【毕业学位论文】（Word原稿）使用离线半信任第三方公平交换协定之研究-義守大學资讯管理研究所

义 守 大 学 资 讯 管 理 研 究 所 硕 士 论 文 使用离线半信任第三方公平交换协定之研究 究生：阮健锡 指导教授：张超盛 博士 协同指导：王智弘 博士 中华民国九十二年六月 I 使用离线半信任第三方公平交换协定之研究 摘要 1998 年 人提出了一种加密讯息作为签章的凭证 (a 概念， 不会暴露出该签章。 人并因此而发展出了使用离线受信任第三方 (为中介方的签章公平交换协定。 本研究系分别针对利用单一离线半信任第三方 (或多重离线半信任第三方 (为中介方的型态，提出了新型的公平交换协定。具体作法是改良了 之从原先对签章的加密扩大成为能够对所有的秘密加密，本研究称之为可公开验证的隐藏内容 (并因此而发展出更有效率、安全性更高的使用离线半信任第三方的公平交换协定。 n 1998, et a a It is to an is a s on a et of TP in We it of is By we or 谢志 首先必须要感谢的是王智弘老师，无畏本人资质愚劣，于当初硕士班新生寻找指导教授时慨然允诺，在论文实际的研究点和面上给予最关键的方向指引，是本人得以完成论文的最大恩人。接着感谢协同指导张超盛老师，在日常生活及学习上扮演亦师亦友的角色，于论文撰写上给予诸多指导及建议，功不可没。感谢义守大学资管所所长王天津主任两年来的教导，提供研究生良好的学习环境。感谢师父的师兄陈建源老师于课堂上精辟的讲解，使我研究功力有如精进一甲子。感谢陈彦成学长与我在论文上的互相切磋，容忍我对论文格式的无知，也在两年的研究生活中带领我 走过仿徨的岁月。感谢薛智诚学长及吴文荣 (小P)、曾耀贤、郑胜文这几位隔壁资工所不同窗的好友，能与我在学业与生活上相互砥砺，最后一起顺利毕业。 感谢父母与家人的付出与体谅，提供我良好的生活环境，没有经济上的负担与压力，得以顺利完成硕士学位。其他需要感谢的人还很多，不及备载。诚如陈之藩所言：要感谢的人太多了，就感谢天吧！。本文匆促付梓，郭公夏五、颍书燕说、断简残编、疑信相参之情事难免，脱落错误之处所在多有，尚祈读者先进不吝指正 (但是可以的话还是尽量不要 )。谢志过于冗长，本应有所删减，但由于考量到可能是全文唯 一具有阅读价值的篇章，敬请读者容予赘述。在人生的路途上，历经数次的失败、困扼、冲击与责难，终能以审慎而乐观、淡然而诙谐的态度，面对未来更艰巨的任务与挑战。最后愿以本人的座右铭得失审之于己，毁誉听之于人、成败安之于数与所有人共勉之！ 目次 摘要 谢志 目次 图次 第一章 绪论 1 2 4 4 第二章 文献回顾 6 6 10 12 12 12 14 14 14 15 第三章 使用单一离线半信任第三方之公平交换协定 16 16 V 验证的加密讯息 (定义 18 19 19 22 23 开金钥密码系统 23 23 时的25 证 25 25 26 第四章 使用多重离线半信任第三方之公平交换协定 27 27 验证的加密讯息 (定义 29 效率之使用多重 离线 的29 备最大安全度之使用多重离 线 29 容参数之比较 30 31 效率之使用多重 31 31 33 效率之使用多重 34 34 37 39 开金钥密码系统 39 验证的秘密分享 (39 公开验证的秘密分享 (40 描述 41 41 42 证 43 43 43 第五章 新协定之应用 45 46 46 48 51 51 51 公平交换场景中之应用 53 第六章 结论与未来工作 54 54 55 参考文献、书目及连结 57 图次 图 2使用半信任第三方的公平交换协定示意图 . 