Шифрование на основе личности

Шифрование на основе идентификации ( IBE ) — важный примитив криптографии на основе идентификации . По сути, это тип шифрования с открытым ключом , при котором открытый ключ пользователя представляет собой некоторую уникальную информацию о личности пользователя (например, адрес электронной почты пользователя). Это означает, что отправитель, имеющий доступ к общедоступным параметрам системы, может зашифровать сообщение, используя, например, текстовое значение имени или адреса электронной почты получателя в качестве ключа. Получатель получает ключ дешифрования от центрального органа, которому необходимо доверять, поскольку он генерирует секретные ключи для каждого пользователя.

Шифрование на основе личности было предложено Ади Шамиром в 1984 году. ^{[ 1 ]} Однако он смог создать только экземпляр подписей, основанных на личности . Шифрование на основе личных данных оставалось открытой проблемой в течение многих лет.

Схема спаривании. основанная на Боне-Франклина, ^{[ 2 ]} и схема шифрования Кокса ^{[ 3 ]} основанные на квадратичных вычетах, оба решили проблему IBE в 2001 году.

Использование

Системы на основе идентификации позволяют любой стороне генерировать открытый ключ на основе известного значения идентификации, например строки ASCII. Доверенная третья сторона, называемая генератором закрытых ключей (PKG), генерирует соответствующие закрытые ключи. Для работы PKG сначала публикует главный открытый ключ и сохраняет соответствующий главный закрытый ключ (называемый главным ключом ). Имея главный открытый ключ, любая сторона может вычислить открытый ключ, соответствующий идентификатору, путем объединения главного открытого ключа со значением идентификатора. Чтобы получить соответствующий закрытый ключ, сторона, уполномоченная использовать идентификатор личности , связывается с PKG, которая использует главный закрытый ключ для генерации закрытого ключа для идентификатора личности .

В результате стороны могут шифровать сообщения (или проверять подписи) без предварительного распределения ключей между отдельными участниками. Это чрезвычайно полезно в тех случаях, когда предварительное распространение аутентифицированных ключей неудобно или невозможно из-за технических ограничений. Однако для расшифровки или подписи сообщений авторизованный пользователь должен получить соответствующий закрытый ключ из PKG. Предостережение этого подхода заключается в том, что PKG должен пользоваться высоким доверием, поскольку он способен генерировать закрытый ключ любого пользователя и, следовательно, может расшифровывать (или подписывать) сообщения без авторизации. Поскольку закрытый ключ любого пользователя может быть сгенерирован с использованием секрета третьей стороны, в этой системе предусмотрено условное депонирование ключей . Был предложен ряд вариантов систем, которые устраняют условное депонирование, включая шифрование на основе сертификатов . ^{[ 4 ]} криптография безопасного выпуска ключей ^{[ 5 ]} и криптография без сертификатов . ^{[ 6 ]}

Последовательность действий изображена на этой схеме:

Структура протокола

Дэн Боне и Мэтью К. Франклин определили набор из четырех алгоритмов, которые образуют полную систему IBE:

Настройка : этот алгоритм запускается PKG один раз для создания всей среды IBE. Главный ключ хранится в секрете и используется для получения личных ключей пользователей, а параметры системы становятся общедоступными. Он принимает параметр безопасности $\textstyle k$ (т.е. двоичная длина ключевого материала) и выходные данные:

Набор $\textstyle {\mathcal {P}}$ системных параметров, включая пространство сообщений и пространство зашифрованного текста $\textstyle {\mathcal {M}}$ и $\textstyle {\mathcal {C}}$ ,
главный ключ $\textstyle K_{m}$ .

Извлечение : этот алгоритм запускается PKG, когда пользователь запрашивает свой закрытый ключ. Обратите внимание, что проверка подлинности запрашивающего и безопасная транспортировка $\textstyle d$ — это проблемы, с которыми протоколы IBE не пытаются справиться. В качестве входных данных принимается $\textstyle {\mathcal {P}}$ , $\textstyle K_{m}$ и идентификатор $\textstyle ID\in \left\{0,1\right\}^{*}$ и возвращает закрытый ключ $\textstyle d$ для пользователя $\textstyle ID$ .
Шифрование : занимает $\textstyle {\mathcal {P}}$ , сообщение $\textstyle m\in {\mathcal {M}}$ и $\textstyle ID\in \left\{0,1\right\}^{*}$ и выводит шифрование $\textstyle c\in {\mathcal {C}}$ .
Расшифровать : принимает $\textstyle d$ , $\textstyle {\mathcal {P}}$ и $\textstyle c\in {\mathcal {C}}$ и возвращается $\textstyle m\in {\mathcal {M}}$ .

Ограничение корректности

Чтобы вся система работала, необходимо постулировать, что:

\forall m\in {\mathcal {M}},ID\in \left\{0,1\right\}^{*}:\mathrm {Decrypt} \left(\mathrm {Extract} \left({\mathcal {P}},K_{m},ID\right),{\mathcal {P}},\mathrm {Encrypt} \left({\mathcal {P}},m,ID\right)\right)=m

Схемы шифрования

Наиболее эффективные схемы шифрования на основе идентификации в настоящее время основаны на билинейных парах на эллиптических кривых , таких как пары Вейля или Тейта . Первая из этих схем была разработана Дэном Бонехом и Мэтью К. Франклином (2001) и выполняет вероятностное шифрование произвольных зашифрованных текстов с использованием подхода, подобного Эльгамалю . Хотя схема Бонеха-Франклина доказуемо безопасна , доказательство безопасности основано на относительно новых предположениях о сложности задач в определенных группах эллиптических кривых.

Другой подход к шифрованию на основе личности был предложен Клиффордом Коксом в 2001 году. Схема IBE Кокса основана на хорошо изученных предположениях ( предположение квадратичной невязки ), но шифрует сообщения побитно с высокой степенью расширения зашифрованного текста . Таким образом, крайне неэффективно и непрактично отправлять все сообщения, кроме самых коротких, таких как сеансовый ключ для использования с симметричным шифром .

Третий подход к IBE заключается в использовании решеток.

Алгоритмы шифрования на основе личности

Ниже перечислены практические алгоритмы шифрования на основе личности.

Боне-Франклин (BF-IBE).
Сакаи-Касахара (SK-IBE). ^{[ 7 ]}
Боне-Бойен (BB-IBE). ^{[ 8 ]}

Все эти алгоритмы имеют доказательства безопасности .

Преимущества

Одним из основных преимуществ любой схемы шифрования на основе личности является то, что при наличии только конечного числа пользователей после того, как всем пользователям были выданы ключи, секрет третьей стороны может быть уничтожен. Это может произойти, поскольку данная система предполагает, что после выдачи ключи всегда действительны (поскольку в этой базовой системе отсутствует метод отзыва ключей ). Большинство производных этой системы, имеющих отзыв ключа, теряют это преимущество.

Более того, поскольку открытые ключи получаются из идентификаторов, IBE устраняет необходимость в инфраструктуре распространения открытых ключей. Подлинность открытых ключей гарантируется неявно , пока передача личных ключей соответствующему пользователю сохраняется в безопасности ( аутентичность , целостность , конфиденциальность ).

Помимо этих аспектов, IBE предлагает интересные функции, связанные с возможностью кодирования дополнительной информации в идентификатор. Например, отправитель может указать дату истечения срока действия сообщения. Он добавляет эту временную метку к фактической личности получателя (возможно, используя какой-то двоичный формат, например X.509). Когда получатель связывается с PKG для получения закрытого ключа для этого открытого ключа, PKG может оценить идентификатор и отклонить извлечение, если дата истечения срока действия прошла. Как правило, встраивание данных в идентификатор соответствует открытию дополнительного канала между отправителем и PKG, подлинность которого гарантируется за счет зависимости закрытого ключа от идентификатора.

