Удосконалений метод генерації та видачі ключів для комбінованих інфраструктур відкритих ключів Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 681.323 П. О. КРАВЧЕНКО

УДОСКОНАЛЕНИЙ МЕТОД ГЕНЕРАЦП ТА ВИДАЧ1 КЛЮЧ1В ДЛЯ КОМБ1НОВАНИХ 1НФРАСТРУКТУР В1ДКРИТИХ КЛЮЧ1В

Описуеться удосконалений метод генерацп таемного ключа для комбшовано1 шфрас-труктури вщкритих ключiв, який вiдрiзняеться паралельними запитами користувача до розподiленого уповноваженого на генеращю ключiв та формуванням особистого ключа користувачем, що дозволяе зб1льшити показники доступностi для розподiленого уповноваженого на генеращю ключiв.

Вступ

Одшею з альтертатив 1нфраструктур1 вщкритих ключ1в (1ВК) на 6аз1 Х.509 е 1ВК на 6аз1 щентифшатор1в та комбшоваш 1ВК, що поенують переваги обох шфраструктур. Однак одним з важливих проблемних питань, яке потребуе ршення, е низька криптоживучють тако! 1ВК. Це пояснюеться тим, що при компрометаци майстер-ключа 1ВК на щентифшаторах зловмисник може обчислити ус особист ключ1 користувач1в. Для виршення цього проблемного питання застосовують криптоживуч1 1ВК на щентифшаторах, що характеризуються розподшеним уповноваженим на генеращю ключ1в (УГК). Майстер-ключ розподшяеться м1ж декшькома серверами за деяким алгоритмом, що дозволяе вщновити його тшьки у раз1 учасп необхщно! кшькосп сервер1в. Архiтектура криптоживучо! комбшовано! 1ВК наведена на рис. 1.

Рис. 1. Архитектура криптоживучо! комбшовано! 1ВК

Для генераци особистого ключа користувача у криптоживучш комбшованш 1ВК застосовують методи генераци та видач1 ключ1в. Наведемо вимоги, яким повинш задовшьняти протоколи, що е реал1зац1ею таких метод1в:

- експоненцшна складнють атаки "груба сила" з1 сторони уповноваженого на генеращю ключ1в;

- неможливють обчислення особистого ключа меншою, шж порогова, кiлькiстю сервер1в;

- вiдсутнiсть автентифiкованого та конфщенцшного каналу зв'язку;

- забезпечення доступносп розподiленого уповноваженого на генерацiю ключiв.

Цшъ - розробка удосконаленого методу генерацп та B^4a4Í ключiв для комбшовано! 1ВК, який би задовольняв висунутим вимогам.

Об'ект досл1дження - процеси криптографiчних перетворень у 1ВК при реатазаци процесiв генерацп ключiв.

Предмет до^дження - метод генерацп та видачi особистих ключiв користувачiв для криптоживучо! комбшовано! 1ВК.

1. Iснуючi р1шення вiдносно генерацп та B^4a4Í ключiв

Розглянемо протоколи, що не потребують конфiденцiйного каналу зв'язку мiж користувачем та розподiленим уповноваженим на генеращю ключiв.

У роботi [1] Lee запропонував протокол, який дозволяв виробляти особистий ключ без необхщносп у конфщенцшному каналi звязку. Користувачу необидно рееструватися тiльки у одному з множини розподшених УГК. При подальших дослiдженнях Gangishetti [2] знайшов серйознi вразливостi такого протоколу, на основi яких були проведенi усшшш атаки. Також Chunxiang [3] показав, що центр генерацп може устшно провести атаку, яка дозволить йому отримати особистий ключ будь-якого користувача.

Протокол Kumar [4] використовуе щею, запропоновану Lee, але в ньому використана схема, що дозволяе генерувати особистий ключ користувача t серверам з n (t<n), але процесом генерацп керуе единий уповноважений на генеращю ключiв. Суттевим недолшом цього протоколу е те, що УГК може iмiтувати користувача при умовi компрометацп хоча б одного з серверiв генерацп [5].

Протокол Мелецького використовуе схожу на Lee схему (рис. 2), але стшкий до ушх вщомих атак. Недолшом такого протоколу е те, що у разi виведення з ладу хоча б одного сервера уся система перестане функщонувати.

Рис. 2. Схема методу генерацп kto4íb Lee, Мелецького

Вщзначимо, що даний недолш властивий ус1м наведеним протоколам, тому що особистий ключ користувача виробляе уповноважений на генеращю ключ1в, i його доступшсть критична для роботи системи.

2. Удосконалений метод генерацп та B^ía4Í ключiв

Вщзначимо, що основними вщмшностями удосконаленого методу е паралельш запити до уповноважених на генеращю ключiв та формування особистого ключа користувачем самостшно (рис. 3).

Рис. 3. Схема удосконаленого методу генерацп клктав Удосконалений метод генерацп ключ1в характеризуемся такими етапами. Етап 1. 1шщал1защя. Здшснюеться у такш послщовносп:

- налаштування та установка параметр1в сервер1в генерацп;

- налаштування забезпечення користувача та реестращя його в систему

- виконання протоколу та вироблення по необхщносп ключ1в. Налаштування та системна установка ус1х УГК виконуеться так:

Ус п УГК разом обирають просте число д, дв1 групи О! ,О2 порядку та бшншне вщображення Вейля або Тейта е : О1 х О! ^ О2 та генератор групи Р е О!. Дал1 обираються криптограф1чш геш-функцп Н1 : {0,1}* ^ О1 та Н2 : О2 ^ {0,1}' для деякого 1. Генеруеться майстер-ключ системи 8 < р, де р - просте число, порядок групи точок

п+1

ЕК. Будуеться многочлен ап-

х1-

-1

з п УГК.

+ ... + а1х;+8 —0. Згщно з1 схемою Лагранжа, обчислюються частки ключа для кожного сервера генерацп. Кожен сервер генерацп

п +1

обчислюе його вщкритий ключ Р; — 8;Р . Таким чином, будь-яю 2

Обчислюеться загальносистемний вщкритий ключ — 8Р . Номери к; кожного сервера запам' ятовуются.

Отже, публшуються або е доступними для ус1х користувач1в таю загальносистемш параметри: Рагаш8 — {О1,О2,е,Н1,Н2, Р, Р0, Р1,...Рп, к1, к2, кп, YN }.

Етап 2. Реестращя користувача. Користувач обирае вщкритий щентифшатор ГО, обчислюе вщповщний вщкритий ключ QID та виробляе довгостроковий секрет х. Дал1 користувач проходить реестращю на кожному сервер1 генерацп та надае йому шляхом, що забезпечуе цшснють, параметр xQ ш, хР; . Центр генерацп перев1ряе його правильнють за допомогою обчислення та перев1рки умов: e(xQID,Pi) — e(QID,xPi) та зберпае дат, отримаш вщ користувача у власнш баз1 даних. Як результат, користувачу видаеться доказ реестрацп

у вигляд! prfID — siH(ID || xQID). 50

Користувач перевiряе доказ реестрацп за допомогою рiвностi e(prfID,P) = е(И(1Б || xQID),Pi). При позитивному результата процедура реестрацп вважаеться устшною.

Етап 3. Паралельний запит часткових ключiв користувачем. Користувач здiйснюе

запит до кожного ЦГ, надсилаючи йому кортеж {то,Х-1р}.

Отримавши кортеж, ЦГ вибирае зi свое! БД xQ ID , яке вiдповiдае даному ГО, та перевiряе

справжнiсть отримано! шформацп: е(х-1P,xQID) = е(Р^ш). Якщо кортеж справжнiй, то

ЦГ множить значення xQ ш на свiй таемний ключ 8 i та надсилае повщомлення {ГО, 8 i xQ ID } користувачу.

