Sistemas criptográficos baseados em identidades pessoais

Transcrição

1 Sistemas criptográficos baseados em identidades pessoais Waldyr Dias Benits Jr. Routo Terada, prof. Dr. Outubro de 50

2 Sistemas criptográficos baseados em identidades pessoais 2 de 50

3 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidades 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações e hierarquia 7. Implementação didática de um protótipo 8. Conclusões e trabalhos futuros 3 de 50

4 Existem homens de bom senso que, por serem incapazes de decifrar as coisas que são grego para eles, convencem-se de que a lógica e a filosofia estão acima deles. Pois bem, gostaria que vissem que, assim como a natureza os dotou de olhos com os quais podem enxergar as obras dela, também lhes concedeu cérebros para penetrar e compreendê-las. Galileu Galilei 4 de 50

5 Objetivos Este trabalho tem como objetivos principais: Estudar os sistemas criptográficos baseados em identidade e os conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos. A fim de que possamos de 50

6 Objetivos (secundários) Elaborar um documento de referência; Estudar detalhadamente um esquema de assinatura & criptografia em um único passo (signcryption); Implementar de forma didática um protótipo de um sistema baseado em identidades. Além disso, veremos: principais aplicações práticas; variações em esquemas de assinaturas; esquemas com PKG não confiável. 6 de 50

7 Contribuições 1. Elaboração de documento em língua portuguesa; 2. Análise sobre a escolha do elemento aleatório nos esquemas de B-F e ML e N-R; 3. Variação no esquema B-F; 4. Comparação IBE X PKI; 5. Implementação didática; 6. Sugestões ao artigo de Nalla e Reddy. 7 de 50

8 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidade 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações e hierarquia 7. Implementação didática de um protótipo 8. Conclusões e trabalhos futuros 8 de 50

9 Principais dificuldades Criptografia Dificuldade Simétrica Assimétrica Como distribuir e armazenar as chaves secretas de forma segura? Quantas chaves são necessárias para uma comunicação segura entre n pessoas? Como garantir que o detentor da chave pública é realmente quem diz ser? Necessidade de uma infra-estrutura para armazenar as chaves públicas Tempo decorrido entre o comprometimento de uma chave e sua revogação 9 de 50

10 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidade 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações e hierarquia 7. Implementação didática de um protótipo 8. Conclusões e trabalhos futuros 10 de 50

11 Curva elíptica sobre Seja F F q o conjunto de inteiros mod q, onde q é um número primo. q Uma curva elíptica E sobre F q equação: é definida pela seguinte y² = x³ + ax + b (mod q) Onde a, b F q e 4a³ + 27b² 0 (mod q) O conjunto E(F q ) consiste dos pontos (x,y), x F q, y F q, que satisfazem a equação, juntamente com o ponto no infinito O de 50

12 Algumas definições Ordem importantes de um ponto: é o menor inteiro positivo t tal que t.p = O; Ordem de uma curva: é o número de pontos (x,y) além do ponto O no infinito - que satisfazem à equação da curva; Grau de imersão de uma curva: é o menor inteiro k tal que r (q k 1) de 50

13 Sobre o Sejam G 1 e G 2 grupos de ordem prima q. emparelhamento Um emparelhamento é um mapeamento entre estes grupos, tal que: ê: G 1 X G 1 G 2 Para que possa ser usado em sistemas baseados em identidades, deve satisfazer às propriedades: 1. Ser bilinear; 2. Ser não degenerado; 3. Ser computável. e(ap, bq) = e(p,q) ab Q e(p,q) de 50

14 Tate Emparelhamento de e t (P, Q): E(F q k)[r] X E(F q k) F * q k 14 de 50

15 Representação Ponto P E(F q ): par de inteiros (x,y) mod q. Ponto Q E(F q k): par de polinômios (x(u), y(u)), onde cada polinômio tem grau menor do que k e coeficientes em F q. Operações algébricas em F q k: são efetuadas módulo um polinômio irredutível m(u) de grau k, sendo os coeficientes reduzidos mod q de 50

16 Exemplo de cálculo de emparelhamento Seja E: y² = x³ + 6x + 8 a curva elíptica definida sobre F 17 Sejam P E(F q ) P = (9,14) e Q E(F q k ) pontos L.I. 14² (mod 17) = 9³ (mod 17) 9 = 9 Q = (13u 4 + 4u² + 1, 13u 5 + 6u³ + 5u) e t (P,Q) = 8u u 4 + 6u³ + 9u² + 16u de 50

