Articulo de referencia

Cifrado basado en la identidad

El cifrado basado en identidad ( IBE ) es un elemento fundamental de la criptografía basada en identidad . Se trata de un tipo de cifrado de clave pública en el que la clave púb...

El cifrado basado en identidad ( IBE ) es un elemento fundamental de la criptografía basada en identidad . Se trata de un tipo de cifrado de clave pública en el que la clave pública de un usuario es información única sobre su identidad (por ejemplo, su dirección de correo electrónico). Esto significa que un remitente con acceso a los parámetros públicos del sistema puede cifrar un mensaje utilizando, por ejemplo, el nombre o la dirección de correo electrónico del destinatario como clave. El destinatario obtiene su clave de descifrado de una autoridad central, en la que se debe confiar, ya que genera claves secretas para cada usuario.

El cifrado basado en identidad fue propuesto por Adi Shamir en 1984. [ 1 ] Sin embargo, solo pudo proporcionar una instancia de firmas basadas en identidad . El cifrado basado en identidad siguió siendo un problema abierto durante muchos años.

El esquema de Boneh-Franklin basado en emparejamientos [ 2 ] y el esquema de cifrado de Cocks [ 3 ] basado en residuos cuadráticos resolvieron el problema IBE en 2001.

Uso

Los sistemas basados ​​en identidad permiten que cualquier parte genere una clave pública a partir de un valor de identidad conocido, como una cadena ASCII. Un tercero de confianza, denominado Generador de Claves Privadas (PKG), genera las claves privadas correspondientes. Para su funcionamiento, el PKG primero publica una clave pública maestra y conserva la clave privada maestra correspondiente (conocida como clave maestra ). Con la clave pública maestra, cualquier parte puede calcular una clave pública correspondiente a la identidad combinando la clave pública maestra con el valor de identidad. Para obtener una clave privada correspondiente, la parte autorizada a usar la identidad ID se pone en contacto con el PKG, que utiliza la clave privada maestra para generar la clave privada para la identidad ID .

Como resultado, las partes pueden cifrar mensajes (o verificar firmas) sin una distribución previa de claves entre los participantes. Esto es extremadamente útil en casos donde la predistribución de claves autenticadas es inconveniente o inviable debido a limitaciones técnicas. Sin embargo, para descifrar o firmar mensajes, el usuario autorizado debe obtener la clave privada correspondiente del PKG. Una desventaja de este enfoque es que el PKG debe ser altamente confiable, ya que es capaz de generar la clave privada de cualquier usuario y, por lo tanto, puede descifrar (o firmar) mensajes sin autorización. Dado que la clave privada de cualquier usuario puede generarse mediante el uso del secreto de un tercero, este sistema tiene un depósito de claves inherente . Se han propuesto varios sistemas variantes que eliminan el depósito, incluyendo el cifrado basado en certificados , [ 4 ] la criptografía de emisión de clave segura [ 5 ] y la criptografía sin certificados . [ 6 ]

Los pasos a seguir se muestran en este diagrama:

Cifrado basado en identidad: pasos fuera de línea y en línea

Marco de protocolo

Dan Boneh y Matthew K. Franklin definieron un conjunto de cuatro algoritmos que forman un sistema IBE completo:

  • Configuración : Este algoritmo es ejecutado una sola vez por el PKG para crear todo el entorno IBE. La clave maestra se mantiene secreta y se utiliza para derivar las claves privadas de los usuarios, mientras que los parámetros del sistema se hacen públicos. Acepta un parámetro de seguridad.k{\displaystyle \textstyle k}(es decir, longitud binaria del material clave) y resultados:
  1. Un conjuntoPAG{\displaystyle \textstyle {\mathcal {P}}}de parámetros del sistema, incluido el espacio de mensajes y el espacio de texto cifradoMETRO{\displaystyle \textstyle {\mathcal {M}}}ydo{\displaystyle \textstyle {\mathcal {C}}},
  2. una llave maestraKmetro{\displaystyle \textstyle K_ {m}}.
  • Extracto : Este algoritmo es ejecutado por el PKG cuando un usuario solicita su clave privada. Tenga en cuenta que la verificación de la autenticidad del solicitante y el transporte seguro ded{\displaystyle \textstyle d}son problemas con los que los protocolos IBE no intentan lidiar. Toma como entradaPAG{\displaystyle \textstyle {\mathcal {P}}},Kmetro{\displaystyle \textstyle K_ {m}}y un identificadorID{0,1}{\displaystyle \textstyle ID\in \left\{0,1\right\}^{*}}y devuelve la clave privadad{\displaystyle \textstyle d}para el usuarioID{\displaystyle \textstyle ID}.
  • Encriptar : TomaPAG{\displaystyle \textstyle {\mathcal {P}}}, un mensajemetroMETRO{\displaystyle \textstyle m\in {\mathcal {M}}}yID{0,1}{\displaystyle \textstyle ID\in \left\{0,1\right\}^{*}}y genera el cifradododo{\displaystyle \textstyle c\in {\mathcal {C}}}.
  • Descifrar : Aceptad{\displaystyle \textstyle d},PAG{\displaystyle \textstyle {\mathcal {P}}}ydodo{\displaystyle \textstyle c\in {\mathcal {C}}}y devolucionesmetroMETRO{\displaystyle \textstyle m\in {\mathcal {M}}}.

