Esquema Boneh-Franklin

El esquema Boneh-Franklin es un sistema de cifrado basado en identidad propuesto por Dan Boneh y Matthew K. Franklin en 2001. ^[1] Este artículo hace referencia a la versión del protocolo denominada BasicIdent . Es una aplicación de emparejamientos ( Weil pairing ) sobre curvas elípticas y campos finitos .

Grupos y parámetros

Como el esquema se basa en emparejamientos , todos los cálculos se realizan en dos grupos y : $\textstyle G_ {1}$ $\textstyle G_ {2}$

Para , sea primo y considere la curva elíptica sobre . Tenga en cuenta que esta curva no es singular, ya que solo es igual en el caso que está excluido por la restricción adicional. $\textstyle G_ {1}$ $\textstyle p$ $\textstyle p\equiv 2\mod 3$ $\textstyle E:y^{2}=x^{3}+1$ $\textstyle \mathbb {Z} /p\mathbb {Z}$ $\textstyle 4a^{3}+27b^{2}=27=3^{3}$ $\textstyle 0$ $\textstyle p=3$

Sea un factor primo de (que es del orden de ) y encuentre un punto de orden . es el conjunto de puntos generado por : $\textstyle q>3$ $\textstyle p+1$ $\textstyle E$ $\textstyle P\en E$ $\textstyle q$ $\textstyle G_ {1}$ $\textstyle P$ $\textstyle \left\{nP\|n\in \left\{0,\ldots ,q-1\right\}\right\}$

$\textstyle G_ {2}$ es el subgrupo de orden de . No necesitamos construir este grupo explícitamente (esto se hace mediante el emparejamiento) y por lo tanto no tenemos que encontrar un generador. $\textstyle q$ $\textstyle GF\left(p^{2}\right)^{*}$

$\textstyle G_ {1}$ se considera un grupo aditivo , siendo un subgrupo del grupo aditivo de puntos de , mientras que se considera un grupo multiplicativo , siendo un subgrupo del grupo multiplicativo del cuerpo finito . $\textstyle E$ $\textstyle G_ {2}$ $\textstyle GF(p^{2})^{*}$

Descripción del protocolo

Configuración

El generador de claves públicas (PKG) elige:

los grupos públicos (con generador ) y como se indicó anteriormente, con el tamaño dependiendo del parámetro de seguridad , $\textstyle G_ {1}$ $\textstyle P$ $\textstyle G_ {2}$ $\textstyle q$ $\textstyle k$
el emparejamiento correspondiente , $\textstyle e$
una clave maestra privada aleatoria , $\textstyle K_{m}=s\in \mathbb {Z} _{q}^{*}$
una clave pública , $\textstyle K_{pub}=sP$
una función hash pública , $\textstyle H_{1}:\left\{0,1\right\}^{*}\rightarrow G_{1}^{*}$
una función hash pública para algunos fijos y $\textstyle H_{2}:G_{2}\rightarrow \left\{0,1\right\}^{n}$ $\textstyle n$
el espacio de mensajes y el espacio de cifrado $\textstyle {\mathcal {M}}=\left\{0,1\right\}^{n},{\mathcal {C}}=G_{1}^{*}\times \left\ {0,1\derecha\}^{n}$

Extracción

Para crear la clave pública , el PKG calcula $\textstyle ID\in \left\{0,1\right\}^{*}$

$\textstyle Q_{ID}=H_{1}\left(ID\right)$ y
la clave privada que se proporciona al usuario. $\textstyle d_{ID}=sQ_{ID}$

Cifrado

Dado , el texto cifrado se obtiene de la siguiente manera: $\textstyle m\in {\mathcal {M}}$ $\textstyle c$

$\textstyle Q_{ID}=H_{1}\left(ID\right)\in G_{1}^{*}$ ,
elige al azar , $\textstyle r\in \mathbb {Z} _ {q}^{*}$
calcular y $\textstyle g_{ID}=e\left(Q_{ID},K_{pub}\right)\in G_{2}$
colocar . $\textstyle c=\left(rP,m\oplus H_{2}\left(g_{ID}^{r}\right)\right)$

Tenga en cuenta que es la clave pública del PKG y, por lo tanto, independiente del ID del destinatario. $\textstyle K_ {pub}$

Descifrado

Dado , el texto sin formato se puede recuperar utilizando la clave privada: $\textstyle c=\left(u,v\right)\in {\mathcal {C}}$

$\textstyle m=v\oplus H_{2}\left(e\left(d_{ID},u\right)\right)$

Exactitud

El paso principal tanto en el cifrado como en el descifrado es emplear el emparejamiento y generar una máscara (como una clave simétrica) que se combina con el texto sin formato. Entonces, para verificar la exactitud del protocolo, es necesario verificar que un remitente y un destinatario honestos terminen con los mismos valores aquí. $\textstyle H_ {2}$

La entidad de cifrado utiliza , mientras que para el descifrado se aplica. Debido a las propiedades de los emparejamientos, se deduce que: $\textstyle H_{2}\left(g_{ID}^{r}\right)$ $\textstyle H_{2}\left(e\left(d_{ID},u\right)\right)$

${\begin{aligned}H_{2}\left(e\left(d_{ID},u\right)\right)&=H_{2}\left(e\left(sQ_{ID}, rP\right)\right)\\&=H_{2}\left(e\left(Q_{ID},P\right)^{rs}\right)\\&=H_{2}\left(e \left(Q_{ID},sP\right)^{r}\right)\\&=H_{2}\left(e\left(Q_{ID},K_{pub}\right)^{r} \right)\\&=H_{2}\left(g_{ID}^{r}\right)\\\end{aligned}}$

Seguridad

La seguridad del esquema depende de la dureza del problema bilineal de Diffie-Hellman (BDH) para los grupos utilizados. Se ha demostrado que en un modelo de oráculo aleatorio , el protocolo es semánticamente seguro bajo el supuesto de BDH.

Mejoras

BasicIdent no es un texto cifrado seguro . Sin embargo, existe un método de transformación universal debido a Fujisaki y Okamoto ^[2] que permite la conversión a un esquema que tenga esta propiedad llamado FullIdent .

Referencias

^ Dan Boneh, Matthew K. Franklin, "Cifrado basado en identidad del emparejamiento Weil", Avances en criptología - Actas de CRYPTO 2001 (2001)
^ Eiichiro Fujisaki, Tatsuaki Okamoto, "Integración segura de esquemas de cifrado simétricos y asimétricos", Avances en criptología - Actas de CRYPTO 99 (1999). La versión completa apareció en J. Cryptol. (2013) 26: 80-101

enlaces externos

Seminario 'Criptografía y seguridad en la banca'/'Criptología alternativa', Universidad del Ruhr en Bochum ^{[ enlace muerto permanente ]}
Biblioteca P(airing) B(ased) C(ryptography), diseñada por Ben Lynn et al.