顏嵩銘
(Sung-Ming Yen)

中央大學 資訊工程系所
密碼與資訊安全實驗室
Laboratory of Cryptography and Information Security (LCIS)
http://www.csie.ncu.edu.tw/~yensm/lcis.html

Tel： (03) 4227151  Ext- 4525
Fax： (03) 4222681
E-Mail：yensm@csie.ncu.edu.tw

研究工作 (between 1995 to 2000)

(一) 重要研究成果 (與博士論文直接相關者不計)

    近年來之重要研究成果(與博士論文直接相關者不計)可大致集中分類為: 密碼分析與破密法研究及資訊安全工程研究、電子付款系統研究與設計、密碼系統相關之高效率計算機算術研究與設計、身份認證系統研究與設計、金鑰恢復與金鑰託管機制之研究與設計 等五個方向。各項研究主題相關之細目及成果，分別條列如下。

A. 密碼分析與破密法(cryptanalysis)研究及資訊安全工程(security engineering)研究：  

A-1. 實體密碼攻擊(Physical Cryptanalysis)之研究與防制設計 --- (或稱為Information Security Engineering)

近3年來國際密碼學界大幅重視 “Physical Cryptanalysis”，因為密碼系統逐日被大量以軟硬體實現並大量採用，實體密碼安全工程研究之重要性與迫切性與日俱增。本人於此研究主題已獲得足量之重要研究結果，提出數項於國際上具原創性之成果，並將其研究所得用以輔助國內IC card重要產業界（如：凌航科技公司）。具體研究成果如下：

(1) 有關Side channel attack之原創性研究，包含：

(a)  Response based cryptanalysis (原創性)，見下列研究成果[A1]。

   本論文經國際著名密碼專家 Paul Kocher 研讀後，評論如下:

    ``The idea of detecting whether faults cause output errors is intriguing.''

Paul Kocher為極受注目之時序攻擊法(timing attack)及能量攻擊法(differential power attack)之發明人。

(b) Power monitoring attack (原創性)，見下列研究成果[A2]。

(2)高效率預防physical cryptanalysis之研究(原創性)，見下列研究成果[A3]。

[A1]S.M. Yen and M. Joye, "Checking Before Output May Not Be Enough Against Fault-Based Cryptanalysis," IEEE Trans. on Computers, Vol.49, No.9, pp.967-970, Sept. 2000.

[A2]S.M. Yen, "Overall Study and Countermeasure Developments of the Hardware Oriented Cryptanalysis," Technical Report of project G3-87052, (supported by the Industrial Technology Research Institute, Computer & Communication Research Laboratories), June 1998. (首先提出能量攻擊法 -- power analysis attack) [註]：此攻擊法及其衍生攻擊法亦於半年多後被著名資訊安全顧問公司Cryptography Research (由Paul Kocher主持)發現並公開。

[A3]S.M. Yen, "Adaptive Exponentiation Computation by Functionally Equivalent Recoding and Its Cryptographic Impact," LCIS Tech. Report TR-2K-5, National Central University, February 28, 2000.

A-2. 密碼分析與破密法研究

密碼分析與破密法研究為密碼與資訊安全研究工作相當重要的一環，近年來本人於此研究主題之具體研究成果如下：

[A4]S.M. Yen, "Cryptanalysis of an Authentication and Key Distribution Protocol," IEEE Communications Letters, Vol.3, No.1, pp.7-8, Jan. 1999.

[A5]S.M. Yen, "Cryptanalysis and Repair of the Multi-Verifier Signature with Verifier Specification," Computers and Security, Vol.15, No.6, pp.537-544, 1996.

[A6]S.M. Yen, "On the Security of A One-time Signature," IEE Electronics Letters, Vol.33, No.8, pp.677-679, April 1997.

[A7]S.M. Yen, "Cryptanalysis of Secure Addition Chain for SASC Applications," IEE Electronics Letters, Vol.31, No.3, pp.175-176, Feb. 1995.

