Certificación anónima directa

La certificación anónima directa ( DAA ) es una primitiva criptográfica que permite la autenticación remota de un equipo de confianza , preservando al mismo tiempo la privacidad del usuario de la plataforma. El protocolo ha sido adoptado por el Trusted Computing Group (TCG) en la última versión de su especificación Trusted Platform Module (TPM) ^[1] para abordar las preocupaciones sobre privacidad (véase también Pérdida del anonimato en Internet ). La norma ISO/IEC 20008 también especifica DAA, y la implementación de Enhanced Privacy ID (EPID) 2.0 de Intel para microprocesadores está disponible para licencia RAND-Z junto con un SDK de código abierto.

Perspectiva histórica

En principio, el problema de la privacidad podría resolverse utilizando cualquier esquema de firma estándar (o cifrado de clave pública ) y un único par de claves. Los fabricantes incorporarían la clave privada en cada TPM producido y la clave pública se publicaría como un certificado. Las firmas producidas por el TPM deben haberse originado a partir de la clave privada, por la naturaleza de la tecnología, y dado que todos los TPM utilizan la misma clave privada, son indistinguibles, lo que garantiza la privacidad del usuario. Esta solución bastante ingenua se basa en el supuesto de que existe un secreto global . Solo hay que mirar el precedente de Content Scramble System (CSS), un sistema de cifrado para DVD , para ver que esta suposición es fundamentalmente errónea. Además, este enfoque no logra alcanzar un objetivo secundario: la capacidad de detectar TPM fraudulentos. Un TPM fraudulento es un TPM que ha sido comprometido y se le han extraído sus secretos.

La solución adoptada por primera vez por el TCG (especificación TPM v1.1) requería un tercero de confianza, es decir, una autoridad de certificación de privacidad (CA de privacidad). Cada TPM tiene un par de claves RSA integrado llamado Clave de aprobación (EK) que se supone que la CA de privacidad conoce. Para dar fe, el TPM genera un segundo par de claves RSA llamado Clave de identidad de atestación (AIK). Envía la AIK pública, firmada por la EK, a la CA de privacidad, que verifica su validez y emite un certificado para la AIK. (Para que esto funcione, a) la CA de privacidad debe conocer a priori la EK pública del TPM o b) el fabricante del TPM debe haber proporcionado un certificado de aprobación ). El host/TPM ahora puede autenticarse a sí mismo con respecto al certificado. Este enfoque permite dos posibilidades para detectar TPM no autorizados: en primer lugar, la CA de privacidad debe mantener una lista de TPM identificados por su EK que se sabe que son no autorizados y rechazar las solicitudes de ellos; en segundo lugar, si una CA de privacidad recibe demasiadas solicitudes de un TPM en particular, puede rechazarlas y bloquear las EK de los TPM. El número de solicitudes permitidas debe estar sujeto a un ejercicio de gestión de riesgos. Esta solución es problemática ya que la CA de privacidad debe participar en cada transacción y, por lo tanto, debe proporcionar alta disponibilidad al mismo tiempo que se mantiene segura. Además, los requisitos de privacidad pueden ser violados si la CA de privacidad y el verificador se confabulan. Aunque el último problema probablemente se pueda resolver utilizando firmas ciegas, el primero sigue pendiente.

La solución EPID 2.0 incorpora la clave privada en el microprocesador cuando se fabrica, distribuye inherentemente la clave con el envío del dispositivo físico y tiene la clave aprovisionada y lista para usar con el primer encendido.

Descripción general

El protocolo DAA se basa en tres entidades y dos pasos diferentes. Las entidades son el miembro de DAA (plataforma TPM o microprocesador habilitado con EPID), el emisor de DAA y el verificador de DAA. El emisor se encarga de verificar la plataforma TPM durante el paso de incorporación y de emitir credenciales DAA a la plataforma. La plataforma (miembro) utiliza la credencial DAA con el verificador durante el paso de firma. A través de una prueba de conocimiento cero, el verificador puede verificar la credencial sin intentar violar la privacidad de la plataforma. El protocolo también admite una capacidad de lista negra para que los verificadores puedan identificar las certificaciones de los TPM que se han visto comprometidos.