11 图 3使用单一离线 程图 . 21 图 3用单一离线 . 21 图 4有效率之使用多重离线 . 32 图 4有效率之使用多重离线 协定的纷争解决流程图 . 33 图 4具备最大安全度之使用多重离线 . 36 图 4具备最大安全度之使用多重离线 . 37 图 5电子商务买卖关系图 . 46 图 5线上软体购买须知图 . 47 图 5公平交换应用于线上购买软体的执行流程图 . 49 图 5公平 交换应用于线上机票订购的执行流程图 . 52 1 第一章 绪论 电子商务源于 20 年前的专用增值网路和 应用，在 商用推动下电子商务得到迅速发展。由于和网路密不可分，电子商务表现出了资讯化、虚拟性、全球性和社会性等和 关的特征。具体来讲，电脑网路系统是融合数位化技术、网路技术和软体技术为一体的综合系统，而电子商务的进行须通过电脑网路系统来实现资讯交换和传输，因此资讯技术发展推动了电子商务的在技术、安全和模式上的进步。建立在网路技术基础上，电子商 务绝大部分的活动和交易是数位化的，并且在 形成开放的、不受地理限制的虚拟的电子市场，完成过去在实物市场中难以实现或无法完成的交易，这正是电子商务在现今能非常发展的根本所在。 然而在电脑网路上的不论是商业或非营利性质的交易行为，因为透过公众网路的传播，虽然有着最大的便利性与最少的执行媒介成本，但也因为这样的开放性与不可预测性，因此如何在这样的环境下确保交换的公平性与安全性便成为一大课题。 自从最早的公平交换技术的发展尹始，最主要的课题便是要保证双方公平交换的公平性，在文献上有数种公平性的定义被 提出来 1,15,19，最好的、最著名的公平性定义是由 这位学者所提出，区分出从弱公平性到强公平性的等级。由 的定义延伸而来，公平交换协定的公平性定义应该有着以下由强而弱的层级性表现： 6F：公平性可以被系统自动保证，而不必与第三方做进一步的合作 2 5F：公平性可以被系统自动保证，但最终必须与第三方合作 4F ：藉由提供补偿给遭 受不利条件的一方，系统可以自动达成公平性 3F：公平性只能在系统外部受到保证，而不必与第三方做进一步的合作 2F ：公平性只能在系统外部受到保证，但最终必须与其他方合作 1F ：藉由提供补偿给遭受不利条件的一方，公平性只能在系统外部达成 0F：没有任何公平性 4F 到 6F 被视为比其他的公平性等级更强，因为冲突可以被系统自动解决，而不需要后续的外部纷争。6定义的强公平性。虽然5F 则对应到 设计周全的公平交换协定至少要达到 4F 等级以上的公平性，即使在最糟糕的情况下，仍然可以由系统达成最基本的公平性。3全性方面可能也有很大的漏洞。在最差的情况下，本研究所提出的公平交换协定能够达到 4F 等级的公平性，在系统内满足双方交换时最基本的公平性需求。 本论文研究的重点着重在开发出新的公平交换协定，尝试以提 供新协定可行性的理论基础，来证明的确存在有更具效益、更具安全性的新型态公平交换协定，以作为设计更贴近人类日常生活、更便利且易于使用的虚拟电脑网路上公平交换系统之依据。 3 究背景与动机 在公平交换技术发展日臻成熟的后期，由 学者在 1997 年 13所提出的使用半信任第三方的公平交换协定，虽然突破了在此之前公平交换的运作需要完全信赖第三方的限制，然而因为该文献所提出之协定所使用的半信任第三方是属于以 易形成通讯负载的瓶颈，且一旦该中介方无法提供持续的运作服务时 ，不但造成交换双方的不便，也容易造成安全上不利的因素，例如使得作弊的一方得以逃脱无责。 之后由 学者在 1998 年 4所提出的使用离线 发展出的公平交换协定，是第一个实现了在离线的环境下使用 为中介方的公平交换协定，不但更贴近人类社会运作的模式，也改善当使用线上式 这仍然不够好，在研究的过程中，本研究思考是否有结合半信任第三方的特质与在离线环境下运作模式的可能？