[发明专利]无需事先分配通讯密钥的密钥信托系统与方法

说明书

本发明系有关于一种密钥信托系统(Key Escrow System：KES)，特别是有关于一种无须事先分配通讯密钥而建构成使用公开密钥的密钥信托系统。

密钥信托系统(Key Escrow System：KES)是美国政府为了保障个人隐私与预防社会犯罪行为的需要，而提出的一种通讯系统。在1993年4月美国政府宣布一个新的加密(encryption)技术，称为密钥信托系统(Key Escrow System：KES)。密钥信托系统(KES)的技术，是为了兼顾个人通讯隐私和对犯罪行为的预防。在1994年2月，美国政府宣布一个密钥信托系(Key Escrow System：KES)的标准，称为信托加密标准(Escrow Encrypting System：EES)。这种信托加密标准包含了一种对称性加密演算法(symmetric encrypting algorithm)：SKIPJACK演算法，以及包含在免干预(tamper-free)芯片上的一种密钥信托演算法(key escrowalgorithm)。这种信托加密标准的安全性，要依靠免干预(tamper-free)芯片的实体保护。而且自从信托加密标准公之后，SKIPJACK演算法的安全性就一直被各方所质疑。

由于美国政府所提出的密钥信托系统(KES)之安全性，是依靠不能调整的硬件设备，和保密的SKIPJACK演算法所建立的。假设使用者A端的免干预装置(tamper-free device)是芯片A，储存在芯片A中的信息包括A的使用者确认信息(user identifier：UIDA)、A的唯一密钥(unique key：KUA)以及A的团体密钥(family key：KF)。其中A的使用者确认信息(UIDA)是用来确认使用者的信息，而A的唯一密钥(KUA)是此不能调整的硬件设备之唯一密钥(unique key)，而且此唯一密钥被分成两个部份，分别信托于个别的密钥信托机构(Key EscrowAgents)加而A的团体密钥(KF)则是和此不能调整的硬件设备同一族群(group)之硬件设备，所共同拥有的密钥。团体密钥(KF)和唯一密钥(KU)是储存于芯片内。

这种密钥信托系统(KES)的结构图示于图1A中，假设使用者A100要和使用者B101通讯，一开始，使用者A100和使用者B101以一个密钥分配协定(keydistribution protocol)来沟通而让使用者A100和使用者B101获得一个开启密钥(session key：KS)，然后使用者A100输入信息(massage：M)和开启密钥(KS)到芯片A102。芯片A102产生一个法律授权存取单元(LEAF)，和一个初始向量(initial vector：IV)。然后使用者A100将法律授权存取单元(LEAF)，和一个初始向量(IV)随密文(ciphertext：(M)ks)一起送到芯片103上。其中密文(M)ks代表用SKIPJACK演算法对信息M以开启密钥KS加密。法律授权存取单元(LEAF)的结构如第(1)式所述：

LEAF＝((KS)_KUA，UIDA，EA)_KF  (1)

其中  EA＝f(UIDA，KS，IV)    (2)

其中f()是一个保密的单向哈希函数(classified one-way hashfunctlon)，法律授权存取单元(LEAF)是由芯片A102的加密/解密装置113(图1B中)所形成的。获得储存于芯片资料储存装置110中的芯片A之唯一密钥(KUA)、芯片A之使用者确认信息(unique identifier)和芯片A之团体密钥(KF)之后，加密/解密装置113依据第(1)和(2)式产生一个法律授权存取单元(LEAF)和一个初始向量(IV)。然后加密/解密装置113以开启密钥产生装置111所产生的开启密钥(KS)，对信息(M)加密以产生一个密文(M)_KS。然后由传送装置112将密文(M)_KS送到使用者B101。

当密文(M)_KS由芯片B103收到之后，参考图1B，芯片B103通过其传送装置112，以箭头135和133的方向传送所接收到的密文(M)_KS，并传送到编/解密装置113，且立即以团体密钥(KF)对法律授权存取单元(LEAF)解密。在确认验证元(EA)之后，芯片B103可以用事先和A沟通所得的开启密钥来解密而获得原文M，至此完成使用者A和B之间的通讯。