TWI360990B - Method, apparatus, and computer-readable medium fo - Google Patents

Description

1360990 玖、發明說明： 【發明所屬之技術領域】 本發明一般係關於密碼學，以及更明確而言，係關於 密碼系統的一種同源運用。 【先前技術】 由於數位通訊已極為普遍，因此更增加相關通訊管道 之安全需求的重要性。例如，目前的技術容許使用者遠端 存取銀行帳戶、醫療記錄以及其他私人和敏感性資料。 密碼學已廣泛被應用於數位通訊的安全上。密碼學一 般係關於訊息的加密（或編密）和解密（d e c r y p t i n g)。利用秘 密訊息（例如金鑰）加密和解密。在不同加密.方法中，可利 用單一金錄或多重金錄.進行加密和解密。 一種常用的多重金鑰密碼系統為公開金鑰編碼系統。 在一公開金鑰系統中，傳送者可傳送加密訊息至取得利用 私密金鑰產生之已認證公開金鑰的接收者。如名稱所示， 公開金鑰可取自公開資源。此外，公開金鑰通常經過認證 以避免被偽裝攻擊。可例如利用可信公共檔案、線上可信 伺服器或利用離線伺服器和憑證在一可信通道上交換金鑰 的技術進行公開金鑰的認證。 在取得認證公開金鑰之後，傳送者以公開金鑰加密原 始資料而產生一種密文。特定的接收者則利用公開金鑰解 密該密文而取得原始資料。若無私密金鑰則無法解密該密 文。因此，僅擁有私密金鑰者可成功解密該密文。 5 1360990 對稱式密碼系統（例如串流式或區塊式加密）使用公開 金鑰的優點為在雙方通訊中僅需保密其私密金鑰（同時在 對稱式密碼系統中，雙方均保存該私密金鑰）。 一種現代公開金鑰加密系統為利用分佈於有限體上的 某種橢圓曲線（E Cs)。可利用源自橢圓曲線的一對已發佈值 做為公開金鑰（包括分佈於曲線上的點以及藉由曲線上簡 單乘法產生（即整數乘法）的相關公開金鑰）。利用曲線上雙 線配對進行認證。 一般而言，在維持類似的安全性之下，橢圓曲線和例 如RSA(Rivest、Shamir和Adleman公開金鑰加密技術）的 傳統系統比較為具有相當低通訊需求的加密系統。 目前沒有一種公開加密金鑰已被證明為絕對的安全。 因此，目前公開金鑰加密系統的安全性為根據一組數論問 題的困難度而定。 因此，目前亟需一種更具有安全性的公開金錄加密系 統0 【發明内容】 揭示具有公開金鑰加密系統的技術。更明確而言，為 利用同源阿貝爾變數（例如一維實例中的橢圓曲線）於公開 金鑰系統。例如，同源運用中可利用多重曲線取代單一曲 線以提供更安全的加密法。此技術可運用於電子簽名和/ 或身份認證加密法（IBE)。此外，同源運用可用於例如盲簽 名、層級系統，和其類似物。另外，亦揭示產生同源運用 l36〇99〇 的解決方案。 在一實施例中，其方法包括公佈一種對應於同源運用 的公開金鑰。此方法進一步包括利用對應於同源的解密金 輪（例如，為其雙重同源）進行加密訊息的解密。 【實施方式】 下列討論為假設讀者已熟悉加密技術。密碼學的基本