在公众网路的小额交易时，为了保障公平性，是否真的需要有公信力但必须付费的第三方机构来作为中介方？是否 有可能委请网路上的随机成员，也就是所谓的好心的陌生人来为双方做公平交换时的中介方，且只有在纷争产生时才需要涉入解决，以避免双方交换的资讯被意外地外泄？ 为了实现以上诸多假设的理想状况，于是朝着将这两篇文献的优点结合的方向研究，并利用 详后述 )这一演进创新的概念，终于完成使用单一离线半信任第三方公平交换协定的研究 在完成了单一离线半信任第三方公平交换协定的研究之后，本研究也对公平交换的环境作了诸多种种的假想应用情况，例如使用具公信力的机构作为交换时的 第三方理论上虽然诚实可靠，但仍然需要承担公众网路的不确定性与鸡蛋放在同一个篮子里的风险，且在网路软硬体不断发展之下，必然能达到最便利人类生活的方式，也就是说，在公众网路上的大额交易次数会愈来愈多，交换双方对于交换时的安全性与公平性自然更加的要求，基于这样的想法，本研 4 究想到了何不以增加第三方数量的方法来增加交换时的安全性、公平性与稳定性，虽然采用的成本无可避免的也会跟着增加，却提供了在交易风险与履行保证之间最大的保障。 使用多重离线第三方做为双方交换时的中介方便是在这样的研究背景下所发展出来的公平交换协定。 本研究以一般化的表示方法呈现出在使用多个 (大于2)离线第三方时，协定该如何运作的流程，同时设计出两种不同需求时可采用的协定。 究方法 在 4文献中，将签章以公开加密系统加以隐藏的形式，然后制造出凭证，据以说服对方该隐藏内容确实为我所持有欲交换的原始秘密。这样的机制虽然是一大创新，但仍然必须在完全信任 研究的过程中，便针对这样的机制加以改良扩大至适用所有欲交换的秘密内容，而不只限制在数位签章的交换上；同时在交换时双方的计算动作上予以设计，使之 能再得以突破在离线的环境下应用半信任第三方作为新协定的中介方。 本研究所提出的新协定基本上架构在 开金钥密码系统这个执行的环境中。 一种植基于解离散对数问题的公开金钥密码系统，包含了加密与签章演算法。使用在新协定中关键的 制则是由 7的纳而来，对于使用单一第三方与多重第三方的公平交换协定，其入与验证的函数皆不相同，在这方面因为可资参考的文 献不多，所以本研究延伸了 者的研究，在细部上予以创新，成为所谓的 然后应用到开发出的新协定之中。 文编排顺序 本论文剩下的部分编排顺序如下：在下一章首先回顾公平交换协定的历史 5 沿革与发展，同时探讨促成本研究得以完成最重要的三篇文献。在第三章开始介绍本论文所完成的第一部份的研究，即利用单一离线半信任第三方作为中介方的新型公平交换协定。接着在第四章叙述本论文所完成的第二部分的研究，也就是使用多重离线第三方作为中介方的公平交换协定。在三、四两章 里有本研究对新协定详细的描述并提供了实作上的理论基础。接着在第五章，提出了这些新协定可供应用的场景。最后在第六章有本研究的结论与对未来工作的建议。 6 第二章 文献回顾 史发展 在今日的电子商务环境中一个重要的议题是如何让彼此潜在不信任的双方，以有效率及公平的方式做电子资料的交换。例如透过网际网路这类通讯媒介所完成的电子契约签订、电子邮件的递送认证及电子货品的公平买卖。 公平交换技术的发展，在同步秘密交换 (渐进式秘密释放 (一贯脉络中已有一段时日的研究251013141621。同步秘密分享的方法是假设有 A、 B 两方各自持有秘密 a 与 b，这里的 a 和 b 是一组 n 个位元数位化的字串。接着更进一步假设双方有意愿彼此交换这两个代表某些数值的秘密。