Identity Based Cryptosystem

1
Identity Based Cryptosystem

• ??

2
?? ???
Cryptanalyst Adversary
M?
K?
E
D
Insecure Channel
Plaintext M
Ciphertext C
Plaintext M
Key Kenc
Key Kdec
DK(C) M
C EK(M)
3
??? ?? vs ??? ??

• ??? ??
• Kenc Kdec
• ?? ??? ???.
• ??? ??
• Kenc ? Kdec (Kenc ???, Kdec ???)
• ?? ??? ???.
• ??? ?? ??? ??? ???? ????

4
??? ??? ???

• ? ?? ??
• n? ??? ?? ??? ???? ?? nC2 n(n-1)/2
• ???? ???? ?? ???? ??? ?? ????. ??? ???? ???? ??
  ?? ??? ??
• ??? ????
• n? ??? ?? ??? ?? ?? 2n ?
• ? ???? ?????? ?? ?? ??? ??? ??

5
??? ??? ????

• ????, ??? ??? ?? ??? ???????
• A? ???? KA ?? ?? ?? ?????
• CA (Certificate Authority)
• ?????
• ???? ???? ??? ???? ?? ????
• ??

6
??? ??

• 1984? Shamir? ID?? ??? ??
• ???? ???? (???? ??? ? ?? ??)? ???? ????!
• ???? ??? ?? ???? ?????!
• ???, ???
• 2001? Boneh? Franklin? ???? ?? ?????? ????, ID ??
  ??????? ???
• 17? ?? ??? ??!

7
?? ??
master secret
publicparams
KeyServer (KGC)
bob_at_b.com
bob_at_b.com
alice_at_a.com
8
?? ??
KeyServer
Fully off-line - no connection to server required
bob_at_b.com
bob_at_b.com
charlie_at_c.com
9
?? ??
Master Secret s
1872361923616378
1872361923616378
Key Server
Request for Private Key for Identity bob_at_b.com
10
???!

• ?????
• ??? ???? ?? ??
• ??? ?????? ???
• ???? ??? ??? ????, ? ??? ??? ???, ??? ??? ??? ?
  (??????)
• ?? ??? ???
• ??? ???
• eA?B?C ? ???,
• e(aP,bQ) e(P,Q)ab ? ???? ??
• ?? Weil pairing, Tate pairing ?

11
Boneh-Franklin IBE

• Use the elliptic curve group we already defined
• Choose arbitrary P?E/Fp of order q
• Pick random s?Zq and set Ppub sP
• Choose hash functions
• H Fp2 ?0,1n
• G 0,1?Fp
• Message space M 0,1n, ciphertext space is C
  E/Fp0,1n
• System parameters are ltp, n, P, Ppub, G, Hgt.
  Master-key is s.

12
Boneh-Franklin IBE

• Extract (get private key from ID)
• Use MapToPoint to map ID to a point QID
• Private key corresponding to ID is dID sQID
• Encrypt (encrypt M with ID)
• Use MapToPoint to map ID to a point QID
• Choose random r ? Zq
• C ltrP, M?H(gIDr)gt where gID ê(QID,Ppub) ? Fp2

13
Boneh-Franklin IBE

• Decrypt (decrypt C ltU,Vgt)
• If U is not a point of order q, reject the
  ciphertext
• Otherwise, M V ? H(ê(dID, U))
• Why M can be recovered?
• ê(dID, U) ê(sQID, rP) ê(QID, P)sr ê(QID,
  Ppub)r gIDr
• V ? H(ê(dID, U)) M?H(gIDr)? H(gIDr) M

14
ID ?? ??? ???

• KGC? ?? ?? ?? ??!
• ??? KGC? ???? ???
• ????? ??!
• ??? ???? ??!
• ??? ????
• Certificateless Public Key Cryptosystem
• KGC? ????

15
Provable Security

• ??

16
??

• ??? ??? ???? ?????.
• ??? ???? ???? ?, ??? ?????

17
?? ??? ??

