Semin´ariosemCiˆenciadaComputa¸c˜aoMAC-5700–Prof.RoutoTeradaNovembro/2008 VilcQ.Rufino AcordodeChavesHier´arquicoeResistenteaoComprometimentodeN´os

Comprometimento de N´ os

Vilc Q. Rufino

Instituto de Matem´atica e Estat´ıstica - Universidade de S˜ao Paulo

Semin´arios em Ciˆencia da Computa¸c˜ao MAC-5700 – Prof. Routo Terada

Novembro/2008

Motiva¸c˜ao

Acordo de Chaves Contribui¸c˜ao

Trabalhos Relacionados Vis˜ao Macro

2 Pr´e-requisitos

Mapeamento Bilinear e assumir BDDH Acordo de chaves baseado em Identidades Acordos de Chaves Hier´arquicos

Acordo de chaves hier´arquicos baseados em Polinˆomios Acordo de chaves hier´arquicos baseados em subconjuntos 3 Modelo Proposto

Acordos de Chaves Hier´arquicos lineares Modelo H´ıbrido e chaves das folhas resistentes 4 An´alise da Seguran¸ca

Seguran¸ca do modelo hier´arquico Seguran¸ca do Modelo H´ıbrido 5 Implementa¸c˜ao

Threshold

Polinˆomios ou Subconjuntos 6 Conclus˜ao

7 Exemplos

Exemplo de Hierarquia Exemplo de polinˆomio Exemplo de Subconjunto

Exemplo de Acordo de Chaves para o Modelo H´ıbrido e com Polinˆomios

Rufino IME - USP

Apresentar um algoritmo, n˜ao interativo, para combina¸c˜ao de chaves criptogr´aficas;

Dentro de uma estrutura hier´arquica para distribui¸c˜ao de chaves;

Resistente ao comprometimento de qualquer n´umero de n´os folhas ¹;

Resistente ao comprometimento dos demais n´os na hierarquia dentro de um fator aceit´avel ².

em sistemas criptogr´aficos [Blundo et al.98];

Os m´etodos mais utilizados usam da intera¸c˜ao para a combina¸c˜ao de chaves;

Por´em quando a largura de banda ´e escassa e existem poucos recursos h´a necessidade de solu¸c˜oes n˜ao interativas;

Em ´areas de conflito militares a comunica¸c˜ao irradiada aumenta o risco de exposi¸c˜ao³, neste caso ´e fundamental a n˜ao intera¸c˜ao para a combina¸c˜ao de chaves;

Tipicamente em grandes organiza¸c˜oes ´e desej´avel que a concess˜ao de chaves possa ser realizada por entidades em n´ıveis hier´arquicos.

3a tecnologia atual permite triangularizar a origem de emiss˜oes

Requer formas de legitima¸c˜ao;

Necessidade de divulga¸c˜ao da chave p´ublica; e Comum a valida¸c˜ao no momento da comunica¸c˜ao;

A¸c˜ao evitada em ambientes de conflito, para minimizar emiss˜oes.

Sistema baseado na identidade [Shamir 84]:

A chave p´ublica ´e a pr´opria identidade dos elementos participantes;

Requer uma ´unica autoridade que emita as chaves secretas;

Hier´arquico:

Permitem que autoridades em n´ıveis inferiores emitam as chaves de seus subordinados, independente de autoridade superior;

Combina¸c˜ao das melhores propriedades dos esquemas de acordo de chaves e distribui¸c˜ao de chaves hier´arquica;

Descri¸c˜ao de alto n´ıvel de um esquema resistente ao comprometimento de n´os dentro de uma hierarquia;

Novos n´os podem ser adicionados a hierarquia sem que haja nova coordena¸c˜ao central;

Flexibilidade do esquema baseado na identidade.