同步秘密交换通常如以下的流程：首先 以某些预先定义过的函数 ()f 和 ()g 来交换 ()这种特性下 )b ， )a 。然后 以 a 与 b。这样的公平交换协定若要证明其实用性，需要满足两种需求： 每个被送出位元的正确性必 须被每个接收者所检查以确保他 /她所收到的不是垃圾； 在协定执行期间，双方为了得到彼此剩余秘密所需要的计算能力在任何一个阶段必须要大致相同。若双方拥有相同的计算能力，则以上植基于相同计算复杂度的公平性定义才有意义，但通常这样的假设都是不切实际而且不受欢迎的。以上方法的另一项缺点是交换时需要双 7 方许多回合的互动。此外，这样的方法永远会有一个位元的不公平性存在；所以它们并不能保证完美的公平性。 之后又有另一种利用机率的方法使用在交换契约上之签章的场景 722，这里的 任择一方增加其保证电子契 约为有效的机率，也就是逐步增加在契约上之签章的有效性到一双方都能接受的程度以上。这样的方法移除了需要双方都具备有相同计算能力的缺点。然而，这仍然无法提供完美的公平性，因为其中一方永远会有比对方在契约保证有效性的机率上占有一小部分的优势，而且仍然需要许多回合的通讯。 基于上述理由，近期公平交换的研究已由早期的完全没有受信任第三方的(介入，到今日使用 234的中介角色，以确保公平性及产生纷争的求助及仲裁方。 用于公平交换的概念在 11首先被提出来，在公众网路上的 秘密交换 (如数位货币交换其他有价值的资讯 )所产生的主要问题是缺少交换的同步完成性，如此便产生对一方暂时的优势，而然后可能停止通讯。使用公正的第三方可克服这个问题， 依运作方式的不同， 第一种以线上的受信任第三方 (基础的公平交换协定如 1528。以 A 与 B 之间扮演中介者的角色，也就是 A 与 B 发送他们的资料给 后将资料转送给接收方。这很直觉，设计理论也很简单。 早期使用 中介的公平交换一旦产生纠纷时，该如何采取何种仲裁动作的认定呢？在交换时 会开始收集包含交换双方的身份、传送的讯息内容、时间和日期等等作为记录及纷争解决时的依据。所依靠的便是不可否认的认证机制 2829。利用私密金钥将欲传送之讯息加以签章，使得发送方、接收方或 成公平性的破坏。 8 线上式 为受信任的第三方，必须在双方或多方交易时永远保持涉入，简单的说就是 然后再分配所有的物件到应到的交换方去。这样做的好处是可以完全信任 即所有交换方均收到欲接收之物件，或所有交换方均无收到欲接收之物件 )，而不用管其他交换方是否行为不当。 公平性，但也有着更难以克服的缺点。也就是线上式 与交换的双方或多方其交换速度取决于 讯网路之稳定度、硬体计算能力 等等因素。再者，这样的运作方式不甚符合人类日 常的生活习惯，因为大部分人交易的行为皆是诚实而不愿产生纷争的，因此而有另一种更有效率且贴近人类真实社会运作的机制产生，也就是使用离线 627作为所有交换方的中介方。 想象一下吾人在日常生活的交换活动：例如我们拿着货币要交换物品，只要双方同意即可交换，双方拿到应收之物件即是交换完毕。现实上我们不需要有第三方看着我们交换是因为乐观的假设交易双方都是诚实的交换方，等到发生纷争时 (例如收到伪造的货币或物品品项不符等 )，此时我们才需要第三方来为我们仲裁解决纷争。网路上的使用离线 日常生活交换的基本原理类似，但当然，考虑的因素更多所以也复杂许多。 离线 换方在交换时并不会主动涉入，交换方若交换行为皆良善无不当行为，则 了交换方在交换之前彼此同意而所指定的 皆完全不涉入交换的过程。然而一旦交换的过程产生纷争 (例如某一方产生不当行为 )，此时居于弱势的一方便可向 证整个交换结果的公平性。