Sellado de tiempo vinculado

El sellado de tiempo vinculado es un tipo de sellado de tiempo confiable donde los sellos de tiempo emitidos están relacionados entre sí.

Descripción

El sellado de tiempo vinculado crea tokens de sello de tiempo que dependen entre sí y están entrelazados en una estructura de datos autenticada . Una modificación posterior de los sellos de tiempo emitidos invalidaría esta estructura. El orden temporal de los sellos de tiempo emitidos también está protegido por esta estructura de datos, lo que hace imposible la retroactividad de los sellos de tiempo emitidos, incluso por parte del propio servidor emisor.

La parte superior de la estructura de datos autenticada generalmente se publica en algún medio difícil de modificar y ampliamente conocido, como un periódico impreso o una cadena de bloques pública . No se utilizan claves privadas (a largo plazo) , lo que evita los riesgos relacionados con la PKI .

Los candidatos adecuados para la estructura de datos autenticada incluyen:

Cadena hash lineal
Árbol de Merkle (árbol hash binario)
Saltar lista

El esquema de sellado de tiempo basado en cadena hash lineal más simple se ilustra en el siguiente diagrama:

La autoridad de sellado de tiempo basada en enlaces (TSA) generalmente realiza las siguientes funciones distintas:

Agregación: Para aumentar la escalabilidad, la TSA puede agrupar las solicitudes de sellado de tiempo que llegan en un período de tiempo breve. Estas solicitudes se agregan sin conservar su orden temporal y luego se les asigna el mismo valor de tiempo. La agregación crea una conexión criptográfica entre todas las solicitudes involucradas; el valor agregado de autenticación se utilizará como entrada para la operación de vinculación .

Enlace: La vinculación crea un vínculo criptográfico verificable y ordenado entre los tokens de marca de tiempo actuales y los ya emitidos.

Publicación: La TSA publica periódicamente algunos enlaces, de modo que todos los tokens de sello de tiempo emitidos anteriormente dependen del enlace publicado y es prácticamente imposible falsificar los valores publicados. Al publicar enlaces ampliamente vistos, la TSA crea puntos de verificación infalsificables para validar todos los sellos de tiempo emitidos anteriormente.

Seguridad

El sellado de tiempo vinculado es inherentemente más seguro que el sellado de tiempo habitual basado en firmas de clave pública. Todos los sellos de tiempo resultantes "sellan" los emitidos previamente: la cadena de hash (u otro diccionario autenticado en uso) se puede construir de una sola manera; modificar los sellos de tiempo emitidos es casi tan difícil como encontrar una preimagen para la función de hash criptográfica utilizada . Los usuarios pueden observar la continuidad de la operación; las publicaciones periódicas en medios de comunicación ampliamente presenciados brindan una transparencia adicional.

La manipulación de los valores de tiempo absoluto podría ser detectada por los usuarios cuyas marcas de tiempo son relativamente comparables debido al diseño del sistema.

La ausencia de claves secretas aumenta la fiabilidad del sistema. No hay claves que se puedan filtrar y los algoritmos hash se consideran más a prueba de futuro ^[1] que los algoritmos basados en aritmética modular, por ejemplo, RSA .

El sellado de tiempo vinculado se escala bien: el hash es mucho más rápido que la criptografía de clave pública. No se necesita hardware criptográfico específico con sus limitaciones.

La tecnología común ^[2] para garantizar el valor de certificación a largo plazo de los sellos de tiempo emitidos (y de los datos firmados digitalmente ^[3] ) es el sellado periódico en el tiempo del token de sello de tiempo. Debido a los riesgos relacionados con la falta de clave y al margen de seguridad plausible de la función hash elegida razonablemente, este período de sellado en el tiempo del token vinculado al hash podría ser un orden de magnitud más largo que el del token firmado con clave pública.

Investigación

Cimientos

En 1990, Stuart Haber y W. Scott Stornetta propusieron ^[4] vincular los sellos de tiempo emitidos en una cadena hash lineal, utilizando una función hash resistente a colisiones . La razón principal era disminuir los requisitos de confianza de la TSA.

Los esquemas tipo árbol y que operan en rondas fueron propuestos por Benaloh y de Mare en 1991 ^[5] y por Bayer, Haber y Stornetta en 1992. ^[6]

Benaloh y de Mare construyeron un acumulador unidireccional ^[7] en 1994 y propusieron su uso en el sellado de tiempo. Cuando se utiliza para la agregación, el acumulador unidireccional requiere solo un cálculo de tiempo constante para la verificación de la pertenencia a una ronda.

