Modelos de Criptografia de Chave Pública Alternativosdhgoya/alternativas_a_PKI.pdf · A chave...

IntroducaoModelos alternativos

Conclusao

Modelos de Criptografia de Chave PublicaAlternativos

Denise Goya Vilc Rufino

Poli – USP

Seguranca em Redes de ComputadoresPCS-5734 – Prof. Paulo Barreto

Agosto/2008

Goya, Rufino Modelos de Criptografia de Chave Publica Alternativos


Conclusao

Sumario

1 IntroducaoModelo com ICP e motivacoesExemplo de ICPNıvel de confianca

2 Modelos alternativosBaseado em identidade (ID-based)Auto-certificado (Self-certified)Sem certificado (Certificateless)Baseado em certificado (Certificate-based)

3 ConclusaoConsideracoes finaisReferencias



Conclusao

Modelo com ICP e motivacoesExemplo de ICPNıvel de confianca

Modelo com ICP e motivacoes

Criptografia de chave publica:

Requer formas de legitimacao das chaves publicas;Solucao comum e uso de uma infra-estrutura de chavespublicas (ICP ou PKI – Public Key Infrastructure).

Algumas dificuldades com ICP:

processos complexos de implantacao e manutencao dainfra-estrutura;custos de emissao e distribuicao de certificados;custos para recuperar e validar certificados;dificuldades com revogacao de certificados.



Conclusao


Gerar chaves no modelo com ICP



Conclusao


Cifrar no modelo com ICP



Conclusao


Assinar no modelo com ICP



Conclusao


Nıvel de confianca

Nıveis de confianca, de [Girault 91]:

Nıvel 1. autoridade conhece (ou calcula facilmente)chaves secretas dos usuarios; pode personificarqualquer entidade sem ser detectada;

Nıvel 2. autoridade desconhece (ou dificilmente calcula)chaves secretas dos usuarios; pode personificarqualquer entidade, gerando falsas chavespublicas, sem ser detectada;

Nıvel 3. autoridade desconhece (ou dificilmente calcula)chaves secretas dos usuarios; pode personificarqualquer entidade, porem e detectada;

Modelo convencional com ICP: Nıvel 3.



Conclusao

Baseado em identidade (ID-based)Auto-certificado (Self-certified)Sem certificado (Certificateless)Baseado em certificado (Certificate-based)

Modelos alternativos

Existem modelos de criptografia de chave publica quedispensam a necessidade de ICP:

Modelo baseado em identidade;Modelo auto-certificado;Modelo sem certificado;

E outros que simplificam a infra-estrutura necessaria:

Modelo baseado em certificado;



Conclusao


Modelo baseado em identidade

Modelo criptografico baseado na identidade do usuario;

Dispensa a ICP, pois a chave publica e a propria identidade dousuario (nome, endereco de email, CPF, no celular, ID dedispositivos eletronicos).



Conclusao


Historico

Conceito proposto por [Shamir 84];

Modelo de [Shamir 84] era baseado na dificuldade defatoracao de grandes numeros;

Ate 2001 as solucoes nao eram totalmente satisfatoria;

[Boneh, Franklin 01] apresentam em evento internacional ummodelo satisfatorio baseado no emparelhamento bilinear sobrecurvas elıpticas;

Desde entao: mais pesquisas em ID-based, e implementacoescomerciais;

[Boneh et al. 07] retornam com implementacao sem o uso deemparelhamento bilinear com modelo similar ao de [Cocks 01].



Conclusao


Como funciona

A chave publica e predeterminada, pois e a identidade dousuario.

O modelo requer uma autoridade confiavel, unica e detentorada chave-mestra secreta: Gerador de chaves particulares (PKG– Private Key Generator)

PKG usa a chave-mestra secreta para calcular a chave privadada respectiva identidade;

Entrega a chave privada de forma segura.



Conclusao


Criar chaves no modelo baseado em identidade



Conclusao


Cifrar no modelo baseado em identidades

Para cifrar: Usa-se a identidade do destinatario e a chavepublica do PKG.

Para decifrar: Usa-se a chave privada do destinatario.



Conclusao


Cifrar no modelo baseado em identidades



Conclusao


Assinar no modelo baseado em identidades

Para assinar: Usa-se a chave privada do remetente.

Para verificar a assinatura: Usa-se a identidade do remetentee a chave publica do PKG.



Conclusao


Assinar no modelo baseado em identidades



Conclusao


Propriedades

Custodia de chaves (key escrow):

PKG conhece a chave secreta de todos os usuarios;Irretratabilidade (inviavel);Criticidade da chave-mestra;

Nıvel de confianca: Nıvel 1.

Revogacao de chaves publicas:

Exemplo:ID comprometido = JoaoSilva-deJan08aDez08;ID novo = JoaoSilva-deAgo08aDez08;



Conclusao


Propriedades

Fluxo criptografico (sequencia de operacoes criptograficas):

E possıvel cifrar para um usuario antes que sua chave secretatenha sido gerada.

Uso:

Ideal para uso em grupos fechados [Shamir 84];Servicos com disponibilidade temporal [Misaghi 08];Envio de mensagens seguras baseado em papeis [Misaghi 08];Redes tolerantes a interrupcao e atraso [Misaghi 08];Alternativa para SSL/TLS [Crampton et al. 07].



Conclusao


Criptografia de chave publica auto-certificada

Dispensa a necessidade de ICP, pois a chave publica eauto-certificada, isto e depende:

da identidade do usuario;do segredo da autoridade;do segredo do usuario;

Uma chave publica falsa impede a correta inversao daoperacao criptografica (certificacao implıcita).



Conclusao


Historico

Conceito proposto por [Girault 91];

Assinatura de [Girault 91] continha uma falha, corrigida por[Saeednia 03]:

o primeiro foi rebaixado ao nıvel 1 de confianca;o segundo alcanca nıvel 3, porem com custo computacionalalto;

Trabalhos subsequentes sao variantes do original:

[Lee, Kim 02]: assinatura auto-certificada (SCS);[Tzong, Han 08]: cifra autenticada conversıvel (CAE);



Conclusao


Como funciona

Protocolo de geracao do par de chaves envolve comunicacaoentre usuario e autoridade, cada qual camufla seu segredo eentrega ao outro;

Dependendo do protocolo, a chave publica e gerada pelousuario ou pela autoridade;

Em todos os casos, so o usuario conhece sua chave secreta(sem custodia de chaves).



Conclusao


Criar chaves no modelo auto-certificado



Conclusao


Modelo de criptografia de chave publica sem certificados

Conceito proposto por [Al-Riyami, Paterson 03];

Combinacao de ideias dos modelos auto-certificado e baseadoem identidade;

Resultado obtido: modelo intermediario entre baseado emidentidade e convencional:

usa a identidade como parte da chave publica;dispensa necessidade de certificados digitais (certificacaoimplıcita);elimina custodia de chaves (inerente ao baseado emidentidade);



Conclusao


Como funciona

Modelo requer uma autoridade confiavel para gerar as chavessecretas parciais: Centro gerador de chaves (KGC – KeyGenerating Centre)

KGC usa a chave-mestra secreta e identidade do usario paracalcular a chave secreta parcial da respectiva identidade;

Usuario usa duas chaves secretas parciais (KGC e propria) egera a chave secreta completa.

Usuario usa a propria chave secreta parcial e gera chavepublica.



Conclusao


Gerar chaves no modelo sem certificado



Conclusao


Cifrar e assinar no modelo sem certificado

Para cifrar uma mensagem para A ou para verificar umaassinatura de A, entidade B usa:

a chave publica de A;mais a identidade de A.

Para decifrar uma mensagem para A ou para criar umaassinatura de A, e necessario:

chave secreta completa de A;mais a identidade de A.



Conclusao


Cifrar no modelo sem certificado



Conclusao


Assinar no modelo sem certificado



Conclusao


Propriedades

Nıvel de confianca: Nıvel 2.

KGC nao e detectado se substituir chaves publicas;Se incluir a chave publica no calculo da chave parcial:

garante irretratabilidade;aumenta nıvel de confianca (ainda nao atinge nıvel 3);tentativa de personificacao e detectada;porem nao ha como provar quem fraudou.



Conclusao


Propriedades

Menor grau de criticidade da chave-mestra:

corrompimento da chave-mestra do KGC compromete apenasas chaves parciais;

Chave publica pode ser criada antes que KGC gere a chavesecreta parcial (aplicacoes de fluxo criptografico);

Ideal para uso em grupos fechados.



Conclusao


Modelo de criptografia de chave publica baseado emcertificado

Conceito proposto por [Gentry 03];

Vantagens:

Minimiza o trafego de distribuicao de certificados;Elimina trafego de validacao dos certificados.



Conclusao


Como funciona

O usuario cria seu par de chaves;

AC gera um certificado para o usuario e perıodo i ;

Para cifrar:

nao e necessario certificado;e preciso chave publica, identidade e perıodo i .

Para decifrar:

e preciso chave secreta e certificado para o perıodo i .



