(Advertencia: Matemáticas por delante. Pero hay un resumen al final.)
IBE, según lo implementado por Voltage, utiliza un emparejamiento . Los emparejamientos eficientes conocidos funcionan sobre curvas elípticas especialmente diseñadas (los dos emparejamientos principales son el emparejamiento de Weil y el emparejamiento de Tate, y existen algunas variantes de este último que ofrecen mejoras de rendimiento en algunas situaciones). Estas parejas fueron descubiertas por matemáticos en la década de 1950; La aplicación de los emparejamientos a la criptografía fue insinuada por Miller en la década de 1980.
Inicialmente, se pensaba que los emparejamientos eran formas de atacar los sistemas de curva elíptica, reduciendo el logaritmo discreto en la curva elíptica a logaritmo discreto en un campo más "fácil". El parámetro crítico es el "grado de incrustación", que anotaré k . Para una curva elíptica normal de n -bit, el logaritmo discreto es difícil hasta las operaciones de 2n/2 , por lo tanto, una curva de 256 bits es suficiente para el estándar "seguridad de 128 bits". Para una curva dada, se puede definir un emparejamiento, que se puede usar para transformar un problema de logaritmo discreto en la curva en un problema de logaritmo discreto en un subgrupo multiplicativo de un campo de bits de kn . El parámetro k depende de la curva que se utiliza. Por ejemplo, si tiene una curva de 256 bits con un muy bajo grado de integración k = 2 , entonces el logaritmo discreto en esa curva no es más difícil que el logaritmo discreto en un subgrupo multiplicativo de un campo de 512 bits. lo cual es mucho más sencillo (un logaritmo discreto de 530 bits era realizado en 2007 ).
Afortunadamente, una curva "normal" tendrá un grado de inserción muy alto; una curva elíptica típica de 256 bits tendrá un grado incrustado alrededor de 2 255 , es decir, mucho mayor que 2 o 3. La selección de una curva elíptica según el estándar relevante (ANSI X9.62-2005) implica verificando que k no sea inferior a 100, lo que es invariablemente verdadero con una probabilidad abrumadora de una curva seleccionada al azar de todos modos. Esto se denomina "condición MOV".
Un emparejamiento eficiente requiere que kn no sea demasiado grande, porque el resultado de la vinculación es un valor de kn -bit y queremos realizar cálculos relativamente pesados con dichos valores (exponenciales modulares ...). Por lo tanto, un emparejamiento para IBE (no para ataques) necesita una curva "debilitada" con un grado de inserción muy bajo. El esquema descrito en el artículo de Boneh-Franklin (2003) utiliza una curva elíptica de 512 bits con la propiedad especial de ser "supersingular", lo que implica (aquí) un grado de inclusión k = 2 (por lo tanto, el la seguridad resultante es la de un logaritmo discreto en un campo de 1024 bits, aproximadamente similar a RSA de 1024 bits).
Resumen: los detalles matemáticos anteriores tienen la intención de mostrar dónde se encuentra la OIE:
- La primera implementación práctica se describe en un artículo de 2003.
- Esa implementación funciona en curvas elípticas con una estructura especial que inicialmente se pensó como una debilidad.
- El uso de curvas elípticas para criptografía data de la década de 1980. Las curvas elípticas se consideran seguras porque nadie puede encontrar ninguna estructura interna que pueda explotarse para acelerar el logaritmo discreto en la curva elíptica, excepto los pares, que afortunadamente no son aplicables a las curvas "normales". Pero para IBE, necesitamos una curva "débil".
La seguridad de la EIB, en la práctica, se basa en una dosis cuidadosa de la debilidad inyectada en una curva elíptica, y los detalles se definieron hace menos de diez años. Esto no es mucho tiempo. En comparación, la investigación sobre factorización de enteros puede presumir de 2500 años de historia (al menos), por lo que, cuando afirmamos que la factorización debe ser un problema difícil, tenemos algunos datos que respaldan esa afirmación. El tiempo acumulado de investigación es la principal, y principalmente la única, métrica por la cual se puede estimar el riesgo criptográfico.
Por lo tanto, IBE es un poco joven a mi gusto para un despliegue general sin control. Sin embargo, puede hacerlo mucho peor que seguir los pasos de Dan Boneh y es probable que si (cuando) lo piratean, no se deba a ningún problema matemático en los emparejamientos. Además, los emparejamientos son divertidos (para un matemático, es decir).
Una buena lectura sobre los emparejamientos es tesis de doctorado de Ben Lynn (su asesor fue Boneh, por cierto).