7.3 An´ alises sobre CL-PKS-Proposto
7.3.3 Uso de Espa¸ co
A tabela 7.7 lista o espa¸co de mensagens assinadas, permitindo a compara¸c˜ao entre tamanhos de assinaturas. CL-PKS-Proposto gera assinaturas de menor tamanho que o esquema de (ZHANG et al., 2006), pois, conforme se pode observar nessa tabela, apenas um inteiro de Z∗p ´e usado para representar o segundo componente da assinatura. Dependendo do valor de n, isto ´e, do comprimento da mensagem assinada, relativamente ao parˆametro de seguran¸ca k, nosso
7.3 An´alises sobre CL-PKS-Proposto 95
esquema tamb´em produz assinaturas menores que as geradas pelo esquema de (HUANG et al., 2005).
Esquema CL-PKS Espa¸co de Assinatura Espa¸co de Chave P´ublica
(AL-RIYAMI; PATERSON, 2003)
G
1× {0, 1}
nG
1 (HUANG et al., 2005)G
1× {0, 1}
nG
1 (ZHANG et al., 2006)G
1× G
1G
1 CL-PKS-PropostoG
1× Z
∗pG
TTabela 7.7: Espa¸cos de assinatura e de chave p´ublica dos esquemas CL-PKS
Por meio da tabela 7.7, na coluna que relaciona o espa¸co de chaves p´ublicas de cada esquema de assinatura, percebe-se que CL-PKS-Proposto usa chaves em GT, que possuem representa¸c˜oes mais longas que as de pontos em G1 (de curvas supersingulares). Al´em disso, curvas ordin´arias (G16= G2) exigem mais espa¸co para G2.
Entretanto, como j´a dissemos, ´e poss´ıvel a aplica¸c˜ao de compacta¸c˜ao de valores de empa-relhamentos usando a t´ecnica descrita em (SCOTT; BARRETO, 2004). ´E importante notar que os esquemas de (HUANG et al., 2005) e de (ZHANG et al., 2006) s˜ao ambos definidos sobre emparelhamentos sim´etricos. Se os convertermos para esquemas com emparelhamentos assim´etricos (como o ´e nosso CL-PKS-Proposto), eventualmente as chaves p´ublicas ter˜ao que ser definidas em G2. Se isso ocorrer, nosso CL-PKS-Proposto passa a ter chaves p´ublicas de igual tamanho ou possivelmente at´e menor: se CL-PKS-Proposto for definido sobre curvas MNT (MIYAJI; NAKABAYASHI; TAKANO, 2001) com t´ecnicas de compacta¸c˜ao, produzir´a chaves p´ublicas de igual tamanho aos dos outros dois esquemas; se for definido sobre curvas BN (BARRETO; NAEHRIG, 2005), pode eventualmente ter chaves mais curtas. A investiga¸c˜ao dessas possibilidades ´e sugerida como trabalho futuro, na se¸c˜ao 8.2.3.
7.3.4 Modelo de Seguran¸ca
Alguns dos esquemas estudados de CL-PKS alcan¸cam um n´ıvel de seguran¸ca que pode ser comprovado. Nas demonstra¸c˜oes de seguran¸ca, entretanto, adotamos hip´oteses diferentes dos demais trabalhos. Na tabela 7.8, s˜ao relacionados os problemas considerados dif´ıceis computa-cionalmente. No caso de ataque Tipo-I, a redu¸c˜ao adotada na demonstra¸c˜ao de seguran¸ca para CL-PKS-Proposto usa hip´otese mais restritiva que os demais (e isso ´e uma desvantagem). No entanto, no caso de ataque Tipo-II, nossa proposta usa uma hip´otese melhor: a de que BPI ´e intrat´avel. ´E uma hip´otese melhor que a do CDH, pois CDH ´e reduzido ao problema BPI, que,
7.3 An´alises sobre CL-PKS-Proposto 96
por sua vez, ´e reduzido ao problema do logaritmo discreto (para detalhes, veja se¸c˜ao 3.5.3).
