Esquema Boneh-Franklin

El esquema Boneh–Franklin es un sistema de cifrado basado en identidad propuesto por Dan Boneh y Matthew K. Franklin en 2001. ^[1] Este artículo hace referencia a la versión del protocolo denominada BasicIdent . Se trata de una aplicación de emparejamientos ( Weil pairing ) sobre curvas elípticas y cuerpos finitos .

Grupos y parámetros

Como el esquema se basa en emparejamientos , todos los cálculos se realizan en dos grupos y : $\textstyle G_ {1}$ $\textstyle G_ {2}$

Para , sea primo y considere la curva elíptica sobre . Nótese que esta curva no es singular, ya que solo es igual para el caso que se excluye por la restricción adicional. $\textstyle G_ {1}$ $\textstyle p$ $\textstyle p\equiv 2\mod 3$ $\textstyle E:y^{2}=x^{3}+1$ $\textstyle \mathbb {Z} /p\mathbb {Z}$ $\textstyle 4a^{3}+27b^{2}=27=3^{3}$ $\textstyle 0$ $\textstyle p=3$

Sea un factor primo de (que es del orden de ) y encuentre un punto de orden . es el conjunto de puntos generado por : $\textstyle q>3$ $\textstyle p+1$ $\textstyle E$ $\textstyle P\en E$ $\textstyle q$ $\textstyle G_ {1}$ $\textstyle P$ $\textstyle \left\{nP\|n\in \left\{0,\ldots ,q-1\right\}\right\}$

$\textstyle G_ {2}$ es el subgrupo de orden de . No necesitamos construir este grupo explícitamente (esto se hace mediante el emparejamiento) y, por lo tanto, no tenemos que encontrar un generador. $\textstyle q$ $\textstyle GF\left(p^{2}\right)^{*}$

$\textstyle G_ {1}$ se considera un grupo aditivo , al ser un subgrupo del grupo aditivo de puntos de , mientras que se considera un grupo multiplicativo , al ser un subgrupo del grupo multiplicativo del cuerpo finito . $\textstyle E$ $\textstyle G_ {2}$ $\textstyle GF(p^{2})^{*}$

Descripción del protocolo

Configuración

El generador de clave pública (PKG) elige:

los grupos públicos (con generador ) y como se indicó anteriormente, con el tamaño dependiendo del parámetro de seguridad , $\textstyle G_ {1}$ $\textstyle P$ $\textstyle G_ {2}$ $\textstyle q$ $\textstyle k$
el emparejamiento correspondiente , $\textstyle e$
una clave maestra privada aleatoria , $\textstyle K_{m}=s\in \mathbb {Z} _{q}^{*}$
una clave pública , $\textstyle K_{pub}=sP$
una función hash pública , $\textstyle H_{1}:\left\{0,1\right\}^{*}\rightarrow G_{1}^{*}$
una función hash pública para algunos valores fijos y $\textstyle H_{2}:G_{2}\rightarrow \left\{0,1\right\}^{n}$ $\textstyle n$
El espacio del mensaje y el espacio de cifrado $\textstyle {\mathcal {M}}=\left\{0,1\right\}^{n},{\mathcal {C}}=G_{1}^{*}\times \left\{0,1\right\}^{n}$

Extracción

Para crear la clave pública para , el PKG calcula $\textstyle ID\en \izquierda\{0,1\derecha\}^{*}$

$\textstyle Q_{ID}=H_{1}\left(ID\right)$ y
la clave privada que se le da al usuario. $\textstyle d_{ID}=sQ_{ID}$

Encriptación

Dado , el texto cifrado se obtiene de la siguiente manera: $\textstyle m\in {\mathcal {M}}$ $\textstyle c$

$\textstyle Q_{ID}=H_{1}\left(ID\right)\in G_{1}^{*}$ ,
Elige al azar , $\textstyle r\in \mathbb {Z} _ {q}^{*}$
calcular y $\textstyle g_{ID}=e\left(Q_{ID},K_{pub}\right)\in G_{2}$
colocar . $\textstyle c=\left(rP,m\oplus H_{2}\left(g_{ID}^{r}\right)\right)$

Tenga en cuenta que es la clave pública del PKG y, por lo tanto, es independiente del ID del destinatario. $\textstyle K_ {pub}$

Descifrado

Dado , el texto sin formato se puede recuperar utilizando la clave privada: $\textstyle c=\left(u,v\right)\in {\mathcal {C}}$

$\textstyle m=v\oplus H_{2}(e\left(d_{ID},u\right)\right)$

Exactitud

El paso principal tanto en el cifrado como en el descifrado es emplear el emparejamiento y generar una máscara (como una clave simétrica) que esté asociada a la secuencia XOR con el texto sin formato. Por lo tanto, para verificar la corrección del protocolo, uno debe verificar que un remitente y un destinatario honestos terminen con los mismos valores. $\textstyle H_ {2}$

La entidad que cifra utiliza , mientras que para descifrar se aplica . Debido a las propiedades de los emparejamientos, se deduce que: $\textstyle H_{2}\left(g_{ID}^{r}\right)$ $\textstyle H_{2}(e\left(d_{ID},u\right)\right)$

${\begin{aligned}H_{2}(e\left(d_{ID},u\right)\right)&=H_{2}(e\left(sQ_{ID},rP\right)\right)\\&=H_{2}(e\left(Q_{ID},P\right)^{rs}\right)\\&=H_{2}(e\left(Q_{ID},sP\right)^{r}\right)\\&=H_{2}(e\left(Q_{ID},K_{pub}\right)^{r}\right)\\&=H_{2}(g_{ID}^{r}\right)\\\end{aligned}}$

Seguridad

La seguridad del esquema depende de la dureza del problema bilineal Diffie-Hellman (BDH) para los grupos utilizados. Se ha demostrado que en un modelo de oráculo aleatorio , el protocolo es semánticamente seguro bajo el supuesto BDH.

Mejoras

BasicIdent no es un texto cifrado seguro elegido . Sin embargo, existe un método de transformación universal debido a Fujisaki y Okamoto ^[2] que permite la conversión a un esquema que tenga esta propiedad llamado FullIdent .

Referencias

^ Dan Boneh, Matthew K. Franklin, "Cifrado basado en identidad a partir del emparejamiento de Weil", Avances en criptología: Actas de CRYPTO 2001 (2001)
^ Eiichiro Fujisaki, Tatsuaki Okamoto, "Integración segura de esquemas de cifrado asimétricos y simétricos", Advances in Cryptology – Proceedings of CRYPTO 99 (1999). La versión completa apareció en J. Cryptol. (2013) 26: 80–101

Enlaces externos

Seminario 'Criptografía y seguridad en la banca'/'Criptología alternativa', Universidad del Ruhr, Bochum ^{[ enlace muerto permanente ‍ ]}
Biblioteca de criptografía basada en P(airing), diseñada por Ben Lynn et al.