ID-based encryption

ID-based encryption или identity-based encryption — асимметричная криптосистема, в которой открытый ключ вычисляется на основе некоторой уникальной информации о личности пользователя (идентификационных данных). В качестве такой информации могут выступать имя пользователя, адрес электронной почты, контактный телефон или любые другие данные.

Кроме того, употребляются и другие названия данной криптосистемы: IBE, шифрование на основе идентификации, личностное шифрование.

История[править | править код]

В 1984 году Ади Шамир выдвинул идею о создании криптосистемы с открытым ключом, полученным на основе идентификационных данных^[1]. В своей работе Ади Шамир не дал полного описания системы, а разработал подпись, основанную на идентификационной информации и инфраструктуру открытых ключей, основанную на адресе электронной почты.

Первые практические реализации были представлены в 2001 году Клиффордом Коксом — Cocks IBE scheme^[англ.]^[2], а также Дэном Боне и Мэтью К. Франклином — Boneh–Franklin scheme^[англ.]^[3].

Описание работы IBE, предложенное Ади Шамиром[править | править код]

Личностное шифрование позволяет любой стороне генерировать открытый ключ из любой идентификационной информации пользователя, безопасно обмениваться сообщениями, проверять подписи без обмена ключами. Схема предполагает наличие надёжного центра генерации закрытых ключей — третья доверенная сторона, называемой Private Key Generator (PKG), целью которой является предоставление каждому новому пользователю персональной смарт-карты. Карта состоит из микропроцессора, I/O порта, ОЗУ, ПЗУ с закрытым ключом пользователя, а также программы для шифрования, расшифровывания, подписи сообщений и проверки подлинности подписей. Ранее выпущенные смарт-карты не требуют обновления при добавлении новых пользователей с систему. Схема может успешно использоваться для замкнутого круга пользователей — международная компания, крупный банк и т. п., так как штаб-квартира такой организации способна организовать и администрировать доверенный PKG для данной группы пользователей^[1].

В схеме шифрования на основе идентификации взята за основу криптосистема с открытым ключом с некоторыми изменениями. Отличие IBE заключается в том, что вместо генерации случайной пары закрытых и открытых ключей и публикации соответствующего открытого ключа, пользователь выбирает в качестве открытого ключа своё имя, почту или иные общеизвестные идентификационные данные, которые могут быть однозначно ассоциированы с данным пользователем. Соответствующий закрытый ключ вычисляется с помощью PKG и выдаётся пользователю в виде смарт-карты, описанной выше^[1].

Процесс установления защищённого IBE канала связи можно описать следующим образом:

Пользователь A подписывает некоторое сообщение с помощью своего закрытого ключа на персональной смарт-карте, зашифровывает результат, используя идентификационные данные получателя и отправляет сообщение получателю — пользователю B. После приёма сообщения пользователь B расшифровывает его с помощью закрытого ключа на своей персональной смарт-карте, проверяет подпись отправителя, используя его идентификационные данные.

Важно отметить, что для обеспечения безопасного обмена сообщениями закрытые ключи должны вычисляться только сервером PKG.

Наглядно работу алгоритма можно представить в виде:

Общая надёжность данной криптосистемы зависит от:

Надёжность основных криптографических функций
Надёжность хранения информации (ключи) на сервере PKG
Тщательность проверок информации о будущих пользователях перед выдачей смарт-карт
Меры предосторожности для предотвращения утери, кражи, дублирования или несанкционированного доступа к смарт-картам и их соблюдение пользователями^[1].

Различия между схемами с закрытым, открытым ключом и личностным шифрованием наглядно представлены на иллюстрации 2. Во всех схемах сообщение $m$ зашифровано ключом $ke$ , передано по открытому каналу как шифротекст $c$ и расшифровано ключом $kd$ . Генерация ключей происходит с использованием случайного параметра $k$ . В схеме с закрытым ключом $ke=kd=k$ , с открытым ключом ключи шифрования $ke$ и дешифрования $kd$ генерируются с использованием случайного параметра $k$ через две различные функции $ke=fe(k)$ и $kd=fd(k)$ . Иной принцип лежит в схеме шифрования на основе идентификационных данных: идентификационная информация о пользователе выступает в качестве ключа шифрования $ke=i$ , ключ дешифрования генерируется с использованием некоего идентификатора пользователя $i$ и случайного параметра $k$ через функцию $kd=f(i,k)$ ^[1].

