26.08 // DAA-SIGMA: протокол обмена ключами со взаимной анонимной аутентификацией

Исследователи Джесс Уокер и Джангтао Ли из лаборатории Intel в своей работе "Key Exchange with Anonymous Authentication using DAA-SIGMA Protocol" предложили улучшенный метод аутентификации при сохранении анонимности. При этом они рассмотрели предшествовавшие решения этой противоречивой проблемы, совмещающей два противоположных свойства: аутентификацию (удостоверение подлинности, идентичности, личности) и сохранение анонимности одновременно.

Анонимные цифровые подписи, такие как групповые подписи, прямая анонимная аттестация (DAA) и анонимные удостоверения играют важную роль в технологиях продвижения приватности. Они позволяют объекту (пользователю или аппаратному устройству) создавать подписи без раскрытия своей идентичности. Анонимные подписи также позволяют осуществлять анонимную аутентификацию объекта.

Концепция схемы групповых подписей была впервые представлена Чаумом и Ван Хейстом в 1991 году. В схеме групповых подписей все члены группы совместно используют групповой открытый ключ, однако каждый участник имеет уникальный закрытый ключ. Групповая подпись, созданная членом группы, анонимна для проверяющего, но выслеживаема со стороны доверяемого управляющего группой. Было предложено много схем групповых подписей. Прямая анонимная аттестация (Direct Anonymous Attestation — DAA) была впервые представлена Брикелем, Кэйменишем и Ченом для удалённой анонимной аутентификации на модуле доверенных аппаратных вычислений (Trusted Platform Module — TPM). DAA может рассматриваться как специальная схема групповой подписи без возможности выслеживания. DAA привлекла много внимания в сообществе исследователей доверенных вычислений и многие схемы DAA были реализованыы в этой сфере.

Анонимные цифровые подписи привлекают внимание индустрии в последние годы. Например, группа доверенных вычислений (Trusted Computing group — TCG), организация глобальных промышленных стандартов, приняла схему DAA для стандартизации в TCG TPM спецификации версии 1.2. Эта же схема DAA была ранее принята ISO/IEC как международный стандарт. DAA выполнена и уже сегодня поставляется с миллионами TPM-устройств. Intel выполнил расширениее DAA, называемое Enhanced Privacy ID в чипсете Intel P55 lbex Peak. Недавно ISO/IEC начали разработку двух новых международных стандартов: одного для анонимных цифровых подписей, включая групповые подписи и схемы DAA и другого для анонимной аутентификации объектов с использованием анонимных цифровых подписей.

(Прим. перев.: Данные исследования возможно иллюстрируют преимущественный интерес к работе с групповыми анонимными идентичностями в индустрии управления цифровых прав и контроля копирайта при номинальной сохранности приватности пользователя при вторжении в его компьютер или специализированное электронное устройство с целью проверок (если нарушений не обнаружено или автоматическом отключении доступа к копирайт-материалам без выслеживания пользователя-нарушителя). Однако эти протоколы интересны сами по себе и могут быть использованы в других целях. Слово "приватность" и "доверие" могут трактоваться совершенно по-разному, в зависимости от того, кому принадлежат ключи в реализации протокола и каким целям служит его реализация).

DAA может быть использовано для анонимной аутентификации непосредственно следующим образом: проверяющий посылает сообщение вызова члену группы; член группы может аутентифицироваться перед проверяющим анонимно, используя свой приватный ключ для создания DAA-подписи на сообщении. После проверки DA-подписи проверяющий соглашается с тем, что член группы — это действительно DAA-подписавший, но не может узнать, кто конкретно создал подпись. Модули доверенных вычислений (TPM) используют этот метод для анонимной аутентификации для получения свидетельства об идентифицирующем ключе анонимного удостоверения издателя. Этот метод аутентификации ограничен, поскольку участник группы не може проверить удостоверение самого проверяющего и в процессе аутентификации между ними не получается совместно произведённого ключа.

Более общий способ использования DAA в анонимной аутентификации — это встраивание DAA в протокол обмена ключами Диффи-Хеллмана так, что два объекта могут аутентифицировать друг друга и совместно произвести ключ сессии для последующей коммуникации. Было составлено множество предложений для внедрения DAA в протоколы обмена ключами. Бэлф и др. предложили анонимную аутентификацию в файлообменных (peer-to-peer) сетях путём встраивания DAA в TLS и IPsec. Леунг и Митчелл представили протокол анонимной аутентификации на основее DAA. Недавно Цесена и др. предложили протокол анонимной аутентификации на основе TLS и DAA, включающий образец реализации.

Несмотря на множество предложений по использованию DAA в протоколах обмена ключами Диффи-Хеллмана, опубликованных в литературе ранее, авторам неизвестно никакой формальной модели доказательства безопасности, которая бы использовалась для обоснования стойкости этих протоколов. Создание такой модели послужило мотивацией этой работы.

Ими были внесены вклады такого рода:

Модель безопасности для обмена ключами с анонимной аутентификацией. Было предложено тщательное рассмотрение анонимной аутентификации и предложена новая модель безопасности для обмена ключами с анонимной аутентификацией, которая была выведена из модели обмена ключами Канетти-Кравчика. В модели Канетти-Кравчика идентичность играет важную роль в доказательстве безопасности. Однако в анонимной аутентификации идентичность объекта, который хочет остаться анонимным в процессе аутентификации не может быть раскрыта в ходе обмена ключами. Это создаёт значительные трудности в определении безопасности модели и в разработке протокола обмена ключами.

Безопасный протокол обмена ключами с анонимной аутентификацией. Авторы разработали новый протокол обмена ключами на основе DAA и SIGMA-семействе протоколов обмена ключами в стандартах IPsec и Internet Key Exchange (IKE). Этот протокол был назван DAA-SIGMA. При этом дан формальный анализ безопасности протокола DAA-SIGMA в рамках модели, представленной авторами.

Помимо протокола DAA-SIGMA, авторами предложен протокол и для встраивания групповых подписей в обмен ключевыми параметрами по Диффи-Хеллману. Соответствующий протокол назван GS-SIGMA.

В протоколе DAA-SIGMA рассмотрена возможность использования (вместо идентичностей) сертификатов на основе открытых ключей удостоверяющих центров. Также в DAA предусмотрены возможности использования контролируемой пользователем выслеживаемости (возможность включать своё имя в параметры создания подписи) и отзыва (возможность доказать проверяющему непринадлежность к списку отозванных ключей).

Самое парадоксальное свойство, в наибольшей степени сочетающее взаимоисключающие на первый взгляд требования, это возможность взаимной анонимной аутентификации. И хотя авторы не видят смысла использовать такое свойство в интернете, они предполагают такое использование в рамках модели физически близко находящихся друг к другу устройств (например мобильные устройства или автомобили), вероятно, чтобы не производить накопления идентифицирующей информации при информационном взаимодействии.

В дальнейшем авторы планируют предоставить формальные доказательства безопасности взаимной анонимной аутентификации и изучить способ внедрения DAA в SSL/TLS протокол с сохранением доказуемой безопасности в рамках новой модели, которая её описывает.

Источник: Cryptology ePrint Archive