Sakai–Kasahara-schema

Sakai –Kasahara-schemat , även känt som Sakai–Kasahara-nyckelkrypteringsalgoritmen ( SAKKE ), är ett identitetsbaserat krypteringssystem (IBE) som föreslagits av Ryuichi Sakai och Masao Kasahara 2003. Vid sidan av Boneh–Franklin-schemat är detta ett system. av ett litet antal kommersiellt implementerade identitetsbaserade krypteringsscheman. Det är en tillämpning av parningar över elliptiska kurvor och finita fält . Ett säkerhetsbevis för algoritmen producerades 2005 av Chen och Cheng. SAKKE beskrivs i Internet Engineering Task Force ( IETF ) RFC 6508.

Som en specifik metod för identitetsbaserad kryptering är det primära användningsfallet att tillåta vem som helst att kryptera ett meddelande till en användare när avsändaren bara känner till användarens offentliga identitet (t.ex. e-postadress). På detta sätt tar detta schema bort kravet på användare att dela offentliga certifikat i krypteringssyfte.

Beskrivning av schema

Sakai–Kasahara-schemat tillåter kryptering av ett meddelande $\mathbb {M}$ till en mottagare med en specifik identitet, $\textstyle I_{U}$ . Endast entiteten med den privata nyckeln, $\textstyle K_{U}$ , kopplad till identiteten, $\textstyle I_{U}$ , kommer att kunna dekryptera meddelandet.

Som en del av schemat måste både avsändaren och mottagaren lita på en Private Key Generator (PKG), även känd som en Key Management Server (KMS). Syftet med PKG är att skapa mottagarens privata nyckel, $\textstyle K_{U}$ , kopplad till mottagarens identitet, $\textstyle I_{U}$ . PKG måste säkert leverera den identitetsspecifika privata nyckeln till mottagaren och den PKG-specifika publika parametern $\textstyle Z$ till alla parter. Dessa distributionsprocesser betraktas inte som en del av definitionen av detta kryptografiska system.

Förberedelser

Schemat använder två multiplikativa grupper $\textstyle E$ och $\textstyle G$ . Det antas:

Diffie -Hellman-problemet är svårt i $\textstyle E$ . Det betyder att givet två medlemmar i gruppen $\textstyle P$ och $\textstyle Q$ , är det svårt att hitta $\textstyle x$ så att $\textstyle [x].P=Q$ .
Diffie -Hellman-problemet är svårt i $\textstyle G$ . Det betyder att givet två medlemmar i gruppen $g$ och $t$ är det svårt att hitta $\textstyle x$ så att $\textstyle g^{x }=t$ .
Det finns en bilinjär karta, en Tate-Lichtenbaum- parning , $\textstyle e(,)$ från E till G. Detta betyder att för $\textstyle P$ en medlem av $\textstyle E$ :

\textstyle e(P,[x].P)=e([x] .P,P)=e(P,P)^{x}

Ofta är $\textstyle E$ en supersingular elliptisk kurva , såsom $\textstyle E:y^{2}=x^{3}-3x$ ( över ett ändligt fält av primtal ordning $\textstyle p$ ). En generator $\textstyle P$ av prime ordningen $\textstyle q$ väljs i $\textstyle E$ . Gruppen $\textstyle G$ är bilden som beror på parningen av gruppen som genereras av $\textstyle P$ (i förlängningsfältet för grad 2 av det finita ordningsfältet p).

Två hash-funktioner krävs också, $\textstyle H_{1}$ och $\textstyle H_{2}$ . $\textstyle H_{1}$ matar ut ett positivt heltal, $\textstyle x$ , så att $\textstyle 1<x<q$ . $\textstyle H_{2}$ matar ut $\textstyle n$ bitar, där $\textstyle n$ är längden på meddelandet $\mathbb {M}$ .

Nyckelgenerering

PKG har en huvudhemlighet $\textstyle z$ där $1<z<q$ och en publik nyckel $\textstyle Z=[z].P$ som är en punkt på $\textstyle E$ . PKG genererar den privata nyckeln, $\textstyle K_{U}$ , för användaren med identitet $\textstyle ID_{U}$ enligt följande:

\textstyle K_{U}=[{\frac {1}{z+H_{1}(ID_{U})}}].P

Kryptering

För att kryptera ett icke-upprepande meddelande $\mathbb {M}$ , kräver avsändaren mottagarens identitet, $\textstyle ID_{U}$ och det offentliga PGK-värdet $\textstyle Z$ . Avsändaren utför följande operation.