Problemas Reduzidos aos Advers´arios
Esquema CL-PKS Advers´ario Tipo-I Advers´ario Tipo-II
(HUANG et al., 2005)
CDH CDH
(ZHANG et al., 2006)
CDH CDH
CL-PKS-Proposto
q-SDH BPI
Tabela 7.8: Problemas Pressupostos Dif´ıceis nas Demonstra¸c˜oes para CL-PKS
Com rela¸c˜ao ao modelo de seguran¸ca para CL-PKS, valem alguns coment´arios adicionais. Adotamos as mesmas defini¸c˜oes de advers´arios propostas por (ZHANG et al., 2006). Aqui, o advers´ario Tipo-I pode substituir a chave p´ublica, sem ser inquirido sobre o valor secreto correspondente, o que ocorre no advers´ario Tipo-I de (HUANG et al., 2005). Logo, o modelo que adotamos para advers´ario Tipo-I ´e melhor que o deste ´ultimo.
Cabe observar, entretanto, que n´os impusemos que o valor secreto correspondente a uma chave p´ublica substitu´ıda fosse requerido do advers´ario sempre que ele solicitasse uma assinatura sobre uma identidade com chave substitu´ıda. Esta ´e uma restri¸c˜ao ao modelo de advers´arios proposto por (AL-RIYAMI; PATERSON, 2003), mas lembramos que esses mesmos autores n˜ao encontraram a demonstra¸c˜ao sob o modelo mais forte.
7.3.5 Resumo de Vantagens e Desvantagens
De acordo com o descrito nas se¸c˜oes anteriores, ´e poss´ıvel resumir os seguintes pontos de vantagem para CL-PKS-Proposto:
• Velocidade na assinatura e na verifica¸c˜ao: em implementa¸c˜oes t´ıpicas, CL-PKS-Proposto deve ser o mais veloz para assinar mensagens e para verificar assinaturas.
• Assinaturas mais curtas: gera assinaturas de menor tamanho. • Maior flexibilidade: devido ao uso de emparelhamento assim´etrico.
• Hip´otese menos forte: para advers´arios Tipo-II, usamos a hip´otese da dificuldade de BPI, contra a dificuldade de CDH dos outros trabalhos.
Notamos os seguintes pontos de desvantagem para CL-PKS-Proposto (ou pontos que poderiam ser aprimorados):
7.4 Resumo 97
• Hip´otese mais forte: para advers´arios Tipo-I, usamos a hip´otese da dificuldade de q-SDH, contra a dificuldade de CDH dos outros trabalhos.
• Chaves p´ublicas maiores: nossa proposta requer chaves p´ublicas definidas em GT, contra chaves em G1nos demais esquemas.
7.4 Resumo
Neste cap´ıtulo foram analisadas as propostas CL-PKE-Proposto e CL-PKS-Proposto, com rela¸c˜ao `a viabilidade de implementa¸c˜ao, eficiˆencia computacional, tamanhos de chave e de cifra/assinatura, e modelo de seguran¸ca. Para cada esquema proposto, foram relacionadas vantagens e desvantagens.
Cap´ıtulo 8
Conclus˜oes
Neste cap´ıtulo apresentamos um resumo das contribui¸c˜oes desta disserta¸c˜ao e enumeramos sugest˜oes de trabalhos futuros.
8.1 Resumo de Contribui¸c˜oes
O trabalho apresentado nesta disserta¸c˜ao gerou a publica¸c˜ao e submiss˜ao dos artigos abaixo:
An Improved Certificateless Public Key Encryption, (TERADA; GOYA, 2006a), nos anais de “The 2006 Symposium on Cryptography and Information Security” (SCIS 2006), p.17-20, Hiroshima, Jap˜ao, Janeiro de 2006. Tamb´em submetido para International Journal of Security on Networks.
A Certificateless Signature Scheme based on Bilinear Pairing Functions, (TERADA; GOYA, 2006b). Submetido para “1st International Workshop on Security” (IWSEC2006), Kyoto, Jap˜ao, Outubro de 2006.
Os artigos acima sintetizam respectivamente as contribui¸c˜oes a seguir:
1. Novo protocolo de criptografia, sob o modelo CL-PKC, que: • foi demonstrado seguro, sob uma no¸c˜ao de seguran¸ca;
• apresenta melhorias em eficiˆencia computacional e na utiliza¸c˜ao de mem´oria ou banda, comparativamente a esquemas anteriores;