Schéma Sakai – Kasahara - Sakai–Kasahara scheme - Wikipedia

The Schéma Sakai – Kasahara, známý také jako šifrovací algoritmus klíče Sakai – Kasahara (Sakra), je šifrování založené na identitě (IBE) systém navržený Ryuichi Sakai a Masao Kasahara v roce 2003.^[1] Po boku Schéma Boneh – Franklin, toto je jedno z malého počtu komerčně implementovaných šifrovacích schémat založených na identitě. Jedná se o aplikaci párování přes eliptické křivky a konečná pole. Bezpečnostní důkaz pro algoritmus byl vyroben v roce 2005 Chen a Cheng.^[2] SAKKE je popsán v Internet Engineering Task Force (IETF ) RFC 6508.^[3]

Jako specifická metoda šifrování na základě identity je primárním případem použití umožnit komukoli zašifrovat zprávu uživateli, když odesílatel zná pouze veřejnou identitu (např. E-mailovou adresu) uživatele. Tímto způsobem toto schéma odstraňuje požadavek, aby uživatelé sdíleli veřejné certifikáty za účelem šifrování.

Popis schématu

Schéma Sakai – Kasahara umožňuje šifrování zprávy ${ displaystyle mathbb {M}}$ přijímači se specifickou identitou, ${ displaystyle textstyle I_ {U}}$ . Pouze entita se soukromým klíčem, ${ displaystyle textstyle K_ {U}}$ spojené s identitou, ${ displaystyle textstyle I_ {U}}$ , bude schopen dešifrovat zprávu.

V rámci schématu musí odesílatel i příjemce důvěřovat generátoru soukromého klíče (PKG), známému také jako server pro správu klíčů (KMS). Účelem PKG je vytvořit soukromý klíč přijímače, ${ displaystyle textstyle K_ {U}}$ spojené s identitou příjemce, ${ displaystyle textstyle I_ {U}}$ . PKG musí bezpečně doručit soukromý klíč specifický pro identitu přijímači a veřejný parametr specifický pro PKG, ${ displaystyle textstyle Z}$ všem stranám. Tyto distribuční procesy nejsou považovány za součást definice tohoto kryptografického schématu.

Předkola

Schéma využívá dvě multiplikativní skupiny ${ displaystyle textový styl E}$ a ${ displaystyle textstyle G}$ . Je předpokládáno:

The Problém Diffie-Hellman je těžké ${ displaystyle textový styl E}$ . To znamená, že vzhledem ke dvěma členům skupiny ${ displaystyle textový styl P}$ a ${ displaystyle textstyle Q}$ , je těžké najít ${ displaystyle textstyle x}$ takhle ${ displaystyle textstyle [x] .P = Q}$ .
The Problém Diffie-Hellman je těžké ${ displaystyle textstyle G}$ . To znamená, že vzhledem ke dvěma členům skupina ${ displaystyle g}$ a ${ displaystyle t}$ , je těžké najít ${ displaystyle textstyle x}$ takhle ${ displaystyle textstyle g ^ {x} = t}$ .
Existuje bilineární mapa, Tate-Lichtenbaum párování, ${ displaystyle textstyle e (,)}$ od E do G. To znamená, že pro ${ displaystyle textový styl P}$ člen ${ displaystyle textový styl E}$ a pro ${ displaystyle textstyle g = e (P, P)}$ člen ${ displaystyle textstyle G}$ :

{ displaystyle textstyle e (P, [x] .P) = e ([x] .P, P) = e (P, P) ^ {x} = g ^ {x}}

Často, ${ displaystyle textový styl E}$ je supersingulární eliptická křivka, jako ${ displaystyle textstyle E: y ^ {2} = x ^ {3} -3x}$ (přes konečné pole hlavního řádu ${ displaystyle textstyle p}$ ). Generátor ${ displaystyle textový styl P}$ hlavního řádu ${ displaystyle textstyle q}$ je vybrán v ${ displaystyle textový styl E}$ . Skupina ${ displaystyle textstyle G}$ je obraz způsobený párováním skupiny generované ${ displaystyle textový styl P}$ (v rozšiřovacím poli stupně 2 konečného pole řádu p).

Dva hashovací funkce jsou také povinné, ${ displaystyle textový styl H_ {1}}$ a ${ displaystyle textstyle H_ {2}}$ . ${ displaystyle textstyle H_ {1}}$ vypíše kladné celé číslo, ${ displaystyle textstyle x}$ , takový, že ${ displaystyle textový styl 1$ . ${ displaystyle textstyle H_ {2}}$ výstupy ${ displaystyle textstyle n}$ bity, kde ${ displaystyle textstyle n}$ je délka zprávy ${ displaystyle mathbb {M}}$ .

Generování klíčů

PKG má hlavní tajemství ${ displaystyle textstyle z}$ kde ${ displaystyle 1$ a veřejný klíč ${ displaystyle textstyle Z = [z] .P}$ což je bod na ${ displaystyle textový styl E}$ . PKG generuje soukromý klíč, ${ displaystyle textstyle K_ {U}}$ , pro uživatele s identitou ${ displaystyle textstyle ID_ {U}}$ jak následuje:

{ displaystyle textstyle K_ {U} = [{ frac {1} {z + H_ {1} (ID_ {U})}}]. P}

Šifrování

Šifrovat neopakující se zprávu ${ displaystyle mathbb {M}}$ , odesílatel vyžaduje totožnost příjemce, ${ displaystyle textstyle ID_ {U}}$ a veřejná hodnota PGK ${ displaystyle textstyle Z}$ . Odesílatel provede následující operaci.

Vytvořit: ${ displaystyle textstyle id = H_ {1} (ID_ {U})}$
Odesílatel generuje ${ displaystyle textstyle r}$ použitím ${ displaystyle textstyle r = H_ {1} ( mathbb {M} || id)}$
Vytvořte bod ${ displaystyle textstyle R}$ v ${ displaystyle textový styl E}$ :
${ displaystyle textstyle R = [r]. ([id] .P + Z)}$
Vytvořte maskovanou zprávu:
${ displaystyle textstyle S = mathbb {M} oplus H_ {2} (g ^ {r})}$
Šifrovaný výstup je: ${ displaystyle textstyle (R, S)}$

Upozorňujeme, že zprávy se nemusí opakovat, protože opakovaná zpráva se stejnou identitou má za následek opakovaný šifrovací text. Existuje protokol, který by měl zprávy opakovat.

Dešifrování

K dešifrování zprávy zašifrované do ${ displaystyle textstyle ID_ {U}}$ , přijímač vyžaduje soukromý klíč, ${ displaystyle textstyle K_ {U}}$ z PKG a veřejné hodnoty ${ displaystyle textstyle Z}$ . Postup dešifrování je následující:

Vypočítat ${ displaystyle textstyle id = H_ {1} (ID_ {U})}$
Přijměte šifrovanou zprávu: ${ displaystyle textstyle (R, S)}$ .
Vypočítat:
${ displaystyle textstyle w = e (R, K_ {U})}$
Extrahovat zprávu:
${ displaystyle textstyle mathbb {M} = S oplus H_ {2} (w)}$
Chcete-li ověřit zprávu, vypočítat ${ displaystyle textstyle r = H_ {1} ( mathbb {M} || id)}$ , a přijměte zprávu, pouze pokud:
${ displaystyle textstyle [r]. ([id] .P + Z) equiv R}$

Demonstrace algoritmické správnosti

Následující rovnice ukazují správnost algoritmu:

{ displaystyle textstyle w = e (R, K_ {U}) = e ([r]. ([id] .P + Z), K_ {U}) = e ([r]. ([id]. P + [z] .P), K_ {U}) = e ([r (id + z)]. P, K_ {U})}

Podle bilineární vlastnosti mapy:

{ displaystyle textstyle w = e ([r (id + z)]. P, K_ {U}) = e ([r (id + z)]. P, [{ frac {1} {(id + z)}}]. P) = e (P, P) ^ { frac {r (id + z)} {(id + z)}} = g ^ {r}}

Jako výsledek:

{ displaystyle textstyle S oplus H_ {2} (w) = ( mathbb {M} oplus H_ {2} (g ^ {r})) oplus H_ {2} (w) = mathbb {M }}

Standardizace

K tomuto protokolu existují čtyři standardy:

Počáteční standardizace schématu byla zahájena IEEE v roce 2006.^[4]
Tento režim byl standardizován IETF v roce 2012 RFC 6508.
Algoritmus výměny klíčů založený na schématu je MIKEY -SAKKE protokol vyvinutý britskou národní zpravodajskou a bezpečnostní agenturou, GCHQ a definováno v RFC 6509.
Sakai-Kasahara, jak je specifikováno v MIKEY-SAKKE, je klíčovým algoritmem výměny klíčů Secure Chorus šifrované Voice over IP Standard.^[5]

Bezpečnostní

Stejně jako u jiných šifrovacích schémat založených na identitě vyžaduje Sakai-Kasahara, aby server pro správu klíčů (KMS) ukládal hlavní tajemství, ze kterého lze generovat soukromé klíče všech uživatelů. Steven Murdoch kritizoval společnost MIKEY-SAKKE za vytvoření chyby zabezpečení umožňující KMS dešifrovat komunikaci každého uživatele^[6]^[7]^[8]. Murdoch také poznamenal, že nedostatek dopředu tajemství v MIKEY-SAKKE zvyšuje újmu, která by mohla být výsledkem ohrožení hlavního tajemství. GCHQ, tvůrce společnosti MIKEY-SAKKE, tuto analýzu zpochybnil a poukázal na to, že některé organizace mohou takové monitorovací schopnosti považovat za žádoucí z vyšetřovacích nebo regulačních důvodů^[9], a že KMS by měla být chráněna vzduchová mezera^[10].