[A8]S.M. Yen and H.K. Lo, "Further Cryptanalysis of the Multi-verifier Signature with Verifier Specification," (an invited paper) Proc. of the 8th National Conference on Information Security, May 1998.

[A9]M. Joye, J.J. Quisquater, S.M. Yen, and M. Young, "Security Paradoxes: How Improving a Cryptosystem May Weaken It," Proc. of the 9th National Conference on Information Security, May 1999.

B. 電子付款(electronic payment)系統研究與設計：

B-1. 小額電子付款(micropayment)系統研究

小金額電子付款協定於近年來廣泛受到國際密碼學界重視，著名學者Prof. Rivest及Prof. Shamir均曾進行過研究。小額電子付款協定之重要應用不勝枚舉，例如：電子報、小金額多媒體資訊、有線及無線通訊計時/計量通訊收費。本人於此研究主題已獲得足量之重要研究結果，提出數項具原創性之成果，並針對該主題與國外學術機構（澳洲Monash University; 愛爾蘭Trinity College, Univ. of Dublin）合作或預計合作。具體研究成果如下：

(1)與小額電子付款相關之原創性基礎密碼運作單元研究，包含：

(a)  Micropayment based on unbalanced one-way binary tree (原創性)，見下列研究成果[B1, B2]。  於香港CrypTEC’99發表後得到著名密碼學家Prof. R.L. Rivest之贊同，並交換諸多意見。

   本論文經電子付款系統專家 Michael Peirce 研讀後，評論如下:

``.... this could be really useful. ... UOBT increases the efficiency by having the base of each of the m chains as another hash chain itself. It makes so much sense when you see it written down, just like when I first saw PayWord.''

Michael Peirce為著名電子付款系統專書 “Electronic Payment Systems”, published by Artech House, Inc., 1997 作者之一，目前於 Dept. of Computer Science, Trinity College, Univ. of Dublin, Ireland 任職研究員。

(b) Weighted one-way hash chain (原創性)，見下列研究成果[B3]。

(2)首創設計可同時保護customer及merchant利益之先付款(prepaid)高效率小額電子付費系統 (原創性)，見下列研究成果[B4]。

   本論文經電子付款系統專家 Michael Peirce 研讀後，評論如下:

``I think this is a useful secret-sharing protocol, and it is good that the customer-merchant secret of Millicent has been removed. Also, there is no global bank secret like SVP.''

Michael Peirce為著名電子付款系統專書 “Electronic Payment Systems”, published by Artech House, Inc., 1997 作者之一，目前於 Dept. of Computer Science, Trinity College, Univ. of Dublin, Ireland 任職研究員。

[B1]S.M. Yen, "Internet Micropayment Based on Unbalanced One-way Binary Tree".

[B2]S.M. Yen, L.T. Ho and C.Y. Huang, "Internet Micropayment Based on Unbalanced One-way Binary Tree," In Proc. of International Workshop on Cryptographic Techniques and E-Commerce, CrypTEC '99, Hong Kong, pp.155-162, 5-8 July 1999. (本論文於會議中受到 Prof. Rivest 及 Prof. Shamir 之認同)

[B3]S.M. Yen and Y. Zheng, "Weighted One-way Hash Chain and Its Application," in Proc. of the Third International Workshop on Information Security, ISW 2000, Wollongong, Australia, December 20-21 2000.

[B4]S.M. Yen, "PayFair: A Prepaid Internet Micropayment Scheme Ensuring Customer Fairness," IEE Proceedings: Computers and Digital Techniques, (resubmitted after revision, Aug. 2000). Also in Proc. of International Workshop on Cryptographic Techniques and E-Commerce, CrypTEC '99, Hong Kong, pp.213-221, 5-8 July 1999.

[B5]S.M. Yen and P.Y. Kuo, "Improved Micro-payment System," Proc. of the 8th National Conference on Information Security, May 1998.

[B6]S.M. Yen, "Vulnerability of the SVP Micropayment Scheme," Technical Report TR-99-3, Jan. 1999.