Схема подписи в криптосистеме с открытым ключом отличается от таковой для личностного шифрования. Различие между данными схемами подписи можно отследить на иллюстрации 3.

Реализация, предложенная Ади Шамиром[править | править код]

В 1984 году Ади Шамир предложил конкретную реализацию только для схемы подписи сообщения, высказал предположение о существовании реализаций самой криптосистемы, а также призвал сообщество заняться их поиском и изучением.

Схема подписи основывается на проверке следующего условия: $s^{e}=i*t^{f(t,m)}~(mod~n)$ , где $m$ — сообщение, $(s,t)$ — подпись, $i$ — идентификационные данные пользователя, $n$ — произведение двух больших простых чисел, $e$ — большое простое число, являющееся взаимно простым с $\varphi (n)$ ^[1].

Параметры $n,e$ и функция $f$ , выбираемые на стороне PKG, равны для всех пользователей. Алгоритмическое описание функции $f$ хранится у каждого пользователя в индивидуальной смарт-карте. Значения данных параметров могут быть публичными, но разложение $n$ на простые множители должно храниться только на сервере PKG. Отличать одного пользователя от другого можно только на основании его идентификатора $i$ . Единственный закрытый ключ $g$ , соответствующий $i$ , есть не что иное, как: $g^{e}=i~(mod~n)$ . Этот ключ может быть просто вычислен на сервере PKG, но никто другой не сможет вычислить $e$ ^[1].

Каждое сообщение $m$ имеет большое количество возможных $(s,t)$ подписей и в данном случае алгоритм случайного подбора пары $(s,t)$ неэффективен. Любая попытка зафиксировать случайное значение для одной переменной из пары $(s,t)$ и решить выражение $s^{e}=i*t^{f(t,m)}~(mod~n)$ для иной незафиксированной переменной потребует разложения на множители $n$ , что является сложной вычислительной задачей на текущий момент. Однако, если значение $g$ достоверно известно, а разложение $n$ не известно, то существует простой способ генерации любого количества подписей для любого сообщения^[1].

Чтобы подписать некоторое сообщение $m$ , пользователь должен выбрать случайное число $r$ и вычислить: $t=r^{e}~(mod~n)$ . Вышеобозначенное условие $s^{e}=i*t^{f(t,m)}~(mod~n)$ можно переписать в виде: $s^{e}=g^{e}*r^{ef(t,m)}~(mod~n)$ . Так как $e$ является взаимно простым с $\varphi (n)$ , то можно исключить общий множитель из экспоненты. В итоге: $s=g*r^{f(t,m)}~(mod~n)$ может быть вычислен без вычисления $e$ ^[1].

Существующие IBE криптосистемы[править | править код]

В настоящее время схемы шифрования на основе идентификационных данных основаны на билинейных спариваниях (Вейля и Тейта) и эллиптических кривых. Дэн Боне и Мэтью К. Франклин^[англ.] разработали первую из этих схем в 2001 году — Boneh–Franklin scheme^[англ.]^[3]. Она выполняет вероятностное шифрование сообщения произвольной длины подобно схеме Эль-Гамаля^[3].

Иной подход к шифрованию был предложен Клиффордом Коксом^[англ.] в 2001 году — Cocks IBE scheme^[англ.]. Данная криптосистема использует квадратичные вычеты по модулю большого числа, шифрует сообщения по одному биту за раз и увеличивает длину шифротекста по сравнению с начальным сообщением^[2].