Acordo de chaves n˜ao interativos h´a trabalhos como [Sakai 00], [Blundo et al.98], [Eschenauer e Gligor 02] com extens˜oes de [Ramkumar et al 05].

em [Blundo et al.98] e [Hanaoka et al 02] h´a um estudo de resistˆencia dos modelos mais gerais, que se aplicam ao modelo estudado. Tamb´em apresenta a interferˆencia de fatores como a existˆencia de n´os que nunca se comunicam.

Estudos de sistemas baseados em identidade destacam-se [Boneh, Franklin 01], o trabalho de [Misaghi 08] desenvolvido na Poli-USP.

Seja:

G1eG2grupos de ordem q(primo grande);

para todosaeb∈Z^q; e para todosP eQ ∈G1.

e :G1×G1→G2 ´e um mapeamento:

1 Bilinear see(P^a,Q^b) =e(P,Q)^ab;

2 N˜ao degenerativo see(P,Q) n˜ao leva `a identidade emG2; e

3 Comput´avel se h´a algor´ıtmo eficiente que calculee(P,Q).

Apresentado por [Boneh, Franklin 01]

Seja:

G1eG2grupos de ordem prima q;

e:G1×G1→G2um mapeamento bilinear;

P um gerador deG1; a,b,c∈Z^∗q.

O problema BDDH (original) em hG1,G2,ei ´e:

Dado hP,aP,bP,cPi

Calcular um valor W =e(P,P)^abc

Apresentado por [Boneh, Franklin 01]

Seja:

G1eG2grupos de ordem prima q;

e:G1×G1→G2um mapeamento bilinear;

P um gerador deG1; a,b,c∈Z^∗q.

O problema BDDH em hG1,G2,ei´e:

Dado

P,P^a,P^b,P^c

Distinguir se um valor W =e(P,P)^abc de um outro W =e(P,P)^r, para valor aleat´orio r∈Zq

proposto por [Sakai 00]

Autoridade do sistema define:

Dois grupos c´ıclicosG1eG2;

O mapeamento bilineare:G1×G1→G2; Uma fun¸c˜ao hashH:{0,1}^∗→G1; Uma chave secretas∈Z^∗q; e

Calcula para cada identidadeID a chave secreta SID =H(ID)^s ∈G1

A chave compartilhada deID1 e ID2 ´e K =e(H(ID1),H(ID2))^s ∈G2; ID1 calculaK =e(SID1,H(ID2)); e

Modelo baseado em polinˆomio multivari´avel seguindo [Blundo et al.98];

Seja:

La profundidade da hierarquia (ra´ız 0 e ´ultimo n´ıvelL);

AID corresponde o caminho da ra´ız at´e o n´o, para um n´o de n´ıveli a ID´e uma seq¨uˆencia com i elementoshID1, . . . ,IDii;

O n´ıvel de seguran¸ca em cada n´ıvel ser´a definido pelo

“threshold”{ti: 1≤i≤L};

A ra´ız escolhe a chave secreta, um polinˆomio F(x1,y1, . . . ,xL,yL) sobreZq(q primo), tal que:

F(x1,y1, . . . ,xL,yL)≡F(y1,x1, . . . ,yL,xL) o grau dexi eyi ´eti

Uma maneira simples de construir F:

Uma maneira simples de construir F:

F(x₁,y₁, . . . ,x_L,y_L) =f(x₁,y₁, . . . ,x_L,y_L) +f(y₁,x₁, . . . ,y_L,x_L)

Tamanho da descri¸c˜ao de F (n´umero de coeficientes):

Tamanho da descri¸c˜ao de F (n´umero de coeficientes):

L

Y

i=1

(t_i + 1)(t_i + 2) 2

onde:

L´e a pronfundidade da hierarquia; e t_i´e o grau dex_iey_i.

Tamanho da descri¸c˜ao de F (n´umero de coeficientes):

L

Y

i=1

(t_i + 1)(t_i + 2) 2

onde:

L´e a pronfundidade da hierarquia; e t_i´e o grau dex_iey_i.

