Modelos de Criptografia de Chave Pública Alternativos

Transcrição

1 Modelos de Criptografia de Chave Pública Alternativos Denise Goya Vilc Rufino Poli USP Segurança em Redes de Computadores PCS-5734 Prof. Paulo Barreto Agosto/2008

2 Sumário Introdução 1 Introdução Modelo com ICP e motivações Exemplo de ICP Nível de confiança 2 3 Considerações finais Referências

3 Modelo com ICP e motivações Modelo com ICP e motivações Exemplo de ICP Nível de confiança Criptografia de chave pública: Requer formas de legitimação das chaves públicas; Solução comum é uso de uma infra-estrutura de chaves públicas (ICP ou PKI Public Key Infrastructure). Algumas dificuldades com ICP: processos complexos de implantação e manutenção da infra-estrutura; custos de emissão e distribuição de certificados; custos para recuperar e validar certificados; dificuldades com revogação de certificados.

4 Gerar chaves no modelo com ICP Modelo com ICP e motivações Exemplo de ICP Nível de confiança

5 Cifrar no modelo com ICP Modelo com ICP e motivações Exemplo de ICP Nível de confiança

6 Assinar no modelo com ICP Modelo com ICP e motivações Exemplo de ICP Nível de confiança

7 Nível de confiança Introdução Modelo com ICP e motivações Exemplo de ICP Nível de confiança Níveis de confiança, de [Girault 91]: Nível 1. autoridade conhece (ou calcula facilmente) chaves secretas dos usuários; pode personificar qualquer entidade sem ser detectada; Nível 2. autoridade desconhece (ou dificilmente calcula) chaves secretas dos usuários; pode personificar qualquer entidade, gerando falsas chaves públicas, sem ser detectada; Nível 3. autoridade desconhece (ou dificilmente calcula) chaves secretas dos usuários; pode personificar qualquer entidade, porém é detectada; Modelo convencional com ICP: Nível 3.

8 Introdução Existem modelos de criptografia de chave pública que dispensam a necessidade de ICP: Modelo baseado em identidade; Modelo auto-certificado; Modelo sem certificado; E outros que simplificam a infra-estrutura necessária: Modelo baseado em certificado;

9 Modelo baseado em identidade Modelo criptográfico baseado na identidade do usuário; Dispensa a ICP, pois a chave pública é a própria identidade do usuário (nome, endereço de , CPF, n o celular, ID de dispositivos eletrônicos).

10 Histórico Introdução Conceito proposto por [Shamir 84]; Modelo de [Shamir 84] era baseado na dificuldade de fatoração de grandes números; Até 2001 as soluções não eram totalmente satisfatória; [Boneh, Franklin 01] apresentam em evento internacional um modelo satisfatório baseado no emparelhamento bilinear sobre curvas eĺıpticas; Desde então: mais pesquisas em ID-based, e implementações comerciais; [Boneh et al. 07] retornam com implementação sem o uso de emparelhamento bilinear com modelo similar ao de [Cocks 01].

11 Como funciona Introdução A chave pública é predeterminada, pois é a identidade do usuário. O modelo requer uma autoridade confiável, única e detentora da chave-mestra secreta: Gerador de chaves particulares (PKG Private Key Generator) PKG usa a chave-mestra secreta para calcular a chave privada da respectiva identidade; Entrega a chave privada de forma segura.

12 Criar chaves no modelo baseado em identidade

13 Criar chaves no modelo baseado em identidade

14 Criar chaves no modelo baseado em identidade

15 Criar chaves no modelo baseado em identidade

16 Cifrar no modelo baseado em identidades Para cifrar: Usa-se a identidade do destinatário e a chave pública do PKG. Para decifrar: Usa-se a chave privada do destinatário.

17 Cifrar no modelo baseado em identidades

18 Assinar no modelo baseado em identidades Para assinar: Usa-se a chave privada do remetente. Para verificar a assinatura: Usa-se a identidade do remetente e a chave pública do PKG.