Restricción de corrección

Para que todo el sistema funcione, hay que postular que:

metroMETRO,ID{0,1}:Dmidorypagt(miincógnitatradot(PAG,Kmetro,ID),PAG,minortedorypagt(PAG,metro,ID))=metro{\displaystyle \forall m\in {\mathcal {M}},ID\in \left\{0,1\right\}^{*}:\mathrm {Descifrar} \left(\mathrm {Extraer} \left({\mathcal {P}},K_{m},ID\right),{\mathcal {P}},\mathrm {Cifrar} \left({\mathcal {P}},m,ID\right)\right)=m}

Esquemas de cifrado

Los esquemas de cifrado basados ​​en identidad más eficientes se basan actualmente en emparejamientos bilineales sobre curvas elípticas , como los de Weil o Tate . El primero de estos esquemas fue desarrollado por Dan Boneh y Matthew K. Franklin (2001) y realiza un cifrado probabilístico de textos cifrados arbitrarios mediante un enfoque similar al de Elgamal . Si bien el esquema de Boneh-Franklin es demostrablemente seguro , la prueba de seguridad se basa en supuestos relativamente nuevos sobre la dificultad de los problemas en ciertos grupos de curvas elípticas.

En 2001, Clifford Cocks propuso otro enfoque para el cifrado basado en identidad. El esquema IBE de Cocks se basa en supuestos bien estudiados (el supuesto de resisidad cuadrática ), pero cifra los mensajes bit a bit con un alto grado de expansión del texto cifrado . Por lo tanto, resulta muy ineficiente y poco práctico para enviar mensajes que no sean los más cortos, como una clave de sesión para usar con un cifrado simétrico .

Un tercer enfoque para IBE es mediante el uso de retículos.

Algoritmos de cifrado basados ​​en la identidad

A continuación se enumeran algunos algoritmos prácticos de cifrado basados ​​en la identidad.

Todos estos algoritmos cuentan con pruebas de seguridad .

Ventajas

Una de las principales ventajas de cualquier esquema de cifrado basado en identidad es que, si solo hay un número finito de usuarios, una vez que todos hayan recibido sus claves, el secreto del tercero puede destruirse. Esto es posible porque este sistema presupone que, una vez emitidas, las claves son siempre válidas (ya que este sistema básico carece de un método de revocación de claves ). La mayoría de las variantes de este sistema que sí incluyen la revocación de claves pierden esta ventaja.

Además, dado que las claves públicas se derivan de identificadores, IBE elimina la necesidad de una infraestructura de distribución de claves públicas. La autenticidad de las claves públicas se garantiza implícitamente siempre que el transporte de las claves privadas al usuario correspondiente se mantenga seguro ( autenticidad , integridad , confidencialidad ).

Además de estos aspectos, IBE ofrece características interesantes derivadas de la posibilidad de codificar información adicional en el identificador. Por ejemplo, un remitente podría especificar una fecha de caducidad para un mensaje. Esta marca de tiempo se añade a la identidad del destinatario (posiblemente utilizando un formato binario como X.509 ). Cuando el receptor contacta con el PKG para recuperar la clave privada correspondiente a esta clave pública, el PKG puede evaluar el identificador y rechazar la extracción si la fecha de caducidad ha expirado. En general, la incrustación de datos en el identificador equivale a abrir un canal adicional entre el remitente y el PKG, cuya autenticidad está garantizada gracias a la dependencia de la clave privada con respecto al identificador.

Desventajas

  • Si un generador de claves privadas (PKG) se ve comprometido, todos los mensajes protegidos durante la vigencia del par de claves pública-privada utilizado por ese servidor también se ven comprometidos. Esto convierte al PKG en un objetivo de alto valor para los atacantes. Para limitar la exposición derivada de un servidor comprometido, el par de claves pública-privada maestro podría actualizarse con un nuevo par de claves independiente. Sin embargo, esto plantea un problema de gestión de claves, ya que todos los usuarios deben disponer de la clave pública más reciente del servidor.
  • Dado que el Generador de Claves Privadas (PKG) genera claves privadas para los usuarios, puede descifrar o firmar cualquier mensaje sin autorización. Esto implica que los sistemas IBS no pueden utilizarse para garantizar la no repudiación . Sin embargo, esto podría no ser un problema para las organizaciones que gestionan su propio PKG, confían en sus administradores de sistema y no requieren la no repudiación.
  • El problema del depósito implícito de claves no existe con el sistema PKI actual , donde las claves privadas generalmente se generan en el ordenador del usuario. Dependiendo del contexto, el depósito de claves puede considerarse una característica positiva (por ejemplo, en empresas). Se han propuesto varios sistemas alternativos que eliminan el depósito, como el cifrado basado en certificados , el uso compartido de secretos , la criptografía de emisión segura de claves y la criptografía sin certificados .
  • Se requiere un canal seguro entre el usuario y el Generador de Claves Privadas (PKG) para transmitir la clave privada al unirse al sistema. En este caso, una conexión tipo SSL es una solución común para sistemas de gran escala. Es importante tener en cuenta que los usuarios con cuentas en el PKG deben poder autenticarse. En principio, esto se puede lograr mediante nombre de usuario, contraseña o pares de claves públicas almacenadas en tarjetas inteligentes.
  • Las soluciones IBE pueden basarse en técnicas criptográficas que son inseguras frente a ataques de computadoras cuánticas que descifran códigos (véase el algoritmo de Shor ).

