您当前的位置:   首页 > 新闻中心
基于身份的密码学
发布时间:2019-09-29 11:52:29   阅读次数:

基于身份的密码学(图1)

公钥基础结构(PKI)需要密钥分发,并且因其可用性问题而长期受到批评[13,14,15]。在一项用于分析Mailvelop可用性的实验[15]中,该现代PGP工具在Chrome网上应用店中的评分为4.4(满分5星),每10对参与者中有9对未能完成分配的交换加密电子邮件的任务,即90%失败率。只有一对参与者成功完成了任务,这仅是因为这对参与者中的一个参与者具有公钥密码学的先验知识。在所有这些研究中反复发生的最常见错误[13,14,15]是使用发件人的公钥加密消息。新手用户很难理解他需要其他用户的公共密钥。


1984年,Shamir提出了基于身份的密码学(IBC)的思想,其中用户的公钥可以是他的有意义的身份,例如姓名和电子邮件地址[1]。这种基于身份的设置摆脱了公钥管理,因此简化了PKI要求。Shamir在[1]中描述了第一个基于RSA的基于身份的签名(IBS)方案。从标准签名方案构造IBS的一种直接但自相矛盾的方法[2,3]是在签名人生成的签名中包括签名人的公钥和所有相应的证书。显然,这种通用方法是以增加签名大小为代价的。例如,标准SSL证书为2〜4 KB,证书链的典型深度为3〜4。这意味着将证书包含在签名中大约需要10KB的开销,而签名本身可能只是200字节左右。因此,简单的结构仅被视为衡量直接IBS结构效率的基准[3]。实际上,许多直接的IBS实例[5,6]可以节省签名大小,从而获得仅具有2〜3个组元素的恒定大小的签名。


事实证明,构造基于身份的加密(IBE)比IBS困难得多。Boneh和Franklin [7]在2001年使用椭圆曲线上的双线性对给出了第一个实用的IBE方案。Boneh-Franklin方案使用私钥生成器(PKG)使用PKG的主密钥和用户身份来计算每个用户的私钥。如下所示,Alice的身份字符串由她的电子邮件地址表示。PKG使用PKG的主密钥和Alice的电子邮件地址为Alice导出私钥。Bob可以使用Alice的电子邮件地址加密邮件,Alice可以使用她的私钥解密并获取消息。如果需要撤消Alice的私钥,还可以在Alice的身份字符串中包含其他信息,例如时间戳。

基于身份的密码学(图2)

基于身份的密码学


到目前为止,大多数IBC实例都依赖于受信任的PKG来计算和发布用户私钥。这是一个固有的“密钥托管”问题。由于IBC的密钥管理轻巧,内置密钥恢复功能和责任制,因此最适合在企业环境中部署。不建议将IBC用于针对单个用户的服务或应用程序。英国政府正在推广MIKEY-SAKKE协议[16],该协议实现了SAKAI和KASAHARA在2003年提出的基于身份的协议。该协议似乎已于2018年在英国紧急服务中部署[17,18]。


自2001年以来,已提议对正常IBE / IBS进行各种扩展:

  • 基于身份的签密方案。这种类型的方案(例如[8,9])以安全的方式结合了签名和加密,从而提供了有效的联合身份验证和加密。Bob使用Alice(Alice)的身份加密消息,并使用其私钥对消息签名。然后,Alice可以使用她的私钥执行解密,并使用Bob的身份验证签名。这种方法比IBS和IBE的黑盒组合更为有效。

  • 基于身份的广播加密(IBBE)。IBBE是IBE的自然概括,它使用户能够为任何用户组加密消息。对于组中的每个用户一次加密消息的简单方法将导致密文的大小与组的大小呈线性关系。文献[10]中提出的IBBE方案实现了恒定大小的密文和私钥。在最大接收器中,只有公共参数的大小是线性的。

  • 基于分层身份的加密/签名(HIBE / HIBS)。基于分层身份的加密使PKG可以将私钥生成的工作负载分配给较低级别的PKG,从而可以在本地进行用户身份验证和密钥传递。文献[6]中提出的分层方案实现了仅由三个组元素组成的恒定大小密文,以及仅具有两个组元素的恒定大小签名。我们将在下面进一步讨论基于分层身份的加密。

  • 可撤销的IBE。在IBE中撤销用户私钥的一种简单方法是在用户身份上添加时间戳,并定期更新其私钥[7]。这在PKG上产生了额外的开销,以生成和交付新的用户私钥。可撤销的IBE [12]提供了一种可伸缩的撤销方法。每个用户都有一个秘密密钥,一个密钥更新和一个解密密钥。对于每个时间段,PKG都会广播密钥更新,并且只有未撤销的用户才能使用该用户的秘密密钥和密钥更新来计算该时间段的解密密钥。密钥更新的计算仅是用户总数的对数。

  • 基于晶格的IBE。文献[19]给出了第一个基于晶格的IBE,提出了一种使用短陷门的短采样算法来生成短晶格矢量。该方案在NTRU格上的实现很实用[20,21]:加密/解密非常快。文献[19]的采样算法随后用于构造基于格点的HIBE [22,23]。


基于分层身份的加密

对于所有用户而言,只有一个PKG颁发私钥可能会很麻烦,尤其是对于可能在全球范围内传播的大型组织而言。这是因为私钥生成在计算上是昂贵的,并且用户的身份验证和密钥的交付需要PKG和相应用户之间的安全通道。基于分层身份的加密(HIBC)是IBC的概括,它反映了组织层次结构并减轻了大型国际公司或政府中的层次结构管理问题。HIBC使根PKG可以将密钥的生成和交付委托给较低级别的PKG:

基于身份的密码学(图3)

第i级PKG为第i + 1级PKG生成私钥,最低级别的PKG为用户创建并分配私钥。通过身份元组(ID 1,ID 2,…,ID i)来标识级别i实体,其身份在级别i + 1上的子级由元组(ID 1,ID 2,…,ID i,ID)标识(i + 1))。假设用户Alice在剑桥的Thales e-Security工作。Thales可以充当根PKG,并为Thales e-Security生成低级私钥。泰雷兹为剑桥办公室计算一个私钥,然后剑桥办公室可以为Alice发布私钥。例如,Alice的身份可以采用“ Thales e-Security /剑桥/Alice”的形式。要加密用于Alice的消息,Bob仅需要获取与根PKG和Alice的身份相关联的公共参数。低级PKG没有其他任何参数。Alice和Bob可以通过交换电子邮件地址,电话号码等类似的方式交换身份。


如[2]中所述,可以将基于分层身份的加密(HIBE)方案转换为基于分层身份的签名(HIBS)方案:签名者提取与身份元组(ID 1,ID 2,…,ID 1,M)作为签名,其中(ID 1,ID 2,…,ID 1)是签名者的身份元组,M是要签名的消息。验证者可以通过首先使用“公钥” (ID 1,ID 2,…,ID 1,M)对随机消息M'进行加密来检查签名的有效性。 然后使用签名(即“私钥”)将其解密。


摘要

在基于身份的密码学中,用户的“公共密钥”可以是可理解的公共字符串,例如名称和电子邮件地址,而不是传统PKI中使用的大型随机字符串。这种可理解的“公钥”的验证变得隐含,从而有效地摆脱了无法使用的公钥管理。与用户可以选择自己的私钥的PKI不同,IBC中的用户私钥通常是从用户的身份字符串和PKG的主密钥派生的。这使得IBC成为主要用于企业应用程序的安全解决方案,尤其是当公司和政府使用其他第三方提供的服务和应用程序进行员工交流,数据存储和计算资源时。


参考

  1. 答:沙米尔。基于身份的密码系统和签名方案,在“密码学进展— Crypto '84,计算机科学讲座笔记196(1984),Springer,47-53”中。

  2. Craig Gentry和Alice Silverberg。基于分层ID的加密。密码学进展– ASIACRYPT 2002,第548–566页。施普林格出版社,2002年

  3. Eike Kiltz,Gregory Neven:基于身份的签名。基于身份的密码学2009:31-44

  4. Dan Boneh,Ben Lynn和Hovav Shacham。Weil配对的简短签名。在Colin Boyd中,《密码学进展– ASIACRYPT 2001》第514–532页的编辑。

  5. Jae Cha Choon和Jung Hee Cheon。Gap Diffie-Hellman组的基于身份的签名。PKC 2003,第18-30页。

  6. Dan Boneh,Xavier Boyen和Eu-Jin Goh。具有恒定大小密文的基于分层身份的加密。2005年欧洲加密货币

  7. D. Boneh和M. Franklin,来自Weil Pairing公司的基于身份的加密。Crypto '01,第213-229页,2001年。

  8. X.博恩。多用途基于身份的签密:基于身份的密码学的瑞士军刀。加密2003。

  9. 约翰·马龙·李。基于身份的签密。密码学ePrint存档,报告2002/098。

  10. CécileDelerablée。具有恒定大小的密文和私钥的基于身份的广播加密。ASIACRYPT 2007。

  11. A.萨海和B.沃特斯。基于模糊身份的加密。在EUROCRYPT中,2005年。

  12. Boldyreva A,Goyal V,KumarV。基于身份的加密,具有有效的吊销功能。ACM CCS,2008年。

  13. A. Whitten,JD泰格(JD Tygar)。为什么强尼无法加密。USENIX安全研讨会,1999年。

  14. S.,S。Broderick,L。Koranda和J.Hyland。为什么Johnny仍然无法加密:评估电子邮件加密软件的可用性。USENIX汤(海报)2006年。

  15. Ruoti,S.,Andersen,J.,Zappala,D.和Seamons,K。为什么Johnny Still仍然无法加密:评估现代PGP客户端的可用性。2015年(CHI2016中包括研究)

  16. https://www.ncsc.gov.uk/whitepaper/using-mikey-sakke-building-secure-multimedia-services

  17. https://www.securechorus.org/documents/Emergency-Services-White-Paper.pdf

  18. 彼得·坎贝尔和迈克尔·格罗夫斯。实用的后量子分层基于身份的加密。https://www.qub.ac.uk/sites/CSIT/FileStore/Filetoupload,785752,en.pdf

  19. Craig Gentry,Chris Peikert和Vinod Vaikuntanathan。用于硬格和新密码构造的活板门。STOC '08

  20. Ducas,L.,Lyubashevsky,V.,Prest,T .: NTRU格上基于身份的高效加密,ASIACRYPT 2014

  21. 莎拉·麦卡锡(Sarah McCarthy),尼尔·史密斯(Neil Smyth)和伊丽莎白·奥沙利文(Elizabeth O'Sullivan)。NTRU格上基于身份的加密的实际实现。IMACC 2017

  22. Shweta Agrawal,Dan Boneh和Xavier Boyen。标准模型中的高效晶格(H)IBE。在过程中。Eurocrypt'10,2010年。

  23. Shweta Agrawal,Dan Boneh和Xavier Boyen。固定维和较短密文分级IBE的格基础授权。在CRYPTO中,2010年


揽阁信息所提供的身份认证解决方案和密钥保护解决方案,在进行融合之后,可满足您和贵司在身份识别上的一切业务需求与信息安全合规性满足。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609