A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Mar/2003 1 UNIVERSIDADE DE SÃO PAULO INSTITUTO DE MATEMÁTICA E ESTATÍSTICA DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO S E M I N Á R I O.

Apresentações semelhantes


Apresentação em tema: "Mar/2003 1 UNIVERSIDADE DE SÃO PAULO INSTITUTO DE MATEMÁTICA E ESTATÍSTICA DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO S E M I N Á R I O."— Transcrição da apresentação:

1 Mar/ UNIVERSIDADE DE SÃO PAULO INSTITUTO DE MATEMÁTICA E ESTATÍSTICA DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO S E M I N Á R I O

2 Mar/ Criptossistemas baseados em identidades pessoais Criptossistemas baseados em identidades pessoais (Apresentado por Waldyr Dias Benits Junior e Mehran Misaghi)

3 Mar/ SUMÁRIO Criptografia simétrica X assimétrica Principais tipos de ataques Criptossistemas baseados em identidade (Identity-based Cryptosystems) Vantagens e Desvantagens principais

4 Mar/ Existem homens de bom senso que, por serem incapazes de decifrar as coisas que são grego para eles, convencem-se de que a lógica e a filosofia estão acima deles. Pois bem, gostaria que vissem que, assim como a natureza os dotou de olhos com os quais podem enxergar as obras dela, também lhes concedeu cérebros para penetrar e compreendê- las. Galileu Galilei MOTIVAÇÃO

5 Mar/ Proposta Apresentar Sistemas de Criptografia e Assinatura baseados em identidade, mostrando suas principais aplicações, vantagens e desvantagens, de modo a permitir uma futura implementação destes sistemas, a fim de contribuir para uma infra- estrutura de chaves públicas mais flexível e menos vulnerável.

6 Mar/ I N T R O D U Ç Ã O

7 Mar/ Texto Aberto Chave Secreta Texto Aberto Texto Cifrado Algoritmo de Cifragem (ex: DES) Algoritmo de Decifragem (Inverso da cifragem) Criptografia Simétrica Canal Seguro

8 Mar/ Características Importantes Impossibilidade de se obter a chave privada, dados a chave pública e o algoritmo Alguns Algoritmos Permitem que as duas chaves possam ser usadas para cifrar e decifrar

9 Mar/ Anel de Chaves Públicas de Alice João Pedro Beto José Esquema de Criptografia Assimétrica Texto Aberto Texto Aberto Algoritmo de Cifragem (ex: RSA) Algoritmo de Decifragem Texto Cifrado Chave Privada de Beto

10 Mar/ Problemas a serem gerenciados Criptografia Simétrica Como distribuir e armazenar as chaves secretas de forma segura ? Quantas chaves são necessárias para uma comunicação segura entre n pessoas ? Criptografia Assimétrica Como garantir que o detentor da chave pública é realmente quem diz ser ? Necessidade de ter uma infra-estrutura para armazenar as chaves públicas

11 Mar/ Nº de chaves necessárias Criptografia Assimétrica 2n Criptografia Simétrica n(n-1)/2 nº de participantes

12 Mar/ CRIPTOSSISTEMAS BASEADOS EM IDENTIDADE

13 Mar/ Histórico Em 1984, Adi Shamir [10] propôs um novo esquema criptográfico que permitiria a qualquer par de usuários se comunicar seguramente e verificar assinaturas sem troca de chaves públicas ou privadas, sem manter um diretório de chaves e sem usar os serviços de uma terceira parte durante a comunicação.10

14 Mar/ Histórico O esquema proposto se baseava nos criptossistemas de chave pública, sendo que, em vez de gerar um par aleatório de chaves pública e privada e publicar uma destas chaves, o usuário usa como chave pública alguma informação que o identifique de forma única (por ex. CPF, endereço ) de modo que ele não possa negar mais tarde esta informação.

15 Mar/ Histórico A chave privada correspondente é então gerada por um centro gerador de chaves (PKG) e transmitida para o usuário de forma segura. Neste tipo de esquema, não existe a necessidade de autenticar a chave pública de um usuário, já que esta é a própria identificação do usuário (ou uma função Hash da identificação, como veremos adiante).