• Substitution? Permutation? ??? ??? ?????,
• ????? ??? ??? ???? ??
• ??? ???? ??!

18
?? ??

• ??? ?? ??
• ?? ??? ????, ????? ????? ???.
• ???, ? ??? ??? ?? ??. ??? ?? ??? ??? ????.

19
??, ??? ???

• ??? ?????? ?? ?????, ?? ??? ?? ????? ????.

20
??? ???

• ??? ??
• Computationally hard problem
• Hard to solve the problem in polynomial time
• Hard to find a polynomial time algorithm which
  solves the problem
• ??? ?? ???? (PPT, Polynomial Time Algorithm)
• ????? ?? ????? ???? ?? ???? ??? ??? ???? ????

21
?? ????

• ??? ??? ?? ????? ??? ?? ?? ???? ?? ?? ?? ???
  ?????(asymptotically) ??? ??? ???? ??

22
????? ???

• ????? ?????
• Knerkhoff ??? ?????, ?? ??? ???? ???? ???. ?????
  ??? ?? ??? ???? (security parameter)?? ???. ??
  ???? ??? ????? 1k?? ??. ???
• k??

23
?????

• ??? ????? ??? ???
• ?? ???? ???, ?????
• ???!
• ???? ??

24
??? ??

• ??? ??? ??? ???.
• ??? ??? ??? ? ??? ??? ???.
• ?? ?? (security goal)
• ???? ?? (adversarial model)

25
?? ??? ??

• ?? ????? ??? ?? ??? ??? ???
• ?????? indistinguishability (IND)
• ???? non-malleability (NM)

26
??? ??? ??

• ?? ?? ??
• Chosen Plaintext Attack (CPA)
• ?? ??? ??
• Chosen Ciphertext Attack (CCA1)
• ??? ?? ??? ??
• Adaptively Chosen Ciphertext Attack (CCA2, ACCA)

27
??? ?? ??

• ??? ??? ?? ? ?? ???? ????.
• ?? ??? ??? ??? ??????? ?????? IND-CCA
• ?? ?? ??? ??? ?????
• IND-CCA2? NM-CCA2 ??. ? ?? ??? ??? ?????. (1996?,
  Bellare ?)

28
IND? NM

• IND
• ? ?? ??? ? ?? ???? ?? ????? ???? ?
• NM
• ?? ???? ?? ???? ??? ??, ?? ?? ???? ???? ?? ??? ??
  ? ??

29
CPA, CCA1, CCA2

• CPA
• ???? ??? ??? ??? ?? ???? ???? ?? ? ?? ??? ??
• CCA1
• CPA ?? ? ???, ???? ??? ???? ?? ??? ???? ?? ? ??
• CCA2
• CCA1? ??? ????, ???? ???? ??? ??? ??? ??? ?? ? ??
• ?? ?? ??? ?? ???? ?? ??? ??? ?? ??!

30
???

• ??? ??? ??? ?? ?? ??? ???? ?? ??
• ??? ??? encryption oracle
• ??? ??? decryption oracle
• ?? ??? sign oracle
• ?? ??? random oracle

31
?? ???

• ???? ?? ??
• ????? ??
• ??? ??? ??? ??? ??? ???? ???? ???
• ??? ??? ???? ??? ??? ???

32
?? ??

• IND?? ?? ???? ?? ??? ??? ?????
• ?? ???? ????? ??? ?
• ???? ? ? ??? ???? 0.5? ??? ?? ??? ? ??
• ???? ??? ??? ?????? ??? ? ?? ??? ?? ?, ?? ????? ??

33
?????

• ??? ? ?? negligible
• ???? ?? ???? ???? ?? ????
• ??? ? ?? overwhelming
• ???? ?? ???? ????? ? ????

34
?? ??

• ??? ??? ??? ??? ??? ? ??
• ??? ?? ???

35
?????

• ?? ????? ????, ?????? ??? ? ?? 0? ?, ?? ??????
  ??? ? ? ???, ? ?? ?? 0?? ? ??
• IND??? ??????