17 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidades a) Criptografia (Boneh e Franklin) b) Assinatura (Hess) c) Criptassinatura (Nalla e Reddy) 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações e hierarquia 7. Implementação didática de um protótipo 8. Conclusões e trabalhos futuros 17 de 50

18 Notações utilizadas G 1, G 2 : grupos de ordem prima q, onde o problema do logaritmo discreto (PLD) é supostamente difícil e para os quais existe um mapeamento bilinear computável e : G 1 X G 1 G 2; Na prática: G 1 : grupo de pontos de uma curva elíptica E(F q ) G 2 : subgrupo de um grupo multiplicativo de um corpo finito E(F q k) OBS. Em termos práticos, q é um número primo da ordem de de 50

19 Hellman Problemas Diffie- Computacional (CDHP) Dados (P, ap, bp) G 1, calcular abp Bilinear (BDHP) Dados (P, ap, bp, cp) G 1 calcular e(p,p) abc Se CDHP é fácil, então BDHP é fácil: - Calcule abp; - Calcule e(abp, cp) = e(p,p) abc Porém, para determinados grupos: CDHP intratável BDHP intratável 19 de 50

20 Funções de hash H 1 : {0,1} * G 1 ; H 2 : {0,1} * F q ; H 3 : G 2 {0,1} * ; H 4 : {0,1} * G 2 (criptassinatura para curvas ordinárias) 20 de 50

21 Chaves utilizadas Par de chaves pública/particular padrão (R,s): R = sp Par de chaves baseadas em identidade (Q ID,S ID ): S ID = sq ID Q ID = H 1 (ID) 21 de 50

22 Criptografia baseada em identidade Criptografia (B & F) (IBE) Alice seleciona r aleatório em F q e calcula: U = rp k = e t (rq Beto, R TA ) V = m H 3 (k) (P G 2 ) O texto criptografado é (U,V) Decriptografia Beto calcula: k = e t (S beto, U) m = V H 3 (k) 22 de 50

23 Criptografia baseada em identidade Demonstração (IBE) e t (S beto, U) = e t (S beto, rp), pois U = rp e t (Q beto, P) rs, = e t (sq Beto, rp ), pois S beto = sq Beto = por bilinearidade = e t (rq Beto, sp), por bilinearidade = e t (rq Beto, R TA ), pois R TA = sp Logo, como V = m H 3 (k), então m = V H 3 (k) (c.q.d.) 23 de 50

24 Importância na escolha Suponha que Alice escolhesse sempre o mesmo r : de r Para duas mensagens distintas, m 1 e m 2, o valor de U seria o mesmo e o valor de V seria diferente, pois depende de m. Vamos chamar estes valores de V 1 e V 2. Note que H 3 (e t (rq Beto, R TA )) também não se altera, pois depende de r. Seja x = H 3 (e t (rq Beto, R TA ) ) 24 de 50

25 de r Importância na escolha Desta forma, teremos: V 1 = m 1 x V 2 = m 2 x Se um intruso interceptar V 1 e V 2, ele calcula: V = V 1 V 2 = (m 1 x) (m 2 x) = m 1 m 2 Assim, se o intruso conhece m 1 (s.p.g.) consegue recuperar m de 50

26 Variação B-F Note que e t (rq Beto, R TA ) = e t (S beto, U) = k Na prática: Criptografia assimétrica (IBE): canal seguro; Criptografia simétrica: troca de mensagens. V = E k (m) k : chave simétrica entre Alice e Beto Esquema B-F protocolo (seguro) negociação chaves (robustas) de 50

27 Variação B-F Beto precisa apenas ter certeza de que está falando com Alice: Com assinatura Hess: Alice assina k e envia para Beto; Beto recupera k (usando Sbeto ) e verifica se assinatura é válida (usando Q alice ) Com esquema de assinatura com recuperação de mensagem: Alice assina U e envia para Beto; Beto usa Qalice para verificar assinatura e recuperar U; Beto, com U, calcula k. Dá para fazer isso com XOR? 27 de 50

