倍數。 n 的選取會決定另一個參數sk 的值,因此該參數的值為:)(log2nks= 。 換句話說, n 的二進位表示式會包含有sk +1
18、 個位元。 n 的選取也會決定認證機構之私密認證指數 u 的值,其中 u 值是透過下列式子來計算而得。 u 值應滿足 uv+1 為下列數值之倍數的最小正整數: 若 v 為奇數,則 u lcm(p-1,q-1); 若 v 為偶數,則 u lcm(p-1,q-1)/2。 (3) 認證多重性參數 m。選取這個正整數應與公開認證查證參數 v 以及交換多重性參數 t 一併考慮,並且這個參數會影響該方法的安全等級。 (4) 交換多重性參數 t。選取這個正整數應與公開認證查證參數 v 以及認證多重性參數 m 有關,並且這個參數會影響該方法的安全等級。 備考 1.附錄 2 有給定選取此機制之參數的指導方針。
19、2.當 v = 2 時,本機制則變成了 Fiat-Shamir 方案 (附錄 63);當 2v 、 m=1且 v 是質數時,本機制則變成 Guillou-Quisquater 方案 (附錄 65)。 4.3 身分的選取 每一個想在本機制扮演宣稱者的個體,都必須被指定識別資料,而此識別資料是由一連串 m 個部分的AmAAIII ,.,21所構成。識別資料中的每一個部分最多包括16/)3(8 +sk 個位元。 個體鑑別機制對查證者提供保證,使查證者可以知道該宣稱者確實為已經被指定此識別資料的個體。 備考 1.舉例來說,這一連串的識別資料部分可以由所分配給個體的單一識別位 元串來建構,並且依序地附加
20、數字 1,2,m 的二進位表示式於此字串之後,以獲得AmAAIII ,.,21的值。這樣的作法,數字 1,2,m 的二進位表示 6 CNS 13789-5, X 6010-5 式可以利用在表示式前加上 0 補齊的方式來統一表示式的長度。 2.部分的個體識別資料之長度大於最大可允許長度,則可以使用雜湊函數於識別資料以得到所需要的AmAAII ,.,21。雜湊函數的範例可以在CNS_(ISO 10118)中找到。 3.個體識別資料的逾期可以透過在識別資料中加入逾期資料來實行。識別資料中加入序號,可以使個體識別資料的註銷4.4 認證的產生 認證機構要產生個體的私密認證資訊,則應該要計算一連串AmAA
21、CCC ,.,21。更精確地說,對於每一個 i ( mi 1),計算。 (1)個體 A 之冗餘身分的第 i 個部分AiJ ,這個值應該是從部分AiI 計算而得。其計算方式是使用所指定之sk所規範之簽章程序的前四個步驟 (“填充 ”, “擴充定 ”)。得到該處理所得到的值 IR 之後,應該使用AiJ 。 (a) 若 v 是奇數,則 IRJAi= 。 (b) 若 v 是偶數且 1)|( +=nIR ,則 IRJAi= 。 (c) 若 v 是偶數且 1)|( =nIR ,則 2/IRJAi= 。 (2)透過下列式子可以從AiJ 計算出AiC : nJCuAiAi*mod)(= . 提供給個體 A 的
22、私密認證資訊即為所計算出來的簽章對於所有 i ( mi 1),滿足 )(mod1)(*nJCAivAi 。 4.5 鑑別的交換 此單方鑑別機制包括下列宣稱者 A 與查證者 B 之間的資訊交換,以使得檢查 A 的身分。此機制能正確的運作,其必要條件是 B這個識別資料可以透過 A 將其附加於此機制其中之一的交換資訊交給以其它的方式來交給 B。 圖 1 說明了本鑑別機制。其中以左右括弧的數字是代表之後詳細敘述的步驟編號。 A (1), (5) (2) Token1AB (4) mddd ,.,21(6) Token2AB 圖 1 身分基底機制(revocation)更簡單。 Im 個數位簽章AiC
