Неявный сертификат

В криптографии . неявные сертификаты вариантом сертификата открытого ключа являются субъекта Открытый ключ восстанавливается на основе данных неявного сертификата, а затем считается, что он «неявно» проверен. Подделка сертификата приведет к тому, что восстановленный открытый ключ станет недействительным в том смысле, что будет невозможно найти соответствующее значение закрытого ключа, что необходимо для использования подделанного сертификата.

Для сравнения, традиционные сертификаты открытого ключа включают копию открытого ключа субъекта и цифровую подпись, сделанную выдающим центром сертификации (CA). Открытый ключ должен быть явно проверен путем проверки подписи с использованием открытого ключа ЦС. Для целей этой статьи такие сертификаты будут называться «явными» сертификатами.

Эллиптическая кривая Qu-Vanstone (ECQV) — это одна из разновидностей схемы неявного сертификата. Он описан в документе Standards for Efficient Cryptography 4 (SEC4) . ^[1]
В этой статье ECQV будет использоваться в качестве конкретного примера для иллюстрации неявных сертификатов.

Сравнение ECQV с явными сертификатами

Обычные явные сертификаты состоят из трех частей: идентификационных данных субъекта, открытого ключа и цифровой подписи , которая связывает открытый ключ с идентификационными данными (ID) пользователя. Это отдельные элементы данных в сертификате, которые влияют на размер сертификата: например, стандартный сертификат X.509 имеет размер порядка 1 КБ (~ 8000 бит).

Неявный сертификат ECQV состоит из идентификационных данных и одного криптографического значения. Это значение, представляющее собой точку эллиптической кривой , сочетает в себе функцию данных открытого ключа и подписи CA. метки радиочастотной идентификации Таким образом, неявные сертификаты ECQV могут быть значительно меньше, чем явные сертификаты, и поэтому полезны в сильно ограниченных средах, таких как RFID- , где доступно не так много памяти или пропускной способности.

Сертификаты ECQV полезны для любой схемы ECC, где закрытый и открытый ключи имеют форму ( d , dG ). Сюда входят протоколы ключевых соглашений, такие как ECDH и ECMQV , или алгоритмы подписи, такие как ECDSA . Операция завершится неудачно, если сертификат был изменен, поскольку восстановленный открытый ключ будет недействителен. Восстановление открытого ключа происходит быстрее ( операция умножения одной точки ) по сравнению с проверкой подписи ECDSA.

Сравнение с криптографией на основе идентификаторов

Неявные сертификаты не следует путать с криптографией на основе личности . В схемах на основе идентификаторов сама личность субъекта используется для получения его открытого ключа; «сертификата» как такового не существует. Соответствующий закрытый ключ рассчитывается и выдается субъекту доверенной третьей стороной .

В неявной схеме сертификата субъект имеет закрытый ключ, который не раскрывается центру сертификации в процессе выдачи сертификата. Центру сертификации доверяют правильно выдавать сертификаты, но не хранить личные ключи отдельных пользователей. Неправильно выданные сертификаты могут быть отозваны , тогда как в схеме, основанной на идентификации, не существует аналогичного механизма для злоупотребления закрытыми ключами.

Описание схемы ECQV

Первоначально необходимо согласовать параметры схемы. Это:

Параметры эллиптической кривой , включая образующую точку $G\,$ порядка $n\,$ .
Функция кодирования ${\textrm {Encode}}(\gamma ,ID)$ с данными реконструкции открытого ключа $\gamma$ и идентификационную информацию $ID$ кодирует свои аргументы как байтовый блок и соответствующий ${\textrm {Decode}}_{\gamma }(\cdot )$ который извлекает $\gamma$ значение из кодировки.
функция Хэш- $H_{n}(\cdot )$ который принимает байтовый блок и выдает хэш-значение в виде целого числа в диапазоне $[0,n-1]$

ЦС центра сертификации будет иметь закрытый ключ. $c\,$ и открытый ключ $Q_{CA}=cG$

Протокол запроса сертификата

Здесь Алиса будет пользователем, который запрашивает неявный сертификат у центра сертификации. У нее есть идентификационная информация $ID_{A}$ .