Propiedades de privacidad

El protocolo permite distintos grados de privacidad. Las interacciones son siempre anónimas, pero el Miembro/Verificador puede negociar si el Verificador puede vincular transacciones. Esto permitiría la elaboración de perfiles de usuarios y/o el rechazo de solicitudes originadas por un host que ha realizado demasiadas solicitudes. El Miembro y el Verificador también pueden optar por revelar información adicional para lograr interacciones no anónimas (de la misma manera que usted puede optar por decirle a un extraño su nombre completo o no). Por lo tanto, se puede construir una identidad conocida sobre un inicio anónimo. (Compare esto con: si comienza con una identidad conocida, nunca podrá demostrar que desconoce esa identidad para regresar al anonimato).

Implementaciones y ataques

El primer esquema de Certificación Anónima Directa se debió a Brickell, Camenisch y Chen; ^[2] ese esquema resultó inseguro y requirió una solución. ^[3] Brickell, Chen y Li mejoraron la eficiencia de ese primer esquema utilizando emparejamientos simétricos, en lugar de RSA. ^[4] Y Chen, Morrissey y Smart intentaron mejorar aún más la eficiencia al cambiar de una configuración simétrica a una asimétrica; ^{[5] [6]} desafortunadamente, el esquema asimétrico también era inseguro. ^[7] Chen, Page y Smart propusieron un nuevo esquema de criptografía de curva elíptica utilizando curvas de Barreto-Naehrig. ^[8] Este esquema es implementado tanto por EPID 2.0 como por el estándar TPM 2.0. Se recomienda para TPM en general ^[9] y es obligatorio para TPM que se ajustan al perfil del cliente de PC. ^[10] Además, la implementación de Intel EPID 2.0 de ISO/IEC 20008 DAA y el SDK de código abierto disponible ^[11] se pueden utilizar para que los miembros y verificadores realicen la certificación. Dado que uno de los métodos de certificación DAA en TPM 2.0 es idéntico a EPID 2.0, se está trabajando para hacer que la certificación DAA ISO/IEC 20008 y la DAA TPM 2.0 se lean de manera coherente entre sí a nivel de especificación. ^{[ cita requerida ]}

Véase también

• Protocolo criptográfico
• Credencial digital
• Módulo de plataforma confiable
• Identificación de privacidad mejorada
• Tecnologías que mejoran la privacidad

Referencias

1. Especificación TPM
2. Brickell, Ernie; Camenisch, Jan ; Chen, Liqun (2004). "Certificación anónima directa" (PDF) . Conferencia de la ACM sobre seguridad informática y de las comunicaciones : 132–145.
3. Smyth, Ben; Ryan, Mark; Chen, Liqun (2015). "Análisis formal de la privacidad en esquemas de certificación anónima directa" (PDF) . Science of Computer Programming . 111 (2): 300–317. doi : 10.1016/j.scico.2015.04.004 .
4. Brickell, Ernie; Chen, Liqun; Li, Jiangtao (2009). "Nociones de seguridad simplificadas de la certificación anónima directa y un esquema concreto a partir de emparejamientos" (PDF) . Revista internacional de seguridad de la información . 8 (5): 315–330. doi :10.1007/s10207-009-0076-3. S2CID  16688581.
5. Chen; Morrissey; Smart (2008). "Sobre pruebas de seguridad para esquemas DAA". Tercera Conferencia Internacional sobre Confianza y Computación Confiable . 5324 : 156–175.
6. Chen; Morrissey; Smart (2008). "Emparejamientos en computación confiable". 2.ª Conferencia internacional sobre criptografía basada en emparejamientos . 5209 : 1–17.
7. Chen; Li (2010). "Una nota sobre el esquema DAA Chen-Morrissey-Smart". Cartas de procesamiento de información . 110 (12–13): 485–488. doi :10.1016/j.ipl.2010.04.017.
8. Chen; Page; Smart (2010). "Sobre el diseño e implementación de un esquema DAA eficiente" (PDF) . 9.ª Conferencia internacional sobre investigación y aplicaciones avanzadas de tarjetas inteligentes . 6035 : 223–237.
9. Biblioteca de módulos de plataforma confiable. Parte 1: Arquitectura. trustedcomputinggroup.org, consultado el 25 de junio de 2024
10. Plataforma de cliente para PC de TCG. Especificación del perfil TPM (PTP). trustedcomputinggroup.org, consultado el 25 de junio de 2024
11. Kit de desarrollo de software EPID

Enlaces externos

• E. Brickell, J. Camenisch y L. Chen: Certificación anónima directa . En Actas de la 11.ª Conferencia de la ACM sobre seguridad informática y de las comunicaciones, ACM Press, 2004. (PDF)
• E. Brickell, J. Camenisch y L. Chen: Certificación anónima directa . ([1])
• Autenticación y privacidad de usuarios entre dominios por Andreas Pashalidis - sección 6