提要

在這個資訊爆炸的時代，人們的一言一行已離不開數位科技與網際網路，生活也因此充滿資訊安全的問題，如何在高科技生活中保障自己的權益，資訊安全的相關研究更顯得重要，尤其是通訊的隱私性更是需要重視。

將潛隱通道應用於數位簽章上是保障訊息交流隱密性的有效作法。藉由將潛隱訊息藏入簽章內，對於一般的驗證者而言只是一個普通的簽章，只有潛隱傳送者指定的潛隱接收者可以辨別出這是一個藏有潛隱訊息的簽章，並取出藏於其中的潛隱訊息。除此之外，利用潛隱通道不需顧慮是否會暴露傳送密文的行為，更加確保傳送者與接收者之間的通訊安全。

現行的潛隱通道系統依通道的性質可分為兩類，一類是對稱潛隱通道，即潛隱傳送者在傳送潛隱訊息前需與潛隱接收者共享秘密金鑰，因此潛隱傳送者只能傳送潛隱訊息給已事前分享秘密金鑰之潛隱接收者，無法任意選擇潛隱接收者，且可能發生潛隱傳送者(即簽章者)的簽章被偽冒的問題。另一類為非對稱潛隱通道，將非對稱密碼架構的雙金鑰概念應用於潛隱訊息的藏匿與萃取，使得潛隱傳送者可以不必事先與潛隱接收者分享秘密金鑰，因此可以避免掉許多在對稱潛隱通道會產生的問題。

由此可見相較於對稱潛隱通道，非對稱潛隱通道顯得更為實用。本論文重點即針對非對稱潛隱通道的研究。整合出一套非對稱潛隱通道的建構法則，依簽章的性質，潛隱訊息傳送者欲達到的功能需求，提出六類非對稱潛隱通道作法。使用者可以依據這套建構法則去判斷一個數位簽章是否可以實作非對稱潛隱通道，進而決定用什麼作法來建立。另外在非對稱潛隱通道的安全性分析方面，本論文提供一個正規的安全模型，使用者可以根據此安全模型去分析非對稱潛隱通道的安全性，並證明非對稱潛隱通道可達到安全需求。為了使研究更加完備，本論文將非對稱潛隱通道建構於身份式門檻環簽章上，去提出一個身份式門檻環簽章之潛隱通道，以此實際應用來說明如何使用本論文所提出的建構法則去實際設計非對稱潛隱通道的系統。另外並以本研究所提出的正規模型去分析此系統的安全性，並證明其滿足安全需求。

Abstract
In　the　age　of　information　explosion,　our　life　is　full　of　security　crises.　Thus,　the　information　security　is　an　important　research　to　protect　our　right　in　this　hi-tech　environment.　Obviously,　the　privacy　of　communications　is　a　key　issue　of　information　security.

Subliminal　channels　in　digital　signatures　are　good　solutions　to　guarantee　the　privacy　of　communications.　Outsiders　treat　the　signature　as　an　ordinary　verifiable　one,　only　the　designated　receiver　can　detect　and　extract　a　subliminal　message　from　that　signature.　Furthermore,　since　subliminal　channels　are　secret　channels,　we　do　not　have　to　worry　the　exposure　of　sending　a　ciphertext.　Thus,　subliminal　channels　guarantee　the　communication　security　of　senders　and　receivers.

According　to　the　property　of　subliminal　channels,　there　two　types　of　subliminal　channels:　the　first　is　the　symmetric　subliminal　channels,　in　which　a　subliminal　sender　has　to　pre-share　a　secret　key　with　a　subliminal　receiver.　Therefore,　a　subliminal　sender　can　not　choose　a　subliminal　receiver　arbitrarily.　Moreover,　a　receiver　may　forge　a　signature　of　a　subliminal　sender.　The　other　is　the　asymmetric　subliminal　channels,　in　which　a　subliminal　sender　does　not　have　to　pre-share　any　secret　key　with　a　subliminal　receiver.　Consequently,　the　asymmetric　subliminal　channels　have　no　drawbacks　of　symmetric　subliminal　channels.