導論請參考CRC公司出版由A-MeneZeS，P.Van 〇〇rSCh〇t， 和S.Vanstone所著全名為，，應用密碼學手冊’’第五版（2〇(H 年8月）教科書。 下列揭示之改良公開金錄系統技術為根據多重橢圓曲 線（或通稱為阿貝爾.變數）。揭示在曲線間產生同源（戒排序） 的各種技術。公開加密可利用多重曲線取代單一曲線以產 生同源。此外，此技術可應用於相當短的數位簽章（例如’ 使用者鍵入或傳送於短頻寬管道上）和/或身份認證加密法 (IBE)解決方案（例如，可記憶公開金鑰）。短數位簽章亦可 透過整體的驗證增加其效率β 同源密碼系統之概論 第1圖為在一密碼系統中利用同源的—種舉例性方法 100的說明。一個產生同源（橢圓曲線或通稱為阿貝爾變數） 的步驟102同源可由接收方或另一方（如參考第5圖進一 步°寸⑽的^彳。單位）所產生。步驟102亦可產生和各產生之 同源對應的雙重同诉, 愿（將於下述進一步討論）。產生同源的 各種方法詳述如下。k 妨 ^ 此外，參考第3和第5圖將更為清礎’ 1 1360990 產生之同源可應用於公開金錄 u及已發佈之公開金鑰 (104)。傳送方或公信單位可發佈八 ^ A開金鑰（請看，例如第3 和第5圖之討論）。 々W π弟 傳送方然後利用加密金鑰加密 、或簽署）訊息（1 0 6 )。接 收方利用解密金鑰確認/解密步帮 _ . 6之加密訊息以判斷 該加密或簽章的可靠性（108)。在_ ^ 實施例中，利用 Weil 配對確認其加密訊息（如下述之认 ,)。然而，Weil配對僅 為用於確認或解密之配對的實例 _ £ 你雄始w ,上 一。例如，亦可利用其 他雙線性和/或非退化配對技術 iate配對及平方配對。 同源的概論 第2圖舉例性說明兩條曲 射β如m _ (如贿圓曲線）間的同源映 至曲線友 性 φ( * φ ·五1—心）被映射 在 垔问原Φ(當φ :五2—五丨）。 牧谷種貧施例中，密碼系統 —心為同源昧 純的同源運用中，當<ρ: & 原時’可使例如已知曲 同源曲飨 典線丑I產生一對（仏，£2) 4 ’而認為極不易構建任 源φ : β 11低特異性同源之非零同 1 4五2。因此，若總體斷裂.（ 息於多項4·、 农（疋義為容許任何其後訊 差異時，：時間内斷裂的計算法)和按實例斷裂之間存有 之離敢對則此時同源密碼系統之最佳已知攻擊較總體斷裂 計算法路或單純按實例攻擊之其他根據訊息離散對數 &所需的時間更長， 例如，> 戶允許亡 令牌認證系統（t〇ken system)下給予各別客 代理人可某二服務（其可能為低價值）的特殊簽章訊息， 。在電活上讀取客戶的令牌，因此其可為相當短的 8 1360990 簽章。其可利用足夠大的參數而使每次訊息攻擊的代價高 於可獲得的服務，並同時使總體的斷裂極為昂貴。 同源的詳述 域（field) it可被具g因數之特徵（characteristic) p所固 定並且具有一代數收歛厂。設五/灸為定義於域&上的橢圓 曲線以及五（A:)為定義於无上的群，並且設表示橢圓曲 線的函數域。同理，設1>]£或[«]表示五上的映射”_户 以及丑|>]表示映射的核心（kernel)。 同源φ :五丨―五2為一種傳送五1之單位元（identity element)至£2的非常數態。當存在該同源時，五1和五2可 稱為同源。若φ為具有係數大之定義方程式，則同源被定 義於»任何同源亦可變為群同態（group homomorphism) ’ 即φ(户十2)= φ(尸）+ φ(β)全部凡，其左手邊之加法為五1 的組律以及右手邊的加法為五2的組律。因此Φ之核心為 丑1的子群。 設丨，£2)表示從丑1至五2之定義於k的同源集。 你w〆五,，五2)以好表示之。任何同源Φ :五丨—五2 ’具 有雙重同源五2—^1而使： φ°φ = [ή\ρΛ 及彡。孑= [«]& ’ 而《 = d e g (φ)為同源的階》雙重·同源滿足標準性質· φ = φ'φ + ψ = φ·\·ψ、φ〇ψ=ψ°φ’\ίί\=\ή\ 在一實施例中，有限映射之φ的階可進一步定義為： 1360990 灸（五1)於域灸五2之回折（pullback)(由φ)所延伸的階，其9定 義於々。藉由核心的體積（假設函數域延伸為可分開）或上述 等式可輕易求得其值。因此，若其階為平滑（即(⑴ 的質因數小於或等於B)，則該同源為平滑曲線。橢圓曲 線五之自同態（endomorphisms)的//〇w(万五）集表示為 五WU);此集合具有下列定義的環構造： (φ + ψ)(/,) = φ(/5) + ψ(Ρ),(φ〇ψ)(Ρ) = φ(ψ(/>^ 通常，群//㈣（^』2)為一轉矩自由左£^(£2)模組和 右£«^£丨）-模組。當£l=五2 =五時’其豐富之代數構造： //㈣（仏，心卜五以（五）為無零因數和具有特徵零的環（非僅為 一模組）。 4 -實施例中，&可被視為-種格子：設£為定義於 某些域灸的憜圓曲線…五，和二次方程式假想域之 序的以W元數代數内最大序& i態。對任何兩條傭圓曲 線LE2而言，群為最多四個秩的的自由2模 組。當五以（五）大於Z時，可認定為五具有複數乘法。五以（幻 内對應於Frobenius自同態〜（χΡ，，）的因數被表示為 π’並且其滿足特徵等式X2-"Wx¥〇。摘圓曲線c的導 體為[£«ί/(£) : Ζ[π]]。

Weil配對

Weil配對e〆五[”]x五[«]—〜為—種具有灸内”ίΑ單位 根群之值的雙線性 '非退化映射。在_實施例中利用 Weil配對執行第i圖之步驟108的確認/解密。然而，weil 0 1360990 配對僅為可用於確認或解密的配對實例之一。例如，亦可 利用其他雙線性和/或非退化配對技術如Tate配對及平方 配對。Weil配對可滿足下述的性質： 〜〇^(Γ)) = Α(ί^)，：Γ)，其中 尽Η 此處，1(5^^(77))為£" 1上的配對計算，而e„(cp (51)，71)為 五2上的配對計算。注意兩條曲線具有扭轉點，其因而使 群序受到限制。由於根據Tate定理，當且僅當兩組點具有 相同序時£!(々）和五2(々）在A:上為同源，故並不會造成困擾。

