Smart Cards & Devices Forum 2012 - Autentizace a ochrana soukromí

K cemu autentizace pomocı atributu?Prehled existujıcıch systemu

Nas navrhZaver

Autentizace a ochrana soukromıUvod do autentizace pomocı atributu

Jan Hajny

Vysoke ucenı technicke v [email protected]

Jan Hajny Autentizace a ochrana soukromı

mailto:[email protected]


Nas navrhZaver

1 K cemu autentizace pomocı atributu?Duvody k vyvoji novych autentizacnıch systemuZasadnı funkce pro ochranu soukromıRevokace

2 Prehled existujıcıch systemuU-ProveIdemixSlabiny existujıcıch systemu

3 Nas navrhKoncept, model komunikaceVlastnostiRevokace v nasem navrhuPrakticke pozadavky

4 Zaver



Nas navrhZaver

Duvody k vyvoji novych autentizacnıch systemuZasadnı funkce pro ochranu soukromıRevokace

Prıklad bar: overenı veku

Pro konzumaci alkoholu musı byt zakaznık starsı 18 (21) let.



Nas navrhZaver


Prıklad knihovna: overenı placenı clenskych poplatku

Pro prıstup do knihovny a pujcovanı knih je nutne platit clenstvı.



Nas navrhZaver


Ohrozenı soukromı a digitalnı identity

Existuje mnoho sluzeb kde identifikace nenı treba kautorizaci.

IdentifikaceNase identita je temer vzdy zverejnena i presto, ze to nenımnohdy nutne.

SledovanıVsechny relace overenı jsou spojitelne do jednoho profiluuzivatele.

Zbytecne schranovanı osobnıch informacı.Overovatelum poskytujeme vıce informacı nez je nezbytne.

Kradeze identity



Nas navrhZaver


Ohrozenı soukromı dıky novym technologiım

Elektronicke dokladySledovanı obcanu, uniky osobnıch informacı, sledovanıchovanı. . .

Cloudove sluzbySpojenı nası identity a dat ulozenych v cloudu, monitorovanıchovanı, zbytecne schranovanı osobnıch dat. . .

Prenosna zarızenı (Tablety, mobilnı telefony, NFC)Sledovanı na zaklade spojenı overovacıch relacı, schranovanıosobnıch dat. . .

. . .

Tyto hrozby ohrozujı zakladnı lidske svobody.



Nas navrhZaver


Zasadnı funkce pro ochranu soukromı

Pozadovano (EU (ENISA), NSTIC):

(Prokazatelna) bezpecnost

Anonymita

Nesledovatelnost

Nespojitelnost relacı

Overenı pomocı jednotlivych atributu

Neprenositelnost

Funkcnı revokace



Nas navrhZaver


Revokace ve schematech na ochranu soukromı

Revokace je velmi tezko dosazitelna, existuje vıce variant:

Revokace autentizacnıch tokenu

Token je odebran ze systemu, uzivatel nemuze byt overen, alezustava anonymnı.

Revokace nespojitelnosti relacı

Vsechny prıstupy uzivatele jsou odhaleny, je mozno jeanalyzovat, ale uzivatel zustava anonymnı.

Revokace anonymity

Utocnık je plne odhalen a muze byt stıhan za sve chovanı.



Nas navrhZaver

U-ProveIdemixSlabiny existujıcıch systemu

Prehled existujıcıch systemu pro atributovou autentizaci



Nas navrhZaver


Koncept, model komunikace systemu U-Prove

U-Prove, system pro ochranu soukromı firmy Microsoft(Credentica):

Vydavatel atributů

(Pk, Sk)

Ověřovatel

Uživatel

(Token, Sk)Vydávací protokol O

věřo

vací

pro

toko

l

TI, PI

A1, A2, …, An

SigI

TOKEN



Nas navrhZaver


Klıcove vlastnosti U-Prove1

Bezpecnost: DL v DSA grupe, FS-heuristika

Anonymita

Nesledovatelnost

Selektivnı odhalenı atributu

Neprenositelnost

Revokace na zaklade ID tokenu

Navrzeno pro klasicke pocıtace

Chybı: Nespojitelnost relacı, revokace

1U-Prove Cryptographic Specification V1.1 08/09/2011



Nas navrhZaver


Revokace u U-Prove

Revokace tokenu: pouze zneplatnenı znamych tokenu.

