Cocks IBE 스킴

Cocks IBE 스킴은 ^[1]Clifford Cocks가 2001년에 제안한 아이덴티티 기반 암호화 시스템입니다.계획의 보안은 2차 잔존성 문제의 경도에 기초한다.

프로토콜

세우다

PKG는 다음을 선택합니다.

public RSA-modulus $\textstyle n=pq$ $\textstyle n=pq$ $\textstyle n=pq$ ${\$ n $=pq$ 여기서 $\textstyle p,q,\,p\equiv q\equiv 3{\bmod {4}}$ q, $\textstyle p,q,\,p\equiv q\equiv 3{\bmod {4}}$ $\textstyle p,q,\,p\equiv q\equiv 3{\bmod {4}}$ $\textstyle p,q,\,p\equiv q\equiv 3{\bmod {4}}$ 4 { $displaystyle \textstyle$ p $,q,p\equiv$ q\ $equiv$ 3 mod ${4}}$ 는 $\textstyle p,q,\,p\equiv q\equiv 3{\bmod {4}}$ 프라임으로 기밀로 유지됩니다.
메시지 및 암호 $\textstyle {\mathcal {M}}=\left\{-1,1\right\},{\mathcal {C}}=\mathbb {Z} _{n}$ M $\textstyle {\mathcal {M}}=\left\{-1,1\right\},{\mathcal {C}}=\mathbb {Z} _{n}$ { - $\textstyle {\mathcal {M}}=\left\{-1,1\right\},{\mathcal {C}}=\mathbb {Z} _{n}$ , 1 $\textstyle {\mathcal {M}}=\left\{-1,1\right\},{\mathcal {C}}=\mathbb {Z} _{n}$ , $\textstyle {\mathcal {M}}=\left\{-1,1\right\},{\mathcal {C}}=\mathbb {Z} _{n}$ $\textstyle {\mathcal {M}}=\left\{-1,1\right\},{\mathcal {C}}=\mathbb {Z} _{n}$ $\textstyle {\mathcal {M}}=\left\{-1,1\right\},{\mathcal {C}}=\mathbb {Z} _{n}$ $\textstyle {\mathcal {M}}=\left\{-1,1\right\},{\mathcal {C}}=\mathbb {Z} _{n}$ \ $displaystyle$ \ $textstyle$ \ { $mathcal$ { M} = \ $left$ \ { - 1, $1$ \ $right$ \ , { \ $mathcal$ { C } = \ $mathbb$ { $Z$ } $_$ { $n$ }
시큐어 퍼블릭해시 $\textstyle f:\left\{0,1\right\}^{*}\rightarrow \mathbb {Z} _{n}$ f : $\textstyle f:\left\{0,1\right\}^{*}\rightarrow \mathbb {Z} _{n}$ { $\textstyle f:\left\{0,1\right\}^{*}\rightarrow \mathbb {Z} _{n}$ , $\textstyle f:\left\{0,1\right\}^{*}\rightarrow \mathbb {Z} _{n}$ } $\textstyle f:\left\{0,1\right\}^{*}\rightarrow \mathbb {Z} _{n}$ ∗ $\textstyle f:\left\{0,1\right\}^{*}\rightarrow \mathbb {Z} _{n}$ $Z$ n \ $displaystyle$ \ $textstyle$ f : \ $left$ \ { $0$ , $1$ \ $right$ \ $}^{$ * } \ $rightarrow$ \ $mathbb$ { $Z } _$ { $n$ } 。

