Схема Боне-Франклина

Схема Боне-Франклина — это система шифрования на основе идентичности , предложенная Дэном Боне и Мэтью К. Франклином в 2001 году. ^[1] В этой статье рассматривается версия протокола под названием BasicIdent . Это применение пар ( пар Вейля ) над эллиптическими кривыми и конечными полями .

Группы и параметры

Поскольку схема основана на парном подходе , все вычисления выполняются в двух группах : $\textstyle G_{1}$ $\textstyle G_ {2}$

Для пусть будет простым числом, и рассмотрим эллиптическую кривую над . Обратите внимание, что эта кривая не является особой, поскольку равна только для случая , который исключается дополнительным ограничением. $\textstyle G_{1}$ $\textstyle p$ $\textstyle p\equiv 2\mod 3$ $\textstyle E:y^{2}=x^{3}+1$ $\textstyle \mathbb {Z} /p\mathbb {Z}$ $\textstyle 4a^{3}+27b^{2}=27=3^{3}$ $\textstyle 0$ $\textstyle p=3$

Пусть будет простым множителем (который является порядком ) и найдем точку порядка . — это множество точек, порожденных : $\textstyle q>3$ $\textstyle p+1$ $\textstyle E$ $\textstyle P\in E$ $\textstyle д$ $\textstyle G_{1}$ $\textstyle П$ $\textstyle \left\{nP\|n\in \left\{0,\ldots ,q-1\right\}\right\}$

$\textstyle G_ {2}$ является подгруппой порядка . Нам не нужно явно строить эту группу (это делается с помощью спаривания) и, следовательно, не нужно искать генератор. $\textstyle д$ $\textstyle GF\left(p^{2}\right)^{*}$

$\textstyle G_{1}$ считается аддитивной группой , являясь подгруппой аддитивной группы точек , в то время как считается мультипликативной группой , являясь подгруппой мультипликативной группы конечного поля . $\textstyle E$ $\textstyle G_ {2}$ $\textstyle GF(p^{2})^{*}$

Описание протокола

Настраивать

Генератор открытого ключа (PKG) выбирает:

публичные группы (с генератором ) и как указано выше, с размером в зависимости от параметра безопасности , $\textstyle G_{1}$ $\textstyle П$ $\textstyle G_ {2}$ $\textstyle д$ $\textstyle к$
соответствующее сопряжение , $\textstyle е$
случайный закрытый мастер-ключ , $\textstyle K_{m}=s\in \mathbb {Z} _{q}^{*}$
открытый ключ , $\textstyle K_{pub}=sP$
публичная хэш-функция , $\textstyle H_{1}:\left\{0,1\right\}^{*}\rightarrow G_{1}^{*}$
публичная хэш-функция для некоторых фиксированных и $\textstyle H_{2}:G_{2}\rightarrow \left\{0,1\right\}^{n}$ $\textstyle n$
пространство сообщений и пространство шифров $\textstyle {\mathcal {M}}=\left\{0,1\right\}^{n},{\mathcal {C}}=G_{1}^{*}\times \left\{0,1\right\}^{n}$

Извлечение

Чтобы создать открытый ключ для , PKG вычисляет $\textstyle ID\in \left\{0,1\right\}^{*}$

$\textstyle Q_{ID}=H_{1}\left(ID\right)$ и
закрытый ключ , который предоставляется пользователю. $\textstyle d_{ID}=sQ_{ID}$

Шифрование

Учитывая , что , шифротекст получается следующим образом: $\textstyle м\in {\mathcal {M}}$ $\textstyle с$

$\textstyle Q_{ID}=H_{1}\left(ID\right)\in G_{1}^{*}$ ,
выбрать случайный , $\textstyle r\in \mathbb {Z} _{q}^{*}$
вычислить и $\textstyle g_{ID}=e\left(Q_{ID},K_{pub}\right)\in G_{2}$
набор . $\textstyle c=\left(rP,m\oplus H_{2}\left(g_{ID}^{r}\right)\right)$

Обратите внимание, что это открытый ключ PKG, поэтому он не зависит от идентификатора получателя. $\textstyle K_{паб}$

Расшифровка

Учитывая , что открытый текст может быть получен с помощью закрытого ключа: $\textstyle c=\left(u,v\right)\in {\mathcal {C}}$

$\textstyle m=v\oplus H_{2}\left(e\left(d_{ID},u\right)\right)$

Корректность

Первичный шаг как в шифровании, так и в дешифровании — это использование сопряжения и генерация маски (например, симметричного ключа), которая выполняется с помощью операции xor с открытым текстом. Поэтому для проверки правильности протокола необходимо убедиться, что честный отправитель и получатель в конечном итоге получают одинаковые значения. $\textstyle H_{2}$

Шифрующая сущность использует , а для расшифровки применяется . Из свойств пар следует, что: $\textstyle H_{2}\left(g_{ID}^{r}\right)$ $\textstyle H_{2}\left(e\left(d_{ID},u\right)\right)$

${\begin{align}H_{2}\left(e\left(d_{ID},u\right)\right)&=H_{2}\left(e\left(sQ_{ID},rP\right)\right)\\&=H_{2}\left(e\left(Q_{ID},P\right)^{rs}\right)\\&=H_{2}\left(e\left(Q_{ID},sP\right)^{r}\right)\\&=H_{2}\left(e\left(Q_{ID},K_{pub}\right)^{r}\right)\\&=H_{2}\left(g_{ID}^{r}\right)\\\end{align}}$

Безопасность

Безопасность схемы зависит от сложности билинейной задачи Диффи-Хеллмана (BDH) для используемых групп. Было доказано, что в модели случайного оракула протокол семантически безопасен при предположении BDH.

Улучшения

BasicIdent не выбран ciphertext secure . Однако существует универсальный метод преобразования, предложенный Фудзисаки и Окамото ^[2] , который позволяет преобразовать схему, имеющую это свойство, называемое FullIdent .

Ссылки

^ Дэн Бонех, Мэтью К. Франклин, «Шифрование на основе идентификации с использованием спаривания Вейля», Достижения в криптологии – Труды CRYPTO 2001 (2001)
^ Эйитиро Фудзисаки, Тацуаки Окамото, «Безопасная интеграция асимметричных и симметричных схем шифрования», Advances in Cryptology – Proceedings of CRYPTO 99 (1999). Полная версия появилась в J. Cryptol. (2013) 26: 80–101

Внешние ссылки

Семинар «Криптография и безопасность в банковском деле»/«Альтернативная криптология», Рурский университет в Бохуме ^{[ постоянная неработающая ссылка ‍ ]}
Библиотека P(airing) B(ased) C(cryptography), разработанная Беном Линном и др.

[1] Дэн Бонех, Мэтью К. Франклин, «Шифрование на основе идентификации с использованием спаривания Вейля», Достижения в криптологии – Труды CRYPTO 2001 (2001)

[2] Эйитиро Фудзисаки, Тацуаки Окамото, «Безопасная интеграция асимметричных и симметричных схем шифрования», Advances in Cryptology – Proceedings of CRYPTO 99 (1999). Полная версия появилась в J. Cryptol. (2013) 26: 80–101