Criptografia baseada em identidade - Identity-based encryption

A criptografia baseada em ID , ou criptografia baseada em identidade ( IBE ), é um importante primitivo da criptografia baseada em ID . Como tal, é um tipo de criptografia de chave pública em que a chave pública de um usuário é alguma informação exclusiva sobre a identidade do usuário (por exemplo, o endereço de e-mail de um usuário). Isso significa que um remetente que tem acesso aos parâmetros públicos do sistema pode criptografar uma mensagem usando, por exemplo, o valor de texto do nome do destinatário ou endereço de e-mail como chave. O receptor obtém sua chave de descriptografia de uma autoridade central, que precisa ser confiável, pois gera chaves secretas para cada usuário.

A criptografia baseada em ID foi proposta por Adi Shamir em 1984. No entanto, ele só foi capaz de fornecer uma instanciação de assinaturas baseadas em identidade . A criptografia baseada em identidade permaneceu um problema aberto por muitos anos.

O esquema Boneh-Franklin baseado em emparelhamento e o esquema de criptografia de Cocks baseado em resíduos quadráticos resolveram o problema IBE em 2001.

Uso

Os sistemas baseados em identidade permitem que qualquer parte gere uma chave pública a partir de um valor de identidade conhecido, como uma string ASCII. Um terceiro confiável, chamado Private Key Generator (PKG), gera as chaves privadas correspondentes. Para operar, o PKG primeiro publica uma chave pública mestra e retém a chave privada mestra correspondente (conhecida como chave mestra ). Dada a chave pública mestra, qualquer parte pode calcular uma chave pública correspondente à identidade combinando a chave pública mestra com o valor da identidade. Para obter uma chave privada correspondente, a parte autorizada a usar o ID de identidade contata o PKG, que usa a chave privada mestra para gerar a chave privada para o ID de identidade .

Como resultado, as partes podem criptografar mensagens (ou verificar assinaturas) sem distribuição prévia de chaves entre participantes individuais. Isso é extremamente útil nos casos em que a pré-distribuição de chaves autenticadas é inconveniente ou inviável devido a restrições técnicas. No entanto, para descriptografar ou assinar mensagens, o usuário autorizado deve obter a chave privada apropriada do PKG. Uma ressalva dessa abordagem é que o PKG deve ser altamente confiável, pois é capaz de gerar a chave privada de qualquer usuário e pode, portanto, descriptografar (ou assinar) mensagens sem autorização. Como a chave privada de qualquer usuário pode ser gerada por meio do uso do segredo de terceiros, esse sistema possui depósito de chave inerente . Vários sistemas variantes foram propostos que removem o depósito, incluindo criptografia baseada em certificado , criptografia de emissão de chave segura e criptografia sem certificado .

As etapas envolvidas são descritas neste diagrama:

Criptografia baseada em ID: etapas offline e online

Estrutura do protocolo

Dan Boneh e Matthew K. Franklin definiram um conjunto de quatro algoritmos que formam um sistema IBE completo:

• Configuração : Este algoritmo é executado pelo PKG uma vez para criar todo o ambiente IBE. A chave mestra é mantida em segredo e usada para derivar as chaves privadas dos usuários, enquanto os parâmetros do sistema são tornados públicos. Ele aceita um parâmetro de segurança (ou seja, comprimento binário do material da chave) e produz: ${\ displaystyle \ textstyle k}$

1. Um conjunto de parâmetros do sistema, incluindo o espaço da mensagem e o espaço do texto cifrado e , ${\ displaystyle \ textstyle {\ mathcal {P}}}$ ${\ displaystyle \ textstyle {\ mathcal {M}}}$${\ displaystyle \ textstyle {\ mathcal {C}}}$
2. uma chave mestra . ${\ displaystyle \ textstyle K_ {m}}$

• Extrair : Este algoritmo é executado pelo PKG quando um usuário solicita sua chave privada. Observe que a verificação da autenticidade do solicitante e o transporte seguro de são problemas com os quais os protocolos IBE não tentam lidar. Toma como entrada , e um identificador e retorna a chave privada para o usuário . ${\ displaystyle \ textstyle d}$${\ displaystyle \ textstyle {\ mathcal {P}}}$${\ displaystyle \ textstyle K_ {m}}$${\ displaystyle \ textstyle ID \ in \ left \ {0,1 \ right \} ^ {*}}$${\ displaystyle \ textstyle d}$${\ displaystyle \ textstyle ID}$
• Criptografar : Toma , uma mensagem e e envia a criptografia . ${\ displaystyle \ textstyle {\ mathcal {P}}}$${\ displaystyle \ textstyle m \ in {\ mathcal {M}}}$${\ displaystyle \ textstyle ID \ in \ left \ {0,1 \ right \} ^ {*}}$${\ displaystyle \ textstyle c \ in {\ mathcal {C}}}$
• Decrypt : Aceita , e e retorna . ${\ displaystyle \ textstyle d}$${\ displaystyle \ textstyle {\ mathcal {P}}}$${\ displaystyle \ textstyle c \ in {\ mathcal {C}}}$${\ displaystyle \ textstyle m \ in {\ mathcal {M}}}$

Restrição de exatidão

Para que todo o sistema funcione, é necessário postular que:

${\ displaystyle \ forall m \ in {\ mathcal {M}}, ID \ in \ left \ {0,1 \ right \} ^ {*}: \ mathrm {Decrypt} \ left (\ mathrm {Extrair} \ left ({\ mathcal {P}}, K_ {m}, ID \ right), {\ mathcal {P}}, \ mathrm {Encrypt} \ left ({\ mathcal {P}}, m, ID \ right) \ direita) = m}$

Esquemas de criptografia

Os esquemas de criptografia baseados em identidade mais eficientes são atualmente baseados em emparelhamentos bilineares em curvas elípticas , como os emparelhamentos de Weil ou Tate . O primeiro desses esquemas foi desenvolvido por Dan Boneh e Matthew K. Franklin (2001) e executa a criptografia probabilística de textos cifrados arbitrários usando uma abordagem semelhante à de Elgamal . Embora o esquema Boneh-Franklin seja comprovadamente seguro , a prova de segurança baseia-se em suposições relativamente novas sobre a dureza dos problemas em certos grupos de curvas elípticas.