Surety ^[8] inició el primer servicio comercial de sellado de tiempo vinculado en enero de 1995. El esquema de vinculación se describe y su seguridad se analiza en el siguiente artículo ^[9] de Haber y Sornetta.

Buldas et al. continuaron con una mayor optimización ^[10] y un análisis formal de esquemas basados en árboles binarios y árboles subprocesados ^[11] .

En 2005 se implementó un sistema de sellado de tiempo basado en listas de omisión; los algoritmos relacionados son bastante eficientes. ^[12]

Seguridad demostrable

^{Buldas y Saarepera [13]} presentaron en 2004 una prueba de seguridad para los esquemas de sellado de tiempo basados en funciones hash. Existe un límite superior explícito para la cantidad de sellos de tiempo emitidos durante el período de agregación; se sugiere que probablemente sea imposible demostrar la seguridad sin este límite explícito; las denominadas reducciones de caja negra fallarán en esta tarea. Considerando que todas las pruebas de seguridad conocidas, relevantes y eficientes en la práctica, son de caja negra, este resultado negativo es bastante contundente. ${\estilo de visualización N}$

Luego, en 2005 se demostró ^[14] que los esquemas de sellado de tiempo limitados con una parte auditora confiable (que revisa periódicamente la lista de todos los sellos de tiempo emitidos durante un período de agregación) pueden hacerse universalmente componibles : permanecen seguros en entornos arbitrarios (composiciones con otros protocolos y otras instancias del propio protocolo de sellado de tiempo).

Buldas, Laur demostró ^[15] en 2007 que los esquemas de sellado de tiempo acotado son seguros en un sentido muy fuerte: satisfacen la llamada condición de "vinculación del conocimiento". La garantía de seguridad ofrecida por Buldas, Saarepera en 2004 se mejora al disminuir el coeficiente de pérdida de seguridad de a . ${\estilo de visualización N}$ ${\sqrt {N}}$

Las funciones hash utilizadas en los esquemas de sellado de tiempo seguro no necesariamente tienen que ser resistentes a colisiones ^[16] o incluso unidireccionales; ^[17] los esquemas de sellado de tiempo seguro son probablemente posibles incluso en presencia de un algoritmo universal de búsqueda de colisiones (es decir, un programa universal y de ataque que sea capaz de encontrar colisiones para cualquier función hash). Esto sugiere que es posible encontrar pruebas aún más sólidas basadas en algunas otras propiedades de las funciones hash.

En la ilustración anterior, el sistema de sellado de tiempo basado en árboles hash funciona en rondas ( , , , ...), con un árbol de agregación por ronda. La capacidad del sistema ( ) está determinada por el tamaño del árbol ( , donde denota la profundidad del árbol binario). Las pruebas de seguridad actuales funcionan bajo el supuesto de que existe un límite estricto para el tamaño del árbol de agregación, posiblemente impuesto por la restricción de longitud del subárbol. ${\estilo de visualización t}$ ${\estilo de visualización t+1}$ ${\estilo de visualización t+2}$ ${\estilo de visualización N}$ $Estilo de visualización N=2^{l}}$ ${\estilo de visualización l}$

Normas

La parte 3 de la norma ISO 18014 cubre los 'Mecanismos que producen tokens vinculados'.

La Norma Nacional Estadounidense para Servicios Financieros, "Gestión y seguridad de marcas de tiempo confiables" ( Norma ANSI ASC X9.95 ) de junio de 2005 cubre esquemas de marcas de tiempo híbridos y basados en enlaces.

No existe ningún RFC o borrador estándar de IETF sobre el sellado de tiempo basado en enlaces. El RFC 4998 (Evidence Record Syntax) abarca el árbol hash y el sellado de tiempo como garantía de integridad para el archivado a largo plazo.

