Cifrado basado en identidad

El cifrado basado en identidad ( IBE ) es una primitiva importante de la criptografía basada en identidad . Como tal, es un tipo de cifrado de clave pública en el que la clave pública de un usuario es información única sobre la identidad del usuario (por ejemplo, la dirección de correo electrónico de un usuario). Esto significa que un remitente que tiene acceso a los parámetros públicos del sistema puede cifrar un mensaje utilizando, por ejemplo, el valor de texto del nombre o la dirección de correo electrónico del receptor como clave. El receptor obtiene su clave de descifrado de una autoridad central, en la que se debe confiar ya que genera claves secretas para cada usuario.

El cifrado basado en identidad fue propuesto por Adi Shamir en 1984. ^[1] Sin embargo, solo pudo proporcionar una instancia de firmas basadas en identidad . El cifrado basado en la identidad siguió siendo un problema abierto durante muchos años.

El esquema Boneh-Franklin basado en emparejamiento ^[2] y el esquema de cifrado de Cocks ^[3] basado en residuos cuadráticos resolvieron el problema de la EIB en 2001.

Uso

Los sistemas basados ​​en identidad permiten que cualquier parte genere una clave pública a partir de un valor de identidad conocido, como una cadena ASCII. Un tercero de confianza, llamado Generador de claves privadas (PKG), genera las claves privadas correspondientes. Para funcionar, el PKG primero publica una clave pública maestra y conserva la clave privada maestra correspondiente (denominada clave maestra ). Dada la clave pública maestra, cualquier parte puede calcular una clave pública correspondiente a la identidad combinando la clave pública maestra con el valor de identidad. Para obtener la clave privada correspondiente, la parte autorizada a utilizar el ID de identidad se pone en contacto con el PKG, que utiliza la clave privada maestra para generar la clave privada para el ID de identidad .

Como resultado, las partes pueden cifrar mensajes (o verificar firmas) sin distribución previa de claves entre los participantes individuales. Esto es extremadamente útil en los casos en los que la distribución previa de claves autenticadas es inconveniente o inviable debido a restricciones técnicas. Sin embargo, para descifrar o firmar mensajes, el usuario autorizado debe obtener la clave privada adecuada del PKG. Una advertencia de este enfoque es que el PKG debe ser altamente confiable, ya que es capaz de generar la clave privada de cualquier usuario y, por lo tanto, puede descifrar (o firmar) mensajes sin autorización. Debido a que la clave privada de cualquier usuario puede generarse mediante el uso del secreto de un tercero, este sistema tiene un depósito de clave inherente . Se han propuesto varios sistemas variantes que eliminan el depósito en garantía, incluido el cifrado basado en certificados , ^[4] criptografía de emisión de claves seguras ^[5] y criptografía sin certificados . ^[6]

Los pasos involucrados se muestran en este diagrama:

Cifrado basado en ID: pasos en línea y sin conexión

Marco de protocolo

Dan Boneh y Matthew K. Franklin definieron un conjunto de cuatro algoritmos que forman un sistema IBE completo:

• Configuración : PKG ejecuta este algoritmo una vez para crear todo el entorno IBE. La clave maestra se mantiene en secreto y se utiliza para derivar las claves privadas de los usuarios, mientras que los parámetros del sistema se hacen públicos. Acepta un parámetro de seguridad (es decir, longitud binaria del material de clave) y genera: ${\displaystyle \textstyle k}$

1. Un conjunto de parámetros del sistema, incluido el espacio de mensajes y el espacio de texto cifrado y , ${\displaystyle \textstyle {\mathcal {P}}}$ ${\displaystyle \textstyle {\mathcal {M}}}$ ${\displaystyle \textstyle {\mathcal {C}}}$
2. una llave maestra . ${\displaystyle \textstyle K_{m}}$

• Extracto : este algoritmo lo ejecuta el PKG cuando un usuario solicita su clave privada. Tenga en cuenta que la verificación de la autenticidad del solicitante y el transporte seguro son problemas que los protocolos IBE no intentan abordar. Toma como entrada un identificador y devuelve la clave privada para el usuario . ${\displaystyle \textstyle d}$ ${\displaystyle \textstyle {\mathcal {P}}}$ ${\displaystyle \textstyle K_{m}}$ ${\displaystyle \textstyle ID\in \left\{0,1\right\}^{*}}$ ${\displaystyle \textstyle d}$ ${\displaystyle \textstyle ID}$
• Cifrar : toma un mensaje y genera el cifrado . ${\displaystyle \textstyle {\mathcal {P}}}$ ${\displaystyle \textstyle m\in {\mathcal {M}}}$ ${\displaystyle \textstyle ID\in \left\{0,1\right\}^{*}}$ ${\displaystyle \textstyle c\in {\mathcal {C}}}$
• Descifrar : Acepta y devuelve . ${\displaystyle \textstyle d}$ ${\displaystyle \textstyle {\mathcal {P}}}$ ${\displaystyle \textstyle c\in {\mathcal {C}}}$ ${\displaystyle \textstyle m\in {\mathcal {M}}}$

