Неявный сертификат

В криптографии неявные сертификаты являются вариантом сертификата открытого ключа . Открытый ключ субъекта реконструируется из данных в неявном сертификате, и затем говорят , что он «неявно» проверен. Подделка сертификата приведет к тому, что реконструированный открытый ключ станет недействительным, в том смысле, что будет невозможно найти соответствующее значение закрытого ключа, как это потребовалось бы для использования подделанного сертификата.

Для сравнения, традиционные сертификаты открытого ключа включают копию открытого ключа субъекта и цифровую подпись, сделанную выдающим центром сертификации (CA). Открытый ключ должен быть явно подтвержден путем проверки подписи с использованием открытого ключа CA. Для целей этой статьи такие сертификаты будут называться «явными» сертификатами.

Elliptic Curve Qu-Vanstone (ECQV) — это один из видов схемы неявных сертификатов. Он описан в документе Standards for Efficient Cryptography 4 (SEC4) . ^[1]
В этой статье ECQV будет использоваться в качестве конкретного примера для иллюстрации неявных сертификатов.

Сравнение ECQV с явными сертификатами

Обычные явные сертификаты состоят из трех частей: идентификационные данные субъекта, открытый ключ и цифровая подпись , которая связывает открытый ключ с идентификационными данными пользователя (ID). Это отдельные элементы данных в сертификате, и они влияют на размер сертификата: например, стандартный сертификат X.509 имеет размер порядка 1 КБ (~8000 бит).

Неявный сертификат ECQV состоит из идентификационных данных и одного криптографического значения. Это значение, точка эллиптической кривой , объединяет функцию данных открытого ключа и подписи CA. Поэтому неявные сертификаты ECQV могут быть значительно меньше явных сертификатов и поэтому полезны в средах с высокими ограничениями, таких как метки RFID радиочастотной идентификации , где не так много памяти или пропускной способности.

Сертификаты ECQV полезны для любой схемы ECC, где закрытый и открытый ключи имеют форму ( d , dG ). Это включает в себя протоколы согласования ключей, такие как ECDH и ECMQV , или алгоритмы подписи, такие как ECDSA . Операция не будет выполнена, если сертификат был изменен, так как восстановленный открытый ключ будет недействительным. Восстановление открытого ключа выполняется быстрее (одноточечная операция умножения ) по сравнению с проверкой подписи ECDSA.

Сравнение с криптографией на основе идентификаторов

Неявные сертификаты не следует путать с криптографией на основе идентификации . В схемах на основе идентификации для получения открытого ключа используется сама личность субъекта; «сертификата» как такового не существует. Соответствующий закрытый ключ вычисляется и выдается субъекту доверенной третьей стороной .

В схеме неявного сертификата субъект имеет закрытый ключ, который не раскрывается CA в процессе выдачи сертификата. CA доверяется в выдаче сертификатов правильно, но не в хранении закрытых ключей отдельных пользователей. Неправильно выданные сертификаты могут быть отозваны , тогда как в схеме на основе идентификации нет сопоставимого механизма для неправомерного использования закрытых ключей.

Описание схемы ECQV

Первоначально необходимо согласовать параметры схемы. Это:

Параметры эллиптической кривой , включая порождающую точку порядка . $G\,$ $n\,$
Функция кодирования с данными реконструкции открытого ключа и идентификационной информацией кодирует свои аргументы как байт-блок и соответствующий ему блок, который извлекает значение из кодировки. ${\textrm {Кодирование}}(\гамма,ID)$ $\гамма$ $ID$ ${\textrm {Decode}} _ {\gamma }(\cdot)$ $\гамма$
Хэш -функция , которая принимает байтовый блок и возвращает хэш-значение в виде целого числа в диапазоне $H_{n}(\cdot)$ $[0,n-1]$

Центр сертификации CA будет иметь закрытый ключ и открытый ключ. $c\,$ $Q_{CA}=cG$

Протокол запроса сертификата

Здесь Алиса будет пользователем, который запрашивает неявный сертификат от CA. У нее есть идентификационная информация . $ID_{A}$

