Sistemas criptográficos baseados em identidades pessoais

(1)

Sistemas criptográficos

baseados em identidades

pessoais

Waldyr Dias Benits Jr.

benits@ime.usp.br

Routo Terada, prof. Dr.

rt@ime.usp.br

(2)

(3)

Sumário

1. Principais problemas encontrados em criptografia simétrica e assimétrica

2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos

3. Sistemas criptográficos baseados em identidades 4. Variações esquemas assinaturas

5. PKG não-confiável

6. Aplicações e hierarquia

(4)

(5)

Objetivos

Este

trabalho

tem

como

objetivos

principais:



Estudar

os

sistemas

criptográficos

baseados em identidade

e os conceitos

fundamentais de

criptografia com curvas

elípticas e emparelhamentos.

(6)

Objetivos

(secundários)



Elaborar um documento de referência;



Estudar detalhadamente um esquema de

assinatura & criptografia em um único

passo (signcryption);



Implementar de forma didática um protótipo

de um sistema baseado em identidades.

Além disso, veremos:



principais aplicações práticas;



variações em esquemas de assinaturas;

(7)

Contribuições

1.

Elaboração

de documento

em língua

portuguesa;

2.

Análise sobre a escolha do elemento

“aleatório” nos esquemas de B-F e ML e N-R;

3.

Variação no esquema B-F;

4.

Comparação IBE X PKI;

5.

Implementação didática;

(8)

Sumário

_Sumário

3. Sistemas criptográficos baseados em identidade 4. Variações esquemas assinaturas

(9)

Principais

dificuldades

Tempo decorrido entre o comprometimento de uma chave e sua revogação

Necessidade de uma infra-estrutura para armazenar as chaves públicas

Como garantir que o detentor da chave pública é realmente quem diz ser ?

Assimétrica

Quantas chaves são necessárias para uma comunicação segura entre n pessoas ?

Como distribuir e armazenar as chaves secretas de forma segura ?

Simétrica

(10)

Sumário

(11)

Curva elíptica sobre

F

_q

Seja F_qo conjunto de inteiros mod q, onde q é um número primo.

Uma curva elíptica E sobre F_q é definida pela seguinte equação:

Onde a, b ∈ F_q e 4a³ + 27b² ≠ 0 (mod q)

O conjunto E(F_q) consiste dos pontos (x,y), x ∈ F_q, y ∈ F_q,que satisfazem a equação, juntamente com o ponto no infinito O.

(12)

Algumas definições

_{Algumas definições}

importantes

Ordem de um ponto

: é o menor inteiro

positivo t tal que t.P = O;

Ordem de uma curva

: é o número de

pontos (x,y) – além do ponto

O no

infinito - que satisfazem à equação da

curva;

Grau de imersão de uma curva

: é o

(13)

Sobre o

emparelhamento

Sejam G

₁

e G

₂

grupos de ordem prima q.

Um

emparelhamento

é um mapeamento entre

estes grupos, tal que:

ê:

G

₁

X G

₁

→

G

₂

Para que possa ser usado em sistemas baseados

em identidades, deve satisfazer às propriedades:

1. Ser

bilinear

;

2. Ser

não degenerado

;

3. Ser

computável

.

e(aP, bQ) = e(P,Q)ab

(14)

(15)

Representação



Ponto

P

∈

E(F

q

):

par de inteiros

(x,y)

mod q

.



Ponto

Q

∈

E(F

qk

):

par de polinômios

(x(u), y(u)), onde

cada polinômio tem

grau menor do que k e

coeficientes em

F

_q

.



Operações algébricas em

F

qk:

são efetuadas módulo

um polinômio irredutível

m(u)

de grau k, sendo os

(16)

Exemplo de cálculo de

emparelhamento

_{Seja E: y² = x³ + 6x + 8 a curva elíptica}

definida sobre F

₁₇

Sejam P

∈

E(

F

_q

)

e Q

∈

E(

F

_qk

) pontos L.I.