Restricción de corrección

Para que todo el sistema funcione es necesario postular que:

${\displaystyle \forall m\in {\mathcal {M}},ID\in \left\{0,1\right\}^{*}:\mathrm {Decrypt} \left(\mathrm {Extract} \left({\mathcal {P}},K_{m},ID\right),{\mathcal {P}},\mathrm {Encrypt} \left({\mathcal {P}},m,ID\right)\right)=m}$

Esquemas de cifrado

Los esquemas de cifrado basados ​​en identidad más eficientes se basan actualmente en emparejamientos bilineales sobre curvas elípticas , como los emparejamientos de Weil o Tate . El primero de estos esquemas fue desarrollado por Dan Boneh y Matthew K. Franklin (2001) y realiza cifrado probabilístico de textos cifrados arbitrarios utilizando un enfoque similar al de Elgamal . Aunque el esquema Boneh-Franklin es demostrablemente seguro , la prueba de seguridad se basa en suposiciones relativamente nuevas sobre la dureza de los problemas en ciertos grupos de curvas elípticas.

Clifford Cocks propuso otro enfoque para el cifrado basado en identidad en 2001. El esquema IBE de Cocks se basa en suposiciones bien estudiadas (el supuesto de residuosidad cuadrática ), pero cifra los mensajes bit a bit con un alto grado de expansión del texto cifrado . Por lo tanto, es muy ineficiente y poco práctico para enviar todos los mensajes excepto los más cortos, como una clave de sesión para usar con un cifrado simétrico .

Un tercer enfoque para la EIB es mediante el uso de celosías.

Algoritmos de cifrado basados ​​en identidad

A continuación se enumeran algoritmos prácticos de cifrado basados ​​en identidad.

• Boneh – Franklin (BF-IBE).
• Sakai-Kasahara (SK-IBE). ^[7]
• Boneh-Boyen (BB-IBE). ^[8]

Todos estos algoritmos tienen pruebas de seguridad .

Ventajas

Una de las principales ventajas de cualquier esquema de cifrado basado en identidad es que si sólo hay un número finito de usuarios, después de que a todos los usuarios se les hayan entregado claves, el secreto del tercero puede destruirse. Esto puede ocurrir porque este sistema supone que, una vez emitidas, las claves siempre son válidas (ya que este sistema básico carece de un método de revocación de claves). La mayoría de derivados de este sistema que tienen revocación de clave pierden esta ventaja.

Además, como las claves públicas se derivan de identificadores, IBE elimina la necesidad de una infraestructura de distribución de claves públicas. La autenticidad de las claves públicas está garantizada implícitamente siempre que se mantenga seguro el transporte de las claves privadas al usuario correspondiente ( autenticidad , integridad , confidencialidad ).

Aparte de estos aspectos, IBE ofrece características interesantes que surgen de la posibilidad de codificar información adicional en el identificador. Por ejemplo, un remitente podría especificar una fecha de vencimiento para un mensaje. Agrega esta marca de tiempo a la identidad del destinatario real (posiblemente usando algún formato binario como X.509). Cuando el receptor contacta al PKG para recuperar la clave privada de esta clave pública, el PKG puede evaluar el identificador y rechazar la extracción si la fecha de vencimiento ha pasado. Generalmente, incrustar datos en el ID corresponde a abrir un canal adicional entre el remitente y PKG con autenticidad garantizada mediante la dependencia de la clave privada del identificador.

Desventajas

• Si un generador de claves privadas (PKG) se ve comprometido, todos los mensajes protegidos durante toda la vida útil del par de claves pública-privada utilizado por ese servidor también se ven comprometidos. Esto convierte al PKG en un objetivo de gran valor para los adversarios. Para limitar la exposición debida a un servidor comprometido, el par de claves pública y privada maestra podría actualizarse con un nuevo par de claves independiente. Sin embargo, esto introduce un problema de administración de claves donde todos los usuarios deben tener la clave pública más reciente para el servidor.
• Debido a que el Generador de claves privadas (PKG) genera claves privadas para los usuarios, puede descifrar y/o firmar cualquier mensaje sin autorización. Esto implica que los sistemas IBS no se pueden utilizar para no repudio . Puede que esto no sea un problema para las organizaciones que alojan su propio PKG y están dispuestas a confiar en sus administradores de sistemas y no exigen el no repudio.
• La cuestión del depósito de claves implícitas no existe con el sistema PKI actual , en el que las claves privadas generalmente se generan en la computadora del usuario. Dependiendo del contexto, la custodia de claves puede verse como una característica positiva (por ejemplo, dentro de las empresas). Se han propuesto varios sistemas variantes que eliminan el depósito en garantía, incluido el cifrado basado en certificados , el intercambio de secretos , la criptografía de emisión de claves seguras y la criptografía sin certificados .
• Se requiere un canal seguro entre un usuario y el Generador de clave privada (PKG) para transmitir la clave privada al unirse al sistema. En este caso, una conexión tipo SSL es una solución común para un sistema a gran escala. Es importante observar que los usuarios que tienen cuentas con PKG deben poder autenticarse. En principio, esto puede lograrse mediante nombre de usuario, contraseña o mediante pares de claves públicas gestionadas en tarjetas inteligentes.
• Las soluciones IBE pueden depender de técnicas criptográficas que son inseguras contra ataques informáticos cuánticos que rompen códigos (consulte el algoritmo de Shor ).

