Cifrado basado en identidad: ¿qué tan seguro es?

(Advertencia: Matemáticas por delante. Pero hay un resumen al final.)

IBE, según lo implementado por Voltage, utiliza un emparejamiento . Los emparejamientos eficientes conocidos funcionan sobre curvas elípticas especialmente diseñadas (los dos emparejamientos principales son el emparejamiento de Weil y el emparejamiento de Tate, y existen algunas variantes de este último que ofrecen mejoras de rendimiento en algunas situaciones). Estas parejas fueron descubiertas por matemáticos en la década de 1950; La aplicación de los emparejamientos a la criptografía fue insinuada por Miller en la década de 1980.

Inicialmente, se pensaba que los emparejamientos eran formas de atacar los sistemas de curva elíptica, reduciendo el logaritmo discreto en la curva elíptica a logaritmo discreto en un campo más "fácil". El parámetro crítico es el "grado de incrustación", que anotaré k . Para una curva elíptica normal de n -bit, el logaritmo discreto es difícil hasta las operaciones de 2^n/2 , por lo tanto, una curva de 256 bits es suficiente para el estándar "seguridad de 128 bits". Para una curva dada, se puede definir un emparejamiento, que se puede usar para transformar un problema de logaritmo discreto en la curva en un problema de logaritmo discreto en un subgrupo multiplicativo de un campo de bits de kn . El parámetro k depende de la curva que se utiliza. Por ejemplo, si tiene una curva de 256 bits con un muy bajo grado de integración k = 2 , entonces el logaritmo discreto en esa curva no es más difícil que el logaritmo discreto en un subgrupo multiplicativo de un campo de 512 bits. lo cual es mucho más sencillo (un logaritmo discreto de 530 bits era realizado en 2007 ).

Afortunadamente, una curva "normal" tendrá un grado de inserción muy alto; una curva elíptica típica de 256 bits tendrá un grado incrustado alrededor de 2 ²⁵⁵ , es decir, mucho mayor que 2 o 3. La selección de una curva elíptica según el estándar relevante (ANSI X9.62-2005) implica verificando que k no sea inferior a 100, lo que es invariablemente verdadero con una probabilidad abrumadora de una curva seleccionada al azar de todos modos. Esto se denomina "condición MOV".

Un emparejamiento eficiente requiere que kn no sea demasiado grande, porque el resultado de la vinculación es un valor de kn -bit y queremos realizar cálculos relativamente pesados con dichos valores (exponenciales modulares ...). Por lo tanto, un emparejamiento para IBE (no para ataques) necesita una curva "debilitada" con un grado de inserción muy bajo. El esquema descrito en el artículo de Boneh-Franklin (2003) utiliza una curva elíptica de 512 bits con la propiedad especial de ser "supersingular", lo que implica (aquí) un grado de inclusión k = 2 (por lo tanto, el la seguridad resultante es la de un logaritmo discreto en un campo de 1024 bits, aproximadamente similar a RSA de 1024 bits).

Resumen: los detalles matemáticos anteriores tienen la intención de mostrar dónde se encuentra la OIE:

• La primera implementación práctica se describe en un artículo de 2003.
• Esa implementación funciona en curvas elípticas con una estructura especial que inicialmente se pensó como una debilidad.
• El uso de curvas elípticas para criptografía data de la década de 1980. Las curvas elípticas se consideran seguras porque nadie puede encontrar ninguna estructura interna que pueda explotarse para acelerar el logaritmo discreto en la curva elíptica, excepto los pares, que afortunadamente no son aplicables a las curvas "normales". Pero para IBE, necesitamos una curva "débil".

La seguridad de la EIB, en la práctica, se basa en una dosis cuidadosa de la debilidad inyectada en una curva elíptica, y los detalles se definieron hace menos de diez años. Esto no es mucho tiempo. En comparación, la investigación sobre factorización de enteros puede presumir de 2500 años de historia (al menos), por lo que, cuando afirmamos que la factorización debe ser un problema difícil, tenemos algunos datos que respaldan esa afirmación. El tiempo acumulado de investigación es la principal, y principalmente la única, métrica por la cual se puede estimar el riesgo criptográfico.