23、應該透過下列步驟來A 之識別資料的第 i值,將AiI 代入 CNS 13799 ”, “冗餘 ”,及 “截斷和限IR 並經由下列步驟來產生AmAACCC ,.,21,其中B 可以確實擁有 A 的識別資料,B,或是B (3), (7) 7 CNS 13789-5, X 6010-5 由宣稱者送給查證者之第一個符記符記1AB = W 或符記1AB = h(W|Text)。 其中 W 是證據、 h 是雜湊函數以及 Text 是選項本文欄 (optional field)。這個本文欄可供本標準 (本文欄可能是空的 )之外的應用使用。本系列標準第 1 部 (CNS 13789-1)的附錄 1 中有使用此
24、本文欄的資訊。若本文欄為非空值,則 B 必須有方法可以回復本文欄的值,而這可能會使 A 利用符記1AB 發送全部或部分的本文欄給 B。 (請參照下面備考 1) 由宣稱者送給查證者之第二個符記的格式為符記2AB =D,其中 D 是回應。 在此機制的每一個應用中,都應該實行 t 次下列的鑑別程序 (其中, t 為交換多重性參數 )。若成功地完成鑑別程序的 t 次迭代時,查證者才會接受宣稱者 A 的身分為有效的。 (1) 擁有私密認證資訊AmAACCC ,.,21的個體 A 選取隨機數 r,其中 r 的條件是必須是整數且滿足 11 nr 。這個整數由 A 秘密地保存。然後, A 透過下列式子計算出證
25、據 W 的值: nrWv *mod= (2) A 發送符記1AB 給 B,而符記1AB 應該等於 W 或 h(W|Text)。 (3) 當 B 收到符記1AB 後, B 應該隨機地選取一連串整數mddd ,.,21,其中每個id都應介於 0 與 v-1 之間。這一連串整數便是詰問。 (4) B 發送詰問mddd ,.,21給 A。 (5) 當 A 收到詰問mddd ,.,21之後, A 應該使用 (秘密 )亂數 r 以及私密認證資訊AmAACCC ,.,21經由下列式子計算出回應 D: =midAinCrDi1*mod)( (6) A 發送符記2AB =D 給 B。 (7) 當 B 收到回應
26、D 之後, B 應該執行下列的計算: (a) B 檢查2/0 nD 是否成立。若不成立,則 B 應該駁回 A 所宣稱的身分。 (b)B 使用如同 4.4 節中步驟 (a)的方式,由 A 的識別資料AmAAIII ,.,21計算出A 的冗餘身分AmAAJJJ ,.,21。 (c)B 透過下列式子計算出 W 的值: =midAivnJrDWi1*mod)( (d) 如果 W 在程序第一次交換時發送就給 B,則 B 檢查所計算出的 W 是否等於程序第一次交換時所發送給 B 的 W。或者,若 h(W|Text)在程序第一次交換時發送給 B,則 B 先計算 h(W |Text)的值,再檢查 h(W |T
27、ext)是否等於程序第一次交換所發送給 B 的 h(W|Text)。若檢查的結果是正確的,則機制中的此次迭代便是成功的;否則, B 駁回 A 所宣稱的身分。 備考 1.其它資訊可藉由在鑑別程序之任何一個迭代的任何一個交換來發送。但值得注意的是, A 之識別資料所包括的資訊可以是與符記1AB 一起發 8 CNS 13789-5, X 6010-5 送,亦即在鑑別程序的 t 次迭代中,於第一次迭代裏之第一次交換 (步驟 (2)送給 B。這樣的資訊有助於 B 計算出 A 的冗餘身分和 /或是選項本文欄之值。 2.A 選取隨機數值 r 的方法是很重要的,因為該方法必須能夠保證在認證資訊的有效期間內,其
28、所產生出來的數值,彼此是互相獨立的。例如,若相同的 r 被使用兩次,則第三者可能推導出 A 的部分或全部的私密認證資訊,進而便可以成功地假冒 A 的身分。 3.B 可以在所執行的任何一個階段中計算出 A 的冗餘身分AmAAJJJ ,.,21,亦即 B 不需要等到收到回應 D 後,才能計算AmAAJJJ ,.,21。若 B 經常使用此機制來鑑別 A 的身分,則 B 可以快取AmAAJJJ ,.,21的值。 4.可以平行地執行程序中的 t 個迭代動作,亦即 A 可以在第一個步驟中就選取 t 個隨機數trrr ,.,21,並計算 t 個證據tWWW ,.,21,然後同時將它們送給 B。若採用此平行實