Conclusao


Gerar chaves no modelo baseado em certificado



Conclusao


Cifrar no modelo baseado em certificado



Conclusao


Propriedades

Continua requerendo ICP, porem com trafego menor:

somente o proprio usuario obtem seu certificado;nao e necessario transmitir informacoes de estado docertificado;

Nıvel de confianca: Nıvel 3;

Construcoes genericas CB=⇒CL ou CL=⇒CB em aberto;

Existem outros modelos que simplificam ICP.



Conclusao

Consideracoes finaisReferencias

Atributos em criptografia de chave publica: (Id , s, P , G )

Modelo com ICP: (s,P,G = Σac (Id ,P)

)Baseado em identidade:

(Id = P,G = s)

Auto-certificado:

(s,P(s,ac,Id),G = P)

Sem certificado: (Id , s(x ,Σac (Id)),P,G = s

)Baseado em certificado:(

Id , s(x ,C),P,G = C = Σac (Id , i))



Conclusao


Comparacao dos modelos

ModelosProprieadades Com Baseado em Auto Sem Baseado emdos modelos ICP Identidade Certificado Certificado Certificado

Dispensa ICP nao sim sim sim naoDispensa distribuicao de certificados nao sim sim sim naoRequer diretorio de chaves publicas sim nao sim sim simNıvel de confianca 3 1 3(*) 2 3Custodia de Chaves nao sim nao nao naoIrretratabilidade sim nao sim(*) sim(**) sim(***)Criticidade da chave-mestra alto alto medio medio medioRequer canal seguro para nao sim sim(*) sim naodistribuicao de chavesRenovacao de chaves nao nao sim(*) sim naoControlada pelo usuarioFluxo criptografico nao sim nao sim nao(*) Depende do protocolo(**) Se garantir que KGC nao substitui chaves publicas(***) Se garantir que quem substitui chaves publicas nao obtem certificados



Conclusao


Consideracoes

Cuidados na implementacao de cada modelo:

analisar modelo de seguranca de cada protocolo;propriedades de cada modelo/protocolo dependem de detalhes;a tabela comparativa anterior tem muitas nuances escondidas.



Conclusao


Perguntas?



Conclusao


Referencias (1/4)

S. Al-Riyami, K. PatersonCertificateless Public Key Cryptography.Asiacrypt’03, LNCS 2894, Springer-Verlag, 2003. Versaocompleta em http://eprint.iacr.org/2003/126.

D. Boneh, M. FranklinIdentity Based Encryption from Weil Pairing.Crypto’2001, LNCS, Springer-Verlag, 2001, v.2139, p.213-229.

D. Boneh, C. Gentry, M. HamburgSpace-Efficient Identity Based Encryption Without Pairings.Cryptology ePrint Archive, 2007. Disponıvel emhttp://eprint.iacr.org/2007/177.



Conclusao


Referencias (2/4)

C. CocksAn identity based encryption scheme based on quadraticresidues.In Proceedings of the 8th IMA International Conference onCryptography and Coding, 2001.

J. Crampton, H. Lim, K. PatersonWhat Can Identity-Based Cryptography Offer to WebServices?.In Proceedings of SWS’07, ACM, 2007.

C. GentryCertificate-Based Encryption and the Certificate RevocationProblem.Cryptology ePrint Archive, 2003. Disponıvel emhttp://eprint.iacr.org/2003/183.



Conclusao


Referencias (3/4)

M.GiraultSelf-Certified Public Keys.EuroCrypt91, LCNS v.547, 490-497, Springer, 1991.

B. Lee, K. KimSelf-Certified Signatures.Indocrypt’02, LNCS v.2551, 199-214, Springer, 2002.

M. MisaghiUm Ambiente Criptografico Baseado na Identidade.Tese (Doutorado), Poli-USP, 2008.



Conclusao


Referencias (4/4)

S. SaeedniaA note on Girault’s Self-certified Model.Information Processing Letters, v.86, n.6, 323–327, Elsevier,2003.

A. ShamirIdentity-Based Cryptosystems and Signature Schemes.Crypto’84, LNCS 196/1985, Springer-Berlin, 1984.

Tzong-Sun Wu, Han-Yu LinECC Based Convertible Authenticated Encryption SchemeUsing Self-Certified Public Key Systems.International Journal of Algebra, v. 2, n. 3, 109-117, 2008.


Modelos de Criptografia de Chave Pública Alternativosdhgoya/alternativas_a_PKI.pdf · A chave...

Documents

Transcript of Modelos de Criptografia de Chave Pública Alternativosdhgoya/alternativas_a_PKI.pdf · A chave...