16 Mar/ Notações utilizadas G 1, G 2 : grupos de ordem prima q, onde o problema do logaritmo discreto (PLD) é assumidamente difícil e para os quais existe um mapeamento bilinear computávelPLDbilinear t : G 1 X G 1 G 2,, onde t representa o Tate pairing Se escrevermos G 1 em notação aditva e G 2 em notação multiplicativa, podemos, na prática, considerar : G 1 : grupo de pontos de uma curva elíptica G 2 : subgrupo de um grupo multiplicativo de um campo finito

17 Mar/ Funções de Hash Serão utilizadas as seguintes funções de Hash no decorrer desta exposição: H 1 : {0,1} * G 1 ; H 2 : {0,1} * F q ; H 3 : G 2 {0,1} *.

18 Mar/ Chaves utilizadas (Standard) Par de chaves pública/privada padrão (R,s): Sejam R G 1, s F q e P um ponto fixo pertencente a G 1 e de conhecimento público. Temos que: R = sP

19 Mar/ Chaves utilizadas (ID-Based) Par de chaves baseadas em identidade (Q ID,S ID ): Onde Q ID e S ID G 1 e existe uma Autoridade de Confiança (Trust Authority – TA) com um par de chaves padrão (R TA, s) de modo que valem as seguintes relações: e Onde ID é o string identificador (por exemplo: S ID = sQ ID Q ID = H 1 (ID) Hash

20 Mar/ Short Signatures Short Signatures [2]2 Seja s chave privada padrão de Beto. Uma mensagem m pode ser assinada por Beto da seguinte forma: V = sH 1 (m) Verificação a assinatura V é válida se a seguinte equação for verdadeira: t(P,V) = t(R, H 1 (m)) Dem. Assinatura Calcula:

21 Mar/ Criptografia baseada em identidade (IBE) Sejam : (Q Beto, S Beto ):par de chaves pública/ privada baseadas em identidade; R TA :chave pública padrão de uma autoridade de confiança; e m:mensagem a ser transmitida de Alice para Beto OBS. O esquema apresentado a seguir [1] é ID-OWE. Para um esquema ID-CCA é necessária a aplicação da Transformação de Fujisaki-Okamoto [6]1ID-OWE6

22 Mar/ Criptografia baseada em identidade (IBE) Criptografia Alice calcula: r : elemento aleatório de F q O texto cifrado é (U,V) U = rP V = m H 3 (t (R TA, rQ Beto )) Decriptografia Beto calcula: m = V H 3 (t(U, S Beto )) Dem. Hash

23 Mar/ Assinaturas baseadas em identidade [5] Assinatura Beto calcula Em seguida, calcula E, finalmente: A assinatura de m é (U,h) r = t(P,P) k h = H 2 (m || r) U = hS Beto + kP onde k é um elemento aleatório de F q Hash

24 Mar/ Assinaturas baseadas em identidade Verificação Se Alice deseja verificar se a assinatura é realmente de Beto, o faz da seguinte forma: Calcula E aceita a assinatura como válida se e somente se h = H 2 (m || r) r = t(U,P). t(Q Beto, -R TA ) h Dem.

25 Mar/ Sigilo e Autenticidade Assim como na criptografia assimétrica padrão, podemos garantir o sigilo e a autenticidade de uma mensagem em um esquema baseado em identidade se associarmos assinatura com criptografia. Desta forma, se Alice quiser enviar uma mensagem sigilosa para Beto de forma que somente ele conseguirá decifrar, e onde Beto terá a certeza de que a mensagem foi enviada por Alice, faz da seguinte forma:

26 Mar/ Sigilo e Autenticidade Assina m (Short signature) Criptografa m (IBE) m m V = sH 1 (m) (U,W) AliceBeto Beto, recebendo (U,W), decriptografa e recupera m; em seguida, usa m para verificar a assinatura e autenticar Alice.decriptografaverificar

27 Mar/ Vantagens e Desvantagens sistema ID-based VANTAGENS Não é necessário um diretório de chaves públicas; Alice pode enviar mensagens cifradas para Beto mesmo se ele ainda não obteve seu par de chaves do Gerador de Chaves Privadas (PKG); Não é necessário Alice obter o certificado da chave pública de Beto;

28 Mar/ Vantagens e Desvantagens sistema ID-based DESVANTAGENS O PKG tem conhecimento da chave privada de Beto - (key escrow); Dificuldade de implementação do Tate pairing (Curvas Elípticas).