29、作方式,那麼訊息交換的總次數,在不考慮 t 值的情況下,將會等於三次。 5.在程序中的第一次交換若使用 h(W|Text)而不是 W,則較具效率,因為這樣可以減少符記1AB 中的位元數目。 6.建議本機制中所使用的私密認證資訊僅使用在鑑別的目的上,而不應該使用在其它的應用上 (例如,數位簽章的產生 )。若沒有遵循此建議,則必須有適當的措施來避免查證者利 用宣稱者作為一個 “ 簽章的oracle”。例如,在 此情況中可以利用將詰問設為某種特定格式的方法來達到。 5. 使用離散對數的憑證基礎機制 本節規定使用離散對數的個體鑑別機制。 備考:機制即有名的 Schnorr 方案 (附錄 610)。 5
30、.1 規定的需求 為了在一群個體中使用此機制,則必須執行下列的步驟: (1) 每一個想扮演宣稱者或查證者的個體,必須具有產生隨機數的方法。 (2) 群體中的所有個體必須對三個正整數 p、 q 及 g 達成協議。整數 p 必須是質數。整數 q 必須是質數,且 q 亦為 p-1 的因數。最後, g 必須是在模 p 次方(order)為 q 的數,亦即 g 同時滿足下列二個條件: (a) 1mod =pgq; (b) 1g 。 所選取之 p 與 q 的值要滿足當給定任意整數 i )1( qi ,欲找到滿足ipgj=mod 的整數 j (若存在 ),必須是在計算上不可行 (computationall
31、y infeasible)。 (3) 群體中的所有個體都必須對所規定之雜湊函數 (例如: CNS_(ISO 10118)所規 9 CNS 13789-5, X 6010-5 定之一的雜湊函數 )的使用達成協議。 (4) 每一個想扮演宣稱者角色的個體都必須擁有一個非對稱金鑰對,其選取如後述。 (5) 每一個想扮演查證者角色的個體都必須擁有一個方法,可以用來取得將被查證其身分的個體之公開查證金鑰的可信賴複本。 備考:關於如何取得一份公開查證金鑰之可信任的複本,並不在本標準的範圍之內。舉例來說,這可以經由公鑰憑證或其它與操作環境相關的方法來達成。 5.2 金鑰的選取 在本機制中每一個想扮演宣稱者的個
32、體都 必須擁有一個非對稱金鑰對),(XXzy ,其中Xz (私鑰 )應為 qzX0 的整數,其相對應的公開查證金鑰Xy 為pgXzmod 。 備考:附錄 2 有給定選取此機制之參數的指引。 5.3 鑑別的交換 此單方鑑別機制包括有下列宣稱者 A 與查證者 B 之間的資訊交換,並且使得 B可以檢查 A 的身分。 圖 2 說明了本鑑別機制。其中以左右括弧的數字是代表之後詳細敘述的步驟編號。 由宣稱者送給查證者之第一個符記的格式符記1AB = W 或符記1AB = h(W|Text)。 其中 W 是證據、 h 是雜湊函數以及 Text 是選項本文欄。這個本文欄可供本標準(本文欄可能是空的 )之外的應
33、用使用。 CNS 13789-1 的附錄 1 中有使用此本文欄的資訊。若本文欄為非空值,則 B 必須有方法可以回復本文欄的值,而這可能會使 A 利用符記1AB 發送全部或部分的本文欄給 B。 (請參照下面備考 1) 由宣稱者送給查證者之第二個符記的格式為符記2AB =D,其中 D 是回應。 (1) 個體 A 選取隨機數 r,而 r 應是 qr 1 的整數。這個整數由 A 秘密地保存。然後, A 透過下列式子計算出證據 W 的值: A (1), (5) B (3), (7) (2) Token1AB (4) d (6) Token2AB 圖 2 離散對數基底機制 10 CNS 13789-5,