Outra abordagem para criptografia baseada em identidade foi proposta por Clifford Cocks em 2001. O esquema Cocks IBE é baseado em suposições bem estudadas (a suposição de residuosidade quadrática ), mas criptografa mensagens um bit por vez com um alto grau de expansão do texto cifrado . Portanto, é altamente ineficiente e impraticável para enviar todas as mensagens, exceto as mais curtas, como uma chave de sessão para uso com uma cifra simétrica .

Uma terceira abordagem para IBE é através do uso de reticulados.

Algoritmos de criptografia baseados em identidade

O seguinte lista algoritmos de criptografia práticos baseados em identidade

• Boneh-Franklin (BF-IBE).
• Sakai – Kasahara (SK-IBE).
• Boneh – Boyen (BB-IBE).

Todos esses algoritmos possuem provas de segurança .

Vantagens

Uma das principais vantagens de qualquer esquema de criptografia baseado em identidade é que, se houver apenas um número finito de usuários, depois que todos os usuários tiverem recebido as chaves, o segredo do terceiro poderá ser destruído. Isso pode ocorrer porque este sistema assume que, uma vez emitidas, as chaves são sempre válidas (pois este sistema básico carece de um método de revogação de chave ). A maioria dos derivados desse sistema que possuem revogação de chave perdem essa vantagem.

Além disso, como as chaves públicas são derivadas de identificadores, o IBE elimina a necessidade de uma infraestrutura de distribuição de chaves públicas. A autenticidade das chaves públicas é garantida implicitamente, desde que o transporte das chaves privadas ao usuário correspondente seja mantido em segurança ( autenticidade , integridade , confidencialidade ).

Além desses aspectos, o IBE oferece recursos interessantes que emanam da possibilidade de codificar informações adicionais no identificador. Por exemplo, um remetente pode especificar uma data de expiração para uma mensagem. Ele anexa esse carimbo de data / hora à identidade do destinatário real (possivelmente usando algum formato binário como X.509). Quando o receptor contata o PKG para recuperar a chave privada para esta chave pública, o PKG pode avaliar o identificador e recusar a extração se a data de expiração já tiver passado. Geralmente, a incorporação de dados no ID corresponde à abertura de um canal adicional entre o remetente e o PKG com autenticidade garantida pela dependência da chave privada no identificador.

Inconvenientes

• Se um Gerador de Chave Privada (PKG) for comprometido, todas as mensagens protegidas durante toda a vida útil do par de chaves pública-privada usado por esse servidor também serão comprometidas. Isso torna o PKG um alvo de alto valor para os adversários. Para limitar a exposição devido a um servidor comprometido, o par de chaves pública-privada mestre pode ser atualizado com um novo par de chaves independente. No entanto, isso introduz um problema de gerenciamento de chaves em que todos os usuários devem ter a chave pública mais recente para o servidor.
• Como o Private Key Generator (PKG) gera chaves privadas para os usuários, ele pode descriptografar e / ou assinar qualquer mensagem sem autorização. Isso implica que os sistemas IBS não podem ser usados ​​para o não repúdio . Isso pode não ser um problema para organizações que hospedam seu próprio PKG e desejam confiar em seus administradores de sistema e não exigem o não repúdio.
• O problema de caução de chave implícita não existe com o sistema PKI atual , em que as chaves privadas são geralmente geradas no computador do usuário. Dependendo do contexto, o escrow da chave pode ser visto como uma característica positiva (por exemplo, dentro de empresas). Vários sistemas variantes foram propostos que removem o escrow, incluindo criptografia baseada em certificado , compartilhamento de segredos , criptografia de emissão de chave segura e criptografia sem certificado .
• Um canal seguro entre um usuário e o Gerador de Chave Privada (PKG) é necessário para transmitir a chave privada ao ingressar no sistema. Aqui, uma conexão semelhante a SSL é uma solução comum para um sistema de grande escala. É importante observar que os usuários que possuem contas no PKG devem ser capazes de se autenticar. Em princípio, isso pode ser feito por meio de nome de usuário, senha ou pares de chaves públicas gerenciadas em cartões inteligentes.
• As soluções IBE podem contar com técnicas criptográficas que não são seguras contra ataques quânticos de computador (veja o algoritmo de Shor )

Veja também

• Criptografia baseada em ID
• Re-criptografia de proxy condicional baseada em identidade
• Criptografia baseada em atributos

Referências

links externos

• Seminário 'Criptografia e Segurança em Bancos' / 'Criptologia Alternativa', Ruhr University Bochum, Alemanha
• RFC 5091 - o RFC IETF que define dois algoritmos IBE comuns
• HP Role-Based Encryption
• The Pairing-Based Crypto Lounge
• The Voltage Security Network - serviço da web de criptografia IBE
• Relatório de analista sobre o custo de IBE versus PKI