Ver también

• Criptografía basada en identidad
• Cifrado de proxy condicional basado en identidad
• Cifrado basado en atributos

Referencias

1. Shamir, Adi (1984). "Criptosistemas basados ​​en identidad y esquemas de firma". En Blakeley, GR; Chaum, David (eds.). Avances en criptología, Actas de CRYPTO '84, Santa Bárbara, California, EE. UU., 19 al 22 de agosto de 1984, Actas . Apuntes de conferencias sobre informática. vol. 196. Saltador. págs. 47–53. doi : 10.1007/3-540-39568-7_5 .
2. Boneh, Dan ; Franklin, Mateo (2003). "Cifrado basado en identidad del emparejamiento Weil". Revista SIAM de Computación . 32 (3): 586–615. doi :10.1137/S0097539701398521. SEÑOR  2001745.
3. Pollas, Clifford C. (2001). "Un esquema de cifrado basado en identidad basado en residuos cuadráticos". En Honary, Bahram (ed.). Criptografía y codificación, octava conferencia internacional de IMA, Cirencester, Reino Unido, 17 al 19 de diciembre de 2001, Actas . Apuntes de conferencias sobre informática. vol. 2260. Saltador. págs. 360–363. doi :10.1007/3-540-45325-3_32.
4. Gentry, Craig (2003). "Cifrado basado en certificados y el problema de la revocación de certificados". En Biham, Eli (ed.). Avances en criptología - EUROCRYPT 2003, Conferencia internacional sobre teoría y aplicaciones de técnicas criptográficas, Varsovia, Polonia, 4 al 8 de mayo de 2003, Actas . Apuntes de conferencias sobre informática. vol. 2656. Saltador. págs. 272-293. doi : 10.1007/3-540-39200-9_17 .
5. Lee, Byoungcheon; Boyd, Colin; Dawson, Ed; Kim, Kwangjo; Yang, Jeongmo; Yoo, Seungjae (2004). "Emisión de claves seguras en criptografía basada en ID". En Hogan, James M.; Montague, Paul; Purvis, Martín K.; Steketee, Chris (eds.). ACSW Frontiers 2004, Talleres ACSW de 2004: Taller de seguridad de la información de Australasia (AISW2004), Taller de Australasia sobre minería de datos e inteligencia web (DMWI2004) y Taller de Australasia sobre internacionalización de software (AWSI2004), Dunedin, Nueva Zelanda, enero de 2004 . CRPITO. vol. 32. Sociedad Australiana de Computación. págs. 69–74.
6. Al-Riyami, Sattam S.; Paterson, Kenneth G. (2003). "Criptografía de clave pública sin certificado". En Laih, Chi-Sung (ed.). Avances en criptología - ASIACRYPT 2003, novena conferencia internacional sobre teoría y aplicación de la criptología y seguridad de la información, Taipei, Taiwán, 30 de noviembre - 4 de diciembre de 2003, Actas . Apuntes de conferencias sobre informática. vol. 2894. Saltador. págs. 452–473. doi : 10.1007/978-3-540-40061-5_29 .
7. Sakai, Ryuichi; Kasahara, Masao (2003). "Criptosistemas basados ​​en ID con emparejamiento en curva elíptica". Archivo ePrint de criptografía .
8. Boneh, Dan ; Boyen, Xavier (2004). "Cifrado eficiente basado en identidad segura con identificación selectiva y sin oráculos aleatorios". En Cachin, Christian; Camenisch, enero (eds.). Avances en criptología - EUROCRYPT 2004, Conferencia internacional sobre teoría y aplicaciones de técnicas criptográficas, Interlaken, Suiza, 2 al 6 de mayo de 2004, Actas . Apuntes de conferencias sobre informática. vol. 3027. Saltador. págs. 223-238. doi : 10.1007/978-3-540-24676-3_14 .

enlaces externos

• Seminario 'Criptografía y seguridad en la banca'/'Criptología alternativa', Universidad del Ruhr en Bochum, Alemania ^{[ enlace muerto ]}
• RFC 5091: el RFC del IETF que define dos algoritmos IBE comunes
• Cifrado basado en roles de HP
• El Crypto Lounge basado en emparejamiento
• The Voltage Security Network: servicio web de cifrado IBE
• Informe del analista sobre el coste de IBE frente a PKI