29 Mar/ Múltiplos PKG A desvantagem de o PKG conhecer a chave privada de seus clientes pode ser resolvida utilizando-se múltiplos PKG, da seguinte forma: Cada TA gera sua própria chave privada (padrão) s i independente das demais e publica R TAi = s i P. A chave pública mestre das TA será R TA = i R TAi Um usuário Beto obtém sua chave privada ID-based de cada TA : S (i) Beto = s i Q Beto e calcula sua chave privada S Beto = i S (i) Beto OBS. Este somatório é possível já que S Beto e R TA são pontos de uma curva elíptica

30 Mar/ C O N C L U S Ã O

31 Mar/ Seminários futuros Aplicações de criptossistemas ID-based Estrutura PKI e sua vulnerabilidade Signcryption scheme Hierarquia de sistemas ID-based Criptografia em Curvas Elípticas

32 Mar/ P E R G U N T A S FIM

33 Mar/ A P Ê N D I C E S

34 Mar/ Problema do logaritmo discreto (PLD) Dados a, p e x, é fácil calcular y = a x mod p; Porém, dados a, p e y, é difícil calcular x. Em Curvas Elípticas (PLD-CE) Dados s e P, é fácil calcular R = sP Porém, dados R e P, é difícil calcular s.

35 Mar/ Soma de pontos de uma C.E. (método algébrico) Sejam P=(x 1,y 1 ) e Q=(x 2,y 2 ) dois pontos sobre a curva elíptica E; se x 2 =x 1 e y 2 = - y 1, então P+Q = O, senão: x 3 = 2 - x 1 - x 2 y 3 = (x 1 - x 3 ) - y 1 P+Q=(x 3,y 3 ), onde: Finalmente, defina P+O = O+P = P, P E.

36 Mar/ P Q -R R=P+Q Soma de pontos de uma C.E. (método gráfico, com n os reais) Ex. Gráfico de y 2 = x 3 - 7x + 5:

37 Mar/ Bilinearidade Se uma função tem a propriedade de ser bilinear, podemos mover livremente expoentes e multiplicadores, ou seja: t (aP, bQ) c = t (bP, cQ) a = t (bP, aQ) c = t (cP, aQ) b = t (cP, bQ) a = t (abP, Q) c = t (abP, cQ) = t (P, abQ) c = t (cP, abQ) =... = t (abcP, Q) = t (P, abcQ) = t (P, Q) abc

38 Mar/ Criptanálise – Tipos de Ataques [11] Ataque por só texto ilegível – O criptanalista Carlos tenta adquirir conhecimento útil à quebra, analisando apenas um ou mais ilegíveis y. Se este tipo de ataque for computacionalmente viável, o algoritmo em questão é considerado totalmente inseguro e inútil; Ataque por texto legível conhecido – O criptanalista Carlos possui e analisa pares (x,y) de legível e ilegível correspondentes. Neste e nos tipos de ataque a seguir, o criptanalista tem acesso ao algoritmo (sem conhecer a chave K) e não é necessariamente um mal-intencionado ou intruso: pode ser um especialista que objetiva descobrir se o algoritmo é vulnerável a este tipo de ataque, sendo que o algoritmo fora projetado por outra pessoa, eventualmente;

39 Mar/ Criptanálise – Tipos de Ataques Ataque por texto legível escolhido – Além do suposto no tipo anterior, o criptanalista Carlos pode escolher os legíveis x e obter os y correspondentes. Ele vai escolher um x que apresente alguma característica estrutural que aumente o seu conhecimento do algoritmo e da chave em uso. Com o conhecimento adquirido, ele pode deduzir o legível correspondente a um ilegível novo; Ataque adaptativo por texto legível escolhido – Além do suposto no tipo anterior, a escolha de um novo x pelo criptanalista Carlos pode depender dos ilegíveis y analisados anteriormente. Desta forma, a escolha de um novo x é condicionada ao conhecimento já adquirido pela análise dos y anteriores;

40 Mar/ Criptanálise – Tipos de Ataques Ataque por texto ilegível escolhido – o criptanalista Carlos escolhe inicialmente o ilegível y e então obtém o legível x correspondente. Supõe-se que Carlos tenha acesso apenas ao algoritmo de decriptografia (sem ter acesso à chave) e o seu objetivo é, mais tarde, sem ter mais acesso à decriptografia, ser capaz de deduzir x correspondente a um y novo; Ataque adaptativo por texto ilegível escolhido – Além do suposto no tipo anterior, a escolha de um novo y pelo criptanalista Carlos pode depender dos ilegíveis y analisados anteriormente. Desta forma, a escolha de um novo y é condicionada ao conhecimento já adquirido pela análise dos y anteriores.