Етап 4. Вироблення та перевiрка особистого ключа користувачем. Користувач, отримавши t > к вщповщей, обирае з них 6удь-якi к , множить кожне на x-1 та отримуе кортеж (s0QID ,s1QID ,8 NQID ). Користувач будуе систему рiвнянь:

ап- 1 п-1 -1ki .. + a1ki + а0 = siqID(modp)

ап- п-1 -1кп + а0 = sjqID (modp)

ап- п-1 -1к1 .. + a1kt + а0 = stqID (mod р)

(1)

де si,sj,st - осо6истi ключi серверiв генерацi!, до яких звертався користувач; а0 = 8 -

таемний ключ системи (що був розподшений серверами генерацп). Користувач будуе многочлен Лагранжа:

) = Е li (x )Уi(modp), i

, ч x x:

тут ^ (x) = П-(modp).

xi - ^

Користовач виконуе пiдстановку значень к замiсть Хi , розв'язуе систему (1) та

отримуе коефщент многочлена ап_^ш,...а^ш,а^ш . Коефiцiент a0QID = SQID буде таемним ключем користувача.

Користувач перевiряе справжнiсть отриманого особистого ключа SQID за допомогою

рiвностi e(SQID,P) = e(QID,PSyS). При позитивному результата перевiрки вiн приймае отриманий ключ як особистий.

3. Обчислення показникчв стiйкотi та доступностi

Стайюсть протоколу базуеться на iнтерполяцiйнiй формулi Лагранжа, а також залежить вщ довжини модуля перетворень Р i довжин Si -х часток секрету. Розглянемо можливi атаки на схему Шамiра. Основною задачею атак е визначення загального секрету S = а0 . Величину а0 можна визначити безпосередньо або через приватш секрети f (^ (1к ). Якщо а0 = S i формуеться довiреною стороною випадково, то складнють атаки типу "груба сила" за визначенням а0 можна оцшити через iмовiрнiсть Р0 !! здiйснення:

Р 11-1

Р0=-2 ~- = Р . (2)

Р - 2 Р

Складнють атаки "груба сила" за визначенням а0 через f(i1 (ik) СР(р) можна оцiнити як

( 1 ^

1 = (- - О^Р-к. (3)

Pf =

(Р - 1)к

Попередш пор1вняння (2) { (3) показують, що краща е атака за безпосередшм визначенням а0 . Складнють ц1е! атаки залежить тшьки вщ величини модуля р. Якщо р - вщкритий загальносистемний параметр, вщомий криптоанаштику, то складшсть атаки можна визначити також через безпечний час:

Тб — ^ (4)

б ^к ск, (4)

де I0 « р - число спроб пщбору значення а0 з 1мов1рнютю 1; £ - продуктивнють криптоа-налггично! системи; К —3,1 • 107 с/р1к - кшьюсть секунд у рощ. Доведемо твердження.

Твердження. Припустимо, що майстер-ключ 8 розподщений м1ж п об'ектами, з яких

п +1 .

мають змогу вщтворити ключ, тобто використовуеться порогова схема Лагранжа

(

2 _ п +1 2

,п). Приймемо, що ймов1рнють усшшно! атаки на вщмову в обслуговуванш на

об'ект дор1внюе р та що ус1 атаки на об'екти незалежш. Тод1 ймов1рнють Р ненадання

п +1 , • • •

об'ектами ощнюеться, вщповщно для базового та

послуги доступшсть

2

удосконаленого методу, сшввщношеннями Р = 1 - (1 - р)п та Р = ^ Сп • рк • (1 - р)

п-к

п+1

Доведення. Для випадку базового методу обчислимо ймов1рнють неусшшносп атаки Рнеусп. Очевидно, що Рнеусп = (1 - р) . Враховуючи, що атаки на ус1 п обекпв незалежш, отримаемо ймов1ршсть неусшшносп атаки на п обекпв як Рп неусп = (1 - р)п . Тод1 ймов1ршсть усшшно! атаки хоча б на один з п обекпв дор1внюе Р = 1 - (1 - р)п . Для удосконаленого методу використаемо формулу Бернулл1 та розрахуемо ймов1рнють виведення з ладу

п + 1 п +1

_ 2 _ , _ 2 _

+ 1,..п

сервер1в. Имов1рнють виведення з ладу

п +1

серверш дор1внюе

Р = С

неусп

п+1

• р

п+1

(п-И ... .

(1 - р) . Тод1 ймов1рнють ненадання послуги доступшсть буде

визначатися сшввщношенням Р = ^ Сп • рк • (1 - р)п к .