Weil配對評估線性相依的全部輸入配對是否相同。因 此，其具有確保輸入點非為相互之純量乘積的優點。一種 方法為利用定義於有限域 A上遠大於 《 -扭轉點之全群 jE；2[»]s(27«Z)2的曲線定義於是上。此時，在1/«的序上 可忽略群五2[«]之兩個隨機元素為線性相依的可能性，故 Weil配對可獲得高可能性的非無效值。上述等式確保五! 上分佈的配對值可符合五2。 或者，可利用一種改良配對函數？（Λ2) = 〜（λ(Ρ)，⑺其 中λ為任何非純量自同態，而使户和λ(Ρ)為線性獨立和？（尸， 户）关1 »此種映射λ稱為£之扭轉或扭曲。 同源的產生 在各種實施例中，可利用各種方法構建高程度的同源 (例如，橢圓曲線或通稱為阿貝爾變數）以及其如參考第1 圖步驟1 0 2所討論的雙重同源。此處討論之短數位簽章及 ΙΒΕ密碼系統可依習慣發佈成對的值（Ρ,φ(户））作為公開金 1360990 鑰，同時評估構成私密金鑰的雙重多。 在一具體例中，其構造可摘要為：已知任何五，其具 有一種階（degree)為隨機分佈之構建同源£的演算法， 並且具有機率為~1/1〇8(幻的質數；已知任何曲線五丨，其具 有一種從五1至時間之隨機標的0(53)構建隨機B-平滑同源 的演算法；以及已知//〇_(£丨，£：2)内之丑〗、和兩條線性 獨立同源，其具有一種構建質數冪次同源的演算法（請看， 下述有關獨立同源的討論）。 複數乘法同源 若如前所述五1=五2及假設五1具有以判別式£><〇之假 想二冪次的複數乘法（CM)。可利用一種概率演算法產 生該曲線五！和一種大質數冪次五i之自同態φ以預估| Z)丨的 時間多項式》 1 ·計算判別式Ζ)的Hilbert類多項式//O(j〇。若尺代 表分佈於0上//0(义）的***域。 2.選擇//〆/)的任何根X及在具有不變量等於X之 C上構建橢圓曲線五。應注意五為'定義於數域Λ：上。 3 ·藉由A構建具有複數乘法的曲線五。利用展開 式上的線性代數可明確找出具有對應於同源而e £>^五之 係數欠的有理函數I(X，Y)。 4. 選取隨機整數cr和6直至α2-62Ζ)為質數。然後， 同源α + 將為具有質數冪次五的自同態。 5. 選擇任何尺之質理想Ρ及約化£和/模數户之系 數。假定五1代表五之歸約及及假定φ為α + 67^之歸約。 11 1360990 演算法的第 1〜3 步驟為丨£)丨内的決 間。如第4步驟所述，數域的質數定理指 機率為 l/log〇2-/>2£>)，故對大小為 η的 log(Z)n2)冪次試驗後可決定第4步驟。 所得自同態φ為一種質數冪次五,ί 和6時可僅利用有理函數/(X，Π以及純i Φ和其雙重多=α- 。此類同源φ可稱之 模組化同源 對任何質數/，模組化曲線义〇(/)可 冪次同源五五2。更明確而言，當且僅當 時义0(〇存在具有五1和五2為/-同源之性1 φ 丨(x，r)。 利用多項式Φι(υ)，任何五I可計ί 瓦2以及/冪次同源的一明痛多項 有反不變量之模組化多項式在I和F 1 可用於尋找其雙重同源。 操作上，由於這些多項式的系數極； 項式ΦΚΖ,Γ)進行實際的運算。具有較小 用不同但等效的多項式模型代替。估且二 模型的準確度，衍生自此方法的同源可身 (modular isogeny) ° 目前已知計算模組化同源的演算法i 的/值。由於已知曲線£l和五2的攻擊者' 為同源曲線並且在確定時將其還原，ί! ia 定性和多項式時 出fl2-62D的質數 整數和 6在 J自同態。已知α :乘法和加法計算 為一種CM-同源。 ^數化同構類的ί ¢,(7(^0,7(^2)) = 0 的多項式方程式 出其/-同源曲線 良方程式。由於具 -算中為對稱，故 .故可不必使用多 系數之X0(/)可利 :論用於此計算之 丨之為模組化同源 :常可應用於較小 Γ檢查各ί值是否 .利用較小系數的 1360990 模组化同源法本身並無法增加其安全性。然而，大平滑冪 次Π /的同源φ可設計出許多模組化同源（例如，選擇不同 的/)，並且可在不顯示中間曲線之下使用φ做為其同源。 可在任意點上估算φ的攻擊者仍可藉由計算五1的全部/-扭轉點並且觀察任何點是否被φ所消除而降低其質數/。 然而，在不易計算雙重同源的假設之下，攻擊者將無法計 算其所選擇之點的φ。為獲得較佳之測定，亦可利用純量 同源或CM同源將大而非平滑因數導入一執行中之冪次的 方法設計其獲得之同源。 線性獨立同源 在一實施例中，從五！至五2的互質冪次可得到線性獨 立的同源φ和Ψ。所以，線性組合αφ + όΨ為具有β和6兩 個變數的二次式α2知+ (多y +卿)+ 62朽/ 。應注意此二次式的 系數為整數，因為外系數為φ和Ψ的冪次並且中項等於 deg((p + T)-deg(cp)-deg(e)。由於二次式為原始形式，其通常 在α和 6變化於全部對（a,6)eZ2時可獲得無限大的質數 值。依此方法，可獲得許多大而非平滑（或偶質數）冪次的 同源五五2。亦可估算其結果冪次為非平滑的機率。 利用同源的短簽章法 在一實施例中，此處討論之技術可應用於極短的簽章 法中（例如，使用者鍵入或傳送於短頻寬管道上）。下述將 討論兩種簽章法，其部分根據同源以及橢圓曲線上配對的 數學性質。 14 1360990

