Cifrado basado en identidad

El cifrado basado en la identidad ( IBE , por sus siglas en inglés) es un elemento básico de la criptografía basada en la identidad . Como tal, es un tipo de cifrado de clave pública en el que la clave pública de un usuario es información única sobre la identidad del usuario (por ejemplo, la dirección de correo electrónico de un usuario). Esto significa que un remitente que tiene acceso a los parámetros públicos del sistema puede cifrar un mensaje utilizando, por ejemplo, el valor de texto del nombre o la dirección de correo electrónico del receptor como clave. El receptor obtiene su clave de descifrado de una autoridad central, en la que se debe confiar, ya que genera claves secretas para cada usuario.

El cifrado basado en la identidad fue propuesto por Adi Shamir en 1984. ^[1] Sin embargo, sólo pudo proporcionar una instancia de firmas basadas en la identidad . El cifrado basado en la identidad siguió siendo un problema abierto durante muchos años.

El esquema de Boneh-Franklin basado en emparejamiento ^[2] y el esquema de cifrado de Cocks ^[3] basado en residuos cuadráticos resolvieron el problema IBE en 2001.

Uso

Los sistemas basados en identidad permiten que cualquier parte genere una clave pública a partir de un valor de identidad conocido, como una cadena ASCII. Un tercero de confianza, llamado generador de claves privadas (PKG), genera las claves privadas correspondientes. Para funcionar, el PKG primero publica una clave pública maestra y conserva la clave privada maestra correspondiente (conocida como clave maestra ). Dada la clave pública maestra, cualquier parte puede calcular una clave pública correspondiente a la identidad combinando la clave pública maestra con el valor de la identidad. Para obtener una clave privada correspondiente, la parte autorizada a utilizar la ID de identidad se pone en contacto con el PKG, que utiliza la clave privada maestra para generar la clave privada para la ID de identidad .

Como resultado, las partes pueden cifrar mensajes (o verificar firmas) sin una distribución previa de claves entre los participantes individuales. Esto es extremadamente útil en casos en los que la distribución previa de claves autenticadas es inconveniente o inviable debido a restricciones técnicas. Sin embargo, para descifrar o firmar mensajes, el usuario autorizado debe obtener la clave privada apropiada del PKG. Una salvedad de este enfoque es que el PKG debe ser altamente confiable, ya que es capaz de generar la clave privada de cualquier usuario y, por lo tanto, puede descifrar (o firmar) mensajes sin autorización. Debido a que la clave privada de cualquier usuario se puede generar mediante el uso del secreto de la tercera parte, este sistema tiene un depósito de claves inherente . Se han propuesto varios sistemas variantes que eliminan el depósito, incluido el cifrado basado en certificados , ^[4] criptografía de emisión de clave segura ^[5] y criptografía sin certificados . ^[6]

Los pasos implicados se representan en este diagrama:

Marco de protocolo

Dan Boneh y Matthew K. Franklin definieron un conjunto de cuatro algoritmos que forman un sistema IBE completo:

Configuración : PKG ejecuta este algoritmo una vez para crear todo el entorno IBE. La clave maestra se mantiene en secreto y se utiliza para derivar las claves privadas de los usuarios, mientras que los parámetros del sistema se hacen públicos. Acepta un parámetro de seguridad (es decir, la longitud binaria del material de la clave) y genera: $\textstyle k$

Un conjunto de parámetros del sistema, incluido el espacio del mensaje y el espacio del texto cifrado y , $\textstyle {\mathcal {P}}$ $\textstyle {\mathcal {M}}$ $\textstyle {\mathcal {C}}$
una llave maestra $\textstyle K_ {m}$

Extracto : Este algoritmo lo ejecuta el PKG cuando un usuario solicita su clave privada. Nótese que la verificación de la autenticidad del solicitante y el transporte seguro de son problemas con los que los protocolos IBE no intentan lidiar. Toma como entrada , y un identificador y devuelve la clave privada del usuario . $\textstyle d$ $\textstyle {\mathcal {P}}$ $\textstyle K_ {m}$ $\textstyle ID\en \izquierda\{0,1\derecha\}^{*}$ $\textstyle d$ $\textstyle ID$
Cifrar : toma un mensaje y lo envía como salida cifrado . $\textstyle {\mathcal {P}}$ $\textstyle m\in {\mathcal {M}}$ $\textstyle ID\en \izquierda\{0,1\derecha\}^{*}$ $\textstyle c\in {\mathcal {C}}$
Descifrar : acepta , y devuelve . $\textstyle d$ $\textstyle {\mathcal {P}}$ $\textstyle c\in {\mathcal {C}}$ $\textstyle m\in {\mathcal {M}}$

Restricción de corrección

Para que todo el sistema funcione, hay que postular que:

\forall m\in {\mathcal {M}},ID\in \left\{0,1\right\}^{*}:\mathrm {Descifrar} \left(\mathrm {Extraer} \left({\mathcal {P}},K_{m},ID\right),{\mathcal {P}},\mathrm {Cifrar} \left({\mathcal {P}},m,ID\right)\right)=m

Esquemas de cifrado

Los esquemas de cifrado basados en identidad más eficientes se basan actualmente en emparejamientos bilineales en curvas elípticas , como los emparejamientos de Weil o Tate . El primero de estos esquemas fue desarrollado por Dan Boneh y Matthew K. Franklin (2001), y realiza el cifrado probabilístico de textos cifrados arbitrarios utilizando un enfoque similar al de Elgamal . Aunque el esquema de Boneh-Franklin es demostrablemente seguro , la prueba de seguridad se basa en suposiciones relativamente nuevas sobre la dificultad de los problemas en ciertos grupos de curvas elípticas.

Clifford Cocks propuso otro enfoque para el cifrado basado en la identidad en 2001. El esquema IBE de Cocks se basa en supuestos bien estudiados (el supuesto de residuosidad cuadrática ), pero cifra los mensajes bit a bit con un alto grado de expansión del texto cifrado . Por lo tanto, es altamente ineficiente y poco práctico para enviar todos los mensajes excepto los más cortos, como una clave de sesión para usar con un cifrado simétrico .

Un tercer enfoque de la EIB es mediante el uso de celosías.

Algoritmos de cifrado basados en identidad

A continuación se enumeran algoritmos prácticos de cifrado basados en identidad.

Boneh–Franklin (BF-IBE).
Sakai-Kasahara (SK-IBE). ^[7]
Boneh-Boyen (BB-IBE). ^[8]

Todos estos algoritmos tienen pruebas de seguridad .

Ventajas

Una de las principales ventajas de cualquier sistema de cifrado basado en la identidad es que, si sólo hay un número finito de usuarios, una vez que se han emitido las claves a todos ellos, el secreto del tercero puede destruirse. Esto puede ocurrir porque este sistema supone que, una vez emitidas, las claves son siempre válidas (ya que este sistema básico carece de un método de revocación de claves). La mayoría de los derivados de este sistema que tienen revocación de claves pierden esta ventaja.

Además, como las claves públicas se derivan de identificadores, la IBE elimina la necesidad de una infraestructura de distribución de claves públicas. La autenticidad de las claves públicas está garantizada implícitamente siempre que el transporte de las claves privadas al usuario correspondiente se mantenga seguro ( autenticidad , integridad , confidencialidad ).

Aparte de estos aspectos, IBE ofrece características interesantes que emanan de la posibilidad de codificar información adicional en el identificador. Por ejemplo, un remitente puede especificar una fecha de expiración para un mensaje. Anexa esta marca de tiempo a la identidad real del destinatario (posiblemente utilizando algún formato binario como X.509). Cuando el receptor se pone en contacto con el PKG para recuperar la clave privada para esta clave pública, el PKG puede evaluar el identificador y rechazar la extracción si la fecha de expiración ha pasado. Generalmente, incrustar datos en el ID corresponde a abrir un canal adicional entre el remitente y el PKG con autenticidad garantizada a través de la dependencia de la clave privada en el identificador.

Desventajas

Si se vulnera un generador de claves privadas (PKG), también se vulneran todos los mensajes protegidos durante toda la vida útil del par de claves pública y privada que utiliza ese servidor. Esto convierte al PKG en un objetivo de gran valor para los adversarios. Para limitar la exposición debido a un servidor vulnerado, el par de claves pública y privada principal podría actualizarse con un nuevo par de claves independiente. Sin embargo, esto introduce un problema de gestión de claves, ya que todos los usuarios deben tener la clave pública más reciente para el servidor.
Debido a que el generador de claves privadas (PKG) genera claves privadas para los usuarios, puede descifrar o firmar cualquier mensaje sin autorización. Esto implica que los sistemas IBS no se pueden utilizar para el no repudio . Esto puede no ser un problema para las organizaciones que alojan su propio PKG y están dispuestas a confiar en sus administradores de sistemas y no requieren el no repudio.
El problema del depósito de claves implícito no existe con el sistema PKI actual , en el que las claves privadas se generan normalmente en el ordenador del usuario. Según el contexto, el depósito de claves puede considerarse una característica positiva (por ejemplo, en las empresas). Se han propuesto varios sistemas variantes que eliminan el depósito, entre ellos el cifrado basado en certificados , el intercambio de secretos , la criptografía de emisión de claves seguras y la criptografía sin certificados .
Se requiere un canal seguro entre un usuario y el generador de claves privadas (PKG) para transmitir la clave privada al unirse al sistema. En este caso, una conexión similar a SSL es una solución común para un sistema de gran escala. Es importante observar que los usuarios que tienen cuentas en el PKG deben poder autenticarse. En principio, esto se puede lograr a través de un nombre de usuario, una contraseña o mediante pares de claves públicas administradas en tarjetas inteligentes.
Las soluciones de IBE pueden basarse en técnicas criptográficas que no son seguras frente a ataques informáticos cuánticos que descifren códigos (véase el algoritmo de Shor ).