I п+1

Показники доступносп та конфщенцшносп для ймов1рносп Р = 0.1 устшно1 атаки на вщмову в обслуговуванш та ймов1рносп компрометацп Р = 0.0001 системи наведеш у таблищ За прототип в1зьмемо метод Мелецького.

к

2

2

к

2

Прототип Удосконалений метод

Кшьюсть сервер1в Имов1ршсть виходу з ладу Имов1ршсть компрометацп Кшьюсть сервер1в Имов1ршсть виходу з ладу Имов1ршсть компрометацп

2 0.19 1.00Е-008 2 0.19 1.00Е-008

3 0.27 1.00Е-012 3 0.028 1.00Е-008

4 0.34 1.00Е-016 4 0.0523 1.00Е-012

5 0.41 1.00Е-020 5 0.0085 1.00Е-012

На рис. 4 наведено графш залежносп ймовiрностi виходу з ладу системи вщ ймовiрностi успiшностi атаки на вщмову в обслуговуваннi для 5 серверiв вiдповiдно для базового (верхнш) та удосконаленого (нижнiй) методу.

0 0.05 0.10 0.15 0.20 0.25 0.30 0.35 0.40 0,45 0.50 0.55 0.60 0.65 0.70 0.75 0.S0 0.S5 0.90 0.95 1.00

1.0 о.э 0.8 Г Y 1.0 0.9 0.S

/

0.7 / / :.:■

/ /

0.6 / / 0.6

/ /

0.5 / / 0.5

/ /

0.4 / /

/ /

0.3 / / 0.3

/ /

0.2 / 0.2

/

0.1

/

0 0.05 0.10 0.15 0.20 3.25 0.30 0.35 0.40 ОАЪ 0.50 0.55 0.60 0.65 0.70 0.75 0.80 0.S5 0.90 0.95 1.00

Рис. 4. Схема удосконаленого методу генерацп клктав

Висновки

Наукова новизна представлена методом генерацп таемного ключа для комбшовано! шфраструктури вщкритих ключ1в, який вщр1зняеться паралельними запитами користувача до розподшеного уповноваженого на генеращю ключ1в та формуванням особистого ключа користувачем, що дозволяе збшьшити показники доступности для розподшеного уповноваженого на генеращю ключ1в.

Практична значущгсть полягае у можливосп побудови криптоживучо! комбшовано! 1ВК, що вщповщае вимогам наданню послуги доступшсть.

Зазначимо, що основними недолшами системи е збшьшення !! компонента для досягнення rie! ж ймов1рност1 компрометацп. Проте ршення про застосування тако! системи буде прийнято зпдно з вимогами, що пред'являються до не!.

Перелш лiтератури: 1. Lee B., Boyd C., Dawson E., Kim K., Yang J., Yoo S. Secure key issuing in ID-based cryptography, ACS Conferences in Research and Practice in Information Technology 32. 2004. Р. 69-74. 2. Gangishetti R., Choudary Gorantla M., Lal Das M., Saxena A. Cryptoanalysis of key issuing protocols in ID-based cryptosystems, IMSCCS, 2006. Р. 8-12. 3. ChunxiangX., Junhui Z., Zhiguang Q. A note on secure key issuing in ID-based cryptography. Technical report, 2005, http://eprint.iacr.org/2005/180.pdf. 4 p. 4. Kumar K.P., Shailaja G., Saxena A. Secure and efficient threshold key issuing protocol for ID-based cryptosystems. IACR Cryptology ePrint Archive, 2006, 10 p. 5. Горбенко I.Д. Удосконалений протокол вироблення ключiв з асиметричними криптографiчними перетвореннями зi спарюванням точок елш-тичних кривих на базi щентифшатс^в / 1.Д. Горбенко, П.О. Кравченко, О.П. Мелецький // Радиотехника. Харьков, 2006. Вып. 147. С.99-106.

Надшшла до редколегИ 27.08.2011 Кравченко Павло Олександрович, астрант каф. Б1Т ХНУРЕ. Науковi штереси: шфраст-руктури ввдкритих ключiв. Адреса: Укра!на, 61166, Харк1в, пр. Летна, 14, тел: 702-18-07, Email: kravchenkopo@gmail.com.