Galois不變量簽章 假定/；„/&為冪次η之有限域的擴張。取一定義於〜 的橢圓曲線以及定義於◊的同源φ :五丨―£2，其中五2為 定義於~的橢圓曲線。在一實施例中，曲線丑2為定義於Ζ 而非定義於1的子域（subfield)，但其可使五2僅定義於一 子域。然而，基於安全上的理由，同源φ不可被定義於 的任何適當子域。此外，可根據各種例如上述所討論的技 術產生同源φ。 第3圖說明運用同源簽署訊息的舉例性方法3 0 0。此 方法包括下列的步驟： 公開金鑰。隨機選擇尸e尽(巧）以及發佈（Λ0)，其中 (戶）。應注意由於φ非定義於尸？，故户定義於尸？但0 非定義於。 私密金输。φ之雙重同源多。 簽章。假定//為一來自訊息空間至一組五2上扭轉 點的（公開）隨機曱骨文。已知一訊息 m ，計算 5 = (步驟304，其具有利用上述秘密/私密金鑰產 生的的簽章），其π為〆/>冪Frobenius映射以及其總和表 示橢圓曲線在五！上的和。為方便計，我們以7>(其代表’’ 微量”）表示運算子= 。輸出Se尽(巧）做為簽章。然 後傳送此簽章而被接收方所接收（分別為步驟 3 06和 3 08)。應注意 &,//；之 Galois 群為{1，π,…，π”·1}，故 5 為 Galois不變.量並且因此定義於F9。 驗證。假定e 1和e 2分別代表在£ 1 [ A：]和五2 [ A：]上的We i 1 15 1360990 配對。已知一公開金錄（·Ρ，0)和一訊息·簽章對（w，>5)，檢查 是否㈨)）（步驟310，其利用上述產生的 公開金鑰確認接收的簽章）。因此，有效簽章可滿足下列方 程式： ex(P,S) = et Ρ,^π'φΗ^ιη) =γΐβ1(Ρ,π'φΗ(ηι)) V /=0 J /=〇 =fl ei {^Ρ,^'φΗ (m)) = Υ\π'βι {Ρ,φΗ (m)) /=1 /=0 =Υ[π>^ρ)Ή{ηι)) = Y[^e2iQ，H{m)) /=0 /=0 同理，可利用於一基域（base field)之軌跡映射（trace map)，以縮短橢圓' 曲線（或更廣義而言對任何阿貝爾變數） 上的點。換言之，可利用輸出轨跡映射於橢圓曲線上（或更 高維阿貝爾變數），作為藉由利用較低域上資料縮短代表延 伸域上之相應點的方法。 多重橢圓曲線之簽章 另一種加強短簽章方案之強度的方法為利用多重公開 金鑰並將其加於結果簽章。可利用此改良的本身或結合上 述討論的強化Galois不變量。 參考第4圖，假設同源家族φ : 五，·和隨機甲骨文雜 湊函數家族為分別映射一訊息m至橢圓曲線五,上的一 點。其類似參考第3圖所討論的步驟。 16 1360990 公開金鑰。隨機選取尸e五並發佈尸，0，02,…，ρ„(請 看，例如 302)，其中！3, = φ,(Ρ)。 私密金鑰。同源φ ,·的家族。 簽章。對各訊息/«，m(*S)簽章為(請看，例 如3 04)。然後將簽署訊息傳送至接收方（請看，例如306)。 驗證。已知一（訊息，簽章）配對〇，S)，檢查是否 松，(請看，例如參考第3圖討論的步驟 3 10)。下式成立則屬於有效的簽章： e(P,S) = β[ρ,^φ(Η(πι))\ = Π^(Ρ^(//,.(^))) = Π^(β,^,(/«)) \ /=1 / /=1 ί=1 由於任何能破壞多重同源版本的人可藉由加入其所決 定的同源φ2,…，φ„將單同源版本轉換成多重同源版本，故 此系統被認為至少和僅使用單一同源者具有相同的安全 性。此外，對此類系統而言，任何可成功攻擊多重同源版 本者需同時破壞中1至φ„的全部單一同源。 具有同源的身份認證加密（ΙΒΕ)方案 第 5圖說明一種利用同源之身份認證加密（ΙΒΕ)的舉 例性方法 5 00。此橢圓曲線間的單向同源被認為可加強身 份認證加密（IBE)方案對抗計算迪菲-赫爾曼（CDH)的安全 性。身份認證加密（IBE)方案如下述所定義。 映射至點：定義某些曲線E的運算ID— 。更明 確而言，可計算並利用其定義一點。其可假設//具 有類似隨機甲骨文的行為。或者，可保存點之列表並將ID 雜湊入一串隨機權重值然後取其權重和。亦可假設具有一 1360990 個公信單位及一有限組的使用者，從各別的ID可計算出 相應的公開金鑰。在經過公信單位適當的鑑定之後各使用 者可獲得其私密金鑰。 公信單位的公開金錄：a e晃，/3 = φ ( α )。因此，公信 單位（或接收方的另一實體）可提供和發佈公開金鑰 (5 02)。若使用一扭曲；L ，可假設α =又（α)為某個點α的扭 曲影象。 公信單位的私密金输。一種有效的可計算$ 。 例如，從Β 〇 b至A1 i c e的加密資料可執行如下： A1 i c e的公開金输：具備Γ e £2 ，例如，由公信單位（或 接收方的另一實體）經圖對點（map-to-point)函數 ID — Γ(502)。

Alice的私密金鑰：S =多(Γ)。注意攻擊而迅速得到各 客戶的私密金鑰所費時間類似破壞整個簽章系統（如上 述）。因此，這些系統亦可稱之為兩層式（t w 〇 -1 i e r)系統。 由Bob加密。計算Alice— Γ(步驟504，其利用公開金 鑰的產生加密一訊息）。假定該訊息為m。選取一隨機整數 r。將配對傳送至Alice(506): [m ㊉ /f(e(泠，r r))，r « ] 由Α丨i c e解密。假定密文為[e，Γ]。在適當鑑定之後利 用公信單位（或接收方的另一實體）提供的私密金鑰（5 1 0) 解密（508)該被傳送的加密訊息。因此，其明文為： [c ㊉ α，幻） 18 1360990 被雜湊入加密步驟的工作量為： ei.fi，rT) =e^(a),rT) = ε(α,φ^Τ)) = β(α,Γφ(Τ)) = e(a,rS) = e{ra,S), 其等於被雜湊入加密步驟内的數量。以上述中之討論 代表其同源（例如’使用具有登入表的機率法）。 同源的指定 若同源為平滑，則其可由代表多項式計算之直線程式 獲得之小程度同源的組合表示。對過度延伸的重要曲線而 言’在一執行中僅需少數的輸入-輸出配對。 若及^£) = £«£)’可考慮免的有限延伸並且需要時可 指定該延伸》在一實施例中，藉作用於基域之有限延伸的 點群指定其同源。應注意二同源有些一致的延伸，但其較 大域内則不同。因此，其足夠在一組產生器S上指定φ» 通常’此群為循環’或約為|S| = 2。已認為不易找到產生器， 但可隨機選取S。 更明確而言，阿貝爾群五（幻（提示：灸為《元素的有限 域）和Ζ/wZxZ/wZ為同態，其中 = #五⑷衫丨讲以及此外 ”，分·1)。可利用Schoof演算法計算則=#£(幻並且 若之因式分解為未知，可利用隨機多項式時間演算法獲 得《。若户和β分別力和w幂次而使任何點可被寫成 + # '其被稱為梯式（echelon form)產生器並且其構建可 利用0(分2+Y演算法。 轉而看隨機選擇（Erdos-Renyi)，假定G為有限阿貝爾 19 1360990 群以及A，…，以為G的隨機元素。存在一小常數c，若 ^cMog|G|時，可使其子集和幾乎均勻分佈於G。更明確而 言，g,·可產生G。簡約表的大小，當群階為質數時可利用 其強化子集和的權重而非子集和。此可在損失小量參數下 延伸至任意階。 此外，可利用£(幻的構造獲得更詳細的資訊。可選取 隨機點尸,·，Η2並將其寫成乃=6戶+尽〇 。更明確而言，若矩 陣[」 / ]為可逆m 〇 d m (注意：《 | /«)，則可藉由Ρ;的線性組 b\ b2 合表示各個梯形產生器。若此發生時，{Λ·}可產生該群。 注意落於戶所產生之群内的機率（户1和/^2)為W·2。同理，6 所產生之群的機率（尸1和户2)為 《―2。因此，機率 (1-/τΓ2)(1-«-2) = 1+(#£)·2-(«Γ2 + «·2)均不發生上述兩個事件。 硬體的執行 第6圖為一般電腦環境6 0 0的說明，其可用於執行此 處所述的技術。例如，可利用電腦環境6 0 0執行上述圖中 討論之工作的有關指令。此外，所述之各實體（例如，第1、 3和5圖所述的公信單位、接收方和/或傳送方）可各自進出 此一般電腦環境。 此電腦環境6 0 0僅為計算環境的實例之一.，並且所使 1360990 用之電腦及網路架構的使用範圍或功能性並不受到任何的 限制。此電腦環境600之執行亦不需依賴在舉例性電腦環 境600中結合任何的元件。 電腦環境600包括電腦602内一般用途的計算裝置。 .此電腦602的元件可包括但不偈限於一種或多種處理器或 處理單元604(視需要可包括加密處理器或助理處理器）、 系統記憶體6 0 6以及連接包括處理器6 0 4至系統記憶體 606之各種系統元件的系統匯流排608。 系統匯流排6 0 8代表一種或多種類型的匯流排構造， 包括記憶體匯流排或記憶體控制器、周邊匯流排、繪圖加 速槔及一處理器或利用任何各種匯流排架構的區域匯流 排。藉由實例，此類架構可包括工業標準架構（ISa)匯流 排、微通道架構（MCA)匯流排、加強型工業標準架構（EISA) 匯流排、視訊電子標準協會（VESA)區域匯流排及週邊零件 連接；I面（PCI)匯流排亦稱為整合型（Mezzanine)M流排。 