This　thesis　focuses　on　the　research　of　asymmetric　subliminal　channels　which　are　more　practical　than　symmetric　subliminal　channels.　This　investigation　presents　the　constructions　to　construct　asymmetric　subliminal　channels　in　digital　signatures.　According　to　the　properties　of　digital　signatures　and　the　requirements　of　applications,　asymmetric　subliminal　channels　can　be　classified　to　six　methods.　Hence,　signers　can　determine　whether　digital　signatures　are　allowed　to　create　asymmetric　subliminal　channels,　and　know　how　to　create　asymmetric　subliminal　channels.　Furthermore,　this　thesis　purposes　a　formal　model　to　analyze　the　security　of　asymmetric　subliminal　channels.　To　verify　the　validity　of　constructions,　this　investigation　also　presents　the　realization,　subliminal　channels　in　the　ID-based　threshold　ring　signature,　and　adopts　the　proposed　formal　model　to　prove　that　the　schemes　satisfy　the　security　requirement.

[1]　R.　Barua,　R.　Dutta　and　P.　Sarkar,　"Extending　Joux's　Protocol　to　Multi　Party　Key　Agreement",　Indocrypt　2003,　LNCS　2904,　pp.　205-217,　2003.
[2]　D.　Boneh　and　M.　Franklin,　“Identity-Based　Encryption　from　the　Weil　Pairing”,　Advances　in　Cryptology-Crypto’01　Vol.　2139,　pp.　213-229,　2001.
[3]　C.　F.　Chang,　T.　Hwang　and　C.　M.　Li,　“Asymmetric　Subliminal　Channel　Signature　Scheme”,　Master　Thesis,　NCKU,　2004.
[4]　J.　H.　Cheon,　Y.　Kim　and　H.　J.　Yoon,　A　New　ID-based　Signature　with　Batch　Verification”,　Cryptology　ePrint　Archive,　Report　2004/131,　2004.
[5]　Sherman　S.M.　Chow,　Lucas　C.　K.　Hui　and　S.　M.　Yiu,　"Identity　Based　Threshold　Ring　Signature",　ICISC　2004,　LNCS,　pp.　218-232,　2004.
[6]　R.　Dutta,　R.　Barua,　“Dynamic　Group　Key　Agreement　in　Tree-Based　Setting”,　ACSIP　2005,　pp.　101-112,　2005.
[7]　T.　ElGamal,　“A　Public-Key　Cryptosystem　and　a　Signature　Scheme　Based　on　Discrete　Logarithms”,　Advances　in　Cryptology-CRYPTO'84,　Springer-Verlag,　LNCS　196,　pp.10-18,　1985.
[8]　Javier　Herranz　and　German　Saez,　“Forking　Lemmas　for　Ring　Signature Schemes”,　Progress　in　Cryptology-INDOCRYPT　2003:　4th　International　Conference　on　Cryptology,　December　8-10,　pp.　266-279,　2003.
[9]　Javier　Herranz　and　German　Saez,　“New　ID-Based　Ring　Signature　Schemes”,　proceedings　in　Information　and　Communications　Security,　6th　International　Conference,　ICICS　2004,　Vol.　3269　of　Lecture　Notes　in　Computer　Science,　pp.　27-39,　Springer-Verlag,　October　27-29,　2004.
[10]　Z.　Huang,　D.　Chen　and　Y.　Wang,　“Multi-Signature　with　Anonymous　Threshold　Subliminal　Channel　for　Ad-Hoc　Environments”,　19th　International　Conference　on　Advanced　Information　Networking　and　Applications,　Vol.　1,　pp.67-71,　2005.
[11]　J.　K.　Jan　and　Y.　M.　Tseng,　“New　Digital　Signature　with　Subliminal　Channel　Based　on　the　Discrete　Logarithm　Problem”,　proceedings　of　the　1999　international　workshops　on　parallel　processing,　pp.　198-203,　1999.
