Criptografía basada en Identidad

Por Ivan Carvajal Roca

La tecnología electrónica actual está revolucionando y relacionándose cada vez más con muchas otras ciencias y disciplinas. Actualmente, las redes electrónicas y los sistemas inteligentes están tratando de automatizar distintos procesos físicos a través de la informática y la electrónica.

Con el desarrollo de la tecnología de la información y redes complejas, los investigadores proponen nuevas tecnologías como:

  • Sistemas ciberfísicos: Son sistemas que relacionan el espacio físico con el ciberespacio. Dentro de estos sistemas se pueden mencionar las redes eléctricas autónomas e inteligentes, los vehículos electrónicos autónomos, las ciudades inteligentes, el internet de las cosas (que conecta a toda clase de objetos al internet); y toda clase de sistemas inteligentes que automatizan los procesos.
  • Sistemas de eSalud (e-Health): Es una red inteligente que centraliza toda la información sobre la salud de los pacientes en una nube electrónica, conecta diferentes infraestructuras, Hospitales, Farmacias, etc. Además a través de sensores que se tiene en el cuerpo se puede mandar la información a este sistema centralizado para mejorar la calidad de atención y tratamiento médico.

  • Redes Ad-hoc: Son redes inalámbricas descentralizadas que no depende de infraestructuras estáticas, redes completamente movibles a diferencia de las redes actuales (internet, telefonía, etc), cada usuario es también un nodo que transmite la información.
  • Internet de las Cosas (IoT); Una tecnología dedicada a conectar toda clase de objetos (cosas) al internet para poder tener un sistema inteligente.

Todas estas tecnologías son sistemas más complejos a los que existen en la actualidad y que traen muchos beneficios en distintas área, sin embargo, al automatizar toda la información con estos sistemas, un tema de total importancia y que se tiene que considerar es la SEGURIDAD, haciendo énfasis en la Confidencialidad (proteger la información sensible), Integridad (la información no debe ser alterada por entidades no autorizadas) y la Disponibilidad (el Sistema tiene que estar disponible todo el tiempo).

Al ser estos sistemas más complejos que los tradicionales, los actuales protocolos criptográficos de seguridad (TLS, PKI, X.509, HTTP, etc) no responden de forma adecuada debido a las condiciones de movilidad, descentralización y otras características de estos sistemas complejos.

Dentro de la seguridad de estos sistemas, uno de los temas a considerar y que está siendo investigado por distintos académicos es la administración de las llaves de cifrado y descifrado.

Tradicionalmente, el internet y otros sistemas actuales tradicionales usan una Infraestructura de Clave Pública (Public Key Infrastructure – PKI).

Para poder entender el sistema PKI, debemos saber que existen la criptografía simétrica y la asimétrica (o de llave pública). La Criptografía Simétrica, usa una sola llave para cifrar la información; Mientras que la Criptografía Asimétrica usa una llave pública para cifrar el mensaje y otra llave privada para descifrar el mensaje.

La tecnología PKI usa criptografía asimétrica (de llave pública) donde permite a los usuarios autenticase (por ejemplo con la llave pública de un usuario) para cifrar y descifrar mensajes, garantizar el no repudio y el uso de firmas digitales.

Para entender cómo funciona un sistema PKI, daremos un ejemplo.

La figura 1 muestra un ejemplo de un sistema PKI con un Servidor de Certificados (SC), una Autoridad de Certificación (AC), un Servidor de Recuperación (SR) y los Usuarios Bob y Alicia.

Al iniciar la comunicación, (1) Bob se autentifica enviando la llave pública a la AC para (2) recibir su Certificado, (3) la AC guarda el Certificado de Bob en el SC. Cuando Alicia quiera cifrar un mensaje para Bob, primero debe (4) solicitar el Certificado de Bob al SC, este servidor le envía la llave pública de Bob, así, Alicia (5) cifrar mensaje, y lo envía a Bob, Bob puede (6) descifrar este mensaje usando su llave privada que está almacenada en el SR.

Como se puede observar, el sistema PKI es un sistema centralizado, que tiene que manejar certificados y distribuir las llaves públicas. Debido a la exigencia de velocidad y a la complejidad de las nuevas redes, como las redes Ad-hoc, sistemas eSalud, IoT, etc.; la Infraestructura PKI es ineficiente y no es práctica ya que tiene que administrar certificados y distribuir llaves públicas, es necesario buscar otras alternativas criptográficas que respondan con la demanda de estos sistemas complejos.