압축풀기

$사용자$ 는 개인 키를 얻으려고 할 때 보안 채널을 통해 PKG에 연락합니다.PKG

는 $($ 를 들어 f $\$ $\textstyle ID$ f $}$ 의 $\textstyle f$ 어플리케이션)에서 결정론적 프로세스에 의해 ( $\textstyle \left({\frac {a}{n}}\right)=1$ $=$ (\ $displaystyle \textstyle \frac {a}{n}}\right)$ 의 $\textstyle \left({\frac {a}{n}}\right)=1$ $\$ a를 $\textstyle a$ $\textstyle a$ 합니다.
$\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ ( $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ n + $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ - $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ - $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ ) / $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ ( $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ n $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ ) \ $displaystyle$ $r$ $\textstyle r^{2}=-a{\pmod {n}}$ $a$ $\textstyle r^{2}=a{\pmod {n}}$ ^ { ( $n$ + $5$ $\textstyle r^{2}=a{\pmod {n}}$ - $\textstyle r^{2}=-a{\pmod {n}}$ - q ) / $8$ } { \ $pmod$ { $n$ } $\textstyle r=a^{(n+5-p-q)/8}{\pmod {n}}$ ( r $\textstyle r^{2}=a{\pmod {n}}$ $= a$ ( $\textstyle r^{2}=a{\pmod {n}}$ n ) $\textstyle r^{2}=-a{\pmod {n}}$ $\textstyle r^{2}=-a{\pmod {n}}$ display $style$ r^ { $\textstyle r^{2}=-a{\pmod {n}}$ = $a pmod$ n $}$ $)$ 를 $\textstyle r^{2}=-a{\pmod {n}}$ 합니다.
r $\$ r을 $\textstyle r$ 사용자에게 $\textstyle r$ 합니다.

암호화

$(\$ ID $\textstyle ID$ 의 $\textstyle ID$ $(\$ 1 $\textstyle 1$ / - 1(\ $displaystyle \textstyle$ - 1) $\textstyle m\in {\mathcal {M}}$ M $(\displaystyle \textstyle ID)$ 을 $\textstyle m\in {\mathcal {M}}$ 암호화하려면 , $유저,$

$\textstyle m=\left({\frac {t_{1}}{n}}\right)$ $\textstyle m=\left({\frac {t_{1}}{n}}\right)$ ( $\textstyle m=\left({\frac {t_{1}}{n}}\right)$ 1 $\textstyle m=\left({\frac {t_{1}}{n}}\right)$ ) { $displaystyle$ \ $textstyle$ m $\textstyle t_{1}$ $=$ \ $displaystyle$ \ $textstyle$ m } \ $frac$ { $t$ _ { $n }$ } \ $right$ } $\textstyle m=\left({\frac {t_{1}}{n}}\right)$ $、$
$\textstyle t_{1}$ $\textstyle m=\left({\frac {t_{2}}{n}}\right)$ ( $\textstyle m=\left({\frac {t_{2}}{n}}\right)$ $\textstyle m=\left({\frac {t_{2}}{n}}\right)$ n $\textstyle m=\left({\frac {t_{2}}{n}}\right)$ ) { $displaystyle$ $\$ $textstyle$ m = \ $displaystyle$ \ $frac$ { $t$ _ { { n } } \ right $\textstyle m=\left({\frac {t_{2}}{n}}\right)$ $\textstyle m=\left({\frac {t_{2}}{n}}\right)$ $\textstyle t_{1}$ t ${\$ { $displaystyle$ \ $textstyle t$ _ { $n$ } , t t t2 를 선택합니다 $\textstyle t_{2}$ $.$
$\textstyle c_{1}=t_{1}+at_{1}^{-1}{\pmod {n}}$ 1 $=$ $\textstyle c_{1}=t_{1}+at_{1}^{-1}{\pmod {n}}$ 1 + $\textstyle c_{1}=t_{1}+at_{1}^{-1}{\pmod {n}}$ $\textstyle c_{1}=t_{1}+at_{1}^{-1}{\pmod {n}}$ - $\textstyle c_{1}=t_{1}+at_{1}^{-1}{\pmod {n}}$ ( $\textstyle c_{1}=t_{1}+at_{1}^{-1}{\pmod {n}}$ n ){ $displaystyle \textstyle c_$ {1}= $t_{1}^{-1}{\pmod$ {n $}}$ 및 $c_{2}=t_{2}-at_{2}^{-1}{\pmod {n}}$ $c_{2}=t_{2}-at_{2}^{-1}{\pmod {n}}$ $=$ $c_{2}=t_{2}-at_{2}^{-1}{\pmod {n}}$ - a $c_{2}=t_{2}-at_{2}^{-1}{\pmod {n}}$ 2 $c_{2}=t_{2}-at_{2}^{-1}{\pmod {n}}$ - $c_{2}=t_{2}-at_{2}^{-1}{\pmod {n}}$ ( $c_{2}=t_{2}-at_{2}^{-1}{\pmod {n}}$ n ){ $display style c_$ {2}= $t_{$ 2 - {2 - $at$ _ 1 $at$ _ 1 }^{ $n$ }^{ n }^{ n}^{ n}을 계산합니다.
는 s $=$ ( $\textstyle s=(c_{1},c_{2})$ 1, $\textstyle s=(c_{1},c_{2})$ 2) $(\$ s=( $c_{1},c_{2})$ 를 $\textstyle s=(c_{1},c_{2})$ 사용자에게 $\textstyle s=(c_{1},c_{2})$ 합니다.

