Szyfrowanie oparte na tożsamości

IBE to - konkurencyjna w stosunku do PKI - koncepcja, która może się przyczynić do popularyzacji mechanizmów szyfrowania treści przesyłanych w Internecie.

IBE to - konkurencyjna w stosunku do PKI - koncepcja, która może się przyczynić do popularyzacji mechanizmów szyfrowania treści przesyłanych w Internecie.

Nie ulega wątpliwości, że technologia PKI jest silnym narzędziem kryptograficznym umożliwiającym efektywne zabezpieczanie komunikacji elektronicznej. Wynika to z zastosowania dwóch oddzielnych, ale matematycznie powiązanych ze sobą kluczy, które umożliwiają szyfrowanie i deszyfrowanie przesyłanych treści. Jeden z nich to powszechnie dostępny, tzw. klucz publiczny, a drugi to klucz prywatny, znany tylko odbiorcy zaszyfrowanej wiadomości. Ale szyfrowanie przy wykorzystaniu PKI jest stosunkowo mało powszechne, głównie z powodu kłopotów i problemów, które wywołuje jego praktyczna implementacja. Bo odbiorca musi być przygotowany do odszyfrowania wiadomości, tzn. posiadać zarówno klucz publiczny, jak i prywatny. Z kolei nadawca musi znać lub odszukać klucz publiczny odbiorcy jeszcze przed wysłaniem wiadomości. W większości wypadków oznacza to, że nadawca powinien najpierw przesłać zapytanie o klucz publiczny odbiorcy do odpowiedniego serwera lub firmy zajmującej się obsługą certyfikatów.

Rozwiązanie problemów z PKI

W systemach korporacyjnych jest to dość prosta i łatwa procedura, ale użytkownicy znajdujący się na zewnątrz firmy mogą mieć problemy z dostępem do repozytorium kluczy publicznych. Co więcej, procedura ta działa tylko wtedy, gdy potencjalny odbiorca zaszyfrowanej wiadomości wcześniej zdecydował się skorzystać z możliwości oferowanych przez PKI i udostępnił swój klucz publiczny. Większość użytkowników wciąż jednak tego nie praktykuje. Technologia kryptografii opartej na identyfikacji tożsamości (Identity-Based Cryptography) określana również jako szyfrowanie oparte na identyfikacji tożsamości - IBE (Identity-Based Encryption) to ciekawy pomysł, którego wdrożenie jest znacznie tańsze w porównaniu do klasycznych systemów PKI, a stosowanie łatwiejsze.

Technika IBE polega na tym, że nadawca może samodzielnie zainicjować procedurę, w której unikalny identyfikator odbiorcy, np. jego adres e-mail jest wykorzystywany do obliczenia kodu klucza publicznego. IBE wymaga dostępności specjalnego serwera należącego do zaufanej strony trzeciej, określanego jako Private-Key Generator. Komputer ten wykorzystując odpowiedni algorytm kryptograficzny, na podstawie klucza publicznego generuje klucz prywatny odbiorcy. W ten sposób odbiorca może uzyskać klucz prywatny bezpośrednio z tego serwera wtedy, gdy tego potrzebuje i nie musi się martwić o dystrybucje i udostępnianie swoich kluczy publicznych.

Wdrożenie IBE zależy oczywiście od dostępności serwerów generujących klucze prywatne na żądanie. Komputery takie muszą trwale przechowywać tylko jeden ważny element zabezpieczeń – tzw. klucz master, czyli dużą liczbę wygenerowaną losowo, która jest jednoznacznie powiązana z domeną. Służy ona do tworzenia zestawu parametrów kluczy publicznych (w skład których wchodzi też adres WWW serwera), które są udostępniane każdemu użytkownikowi, który zainstaluje oprogramowanie IBE lub potencjalnym odbiorcom kluczy prywatnych.

Gdy nadawca tworzy zaszyfrowaną wiadomość, oprogramowanie IBE wykorzystuje trzy parametry do generacji klucza publicznego: liczbę początkową, bieżący numer tygodnia oraz identyfikator odbiorcy (standardowo jest to jego adres e-mail). Ponieważ system wykorzystuje odniesienie do kalendarza, ważność wytworzonego w ten sposób klucza publicznego automatycznie wygasa. Odbiorca zaszyfrowanej wiadomości, nawet jeśli wcześniej nie korzystał z tego typu procedur zabezpieczania transmisji, może łatwo zażądać od serwera IBE klucza prywatnego, który w połączeniu z jego adresem e-mail, a więc kluczem publicznym pozwala na odszyfrowanie przesłanej treści.

Od 3 do 5 razy taniej

Przeprowadzona przez Ferris Research analiza kosztów wdrożenia komercyjnego systemu IBE oferowanego przez firmę Voltage Security wykazała, że są one trzykrotnie niższe w porównaniu do typowego, porównywalnego systemu PKI. Wynika to m.in. z tego, że IBE wymaga wykorzystania mniejszej liczby serwerów i jest systemem łatwiejszym do zainstalowania. Oprócz tego, koszty operacyjne związane z utrzymaniem infrastruktury IBE są nawet pięciokrotnie mniejsze niż w wypadku standardowego systemu opartego na PKI.