Este esquema s´o poder´a ser usado com moderados valores de ti e pequenos valore deL.

A chave secreta ´e o pr´oprio polinˆomio F; A chave secreta de um n´o no primeiro n´ıvel ´e F_ID=F(ID₁,y₁,x₂,y₂, . . . ,x_L,y_L),

um polinˆomio de 2L−1 vari´aveis;

A chave secreta mestra ´e o pr´oprio polinˆomio F; A chave secreta de um n´o no primeiro n´ıvel ´e F_ID=F(ID₁,y₁,x₂,y₂, . . . ,x_L,y_L),

um polinˆomio de 2L−1 vari´aveis;

A chave secreta de um n´o no n´ıveli ´e

FID= (ID1,y1, . . . ,IDi,yi,xi+1,yi+1, . . . ,xL,yL) um polinˆomio de 2L−i vari´aveis;

A chave secreta mestra ´e o pr´oprio polinˆomio F; A chave secreta de um n´o no primeiro n´ıvel ´e F_ID=F(ID₁,y₁,x₂,y₂, . . . ,x_L,y_L),

um polinˆomio de 2L−1 vari´aveis;

A chave secreta de um n´o no n´ıveli ´e

F_ID= (ID₁,y₁, . . . ,ID_i,y_i,x_i+1,y_i+1, . . . ,x_L,y_L) um polinˆomio de 2L−i vari´aveis;

A chave secreta de um n´o folha ´e FID = (ID1,y1, . . . ,IDL,yL) um polinˆomio de 2L−L=Lvari´aveis.

A chave compartilhada entre dois n´os folhas de identidades ID^A =

ID₁^A, . . . ,ID_L^A e ID^B =

ID₁^B, . . . ,ID_L^B

´e:

A chave compartilhada entre dois n´os folhas de identidades ID^A =

ID₁^A, . . . ,ID_L^A e ID^B =

ID₁^B, . . . ,ID_L^B

´e:

F(ID₁^A,ID₁^B, . . . ,ID_L^A,ID_L^B)≡F(ID₁^B,ID₁^A, . . . ,ID_L^B,ID_L^A)

Modelo de acordo de chaves baseado em subconjuntos de chaves;

Estudado inicialmente por [Eschenauer e Gligor 02];

Neste protocolo a Autoridade seleciona um grande n´umero de chaves secretas;

E para cada participante cede-lhe um subconjunto aleat´orio de chaves;

O acordo de chave ´e feito escolhendo-se as chaves em comum.

Modelo de acordo de chaves baseado em subconjuntos de chaves;

Estudado inicialmente por [Eschenauer e Gligor 02];

Neste protocolo a Autoridade seleciona um grande n´umero de chaves secretas;

E para cada participante cede-lhe um subconjunto aleat´orio de chaves;

O acordo de chave ´e feito escolhendo-se as chaves em comum.

Contudo este esquema n˜ao ´e hier´arquico.

Para fazer deste um esquema hier´arquico como [Ramkumar et al 05]:

Cada n´o pai cede aos seus filhos um subconjunto de suas chaves;

O subconjunto de chaves ´e calculado deterministicamente pela ID do n´o, usando-se uma fun¸c˜ao hashH(·);

A ra´ız escolhe aleat´oriamente N chaves secretas:

R =hK₁,· · · ,KNi, onde K1,· · ·,KN ∈Zq (primoq);

Para cada n´ıvel i a probabilidadepi ∈(0,1) diz que fra¸c˜ao do subconjunto de chaves do n´o pai ´e passada para o n´o filho;

Seja um n´oID^A =hID₁, . . . ,IDii um n´o de n´ıveli e subconjunto de chaves R^A =hK₁,Φ,K3, . . .i;

Seja um n´oID^B =hID₁, . . . ,IDi,IDi+1i um n´o filho de ID^A; O n´o ID^A calcula valores de r_j ←H(ID^B,j),

onde 0<rj <1 ej = 1, . . . ,N eH() ´e uma fun¸c˜ao hash;

