Borrador algebraico

Algebraic Eraser ( AE ) ^{[nota 1]} es un protocolo de acuerdo de clave anónima que permite a dos partes, cada una con un par de claves pública-privada AE, establecer un secreto compartido a través de un canal inseguro . ^[1] Este secreto compartido puede usarse directamente como clave, o para derivar otra clave que luego puede usarse para cifrar comunicaciones posteriores utilizando un cifrado de clave simétrica . Algebraic Eraser fue desarrollado por Iris Anshel, Michael Anshel, Dorian Goldfeld y Stephane Lemieux. SecureRF posee patentes que cubren el protocolo ^[2] e intentó sin éxito (a julio de 2019) estandarizar el protocolo como parte de ISO/IEC 29167-20, ^[3] un estándar para proteger dispositivos de identificación por radiofrecuencia y redes de sensores inalámbricos .

Parámetros del conjunto de claves

Antes de que dos partes puedan establecer una clave, primero deben acordar un conjunto de parámetros, denominados parámetros del conjunto de claves. Estos parámetros comprenden:

${\estilo de visualización N}$ , el número de hebras en la trenza,
${\estilo de visualización q}$ , el tamaño del campo finito , $\mathbb {F}_{q}$
$Estilo de visualización M_ {*}}$ , la matriz de semillas NxN inicial en , $\mathbb {F}_{q}$
$\mathrm {T}$ , un conjunto de elementos en el campo finito (también llamados valores T), y ${\estilo de visualización N}$ $\mathbb {F}_{q}$
${\estilo de visualización A,B}$ un conjunto de conjugados en el grupo trenzado diseñados para conmutar entre sí.

Multiplicación de E

La operación fundamental del Borrador Algebraico es una función unidireccional llamada E-multiplicación. Dada una matriz, una permutación, un generador de Artin en el grupo de trenzas y valores T, se aplica la E-multiplicación convirtiendo el generador en una matriz de Burau coloreada y una permutación de trenzas, , aplicando la permutación y los valores T, y luego multiplicando las matrices y las permutaciones. El resultado de la E-multiplicación es en sí mismo un par de matriz y permutación: . ${\estilo de visualización \beta}$ $(CB(\beta ),\sigma _{\beta })$ $(M',\sigma ')=(M,\sigma _{0})*(CB(\beta ),\sigma _{\beta })$

Protocolo de establecimiento de claves

El siguiente ejemplo ilustra cómo establecer una clave. Supongamos que Alice quiere establecer una clave compartida con Bob , pero el único canal disponible puede estar interceptado por un tercero. Inicialmente, Alice y Bob deben ponerse de acuerdo sobre los parámetros del conjunto de claves que utilizarán.

Cada parte debe tener un par de claves derivado del conjunto de claves, que consiste en una clave privada (por ejemplo, en el caso de Alice), donde es un polinomio seleccionado aleatoriamente de la matriz de semillas y una trenza, que es un conjunto seleccionado aleatoriamente de conjugados e inversos elegidos entre los parámetros del conjunto de claves (A para Alice y B para Bob, donde (para Alice) ). $(m_{A},\mathrm {B}_{a})$ $Estilo de visualización mA$ $m_{A}=\sum _{i=0}^{N-1}{a_{i}M_{*}^{i}}$ $\mathrm {B}_{a}=\prod_{i=1}^{k}A_{i}^{\pm 1}$

A partir de su material de clave privada, Alice y Bob calculan cada uno su clave pública y donde, por ejemplo, , es decir, el resultado de la E-multiplicación de la matriz privada y la permutación identidad con la trenza privada. $(Pub_{A},\sigma _{a})$ $(Pub_{B},\sigma _{b})$ $(Pub_{A},\sigma _{a})=(m_{A},id)*b_{a}$

Cada parte debe conocer la clave pública de la otra parte antes de la ejecución del protocolo.

Para calcular el secreto compartido, Alice calcula y Bob calcula . El secreto compartido es el par matriz/permutación , que es igual a . Los secretos compartidos son iguales porque los conjuntos conjugados y se eligen para conmutar y tanto Alice como Bob usan la misma matriz semilla y los mismos valores T . $(S_{ab},\sigma _{ab})=(m_{A}Pub_{B},\sigma _{b})*\mathrm {B} _{a}$ $(S_{ba},\sigma _{ba})=(m_{B}Pub_{A},\sigma _{a})*\mathrm {B} _{b}$ $(S_{ab},\sigma _{ab})$ ${\ Displaystyle (S_ {ba}, \ sigma _ {ba})}$ ${\estilo de visualización A}$ ${\estilo de visualización B}$ $Estilo de visualización M_ {*}}$ $\mathrm {T}$

La única información sobre su clave privada que Alice expone inicialmente es su clave pública. Por lo tanto, ninguna otra parte aparte de Alice puede determinar la clave privada de Alice, a menos que esa parte pueda resolver el problema de búsqueda por separación por conjugación simultánea del grupo Braid. La clave privada de Bob es igualmente segura. Ninguna otra parte aparte de Alice o Bob puede calcular el secreto compartido, a menos que esa parte pueda resolver el problema de Diffie-Hellman .

Las claves públicas son estáticas (y confiables, por ejemplo, a través de un certificado) o efímeras. Las claves efímeras son temporales y no necesariamente autenticadas, por lo que si se desea la autenticación, se deben obtener garantías de autenticidad por otros medios. La autenticación es necesaria para evitar ataques de intermediarios . Si una de las claves públicas de Alice o Bob es estática, se frustran los ataques de intermediarios. Las claves públicas estáticas no proporcionan ni confidencialidad hacia adelante ni resiliencia a la suplantación de identidad por vulneración de claves, entre otras propiedades de seguridad avanzadas. Los titulares de claves privadas estáticas deben validar la otra clave pública y deben aplicar una función de derivación de clave segura al secreto compartido Diffie-Hellman sin procesar para evitar filtrar información sobre la clave privada estática.

Seguridad

La seguridad de AE se basa en el Problema de Búsqueda de Conjugación Simultánea Generalizada (GSCSP) ^[4] dentro del grupo trenzado . Este es un problema difícil distinto y distinto del Problema de Búsqueda de Conjugación (CSP), que ha sido el problema difícil central en lo que se denomina criptografía de grupo trenzado . ^[5] Incluso si el CSP se rompe de manera uniforme (lo que no se ha hecho hasta la fecha), no se sabe cómo esto facilitaría una ruptura del GSCSP.

Ataques conocidos

El primer ataque de Kalka, Teicher y Tsaban muestra una clase de claves débiles cuando se eligen o de forma aleatoria. ^[6] Los autores de Algebraic Eraser continuaron con una versión preliminar sobre cómo elegir parámetros que no sean propensos al ataque. ^[7] Ben-Zvi, Blackburn y Tsaban mejoraron el primer ataque para convertirlo en uno que, según afirman los autores, puede romper los parámetros de seguridad publicitados (que se dice que proporcionan seguridad de 128 bits) utilizando menos de 8 horas de CPU y menos de 64 MB de memoria. ^[8] Anshel, Atkins y Goldfeld respondieron a este ataque en enero de 2016. ^[9] $Estilo de visualización M_ {*}}$ $Estilo de visualización mA$

Un segundo ataque de Myasnikov y Ushakov, publicado como preimpresión, muestra que los conjugados elegidos con una trenza conjugadora demasiado corta se pueden separar, rompiendo el sistema. ^[10] Este ataque fue refutado por Gunnells, al demostrar que las trenzas conjugadoras de tamaño adecuado no se pueden separar. ^[4]

En 2016, Simon R. Blackburn y Matthew JB Robshaw publicaron una serie de ataques prácticos contra el borrador de enero de 2016 del protocolo inalámbrico ISO/IEC 29167-20, incluida la suplantación de una etiqueta de destino con una cantidad insignificante de tiempo y memoria y la recuperación completa de la clave privada que requiere 2,49 ^de tiempo y 2,48 ^de memoria. ^[11] Atkins y Goldfeld respondieron que agregar un hash o un código de autenticación de mensajes al borrador del protocolo derrota estos ataques. ^[12]

Véase también

Notas

^ También conocido como protocolo de acuerdo de clave de Burau coloreado ( CBKAP ), protocolo de acuerdo de clave de Anshel–Anshel–Goldfeld–Lemieux , protocolo de acuerdo de clave de Borrador algebraico ( AEKAP ) y protocolo de acuerdo de clave de Borrador algebraico Diffie–Hellman ( AEDH ).

Referencias

^ Anshel, I.; Anshel, M.; Goldfeld, D .; Lemieux, S. (2006). "Concordancia de claves, el borrador algebraico y la criptografía ligera" (PDF) . Métodos algebraicos en criptografía . Vol. 418. Contemp. Math.: American Mathematical Society. págs. 1–34. ISBN 978-0-8218-4037-5.
^ Goodin, Dan (17 de noviembre de 2015). "Por qué Algebraic Eraser puede ser el criptosistema más riesgoso del que jamás hayas oído hablar". Ars Technica .
^ ISO/IEC AWI 29167-20 – Tecnología de la información – Técnicas de captura de datos e identificación automática – Parte 20: Servicios de seguridad de la suite criptográfica Algebraic Eraser para comunicaciones de interfaz aérea. Borrador de trabajo.
^ ab Gunnells, PE (2011). "Sobre el criptoanálisis del problema de búsqueda de conjugación simultánea generalizada y la seguridad del borrador algebraico". arXiv : 1105.1141 [cs.CR].
^ Dehornoy, Patrick (2004). "Criptografía basada en trenzas". Teoría de grupos, estadística y criptografía . Matemáticas contemporáneas. Vol. 360. Sociedad Matemática Americana. págs. 5–33. CiteSeerX 10.1.1.10.1759 . doi :10.1090/conm/360/06566. ISBN . 9780821834442.Sr. 2105432 .
^ Kalka A, Teicher M , Tsaban B (2012). "Expresiones breves de permutaciones como productos y criptoanálisis del borrador algebraico". Avances en matemáticas aplicadas . 49 (1): 57–76. arXiv : 0804.0629 . Código Bibliográfico :2008arXiv0804.0629K. doi :10.1016/j.aam.2012.03.001. S2CID 10040122.
^ Goldfield, D .; Gunnels, PE (2012). "Derrotando el ataque del álgebra lineal Kalka-Teicher-Tsaban al borrador algebraico". arXiv : 1202.0598 [cs.CR].
^ Ben-Zvi, A, Blackburn, Simon R, Tsaban B (2016). "Un criptoanálisis práctico del borrador algebraico". Avances en criptología – CRYPTO 2016. Apuntes de clase en informática. Vol. 9814. Springer. págs. 179–189. arXiv : 1511.03870 . CiteSeerX 10.1.1.738.4755 . doi :10.1007/978-3-662-53018-4_7. ISBN . 978-3-662-53018-4. Número de identificación del sujeto 1277023.
^ Anshel, I.; Atkins, D .; Goldfeld, D.; Gunnels, PE (2016). "Derrotando el ataque de Ben-Zvi, Blackburn y Tsaban al borrador algebraico". arXiv : 1601.04780 [cs.CR].
^ Myasnikov AD, Ushakov A (2008). "Criptoanálisis del protocolo de acuerdo de claves Anshel-Anshel-Goldfeld-Lemieux". arXiv : 0801.4786 [math.GR].
^ Blackburn, Simon R.; Robshaw, MJB (2016). "Sobre la seguridad del protocolo de autenticación de etiqueta de borrador algebraico" (PDF) . Applied Cryptography and Network Security . Lecture Notes in Computer Science. Vol. 9696. págs. 3–17. arXiv : 1602.00860 . doi :10.1007/978-3-319-39555-5_1. ISBN 978-3-319-39554-8. Número de identificación del sujeto 371335.
^ Derek Atkins ; Dorian Goldfeld (25 de febrero de 2016). "Abordar el protocolo inalámbrico Diffie–Hellman de Algebraic Eraser". Archivo de criptografía electrónica . IACR.

Enlaces externos

Página de inicio de SecureRF