Схема Сакаи-Касахары

Схема Сакаи–Касахары , также известная как алгоритм шифрования ключей Сакаи–Касахары ( SAKKE ), представляет собой систему шифрования на основе идентификации (IBE), предложенную Рюити Сакаи и Масао Касахарой в 2003 году. ^[1] Наряду со схемой Боне–Франклина , это одна из немногих коммерчески реализованных схем шифрования на основе идентификации. Это приложение пар над эллиптическими кривыми и конечными полями . Доказательство безопасности для алгоритма было создано в 2005 году Ченом и Ченгом. ^[2] SAKKE описан в документе RFC 6508 Инженерной группы Интернета ( IETF ). ^[3]

Как конкретный метод шифрования на основе личности, основной вариант использования — позволить любому человеку зашифровать сообщение пользователю, когда отправитель знает только публичную личность (например, адрес электронной почты) пользователя. Таким образом, эта схема устраняет необходимость для пользователей делиться публичными сертификатами для целей шифрования.

Описание схемы

Схема Сакаи-Касахары позволяет шифровать сообщение для получателя с определенной идентификацией, . Только субъект с закрытым ключом, , связанным с идентификацией, , сможет расшифровать сообщение. $\mathbb {М}$ $\textstyle I_{U}$ $\textstyle K_{U}$ $\textstyle I_{U}$

В рамках этой схемы и отправитель, и получатель должны доверять генератору закрытых ключей (PKG), также известному как сервер управления ключами (KMS). Целью PKG является создание закрытого ключа получателя, , связанного с личностью получателя, . PKG должен безопасно доставлять закрытый ключ, специфичный для личности, получателю, и открытый параметр, специфичный для PKG, , всем сторонам. Эти процессы распределения не рассматриваются как часть определения этой криптографической схемы. $\textstyle K_{U}$ $\textstyle I_{U}$ $\textstyle Z$

Предварительные

В схеме используются две мультипликативные группы и . Предполагается: $\textstyle E$ $\textstyle G$

Задача Диффи -Хеллмана сложна в . Это означает, что если даны два члена группы и , то трудно найти такое, что . $\textstyle E$ $\textstyle П$ $\textstyle Q$ $\textstyle x$ $\textstyle [x].P=Q$
Задача Диффи -Хеллмана сложна в . Это означает, что если даны два члена группы и , то трудно найти такое, что . $\textstyle G$ $г$ $т$ $\textstyle x$ $\textstyle g^{x}=t$
Существует билинейное отображение, спаривание Тейта-Лихтенбаума , из E в G. Это означает, что для члена : $\textstyle е (,)$ $\textstyle П$ $\textstyle E$

\textstyle е(P,[x].P)=e([x].P,P)=e(P,P)^{x}

Часто, является суперсингулярной эллиптической кривой , например (над конечным полем простого порядка ). Генератор простого порядка выбирается в . Группа является образом, обусловленным спариванием группы, порожденной (в поле расширения степени 2 конечного поля порядка p). $\textstyle E$ $\textstyle E:y^{2}=x^{3}-3x$ $\textstyle p$ $\textstyle П$ $\textstyle д$ $\textstyle E$ $\textstyle G$ $\textstyle П$

Также требуются две хэш-функции , и . выводит положительное целое число, , такое что . выводит биты, где — длина сообщения . $\textstyle H_{1}$ $\textstyle H_{2}$ $\textstyle H_{1}$ $\textstyle x$ $\textstyle 1<x<q$ $\textstyle H_{2}$ $\textstyle н$ $\textstyle н$ $\mathbb {М}$

Генерация ключей

PKG имеет главный секрет, где , и открытый ключ , который является точкой на . PKG генерирует закрытый ключ, , для пользователя с идентификатором следующим образом: $\textstyle z$ $1<z<q$ $\textstyle Z=[z].P$ $\textstyle E$ $\textstyle K_{U}$ $\textstyle ID_{U}$

