E Emparelhamento bilinear
X eXponencia¸c˜ao nos grupos multiplicativos
M Multiplica¸c˜ao escalar nos grupos aditivos
m multiplica¸c˜ao de pontos nos grupos multiplicativos
S Soma de pontos nos grupos aditivos
H c´alculo de Hash
Tabela 7.1: Opera¸c˜oes sobre grupos bilineares, em ordem de complexidade (e legenda)
7.2 An´alises sobre CL-PKE-Proposto
Seguem coment´arios e an´alises sobre nosso esquema CL-PKE-Proposto.
7.2.1 Viabilidade de Implementa¸c˜ao
Levando-se em conta o resumo apresentado por (GALBRAITH; PATERSON; SMART, 2006), a respeito do uso de emparelhamentos bilineares em esquemas criptogr´aficos, chegamos `a con-clus˜ao de que CL-PKE-Proposto e demais esquemas relacionados estudados s˜ao todos pass´ıveis de serem implementados, ou seja, podem ser implementados na pr´atica, desde que os grupos estejam definidos sobre corpos de caracter´ıstica prima grande (e grau de imers˜ao 2). Isso ´e devido `a escolha de emparelhamentos sim´etricos, na defini¸c˜ao de todos os esquemas que podem ser comparados com CL-PKE-Proposto.
Detalhes sobre a viabilidade de implementa¸c˜ao da fun¸c˜ao de hash H1 : {0, 1}∗ → G∗ 1 ´e descrita em (BONEH; FRANKLIN, 2001).
7.2.2 Eficiˆencia Computacional
Considerando-se que as opera¸c˜oes mais caras envolvidas nos esquemas s˜ao respectivamente as listadas na tabela 7.1, podemos obter uma compara¸c˜ao de tempo computacional para cripto-grafar e decriptocripto-grafar textos, com cada um dos esquemas CL-PKE. A tabela 7.2 relaciona, em ordem cronol´ogica de publica¸c˜ao, os esquemas relacionados com CL-PKE-Proposto, totalizando as opera¸c˜oes que envolvem pontos da curva.
Pela tabela 7.2, ´e poss´ıvel observar que, em implementa¸c˜oes t´ıpicas, CL-PKE-Proposto deve ser o mais veloz para criptografar mensagens, pois requer apenas um c´alculo de emparelhamento
7.2 An´alises sobre CL-PKE-Proposto 90
Criptografia Decriptografia
Esquema CL-PKE E X M H E X M H
(AL-RIYAMI; PATERSON, 2003)3 1 1 4 1 0 1 3
(AL-RIYAMI; PATERSON, 2005)1 1 2 5 1 0 2 4
(CHENG; COMLEY, 2005)1 1 2 4 1 0 2 3
CL-PKE-Proposto 1 1 2 3 1 0 2 2
Tabela 7.2: Quantidade de opera¸c˜oes sobre grupos nos esquemas CL-PKE
e menor quantidade de hash que todos os antecessores.
Para decriptografar, o esquema de (AL-RIYAMI; PATERSON, 2003) apresenta a solu¸c˜ao mais eficiente, entre todos. Nosso esquema ´e ligeiramente mais veloz que o de (CHENG; COM-LEY, 2005), por usar uma fun¸c˜ao de hash a menos.
Salientamos que o uso de menor n´umero de opera¸c˜oes de hash ocorre n˜ao apenas nos algoritmos de criptografia e decriptografia. No pr´oprio algoritmo de inicializa¸c˜oes de CL-PKE-Proposto, fazem parte dos parˆametros p´ublicos do sistema apenas trˆes fun¸c˜oes de hash, a menor quantidade dentre todos os esquemas.
Se forem implementadas t´ecnicas semelhantes `as de (BONEH; BOYEN, 2004a), para eli-mina¸c˜ao da hip´otese de or´aculos aleat´orios, o c´alculo de hash se torna mais caro, por´em a eficiˆencia de nosso algoritmo de decriptografia se torna praticamente equivalente `a do mais veloz (ver se¸c˜ao 8.2.2).
7.2.3 Uso de Espa¸co
A tabela 7.3 lista os tamanhos de chave p´ublica, de texto leg´ıvel e de texto cifrado, requeridos pelos esquemas. Por essa tabela, pode-se observar que CL-PKE-Proposto requer chaves p´ublicas de bom tamanho frente aos demais esquemas. E, potencialmente, produz cifras menores que seus antecessores.
Considerando-se que o tamanho da mensagem para CL-PKE-Proposto, em bits, ´e m − k0, e n para os demais esquemas, ´e poss´ıvel realizar uma compara¸c˜ao dos tamanhos da cifras produzidas, fazendo n = m − k0. Para determinadas escolhas de m e k0, com k0polinomial em m, o esquema proposto produz cifras de menor tamanho conforme se vˆe na tabela 7.4.