На практике используются следующие криптосистемы на основе идентификационных данных:

Boneh–Franklin scheme^[англ.] (BF-IBE)^[3]
Sakai–Kasahara scheme^[англ.] (SK-IBE)^[4]
Boneh-Boyen scheme (BB-IBE)^[5]

Исследования стойкости современных IBE систем[править | править код]

В 2010 году Xu An Wang и Xiaoyuan Yang провели исследование стойкости двух Hierarchical Identity-based Encryption схем, в которых подразумевается использование нескольких PKG серверов разных "уровней" для генерации ключей пользователей. Исследователи провели атаку с использованием случайно выбранного закрытого ключа первого "уровня", получив необходимый закрытый ключ для целевого $ID$ пользователя-жертвы. Полученный закрытый ключ позволит расшифровать любые зашифрованные сообщения пользователя-жертвы^[6].

В 2014 году Jyh-Haw Yeh исследовал Boneh–Franklin scheme^[англ.] и заключил, что авторы данной криптосистемы дают только указание на использование криптографической хеш-функции, но не предлагают каких-либо конкретных реализаций данной хеш-функции. Jyh-Haw Yeh в своей работе разработал и предложил к использованию криптографическую хеш-функцию, удовлетворяющую следующим требованиям^[7]:

Простое "прямое" вычисление (функция однонаправленная)
Стойкость к поиску первого прообраза
Стойкость к поиску второго прообраза
Стойкость к коллизиям

Кроме того, Jyh-Haw Yeh при разработке криптографической хеш-функции дополнил список требований следующим^[7]:

Стойкость к поиску соотношения между прообразами

Иными словами, данное дополнительное свойство требует сложности вычисления коэффициента $c$ для произвольных прообразов $m_{1},m_{2}$ в соотношении $H(m_{1})=c*H(m_{2})$ или в $H(m_{2})=c*H(m_{1})$ , где $H$ — хеш-функция. Важно отметить, что без введения дополнительного свойства работа Jyh-Haw Yeh представляла бы собой исследование криптостойкости схемы Boneh-Franklin^[7].

Преимущества[править | править код]

Одним из основных преимуществ схем шифрования на основе идентификационных данных является то, что в системе с конечным числом пользователей и неизменными идентификаторами после генерации ключей в PKG, главный закрытый ключ может быть уничтожен или остановлена работа PKG (может сократить затраты на поддержку сервера). Это возможно благодаря тому, что ключи пользователей после генерации всегда действительны (система не имеет методов отмены ключей). Системы, в которых реализован метод отмены ключа, лишены этого преимущества^[8]^[9].
В связи с тем, что в системе IBE генерация открытых ключей производится по идентификатору, отпадает необходимость в создании инфраструктуры распространения открытых ключей. Подлинность открытого ключа гарантируется, пока отправка закрытых ключей пользователей остается безопасной^[8]^[9].
Для получения зашифрованного сообщения со стороны получателя не требуется подготовка^[8]^[9].

Недостатки[править | править код]

Если Private Key Generator будет скомпрометирован, то все сообщения за всё время, защищённые парой закрытый-открытый ключ, тоже будут скомпрометированы. Это делает Private Key Generator ценной мишенью для злоумышленников. Для уменьшения потерь из-за взлома PKG, пара главных ключей (главный открытый и закрытый ключи) могут быть заново сгенерированы с помощью новой пары независимых ключей. Однако в таком случае необходимо реализовать схему управления ключами, так как каждый пользователь должен иметь корректные в данный момент времени ключи^[8]^[9].
Согласно основным принципам шифрования на основе идентификаторов, Private Key Generator генерирует закрытые ключи пользователей, поэтому может подписывать сообщения от имени любого пользователя, а также расшифровывать сообщения без авторизации. Однако этот недостаток не должен стать проблемой для организаций, размещающих свои собственные PKG, готовых доверять системным администраторам и не требующих возможности подтверждения совершенных пользователем действий (неотрекаемость). Традиционное асимметричное шифрование с инфраструктурой открытых ключей лишено этого недостатка^[8]^[9].
Для безопасной отправки закрытого ключа требуется защищённый канал передачи данных между Private Key Generator и пользователем. Пользователи, имеющие учётные записи в PKG, должны иметь возможность аутентифицироваться в системе. Это может быть достигнуто, например, с помощью пары логин-пароль или пары открытых ключей на смарт-картах^[8]^[9].
Система IBE может основываться на криптографических методах, которые не подходят для защиты от атак квантовых компьютеров (алгоритм Шора)^[8]^[9].