ID^B ir´a receber as chaves K_j ∈R^A para o qualr_j <P_i, O subconjunto de chaves secretas de ID^B ´e

R^B ={K_j ∈R^A :r_j <p_i}

O acordo de chaves entre n´os ra´ızes ID^C =

ID₁^C, . . . ,ID_L^C e ID^D =

ID₁^D, . . . ,ID_L^D

Repete-se o c´alculo do Hash e determina-se a interse¸c˜ao;

a chave compartilhada pode ser a soma m´oduloq.

Um ´otimo ajutes parapi ´e pi = _(t+1)¹ ;

Dado todos os t_i e p_i, o parˆametro N deve ser grande suficiente para garantir seguran¸ca;

acordo [Gennaro et al 08] o tamanho de N para garantir que um atacante n˜ao tenha uma probabilidade maior que e^−m de conseguir descobrir os valores secretos ´e:

N =

l m Q

ip²_i(1−p_i)^ti

m

≈me^L·Q

iti(ti + 1);

Um ´otimo ajutes parap_i ´e p_i = _(t+1)¹ ;

Dado todos os t_i e p_i, o parˆametro N deve ser grande suficiente para garantir seguran¸ca;

acordo [Gennaro et al 08] o tamanho de N para garantir que um atacante n˜ao tenha uma probabilidade maior que e^−m de conseguir descobrir os valores secretos ´e:

N =l

m Q

ip²_i(1−pi)^ti

m≈me^L·Q

it_i(t_i + 1);

A complexidade tamb´em depende de um produt´orio Q

iti

inteiroN [Gennaro et al 08]:

1 A autoridade ra´ız selecionaN valores aleat´orios de V para ser usado como chave secreta mestre;

2 A chave secreta dos n´os na hierarquia s˜ao valores

v1,v2, . . .∈V, obtidos por uma combina¸c˜ao linear em V da chave secreta mestre;

3 A chave compartilhada tamb´em ´e uma combina¸c˜ao linear em V da chave secreta mestre;

4 O n´umero de valore v_i e os coeficientes da combina¸c˜ao linear s˜ao calculados deterministicamente a partir de valores p´ublicos, tal como a posi¸c˜ao do n´o na hierarquia e sua identidade.

Realizar a combina¸c˜ao dos esquemas:

Acordo de chaves hier´arquico linearHe

Acordo de chaves bilinear baseado em identidade Resultando no modelo h´ıbrido H⁰

A autoridade ra´ız publica os parˆametros para o sistema de chaves p´ublicas baseado na identidade:

determina dois grupos c´ıclicosG1 eG2de ordem prima q;

o mapeamento bilineare:G1×G1→G2; e a fun¸c˜ao de hashH:{0,1}^∗→G1

realiza tamb´em todas as a¸c˜oes do esquema hier´arquicoH para os n´os internos da hierarquia, que n˜ao sejam os n´os folhas e seus pais, o procedimento ´e igual ao esquemaH;

Um n´o ID^A pai de um n´o folha possui os seguintes valores secretos v₁, . . . ,v_n∈Zq como em H.

Ent˜ao ID^A provˆe para seus filhos com identidadeID_l no n´ıvell os elementos H(ID_l)^vi ∈G1,i = 1, . . . ,n;

A chave comum entre dois n´os folhas ID eID com n´os pais ID^A eID^B respectivamente, ´e calculado da seguinte forma:

v1, . . . ,vn segredo deID^A;

α1, . . . , αncoeficientes da combina¸c˜ao linear que ID^A usaria para calcular a chave compartilhada comID^B (segredo s=P

iαivi)

a chave secreta para n´os folhas s˜ao os valores V₁=H(ID)^v1, . . . ,V_n=H(ID)^vn∈G1

os coeficientesα₁, . . . , α_n podem ser obtidos por informa¸c˜oes p´ublicas.