Revokace nespojitelnosti: nespojitelnost nenı podporovana.

Revokace anonymity: ?pomocı overitelneho sifrovanı?



Nas navrhZaver


Koncept, model komunikace systemu Idemix

Idemix (Identity Mixer) je system pro ochranu soukromı vyvinutyIBM:

Vydavatel atributů

(Pk, Sk)

Ověřovatel

Uživatel

(Token, Sk)

Vydávací protokol

Ově

řova

cí p

roto

kol

Epocha

A1, A2, …, An

SigI

Token

TTP



Nas navrhZaver


Klıcove vlastnosti Idemixu2

Bezpecnost: sRSA, DDH v RSA groupe, FS-heuristika

Anonymita

Nesledovatelnost

Nespojitelnost overovacıch relacı


Neprenositelnost

Revokace pomocı epoch

Navrzeno jak pro pocıtace tak smart-karty

Chybı: Off-line aktualizace, revokace

2Specification of the Identity Mixer Cryptographic Library 2.3.4, 10/2/2012



Nas navrhZaver


Revokace v Idemixu

Revokace tokenu: pomocı expirace tokenu.

Revokace nespojitelnosti: nenı podporovano.

Revokace anonymity: ?pomocı overitelneho sifrovanı?



Nas navrhZaver


Slabiny existujıcıch systemu

U-Prove

Chybı nespojitelnost: je mozne profilovat uzivatele.Chybı revokace: nenı mozne odstranit utocnıky, neplatice atd.Chybı identifikace utocnıku: nenı mozne pozadovat nahradyskod.

Idemix

Chybı revokace: nenı mozne odstranit utocnıky, neplatice atd.Chybı identifikace utocnıku: nenı mozne pozadovat nahradyskod.Implementace: relativne pomale, vyzaduje on-line aktualizace.



Nas navrhZaver

Koncept, model komunikacePrincip prokazovanı atributuVlastnostiRevokace v nasem navrhuPrakticke pozadavky

Nas navrh



Nas navrhZaver


Koncept, model komunikace naseho navrhu

System pro atributovou autentizaci s revokacı anonymity,nespojitelnosti a tokenu.

Vydavatel atributů

(Pk, Sk)

Ověřovatel

Uživatel

(Token, Sk)

Vydávací protokol Ověřo

vací

proto

kol

A1, A2, …, An

SigI

TOKEN

Veřejná autorita

(Pk, Sk)

Vydávací protokol

Revokace

Re

vo

ka

ce



Nas navrhZaver


Uživatel 1

DLRepU1(A1)

DLRepU1(A2)

.

DLRepU1(An)

Ověřovatel

Uživatel n

DLRepUn(A1)

DLRepUn(A2)

.

DLRepUn(An)

Uživatel 2

DLRepU2(A1)

DLRepU2(A2)

.

DLRepU2(An)

A tribut Význam (příklad)

A 1 O bčan EU

A 2 Starš í 1 8 let

A 3 Řid ičský průkaz B

.

.

A n V daný/á

A1, A8

A1, A8

Důkaz vlastnictví A1


A8

A8


Ax, Ay

Ax, Ay

Důkaz vlastnictví Ax

Důkaz vlastnictví Ay



Nas navrhZaver


Klıcove vlastnosti naseho navrhu

Bezpecnost: DL v grupe Okamoto–Uchiyama (OU),faktorizace n = r 2s, FS-heuristika

Anonymita

Nesledovatelnost

Nespojitelnost relacı


Neprenositelnost

Vıcestupnova, efektivnı revokace



Nas navrhZaver


Revokace v nasem navrhu 1

Revokace je okamzita, netreba cekat na ukoncenı epochy.