14² (mod 17) = 9³ + 6.9 + 8 (mod 17) 9 = 9

Q = (13u

4

+ 4u² + 1, 13u

5

+ 6u³ + 5u)

e

_t

(P,Q) = 8u

5

+ 15u

4

+ 6u³ + 9u² + 16u + 5

(17)

Sumário

1. Principais problemas encontrados em criptografia

simétrica e assimétrica

2. Conceitos fundamentais de criptografia com curvas

elípticas e emparelhamentos

3. Sistemas criptográficos baseados em identidades

a) Criptografia (Boneh e Franklin)

b) Assinatura (Hess)

c) Criptassinatura (Nalla e Reddy)

4. Variações esquemas assinaturas

7. Implementação didática de um protótipo

(18)

Notações utilizadas

G

₁

,

G

₂

: grupos de ordem prima q, onde o problema

do logaritmo discreto (PLD) é supostamente difícil e

para os quais existe um mapeamento bilinear

computável

e :

G

₁

X G

₁

→

G

_2;

Na prática:

G

₁

: grupo de pontos de uma curva elíptica

E(F

_q

)

G

₂

: subgrupo de um grupo multiplicativo de um

corpo finito

E(F

_qk

)

(19)

Prob

l

emas

Diffie-

Diffie-Hellman

Hellman

_{Computacional (CDHP)}

Dados (

P

,

aP

,

bP

)

_⊂

G

₁

, calcular

abP

Bilinear

(BDHP)

Dados (

P

,

aP

,

bP

,

cP

)

_⊂

G

₁

calcular

e(P,P)

abc

Se CDHP é fácil, então BDHP é fácil: - Calcule abP;

- Calcule e(abP, cP) = e(P,P)abc

Porém, para determinados grupos:

(20)

Funções de

hash

_hash

H

₁

: {0,1}

*

→

G

1

;

H

₂

: {0,1}

*

→

F

q

;

H

₃

: G

₂

→

{0,1}

*

;

H

₄

: {0,1}

*

→

G

(21)

Chaves utilizadas

Par de chaves pública/particular padrão (

R

,

s

):

Par de chaves baseadas em identidade (

Q

_ID

,

S

_ID

):

R = sP

S

_ID

= sQ

_ID

_Q

ID

= H

1

(ID)

(22)

Criptografia baseada em

_{Criptografia baseada em}

identidade

(IBE)

Criptografia (B & F)

Alice seleciona

r

aleatório em F

_q

e calcula:

(

P

∈

G

₂

)

O texto criptografado é

(U,V)

(23)

Criptografia baseada em

_{Criptografia baseada em}

identidade

(IBE)

Demonstração

e_t(S_beto, U) = e_t(S_beto, rP), pois U = rP

= e_t(sQ_Beto, rP), pois S_beto= sQ_Beto =

e_t(Q_beto, P)rs, _{por bilinearidade}

= e_t(rQ_Beto, sP), por bilinearidade

(24)

Importância na escolha

de

Suponha que Alice escolhesse sempre o

r

_r

mesmo

r

:

Para duas mensagens distintas, m

₁

e m

₂

, o valor

de U seria o mesmo e o valor de V seria

diferente, pois depende de m. Vamos chamar

estes valores de V

₁

e V

₂

.

Note que

H

₃

(

e

_t

(rQ

_Beto

, R

_TA

))

também não se altera,

pois depende de r.

(25)

Importância na escolha

de

Desta forma, teremos:

r

_r

V

₁

= m

₁

⊕

x

V

₂

= m

₂

⊕

x

Se um intruso interceptar V

₁

e V

₂

, ele calcula:

V

= V

₁

⊕

V

₂

= (m

₁

⊕

x)

⊕

(m

₂

⊕

x)

= m

₁

⊕

m

₂

(26)

Variação B-F

Note que

e

_t

(rQ

_Beto,

R

_TA

) =

e

_t

(S

_beto

, U) =

k

Na prática:

Criptografia assimétrica (IBE): canal seguro;

Criptografia simétrica: troca de mensagens.