Véase también

Referencias

  1. Shamir, Adi (1984). "Identity-Based Cryptosystems and Signature Schemes". En Blakley, GR; Chaum, David (eds.). Advances in Cryptology, Proceedings of CRYPTO '84, Santa Barbara, California, USA, August 19–22, 1984, Proceedings . Lecture Notes in Computer Science. Vol.  196. Springer. pp. 47– 53. doi : 10.1007/3-540-39568-7_5 . 
  2. Boneh, Dan ; Franklin, Matthew (2003). "Cifrado basado en identidad a partir del emparejamiento de Weil". SIAM Journal on Computing . 32 (3): 586– 615. doi : 10.1137/S0097539701398521 . MR 2001745 . 
  3. Cocks, Clifford C. (2001). "Un esquema de cifrado basado en identidad basado en residuos cuadráticos". En Honary, Bahram (ed.). Criptografía y codificación, 8.ª Conferencia Internacional IMA, Cirencester, Reino Unido, 17-19 de diciembre de 2001, Actas . Lecture Notes in Computer Science. Vol. 2260. Springer. pp. 360-363 . doi : 10.1007/3-540-45325-3_32 .  
  4. Gentry, Craig (2003). "Cifrado basado en certificados y el problema de la revocación de certificados" . En Biham, Eli (ed.). Avances en criptología – EUROCRYPT 2003, Conferencia internacional sobre la teoría y las aplicaciones de las técnicas criptográficas, Varsovia, Polonia, 4-8 de mayo de 2003, Actas . Lecture Notes in Computer Science. Vol. 2656. Springer. pp. 272–293 . doi : 10.1007/3-540-39200-9_17 .  
  5. Lee, Byoungcheon; Boyd, Colin; Dawson, Ed; Kim, Kwangjo; Yang, Jeongmo; Yoo, Seungjae (2004). "Emisión segura de claves en criptografía basada en ID" . En Hogan, James M.; Montague, Paul; Purvis, Martin K.; Steketee, Chris (eds.). ACSW Frontiers 2004, 2004 ACSW Workshops – the Australasian Information Security Workshop (AISW2004), the Australasian Workshop on Data Mining and Web Intelligence (DMWI2004), and the Australasian Workshop on Software Internationalisation (AWSI2004), Dunedin, Nueva Zelanda, enero de 2004. CRPIT. Vol. 32. Australian Computer Society. pp. 69– 74.  
  6. Al-Riyami, Sattam S.; Paterson, Kenneth G. (2003). "Criptografía de clave pública sin certificados" . En Laih, Chi-Sung (ed.). Avances en criptología – ASIACRYPT 2003, 9.ª Conferencia Internacional sobre la Teoría y Aplicación de la Criptología y la Seguridad de la Información, Taipéi, Taiwán, 30 de noviembre - 4 de diciembre de 2003, Actas . Lecture Notes in Computer Science. Vol. 2894. Springer. pp. 452–473 . doi : 10.1007/978-3-540-40061-5_29 .  
  7. Sakai, Ryuichi; Kasahara, Masao (2003). "Sistemas criptográficos basados ​​en ID con emparejamiento en curva elíptica" . Cryptography ePrint Archive .
  8. Boneh, Dan ; Boyen, Xavier (2004). "Cifrado seguro basado en identidad selectiva eficiente sin oráculos aleatorios" . En Cachin, Christian; Camenisch, Jan (eds.). Avances en criptología – EUROCRYPT 2004, Conferencia internacional sobre la teoría y las aplicaciones de las técnicas criptográficas, Interlaken, Suiza, 2-6 de mayo de 2004, Actas . Lecture Notes in Computer Science. Vol. 3027. Springer. pp. 223–238 . doi : 10.1007/978-3-540-24676-3_14 .  
  • Seminario 'Criptografía y seguridad en la banca'/'Criptología alternativa', Universidad Ruhr de Bochum, Alemania
  • RFC 5091: el RFC de la IETF que define dos algoritmos IBE comunes.
  • Cifrado basado en roles de HP archivado el 12/12/2003 en Wayback Machine.
  • El salón criptográfico basado en emparejamientos
  • El servicio web de cifrado Voltage Security Network - IBE
  • Informe de analistas sobre el coste de IBE frente a PKI