Kryptografické knihovny a implementace

Schéma je součástí kryptografické knihovny MIRACL.

Viz také

Šifrování založené na ID
wolfSSL : Knihovna SSL / TLS, která má integraci s MIKEY SAKKE

Reference

^ Sakai, Ryuichi; Kasahara, Masao (2003). „ID Based cryptosystems with pairing on eliptic curve“ (PDF). Archiv kryptografie ePrint. 2003/054.
^ Chen, L .; Cheng, Z. „Bezpečnostní důkaz šifrovacího schématu založeného na identitě Sakai-Kasahara“ (PDF). Archiv kryptografie ePrint. 2005/226.
^ Groves, M. (únor 2012). Šifrování klíčů Sakai-Kasahara (SAKKE). IETF. doi:10.17487 / RFC6508. RFC 6508.
^ Barbosa, M. (červen 2006). „SK-KEM: Identity-Based KEM“ (PDF). IEEE. P1363.3. Citovat deník vyžaduje | deník = (Pomoc)
^ „Společné technologické standardy“. Secure Chorus. 2019. Archivovány od originál dne 2020-02-04. Citováno 4. února 2020.
^ Murdoch, Steven J. (Březen 2016). „Nejistá záměrně: protokoly pro šifrovaná telefonní volání“. Počítač. IEEE. 49 (3): 25–33. doi:10.1109 / MC.2016.70. S2CID 10072519.
^ Murgia, Madhumita (22. ledna 2016). „Software vyvinutý společností GCHQ pro zabezpečené telefonní hovory otevřený odposlechu'". The Telegraph. Archivováno z původního dne 2019-07-09. Citováno 2020-02-04.
^ Baraniuk, Chris (23. ledna 2016). „Zabezpečení telefonu vyvinuté GCHQ je přístupné dohledu'". BBC novinky. Citováno 2020-02-04.
^ Levy, Ian (26. ledna 2016). „Vývoj MIKEY-SAKKE“. GCHQ. Citováno 2020-02-04.
^ „MIKEY-SAKKE často kladené otázky“. GCHQ. 7. srpna 2016. Citováno 2020-02-04.

[1] Sakai, Ryuichi; Kasahara, Masao (2003). „ID Based cryptosystems with pairing on eliptic curve“ (PDF). Archiv kryptografie ePrint. 2003/054.

[2] Chen, L .; Cheng, Z. „Bezpečnostní důkaz šifrovacího schématu založeného na identitě Sakai-Kasahara“ (PDF). Archiv kryptografie ePrint. 2005/226.

[3] Groves, M. (únor 2012). Šifrování klíčů Sakai-Kasahara (SAKKE). IETF. doi:10.17487 / RFC6508. RFC 6508.

[4] Barbosa, M. (červen 2006). „SK-KEM: Identity-Based KEM“ (PDF). IEEE. P1363.3. Citovat deník vyžaduje | deník = (Pomoc)

[5] „Společné technologické standardy“. Secure Chorus. 2019. Archivovány od originál dne 2020-02-04. Citováno 4. února 2020.

[6] Murdoch, Steven J. (Březen 2016). „Nejistá záměrně: protokoly pro šifrovaná telefonní volání“. Počítač. IEEE. 49 (3): 25–33. doi:10.1109 / MC.2016.70. S2CID 10072519.

[7] Murgia, Madhumita (22. ledna 2016). „Software vyvinutý společností GCHQ pro zabezpečené telefonní hovory otevřený odposlechu'". The Telegraph. Archivováno z původního dne 2019-07-09. Citováno 2020-02-04.

[8] Baraniuk, Chris (23. ledna 2016). „Zabezpečení telefonu vyvinuté GCHQ je přístupné dohledu'". BBC novinky. Citováno 2020-02-04.

[9] Levy, Ian (26. ledna 2016). „Vývoj MIKEY-SAKKE“. GCHQ. Citováno 2020-02-04.

[10] „MIKEY-SAKKE často kladené otázky“. GCHQ. 7. srpna 2016. Citováno 2020-02-04.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]