o n´o folhaID^C ent˜ao calcula:

U1 ←Y

i

(V_ID^C_i)^αi

=H(ID^C)^Piαivi =H(ID^C)^s

continua¸c˜ao U2←H(ID^D)

ID^C obt´em a chaveK ←e(U1,U2) =e(H(ID^C),H(ID^D))^s. Semelhantemente ID^D calcula:

U₁⁰ ←H(ID^C)

determina os coeficientesβ_i U₂⁰ ←Q

i(V_IDDi)^βi

ID^D obt´em a chaveK ←e(U₁⁰,U₂⁰) =e(H(ID^C),H(ID^D))^s.

O modelo de seguran¸ca prevˆe que os n´ıveis mais inferiores na hierarquia est˜ao mais expostos, por isso necessitam maior seguran¸ca;

As referˆencias dos modelos hier´arquicos apresentam uma an´alise da seguran¸ca destes sistemas mais gerais;

O estudo da seguran¸ca do modelo h´ıbrido apresenta-o como t˜ao seguro quanto o modelo hier´arquico para os n´os internos da hierarquia (exceto os n´os folhas), inclusive a hierarquia permanece inalterada exceto pelo n´ıvel acrescentado no modelo;

Para as folhas a seguran¸ca ´e equivalente ao modelo baseado em identidades, a demonstra¸c˜ao ´e fazer uma redu¸c˜ao do modelo h´ıbrido ao Problema BDDH.

Devido ao produt´orio Q

iti os valores de threshold devem ser moderados, pois aumentam significativamente a complexidade do problema;

Em geral o thresholds aumenta ao descer na hierarquia, devido a suposi¸c˜ao de que n´os em n´ıveis hier´arquicos maiores est˜ao mais protegidos.

no modelo apresentado o comprometimento dos n´os folhas n˜ao compromete a hierarquia.

polinˆomios;

O c´alculo da chave compartilhada ´e mais eficiente no modelo de subconjuntos, pois enquanto que o modelo com polinˆomios faz multiplica¸c˜oes sobre pontos da curva el´ıptica, o modelo de subconjuntos faz somas de pontos sobre uma curva el´ıptica.

o fator de seguran¸ca no modelo com polinˆomios ´e em degrau, pois se forem comprometidos t_i+ 1 n´os de um n´ıvel o

polinˆomio est´a plenamente definido para o atacante.

No modelo de subconjuntos a cada n´o comprometido aumenta a possibilidade de quebra de outros n´os.

´

e poss´ıvel utilizar um modelo hier´arquico h´ıbrido, usando

Os objetivos foram atingidos?

Quais s˜ao os aspectos que podem melhorar?

E poss´ıvel derivar um outro modelo com mesma seguran¸´ ca e melhor eficiˆencia?

Ainda falta um modelo seguro e eficiente em todos os n´ıveis hier´arquicos?

Figura: Modelo de Hierarquia

t1 = 2; q = 13;

t2 = 3; Zq={0,1,2,3,4,5,6,7,8,9,10,11,12}

F(x₁,y₁,x₂,y₂)=f(x₁,y₁,x₂,y₂) +f(y₁,x₁,y₂,x₂)

f(x₁,y₁,x₂,y₂)=x₁²+x₁+y₁²+y₁+x₂³+x₂²+x₂+y₂³+x₂³y₂³+x₁y₂ f(y₁,x₁,y₂,x₂)=y₁²+y₁+x₁²+x₁+y₂³+y₂²+y₂+x₂³+x₂³y₂³+y₁x₂

F(x1,y1,x2,y2) = 2x₁²+2x1+2y₁²+2y1+2x₂³+2y₂³+2x₂³y₂³ +x₂²+x₂ +x₁y₂+y₂²+y₂ + y₁x₂

F(x1,y1,x2,y2) = 2x₁+2x1+2y₁+ 2y1+2x₂+2y₂+2x₂y₂ +x₂²+x2 +x1y2+y₂²+y2 + y1x2

F(10,y₁,x₂,y₂) = 2·10²+2·10+2y₁²+ 2y₁+2x₂³+2y₂³+2x₂³y₂³ + x₂² +x₂ +10y₂+y₂²+y₂ + y₁x₂