V = E

_k

(m)

k : chave simétrica

entre Alice e Beto

Esquema B-F

→

protocolo (seguro) negociação

(27)

Variação B-F

Beto precisa apenas ter certeza de que está falando com Alice:

Com assinatura Hess:

 Alice assina k e envia para Beto;

 Beto recupera k (usando S

beto ) e verifica se assinatura é válida

(usando Q_alice)

Com esquema de assinatura com recuperação de mensagem:

 Alice assina U e envia para Beto;

 Beto usa Q

alice para verificar assinatura e recuperar U;

 Beto, com U, calcula k.

(28)

Assinaturas baseadas em

_{Assinaturas baseadas em}

identidade

_{Assinatura (Hess)}

(29)

Assinaturas baseadas em

_{Assinaturas baseadas em}

identidade

_{Verificação}

Se Alice deseja verificar se a assinatura é

realmente de Beto, o faz da seguinte forma:

Calcula

e aceita a assinatura como válida se e

somente se

_{h = H}

2(m || r)

(30)

Criptassinatura de Nalla &

_{Criptassinatura de Nalla &}

Reddy

_{Alice quer enviar uma mensagem m para Beto:}

1 – Escolhe “a” aleatório em F_q 2 – Calcula R = aS_alice h = H₂(R || H₃(e_t (Q_beto,S_alice)) || m ) S = ahQ_alice k_a = H₃[e_t (Q_beto, S_alice)ah] 3 – Faz C = k_a⊕ m

(31)

Criptassinatura de Nalla &

_{Criptassinatura de Nalla &}

Reddy

_{Beto, conhecendo R, S, C, Q}

_alice

_{, Q}

_beto

_{, S}

_beto

_{, calcula:}

k

_b

= H

₃

(

e

_t

(

S

_beto

, S))

m = k

_b

⊕

C

h = H

₂

(R ||

H

₃

(

e

_t

(S

_beto

, Q

_alice

))

|| m )

E verifica se

(32)

Sugestões ao artigo

de N-R

Artigo original

Sugestões

1

R’ = (R || H₃(e_t(S_A, Q_B)) || m) e cálculo de k_a = H₃[e_t (Q_B, S_A)ah_] Trocar e_t(S_A, Q_B) por e_t (Q_B, S_A)

2

y = e_t(W, Q_B) no esquema ML e na verificação y = e_t(Q_B, W) Trocar e_t(W, Q_B) por e_t(Q_B, W)

3

e_t(Q_B, W) não computado como pré-calculável

Observar que

e_t(Q_B, W) = e_t(Q_B, zR_TA) = e_t(Q_B, R_TA)z

4

Comparação com esquema assinatura Cha & Cheon

Usar esquema Hess (mais eficiente

5

(33)

Sumário

(34)

Variações em esquemas de

_{Variações em esquemas de}

Assinatura

_{Assinatura em anel (ring signature)}



Garante anonimato do assinante.

Assinatura cega (blind signature)



Garante anonimato do usuário.



Assinante não tem conhecimento do conteúdo

(35)

Sumário

(36)

Assinatura com PKG não

confiável

Alice escolhe aleatoriamente r em Z*

_q

, calcula rP e

envia para o PKG, mantendo r em segredo.

Chave pública de Alice:

Chave particular de Alice:

Q

_alice

= H

₁

(ID

_alice

|| rP)

(37)

Assinatura com PKG não

confiável

Assinatura

Para Alice assinar uma mensagem:

Segredo

r

de Alice

Escolhe aleatoriamente a em Z*

_q

e calcula:

U = aQ

_alice

V =

r

H

₁

(m,U)

h = H

₂

(m, U + V)

W = (a + h)S

_alice

(38)

Assinatura com PKG não

confiável

Verificação

:

Beto calcula Q

_alice

, H

₁

(m,U) e h e aceita a assinatura

como válida se:

e

_t

(W,P) = e

_t

(U + hQ

_alice

, R

_PKG

)

(39)

Sumário

(40)

Revogação de chaves

_{Revogação de chaves}

públicas

_{Chaves públicas com prazo de validade}

pré-estabelecido

→

acrescentar o período de

validade no ID:

Exemplo:

ID = Alice@ime.usp.br || 2003 ou

ID = Alice@ime.usp.br || outubro2003

(41)

Hierarquia

_Hierarquia



Ponto de partida.