34、X 6010-5 pgWrmod= (2) A 發 送符記1AB 給 B,而符記1AB 應該等於 W 或 h(W|Text)。 (3) 當 B 收到符記1AB 後, B 應該隨機地選取整數 d (詰問 ),其 中 d 應滿足 qd 0 。 (4) B 發送詰問 d 給 A。 (5) 當 A 收到詰問 d 後, A 應該使用 (秘密 )亂數 r 與私鑰Az 經由下列式子計算出回應 D。 qdzrDAmod= (6) A 將符記2AB =D 發送給 B。 (7) 當 B 收到回應 D 之後, B 應該執行下列的計算: (a) B 檢查 qD 0 是否成立。若不成立,則 B 應該駁回 A 所宣稱的身
35、分。 (b)B 使用下列式子計算出 W 的值: pgyWDdAmod)(= (c)如果 W 在程序第一次交換時就發送給 B,則 B 檢查所計算出的 W 是否等於程序第一次交換時所發送給 B 的 W。或者,若 h(W|Text)在程序第一次交換時發送給 B,則 B 先計算 h(W |Text)的值,再檢查 h(W |Text)是否等於程序第一次交換所發送給 B 的 h(W|Text)。若 h(W|Text) h(W |Text),則本機制查證失敗, B 應該駁回 A 所宣稱的身分;否則, B 接受 A 所宣稱的身分。 備考 1.其它資訊可藉由在鑑別程序之任何一個迭代的任何一個交換來發送。 2.A
36、 選取隨機數值 r 的方法是很重要的,因為該方法必須能夠保證在認證資訊的有效期間內,其所產生出來的數值,彼此是互相獨立的。例如,若相同的 r 被使用兩次,則第三者可能推導出 A 的部分或全部的私密認證資訊,進而便可以成功地假冒 A 的身分。 3.建議本機制中 所使用的私密金鑰對 (Key pair)宜僅使用在鑑別的目的上,而不宜使用在其它的應用上 (例如,數位簽章的產生 )。若沒有遵循此建議,則必須有適當的措施來避免查證者利用宣稱者作為 “簽章的oracle”。例如,在此情況中可以利用將詰問設為某種特定格式的方法來達到。 4.在程序中的第一次交換若使用 h(W|Text)而不是 W,則較具效率
37、,因為這樣可以減少符記1AB 中的位元數目。 6. 使用非對稱加密系統的憑證基礎機制 本節規定使用非對稱加密系統的個體鑑別機制。 備考:這個機制是由 Brandt-Damgard-Landrock 方法 (附錄 61, 8)所推衍出的。 6.1 特定的需求 為了在一群個體中使用此機制,則必須執行下列的步驟: (1) 每一個想扮演宣稱者或查證者的個體,必須具有產生隨機數的方法。 (2) 群體中的所有個體都必須對兩種密碼函數的使用達成協議;非對稱加密系統 11 CNS 13789-5, X 6010-5 及雜湊函數 (例如: CNS_(ISO 10118)所規定之一的雜湊函數 )的使用達成協議。
38、(3) 每一個想扮演宣稱者角色的個體,都必須備有一對使用於非對稱加密系統中的非對稱金鑰對。 (4) 每一個想扮演查證者角色的個體都必須備有方法,可以用來取得將被查證其身分的個體之公開查證金鑰的可信賴複本。 備考:關於如何取得一份公開查證金鑰之可信任的複本,並不在本標準的範圍之內。舉例來說,這可以經由公鑰憑證或其它與操作環境相關的方法來達成。 6.2 鑑別的交換 此單方鑑別機制包含下列介於宣稱者 A 與查證者 B 之間的資訊交換,並使得 B可以檢查 A 的身分。 圖 3 說明了本鑑別機制。其中以左右括弧的數字是代表之後詳細敘述的步驟編號。 由查證者發送給宣稱者之符記 (符記 BA )的格式為:
39、符記 BA =d 其中 d 是詰問。由宣稱者發送給查證者之符記 (符記 AB )的格式為: 符記 AB =D 其中 D 是回應。 (1) 個體 B 選取隨機數 r,這個整數由 B 秘密地保存。然後, B 計算 )(rh 的值。隨機數 r 的選取條件為 r| )(rh 必須落在AP 的定義領域之中。AP 是指 A 的公開加密轉換,而 B 可以透過下列式子計算詰問 d: )(|( rhrPdA= (2) B 發送把符記 BA = d 送給 A。 (3) 當收到符記 BA 後, A 會執行下列的計算。 (a) A 以下列方式回復 r 的值。 )()(| dSrhrA= 其中AS 是 A 的私密解密轉
40、換。 (b) A 由所回復的 r 值重新計算 )(rh ,若這個值並不等於由符記 BA 中所收到A (3) B (1), (5) (2) TokenBA (4) TokenAB 圖 3 可信賴公開轉換基底機制 12 CNS 13789-5, X 6010-5 的值, A 就中止執行此機制。若所計算的 )(rh 與由符記 BA 中所回復的值是一樣的,則 A 便設定 rD = 。 (4) A 發送符記 AB =D 送給 B。 (5) 當收到符記 AB 後, B 比較 D 與 r。若 Dr ,則表示此機制已 經失敗而中斷,且 B 會駁回 A 的身分。若 Dr = ,則 B 接受 A 的身分。 備考
41、1.其它資訊可藉由在鑑別程序之任何一個迭代的任何一個交換來發送。 2.B 選取隨機數值 r 的方法是很重要的,因為該方法必須能夠保證在 A 的非對稱金鑰對有效期間內,同一個 r 值被選取兩次的機率要非常地小到幾乎為 0。若同樣的 r 值被使用兩次,則在 r 值第一次被使用時,截取到 D 的第三者就能夠在第二次使用同一個 r 值,利用在 B 送出 r 後,將 D 以回應重送給 B,來假冒 A 的身分。然而,重複使用先前有效之亂數值 r,僅會使機制中的某一個實例失效。 3.建議本機制中所使用的私密金鑰對宜僅使用在鑑別的目的上,而不宜使用在其它的應用上 (例如,數位簽章的產生 )。若沒有遵循此建議,
42、則必須有適當的措施來避免查證者利用宣稱者作為 “簽章的 oracle”。例如,在此情況中可以利用把雜湊值 )(rh 設為某種特定格式的方法來達到。 引用標準: CNS 13789-1 實體鑑別機制第 1 部:一般模型 CNS 13799 資訊技術安全技術具訊息復原的數位簽章方案 CNS 14105-1 資訊技術安全技術雜 湊函數第 1 部:概說 CNS_(ISO 10118)(all parts) : Information technology Security techniques Hash-functions 相對應國際標準: ISO 9798-5 (1996): Information
43、 technology Securitytechniques Entity authentication Part 5: Mechanisms using zero knowledge techniques 13 CNS 13789-5, X 6010-5 附錄 1(參考性) 零資訊機制的準則 1. 簡介 就使用非對稱密碼技術的觀點來看,鑑別交換的潛在弱點是查證者有可能會濫用此機制來破解宣稱者的私鑰。當使用非對稱密碼時,宣稱者會使用其非對稱金鑰對中的私鑰來計算回應給查證者的詰問。藉此,查證者或許可以藉由巧妙地選取詰問,進而獲得宣稱者私鑰相關的資訊,而這些資訊是無法在僅知道宣稱者公鑰時得到的。
44、密碼訊息之交換的濫用可視為把宣稱者作為 oracle,使得宣稱者在查證者的要求之下,提供關於其私鑰的資訊。隱藏在零資訊鑑別機制背後的意義簡單來說,便是利用謹慎地設計該訊息而排除這種特定潛在的威脅。這是藉由保證查證者無法利用宣稱者作為 oracle 而做到。 2. 零資訊機制的需求 在關於現代電腦網路的應用之中,對於如使用者鑑別、不可否認等安全服務的需求,已廣泛地被認知並且穩定地成長。為了能使用這些服務,必須讓使用者能存取專屬於他的私密資訊,例如通行碼、用於數位簽章系統的私鑰等。 維持私密資訊的私密性對系統的安全是必要的,亦即不會將其資訊揭露給其它可能的對手。另一方面,私密資訊又必須被當作輸入資