19 Assinar no modelo baseado em identidades

20 Propriedades Introdução Custódia de chaves (key escrow): PKG conhece a chave secreta de todos os usuários; Irretratabilidade (inviável); Criticidade da chave-mestra; Nível de confiança: Nível 1. Revogação de chaves públicas: Exemplo: ID comprometido = JoaoSilva-deJan08aDez08; ID novo = JoaoSilva-deAgo08aDez08;

21 Propriedades Introdução Fluxo criptográfico (seqüência de operações criptográficas): É possível cifrar para um usuário antes que sua chave secreta tenha sido gerada. Uso: Ideal para uso em grupos fechados [Shamir 84]; Serviços com disponibilidade temporal [Misaghi 08]; Envio de mensagens seguras baseado em papéis [Misaghi 08]; Redes tolerantes a interrupção e atraso [Misaghi 08]; Alternativa para SSL/TLS [Crampton et al. 07].

22 Criptografia de chave pública auto-certificada Dispensa a necessidade de ICP, pois a chave pública é auto-certificada, isto é depende: da identidade do usuário; do segredo da autoridade; do segredo do usuário; Uma chave pública falsa impede a correta inversão da operação criptográfica (certificação impĺıcita).

23 Histórico Introdução Conceito proposto por [Girault 91]; Assinatura de [Girault 91] continha uma falha, corrigida por [Saeednia 03]: o primeiro foi rebaixado ao nível 1 de confiança; o segundo alcança nível 3, porém com custo computacional alto; Trabalhos subseqüentes são variantes do original: [Lee, Kim 02]: assinatura auto-certificada (SCS); [Tzong, Han 08]: cifra autenticada conversível (CAE);

24 Como funciona Introdução Protocolo de geração do par de chaves envolve comunicação entre usuário e autoridade, cada qual camufla seu segredo e entrega ao outro; Dependendo do protocolo, a chave pública é gerada pelo usuário ou pela autoridade; Em todos os casos, só o usuário conhece sua chave secreta (sem custódia de chaves).

25 Criar chaves no modelo auto-certificado

26 Modelo de criptografia de chave pública sem certificados Conceito proposto por [Al-Riyami, Paterson 03]; Combinação de idéias dos modelos auto-certificado e baseado em identidade; Resultado obtido: modelo intermediário entre baseado em identidade e convencional: usa a identidade como parte da chave pública; dispensa necessidade de certificados digitais (certificação impĺıcita); elimina custódia de chaves (inerente ao baseado em identidade);

27 Como funciona Introdução Modelo requer uma autoridade confiável para gerar as chaves secretas parciais: Centro gerador de chaves (KGC Key Generating Centre) KGC usa a chave-mestra secreta e identidade do usário para calcular a chave secreta parcial da respectiva identidade; Usuário usa duas chaves secretas parciais (KGC e própria) e gera a chave secreta completa. Usuário usa a própria chave secreta parcial e gera chave pública.

28 Gerar chaves no modelo sem certificado

29 Gerar chaves no modelo sem certificado

30 Gerar chaves no modelo sem certificado

31 Gerar chaves no modelo sem certificado

32 Gerar chaves no modelo sem certificado

33 Gerar chaves no modelo sem certificado

34 Cifrar e assinar no modelo sem certificado Para cifrar uma mensagem para A ou para verificar uma assinatura de A, entidade B usa: a chave pública de A; mais a identidade de A. Para decifrar uma mensagem para A ou para criar uma assinatura de A, é necessário: chave secreta completa de A; mais a identidade de A.

35 Cifrar no modelo sem certificado

36 Assinar no modelo sem certificado

37 Propriedades Introdução Nível de confiança: Nível 2. KGC não é detectado se substituir chaves públicas; Se incluir a chave pública no cálculo da chave parcial: garante irretratabilidade; aumenta nível de confiança (ainda não atinge nível 3); tentativa de personificação é detectada; porém não há como provar quem fraudou.

38 Propriedades Introdução Menor grau de criticidade da chave-mestra: corrompimento da chave-mestra do KGC compromete apenas as chaves parciais; Chave pública pode ser criada antes que KGC gere a chave secreta parcial (aplicações de fluxo criptográfico); Ideal para uso em grupos fechados.

39 Modelo de criptografia de chave pública baseado em certificado Conceito proposto por [Gentry 03]; Vantagens: Minimiza o tráfego de distribuição de certificados; Elimina tráfego de validação dos certificados.