복호화

$사용자$ I $({displaystyle$ ID $ID$ 의 $s=(c_{1},c_{2})$ $=$ ( $s=(c_{1},c_{2})$ 1, $s=(c_{1},c_{2})$ 2 $s=(c_{1},c_{2})$ ){ $displaystyle$ s=( $c_{1}, c_{2})$ 를 $s=(c_{1},c_{2})$ 복호화하려면 ,

$r^{2}=a$ 2 $r^{2}=a$ {\ $displaystyle$ r $^{2$ } = $a}$ $\alpha =c_{2}+2r$ $\alpha =c_{2}+2r$ $\alpha =c_{2}+2r$ $\alpha =c_{2}+2r$ 2 + $\alpha =c_{2}+2r$ r {\ $displaystyle$ \alpha $= c_{$ $2$ }+ $2r$ $}$ 인 경우 $\alpha =c_{1}+2r$ $=$ $\alpha =c_{1}+2r$ + $\alpha =c_{1}+2r$ { $displaystyle$ \alpha = $c_$ {2}+2r $}$ 를 $\alpha =c_{1}+2r$ $\alpha =c_{2}+2r$ $\alpha =c_{1}+2r$ 합니다.
m $=$ ( $m=\left({\frac {\alpha }{n}}\right)$ n $){$ m=\ $leftflac\frac{n}\right}$ 를 $m=\left({\frac {\alpha }{n}}\right)$

이 경우 암호화 엔티티는 $ID$ 의 $제곱근$ r $(\$ $displaystyle$ ID $-a$ 이 $ID$ $r$ $displaystyle$ a인지 $a$ $,$ 아니면 displaystyle $-a인지$ $알$ 수 없다고 가정합니다.이 경우 두 경우 모두 암호문을 전송해야 합니다.이 정보가 암호화 엔티티에 인식되면 바로 하나의 요소만 전송하면 됩니다.

정확성

$\textstyle p\equiv q\equiv 3{\pmod {4}}$ p q $\textstyle p\equiv q\equiv 3{\pmod {4}}$ ( $\textstyle p\equiv q\equiv 3{\pmod {4}}$ $\textstyle p\equiv q\equiv 3{\pmod {4}}$ ){ $displaystyle$ \ $textstyle$ p \ $equiv$ q \ $equiv pmod$ { $4$ $\left({\frac {-1}{p}}\right)=\left({\frac {-1}{q}}\right)=-1$ $\textstyle p\equiv q\equiv 3{\pmod {4}}$ （ $\left({\frac {-1}{p}}\right)=\left({\frac {-1}{q}}\right)=-1$ ( $\left({\frac {-1}{p}}\right)=\left({\frac {-1}{q}}\right)=-1$ - $\left({\frac {-1}{p}}\right)=\left({\frac {-1}{q}}\right)=-1$ p ) $\left({\frac {-1}{p}}\right)=\left({\frac {-1}{q}}\right)=-1$ - $\left({\frac {-1}{p}}\right)=\left({\frac {-1}{q}}\right)=-1$ ( $displaystyle \$ displaystyle \ $frac$ { - $1$ }{ $p}$ \ $right$ ) = \ displaystyleft \ $frac$ { - 1 } { } = \ $frac$ { } } $\left({\frac {-1}{p}}\right)=\left({\frac {-1}{q}}\right)=-1$ } )))))))) $\left({\frac {-1}{p}}\right)=\left({\frac {-1}{q}}\right)=-1$ \)) $first$ first first first first first first first first first first first first first first first first first $first$ $n}}\right)$ $\rightarrow$ \displaystyle { $a$ $}{$ $p$ }\ $right)=\display\frac {a}{q}}\right$ $\textstyle a$ \ $displaystyle$ \ $textstyle$ $-a$ $\textstyle n$ 는 $\textstyle a$ $\textstyle -a$ $\textstyle n$ 잔차 $\textstyle -a$ $모듈입니다.$