Алиса генерирует случайное целое число $\alpha \,$
Алиса вычисляет $A=\alpha \,G\,$ и отправляет $A$ и $ID_{A}$ в ЦА.
CA выбирает случайное целое число $k\,$ от $[1,n-1]\,$ и вычисляет $kG\,$ .
CA вычисляет $\gamma =A+kG\,$ (это данные реконструкции открытого ключа)
CA вычисляет $Cert={\textrm {Encode}}(\gamma ,{\textrm {ID}}_{A})\,$
CA вычисляет $e=H_{n}(Cert)$
CA вычисляет $s=ek+c{\pmod {n}}\,$ ( $s\,$ это данные реконструкции закрытого ключа)
ЦС отправляет $(s,Cert)\,$ Алисе
Алиса вычисляет $e'=H_{n}(Cert)$ и ее личный ключ $a=e'\alpha +s{\pmod {n}}\,$
Алиса вычисляет $\gamma '={\textrm {Decode}}_{\gamma }(Cert)$ и ее открытый ключ $Q_{A}=e'\gamma '+Q_{CA}\,$
Алиса проверяет, что сертификат действителен, т.е. $Q_{A}=aG$

Использование сертификата

Здесь Алиса хочет доказать свою личность Бобу, который доверяет ЦС.

Алиса отправляет $Cert$ Бобу и зашифрованный текст $C$ создан с использованием ее закрытого ключа $a$ . Зашифрованный текст может быть цифровой подписью или частью протокола обмена ключами с проверкой подлинности .
Боб вычисляет $\gamma ''={\textrm {Decode}}_{\gamma }(Cert)$ и $e''=H_{n}(Cert)$ .
Боб вычисляет предполагаемый открытый ключ Алисы $Q_{A}'=e''\gamma ''+Q_{CA}$
Боб проверяет зашифрованный текст $C$ с использованием $Q_{A}'$ . Если эта проверка успешна, он может быть уверен, что ключ $Q_{A}'$ принадлежит пользователю, чья идентификационная информация содержится в $Cert$ .

Доказательство эквивалентности закрытых и открытых ключей

Закрытый ключ Алисы $a=e'\alpha +s=e\alpha +ek+c{\pmod {n}}$

Значение реконструкции открытого ключа $\gamma =A+kG=(\alpha +k)G$

Открытый ключ Алисы $Q_{A}=e\gamma +Q_{CA}=e(\alpha +k)G+cG=(e\alpha +ek+c)G$

Поэтому, $Q_{A}=aG$ , что завершает доказательство.

Безопасность

Доказательство безопасности ECQV было опубликовано Brown et al. ^[2]

См. также

Криптография эллиптических кривых

Ссылки

^ «Стандарты эффективной криптографии, SEC 4: Схема неявного сертификата Qu-Vanstone с эллиптической кривой (ECQV)» (PDF) . www.secg.org. 24 января 2013 г. Проверено 5 июля 2017 г.
^ Браун, Дэниел Р.Л.; Галлант, Роберт П.; Ванстон, Скотт А. (2001). «Доказуемо безопасные схемы неявных сертификатов» . Финансовая криптография . Конспекты лекций по информатике. Том. 2339. стр. 156–165. CiteSeerX 10.1.1.32.2221 . дои : 10.1007/3-540-46088-8_15 . ISBN 978-3-540-44079-6 . Проверено 27 декабря 2015 г. {{cite book}}: |journal= игнорируется ( помогите )

Хэнкерсон, Д.; Ванстон, С. ; Менезес, А. (2004). Руководство по криптографии на основе эллиптических кривых . Springer Профессиональные вычисления. Нью-Йорк: Спрингер . CiteSeerX 10.1.1.331.1248 . дои : 10.1007/b97644 . ISBN 978-0-387-95273-4 .
certicom.com , Объяснение неявных сертификатов , Код и шифр, том. 2, нет. 2
Леон Пинцов и Скотт Ванстон, Сбор почтовых доходов в эпоху цифровых технологий , Финансовая криптография, 2000 г., Конспекты лекций по информатике, 1962 г., стр. 105–120, Springer, февраль 2000 г.

Внешние ссылки

Группа стандартов эффективной криптографии
Blackberry Crypto API поддерживает ECQV
Certicom Corp., принадлежащая Blackberry, использует ECQV для Zigbee Smart Energy
Стандарты сертификации ISO/IEC 27001:2022

[1] «Стандарты эффективной криптографии, SEC 4: Схема неявного сертификата Qu-Vanstone с эллиптической кривой (ECQV)» (PDF) . www.secg.org. 24 января 2013 г. Проверено 5 июля 2017 г.

[2] Браун, Дэниел Р.Л.; Галлант, Роберт П.; Ванстон, Скотт А. (2001). «Доказуемо безопасные схемы неявных сертификатов» . Финансовая криптография . Конспекты лекций по информатике. Том. 2339. стр. 156–165. CiteSeerX 10.1.1.32.2221 . дои : 10.1007/3-540-46088-8_15 . ISBN 978-3-540-44079-6 . Проверено 27 декабря 2015 г. {{cite book}}: |journal= игнорируется ( помогите )

[1]

[2]