Po revokaci nenı treba aktualizovat tokeny.

Revokace je k dispozici pouze kdyz vıce entit spolupracuje.

Zadna entita nemuze pouzıt revokaci sama.

Revokace je provedena off-line.

Vypocetnı slozitost nezavisı na mnozstvı revokovanychuzivatelu.



Nas navrhZaver


Revokace v nasem navrhu 2

Revokace tokenu: autentizacnı token muze byt revokovanbez identifikace vlastnıka.

Revokace nespojitelnosti: dve ci vıce overovacıch relacıuzivatele mohou byt spojeny v jeden profil bez identifikaceuzivatele.

Revokace anonymity: v nejhorsıch prıpadech porusenıpravidel muze byt utocnık zcela identifikovan.



Nas navrhZaver


Prakticke pozadavky

Overenı uzivatele vyzaduje:

6 modularnıch mocnenı,

6 modularnıch nasobenı,

4 modularnıch scıtanı.

Doba overenı je nezavisla na:

poctu uzivatelu v systemu,

poctu revokovanych tokenu,

poctu skrytych atributu.



Nas navrhZaver


Implementace

Schema je mozne implementovat na cipovych kartach, napr:

.NET Smart-card

Vykonne, dostatek pameti, neprıstupny interface.5-7s

JavaCard

Rozsırene, relativne levne, neprıstupny interface.7s

MULTOS

Mene zname, relativne levne, rychle, otevreny interface.≤ 1s



Nas navrhZaver

Srovnanı schemat pro atributovou autentizaciReference

Srovnanı schemat pro atributovou autentizaci

U-Prove Idemix Nas navrhBezpecnost DL sRSA DL

Anonymita • • •Atributy • • •Nesledovatelnost • • •Nespojitelnost O • •Selektivnı odhalenı • • •Smart-karty O • •Prakticka revokace O O •Identifikace utocnıku O O •Rychlost (1+u) exp.3 (9+u) exp.4 6 exp.

3U-Prove Cryptographic Specification V1.1, 20114Bichsel, Camenisch, Groß, 2009



Nas navrhZaver


Dekuji za pozornost!



Nas navrhZaver


Patrik Bichsel, Jan Camenisch, Thomas Groß, and Victor Shoup.

Anonymous credentials on a standard java card, 2009.

Stefan Brands, Liesje Demuynck, and Bart De Decker.

A practical system for globally revoking the unlinkable pseudonyms of unknown users, 2007.

Stefan A. Brands.

Rethinking Public Key Infrastructures and Digital Certificates: Building in Privacy, 2000.

Jan Camenisch and et Al.

Specification of the identity mixer cryptographic library, 2010.Technical report.

Jan Camenisch, Markulf Kohlweiss, and Claudio Soriente.

An accumulator based on bilinear maps and efficient revocation for anonymous credentials, 2009.

Jan Camenisch, Markulf Kohlweiss, and Claudio Soriente.

Solving revocation with efficient update of anonymous credentials, 2010.

Jan Camenisch and Anna Lysyanskaya.

A signature scheme with efficient protocols, 2003.

Anna Lysyanskaya.

An efficient system for non-transferable anonymous credentials with optional anonymity revocation, 2001.

Wojciech Mostowski and Pim Vullers.

Efficient u-prove implementation for anonymous credentials on smart cards, 2011.

Christian Paquin.

U-prove cryptographic specification v1.1, 2011.Technical report.



Nas navrhZaver


Appendix A - The Scheme with Crypto-Primitives

UserPublic

AuthorityOrganization

Issuing

(Comm, PK)

Issuing

(PK, VE)

Token

Smart-cardProving

(VE, PK)

Revocation

(Comm, VE)

PK: Discrete Logarithm (DL) Proof of KnowledgeComm: DL commitmentVE: Verifiable Encryption of Discrete Logarithm


Technology

Smart Cards & Devices Forum 2012 - Autentizace a ochrana soukromí