Crittografia basata sull'identità: quanto è sicuro?

(Attenzione: matematica avanti, ma alla fine c'è un riassunto.)

IBE, come implementato da Voltage, utilizza un abbinamento . Gli accoppiamenti efficienti noti funzionano su curve ellittiche appositamente predisposte (i due accoppiamenti principali sono l'abbinamento Weil e l'abbinamento Tate, e in alcune situazioni esistono alcune varianti che offrono prestazioni migliori in alcune situazioni). Questi accoppiamenti furono scoperti dai matematici negli anni '50; L'applicazione degli abbinamenti alla crittografia è stata inizialmente suggerita da Miller negli anni '80.

Inizialmente, gli accoppiamenti erano pensati come modi per attaccare sistemi di curve ellittiche - riducendo il logaritmo discreto sulla curva ellittica al logaritmo discreto in un campo più "facile". Il parametro critico è il "grado di incorporamento", che noterò k . Per una normale curva ellittica n , il logaritmo discreto è difficile fino a 2 ^{n / 2} , quindi una curva a 256 bit è sufficiente per lo standard "sicurezza a 128 bit". Per una data curva, può essere definito un accoppiamento, che può essere utilizzato per trasformare un problema di logaritmo discreto sulla curva in un problema di logaritmo discreto in un sottogruppo moltiplicativo di un campo di bit kn . Il parametro k dipende dalla curva utilizzata. Ad esempio, se si dispone di una curva a 256 bit con un grado di incorporamento k = 2 molto basso, il logaritmo discreto su tale curva non è più difficile del logaritmo discreto in un sottogruppo moltiplicativo di un campo a 512 bit, che è molto più semplice (un logaritmo discreto a 530 bit era eseguito nel 2007 ).

Fortunatamente, una curva "normale" avrà un grado di incorporamento molto alto; una tipica curva ellittica a 256 bit avrà un grado incorporato attorno a 2 ²⁵⁵ , cioè molto maggiore di 2 o 3. La selezione di una curva ellittica secondo lo standard rilevante (ANSI X9.62-2005) comporta verificare che k non sia inferiore a 100, il che è invariabilmente vero con una probabilità schiacciante per una curva selezionata casualmente. Questo è chiamato "Condizione MOV".

Un accoppiamento efficiente richiede che kn non sia troppo grande, perché il risultato del paring è un valore kn -bit e vogliamo fare alcuni calcoli relativamente pesanti con tali valori (esponenziamenti modulari ...). Quindi, un accoppiamento per IBE (non per attacchi) richiede una curva "indebolita" con un grado di incorporamento molto basso. Lo schema descritto nell'articolo di Boneh-Franklin (2003) utilizza una curva ellittica a 512 bit con la speciale proprietà di essere "supersingolare", che implica (qui) un grado di inclusione k = 2 (quindi il la sicurezza risultante è quella del logaritmo discreto in un campo a 1024 bit, approssimativamente simile a RSA a 1024 bit).

Riepilogo: i dettagli matematici di cui sopra hanno lo scopo di mostrare dove si trova IBE:

• La prima implementazione pratica è descritta in un articolo del 2003.
• Questa implementazione funziona su curve ellittiche con una struttura speciale che inizialmente era considerata una debolezza.
• Uso di curve ellittiche per le date di crittografia degli anni '80. Le curve ellittiche sono considerate sicure perché nessuno può trovare alcuna struttura interna che possa essere sfruttata per accelerare il logaritmo discreto sulla curva ellittica - tranne gli accoppiamenti, che sono fortunatamente inapplicabili alle curve "normali". Ma per IBE, abbiamo bisogno di una curva "debole".

Quindi la sicurezza IBE, in pratica, si basa su un attento dosaggio della debolezza iniettata in una curva ellittica, ei dettagli sono stati definiti meno di dieci anni fa. Questo non è un sacco di tempo. In confronto, la ricerca sulla fattorizzazione dei numeri interi può vantare un esultanza di 2500 anni di storia (almeno), quindi quando affermiamo che la fattorizzazione deve essere un problema difficile, abbiamo alcuni fatti a sostegno di tale asserzione. Il tempo di ricerca accumulato è l'indicatore principale, e soprattutto l'unico, in base al quale è possibile stimare il rischio crittografico.