C. 密碼系統相關之高效率計算機算術(computer arithmetic algorithm)研究與設計：

C-1. 指數(exponentiation)運算演算法研究與設計

本研究領域屬計算機算術邏輯，首創由most significant bit (MSB)至least significant bit (LSB)將二進位數轉換為最少加權(minimum weight)有號位元(signed-digit)數，並得到其數學理論證明。此種轉換之演算方式，於過去十數年來一直被認定為不可能存在，因此一直延用由LSB至MSB之方式，然如此將於實際採用時帶來不便。

本研究不但針對由MSB至LSB之方式設計出演算法，求得最少加權表示法，得到其正確性之數學理論證明。同時，更將本研究所得之技術應用於諸多重要之密碼系統實現，使得該實現系統之運算速度得以提昇並且其記憶體需求予以減少，見下列研究成果[C1]。

凡是以固定底數計算指數運算(exponentiation)之密碼系統均可採用此新技術，舉如：DSA；ElGamal；Schnorr等。

更重要之影響為，該新技術也對極為重要之 “橢圓曲線密碼系統” (Elliptic curve cryptosystem)之實現更具重要性與效益性。由於其實務上之重要性與理論上之新穎性，上述新技術已與國際著名之法國IC card科技公司Gemplus Card International共同申請專利。

同時，與上述直接相關之研究亦已完成。於該延伸研究中，將上述重要技術及其理論，延伸至Radix-r表示式之數系，見下列研究成果[C5]。由於其實務上之重要性，本延伸技術亦與國際著名之法國IC card科技公司Gemplus Card International共同申請專利。

近年來本人於 “指數運算演算法” 研究與設計之具體研究成果如下：

[C1]M. Joye and S.M. Yen, "Optimal Left-to-right Binary Signed-Digit Recoding," IEEE Trans. on Computers -- Special issue on Computer Arithmetic, Vol.49, No.7, pp.740-748, July 2000. (與法國著名 Gemplus Card International 公司共同申請專利)

[C2]S.M. Yen, "Improved Common-Multiplicand Multiplication and Fast Exponentiation by Exponent Decomposition," IEICE Trans. on Fundamentals, Vol.E80-A, No.6, pp.1160-1163, June 1997.

[C3]S.M. Yen, "Improved Normal Basis Inversion in GF(2^m)," IEE Electronics Letters, Vol.33, No.3, pp.196-197, Jan. 1997.

[C4]S.M. Yen, "Comment: Fast Square-and-Multiply Exponentiation for RSA," IEE Electronics Letters, Vol.31, No.9, p.712, April 1995.

[C5]M. Joye and S.M. Yen, "New Minimal Modified Radix-r Representation with Applications to Fast Cryptography". (與法國著名 Gemplus Card International 公司共同申請專利)

C-2. 多指數(multi-exponentiation)運算演算法研究與設計  

由於密碼系統一般均須進行相當耗時之計算，如何針對密碼系統之需設計快速計算演算法，多年來已成為相當重要之理論及實務研究主題。然而由於IC card之逐漸大量使用，如何設計高效率且適合IC card使用之快速密碼計算演算法，成為當務之急。

本項研究主題為本人目前正積極研究當中之嶄新multi-exponentiation計算技術，初步研究成果顯示，使用該技術不但 (a)計算速度與 (b)硬體空間使用效能將獲得改善，且於理論上亦屬完全之創新。該技術可使用於著名系統如：DSA；ElGamal；Schnorr等，事實上該技術之變化型式亦可應用於著名之RSA及Diffie-Hellman系統。由於其實務上之重要性，上述技術已與相關之IC card產業界洽談共同申請專利。

近年來本人於 “多指數運算演算法” 研究與設計之具體研究成果如下：

[C6]S.M. Yen and T.C. Li, "Memory Efficient and High Performance Multi-Exponentiation Algorithms Based on Euclidean Chain".

[C7]S.M. Yen and T.C. Li, "Efficient Multi-Exponentiation Algorithm Based on Vector Division Chain".