Недостатки

Если генератор закрытых ключей (PKG) скомпрометирован, все сообщения, защищенные в течение всего срока службы пары открытого и закрытого ключей, используемой этим сервером, также будут скомпрометированы. Это делает ПКГ ценной целью для противников. Чтобы ограничить риск заражения из-за скомпрометированного сервера, главную пару частного и открытого ключей можно обновить новой независимой парой ключей. Однако это создает проблему управления ключами, когда все пользователи должны иметь самый последний открытый ключ для сервера.
Поскольку генератор закрытых ключей (PKG) генерирует закрытые ключи для пользователей, он может расшифровать и/или подписать любое сообщение без авторизации. Это означает, что системы IBS не могут использоваться для обеспечения неотказуемости . Это может не быть проблемой для организаций, которые размещают собственный PKG и готовы доверять своим системным администраторам и не требуют неотказуемости.
Проблема неявного депонирования ключей не существует в существующей системе PKI , в которой закрытые ключи обычно генерируются на компьютере пользователя. В зависимости от контекста хранение ключей можно рассматривать как положительную особенность (например, на предприятиях). Был предложен ряд вариантов систем, которые устраняют условное депонирование, включая шифрование на основе сертификатов , совместное использование секретов , шифрование с безопасным выпуском ключей и криптографию без сертификатов .
Защищенный канал между пользователем и генератором закрытых ключей (PKG) необходим для передачи закрытого ключа при присоединении к системе. В данном случае соединение типа SSL является распространенным решением для крупномасштабной системы. Важно отметить, что пользователи, имеющие учетные записи в PKG, должны иметь возможность аутентифицировать себя. В принципе, этого можно достичь с помощью имени пользователя, пароля или пар открытых ключей, управляемых на смарт-картах.
Решения IBE могут основываться на криптографических методах, которые небезопасны против атак квантового компьютера, взламывающих код (см. алгоритм Шора ).

См. также

Ссылки

^ Шамир, Ади (1984). «Криптосистемы, основанные на идентичности, и схемы подписи». В Блейкли, Греция; Чаум, Дэвид (ред.). Достижения в криптологии, Труды CRYPTO '84, Санта-Барбара, Калифорния, США, 19–22 августа 1984 г., Труды . Конспекты лекций по информатике. Том. 196. Спрингер. стр. 47–53. дои : 10.1007/3-540-39568-7_5 .
^ Боне, Дэн ; Франклин, Мэтью (2003). «Шифрование на основе личности из пары Вейля». SIAM Journal по вычислительной технике . 32 (3): 586–615. дои : 10.1137/S0097539701398521 . МР 2001745 .
^ Кокс, Клиффорд К. (2001). «Схема шифрования на основе идентичности, основанная на квадратичных остатках». В Хонари, Бахрам (ред.). Криптография и кодирование, 8-я Международная конференция IMA, Сайренсестер, Великобритания, 17–19 декабря 2001 г., Материалы . Конспекты лекций по информатике. Том. 2260. Спрингер. стр. 360–363. дои : 10.1007/3-540-45325-3_32 .
^ Джентри, Крейг (2003). «Шифрование на основе сертификатов и проблема отзыва сертификатов» . В Бихаме, Эли (ред.). Достижения в криптологии – EUROCRYPT 2003, Международная конференция по теории и применению криптографических методов, Варшава, Польша, 4–8 мая 2003 г., Материалы . Конспекты лекций по информатике. Том. 2656. Спрингер. стр. 272–293. дои : 10.1007/3-540-39200-9_17 .
^ Ли, Бёнчхон; Бойд, Колин; Доусон, Эд; Ким, Кванджо; Ян, Чонмо; Ю, Сындже (2004). «Выдача безопасного ключа в криптографии на основе идентификаторов» . В Хогане, Джеймс М.; Монтегю, Пол; Первис, Мартин К.; Стекти, Крис (ред.). ACSW Frontiers 2004, 2004 Семинары ACSW – Австралазийский семинар по информационной безопасности (AISW2004), Австралазийский семинар по интеллектуальному анализу данных и веб-аналитике (DMWI2004) и Австралазийский семинар по интернационализации программного обеспечения (AWSI2004), Данидин, Новая Зеландия, январь 2004 г. КРПИТ. Том. 32. Австралийское компьютерное общество. стр. 69–74.
^ Аль-Риями, Саттам С.; Патерсон, Кеннет Г. (2003). «Безсертификационная криптография с открытым ключом» . В Лайхе, Чи-Сунг (ред.). Достижения в криптологии – ASIACRYPT 2003, 9-я Международная конференция по теории и применению криптологии и информационной безопасности, Тайбэй, Тайвань, 30 ноября – 4 декабря 2003 г., Материалы . Конспекты лекций по информатике. Том. 2894. Спрингер. стр. 452–473. дои : 10.1007/978-3-540-40061-5_29 .
^ Сакаи, Рюичи; Касахара, Масао (2003). «Криптосистемы на основе идентификаторов со спариванием на эллиптической кривой» . Архив электронной печати по криптографии .
^ Боне, Дэн ; Бойен, Ксавье (2004). «Эффективное селективное безопасное шифрование на основе идентификации без случайных оракулов» . В Кашене, Кристиан; Камениш, Ян (ред.). Достижения в криптологии – EUROCRYPT 2004, Международная конференция по теории и применению криптографических методов, Интерлакен, Швейцария, 2–6 мая 2004 г., Материалы . Конспекты лекций по информатике. Том. 3027. Спрингер. стр. 223–238. дои : 10.1007/978-3-540-24676-3_14 .

