Шифрование на основе личности

Шифрование на основе идентификации ( IBE ) является важным примитивом криптографии на основе идентификации . Как таковое, это тип шифрования с открытым ключом , в котором открытый ключ пользователя представляет собой некоторую уникальную информацию о личности пользователя (например, адрес электронной почты пользователя). Это означает, что отправитель, имеющий доступ к открытым параметрам системы, может зашифровать сообщение, используя, например, текстовое значение имени или адреса электронной почты получателя в качестве ключа. Получатель получает свой ключ дешифрования от центрального органа, которому необходимо доверять, поскольку он генерирует секретные ключи для каждого пользователя.

Шифрование на основе личности было предложено Ади Шамиром в 1984 году. ^[1] Однако он смог дать только экземпляр подписей на основе личности . Шифрование на основе личности оставалось открытой проблемой в течение многих лет.

Схема Бонеха–Франклина на основе спаривания ^[2] и схема шифрования Кокса ^[3], основанная на квадратичных вычетах , решили проблему IBE в 2001 году.

Использование

Системы на основе идентификации позволяют любой стороне генерировать открытый ключ из известного значения идентификации, такого как строка ASCII. Доверенная третья сторона, называемая генератором закрытых ключей (PKG), генерирует соответствующие закрытые ключи. Для работы PKG сначала публикует главный открытый ключ и сохраняет соответствующий главный закрытый ключ (называемый главным ключом ). Имея главный открытый ключ, любая сторона может вычислить открытый ключ, соответствующий личности, объединив главный открытый ключ со значением идентификации. Чтобы получить соответствующий закрытый ключ, сторона, уполномоченная использовать идентификатор идентификации, связывается с PKG, который использует главный закрытый ключ для генерации закрытого ключа для идентификатора идентификации .

В результате стороны могут шифровать сообщения (или проверять подписи) без предварительного распределения ключей между отдельными участниками. Это чрезвычайно полезно в случаях, когда предварительное распределение аутентифицированных ключей неудобно или неосуществимо из-за технических ограничений. Однако для расшифровки или подписания сообщений авторизованный пользователь должен получить соответствующий закрытый ключ из PKG. Предостережение этого подхода заключается в том, что PKG должен быть высоконадежным, поскольку он способен генерировать закрытый ключ любого пользователя и, следовательно, может расшифровывать (или подписывать) сообщения без авторизации. Поскольку закрытый ключ любого пользователя может быть сгенерирован с использованием секрета третьей стороны, эта система имеет встроенное депонирование ключей . Было предложено несколько вариантов систем, которые удаляют депонирование, включая шифрование на основе сертификатов , ^[4] защищенную криптографию с выпуском ключей ^[5] и криптографию без сертификатов . ^[6]

Соответствующие шаги изображены на этой схеме:

Шифрование на основе идентификаторов: шаги в режиме офлайн и онлайн

Структура протокола

Дэн Бонех и Мэтью К. Франклин определили набор из четырех алгоритмов, которые образуют полную систему IBE:

• Настройка : Этот алгоритм запускается PKG один раз для создания всей среды IBE. Главный ключ хранится в секрете и используется для получения закрытых ключей пользователей, в то время как системные параметры становятся общедоступными. Он принимает параметр безопасности (т. е. двоичную длину ключевого материала) и выводит: ${\displaystyle \textstyle k}$

1. Набор системных параметров, включая пространство сообщений и пространство шифртекста , а также , ${\displaystyle \textstyle {\mathcal {P}}}$ ${\displaystyle \textstyle {\mathcal {M}}}$ ${\displaystyle \textstyle {\mathcal {C}}}$
2. мастер-ключ . ${\displaystyle \textstyle K_{m}}$

• Извлечение : Этот алгоритм запускается PKG, когда пользователь запрашивает свой закрытый ключ. Обратите внимание, что проверка подлинности запрашивающей стороны и безопасная передача — это проблемы, с которыми протоколы IBE не пытаются справиться. Он принимает в качестве входных данных и идентификатор и возвращает закрытый ключ для пользователя . ${\displaystyle \textstyle d}$ ${\displaystyle \textstyle {\mathcal {P}}}$ ${\displaystyle \textstyle K_{m}}$ ${\displaystyle \textstyle ID\in \left\{0,1\right\}^{*}}$ ${\displaystyle \textstyle d}$ ${\displaystyle \textstyle ID}$
• Шифрование : принимает сообщение и выводит шифрование . ${\displaystyle \textstyle {\mathcal {P}}}$ ${\displaystyle \textstyle m\in {\mathcal {M}}}$ ${\displaystyle \textstyle ID\in \left\{0,1\right\}^{*}}$ ${\displaystyle \textstyle c\in {\mathcal {C}}}$
• Расшифровать : Принимает , и и возвращает . ${\displaystyle \textstyle d}$ ${\displaystyle \textstyle {\mathcal {P}}}$ ${\displaystyle \textstyle c\in {\mathcal {C}}}$ ${\displaystyle \textstyle m\in {\mathcal {M}}}$