Por lo tanto, IBE es un poco joven a mi gusto para un despliegue general sin control. Sin embargo, puede hacerlo mucho peor que seguir los pasos de Dan Boneh y es probable que si (cuando) lo piratean, no se deba a ningún problema matemático en los emparejamientos. Además, los emparejamientos son divertidos (para un matemático, es decir).

Una buena lectura sobre los emparejamientos es tesis de doctorado de Ben Lynn (su asesor fue Boneh, por cierto).

Nunca he visto Voltage SecureMail desde un punto de vista criptográfico (y, de manera realista, no podía comentar con ninguna autoridad si lo tuviera), pero al ver a Voltage SecureMail en acción, hay un par de detalles de implementación que me preocupan lo suficiente. ser precavido.

En primer lugar, cuando un usuario recibe un mensaje cifrado, se le solicita que se inscriba si nunca antes ha recibido un mensaje cifrado, basándose en esa inscripción (un correo electrónico que le pide que haga clic en un enlace para confirmar que lo recibió) Usted accede al mensaje. No se requiere verificación de identidad adicional, por lo que un remitente que escribe un error tipográfico otorga al destinatario acceso al correo a pesar de que no es el destinatario deseado (que yo sepa, tampoco hay ninguna advertencia si intenta enviar un correo a un usuario con el que nunca te has comunicado de forma segura).

En segundo lugar, si ya es un usuario inscrito y olvida su contraseña, puede restablecerla haciendo clic en el enlace omnipresente de contraseña olvidada (si no tiene instalado el cliente Voltage SecureMail, de manera predeterminada se usa un lector basado en web) , y que le envíen un correo electrónico con un enlace para que pueda restablecer su contraseña, pero como este mensaje de restablecimiento de contraseña se envía a través del mismo canal (correo electrónico) que el mensaje cifrado, es muy probable que alguien intercepte el original. el texto cifrado puede interceptar el mensaje de restablecimiento, restablecer la contraseña de un usuario y luego acceder al texto sin formato del mensaje original.

La criptografía subyacente a la criptografía basada en ID es tan sólida como cualquier otro sistema de cifrado importante. Se basa en un avance relativamente reciente en la criptografía de la curva elíptica subyacente de las matemáticas, en la que Dan Boneh, quien es co-fundador de Voltage, contribuyó con muchos de los protocolos fundamentales. Las propiedades que obtiene de ID-crypto son lo suficientemente diferentes como para que pueda ofrecer la posibilidad de realizar determinadas tareas (pero a menudo requiere una arquitectura diferente, suposiciones de confianza, etc. - vea la nota de pepe en el depósito de claves). Así que no es aceite de serpiente. Protocolos como BF y BB1 se publicaron en las dos principales conferencias criptográficas.

Qué tan bien se filtra el criptográfico en los productos (y qué tan seguras están las implementaciones) No lo sé. Así que no puedo comentar directamente sobre las API de Voltage, bibliotecas, productos, etc.

Dudo que haya muchos competidores, de código abierto o no. La propia criptografía de curva elíptica tuvo una tasa de adopción lenta (considerando que se desarrolló en los años 80) fuera de Certicom. Espero que la criptografía basada en el emparejamiento (desarrollada solo en los 00s) se enfrente a una tasa similar fuera de Voltage.

No estoy familiarizado con el producto o el protocolo específico, pero tenga en cuenta que muchos esquemas de cifrado basados en ID sufren de "custodia de claves", lo que significa que el centro de distribución de claves conoce sus secretos. Se hicieron varias propuestas para mitigar o cambiar este problema, pero no estoy seguro si se encontró una solución universal. Es muy posible que se basen en otras suposiciones que solo son prácticas en entornos cerrados o hardware especial u otras cosas oscuras.

En general, IBE no se usa mucho. Me sorprende verlo citando RFCs. Así que sí, definitivamente tienes algún proveedor bloqueado allí. Lo que se utiliza son sistemas conocidos como S / MIME o PGP / GPG. A menos que esté considerando entornos muy especiales, IBE no tiene grandes ventajas sobre estas soluciones tradicionales. Para el correo electrónico seguro en su empresa, puede (y debería, ya que muchas CA no son exactamente confiables y distribuir certificados simplemente en la confirmación del correo electrónico) configurar su propia PKI usando cualquiera de los métodos.

