Intercambio de secretos de forma proactiva

El intercambio proactivo de secretos es una técnica subyacente en los Protocolos de Seguridad Proactiva. Es un método para actualizar claves distribuidas ( recursos compartidos ) en un esquema de intercambio de secretos periódicamente de modo que un atacante tenga menos tiempo para comprometer los recursos compartidos y mientras el atacante visite menos de un umbral o un grupo de quórum, el sistema permanece seguro. Esto contrasta con un esquema no proactivo donde si el número umbral de recursos compartidos se ve comprometido durante la vida útil del secreto, el secreto se ve comprometido. El modelo que tiene en cuenta las restricciones de tiempo se sugirió originalmente como una extensión de la noción de tolerancia a fallas bizantinas donde la redundancia del intercambio permite robustez en el dominio del tiempo (períodos) y fue propuesto por Rafail Ostrovsky y Moti Yung en 1991. ^[1] El método se ha utilizado en las áreas de protocolos criptográficos en computación multipartita segura y en criptosistemas de umbral .

Motivación

Si los jugadores (poseedores del secreto compartido) almacenan sus acciones en servidores informáticos inseguros, un atacante podría entrar y robar/conocer las acciones. Dado que no suele ser práctico cambiar el secreto, las acciones no comprometidas (honestas) ( estilo Shamir ) deben actualizarse de forma que generen el mismo secreto, pero las acciones antiguas se invalidan. También es necesario recuperar las acciones de servidores previamente dañados, y se necesita la comunidad de servidores honestos para realizar la recuperación. Esto asegura la longevidad de la compartición segura y recuperable, o protocolos de computación seguros y correctos. Si uno necesita mantener la compartición mientras cambia la cantidad de servidores o el umbral, entonces el método proactivo con recuperación de acciones lo permite, como lo demostraron originalmente Frankel y otros. ^[2]^[3] La capacidad de distribuir el secreto (palabra clave) y luego recuperar las acciones distribuidas como lo hace el método de intercambio de secretos proactivo, fue reconocida como muy necesaria en los sistemas de almacenamiento alrededor de 2010, y en reacción, los teóricos de la codificación renombraron el método, lo perfeccionaron aún más y lo formalizaron como "códigos regenerativos" y "códigos recuperables localmente".

Matemáticas

Esto sigue en cierta medida el trabajo de ^[4] . Para actualizar las acciones, los distribuidores (es decir, las personas que reparten las acciones; y en un sistema distribuido son todos los participantes uno a la vez) generan un nuevo polinomio aleatorio con término constante cero y calculan para cada jugador restante un nuevo par ordenado, donde las coordenadas x de los pares antiguo y nuevo son las mismas. Luego, cada jugador suma las coordenadas y antiguas y nuevas entre sí y conserva el resultado como la nueva coordenada y del secreto.

El distribuidor construye un polinomio aleatorio sobre un campo de grado donde es el umbral $k-1$ $k$
Cada jugador obtiene su parte , donde , es el número de jugadores y es la parte por jugador en el intervalo de tiempo. $x_{i}^{0}=f^{0}(i)$ $i\in \{1,...,n\}$ $n$ $x_{i}^{0}$ $i$ $0$
El secreto se puede reconstruir mediante la interpolación de acciones . $k$
Para actualizar las acciones, todas las partes necesitan construir un polinomio aleatorio de la forma $\delta _{i}(z)=\delta _{i,1}z^{1}+\delta _{i,2}z^{2}+...+\delta _{i,k}z^{k-1}$
Cada jugador envía a todos los demás jugadores. $i$ $u_{i,j}=\delta _{i}(j)$
Cada jugador actualiza su cuota por donde es el intervalo de tiempo en el que las cuotas son válidas $x_{i}^{t+1}=x_{i}^{t}+u_{1,i}^{t}+...+u_{n,i}^{t}$ $t$

Todas las acciones no actualizadas que acumuló el atacante se vuelven inútiles. Un atacante solo puede recuperar el secreto si puede encontrar suficientes acciones no actualizadas para alcanzar el umbral. Esta situación no debería ocurrir porque los jugadores eliminaron sus acciones antiguas. Además, un atacante no puede recuperar ninguna información sobre el secreto original del proceso de actualización porque solo contiene información aleatoria.

El distribuidor puede cambiar el número de umbral mientras distribuye actualizaciones, pero siempre debe permanecer atento a los jugadores que mantienen acciones vencidas como en ^[5] . Sin embargo, esta es una visión algo limitada ya que los métodos originales le dan a la comunidad del servidor la capacidad de ser el distribuidor que vuelve a compartir y el regenerador de las acciones perdidas.

Ejemplo

El siguiente ejemplo tiene 2 acciones y un umbral de 2 con 2 jugadores y 1 crupier. Dado que las acciones y los polinomios solo son válidos durante un período de tiempo determinado, el período de tiempo en el que son válidos se indica con un superíndice.