45、訊,以供代表使用者計算及發送訊息之軟體或硬體模組使用。若未妥當使用這些資訊,私密資訊的秘密性可能會遭損害,或甚至會被完全地破壞。一個顯而易見的例子,便是主機 (host)識別使用者身分時,使用者將其通行碼以明文的方式發送給主機。這種情形將完全地暴露使用者的私密資訊,並且任何人只要偷聽傳送管道,便可直接假冒那些他已截取之通行碼的使用者。 這是太多資訊被傳送的一個例子。說明這個例子時,須注意從一個主機的觀點,只存在兩種可能性:使用者不是擁有正確的通行碼就是沒有正確的通行碼。在資訊理論的用語上,這表示真正需要傳送的資訊只有一個位元的訊息。因此傳送整個通行碼,是傳送了比所需之資訊要還要多了更多的資訊,
46、而這便是偷聽之實際問題的理論背景。 很自然地會問:是否有人可以針對私密資訊的使用而設計一個協定,該協定能夠精確地傳送所必需傳送的資訊,而且絕對不會多送?非正式說法,這正是零資訊機制所具有 的特性。例如,考慮一個情況是分配非對稱密碼系統中的一對金鑰),(AASP 給使用者 A,其中AP 是公開的而AS 是 A 秘密保存的。之後, A 便可以使用零資訊機制,使其能在不揭露任何其它事實的情況下,讓 B 確知他真的擁有相對於AP 的私鑰。因為 A 是被設計為對AS 有唯一存取權的使用者,所以此協定可以被用來做鑑別。在這種的情況中,零資訊機制的特性可以保證 B 無法得到任何有助於 B 可以在未來假冒 A
47、 的資訊。 藉由設計可由查證者單獨模擬的對話來達到具零資訊的特性。從宣稱者私鑰之特性的觀點來看,直覺上這證明了查證者無法從宣稱者得到任何訊息,亦即查證者 14 CNS 13789-5, X 6010-5 不可能靠自己從宣稱者的公鑰得到宣稱者的私鑰。這也表示觀察整個機制之訊息交換動作的觀察者 (observer)無法判斷宣 稱者是否參與在其中,或是判斷這些交換是查證者所自行模擬的。 零資訊機制在本質上是需要使用非對稱密碼技術。然而若要符合零資訊機制的嚴謹的定義,則實際上將無法實作出來。事實上,本標準對此 機制最佳的敘述應為:“秘密保護機制 (secrecy-protection mechanis
48、m)”。 然而,零資訊機制的觀念在密碼學上,是著名且已確立之一的理論,因此緣故我們在本標準使用這個用語。 3. 定義 進一步地看一個比較正式的定義,零資訊機制是發生在兩個當事人之間,宣稱者 A與查證者 B。宣稱者試著在使查證者相信某一段陳述是正確的。例如,這一段陳述可以是 “我知道相對於AP 的私鑰為何 ”。為了說服 B,宣稱者與查證者將維持一段時間來進行交換訊息的動作,之後, B 便能決定是否接受或駁回宣稱者所提供的證明。 這樣的機制需要有下述的三個基本特性: (1) 完全性 (Completeness)。若 A 的陳述是真實的,則 B 有非常高的機率會接受 A的陳述。 (2) 正確性 (S
49、oundness)。若 A 的陳述是錯誤的,則不論 A 如何證據, B 有非常高的機率會駁回 A 的陳述。 (3) 零資訊 (Zero-knowledge)。不論 B 如何動作,他只會得到關於 A 的陳述是否正確的資訊。更詳細地說,不管 B 在與誠實的宣稱者交談時接收到了什麼資訊,B 只可以得到如同完全不與 A 交談時可自行輕易計算得到的資訊。這個意思是說, B 可以自行模擬此一對話,產生一段看起來是如同與 A 實際交談而產生的對話。 4. 例子 考慮以下的例子是 Fiat-Shamir 方案 (附錄 63)的簡化版。這個例子裡有模數 n 及模 n 的數 y。在這個例子中, A 的陳述為 “我知道 y 在模 n 下的平方根值 ”。注意,若 x 是 y 在模 n 下的平方根,若且唯若 ynx =mod2。 A 與 B 的對話如下所示: 重複執行 t 次: (1) A 隨機地選取 r (12 nr ),並計