Porém:

foco em outros assuntos:

(42)

Sumário

_Sumário

5. PKG não-confiável 6. Aplicações

7. Hierarquia

(43)

Implementação

_{Implementação}



Linguagem

ANSI-C

;



Uso de valores didáticos:

(44)

Sumário

_Sumário

5. PKG não-confiável 6. Aplicações

7. Hierarquia

(45)

Vantagens e

desvantagens

VANTAGENS

 Não necessidade de um diretório de chaves públicas;

 Entidade que possua par de chaves padrão ⇒ papel de

PKG;

 PKG: conhece todas as chaves particulares de seus

usuários;

 Envio de mensagens criptografadas antes da obtenção

da chave particular junto ao PKG;

(46)

Vantagens e

desvantagens

DESVANTAGENS



PKG: conhece todas as chaves particulares de

seus usuários;



Dificuldade

de

implementação

do

emparelhamento de Tate;



Desempenho: assinatura e criptografia mais

(47)

Trabalhos Futuros

1. Modificação da implementação para permitir uso de

parâmetros utilizados na prática;

2. Testes contra os principais ataques conhecidos;

3. Provas formais de segurança;

4. Otimização da implementação;

5. Cálculo da raiz quadrada em F_qk;

6. Geração do ponto em E(F_qk) e do polinômio primo em

F_qk

;

7. Cálculo da ordem da curva de forma eficiente;

8. Comparação do esquema B-F modificado com outros

(48)

Artigos

(Benits -

_{(Benits -}

Terada)

1.

Sistemas criptográficos baseados em

identidades pessoais

– publicado na

revista

científica

Pesquisa

Naval

(suplemento da Revista Marítima

Brasileira), ISSN 1414-8595, nº 16 –

setembro de 2003, cap. X p. 115 a

127;

(49)

(50)

F I

M

(51)

Referências

_Referências

[BAR 99] BARRETO, P. Curvas Elípticas e Criptografia: Conceitos e Algoritmos. Disponível em <http://planeta.terra.com.br/informatica/paulobarreto>. Acesso em: 25 mar. 2003.

[BAR 02] BARRETO, P.; KIM, H.; LYNN, B. Eficient Algorithms for Pairing-Based Cryptosystems. In: Lecture Notes in Computer Science, v.2442, p.354368. Springer-Verlag, 2002. Advances in Cryptology - Crypto'2002.

[BAR 03] BARRETO, P.; LYNN, B.; SCOTT, M. On the selection of Pairing-Friendly Groups. Disponível em <http://eprint.iacr.org/2003/086>. Acesso em: 04 mai. 2003.

(52)

Referências

_Referências

[CHA 02] CHA, J. C.; CHEON, J. H. An Identity-based Signature from gap Die-Hellman groups. In: Lecture Notes in Computer Science, v.2567, p.1830. Springer-Verlag, 2002.

[CHE 02] CHEN, L. et al. Certication of Public Keys within an Identity-Based System. In: Lecture Notes in Computer Science, v.2433, p.322333. Springer-Verlag, 2002. 5th International Security Conference - ISC 2002.

[CHE 03] CHEN, X.; ZHANG, F.; KIM, K. A New ID-based Group Signature Scheme from Bilinear Pairings. Disponível em <http://eprint.iacr.org/2003/116>. Acesso em: 06 jun. 2003. Cryptology ePrint Archive, Report 2003/116.