F(10,y1,x2,y2) = 5+7+2y₁²+ 2y1 +2x₂³+2y₂³+2x₂³y₂³ +x₂²+x₂ +10y₂+y₂²+y₂ +y₁x₂

F(10,y₁,x₂,y₂) = 12+2y₁²+2y₁+2x₂³+ 2y₂³+2x₂³y₂³ +x₂²+x2 +y₂²+11y2+ y1x2

F(10,y1,x2,y2) = 12+2y₁+2y1+2x₂+ 2y₂ +2x₂y₂ +x₂²+x2 +y₂²+11y2+ y1x2

F(11,y₁,x₂,y₂) = 4+2y₁²+2y₁+2x₂³+ 2y₂³+2x₂³y₂³ +x₂²+x₂+y₂² +12y₂+ y₁x₂

F(12,y1,x2,y2) = 0+2y₁²+2y1+2x₂³+2y₂³+2x₂³y₂³ +x₂²+x₂+y₂² +0y₂+y₁x₂

F(14,y₁,x₂,y₂) = 4+2y₁²+2y₁+2x₂³+2y₂³+2x₂³y₂³ +x₂²+x2+y₂² +2y2+y1x2

F(10,y₁,20,y₂) = 2y₁²+9y₁+12y₂³+y₂²+11y₂+0

F(10,y₁,21,y₂) = 2y₁²+10y₁+12y₂³+y₂²+11y₂+3

F(11,y₁,22,y₂) = 2y₁²+11y₁+4y₂³+y₂²+11y₂+5

F(11,y₁,28,y₂) = 2y₁²+4y₁+5y₂³+y₂²+11y₂+0

F(12,y₁,29,y₂) = 2y₁²+5y₁+4y₂³+y₂²+0y₂+1

F(12,y₁,30,y₂) = 2y₁²+6y₁+0y₂³+y₂²+0y₂+5

F(14,y₁,31,y₂) = 2y₁²+7y₁+5y₂³+y₂²+2y₂+11

F(14,y₁,32,y₂) = 2y₁²+8y₁+5y₂³+y₂²+2y₂+10

Chave compartilhada entre os ID(20) e ID(32):

ID(20) =h10,20i=h10,7i ID(32) =h14,32i=h1,6i

F(10,y1,20,y2) = 2y₁²+9y1+12y₂³+y₂²+11y2+0 F(14,y₁,32,y₂) = 2y₁²+8y₁+5y₂³+y₂²+2y₂+10

C´aculo feito porID(20) F_ID(20)(10,1,7,6)

F(10,1,7,6) = 2y₁² + 9y1+ 12y₂³ + y₂² + 11y2+0

= 2(1)²+9(1)+ 12(6)³+(6)²+11(6)+0

= 2(1) +9(1)+12(216)+(36)+11(6)+0

= 2 + 9 + 2592 + 36 + 66 +0

= 2705 = 208·13 + 1 = 1mod13

C´aculo feito porID(32) F_ID(20)(1,10,6,7)