离线 仍然不够方便，网路上的交换双方或多方在交换前必须达成协议，事先指 定一个 后才进行交易，事后无论交换成功与否，皆须付一笔服务费给 于小额交换或对于公平性不甚要求的交换方而言，这是一种额外的负担及成本，因此而有半信任第三方或中立方 9 (1718作为中介媒体的机制产生。 半信任中立方可以在一个接着一个不同状况的基础上做选择，并且可以在公平交换的过程中请求其协助。然而，当半信任中立方为确保交换的公平性而受信任时，实际上它是 不受到包含在交换中有价值物本体 (如契约、签章或付款等 )的信任。这表示只要其他参与方保持诚实，恶意的半信任中立方就无法作弊。 如前所讨论，依运作的方式不同，本研究也假设 为公平交换之中介方，并不是针对其对交换内容 (即欲交换之物件 )的信任保证 (例如对双方之交换内容做不当用途或在不可抗力事件情况下被泄漏 )，而是信任其对双方资料流交换的传送保证 17，因此可以在完全隐密连 在文献的探讨上， 有 种运作模式 17，在其余文献中均未发现包含以使用 此本研究接下来会分别介绍由 997年 17所提出的使用半信任第三方的公平交换协定，和由 998年 5所提出的使用离线 及由 996年 24所提出的可公开验证的秘密分享。本论文受到这三篇文献的启发而能完成最后的研究，实现了全新的公平交换机制。 10 用半信任第三方的公平交换 由 997年所提出之利用半信任第三方作为双方公平交换时的中介方，因此而发展出来的公平交换协定，突破了以往在研究公平交换协定时往往需要完全信任中介方才能做公平交换的窠臼。所谓的半信任指的是该第三方本身有可能作弊，但假设无法与主要交换的任一方产生共谋。也就是说，由交换双方及中介方所组成的三方中，任何一方所引起的纷争不会让产生纷争者 (或其他人 )得到任何对于交换的秘密有用的新资讯。既然第三方不需要完全被信任，第三方甚至可以是网路上的随机成员。这种藉由好心的陌生人所完 成的公平交换，提供了在大型公众网路上足以吸引人的另一种新型态安全性的选择。 今假设在初始状态中 X， Y。他们希望借着半信任第三方 平地交换两个秘密金钥。更进一步假设三方都知道某一单向函数 f，且存在一可以有效率计算的函数 ( , ( ) ) ( )F x f y f x y ，让 X 知道 f( f(该协定工作的原理即是在 之间使用 212分享 后以同样的方法在在 X 与 Z 之间分享 协定开始后的第一个步骤， X从 f的 x 然后送给 Y； y 送给 X。接着在第三个步骤， X 如果确实收到 1y 的话，就会将111( ) , ( ) , , ( )X Y f K K x f y送给 Z；同样的在第四个步骤， x 的话，就会将 111( ) , ( ) , , ( )Y X f K K y f x送给 Z。如果 Z 收到了从 X 来的, , ,X X X X ，以及从 Y 来的 , , ,Y Y Y Y ，那么 Z 就开始验证是否 11 ( , )X Y F X Y 且 ( , )Y X F Y X 。如果都正确，则 Z 送出 Y 给X、送出 X 给 Y。 图 2用单一线上半信任第三方的公平交换协定示意图 如该协定的名称所示， 和 /或 Y 随机所选择，除非 X 或 Y 可以勾结在网路上的随机成员，否则便可以藉由 Z 的协助完成 X 与 Y 间的快速公平交换。如果 会发现这个情况，然后可以重复协定的执行。当协定执行完毕双方交换成功后，双方或任一方甚至可以给该第三方一些小额的奖赏，使得在公众网路上被选择充当半信任第三方的诱因大幅增加。 