$\textstyle r$ r $\$ \ $textstyle$ $\textstyle r$ r은 $\textstyle r$ $\textstyle a$ \ $displaystyle$ $\textstyle -a$ a 또는 $\textstyle a$ $\textstyle -a$ 의 $\textstyle -a$ $\textstyle a$ 입니다.

{\displaystyle {begin{aligned}r^{{(n+5-p-q)/8}\left(a^{(n+5-p-q)/8}/오른쪽)^{2}\&=left(a^{n+5-p-q)-1(pq)\left(n))

또한 (\ $displaystyle$ \ $textstyle$ a $}$ 가 $\textstyle a$ 2차 잔차인 $\textstyle a$ $,$ 동일한 아이디어가 $-a$ 에 적용됩니다. $\textstyle -a$

{displaystyle}\frac {s+2r}{n}\right}=\flac {t+at^{-1}+2r}\right}=\left(1+at^{-2}+2rt{-1}\right)}{n}}\right)\\&=\leftfrac {t\left(1+r^{2}t^{-2}+2rt^{-1}\오른쪽)}{n}\right)=\leftfrac {t\left(1+rt^{-1}\right)^{2}}{n}}\right)\\&=\leftfrac {t}{n}\right)\frac {1+rt^{-1}}{n}}\right)^{2}=\fm 1){2}=\leftfrac\frac {t}{n}\right}\endaligned}\ended}}\frac {n}

보안.

스킴을 깨는 것은 매우 어려운 것으로 의심되는 2차 잔존성 문제를 푸는 것과 동등하다는 것을 알 수 있다.RSA 계수를 선택하는 일반적인 규칙은 다음과 같습니다. $\textstyle n$ n $\displaystyle\textstyle$ n을 $\textstyle t$ 사용하여 t\displaystyle $\$ $textstyle$ t를 $\textstyle t$ 균일하고 $\textstyle t$ 으로 선택합니다 $.$ t\displaystyle $t}$ 에 대한 신뢰성 체크도 포함합니다(그렇지 않은 경우 적응형 선택 암호문 공격은 1비트를 전송하여복호화된 비트에 대한 영향을 관찰하기 위해 。

문제

이 방식의 주요 단점은 메시지를 비트당만 암호화할 수 있다는 것입니다.따라서 세션키와 같은 작은 데이터 패킷에만 적합합니다.예를 들어 1024비트 계수를 사용하여 전송되는128비트 키를 생각해 보겠습니다.그런 다음 2 × 128 × 1024 비트 = 32 KByte $($ r\ $display style$ r이 $r$ a의 $r$ 인지 -a의 제곱인지 알 수 없는 경우)를 전송해야 합니다.이는 세션 키가 자주 변경되지 않는 환경에서만 허용됩니다.

이 스킴은 키 프라이버시를 유지하지 않습니다.즉, 수동적인 상대는 암호문을 감시하는 수신자의 ID에 관한 의미 있는 정보를 회복할 수 있습니다.

레퍼런스

^ Clifford Cocks, 웨이백 머신에 보관된 2차 잔류물에 기초한 ID 기반 암호화 스킴, 제8회 IMA 국제암호화회의, 2001년

[1] Clifford Cocks, 웨이백 머신에 보관된 2차 잔류물에 기초한 ID 기반 암호화 스킴, 제8회 IMA 국제암호화회의, 2001년

[1]

Search

Cocks IBE 스킴

네임스페이스

더

목차

프로토콜

세우다

압축풀기

암호화

복호화

정확성

보안.

문제

레퍼런스