28 Assinaturas baseadas em identidade Assinatura (Hess) Beto calcula Em seguida, calcula E, finalmente: r = e t (P 1, P) k h = H 2 (m r) onde k é um elemento aleatório de F q e P 1 é um ponto de G 1 escolhido aleatoriamente por Beto U = hs Beto + kp 1 A assinatura de m é (U,h) 28 de 50

29 Assinaturas baseadas em identidade Verificação Se Alice deseja verificar se a assinatura é realmente de Beto, o faz da seguinte forma: Calcula r = e t (U,P). e t (Q Beto, -R TA ) h e aceita a assinatura como válida se e somente se h = H 2 (m r) 29 de 50

30 Criptassinatura de Nalla & Reddy Alice quer enviar uma mensagem m para Beto: 1 Escolhe a aleatório em F q 2 Calcula R = as alice h = H 2 (R H 3 (e t (Q beto, S alice )) m ) S = ahq alice k a = H 3 [e t (Q beto, S alice ) ah ] 3 Faz C = k a m E envia a mensagem criptassinada (R, S, C) para Beto 30 de 50

31 Criptassinatura de Nalla & Reddy Beto, conhecendo R, S, C, Q alice, Q beto, S beto, calcula: k b = H 3 (e t (S beto, S)) m = k b C h = H 2 (R H 3 (e t (S beto, Q alice )) m ) E verifica se e t (S beto, S) = e t (Q beto, R) h 31 de 50

32 Sugestões ao artigo de N-R Artigo original 1 R = (R H (e (S, Q 3 t A B )) m) e cálculo de k a = H 3 [e t (Q B, S A ) ah ] 2 y = e (W, Q t B ) no esquema ML e na verificação y = e t (Q B, W) 3 e (Q t B, W) não computado como pré-calculável Sugestões Trocar e t (S A, Q B ) por e t (Q B, S A ) Trocar e t (W, Q B ) por e t (Q B, W) Observar que e t (Q B, W) = e t (Q B, zr TA ) = e t (Q B, R TA ) z 4 Comparação com esquema assinatura Cha & Cheon Usar esquema Hess (mais eficiente 5 Atualizar tabela-resumo 32 de 50

33 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidade 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações e hierarquia 7. Implementação didática de um protótipo 8. Conclusões e trabalhos futuros 33 de 50

34 Variações em esquemas de Assinatura Assinatura em anel (ring signature) Garante anonimato do assinante. Assinatura cega (blind signature) Garante anonimato do usuário. Assinante não tem conhecimento do conteúdo da mensagem que está assinando de 50

35 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidade 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações e hierarquia 7. Implementação didática de um protótipo 8. Conclusões e trabalhos futuros 35 de 50

36 confiável Assinatura com PKG não Alice escolhe aleatoriamente r em Z* q, calcula rp e envia para o PKG, mantendo r em segredo. Chave pública de Alice: Q alice = H 1 (ID alice rp) Chave particular de Alice: S alice = sq alice 36 de 50

37 confiável Assinatura com PKG não Assinatura Para Alice assinar uma mensagem: Segredo r de Alice Escolhe aleatoriamente a em Z* q e calcula: U = aq alice V = rh 1 (m,u) h = H 2 (m, U + V) W = (a + h)s alice Assinatura de m é (U,V,W,rP) 37 de 50

38 confiável Verificação: Assinatura com PKG não Beto calcula Q alice, H 1 (m,u) e h e aceita a assinatura como válida se: e t (W,P) = e t (U + hq alice, R PKG ) e e t (V,P) = e t (H 1 (m,u), rp) 38 de 50

39 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidade 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações e hierarquia 7. Implementação didática de um protótipo 8. Conclusões e trabalhos futuros 39 de 50

40 Revogação de chaves públicas Chaves públicas com prazo de validade préestabelecido acrescentar o período de validade no ID: Exemplo: ID = Alice@ime.usp.br 2003 ou ID = Alice@ime.usp.br outubro2003 Conforme a necessidade de 50

41 Hierarquia Ponto de partida. Porém: foco em outros assuntos: conceituação dos esquemas principais implementação 41 de 50

42 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidade 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações 7. Hierarquia 8. Implementação didática de um protótipo 9. Conclusões e trabalhos futuros 42 de 50

43 Implementação Linguagem ANSI-C; Uso de valores didáticos: Tamanho do corpo : primo q = 17; Curva: y² = x³ + 6x + 8 (r = 13; k = 6); Chave particular PKG: s = 7; Polinômio primo em F q k : m(x) = x 6 + x² + 3 Ponto público em E(F q k): Q = (13x 4 + 4x 2 + 1, 13x 5 + 6x 3 + 5x) Esquemas implementados: Assinatura compacta BLS; Criptografia B-F; Assinatura Hess; Criptassinatura N-R de 50

44 Sumário 1. Principais problemas encontrados em criptografia simétrica e assimétrica 2. Conceitos fundamentais de criptografia com curvas elípticas e emparelhamentos 3. Sistemas criptográficos baseados em identidade 4. Variações esquemas assinaturas 5. PKG não-confiável 6. Aplicações 7. Hierarquia 8. Implementação didática de um protótipo 9. Conclusões e trabalhos futuros 44 de 50

45 Vantagens e desvantagens VANTAGENS Não necessidade de um diretório de chaves públicas; Entidade que possua par de chaves padrão papel de PKG; PKG: conhece todas as chaves particulares de seus usuários; Envio de mensagens criptografadas antes da obtenção da chave particular junto ao PKG; Tamanho da chave para um mesmo nível de segurança; Não necessidade de certificados digitais de 50

46 Vantagens e desvantagens DESVANTAGENS PKG: conhece todas as chaves particulares de seus usuários; Dificuldade de implementação do emparelhamento de Tate; Desempenho: assinatura e criptografia mais lentas do que em um esquema de chave assimétrica tradicional (como RSA) com nível de segurança equivalente de 50

47 Trabalhos Futuros 1. Modificação da implementação para permitir uso de parâmetros utilizados na prática; 2. Testes contra os principais ataques conhecidos; 3. Provas formais de segurança; 4. Otimização da implementação; 5. Cálculo da raiz quadrada em F q k; 6. Geração do ponto em E(F q k) e do polinômio primo em F q k; 7. Cálculo da ordem da curva de forma eficiente; 8. Comparação do esquema B-F modificado com outros protocolos de troca de chaves de 50

48 Terada) Artigos (Benits - 1. Sistemas criptográficos baseados em identidades pessoais publicado na revista científica Pesquisa Naval (suplemento da Revista Marítima Brasileira), ISSN , nº 16 setembro de 2003, cap. X p. 115 a 127; 2. Artigo sobre variação no esquema de Boneh & Franklin para torná-lo um protocolo de troca de chaves simétricas em andamento de 50

49 Perguntas 49 de 50

50 F I M 50 de 50

51 Referências [BAR 99] BARRETO, P. Curvas Elípticas e Criptografia: Conceitos e Algoritmos. Disponível em < Acesso em: 25 mar [BAR 02] BARRETO, P.; KIM, H.; LYNN, B. Eficient Algorithms for Pairing-Based Cryptosystems. In: Lecture Notes in Computer Science, v.2442, p Springer-Verlag, Advances in Cryptology - Crypto'2002. [BAR 03] BARRETO, P.; LYNN, B.; SCOTT, M. On the selection of Pairing- Friendly Groups. Disponível em < Acesso em: 04 mai [BON 01] BONEH, D.; FRANKLIN, M. Identity Based Encryption from the Weil Pairing. In: Lecture Notes in Computer Science, v.2139, p Springer- Verlag, Advances in Cryptology - CRYPTO' de 50

52 Referências [CHA 02] CHA, J. C.; CHEON, J. H. An Identity-based Signature from gap Die- Hellman groups. In: Lecture Notes in Computer Science, v.2567, p Springer-Verlag, [CHE 02] CHEN, L. et al. Certication of Public Keys within an Identity-Based System. In: Lecture Notes in Computer Science, v.2433, p Springer- Verlag, th International Security Conference - ISC [CHE 03] CHEN, X.; ZHANG, F.; KIM, K. A New ID-based Group Signature Scheme from Bilinear Pairings. Disponível em < Acesso em: 06 jun Cryptology eprint Archive, Report 2003/116. [GAL 01] GALBRAITH, S. Supersingular Curves in Cryptography. In: Lecture Notes in Computer Science, v.2248, p Springer-Verlag, ASIACRYPT de 50