См. также[править | править код]

Примечания[править | править код]

↑ ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ Shamir A. Identity based cryptosystems and signature schemes // Advances in Cryptology. // Proceedings of CRYPTO 84. — 1985. — С. 47—53. Архивировано 8 августа 2017 года.
↑ ¹ ² Clifford Cocks. An Identity Based Encryption Scheme Based on Quadratic Residues (неопр.). Proceedings of the 8th IMA International Conference on Cryptography and Coding (2001). Дата обращения: 12 декабря 2017. Архивировано 22 сентября 2017 года.
↑ ¹ ² ³ ⁴ Dan Boneh, Matthew K. Franklin. Identity-Based Encryption from the Weil Pairing // Springer Berlin Heidelberg. — 2001.
↑ Sakai, Ryuichi; Kasahara, Masao. ID Based cryptosystems with pairing on elliptic curve (англ.) // Cryptography ePrint Archive : journal. — 2003. — Vol. 2003/054. Архивировано 19 января 2022 года.
↑ Boneh, Dan; Boyen, X. Efficient selective-ID secure identity based encryption without random oracles (англ.) // LNCS : journal. — Springer-Verlag, 2004. — Vol. Advances in Cryptography — EUROCRYPT 2004. — P. 223—238. — doi:10.1007/978-3-540-24676-3_14.
↑ Jian WENG, Min-Rong CHEN, Kefei CHEN, Robert H. DENG. Cryptanalysis of a Hierarchical Identity-Based Encryption Scheme (англ.) // IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences. — 2010-04-01. — Vol. E93.A, iss. 4. — ISSN 1745-1337 0916-8508, 1745-1337. — doi:10.1587/transfun.E93.A.854. Архивировано 29 марта 2018 года.
↑ ¹ ² ³ Jyh-Haw Yeh. Security Vulnerability in Identity-Based Public Key Cryptosystems from Pairings // International Journal of Information and Education Technology. — С. 466—470. — doi:10.7763/ijiet.2013.v3.319. Архивировано 2 июня 2018 года.
↑ ¹ ² ³ ⁴ ⁵ ⁶ ⁷ Carl Youngblood. An Introduction to Identity-based Cryptography // CSEP 590TU. Архивировано 29 августа 2017 года.
↑ ¹ ² ³ ⁴ ⁵ ⁶ ⁷ Mao, Wenbo. Modern cryptography : theory and practice. — Upper Saddle River, NJ: Prentice Hall PTR, 2004. — xxxviii, 707 pages с. — ISBN 0130669431.

[:2-1] ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ Shamir A. Identity based cryptosystems and signature schemes // Advances in Cryptology. // Proceedings of CRYPTO 84. — 1985. — С. 47—53. Архивировано 8 августа 2017 года.

[:0-2] ¹ ² Clifford Cocks. An Identity Based Encryption Scheme Based on Quadratic Residues (неопр.). Proceedings of the 8th IMA International Conference on Cryptography and Coding (2001). Дата обращения: 12 декабря 2017. Архивировано 22 сентября 2017 года.

[:1-3] ¹ ² ³ ⁴ Dan Boneh, Matthew K. Franklin. Identity-Based Encryption from the Weil Pairing // Springer Berlin Heidelberg. — 2001.

[4] Sakai, Ryuichi; Kasahara, Masao. ID Based cryptosystems with pairing on elliptic curve (англ.) // Cryptography ePrint Archive : journal. — 2003. — Vol. 2003/054. Архивировано 19 января 2022 года.

[5] Boneh, Dan; Boyen, X. Efficient selective-ID secure identity based encryption without random oracles (англ.) // LNCS : journal. — Springer-Verlag, 2004. — Vol. Advances in Cryptography — EUROCRYPT 2004. — P. 223—238. — doi:10.1007/978-3-540-24676-3_14.