F(1,10,6,7) = 2y₁² + 8y1 + 5y₂³ +y₂² + 2y2+10

= 2(10)²+8(10)+ 5(7)³ +(7)²+2(7)+10

= 2(100)+8(10)+5(343)+ 49 +2(7)+10

= 200 + 80 + 1715 + 49 + 14 +10

= 2068 = 159·13 + 1 = 1mod13

t₁ = 2 et₂ = 1

um bom ajuste dep_i = _t¹

i+1;p₁ = ¹₃ e p₂ = ¹₂ R⁰⁰={1,2,3,4,5,6,7,8,9,10,11,12}

Valores de H(ID¹⁰,j) ={¹₄,²₃,¹₂,⁵₆,¹₅,⁷₉,¹₆,⁵₉,¹₇,⁴₉,⁸₉,₁₂⁷}

t₁ = 2 et₂ = 1

um bom ajuste dep_i = _t¹

i+1;p₁ = ¹₃ e p₂ = ¹₂ R⁰⁰={1,2,3,4,5,6,7,8,9,10,11,12}

Valores de H(ID¹⁰,j) ={ ¹₄,²₃,¹₂,⁵₆, ¹₅,⁷₉, ¹₆,⁵₉, ¹₇,⁴₉,⁸₉,₁₂⁷}

t₁ = 2 et₂ = 1

um bom ajuste dep_i = _t¹

i+1;p₁ = ¹₃ e p₂ = ¹₂ R⁰⁰={1,2,3,4,5,6,7,8,9,10,11,12}

Valores de H(ID¹⁰,j) ={ ¹₄,²₃,¹₂,⁵₆, ¹₅,⁷₉, ¹₆,⁵₉, ¹₇,⁴₉,⁸₉,₁₂⁷} R¹⁰={1,5,7,9}

R¹⁰=h1, φ, φ, φ,5, φ,7, φ,9, φ, φ, φi R¹¹=h1, φ,3, φ,5, φ,7, φ, φ, φ, φ, φi R¹²=h1, φ, φ, φ, φ, φ,7, φ,9, φ,11, φi R¹⁴=h1, φ,3, φ,5, φ, φ, φ,9, φ, φ, φi

R²⁰=h1, φ, φ, φ,5, φ, φ, φ, φ, φ, φ, φi R²¹=h1, φ, φ, φ, φ, φ,7, φ, φ, φ, φ, φi R²²=h1, φ,3, φ, φ, φ, φ, φ, φ, φ, φ, φi R²⁸=hφ, φ, φ, φ,5, φ,7, φ, φ, φ, φ, φi R²⁹=hφ, φ, φ, φ, φ, φ,7, φ,9, φ, φ, φi R³⁰=h1, φ, φ, φ, φ, φ, φ, φ, φ, φ,11, φi R³¹=hφ, φ,3, φ, φ, φ, φ, φ,9, φ, φ, φi R³²=h1, φ, φ, φ, φ, φ, φ, φ,9, φ, φ, φi

R²⁰ calcula:

H(ID³²,1) =¹₃<p₂=¹₂ H(ID³²,5) =²₃>p₂

R³² calcula:

H(ID²⁰,1) =¹₄<p₂=¹₂ H(ID²⁰,9) =⁵₆>p₂

Chave compartilhada K =h1i

F(10,y1,20,y2) = 2y₁²+9y1+12y₂³+y₂²+11y2+0

v1 = 2 α1 = y₁² V1 = H(ID²⁰)² v₂ = 9 α₂ = y₁ V₂ = H(ID²⁰)⁹ v₃ = 12 α₃ = y₂³ V₃ = H(ID²⁰)¹² v4 = 1 α4 = y₂² V4 = H(ID²⁰)¹ v₅ = 11 α₅ = y₂ V₅ = H(ID²⁰)¹¹ v₆ = 0 α₆ = 1 V₆ = H(ID²⁰)⁰

v₁ = 2 α₁ = y₁² V₁ = H(ID²⁰)² v₂ = 9 α₂ = y₁ V₂ = H(ID²⁰)⁹ v3 = 12 α3 = y₂³ V3 = H(ID²⁰)¹² v₄ = 1 α₄ = y₂² V₄ = H(ID²⁰)¹ v₅ = 11 α₅ = y₂ V₅ = H(ID²⁰)¹¹ v6 = 0 α6 = 1 V6 = H(ID²⁰)⁰