Алиса генерирует случайное целое число $\альфа \,$
Алиса вычисляет и отправляет и в CA. $A=\альфа \,G\,$ $А$ $ID_{A}$
CA выбирает случайное целое число из и вычисляет . $к\,$ $[1,n-1]\,$ $кГ\,$
CA вычисляет (это данные реконструкции открытого ключа) $\гамма =A+kG\,$
CA вычисляет $Cert={\textrm {Encode}}(\gamma, {\textrm {ID}}_{A})\,$
CA вычисляет $e=H_{n}(Cert)$
CA вычисляет ( данные реконструкции закрытого ключа) $s=ek+c{\pmod {n}}\,$ $s\,$
CA отправляет Алисе $(s,Сертификат)\,$
Алиса вычисляет и ее закрытый ключ $e'=H_{n}(Cert)$ $a=e'\alpha +s{\pmod {n}}\,$
Алиса вычисляет и ее открытый ключ $\gamma '={\textrm {Decode}} _ {\gamma }(Cert)$ $Q_{A}=e'\gamma '+Q_{CA}\,$
Алиса проверяет, что сертификат действителен, т.е. что $Q_{A}=aG$

Использование сертификата

Здесь Алиса хочет доказать свою личность Бобу, который доверяет УЦ.

Алиса отправляет Бобу и шифротекст, созданный с использованием ее закрытого ключа . Шифротекст может быть цифровой подписью или частью протокола обмена аутентифицированными ключами . $Сертификат$ $С$ $a$
Боб вычисляет и . $\gamma ''={\textrm {Decode}}_{\gamma }(Cert)$ $e''=H_{n}(Cert)$
Боб вычисляет предполагаемый открытый ключ Алисы $Q_{A}'=e''\gamma ''+Q_{CA}$
Боб проверяет шифротекст с помощью . Если эта проверка прошла успешно, он может быть уверен, что ключ принадлежит пользователю, чья идентификационная информация содержится в . $C$ $Q_{A}'$ $Q_{A}'$ $Cert$

Доказательство эквивалентности закрытого и открытого ключей

Закрытый ключ Алисы — $a=e'\alpha +s=e\alpha +ek+c{\pmod {n}}$

Значение реконструкции открытого ключа $\gamma =A+kG=(\alpha +k)G$

Открытый ключ Алисы — $Q_{A}=e\gamma +Q_{CA}=e(\alpha +k)G+cG=(e\alpha +ek+c)G$

Следовательно, , что завершает доказательство. $Q_{A}=aG$

Безопасность

Доказательство безопасности ECQV было опубликовано Брауном и др. ^[2]

Смотрите также

Криптография на основе эллиптических кривых

Ссылки

^ "Стандарты эффективной криптографии, SEC 4: Схема неявного сертификата эллиптической кривой Qu-Vanstone (ECQV)" (PDF) . www.secg.org. 2013-01-24 . Получено 2017-07-05 .
^ Браун, Дэниел Р. Л.; Галлант, Роберт П.; Ванстоун, Скотт А. (2001). «Доказуемо безопасные неявные схемы сертификатов». Финансовая криптография . Конспект лекций по информатике. Том 2339. С. 156–165. CiteSeerX 10.1.1.32.2221 . doi : 10.1007/3-540-46088-8_15. ISBN 978-3-540-44079-6. Получено 27 декабря 2015 г. {{cite book}}: |journal=проигнорировано ( помощь )

Hankerson, D.; Vanstone, S .; Menezes, A. (2004). Руководство по эллиптической криптографии . Springer Professional Computing. Нью-Йорк: Springer . CiteSeerX 10.1.1.331.1248 . doi :10.1007/b97644. ISBN 978-0-387-95273-4.
certicom.com, Объяснение неявных сертификатов , Код и шифр, том 2, № 2
Леон Пинцов и Скотт Ванстоун, Сбор почтовых доходов в цифровую эпоху , Финансовая криптография 2000, Конспект лекций по информатике 1962, стр. 105–120, Springer, февраль 2000 г.

Внешние ссылки

Группа стандартов эффективной криптографии
Blackberry Crypto API поддерживает ECQV
Certicom Corp. от BlackBerry использует ECQV для Zigbee Smart Energy
Стандарты сертификации ISO/IEC 27001:2022

[1] "Стандарты эффективной криптографии, SEC 4: Схема неявного сертификата эллиптической кривой Qu-Vanstone (ECQV)" (PDF) . www.secg.org. 2013-01-24 . Получено 2017-07-05 .

[2] Браун, Дэниел Р. Л.; Галлант, Роберт П.; Ванстоун, Скотт А. (2001). «Доказуемо безопасные неявные схемы сертификатов». Финансовая криптография . Конспект лекций по информатике. Том 2339. С. 156–165. CiteSeerX 10.1.1.32.2221 . doi : 10.1007/3-540-46088-8_15. ISBN 978-3-540-44079-6. Получено 27 декабря 2015 г. {{cite book}}: |journal=проигнорировано ( помощь )