[6] Jian WENG, Min-Rong CHEN, Kefei CHEN, Robert H. DENG. Cryptanalysis of a Hierarchical Identity-Based Encryption Scheme (англ.) // IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences. — 2010-04-01. — Vol. E93.A, iss. 4. — ISSN 1745-1337 0916-8508, 1745-1337. — doi:10.1587/transfun.E93.A.854. Архивировано 29 марта 2018 года.

[:3-7] ¹ ² ³ Jyh-Haw Yeh. Security Vulnerability in Identity-Based Public Key Cryptosystems from Pairings // International Journal of Information and Education Technology. — С. 466—470. — doi:10.7763/ijiet.2013.v3.319. Архивировано 2 июня 2018 года.

[:4-8] ¹ ² ³ ⁴ ⁵ ⁶ ⁷ Carl Youngblood. An Introduction to Identity-based Cryptography // CSEP 590TU. Архивировано 29 августа 2017 года.

[:5-9] ¹ ² ³ ⁴ ⁵ ⁶ ⁷ Mao, Wenbo. Modern cryptography : theory and practice. — Upper Saddle River, NJ: Prentice Hall PTR, 2004. — xxxviii, 707 pages с. — ISBN 0130669431.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

Симметричные криптосистемы
Потоковые шифры	A3 A5 A8 Decim F-FCSR Grain HC-256 KCipher-2 MICKEY MUGI PIKE Phelix RC4 Rabbit SEAL SNOW SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Сеть Фейстеля	ГОСТ 28147-89 (Магма) Blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Cobra DEAL DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NewDES NDS RC5 RC6 SEED Simon Sinople Skipjack SM4 Speck TEA XTEA XXTEA Raiden RTEA Triple DES Twofish
SP-сеть	Кузнечик 3-WAY ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing BassOmatic BelT CRYPTON Diamond2 Grand Cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer Present Rainbow SAFER SHARK SQUARE Serpent Threefish
Другие	FROG NUSH REDOC SC2000 SHACAL CS-Cipher

Хеш-функции
Общего назначения	Adler-32 CRC Контрольная сумма Флетчера FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH-Дерево хешей Jenkins hash Хеш-сумма
Криптографические	ГОСТ Р 34.11-94 Стрибог BelT BLAKE Blue Midnight Wish CubeHash ECHO Edonkey2k FSB Fugue Grøstl HAVAL Hamsi JH Kupyna LM-хеш Luffa MASH-1 MD2 MD4 MD5 MD6 N-Hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 SHA-3 (Keccak) SHABAL SHAvite-3 SIMD SWIFFT Skein Snefru Tiger Whirlpool
Функции формирования ключа	bcrypt PBKDF2 scrypt Argon2 Lyra2
Контрольное число (сравнение)	Контрольная сумма Алгоритм Верхуффа Алгоритм Дамма Алгоритм Луна Штрих-код Банковских счетов Банковских карт ISIN СНИЛС ОКПО ИНН ОКАТО ISBN ОГРН и ОГРНИП VIN
Применение хешей	Сравнение контрольных чисел Коллизия хеш-функции Протоколы аутентификации Сравнение штрихкодов Криптография Magnet-ссылка Подпись Меркла ed2k URN

ID-based encryption

Содержание

История[править | править код]

Описание работы IBE, предложенное Ади Шамиром[править | править код]

Реализация, предложенная Ади Шамиром[править | править код]

Существующие IBE криптосистемы[править | править код]

Исследования стойкости современных IBE систем[править | править код]

Преимущества[править | править код]

Недостатки[править | править код]

См. также[править | править код]

Примечания[править | править код]

Навигация

ID-based encryption

История[править | править код]

Описание работы IBE, предложенное Ади Шамиром[править | править код]

Реализация, предложенная Ади Шамиром[править | править код]

Существующие IBE криптосистемы[править | править код]

Исследования стойкости современных IBE систем[править | править код]

Преимущества[править | править код]

Недостатки[править | править код]

См. также[править | править код]

Примечания[править | править код]

Навигация

Поиск