7.2 An´alises sobre CL-PKE-Proposto 91
Tamanhos (em bits)
Esquema CL-PKE chave p´ublica mensagem leg´ıvel mensagem cifrada
(AL-RIYAMI; PATERSON, 2003)
2g n g + 2n
(AL-RIYAMI; PATERSON, 2005)
g n g + 2n
(CHENG; COMLEY, 2005)
g n g + 2n
CL-PKE-Proposto
g m − k
0g + m
Tabela 7.3: Tamanhos requeridos na representa¸c˜ao de elementos nos esquemas CL-PKE
(em que g ´e o tamanho em bits para representar um ponto de G
1)
k0 < n, limitado por´em a uma rela¸c˜ao polinomial entre k0 e m(= n + k0). Isto ´e, deve valer k0(n) = O(n1/c), para alguma constante c > 1. Nessas condi¸c˜oes, nosso esquema ´e mais econˆomico no uso de mem´oria e de banda em canais de comunica¸c˜ao.
Valor de k
0com m = n + k
0Tamanho da cifra de CL-PKE-Proposto
k
0> n m > 2n maior que a dos antecessores
k
0= n m = 2n igual a dos antecessores
k
0< n m < 2n menor que a dos antecessores
Tabela 7.4: Tamanho relativo do texto cifrado em CL-PKE-Proposto
7.2.4 Modelo de Seguran¸ca
Os esquemas estudados de CL-PKE alcan¸cam um n´ıvel de seguran¸ca que pode ser comprovado. Cada um, entretanto, usa uma hip´otese de problema dif´ıcil, nas demonstra¸c˜oes de seguran¸ca contra advers´arios Tipo-II. Na tabela 7.5, s˜ao relacionados os problemas considerados dif´ıceis computacionalmente. Sob a hip´otese da dificuldade desses problemas ´e que foram poss´ıveis as demonstra¸c˜oes de seguran¸ca.
Conforme discutido na se¸c˜ao 3.5.3, ´e sabido que BDH ´e reduzido para CDH, e que GDH resolve CDH se existir um or´aculo DDH. Desse modo, as redu¸c˜oes adotadas na demonstra¸c˜ao de seguran¸ca para CL-PKE-Proposto usam uma hip´otese mais restritiva que seus antecessores, no caso de ataques Tipo-II (o que configura uma desvantagem para nossa proposta). Entre-tanto, cabe lembrar que o modelo de advers´arios de (CHENG; COMLEY, 2005) ´e mais fraco
7.2 An´alises sobre CL-PKE-Proposto 92
que o do nosso CL-PKE-Proposto, pois resolvemos adotar o mesmo modelo de (AL-RIYAMI; PATERSON, 2003) e (AL-RIYAMI; PATERSON, 2005) (veja se¸c˜ao 4.4, para mais detalhes).
Problemas Reduzidos aos Advers´arios
Esquema CL-PKE Advers´ario Tipo-I Advers´ario Tipo-II
(AL-RIYAMI; PATERSON, 2003)
BDH CDH
(AL-RIYAMI; PATERSON, 2005)
BDH CDH
(CHENG; COMLEY, 2005)
BDH GDH
CL-PKE-Proposto BDH BDH
Tabela 7.5: Problemas Pressupostos Dif´ıceis nas Demonstra¸c˜oes de Seguran¸ca
Acreditamos ser poss´ıvel o desenvolvimento de outra seq¨uˆencia de redu¸c˜oes para a demons-tra¸c˜ao de seguran¸ca para advers´arios Tipo-II, de modo que CDH (ou GDH) seja reduzido ao problema do KGC conseguir decriptografar textos em CL-PKE-Proposto, sem conhecimento da informa¸c˜oes secretas de seus usu´arios.
Em (ZHANG; FENG, 2005) e em (LIBERT; QUISQUATER, 2006) ´e apresentada uma forma de ataque aos esquemas de (AL-RIYAMI; PATERSON, 2003) e (AL-RIYAMI; PATER-SON, 2005) e respectivas corre¸c˜oes s˜ao sugeridas. Nosso CL-PKE-Proposto n˜ao sofre o mesmo tipo de ataque, bem como o de (CHENG; COMLEY, 2005), pois ambos j´a embutem a sugest˜ao de corre¸c˜ao.
7.2.5 Resumo de Vantagens e Desvantagens
De acordo com o descrito nas se¸c˜oes imediamente anteriores a esta, ´e poss´ıvel resumir os se-guintes pontos de vantagem para CL-PKE-Proposto:
• Velocidade: em implementa¸c˜oes t´ıpicas, CL-PKE-Proposto deve ser o mais veloz para criptografar textos.
• Tamanho de cifras e de chaves p´ublicas: CL-PKE-Proposto requer menor tamanho de chaves p´ublicas e pode produzir cifras menores.
• Menor n´umero de fun¸c˜oes de hash: h´a uma fun¸c˜ao de hash a menos, nos parˆametros p´ublicos de CL-PKE-Proposto.
Notamos os seguintes pontos de desvantagem para CL-PKE-Proposto (ou pontos que poderiam ser aprimorados):