然有着方便取得及较佳的安全性，但仍然不够贴近人类真实的生活，交换双方其实可以不必依靠第三方全程的参与，而仍然可以完成公1) , ( ) , , ( )X Y f K K x f y Y 1 Z Y 111( ) , ( ) , , ( )Y X f K K y f x , ,X X X X , ,Y Y Y Y , it ( , )X Y F X Y , ( , )Y X F Y X X 12 平交换的动作，本研究便是 从这样的着眼点而假设 后于理论上证明确实存在了这样的系统。 用离线 用离线 由 998年所提出的该协定，是第一个使用了离线的 保证了数位讯息的真正公平交换。 在该协定中引进了一种新的概念，称为加密讯息作为签章的凭证(a 作为该公平交换协定中 基本的组成区块。 用来证明一加密过的讯息是某人在一公开档案上的签章而不会暴露出签章本体。 该协定运行的基本概念是：如果由 然后利用 加密的动作产生 接着计算出 来证明 密过的密文而不会暴露出 体。接着 的 用该篇文献所导出之公开验证演算法，输入 其他已知的公开参数后验证是否符合一致性。若答案为符合，则 后利用数位签章系统中的验证演算法检查 B 的签章是否正确，若正确，则 A 直接送出其签章 在最后的阶段， 使用 效，则B 接受 A 的签章，并结束协定的执行；若 B 没有收到任何东西或收到错误的， B 带着 请求纷争解决。 认 B 的身份后利用其密钥打开 到 送给 B，然后也将 送给 A，完成 13 本研究中可验证的加密讯息 (是与类似的概念，然而不同点在于 只能针对签章做加密隐藏的动作，而 够对所有的秘密 (例如 )做隐藏的动作，理论上来说，可以将双方欲交换的内容都视为秘密，然后运用本研究所发展出的使用离线 本研究所发展出的协定不仅扩展了 用途，同时更将其所使用的离线式 但具备相同的协定执行效益，而且更大幅增进了双方交换时的安全性。 14 公开验证的秘密分享 (可公开验证的秘密分享是由秘密分享与可验证的秘密分享逐步演进变化而来，要探讨 不能不先了解其一脉相承演化的历史。在这里本论文会引出每个 兴趣的读者可以依照本论文在最后所列出的参考文献加以索引细究。 密分享 (秘密分享 9,23是一种可以将秘密分解成不同的片段，称为 方法，然后将这些 得只有他们其中的某个群组可以复原出秘密。第一个秘密分享是 属于门槛的方法，也就是只有超过某个数量的参与方所组成的群组可以复原出原始的秘密。 验证的秘密分享 (其中一个问题是， 要各参与方送回 供组合，却送出错误 一个问题是发起人本身如果作弊将错误的 么会使得不同群组复原出不同的秘密。 8 是为了对抗作弊的参与方或发起人以 达到安全性而提出来的一种解决方案 12。 一种具备额外的可能是互动式或非互动式验证演算法的后的目标即是若所有 参与方的 所有群组会复原出相同的值；而且若发起人是诚实的，则该独一无 15 二的值便是最初的秘密 公开验证的秘密分享 (在上节所述的 法中，参与者也只能验证他自己本身所持有 有效性，而无法知道其他的参与者 (与这些参与者合作可以复原出秘密 )是否也收到有效的 样的问题可以以可公开验证的秘密分享机制来解决。在 法中，存在有一公开验证演算法 如果有一组加密过的检查之后，结果是 则这一组诚实的参与方便可以将这些 与方甚至可以在尚未收到他们的 行 以以两种方式进行，如果验证时必 须与发起人做数个回合的互动式沟通，称为互动式 ( 若 本不需要与发起人互动的话，则称为非互动式 ( 16 第三章 使用单一离线半信任第三方之公平交换协定 在本论文的第二章第 2节与第 3节讨论到使用 论文研究成果的前半部份即是融合这两种不同运作型态 与不同本质的第三中介方，创造出一兼具以上两种中介方的优点而尽量摒弃其缺点的新型公平交换协定。