Ограничение корректности

Для того чтобы вся система работала, необходимо постулировать, что:

${\displaystyle \forall m\in {\mathcal {M}},ID\in \left\{0,1\right\}^{*}:\mathrm {Decrypt} \left(\mathrm {Extract} \left({\mathcal {P}},K_{m},ID\right),{\mathcal {P}},\mathrm {Encrypt} \left({\mathcal {P}},m,ID\right)\right)=m}$

Схемы шифрования

Наиболее эффективные схемы шифрования на основе идентичности в настоящее время основаны на билинейных парах на эллиптических кривых , таких как пары Вейля или Тейта . Первая из этих схем была разработана Дэном Боне и Мэтью К. Франклином (2001) и выполняет вероятностное шифрование произвольных шифртекстов с использованием подхода, подобного подходу Элгамала . Хотя схема Боне-Франклина является доказуемо безопасной , доказательство безопасности основывается на относительно новых предположениях о сложности проблем в определенных группах эллиптических кривых.

Другой подход к шифрованию на основе личности был предложен Клиффордом Коксом в 2001 году. Схема IBE Кокса основана на хорошо изученных предположениях ( предположение квадратичной остаточности ), но шифрует сообщения по одному биту за раз с высокой степенью расширения шифротекста . Таким образом, она крайне неэффективна и непрактична для отправки всех сообщений, кроме самых коротких, таких как сеансовый ключ для использования с симметричным шифром .

Третий подход к МБП заключается в использовании решеток.

Алгоритмы шифрования на основе идентификации

Ниже перечислены практические алгоритмы шифрования на основе идентификации.

• Боне-Франклин (BF-IBE).
• Сакаи-Касахара (SK-IBE). ^[7]
• Бонех-Бойен (BB-IBE). ^[8]

Все эти алгоритмы имеют доказательства безопасности .

Преимущества

Одним из главных преимуществ любой схемы шифрования на основе идентификации является то, что если есть только конечное число пользователей, после того, как всем пользователям были выданы ключи, секрет третьей стороны может быть уничтожен. Это может произойти, поскольку эта система предполагает, что после выдачи ключи всегда действительны (поскольку в этой базовой системе отсутствует метод отзыва ключей). Большинство производных этой системы, которые имеют отзыв ключей, теряют это преимущество.

Более того, поскольку открытые ключи выводятся из идентификаторов, IBE устраняет необходимость в инфраструктуре распространения открытых ключей. Подлинность открытых ключей гарантируется неявно, пока сохраняется безопасность передачи закрытых ключей соответствующему пользователю ( подлинность , целостность , конфиденциальность ).

Помимо этих аспектов, IBE предлагает интересные функции, вытекающие из возможности кодировать дополнительную информацию в идентификатор. Например, отправитель может указать дату истечения срока действия сообщения. Он добавляет эту временную метку к фактической личности получателя (возможно, используя какой-либо двоичный формат, например X.509). Когда получатель связывается с PKG, чтобы получить закрытый ключ для этого открытого ключа, PKG может оценить идентификатор и отклонить извлечение, если дата истечения срока действия прошла. Как правило, встраивание данных в идентификатор соответствует открытию дополнительного канала между отправителем и PKG с гарантией подлинности через зависимость закрытого ключа от идентификатора.

Недостатки

• Если генератор закрытых ключей (PKG) скомпрометирован, все сообщения, защищенные в течение всего срока службы пары открытого и закрытого ключей, используемой этим сервером, также будут скомпрометированы. Это делает PKG ценной целью для злоумышленников. Чтобы ограничить уязвимость из-за скомпрометированного сервера, главная пара закрытых и открытых ключей может быть обновлена ​​новой независимой парой ключей. Однако это приводит к проблеме управления ключами, когда все пользователи должны иметь самый последний открытый ключ для сервера.
• Поскольку генератор закрытых ключей (PKG) генерирует закрытые ключи для пользователей, он может расшифровать и/или подписать любое сообщение без авторизации. Это подразумевает, что системы IBS не могут использоваться для неотказуемости . Это может не быть проблемой для организаций, которые размещают свои собственные PKG и готовы доверять своим системным администраторам и не требуют неотказуемости.
• Проблема неявного депонирования ключей не существует в текущей системе PKI , где закрытые ключи обычно генерируются на компьютере пользователя. В зависимости от контекста депонирование ключей может рассматриваться как положительная функция (например, в Enterprises). Было предложено несколько вариантов систем, которые исключают депонирование, включая шифрование на основе сертификатов , совместное использование секретов , криптографию с защищенным выпуском ключей и криптографию без сертификатов .
• Для передачи закрытого ключа при присоединении к системе требуется защищенный канал между пользователем и генератором закрытых ключей (PKG). Здесь SSL -подобное соединение является обычным решением для крупномасштабной системы. Важно отметить, что пользователи, имеющие учетные записи в PKG, должны иметь возможность аутентифицировать себя. В принципе, это может быть достигнуто с помощью имени пользователя, пароля или с помощью пар открытых ключей, управляемых на смарт-картах.
• Решения IBE могут основываться на криптографических методах, которые не защищены от атак квантовых компьютеров, направленных на взлом кода (см. алгоритм Шора ).