Véase también

Referencias

^ Shamir, Adi (1984). "Sistemas criptográficos basados en identidad y esquemas de firma". En Blakley, GR; Chaum, David (eds.). Advances in Cryptology, Proceedings of CRYPTO '84, Santa Barbara, California, EE. UU., 19-22 de agosto de 1984, Proceedings . Lecture Notes in Computer Science. Vol. 196. Springer. págs. 47-53. doi : 10.1007/3-540-39568-7_5 .
^ Boneh, Dan ; Franklin, Matthew (2003). "Cifrado basado en identidad a partir del emparejamiento de Weil". Revista SIAM de Informática . 32 (3): 586–615. doi :10.1137/S0097539701398521. MR 2001745.
^ Cocks, Clifford C. (2001). "Un esquema de cifrado basado en identidad basado en residuos cuadráticos". En Honary, Bahram (ed.). Criptografía y codificación, 8.ª Conferencia Internacional IMA, Cirencester, Reino Unido, 17-19 de diciembre de 2001, Actas . Lecture Notes in Computer Science. Vol. 2260. Springer. págs. 360-363. doi :10.1007/3-540-45325-3_32.
^ Gentry, Craig (2003). "Cifrado basado en certificados y el problema de la revocación de certificados". En Biham, Eli (ed.). Advances in Cryptology – EUROCRYPT 2003, Conferencia internacional sobre la teoría y aplicaciones de técnicas criptográficas, Varsovia, Polonia, 4-8 de mayo de 2003, Actas . Lecture Notes in Computer Science. Vol. 2656. Springer. págs. 272-293. doi : 10.1007/3-540-39200-9_17 .
^ Lee, Byoungcheon; Boyd, Colin; Dawson, Ed; Kim, Kwangjo; Yang, Jeongmo; Yoo, Seungjae (2004). "Emisión de claves seguras en criptografía basada en ID". En Hogan, James M.; Montague, Paul; Purvis, Martin K.; Steketee, Chris (eds.). ACSW Frontiers 2004, Talleres ACSW 2004: el Taller de seguridad de la información de Australasia (AISW2004), el Taller de Australasia sobre minería de datos e inteligencia web (DMWI2004) y el Taller de Australasia sobre internacionalización del software (AWSI2004), Dunedin, Nueva Zelanda, enero de 2004. CRPIT. Vol. 32. Sociedad Australiana de Computación. págs. 69–74.
^ Al-Riyami, Sattam S.; Paterson, Kenneth G. (2003). "Criptografía de clave pública sin certificado". En Laih, Chi-Sung (ed.). Avances en criptología – ASIACRYPT 2003, 9.ª Conferencia internacional sobre la teoría y la aplicación de la criptología y la seguridad de la información, Taipei, Taiwán, 30 de noviembre – 4 de diciembre de 2003, Actas . Apuntes de clase en informática. Vol. 2894. Springer. págs. 452–473. doi : 10.1007/978-3-540-40061-5_29 .
^ Sakai, Ryuichi; Kasahara, Masao (2003). "Sistemas criptográficos basados en identificación con emparejamiento en curva elíptica". Archivo de criptografía ePrint .
^ Boneh, Dan ; Boyen, Xavier (2004). "Encriptación segura basada en identidad selectiva eficiente sin oráculos aleatorios". En Cachin, Christian; Camenisch, Jan (eds.). Avances en criptología – EUROCRYPT 2004, Conferencia internacional sobre la teoría y aplicaciones de técnicas criptográficas, Interlaken, Suiza, 2 al 6 de mayo de 2004, Actas . Apuntes de clase en informática. Vol. 3027. Springer. págs. 223–238. doi : 10.1007/978-3-540-24676-3_14 .

Enlaces externos

Seminario 'Criptografía y seguridad en la banca'/'Criptología alternativa', Universidad del Ruhr, Bochum, Alemania ^{[ enlace roto ]}
RFC 5091: RFC de IETF que define dos algoritmos IBE comunes
Cifrado basado en roles de HP
El salón de criptomonedas basado en emparejamientos
La red de seguridad de voltaje: servicio web de cifrado IBE
Informe de analistas sobre el coste de la IBE frente a la PKI