Todas las partes están de acuerdo en un campo finito: $Z_{11}$
El comerciante establece un secreto: $s=6\in Z_{11}$
El crupier construye un polinomio aleatorio de grado 2 - 1 (umbral de 2) $Z_{11}$
- $f^{0}(x)=6+2\times x$
- nota $f^{0}(0)=s=6$
El jugador 1 obtiene su parte y el jugador 2 obtiene su parte $x_{1}^{0}=f^{0}(1)=6+2\times 1=8$ $x_{2}^{0}=f^{0}(2)=6+2\times 2=10$
Para reconstruir el secreto, utilizar y $x_{1}^{0}$ $x_{2}^{0}$
- Como es una línea, podemos usar la forma punto-pendiente para interpolar $f^{0}(x)$
- $m=(f^{0}(2)-f^{0}(1))/(2-1)=(x_{2}^{0}-x_{1}^{0})/(2-1)=(10-8)/(2-1)=2/1=2$
- $b=f^{0}(1)-m=x_{1}^{0}-2=8-2=6$
- $f^{0}(x)=b+m\times x=6+2\times x$
- $f^{0}(0)=6+2\times 0=6=s$
Para actualizar las acciones, todas las partes necesitan construir polinomios aleatorios de grado 1 tales que el coeficiente libre sea cero.
- El jugador 1 construye $\delta _{1}^{0}(z)=\delta _{1,1}^{0}\times z^{1}=2\times z^{1}$
- El jugador 2 construye $\delta _{2}^{0}(z)=\delta _{2,1}^{0}\times z^{1}=3\times z^{1}$
Cada jugador evalúa su polinomio y comparte información con otros jugadores.
- El jugador 1 calcula y en $u_{1,1}^{0}=\delta _{1}^{0}(1)=2$ $u_{1,2}^{0}=\delta _{1}^{0}(2)=4$ $Z_{11}$
- El jugador 1 envía al jugador 2 $u_{1,2}^{0}$
- El jugador 2 calcula y en $u_{2,1}^{0}=\delta _{2}^{0}(1)=3$ $u_{2,2}^{0}=\delta _{2}^{0}(2)=6$ $Z_{11}$
- El jugador 2 envía al jugador 1 $u_{2,1}^{0}$
Cada jugador actualiza su cuota mediante $x_{i}^{1}=x_{i}^{0}+u_{1,i}^{0}+u_{2,i}^{0}$
- El jugador 1 calcula $x_{1}^{1}=x_{1}^{0}+u_{1,1}^{0}+u_{2,1}^{0}=8+2+3=2\in Z_{11}$
- El jugador 2 calcula $x_{2}^{1}=x_{2}^{0}+u_{1,2}^{0}+u_{2,2}^{0}=10+4+6=9\in Z_{11}$
Confirmar que las acciones actualizadas generan el mismo secreto original
- Utilice y para reconstruir el polinomio $x_{1}^{1}$ $x_{2}^{1}$ $f^{1}(x)$
- Como es una línea, podemos usar la pendiente del punto $f^{1}(x)$
- $m=(f^{1}(2)-f^{1}(1))/(2-1)=(x_{2}^{1}-x_{1}{1})/(2-1)=(9-2)/(2-1)=7/1=7$
- $b=f^{1}(1)-m=x_{1}^{1}-7=2-7=-5=6$
- $f^{1}(x)=b+m\times x=6+7\times x$
- $f^{1}(0)=6+7\times 0=6=s$

Véase también

Referencias

^ Rafail Ostrovsky, Moti Yung: Cómo resistir los ataques de virus móviles (resumen ampliado). PODC 1991: 51-59 [1]
^ Yair Frankel, Peter Gemmell, Philip D. MacKenzie, Moti Yung: Criptosistemas de clave pública proactivos y de resiliencia óptima. FOCS 1997: 384-393 [2]
^ Krenn, Stephan; Loruenser, Thomas (2023). Introducción al intercambio de secretos: una descripción general sistemática y una guía para la selección de protocolos . doi :10.1007/978-3-031-28161-7. ISBN 978-3-031-28160-0.(también disponible en [3])
^ Herzberg, Amir; Jarecki, Stanislaw; Hugo, Krawczyk; Yung, Moti (1995). "Compartir secretos de manera proactiva o: cómo hacer frente a las fugas perpetuas". CRYPTO '95: Actas de la 15.ª Conferencia Anual Internacional de Criptología sobre avances en criptología . Londres, Reino Unido: Springer-Verlag. págs. 339–352. ISBN. 978-3-540-60221-7. Recuperado el 14 de junio de 2010 .
^ Yevdokimov, Aleksey (2009). "Sistema dinámico de seguridad proactiva". Conferencia internacional de 2009 sobre la aplicación de las tecnologías de la información y la comunicación . IEEE. págs. 1–4. doi :10.1109/ICAICT.2009.5372541. ISBN. 978-1-4244-4739-8.S2CID 11732393 .