\textstyle K_{U}=[{\frac {1}{z+H_{1}(ID_{U})}}].P

Шифрование

Чтобы зашифровать неповторяющееся сообщение , отправителю требуется идентификация получателя и публичное значение PGK . Отправитель выполняет следующую операцию. $\mathbb {М}$ $\textstyle ID_{U}$ $\textstyle Z$

Создавать: $\textstyle id=H_{1}(ID_{U})$
Отправитель генерирует с помощью $\textstyle р$ $\textstyle r=H_{1}(\mathbb {M} ||id)$
Сгенерируйте точку в : $\textstyle Р$ $\textstyle E$
$\textstyle R = [r].([id].P+Z)$
Создайте замаскированное сообщение:
$\textstyle S=\mathbb {M} \oplus H_{2}(g^{r})$
Зашифрованный вывод: $\textstyle (R,S)$

Обратите внимание, что сообщения не могут повторяться, поскольку повторное сообщение одному и тому же идентификатору приводит к повторному шифротексту. Существует расширение протокола, если сообщения потенциально повторяются.

Расшифровка

Чтобы расшифровать сообщение, зашифрованное в , получателю требуется закрытый ключ из PKG и открытое значение . Процедура расшифровки выглядит следующим образом: $\textstyle ID_{U}$ $\textstyle K_{U}$ $\textstyle Z$

Вычислить $\textstyle id=H_{1}(ID_{U})$
Получите зашифрованное сообщение: . $\textstyle (R,S)$
Вычислить:
${\ displaystyle \ textstyle w = e (R, K_ {U})}$
Извлеките сообщение:
$\textstyle \mathbb {M} =S\oplus H_{2}(w)$
Чтобы проверить сообщение, вычислите и примите сообщение только в том случае, если: $\textstyle r=H_{1}(\mathbb {M} ||id)$
$\textstyle [r].([id].P+Z)\equiv R$

Демонстрация алгоритмической корректности

Следующие уравнения демонстрируют правильность алгоритма:

\textstyle w=e(R,K_{U})=e([r].([id].P+Z),K_{U})=e([r].([id]. P+[z].P),K_{U})=e([r(id+z)].P,K_{U})

По билинейному свойству отображения:

\textstyle w=e([r(id+z)].P,K_{U})=e([r(id+z)].P,[{\frac {1}{(id+ z)}}].P)=e(P,P)^{\frac {r(id+z)}{(id+z)}}=g^{r}

Как результат:

\textstyle S\oplus H_{2}(w)=(\mathbb {M} \oplus H_{2}(g^{r}))\oplus H_{2}(w)=\mathbb {M}

Стандартизация

Существует четыре стандарта, касающихся этого протокола:

Первоначальная стандартизация схемы была начата IEEE в 2006 году. ^[4]
Схема была стандартизирована IETF в 2012 году в RFC 6508.
Алгоритм обмена ключами, основанный на этой схеме, — протокол MIKEY -SAKKE, разработанный национальным агентством разведки и безопасности Великобритании GCHQ и определенный в RFC 6509.
Сакаи-Касахара, как указано в MIKEY-SAKKE, является основным алгоритмом обмена ключами стандарта зашифрованной передачи голоса по IP Secure Chorus . ^[5]

Безопасность

Как и другие схемы шифрования на основе идентификации, Sakai-Kasahara требует, чтобы Key Management Server (KMS) хранил главный секрет, из которого могут быть сгенерированы все личные ключи пользователей. Стивен Мердок критиковал MIKEY-SAKKE за создание уязвимости безопасности, позволяя KMS расшифровывать каждое сообщение пользователя. ^[6]^[7]^[8] Мердок также отметил, что отсутствие прямой секретности в MIKEY-SAKKE увеличивает вред, который может быть нанесен в результате компрометации главного секрета. GCHQ, создатель MIKEY-SAKKE, оспорил этот анализ, указав, что некоторые организации могут посчитать такие возможности мониторинга желательными для следственных или нормативных целей, ^[9] и что KMS должен быть защищен воздушным зазором . ^[10]

Криптографические библиотеки и реализации

Схема является частью криптографической библиотеки MIRACL.