Skapa: $\textstyle id=H_{1}(ID_{U})$
Avsändaren genererar $\textstyle r$ med $\textstyle r=H_{1}(\mathbb {M} ||id)$
Generera punkten $\textstyle R$ i $\textstyle E$ :
$\textstyle R=[r].([id].P+Z)$
Skapa det maskerade meddelandet:
$\textstyle S=\mathbb {M} \oplus H_{2}(g^{r})$
Den krypterade utgången är: $\textstyle (R,S)$

Observera att meddelanden kanske inte upprepas, eftersom ett upprepat meddelande till samma identitet resulterar i en upprepad chiffertext. Det finns en tillägg till protokollet om meddelanden skulle kunna upprepas.

Dekryptering

För att dekryptera ett meddelande krypterat till $\textstyle ID_{U}$ , kräver mottagaren den privata nyckeln, $\textstyle K_{U}$ från PKG och det publika värdet $\textstyle Z$ . Dekrypteringsproceduren är som följer:

Beräkna $\textstyle id=H_{1}(ID_{U})$
Ta emot det krypterade meddelandet: $\textstyle (R,S)$ .
Beräkna:
$\textstyle w=e(R,K_{U})$
Extrahera meddelandet:
$\textstyle \mathbb {M} =S\oplus H_{2}(w)$
För att verifiera meddelandet, beräkna ${\displaystyle \textstyle r=H_{1}(\mathbb {M} ||id)} ,$ och acceptera endast meddelandet om:
$\textstyle [r].([id].P+Z)\equiv R$

Demonstration av algoritmisk korrekthet

Följande ekvationer visar riktigheten av algoritmen:

\textstyle w=e(R,K_{U})=e([r].([id] .P+Z),K_{U})=e([r].([id].P+[z].P),K_{U})=e([r(id+z)].P, K_{U})

Med kartans bilinjära egenskap:

\textstyle w=e([r(id+z)].P,K_{U})=e([r( id+z)].P,[{\frac {1}{(id+z)}}].P)=e(P,P)^{\frac {r(id+z)}{(id+ z)}}=g^{r}

Som ett resultat:

\textstyle S\oplus H_{2}(w)=(\mathbb {M} \oplus H_{2}(g^{r}))\oplus H_{2}(w)=\mathbb {M}

Standardisering

Det finns fyra standarder för detta protokoll:

Initial standardisering av systemet påbörjades av IEEE 2006.
Schemat standardiserades av IETF 2012 inom RFC 6508.
En nyckelutbytesalgoritm baserad på schemat är MIKEY -SAKKE-protokollet utvecklat av Storbritanniens nationella underrättelse- och säkerhetsbyrå, GCHQ , och definierat i RFC 6509.
Sakai-Kasahara, som specificerats i MIKEY-SAKKE, är den centrala nyckelutbytesalgoritmen i den Secure Chorus-krypterade Voice over IP- standarden.

säkerhet

I likhet med andra identitetsbaserade krypteringsscheman kräver Sakai-Kasahara att Key Management Server (KMS) lagrar en huvudhemlighet från vilken alla användares privata nycklar kan genereras. Steven Murdoch har kritiserat MIKEY-SAKKE för att ha skapat en säkerhetsrisk genom att tillåta KMS att dekryptera alla användares kommunikation. Murdoch noterade också att avsaknaden av framåtriktad sekretess i MIKEY-SAKKE ökar skadan som kan bli följden av att huvudhemligheten äventyras. GCHQ, skaparen av MIKEY-SAKKE, bestred denna analys och påpekade att vissa organisationer kan anse sådan övervakningskapacitet vara önskvärd av utrednings- eller regulatoriska skäl, och att KMS bör skyddas av ett luftgap .

Kryptografiska bibliotek och implementeringar

Schemat är en del av MIRACLs kryptografiska bibliotek.

Se även

ID-baserad kryptering
wolfSSL : Ett SSL/TLS-bibliotek som har integration med MIKEY SAKKE