一般電腦602包括各種的電腦可讀取媒體。此類媒體 為任何電腦602可獲得的媒體，其包括揮發和非揮發性媒 體及可拭除和不可拭除媒體。 系統記憶體606包括揮發性記憶體形式的電腦可讀取 媒體如卩现機存取記憶體（R A Μ) 6 1 0 ,和/或非揮發性記憶體 如难讀記憶體（R〇M)612。電腦602元件間傳送資訊之基本 程序如起動時的基本輸出入系統（BI〇s)614為儲存於唯讀 記憶體（R〇M)612内。隨機存取記憶體（rAM)610 —般含處 理器單元604立即可及和/或可作業的資料和/或程式模組。 1360990 電腦602亦可包括其他可拭除/不可栻除揮發/非揮 發性電腦儲存媒體。藉由實施例，第6圖說一 n 裡謂取和 寫入不可拭除、非揮發性磁性媒體（未顯示）的硬碟驅動器 616 ; —種讀取和寫入可拭除、非揮發性磁碟62〇(如，，，= 性磁盤”）的磁碟驅動器618 ;以及讀取和/或寫入可栻除、 非揮發性光螺624如CD-ROM、DVD-ROM或其他光學媒 體的光碟驅動器622。硬碟驅動器616、磁碟驅動器618 及光碟驅動器622稭由一種或多種資料媒體介面分別 連接至系統匯流排6 0 8。或者’硬碟驅動器6 1 6、磁碟驅動 器618及光碟驅動器622可藉由一種或多種介面（未顯示） 連接至系統匯流排6 0 8。 磁碟驅動器和其相關電腦可讀取媒體具有提供電腦 602的電腦可讀取指令、資料構造、程式模組及其他資料。 實施例中雖然以硬碟6 1 6、可拭除磁碟6 2 0及可栻除光碟 6 24做為說明，但是應瞭解其他可儲存電腦存取資料的電 腦可讀取媒體類型亦可被用於執行此舉例性計算系統和環 境’例如磁性卡匣或其他磁性儲存裝置、快閃記憶卡、 CD-ROM、多樣化數位光碟（DVD)或其他光學儲存器 '隨機 存取記憶體（RAM)、唯讀記憶體（R〇M)、可電氣拭除式可 改寫唯讀記憶體（EEPROM)等等。 任何數目的程式模組均可儲存於硬碟616、磁碟62〇、 光碟624、ROM 612和/或RAM 610，其包括實施例中的操 作系統625、一種或多種的應用程式628、其他程式模組 630及程式資料632。此類操作系統625、一種或多種應用 22 程式628、其他 可執行全部或Λ程式模組630及程式資料（或其部分組合） . α卩分之支援分散式檔案系統的常駐元件》 便用者可細 之輸入裝置將1例如鍵盤634和指向裝4 636(如，，滑鼠，，） 638f , ^ β令和資料輸入電腦002。其他輸入裝置 038(未顯不特定酤 a ... 、置）可包括麥克風、搖桿、遊戲控制器、 侬星天線、串列線 —时 . t 、掃描器和/或其他等等。這些輸入裝置 稭由輕合系統稽、士 „„ „ ' ^丨排608的輸入/輸出介面640連接至處理 器單元 604，作亦叮 .r , '、可藉由其他介面及匯流排構造相連接’ 例如平行埠、漭& & ^ 戲皁或通用序列匯流排（USB) » 现視器642或其他類型顯示裝置亦可經由如視訊轉換 器644之介面連拉 主系統匯流排6 0 8。除監視器6 4 2之外， 其他輸出之週邊驴罢—1 、罝1括可經由輸入/輸出介面640連接 至電腦602的元杜 . 1干，例如喇叭（未顯示）和印表機646。 電腦 6 0 2可溫沾 邏輯連接至一台或多台如遙程計算裝置 之遠端電腦而操作於網路環境。實施例之遙程計算裝 置648可為個人雷脫 电細、手提電腦、伺服器、路由器、網路 電腦、對等裝置#甘 s；再他—般網路節點、電視遊戲機等等。 以手提電腦說明之客 心進程叶算裝置648可包括對應於此處所 述之電腦602的許客+入 T多或全部元件及特性。 電腦602和读迪帝 % %電腦648之間的邏輯連接稱為區域網 路（LAN)650和通用彦〇 %用贋域網路（WAN)652。此類網路環境常 見於辦公室、企業肉带 、門電腦網路、網内網路和網際網路。 當執行於LAN咖站 '码路環境時，電腦6 0 2經由網路介面或 轉接器65 4而連接5斤1 饮玉h域網路6 5 〇。當執行於WAN網路環 1360990 境時，電腦602通常包括一數據機656或其他在廣域網路 652上建立通訊的裝置。内建或外接電腦6〇2的數據機Gw 可經由輸入/輸出介面640或其他適當裝置連接至系統匯 流排608。應瞭解此網路連結僅為舉例性說明，可應用建 立電腦602和648之間通訊連結的其他方法。 