Смотрите также

Шифрование на основе идентификатора
wolfSSL : библиотека SSL/TLS, интегрированная с MIKEY SAKKE

Ссылки

^ Сакаи, Рюити; Касахара, Масао (2003). «Идентификационные криптосистемы с сопряжением на эллиптической кривой» (PDF) . Архив Cryptography ePrint . 2003/054.
^ Чен, Л.; Ченг, З. «Доказательство безопасности схемы шифрования на основе идентификации Сакаи-Касахары» (PDF) . Архив Cryptography ePrint . 2005/226.
^ Гроувс, М. (февраль 2012 г.). Шифрование ключей Сакаи-Касахары (SAKKE). IETF . doi : 10.17487/RFC6508 . RFC 6508.
^ Барбоса, М. и др. (январь 2006 г.). «SK-KEM: KEM на основе идентичности [представление IEEE P1363.3]».
^ "Common Technology Standards". Secure Chorus. 2019. Архивировано из оригинала 2020-02-04 . Получено 4 февраля 2020 .
^ Мердок, Стивен Дж. (март 2016 г.). «Небезопасно по замыслу: протоколы для зашифрованных телефонных звонков». Компьютер . 49 (3). IEEE: 25– 33. doi : 10.1109/MC.2016.70. S2CID 10072519.
^ Murgia, Madhumita (22 января 2016 г.). «Программное обеспечение, разработанное GCHQ для защищенных телефонных звонков, открытых для «подслушивания»». The Telegraph . Архивировано из оригинала 2019-07-09 . Получено 2020-02-04 .
^ Баранюк, Крис (23 января 2016 г.). «Разработанная GCHQ система безопасности телефона „открыта для наблюдения“». BBC News . Получено 04.02.2020 .
^ Леви, Ян (26 января 2016 г.). «Развитие MIKEY-SAKKE». GCHQ . Получено 04.02.2020 .
^ "MIKEY-SAKKE часто задаваемые вопросы". GCHQ. 7 августа 2016 г. Получено 2020-02-04 .

[1] Сакаи, Рюити; Касахара, Масао (2003). «Идентификационные криптосистемы с сопряжением на эллиптической кривой» (PDF) . Архив Cryptography ePrint . 2003/054.

[2] Чен, Л.; Ченг, З. «Доказательство безопасности схемы шифрования на основе идентификации Сакаи-Касахары» (PDF) . Архив Cryptography ePrint . 2005/226.

[3] Гроувс, М. (февраль 2012 г.). Шифрование ключей Сакаи-Касахары (SAKKE). IETF . doi : 10.17487/RFC6508 . RFC 6508.

[4] Барбоса, М. и др. (январь 2006 г.). «SK-KEM: KEM на основе идентичности [представление IEEE P1363.3]».

[5] "Common Technology Standards". Secure Chorus. 2019. Архивировано из оригинала 2020-02-04 . Получено 4 февраля 2020 .

[6] Мердок, Стивен Дж. (март 2016 г.). «Небезопасно по замыслу: протоколы для зашифрованных телефонных звонков». Компьютер . 49 (3). IEEE: 25– 33. doi : 10.1109/MC.2016.70. S2CID 10072519.

[7] Murgia, Madhumita (22 января 2016 г.). «Программное обеспечение, разработанное GCHQ для защищенных телефонных звонков, открытых для «подслушивания»». The Telegraph . Архивировано из оригинала 2019-07-09 . Получено 2020-02-04 .

[8] Баранюк, Крис (23 января 2016 г.). «Разработанная GCHQ система безопасности телефона „открыта для наблюдения“». BBC News . Получено 04.02.2020 .

[9] Леви, Ян (26 января 2016 г.). «Развитие MIKEY-SAKKE». GCHQ . Получено 04.02.2020 .

[10] "MIKEY-SAKKE часто задаваемые вопросы". GCHQ. 7 августа 2016 г. Получено 2020-02-04 .