[12]　N.　Y.　Lee,　“Digital　Signature　with　a　Threshold　Subliminal　Channel”,　IEEE　Tran.　Consumer　Electronics,　Vol.49,　pp.　1240-1242,　2003.
[13]　N.　Y.　Lee,　“Robust　Digital　Signature　Scheme　with　Subliminal　Channels”,　IEICE　Tran.　Fundamentals,　Vol.E86-A,　No.　1,　pp.　187-188,　2003.
[14]　N.　Y.　Lee　 and　S.　Y.　Yang,　“The　Design　of　Integrating　Subliminal　Channel　with　Access　Control”,　Applied　Mathematics　and　Computation,　Vol.　171,　pp.　573-580,　2005.
[15]　C.　M.　Li,　C.　C.　Hung　and　T.　Hwang,　“Multiple Subliminal　Channels　in　the　Ring　Signature”,　Master　Thesis,　NCKU,　2005.
[16]　T.　Okamoto,　“Provably　secure　and　practical　identification　schemes　and　corresponding　signature　schemes”,　Advances　in　Cryptology-CRYPTO ’92,　31-53.　17,　1993.
[17]　R.　Rivest,　A.　Shamir,　and　L.　Adleman,　“A　Method　for　Obtaining　Digital　Signatures　and　Public-Key　Cryptosystems”,　Communications　of　the　ACM,　V.21,　n.2,　pp.120-126,　Feb　1978.
[18]　R.　Rivest,　A.　Shamir　and　Y.　Tauman,　“How　to　leak　a　secret”,　Advances　in　Cryptology-ASIACRYPT’01,　LNCS　2248,　Springer-Verlag,　pp.　552-565,　2001.
[19]　C.　P.　Schnorr,　“Efficient　Identification　and　Signature　for　Smart　Cards”,　Advances　in　Cryptology-Eurocrypt’89,　LNCS　435,　pp.339-351,　1990.
[20]　G.　J.　Simmons,　“The Prisoner’s　Problem　And　The　Subliminal　Channel”,　Advances　in　Cryptology-CRYPTO’83,　pp.　51-67,　1984.
[21]　G.　J.　Simmons,　“Subliminal　Communication　is　Easy　Using　the　DSA”,　Advances　in　Cryptology-Eurocrypt’93,　 pp.　218-232,　1994.
[22]　Chunming　Tang,　Zhuojun　Liu　and　Mingsheng　Wang,　“An　improved　identity-based　ring　signature　scheme　from　bilinear　pairings”,　MM Research Preprints,　MMRC,　AMSS,　No.　22,　pp.　231-234,　2003.
[23]　C.　Wu,　“Hash　Channels”,　Computers　and　Security,　Vol.　24,　pp.653-661,　2005.
[24]　J.　Zahng,　J.　Zou　and　Y.　Wang,　“A　Group-Oriented　Anonymous　Signature　Scheme　with　Subliminal　Channel”,　IEEE　Networking,　Sensing　and　Control,　Proceedings,　pp.　49-53,　2005.
[25]　F.　Zhang　and　K.　Kim　“ID-based　blind　signature　and　ring　signature　form　pairings”,　Advances　in　Cryptology-ASIACRYPT’02,　LNCS　2501,　Springer-Verlag,　pp.　533-547,　2002.
[26]　F.　Zhang,　B.　Lee　and　K.　Kim,　“Exploring　Signature　Schemes　with　Subliminal　Channel”,　Proc.　SCIS2003,　Vol.　1/2,　pp.　245-250,　2003.
[27]　M.　Michels,　H.　Petersen,　P.　Horster,　“Breaking　and　Repairing　a　Convertible　Undeniable　Signature　Scheme“,　ACM　Computer　and　Communications　Security,　pp.　148-152,　1996.
[28]　J.　K.　Liu　and　D.　S.　Wong,　“Linkable　Ring　Signature:　Security　Models　and　New　Schemes”,　ICCSA　2005.
[29]　W.　Susilo　and　Y.　Mu,　“Non-interactive　Deniable　Ring　Authentication“,　ICISC 2003.
[30]　D.　Boneh,　C.　Gentry,　B.　Lynn,　and　H.　Shacham,　"Aggregate　and　Verifiable　Encrypted　Signatures　from　Bilinear　Maps”,　Advances　in　Cryptology-EUROCRYPT　2003,　pp.　416-432,　2003.