Смотрите также

• Криптография на основе идентификации
• Условное повторное шифрование прокси-сервера на основе идентификации
• Шифрование на основе атрибутов

Ссылки

1. Шамир, Ади (1984). «Криптосистемы на основе идентификации и схемы подписи». В Blakley, GR; Chaum, David (ред.). Advances in Cryptology, Proceedings of CRYPTO '84, Санта-Барбара, Калифорния, США, 19–22 августа 1984 г., Proceedings . Lecture Notes in Computer Science. Vol. 196. Springer. pp. 47–53. doi : 10.1007/3-540-39568-7_5 .
2. Бонех, Дэн ; Франклин, Мэтью (2003). «Шифрование на основе идентификации с помощью спаривания Вейля». SIAM Journal on Computing . 32 (3): 586–615. doi :10.1137/S0097539701398521. MR  2001745.
3. Кокс, Клиффорд К. (2001). «Схема шифрования на основе идентичности, основанная на квадратичных вычетах». В Хонари, Бахрам (ред.). Криптография и кодирование, 8-я Международная конференция IMA, Сайренсестер, Великобритания, 17–19 декабря 2001 г., Труды . Заметки лекций по информатике. Том 2260. Springer. стр. 360–363. doi :10.1007/3-540-45325-3_32.
4. Джентри, Крейг (2003). «Шифрование на основе сертификатов и проблема отзыва сертификатов». В Бихам, Эли (ред.). Достижения в криптологии – EUROCRYPT 2003, Международная конференция по теории и применению криптографических методов, Варшава, Польша, 4–8 мая 2003 г., Труды . Конспект лекций по информатике. Том 2656. Springer. стр. 272–293. doi : 10.1007/3-540-39200-9_17 .
5. Ли, Бёнчон; Бойд, Колин; Доусон, Эд; Ким, Кванджо; Ян, Чонмо; Ю, Сынчже (2004). «Безопасная выдача ключей в криптографии на основе идентификаторов». В Hogan, James M.; Montague, Paul; Purvis, Martin K.; Steketee, Chris (ред.). ACSW Frontiers 2004, 2004 ACSW Workshops – the Australasian Information Security Workshop (AISW2004), the Australasian Workshop on Data Mining and Web Intelligence (DMWI2004) и the Australasian Workshop on Software Internationalisation (AWSI2004), Dunedin, New Zealand, January 2004. CRPIT. Vol. 32. Australian Computer Society. pp. 69–74.
6. Al-Riyami, Sattam S.; Paterson, Kenneth G. (2003). «Certificateless public key cryptography» (криптография с открытым ключом без сертификата). In Laih, Chi-Sung (ред.). Advances in Cryptology – ASIACRYPT 2003, 9-я Международная конференция по теории и применению криптологии и информационной безопасности, Тайбэй, Тайвань, 30 ноября – 4 декабря 2003 г., Труды . Lecture Notes in Computer Science (конспект лекций по информатике). Том 2894. Springer. стр. 452–473. doi : 10.1007/978-3-540-40061-5_29 .
7. Сакаи, Рюити; Касахара, Масао (2003). «Идентификационные криптосистемы с парами на эллиптической кривой». Архив Cryptography ePrint .
8. Boneh, Dan ; Boyen, Xavier (2004). "Эффективное селективное шифрование на основе безопасной идентификации без случайных оракулов". В Cachin, Christian; Camenisch, Jan (ред.). Advances in Cryptology – EUROCRYPT 2004, Международная конференция по теории и применению криптографических методов, Интерлакен, Швейцария, 2–6 мая 2004 г., Труды . Lecture Notes in Computer Science. Vol. 3027. Springer. pp. 223–238. doi : 10.1007/978-3-540-24676-3_14 .

Внешние ссылки

• Семинар «Криптография и безопасность в банковском деле»/«Альтернативная криптология», Рурский университет, Бохум, Германия ^{[ мертвая ссылка ]}
• RFC 5091 — IETF RFC, определяющий два общих алгоритма IBE
• Ролевое шифрование HP
• Крипто-зал на основе парного обмена
• Сеть безопасности напряжения — веб-сервис шифрования IBE
• Аналитический отчет о стоимости IBE по сравнению с PKI