例如所忒明之汁算環境6〇〇的網路環境中，電腦 的程式模組或其部分可儲存於遠端記憶體儲存裝置内。實 施例中的遠端應用程式658被健存於遠端電腦648的記憶 裝置内。《說明之便，m用程式和其他如操作系統之可執 行程式元件以不同區塊進行說明，但是已知該程式和元件 為於不同時間被置於電腦裝i 602的不同儲存元件内，並 且由電腦的資料處理器進行執行工作。 此處說明電腦可勃；和人& 』執仃扣令之—般内容的各種模組及技 術’例如可被一種或多種雷 . 裡電恥或其他裝置執行的程式模 組。通常，程式模組包括常規 ^ _ ,, π现程式、一般程式、物件、元 件、資料結構等，其可執杆胜^ ^ ^ ^ 寺疋的工作或執行特定的抽象 配該程式模組的功能。 種實作中可視需要結合或分 這些模組和技術在實作於 形式的電腦可讀取媒體。雷存於或被傳送通過某種 存…用J 電腦可讀取媒體可為任何電腦可 存取之可用媒體。在 括，，電腦儲存媒體，，及 電腦可讀取媒體的實例中包 卞钚體及傳輸媒體》β •，’電腦儲存媒體，，包括以任何方> $社t 讀取指令、資料处M 仃方法或技術儲存如電腦可 槟組或其他資料之資訊的揮發 1360990 隹和非揮發性、可拭除及不可拭除媒體。電腦儲存媒 括但不傷限於RAM、R〇m、EEPROM、快閃記憶體或 記憶體技術、CD-ROM、多樣化數位光碟（DVD)或其他 儲存器、磁性卡匣、磁帶、磁碟儲存器或其他磁性儲 置、或任何其他可用於儲存所需資訊並且可被電腦存 媒體。 傳輸媒體一般包括電腦可讀取指令、資料結構 式模組或其他在調變資料信號内的資料，例如載波或 傳輸機制。傳輸媒體亦包括任何資料傳送媒體。，，調變 信號，，一詞意指具有一或多組其特性的信號或以該方 變信號内之編碼資訊的信號。實施例中的傳輸媒體包 不侷限於有線媒體如有線網路或直接連線的媒體，以 線媒體如聲頻、射頻（RF)、紅外線（IR)、標準無線區 路（例如，IEEE 8〇2.llb無線網路）（WiFi)、行動電話 芽功能及其他無線媒體。電腦可讀取媒體亦包括上述 形式媒體的結合。 體包 其他 光學 存裝 取的 、程 其他 資料 法改 括但 及無 域網 、藍 任何 結論 雖然本發明以 < 予說明其肖造上的特性及執行 法’但是應瞭解附件申請專利範圍内所定義的本發明 分層系統等。 僅侷限於上述特定的特性 性和實例僅為執行本發明 的概圓曲線為一維阿貝爾 他運用中如盲簽章、 術亦可被運用於較高維的 或實例。反之，所揭示之特 的舉例性型式。例如，此處 變數。同理，同源亦可使用 同樣地，此處所述 數。 的方 並非 定特 时論 於其 之技 阿貝爾變 2S- 1360990 【.圖式簡單說明】 參考附圖進行詳細說明。在圖中，最 元件符號以元件符號最左邊的數字做為識 相同元件符號代表類似或相同的元件。 第1圖舉例說明密碼系統之同源運用 第2圖舉例性說明兩條曲線間的同源 第3圖舉例說明同源簽署訊息的利用 第4圖舉例說明多重曲線間的同源映 第 5圖說明利用同源之身份認證加 性方法。 第6圖說明可用於執行此處所述之技 境 6 0 0 〇 【主要元件符號說明】 1 0 0同源加密公開金鑰 102產生同源 1 04發佈利用同源產生的公開金鑰 106加密/簽署訊息 1 0 8確認/解密加密訊息 2 00同源映射 3 0 0多重曲線同源映射 3 00以同源簽署 3 02發佈公開金鑰 先出現於圖中的 別。不同圖中的 的方法。 映射。 〇 射。 密法（IBE)的舉例 術的一般電腦環 1360990 304提供簽章 306傳送簽章 308接收簽章 3 1 0確認簽章 5 0 0以同源身份認證加密 5 02發佈公開金鑰 5 04加密訊息 506傳送加密訊息 5 0 8解密傳送訊息 510提供私密金鑰 600電腦環境 6 02電腦 604處理器 6 0 6系統記憶體 6 0 8系統匯流排 6 1 0隨機存取記憶體 612唯讀記憶體（ROM) 6 1 4基本輸出入系統 616硬碟驅動器 618磁碟驅動器 6 2 0磁碟片 622光碟驅動器 624光碟片 625操作系統 資料媒體介面 應用程式 程式模組 程式資料 鍵盤 滑鼠 其他輸入裝置 輸入/輸出介面 監視器 視訊轉換器 印表機 遠端電腦 區域網路 網際網路 網路轉接器 數據機 遠端應用程式