40 Como funciona Introdução O usuário cria seu par de chaves; AC gera um certificado para o usuário e período i; Para cifrar: não é necessário certificado; é preciso chave pública, identidade e período i. Para decifrar: é preciso chave secreta e certificado para o período i.

41 Gerar chaves no modelo baseado em certificado

42 Cifrar no modelo baseado em certificado

43 Propriedades Introdução Continua requerendo ICP, porém com tráfego menor: somente o próprio usuário obtém seu certificado; não é necessário transmitir informações de estado do certificado; Nível de confiança: Nível 3; Construções genéricas CB= CL ou CL= CB em aberto; Existem outros modelos que simplificam ICP.

44 Considerações finais Referências Atributos em criptografia de chave pública: (Id, s, P, G) Modelo com ICP: ( s, P, G = Σac (Id, P) ) Baseado em identidade: Auto-certificado: Sem certificado: (Id = P, G = s) (s, P (s,ac,id), G = P) ( Id, s(x,σac (Id)), P, G = s ) Baseado em certificado: ( Id, s(x,c), P, G = C = Σ ac (Id, i) )

45 Considerações finais Referências Comparação dos modelos Modelos Proprieadades Com Baseado em Auto Sem Baseado em dos modelos ICP Identidade Certificado Certificado Certificado Dispensa ICP não sim sim sim não Dispensa distribuição de certificados não sim sim sim não Requer diretório de chaves públicas sim não sim sim sim Nível de confiança 3 1 3(*) 2 3 Custódia de Chaves não sim não não não Irretratabilidade sim não sim(*) sim(**) sim(***) Criticidade da chave-mestra alto alto médio médio médio Requer canal seguro para não sim sim(*) sim não distribuição de chaves Renovação de chaves não não sim(*) sim não Controlada pelo usuário Fluxo criptográfico não sim não sim não (*) Depende do protocolo (**) Se garantir que KGC não substitui chaves públicas (***) Se garantir que quem substitui chaves públicas não obtém certificados

46 Considerações Introdução Considerações finais Referências Cuidados na implementação de cada modelo: analisar modelo de segurança de cada protocolo; propriedades de cada modelo/protocolo dependem de detalhes; a tabela comparativa anterior tem muitas nuances escondidas.

47 Perguntas? Introdução Considerações finais Referências

48 Referências (1/4) Introdução Considerações finais Referências S. Al-Riyami, K. Paterson Certificateless Public Key Cryptography. Asiacrypt 03, LNCS 2894, Springer-Verlag, Versão completa em D. Boneh, M. Franklin Identity Based Encryption from Weil Pairing. Crypto 2001, LNCS, Springer-Verlag, 2001, v.2139, p D. Boneh, C. Gentry, M. Hamburg Space-Efficient Identity Based Encryption Without Pairings. Cryptology eprint Archive, Disponível em

49 Considerações finais Referências Referências (2/4) C. Cocks An identity based encryption scheme based on quadratic residues. In Proceedings of the 8th IMA International Conference on Cryptography and Coding, J. Crampton, H. Lim, K. Paterson What Can Identity-Based Cryptography Offer to Web Services?. In Proceedings of SWS 07, ACM, C. Gentry Certificate-Based Encryption and the Certificate Revocation Problem. Cryptology eprint Archive, Disponível em

50 Referências (3/4) Introdução Considerações finais Referências M.Girault Self-Certified Public Keys. EuroCrypt91, LCNS v.547, , Springer, B. Lee, K. Kim Self-Certified Signatures. Indocrypt 02, LNCS v.2551, , Springer, M. Misaghi Um Ambiente Criptográfico Baseado na Identidade. Tese (Doutorado), Poli-USP, 2008.

51 Referências (4/4) Introdução Considerações finais Referências S. Saeednia A note on Girault s Self-certified Model. Information Processing Letters, v.86, n.6, , Elsevier, A. Shamir Identity-Based Cryptosystems and Signature Schemes. Crypto 84, LNCS 196/1985, Springer-Berlin, Tzong-Sun Wu, Han-Yu Lin ECC Based Convertible Authenticated Encryption Scheme Using Self-Certified Public Key Systems. International Journal of Algebra, v. 2, n. 3, , 2008.