Quería información de fondo sobre el sistema: recomendaría ver el RFC. El sistema criptográfico subyacente es usualmente citado allí. Pero como se señaló anteriormente, la EIB no es la clave aquí. IBE le brinda un bloqueo de proveedores y algunas características en su mayoría irrelevantes que se implementan fácilmente con una parte confiable (que de todos modos necesita para IBE). Para una solución empresarial, realmente debería ver cómo el software respalda sus flujos y requisitos de trabajo. Puedes construir lo mismo con PGP / SMIME. Pero la pregunta es si hay un buen producto para que compre su empresa o si Voltage SecureMail le ofrece todas las funciones que desea.

Los algoritmos de Voltage Security no son aceite de serpiente. Han sido sometidos a revisión por pares en la comunidad académica sobre criptografía.

Sin embargo, el enfoque de Voltage Security tiene algunos riesgos de seguridad significativos. Un riesgo tiene que ver con la confianza en el servidor central. Voltage utiliza el cifrado basado en identidad (IBE), donde el servidor central conoce las claves privadas de todos. Por lo tanto, si el servidor central es malicioso o su seguridad se ve comprometida, tiene una violación de seguridad catastrófica. Dado que incluso Google ha sufrido graves violaciones de seguridad de sus sistemas internos, ¿es razonable suponer que los servidores centrales de Voltage Security son impenetrables? Probablemente no.

Como han señalado otros, en general, la forma en que los atacantes rompen estos sistemas con éxito no suele ser un ataque inteligente a la cripto-matemática; en cambio, los ataques exitosos generalmente evitan la criptomática. En la práctica, los problemas de usabilidad son extremadamente importantes. Otros sistemas de cifrado de correo electrónico (como PGP) han sufrido una mala capacidad de uso de la seguridad, lo que crea debilidades importantes: si los usuarios no saben cómo usar el sistema de forma segura, o si en su práctica habitual, los usuarios usan el sistema de una manera que es Inseguro, entonces estás en un gran problema. No importa qué tan seguras sean las matemáticas si el sistema no puede ser utilizado de forma segura por los usuarios. No he evaluado personalmente la facilidad de uso del producto de Voltage Security, pero este ha sido un gran problema para otros sistemas de cifrado de correo electrónico.

Dicho esto, a pesar de los riesgos, el cifrado de correo electrónico imperfecto es mejor que ninguno.

Alejándose un poco de la pregunta criptográfica, ya que creo que ha sido bien cubierto anteriormente, Voltage ha sido sometido a la certificación FIPS140-2 que (aunque no se puede confiar a ciegas) es una buena marca para el producto.

Anteriormente se hizo referencia al envío de correo a la persona incorrecta y a los que todavía lo reciben. Independientemente del producto de cifrado de correo (o una falta completa de cifrado), el sistema no sabrá si el destinatario es el correcto o incorrecto, solo el ser humano que lo maneja lo sabrá. La ventaja es que si alguien le dice que ha enviado datos confidenciales a la persona equivocada y Voltage la ha cifrado, puede bloquear su acceso al contenido del mensaje.

Los productos IBE en su conjunto (Voltage & ProofPoint Encryption) se basan en el registro de los usuarios y, como tal, el proceso carece de la fase de acuerdo previo, lo que hace que las personas se pongan nerviosas; Si necesita encriptar el correo a una audiencia amplia y variada mezclada entre los destinatarios b2b y b2c y desea una solución única, IBE es una buena opción.

Estoy de acuerdo con todo lo anterior, es poco probable que las matemáticas estén donde ocurre la brecha. Los usuarios con contraseñas débiles, usuarios cuyas cuentas de correo personales están comprometidas, etc. son puntos débiles mucho más realistas en el proceso. Dirigiría su atención a considerar el proceso de uso general de IBE para sus usuarios y destinatarios externos y la información que necesita proteger para evaluar la idoneidad.