Quindi, IBE è un po 'giovane per i miei gusti per una distribuzione generale incontrollata. Eppure, puoi fare molto peggio che seguire i passi di Dan Boneh e ci sono buone probabilità che se (quando) sarai hackerato, non sarà dovuto a nessun problema matematico negli accoppiamenti. Inoltre, gli abbinamenti sono divertenti (per un matematico, cioè).

Una buona lettura degli accoppiamenti è la tesi di dottorato di Ben Lynn (tra l'altro il suo consulente era Boneh).

Non ho mai guardato Voltage SecureMail da un punto di vista crittografico (e realisticamente non avrei potuto commentare con nessuna autorità se avessi avuto), ma vedendo Voltage SecureMail in azione, ci sono un paio di dettagli di implementazione che mi riguardano abbastanza essere cauti.

In primo luogo, quando un utente riceve un messaggio crittografato viene chiesto di iscriversi se non ha mai ricevuto prima un messaggio crittografato, in base a tale iscrizione (una e-mail che ti chiede di fare clic su un link per confermare di averlo ricevuto) accedi al messaggio. Non è richiesta un'ulteriore verifica dell'identità, quindi un mittente che effettua un refuso dà al destinatario l'accesso alla posta, nonostante non sia il destinatario previsto (per quanto ne so non vi è alcun avviso se si tenta di inviare una mail ad un utente che non hai mai comunicato in modo sicuro con prima).

In secondo luogo, se sei già un utente iscritto e dimentichi la password, puoi ripristinarla facendo clic sul link della password dimenticata onnipresente (se non hai installato il client Voltage SecureMail, per impostazione predefinita utilizza un lettore basato sul web) e avere una mail inviata con un link per consentire di reimpostare la password, ma poiché questo messaggio di reimpostazione della password viene inviato tramite lo stesso canale (e-mail) del messaggio crittografato, sicuramente c'è una buona possibilità che chiunque intercetti l'originale il testo cifrato può intercettare il messaggio di reset, reimpostare la password di un utente e quindi accedere al testo in chiaro del messaggio originale.

La crittografia alla base della crittografia basata su ID è valida come qualsiasi altro crittosistema principale. Si basa su una svolta relativamente recente nella matematica alla base della crittografia a curve ellittiche, con molti dei protocolli cardine a cui Dan Boneh, co-fondatore di Voltage, ha contribuito. Le proprietà che ottieni da ID-crypto sono significativamente diverse da poter offrire in modo univoco la capacità di svolgere determinati compiti (ma spesso richiedono un'architettura diversa, ipotesi di fiducia, ecc. - vedi la nota di pepe sul key escrow). Quindi non è olio di serpente. Protocolli come BF e BB1 sono stati pubblicati nelle due principali conferenze crittografiche.

Quanto bene la crittografia viene filtrata in prodotti (e quanto sono sicure le implementazioni) Non lo so. Quindi non posso commentare direttamente Voltage API, librerie, prodotti, ecc.

Dubito che ci siano molti concorrenti - open source o meno. La stessa crittografia a curva ellittica ha avuto un lento tasso di adozione (considerando che è stata sviluppata negli anni '80) al di fuori di Certicom. Mi aspetto una crittografia basata sull'abbinamento (sviluppata solo negli anni '00) per affrontare un tasso simile al di fuori di Voltage.

Non ho familiarità con il prodotto o il protocollo specifico, ma nota che molti schemi di crittografia basati su ID soffrono di "key escrow", il che significa che il centro di distribuzione delle chiavi conosce i tuoi segreti. Sono state fatte più proposte per mitigare o spostare questo problema, ma non sono sicuro che sia stata trovata una soluzione universale. Potrebbero benissimo essere basati su altre supposizioni che sono solo pratiche in ambienti chiusi o hardware speciale o altre cose oscure.

In generale, IBE non viene utilizzato molto. Sono sorpreso di vederti citare RFC. Quindi sì, hai praticamente un blocco del venditore. Quello che è usato sono sistemi noti come S / MIME o PGP / GPG. A meno che non si considerino ambienti molto speciali, IBE non presenta forti vantaggi rispetto a queste soluzioni tradizionali. Per la posta elettronica sicura nella tua azienda, puoi (e dovresti, dal momento che molte CA non sono esattamente degne di fiducia e distribuire i certificati semplicemente dopo la conferma tramite posta elettronica) configurare la tua PKI utilizzando entrambi i metodi.