2S

Claims (1)

1360990 _—η |o〇if4月(彳日修正本 第號專利案/〇〇年/月修正 _、;申請專刹範圍

1. 一種在密碼系統中使用同源（isogenies)之方法，其包含 以下動作： 產生一同源，其從一第一橢圓曲線映射多數點至一第 二橢圓曲線，其中該同源的產生為利用選自一群包括複數 (complex)乘法生成、模組生成、線性獨立生成及其組合的 技術； 發佈對應於該同源的一公開金鑰； 利用對應於該同源之一加密金鑰加密一訊息； 利用對應於該同源之一解密金鑰解密該加密過之訊 息，其中該解密係藉由雙線性配對（bilinear pairing)而執 行，且該雙線性配對為選自一群包括Weil配對、Tate配對 及平方配對的配對；以及 利用一軌跡映射以縮短在一阿貝爾變數（Abelian variety)上的點。 2.如申請專利範圍第1項所述之方法，其中該加密金鑰或 解密金鑰之至少一者為一私密金鑰，該私密金鑰為該同源 的一雙重同源。 3. 如申請專利範圍第1項所述之方法，其中該產生動作從 一第一橢圓曲線映射多數點至多數條橢圓曲線。 4. 如申請專利範圍第1項所述之方法，其中係利用阿貝爾 29 1360990 (Abelian)變數來運用該方法。 5·如申清專利範圍第1項所述之方法，其中該方法可簽署 該訊息。 6. 如申請專利範圍第1項所述之方法，其中該方法提供以 身份認證為基礎之加密❶ 7. 如申請專利範圍第丨項所述之方法，其另包括構成多數 模組之同源之動作’以提供該同源而不顯示任何中間曲線》 8.如申請專利範圍第1項所述之方法，其另包括利用於一 基域（base field)之一轨跡映射（trace map)之動作，以縮短 被該同源映射於一橢圓曲線上的點。

9. 一種在密场系統中使用同源（isogenies)之方法，其包括 以下動作： 發佈對應於一同源的一公開金錄，其從一第一橢圓曲 線映射多數點至一第二橢圓曲線，其中該同源的產生為利 用選自一群包括複數乘法生成、模組生成、線性獨立生成 及其組合的技術；以及 利用對應於該同源之一解密金錄，解密一加密過的訊 息，其中該解密係藉由雙線性配對（bilinear pairing)而執 1360990 行，且該雙線性配對為選自一群包括Weil配對、Tate配對 及平方配對的配對。 10.如申請專利範圍第9項所述之方法，其中該解密金鑰 為該同源的一雙重同源。

11.如申請專利範圍第9項所述之方法，其中該同源從一 第一橢圓曲線映射多數點至多數橢圓曲線。 12.如申請專利範圍第9項所述之方法，其中係利用阿貝 爾變數來運用該方法。 13.如申請專利範圍第9項所述之方法，其中該方法可簽 署該訊息。

14.如申請專利範圍第9項所述之方法，其中該方法提供 以身份認證為基礎之加密。 15.如申請專利範圍第9項所述之方法，其另包括利用於 一基域之軌跡映射之動作，以縮短被該同源映射於一橢圓 曲線上的點。 1 6 · —種在密碼系統中使用同源（i s 〇 g e n i e s)之設備，其包 Μ 1360990 括： 一第一處理器； 一第一系統記憶體，其連接至該第一處理器，該第一 系統記憶體儲存對應於一同源之一公開金鑰，該同源從一 第一橢圓曲線映射多數點至一第二橢圓曲線； 一第二處理器；

一第二系統記憶體，其連接至該第二處理器，該第二 系統記憶體儲存一加密過之訊息及一解密金鑰，其對應於 解密該加密過之訊息之同源，其中該解密係藉由雙線性配 對（bilinear pairing)而執行，且該雙線性配對為選自一群包 括Weil配對、Tate配對及平方配對的配對； 其中該加密過之訊息係利用一加密金鑰進行加密。 17.如申請專利範圍第16項所述之設備，其中該加密金鑰 或解密金鑰之至少一者為一私密金鑰，該私密金鑰為該同 源的一雙重同源。

1 8.如申請專利範圍第1 6項所述之設備，其中該同源從一 第一橢圓曲線映射多數點至多數橢圓曲線。 19. 一種其上儲存有指令之電腦可讀取媒體，當該等指令 被執行時係可引導一機器執行包括以下之動作： 發佈對應於一同源（i s 〇 g e n y)的公開金錄，該同源從一 32 1360990 第一橢圓曲線映射多數點至一第二橢圓曲線，其中該同源 的產生為利用選自一群包括複數乘法生成、模组生成、線 性獨立生成及其組合的技術；以及 利用對應於該同源之一解密金鑰，解密一加密過的訊 息，其中該解密係藉由雙線性配對（bilinear pairing)而執 行，且該雙線性配對為選自一群包括Weil配對、Tate配對 及平方配對的配對。

20.如申請專利範圍第19項所述之電腦可讀取媒體，其中 該解密金錄為一私密金錄，此私密金錄為該同源的一雙重 同源。 21. 如申請專利範圍第19項所述之電腦可讀取媒體，其中 該同源從一第一橢圓曲線映射多數點至多數橢圓曲線。 22. 如申請專利範圍第19項所述之電腦可讀取媒體，其中 係利用阿貝®變數來運用該動作。 Φ 23. 如申請專利範圍第19項所述之電腦可讀取媒體，其中 該等動作另包括利用於一基域之軌跡映射，以縮短被該同 源映射於一橢圓曲線上的點。 24. 如申請專利範圍第19項所述之電腦可讀取媒體，其中 3¾ 1360990 該等動作另包括構成多數模组同源，以提供該同源而不顯 示任何中間曲線。 25.如申請專利範圍第19項所述之電腦可讀取媒體，其中 該等動作另包括利用一軌跡映射以縮短阿貝爾變數上的

26.如申請專利範圍第19項所述之電腦可讀取媒體，其中 該等動作為簽署該訊息。 27.如申請專利範圍第19項所述之電腦可讀取媒體’其中 該等動作提供以身份認證為基礎之加密。 34