在本研究中 (第四章同 )，将半信任第三方的定义为：信任该中介方会为执行协定的交换双方做必要的讯息交换，但并不信任其对双方交换的内容做保密的保证，也就是说，即使中介方无论是有意或无意间泄漏当事人交换的资讯，也不影响到双方原始欲交换的秘密，也因为这种重要的特性，使得本研究所发展出的新型公平交换协定更具实务采用上的价值。 在本章节首先会介绍新协定所必须使用到的系统符号参数，接着会解释何谓 事实上 是一种概念，不同的协定场景有不同对应的 涵，基于写作表达的便利性，本研究将会分开介绍适用不同协定的 包含的内容与背景。然后开始介绍新协定的执行流程与安全性分析，在本章的最后提出了可供新协定实作上的理论基础，以供日后更进一步的研究与系统开发之用。 统符号与参数 在实作系统上本研究利用了 践新提出的理论，并且定义以下符号： ()用 m 加密 ()用 m 解密 17 使用者 u 在 使用者 u 在 在系统中，令 p 为一大质数，使得 ( 1) / 2 也是质数，并且令 *是一个 q 的 进一步令 G 是 p 的一个 且让 的生成子，使得计算以 g 为基底的离散对数非常困难。 交换时的参与方 A( 发起双方公平交换的参与人之一。 B( 发起双方公平交换的另一个参与人。 一个离线的 个系统中持有 /K ，作为加密与解 密的用途。 18 可验证的加密讯息 (定义 本研究在协定中引进了可验证的加密讯息 (种概念。 植基于 7的 的用来说服人们某个加密过的讯息是某个秘密隐藏过后的内容，而不会将原本的秘密给暴露。在交换时制造出密文 C 的一方可以产生出 交换前，双方必须将各自欲交换的秘密 K (如果是 A， B )做一公证的动作并将之公开成为 。交换开始后，双方计算 K，其中的部分，令 () K，今存在有一公开验证演算法 若输入 , 输出为 也就是( , , , , ) xV e r i C S V E M P K K y e s 或 若 ( , , , , ) xV e r i C S V E M P K K y e s，则必定 () K，经过 证演算法的处理后，计算上不可能出现另一让 ( ) K ，使得 ( , , , )e r i C S V E M P K y e s。所以如果利用 果必定会是组成 K 的另一个部分，也就是 协定的描述与分析 在本章将介绍使用单一离线 的协定以讯息交 19 换的顺序呈现出来，并假设使用安全的通道做讯息交换的媒介，以维持完整性与机密性。首先假设 后使用 X Y： M 表示 给 Y。 协定的执行流程 1. 别为 K A K A，然后 A 开始以 公开金钥 ) T K A，并计算出以证明后就能相信这个隐藏的内容最终可以和A。 AB： , , ,y A K g C V E B 收到后首先以解离散对数的难度验证( ) m o dy g p 。若验证不正确，则 是正确，则 所送出之藏在 )为正确的值，接着检查是否( , , , , ) A K A T xV e r i C S V E M P K K A y e s，若答案为 何事；若是 则 组合 着 B BA： 3. B 后验证其正确性，若正确则接受并送出 20 AB： 4. B 在收到 有效则接受，结束协定。若 B 没有收到任何东西或收到的是不正确的秘密，则 B 将本身所持有的 密产生 ()K B K B ，然后计算出 再将从 A 处所收到的起送到 ， 查是否( , , , )K B B K B AV e r i C S V E M P K y e s。如果答案为 会将 开送给 B，或者将 接传送给 A。如果 会将，然后也直接将 送给A。 A 和 B 若分别收到 传回之 可自行将 出得到 或将A。 A B , , ,y A K g C V E M 21 图 3用单一离线 图