Volevi informazioni di base sul sistema: ti consiglierei di esaminare la RFC. Di solito viene citato il sottostante sistema crittografico. Ma come sottolineato prima, l'IBE non è la chiave qui. IBE ti offre il lock-in del fornitore e alcune funzionalità per lo più irrilevanti che possono essere facilmente implementate con una parte fidata (che è comunque necessaria per IBE ..). Per una soluzione aziendale, si dovrebbe davvero guardare a come il software supporta i flussi di lavoro e le esigenze. Puoi costruire la stessa cosa con PGP / SMIME. Ma la domanda è se c'è un buon prodotto da acquistare per la tua azienda, o se Voltage SecureMail ti offre tutte le funzionalità che desideri.

Gli algoritmi di Voltage Security non sono olio di serpente. Sono stati oggetto di una peer-review nella comunità accademica sulla crittografia.

Tuttavia, l'approccio di Voltage Security ha alcuni rischi significativi per la sicurezza. Un rischio ha a che fare con la fiducia nel server centrale. Voltage utilizza la crittografia basata sull'identità (IBE), in cui il server centrale conosce le chiavi private di tutti. Pertanto, se il server centrale è dannoso o la sua sicurezza viene compromessa, si ha una violazione catastrofica della sicurezza. Dato che anche Google ha sofferto di gravi violazioni della sicurezza dei suoi sistemi interni, è ragionevole supporre che i server centrali di Voltage Security siano impenetrabili? Probabilmente no.

Come altri hanno notato, in generale, il modo in cui gli aggressori rompono con successo questi sistemi di solito non avviene attraverso un attacco intelligente alla cripto-matematica; invece, gli attacchi riusciti tipicamente bypassano la cripto-matematica. In pratica, i problemi di usabilità sono estremamente importanti. Altri sistemi di crittografia e-mail (come PGP) hanno sofferto di scarsa usabilità della sicurezza, che crea grandi punti deboli: se gli utenti non sanno come usare il sistema in modo sicuro, o se nella loro normale pratica quotidiana gli utenti usano il sistema in un modo che è insicuro, quindi sei in grossi guai. Non importa quanto siano sicure le matematiche se il sistema non può essere utilizzato in modo sicuro dagli utenti. Non ho personalmente valutato l'usabilità del prodotto di Voltage Security, ma questo è stato un punto dolente per altri sistemi di crittografia e-mail.

Detto questo, nonostante i rischi, la crittografia e-mail imperfetta è meglio di niente.

Allontanandoci leggermente dalla domanda criptata perché penso che sia stata ben trattata sopra Voltage è stata sottoposta alla certificazione FIPS140-2 che (sebbene non ci si possa fidare ciecamente) è un buon segno per il prodotto.

Si è fatto riferimento in precedenza all'invio di posta alla persona sbagliata e a chi ancora la riceve. Indipendentemente dal prodotto di crittografia della posta (o da una completa mancanza di crittografia) il sistema non saprà se il destinatario è giusto o sbagliato - solo l'essere umano che lo guida lo saprà. Il vantaggio è che se qualcuno ti dice che hanno inviato dati riservati alla persona sbagliata e che Voltage lo ha crittografato, puoi bloccare il loro accesso al contenuto del messaggio.

I prodotti IBE nel loro insieme (Voltage & ProofPoint Encryption) si basano sugli utenti che si registrano e in quanto tale il processo manca della fase pre-accordo che rende le persone nervose, tuttavia l'idoneità dipende dal proprio ambiente. Se hai bisogno di crittografare la posta a un pubblico vasto e variegato misto tra i destinatari di b2b e b2c e vuoi un'unica soluzione IBE è una buona scelta.

Sarei d'accordo con quanto sopra, è improbabile che la matematica sia dove si verifica la violazione. Gli utenti con password deboli, utenti i cui account di posta personale sono compromessi, ecc. Sono punti deboli molto più realistici nel processo. Vorrei rivolgere la vostra attenzione a considerare l'intero processo di utilizzo IBE per i vostri utenti e destinatari esterni e le informazioni che dovete proteggere per valutare l'idoneità.