(Attenzione: matematica avanti, ma alla fine c'è un riassunto.)
IBE, come implementato da Voltage, utilizza un abbinamento . Gli accoppiamenti efficienti noti funzionano su curve ellittiche appositamente predisposte (i due accoppiamenti principali sono l'abbinamento Weil e l'abbinamento Tate, e in alcune situazioni esistono alcune varianti che offrono prestazioni migliori in alcune situazioni). Questi accoppiamenti furono scoperti dai matematici negli anni '50; L'applicazione degli abbinamenti alla crittografia è stata inizialmente suggerita da Miller negli anni '80.
Inizialmente, gli accoppiamenti erano pensati come modi per attaccare sistemi di curve ellittiche - riducendo il logaritmo discreto sulla curva ellittica al logaritmo discreto in un campo più "facile". Il parametro critico è il "grado di incorporamento", che noterò k . Per una normale curva ellittica n , il logaritmo discreto è difficile fino a 2 n / 2 , quindi una curva a 256 bit è sufficiente per lo standard "sicurezza a 128 bit". Per una data curva, può essere definito un accoppiamento, che può essere utilizzato per trasformare un problema di logaritmo discreto sulla curva in un problema di logaritmo discreto in un sottogruppo moltiplicativo di un campo di bit kn . Il parametro k dipende dalla curva utilizzata. Ad esempio, se si dispone di una curva a 256 bit con un grado di incorporamento k = 2 molto basso, il logaritmo discreto su tale curva non è più difficile del logaritmo discreto in un sottogruppo moltiplicativo di un campo a 512 bit, che è molto più semplice (un logaritmo discreto a 530 bit era eseguito nel 2007 ).
Fortunatamente, una curva "normale" avrà un grado di incorporamento molto alto; una tipica curva ellittica a 256 bit avrà un grado incorporato attorno a 2 255 , cioè molto maggiore di 2 o 3. La selezione di una curva ellittica secondo lo standard rilevante (ANSI X9.62-2005) comporta verificare che k non sia inferiore a 100, il che è invariabilmente vero con una probabilità schiacciante per una curva selezionata casualmente. Questo è chiamato "Condizione MOV".
Un accoppiamento efficiente richiede che kn non sia troppo grande, perché il risultato del paring è un valore kn -bit e vogliamo fare alcuni calcoli relativamente pesanti con tali valori (esponenziamenti modulari ...). Quindi, un accoppiamento per IBE (non per attacchi) richiede una curva "indebolita" con un grado di incorporamento molto basso. Lo schema descritto nell'articolo di Boneh-Franklin (2003) utilizza una curva ellittica a 512 bit con la speciale proprietà di essere "supersingolare", che implica (qui) un grado di inclusione k = 2 (quindi il la sicurezza risultante è quella del logaritmo discreto in un campo a 1024 bit, approssimativamente simile a RSA a 1024 bit).
Riepilogo: i dettagli matematici di cui sopra hanno lo scopo di mostrare dove si trova IBE:
- La prima implementazione pratica è descritta in un articolo del 2003.
- Questa implementazione funziona su curve ellittiche con una struttura speciale che inizialmente era considerata una debolezza.
- Uso di curve ellittiche per le date di crittografia degli anni '80. Le curve ellittiche sono considerate sicure perché nessuno può trovare alcuna struttura interna che possa essere sfruttata per accelerare il logaritmo discreto sulla curva ellittica - tranne gli accoppiamenti, che sono fortunatamente inapplicabili alle curve "normali". Ma per IBE, abbiamo bisogno di una curva "debole".
Quindi la sicurezza IBE, in pratica, si basa su un attento dosaggio della debolezza iniettata in una curva ellittica, ei dettagli sono stati definiti meno di dieci anni fa. Questo non è un sacco di tempo. In confronto, la ricerca sulla fattorizzazione dei numeri interi può vantare un esultanza di 2500 anni di storia (almeno), quindi quando affermiamo che la fattorizzazione deve essere un problema difficile, abbiamo alcuni fatti a sostegno di tale asserzione. Il tempo di ricerca accumulato è l'indicatore principale, e soprattutto l'unico, in base al quale è possibile stimare il rischio crittografico.
Quindi, IBE è un po 'giovane per i miei gusti per una distribuzione generale incontrollata. Eppure, puoi fare molto peggio che seguire i passi di Dan Boneh e ci sono buone probabilità che se (quando) sarai hackerato, non sarà dovuto a nessun problema matematico negli accoppiamenti. Inoltre, gli abbinamenti sono divertenti (per un matematico, cioè).
Una buona lettura degli accoppiamenti è la tesi di dottorato di Ben Lynn (tra l'altro il suo consulente era Boneh).