41 Mar/ ID-OWE X ID-CCA Dizemos que um esquema é ID-OWE (One Way Encyption) se um adversário não pode recuperar um texto claro aleatório na sua totalidade se tiver acesso apenas à criptografia deste texto. Dizemos que um esquema é ID-CCA (Chosen Ciphertext Adaptive) se um adversário não consegue recuperar um texto claro, dado que pode obter de um oráculo público a decriptografia de textos de sua escolha (exceto, obviamente, o texto que pretende decriptografar). Este nível é o mais seguro comparado com o ID-OWE.

42 Mar/ Short Signatures Dem. t(P,V) = t(P, sH 1 (m)), pois V = sH 1 (m) = t(P, H 1 (m)) s, por bilinearidade = t(sP, H 1 (m)), por bilinearidade = t(R, H 1 (m)), pois R = sP Logo, se V = sH 1 (m), então t(P,V) = t(R, H 1 (m)). (c.q.d.)

43 Mar/ Criptografia baseada em identidade (IBE) Dem. V H 3 (t(U, S Beto )) = V H 3 (t(rP, S Beto ), pois U = rP = V H 3 (t(rP, sQ Beto ), pois S beto = sQ Beto = V H 3 (t(P, Q Beto ) rs, por bilinearidade = V H 3 (t(sP, rQ Beto ), por bilinearidade = V H 3 (t(R TA, rQ Beto ), pois R TA = sP = m, pois V = m H 3 (t(R TA, rQ Beto ) Logo, V H 3 (t(U, S Beto )) = m (c.q.d.)

44 Mar/ Assinaturas baseadas em identidade Dem. t(U,P). t(Q Beto, -R TA ) h = t(hS Beto + kP,P). t(Q Beto, -R TA ) h = t(hS Beto + kP,P). t(Q Beto, -sP) h = t(hS Beto + kP,P). t(Q Beto, -P) sh = t(hS Beto + kP,P). t(sQ Beto, P) -h = t(hS Beto + kP,P). t(S beto, P) -h = t(hS Beto + kP,P). t(-hS beto, P) = t(hS Beto – hS beto + kP, P) = t(kP, P) = t(P,P) k = r ( c.q.d.)

45 Mar/ Verificação Dem. t(C 2, R ime ) = t(rQ ime, R ime ) = t(Q ime, rR ime ) = t(Q ime, C 3 ) c.q.d. t(P, C 1 )= t(P, rs 2 Q ime ) = t(s 2 P, rQ ime ) = t(R usp, C 2 ) c.q.d.

46 Mar/ Referências D. Boneh and M.Franklin. Identity Based Encryption from the Weil Pairing D. Boneth, B. Lynn and H. Shacham. Short Signature from the Weil Pairing J.C. Cha and J.H. Cheon. An Identity-based Signature from gap Diffie-Hellman C. Cocks. An Identity Based Encryption Scheme Based on Quadratic Residues C. Ellison and B. Frantz. SPKI Certificate Theory E. Fujisaki and T. Okamoto. Secure Integration of Asymmetric and Symmetric Encryption Schemes F. Hess. Efficient Identity Based Signature Schemes Based on Pairings J. Horowitz and B. Lynn. Hierarchical Identity-Based Encryption K. Paterson. ID-Based Signatures from Pairings on Elliptic Curves A. Shamir. Identity Based Cryptosystems and Signature Schemes R. Terada. Segurança de Dados – Criptografia em Redes de Computador W.Stallings Cryptography and Network Security, 3 rd ed. 2002

47 Mar/ F I M


Carregar ppt "Mar/2003 1 UNIVERSIDADE DE SÃO PAULO INSTITUTO DE MATEMÁTICA E ESTATÍSTICA DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO S E M I N Á R I O."

Apresentações semelhantes


Anúncios Google