U₁ = V₁^α1 V₂^α2 V₃^α3 V₄^α4 V₅^α5 V₆^α6

= V^y

12

1 V₂^y1 V^y

23

3 V^y

22

4 V₅^y2 V₆¹

= H(ID²⁰)^2y1² H(ID²⁰)^9y1 H(ID²⁰)^12y32 H(ID²⁰)^1y2² H(ID²⁰)^11y2 H(ID²⁰)^0×1

U₁ =H(ID²⁰)^{F(10,y1,20,y2)} U₂ =H(ID³²)

K =e(U1,U2) =e(H(ID²⁰),H(ID³²))^{F(10,y1,20,y2)}

M. Yung.

Perfectly Secure Key Distribution for Dynamic Conferences.

Information and Computation 146(1):1-23, 1998.

D. Boneh, M. Franklin

Identity Based Encryption from Weil Pairing.

Crypto’2001, LNCS, Springer-Verlag, 2001, v.2139, p.213-229.

W. Diffie and M. E. Hellman.

New Directions in Cryptography.

IEEE Transactions on Information Theory, 22(6):644-654, 1976.

L. Eschenauer e V.D. Gligor

A key-management scheme for distributed sensor networks.

Proceedings of the 9^th ACM conference on Computer and Communications Security, ACM-CCS’02: 41-47, 2002.

R. Gennaro, S. Halevi, H. Krawczyk, T. Rabin, S. Reidt, S. D.

Wolthusen

Strongly Resilient an Non-interactive Hierarchical Key-agreement in MANETs.

Springer LNCS 5283, pp 47-55, 2008.

Goichiro Hanaoka, Tsuyoshi Nishioka, Yuliang Zheng, and Hideki Imai.

A Hierarchical Non-interactive Key-Sharing Scheme with Low Memory Size and High Resistance against Collusion Attacks.

Comput. J., 45(3):293-303, 2002.

M. Misaghi

Um Ambiente Criptogr´afico Baseado na Identidade.

Tese (Doutorado), Poli-USP, 2008.

M. Ramkumar, N. Memon, R. Simha A Hierarchical Key Pre-distribution Scheme.

IEEE Electro/Information Technolgy Conference, EIT 2005, 2005.

R. Sakai, K. Ohgishi, and M. Kasahara.

Cryptosystems Based on Pairings.

In Proceedings of SCIS 2000, 2000.

A. Shamir

Identity-Based Cryptosystems and Signature Schemes.

Crypto’84, LNCS 196/1985, Springer-Berlin, 1984.

S. Al-Riyami, K. Paterson

Certificateless Public Key Cryptography.

Asiacrypt’03, LNCS 2894, Springer-Verlag, 2003. Vers˜ao completa em http://eprint.iacr.org/2003/126.

D. Boneh, C. Gentry, M. Hamburg

Space-Efficient Identity Based Encryption Without Pairings.

Cryptology ePrint Archive, 2007. Dispon´ıvel em

Rufino IME - USP

An identity based encryption scheme based on quadratic residues.

In Proceedings of the 8th IMA International Conference on Cryptography and Coding, 2001.

J. Crampton, H. Lim, K. Paterson

What Can Identity-Based Cryptography Offer to Web Services?.

In Proceedings of SWS’07, ACM, 2007.

C. Gentry

Certificate-Based Encryption and the Certificate Revocation

M.Girault

Self-Certified Public Keys.

EuroCrypt91, LCNS v.547, 490-497, Springer, 1991.

B. Lee, K. Kim

Self-Certified Signatures.

Indocrypt’02, LNCS v.2551, 199-214, Springer, 2002.

S. Saeednia

A note on Girault’s Self-certified Model.

Information Processing Letters, v.86, n.6, 323–327, Elsevier, 2003.

Tzong-Sun Wu, Han-Yu Lin

ECC Based Convertible Authenticated Encryption Scheme Using Self-Certified Public Key Systems.

International Journal of Algebra, v. 2, n. 3, 109-117, 2008.