Referencias

^ Buchmann, J.; Dahmen, E.; Szydlo, M. (2009). "Esquemas de firma digital basados en hash". Criptografía poscuántica . pag. 35. doi :10.1007/978-3-540-88702-7_3. ISBN 978-3-540-88701-0.
^ Véase ISO/IEC 18014-1:2002 Capítulo 4.2
^ Por ejemplo, consulte XAdES-A .
^ Haber, S.; Stornetta, WS (1991). "Cómo sellar con tiempo un documento digital". Revista de criptología . 3 (2): 99–111. CiteSeerX 10.1.1.46.8740 . doi :10.1007/BF00196791. S2CID 14363020.
^ Benaloh, Josh; de Mare, Michael (1991). "Sellado de tiempo de transmisión eficiente". Informe técnico 1. Departamento de Matemáticas y Ciencias de la Computación de la Universidad Clarkson. CiteSeerX 10.1.1.38.9199 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
^ Bayer, Dave; Stuart A., Haber; Wakefield Scott, Stornetta (1992). "Mejora de la eficiencia y fiabilidad del sellado de tiempo digital". Secuencias II: métodos en comunicación, seguridad y ciencias de la computación . Springer-Verlag: 329–334. CiteSeerX 10.1.1.46.5923 .
^ Benaloh, J.; Mare, M. (1994). "Acumuladores unidireccionales: una alternativa descentralizada a las firmas digitales". Avances en criptología – EUROCRYPT '93 . Apuntes de clase en informática. Vol. 765. pág. 274. doi :10.1007/3-540-48285-7_24. ISBN 978-3-540-57600-6.
^ "Surety, LLC | Protege la integridad de los registros electrónicos".
^ Haber, S.; Stornetta, WS (1997). "Nombres seguros para cadenas de bits". Actas de la 4.ª conferencia de la ACM sobre seguridad informática y de las comunicaciones - CCS '97 . pp. 28. CiteSeerX 10.1.1.46.7776 . doi :10.1145/266420.266430. ISBN. 978-0897919128.S2CID14108602 .
^ Buldas, A.; Laud, P.; Lipmaa, H.; Villemson, J. (1998). Sellado de tiempo con esquemas de enlace binario . Lecture Notes in Computer Science. Vol. 1462. p. 486. CiteSeerX 10.1.1.35.9724 . doi :10.1007/BFb0055749. ISBN. 978-3-540-64892-5.
^ Buldas, Ahto; Lipmaa, Helger; Schoenmakers, Berry (2000). Sellado de tiempo responsable y de eficiencia óptima . Apuntes de clase en informática. Vol. 1751. págs. 293–305. CiteSeerX 10.1.1.40.9332 . doi :10.1007/b75033. ISBN. 978-3-540-66967-8.S2CID 573442 .
^ Blibech, K.; Gabillon, A. (2006). "Un nuevo esquema de sellado de tiempo basado en listas de saltos". Ciencias de la computación y sus aplicaciones - ICCSA 2006 . Apuntes de clase en informática. Vol. 3982. p. 395. doi :10.1007/11751595_43. ISBN 978-3-540-34075-1.
^ Buldas, Ahto; Saarepera, Mart (2004). "Sobre esquemas de sellado de tiempo demostrablemente seguros" . Apuntes de conferencias sobre informática. vol. 3329, págs. 500–514. CiteSeerX 10.1.1.65.8638 . doi :10.1007/b104116. ISBN 978-3-540-23975-8.S2CID1230568 .
^ Buldas, A.; Laud, P.; Saarepera, MR; Willemson, J. (2005). Esquemas de sellado de tiempo universalmente componibles con auditoría S. Notas de clase en informática. Vol. 3650. págs. 359–373. CiteSeerX 10.1.1.59.2070 . doi :10.1007/11556992_26. ISBN. 978-3-540-31930-6.
^ Buldas, A.; Laur, S. (2007). Compromisos vinculantes de conocimiento con aplicaciones en sellado de tiempo . Notas de clase en informática. Vol. 4450. págs. 150–165. CiteSeerX 10.1.1.102.2680 . doi :10.1007/978-3-540-71677-8_11. ISBN . 978-3-540-71676-1.
^ Buldas, A.; Jürgenson, A. (2007). ¿Implica el sellado de tiempo seguro funciones hash sin colisiones? . Apuntes de clase en informática. Vol. 4784. págs. 138–150. CiteSeerX 10.1.1.110.4564 . doi :10.1007/978-3-540-75670-5_9. ISBN 978-3-540-75669-9.
^ Buldas, A.; Laur, S. (2006). ¿Las funciones hash rotas afectan la seguridad de los esquemas de sellado de tiempo? (PDF) . Apuntes de clase en informática. Vol. 3989. págs. 50–65. CiteSeerX 10.1.1.690.7011 . doi :10.1007/11767480_4. ISBN 978-3-540-34703-3.

Enlaces externos

"Serie de miniconferencias sobre funciones hash criptográficas"; incluye aplicaciones en sellado de tiempo y seguridad demostrable; por A. Buldas, 2011.