Внешние ссылки

[iseca.org-1] Шамир, Ади (1984). «Криптосистемы, основанные на идентичности, и схемы подписи». В Блейкли, Греция; Чаум, Дэвид (ред.). Достижения в криптологии, Труды CRYPTO '84, Санта-Барбара, Калифорния, США, 19–22 августа 1984 г., Труды . Конспекты лекций по информатике. Том. 196. Спрингер. стр. 47–53. дои : 10.1007/3-540-39568-7_5 .

[2] Боне, Дэн ; Франклин, Мэтью (2003). «Шифрование на основе личности из пары Вейля». SIAM Journal по вычислительной технике . 32 (3): 586–615. дои : 10.1137/S0097539701398521 . МР 2001745 .

[3] Кокс, Клиффорд К. (2001). «Схема шифрования на основе идентичности, основанная на квадратичных остатках». В Хонари, Бахрам (ред.). Криптография и кодирование, 8-я Международная конференция IMA, Сайренсестер, Великобритания, 17–19 декабря 2001 г., Материалы . Конспекты лекций по информатике. Том. 2260. Спрингер. стр. 360–363. дои : 10.1007/3-540-45325-3_32 .

[4] Джентри, Крейг (2003). «Шифрование на основе сертификатов и проблема отзыва сертификатов» . В Бихаме, Эли (ред.). Достижения в криптологии – EUROCRYPT 2003, Международная конференция по теории и применению криптографических методов, Варшава, Польша, 4–8 мая 2003 г., Материалы . Конспекты лекций по информатике. Том. 2656. Спрингер. стр. 272–293. дои : 10.1007/3-540-39200-9_17 .

[5] Ли, Бёнчхон; Бойд, Колин; Доусон, Эд; Ким, Кванджо; Ян, Чонмо; Ю, Сындже (2004). «Выдача безопасного ключа в криптографии на основе идентификаторов» . В Хогане, Джеймс М.; Монтегю, Пол; Первис, Мартин К.; Стекти, Крис (ред.). ACSW Frontiers 2004, 2004 Семинары ACSW – Австралазийский семинар по информационной безопасности (AISW2004), Австралазийский семинар по интеллектуальному анализу данных и веб-аналитике (DMWI2004) и Австралазийский семинар по интернационализации программного обеспечения (AWSI2004), Данидин, Новая Зеландия, январь 2004 г. КРПИТ. Том. 32. Австралийское компьютерное общество. стр. 69–74.

[6] Аль-Риями, Саттам С.; Патерсон, Кеннет Г. (2003). «Безсертификационная криптография с открытым ключом» . В Лайхе, Чи-Сунг (ред.). Достижения в криптологии – ASIACRYPT 2003, 9-я Международная конференция по теории и применению криптологии и информационной безопасности, Тайбэй, Тайвань, 30 ноября – 4 декабря 2003 г., Материалы . Конспекты лекций по информатике. Том. 2894. Спрингер. стр. 452–473. дои : 10.1007/978-3-540-40061-5_29 .

[7] Сакаи, Рюичи; Касахара, Масао (2003). «Криптосистемы на основе идентификаторов со спариванием на эллиптической кривой» . Архив электронной печати по криптографии .

[8] Боне, Дэн ; Бойен, Ксавье (2004). «Эффективное селективное безопасное шифрование на основе идентификации без случайных оракулов» . В Кашене, Кристиан; Камениш, Ян (ред.). Достижения в криптологии – EUROCRYPT 2004, Международная конференция по теории и применению криптографических методов, Интерлакен, Швейцария, 2–6 мая 2004 г., Материалы . Конспекты лекций по информатике. Том. 3027. Спрингер. стр. 223–238. дои : 10.1007/978-3-540-24676-3_14 .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]