En 1984, Adi Shamir propuso la idea de una nueva criptografía donde las llaves públicas sean representadas a través de cadenas o atributos relacionados al destinatario, estas cadenas reciben el nombre de “identidad”, la identidad puede ser cualquier atributo que describa al destinatario, por ejemplo su correo electrónico, su número de seguro social, su carnet de identidad, etc. Pero no fue hasta el 2001, que Dan Boneh y otros autores en su investigación “Identity-Based Encryption from the Weil Pairingpresentaron una estructura matemática adecuada para poder realizar este sistema criptográfico de identidad, los autores propusieron el sistema de Cifrado Basado en Identidad o IBE (Identity Based Encryption) que hace el uso de emparejamientos bilineales (bilinear map-pairing) para tal propósito.

Las ventajas de un sistema IBE frente al tradicional PKI es evidente ya que no necesita el uso de certificados, su principio parte de que la llave pública usada para cifrar los mensajes pueden ser cualquier cadena que identifique al destinatario.

Modificando el ejemplo mencionado anteriormente, en la figura 2 se muestra un sistema IBE el cual sólo necesita de un Servidor de Llaves IBE (SLI). Al iniciar la comunicación, Bob (1) envía su Identidad al SLI para recibir su Llave Privada, este servidor (2) envía la llave privada a Bob, cuando Alice quiere enviar un mensaje a Bob, debe (3) cifra el mensaje usando la llave pública de Bob sin la necesidad de comunicarse con ningún servidor y al recibir el mensaje cifrado, (4) Bob puede descifrar con su llave privada. Como se puede ver en el ejemplo, el sistema IBE reduce la complejidad comparado con el sistema PKI.

Entre las ventajas de IBE se tiene:

  • No hace el uso de distribución de certificados.
  • No se necesita guardar llaves privadas.
  • Las llaves privadas pueden tener una duración de vida, útil para la revocación de un usuario.
  • Fácil de recuperar ante fallos
  • No requiere de una conexión permanente al servidor (sólo necesita conectar una vez para obtener la llave privada).
  • Para cifrar un correo con IBE cuesta sólo el 30% de PKI.

Después de que Boneh y los demás autores propongan su investigación acerca de IBE, se desarrollaron distintos protocolos con esta nueva criptografía. Algunas de sus extensiones son: ABE (Attribute-Based Encryption), HIBE (Hierarchical Identity Based Encryption), (Revocable Identity Based Encryption), Fuzzy Identity Based Encryption, etc.

Gracias a la estructura y propiedades matemáticas que posee la Criptografía Basada en Identidad, también se tiene una diversidad de aplicaciones y construcciones, como ser:

  • Búsqueda de datos cifrados: Donde se puede realizar búsqueda en datos cifrados sin la necesidad de descifrar la información, ni de saber el contenido del mensaje cifrado.
  • Firmas Digitales: Las firmas digitales reducen su tamaño y mejoran su eficiencia con la Criptografía Basada en Identidad.
  • HIBE: Permite designar y delegar la generación de llaves a los usuarios de menor jerarquía, útil en sistemas empresariales con jerarquía.
  • ABE: Para descifrar un mensaje se necesita cumplir con ciertos atributos que forman la llave privada.
  • HIBE Anónimo: El texto cifrado no filtra la identidad del receptor. Usa cifrado de llaves públicas con búsqueda de palabras claves (keyword). “PEKS”

Una de las desventajas de la Criptografía Basada en Identidad es que requiere de un Servidor Centralizado, donde es concentrada toda la seguridad del sistema, ya que ese servidor es el que distribuye todas las llaves privadas, además, se necesita un canal seguro para transmitir estas llaves privadas, y por último, es importante saber que este sistema criptográfico es vulnerable ante la informática cuántica.

A pesar de las desventajas que puede requerir un sistema centralizado, la Criptografía Basada en Identidad puede responder a la fácil y rápida administración de llaves públicas y firmas digitales como se requiere en redes Ad-hoc, sistema de eSalud o sistemas ciberfísicos. Actualmente, muchos investigadores y académicos relacionados al área de criptografía y seguridad de redes, están proponiendo distintos protocolos y mecanismos basados en IBE aplicados a muchos sistemas complejos que serán implementados en el futuro.

Referencia

Boneh, D. and Franklin, M., 2001, August. Identity-based encryption from the Weil pairing. In Annual International Cryptology Conference (pp. 213-229). Springer Berlin Heidelberg.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *